Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ ĐẠI HỌC THÁI NGUYÊN
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG
NGUYỄN XUÂN DUẨN NÂNG CAO KHẢ NĂNG BẢO MẬT CỦA HỆ THỐNG
THÔNG TIN BẰNG GIẢI PHÁP TÍCH HỢP MẠNG RIÊNG ẢO
MPLS-VPN VÀ IPSEC LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN
Chuyên ngành: Khoa học máy tính
Mã số: 60480101
NGƢỜI HƢỚNG DẪN KHOA HỌC: PGS, TS. NGUYỄN VĂN TAM
Tôi xin cam đoan luận văn là kết quả nghiên cứu của tôi, không sao chép của
ai. Nội dung luận văn có tham khảo và sử dụng các tài liệu liên quan, các thông tin
trong tài liệu được đăng tải trên các tạp chí và các trang website theo danh mục tài
liệu của luận văn.
Tác giả luận văn Nguyễn Xuân Duẩn
4
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
MỤC LỤC
CHƢƠNG I: MẠNG RIÊNG ẢO VÀ NHU CẦU TÍCH HỢP 8
1.1 Giới thiệu về mạng VPN 8
1.2Phân loại mạng và các mô hình VPN 12
1.2.1 Công nghệ mạng riêng ảo an toàn (Secure VPN) 12
1.2.2Công nghệ mạng riêng ảo tin cậy (Trusted VPN) 12
1.3.1 Giải pháp tích hợp VPN trong cùng nhóm công nghệ 13
1.3.2 Giải pháp tích hợp VPN không cùng nhóm công nghệ 15
CHƢƠNG II: GIẢI PHÁP TÍCH HỢP MẠNG RIÊNG ẢO MPLS-VPN và
IPSEC 18
2.1 Mạng riêng ảo MPLS-VPN 18
2.1.1 Công nghệ chuyển mạch MPLS 18
2.1.2 Ứng dụng VPN trên mạng MPLS 25
2.2 Mạng riêng ảo IPSec 34
2.2.1 Kiến trúc IPSec 34
2.2.2 Mạng riêng ảo IPSec 41
TH
UẬ
T
N
GỮ
, VI
ẾT T
Ắ
T
MÔ T
Ả
Ý
N
GH
ĨA
SNMP
Simple
Network
Management
Protocol
VPN
Virtual Private Network
Layer 2 Forwarding
PPTP
Program Performance Test Procedure
IPX
Packet Exchange/Sequenced Packet Exchange
IP
Internet Protocol
CPE
Customer Premises Equipment
ATM
Asynchronous Transfer Mode
ICT
Information Communication Technology
LDP
Label Distribution Protocol
LSP
Label Switched Path
Tag Distribution Protocol
BGP
Border Gateway Protocol
IETF
Internet Engineering Task Force.
AH
Authentication Header
CE
customer edge
PE
Provider Edge
DMVPN
Dynamic multipoint Virtual Private Network6
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
3
Hình 1.3: Mô hình Tunneling
15
4
Hình 2- 1 Cấu trúc một nút MPLS
23
5
Hình 2.2: LSP nested (ghép)
26
6
Hình 2.3: Kiến trúc MPLS- VPN
31
7
Hình 2.4: Vị trí nhãn MPLS trong khung lớp 2
32
8
Hình 2 .12: Đóng gói IPsec trong bảo mật PE-PE.
48
16
Hình 2.13: Truy cập từ xa IPsec vào MPLS VPN.
50
17
Hình 3.1: Sơ đồ mạng Đại học Kinh Doanh và Công Nghệ
Hà Nội
53
18
Hình 3.2.1: IP VPN server admin
54
19
Hình 3.2.2: Tạo domain controler
54
20
Hình 3.2.3: Đưa SRV-1 (VPN Server) vào domain
55
21
Hình 3.2.4: Cài đặt VPN Server trên SRV-1
55
ĐẶT VẤN ĐỀ
Trong thời đại ngày nay, Internet đã phát triển mạnh về mặt mô hình cho
đến công nghệ, đáp ứng các nhu cầu của người sử dụng. Internet đã được thiết kế
để kết nối nhiều mạng khác nhau và cho phép thông tin chuyển đến người sử dụng
một cách tự do và nhanh chóng mà không xem xét đến máy và mạng mà người sử
dụng đó đang dùng.
Tuy nhiên, do Internet có phạm vi toàn cầu và không một tổ chức, chính phủ
cụ thể nào quản lý nên rất khó khăn trong việc bảo mật và an toàn dữ liệu cũng như
trong việc quản lý các dịch vụ. Từ đó người ta đã đưa ra một mô hình mạng mới
nhằm thoả mãn những yêu cầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng
hiện có của Internet, đó chính là mô hình mạng riêng ảo (Virtual Private Network -
VPN). Với mô hình mới này, người ta không phải đầu tư thêm nhiều về cơ sở hạ
tầng mà các tính năng như bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có thể quản
lý riêng được sự hoạt động của mạng này. VPN cho phép người sử dụng làm việc
tại các nơi khác nhau có thể kết nối an toàn đến máy chủ của tổ chức mình bằng cơ
sở hạ tầng được cung cấp bởi mạng công cộng. Nó có thể đảm bảo an toàn thông
tin giữa các đại lý, người cung cấp, và các đối tác kinh doanh với nhau trong môi
trường truyền thông rộng lớn.
Mạng VPN là một trong những ứng dụng rất quan trọng trong mạng MPLS.
MPLS-VPN đã đơn giản hóa quá trình tạo “đường hầm” trong mạng riêng ảo bằng
cơ chế gán nhãn gói tin (Label) trên thiết bị mạng của nhà cung cấp. Để nâng cao
tính bảo mật của thông tin các nhà công nghệ đã và đang nghiên cứu triển khai
MPLS-VPN kết hợp với IPSEC.
Trong khuôn khổ kiến thức có được qua quá trình được đào tạo tại trường và
công việc thực tế, tôi chọn hướng nghiên cứu đề tài này mong muốn đóng góp,
xây dựng thử nghiệm vào một mô hình cụ thể và qua đó đánh giá khả năng triển
khai trong thực tế hệ thống quản trị mạng có độ an ninh cao.
8
những người sử dụng từ xa một phần mềm máy khách cho máy tính của họ. Sau
đó, người sử dụng có thể gọi một số miễn phí để liên hệ với NAS và dùng phần
mềm VPN máy khách để truy cập vào mạng riêng của công ty. Loại VPN này cho
phép các kết nối an toàn, có mật mã.
Hình minh họa cho thấy kết nối giữa Văn phòng chính và "Văn phòng" tại gia
hoặc nhân viên di động là loại VPN truy cập từ xa).
VPN điểm-nối-điểm là việc sử dụng mật mã dành cho nhiều người để kết nối nhiều
điểm cố định với nhau thông qua một mạng công cộng như Internet. Loại này có thể
dựa trên Intranet hoặc Extranet. Loại dựa trên Intranet: Nếu một công ty có vài địa điểm
từ xa muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN intranet
(VPN nội bộ) để nối LAN với LAN. Loại dựa trên Extranet: Khi một công ty có mối
quan hệ mật thiết với một công ty khác (ví dụ như đối tác cung cấp, khách hàng ), họ
có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ
chức khác nhau có thể làm việc trên một môi trường chung.
Trong hình minh họa trên, kết nối giữa Văn phòng chính và Văn phòng từ xa
là loại VPN Intranet, kết nối giữa Văn phòng chính với Đối tác kinh doanh là VPN
Extranet.
Bảo mật trong VPN
Tường lửa (firewall) là rào chắn vững chắc giữa mạng riêng và Internet. Bạn
có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao
thức được chuyển qua. Một số sản phẩm dùng cho VPN như router 1700 của Cisco
có thể nâng cấp để gộp những tính năng của tường lửa bằng cách chạy hệ điều
hành Internet Cisco IOS thích hợp. Tốt nhất là hãy cài tường lửa thật tốt trước khi
thiết lập VPN.
Mật mã truy cập là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy
tính khác thì chỉ có máy đó mới giải mã được. Có hai loại là mật mã riêng và mật
mã chung.
10
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
11
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
- Phần mềm cho desktop của máy khách dành cho người sử dụng từ xa.
- Phần cứng cao cấp như bộ xử lý trung tâm VPN hoặc firewall bảo mật PIX.
- Server VPN cao cấp dành cho dịch vụ Dial-up.
- NAS (máy chủ truy cập mạng) do nhà cung cấp sử dụng để phục vụ người sử
dụng từ xa.
- Mạng VPN và trung tâm quản lý.
Bộ xử lý trung tâm VPN
Có nhiều loại máy xử lý VPN của các hãng khác nhau, nhưng sản phẩm của
Cisco tỏ ra vượt trội ở một số tính năng. Tích hợp các kỹ thuật mã hóa và thẩm
định quyền truy cập cao cấp nhất hiện nay, máy xử lý VPN được thiết kế chuyên
biệt cho loại mạng này. Chúng chứa các module xử lý mã hóa SEP, cho phép
người sử dụng dễ dàng tăng dung lượng và số lượng gói tin truyền tải. Dòng sản
phẩm có các model thích hợp cho các mô hình doanh nghiệp từ nhỏ đến lớn (từ100
cho đến 10.000 điểm kết nối từ xa truy cập cùng lúc).
Hình 1. 2: Bộ xử lý trung tâm VPN số hiệu
3000 của hãng Cisco
Router dùng cho VPN
Thiết bị này cung cấp các tính năng truyền dẫn, bảo mật. Dựa trên hệ điều
hành Internet IOS của mình, hãng Cisco phát triển loại router thích hợp cho mọi
trường hợp, từ truy cập nhà-tới-văn phòng cho đến nhu cầu của các doanh nghiệp
quy mô lớn.
Tường lửa PIX của Cisco
12
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
13
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
1.3. Các giải pháp tích hợp VPN trong công nghệ
1.3.1 Giải pháp tích hợp VPN trong cùng nhóm công nghệ
Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng
trên nền Internet. Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một
lớp header (tiêu đề) chứa thông tin định tuyến có thể truyền qua hệ thống mạng
trung gian theo những "đường ống" riêng (tunnel).
Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển đến
các máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối Tunnel, máy khách
và máy chủ phải sử dụng chung một giao thức (tunnel protocol).
Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết.
Hai điểm đầu cuối này được gọi là giao diện Tunnel (tunnel interface), nơi gói tin
đi vào và đi ra trong mạng.
Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:
- Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng
có thông tin đang đi qua.
- Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như GRE,
IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc.
- Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được
truyền đi (như IPX, NetBeui, IP).
Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trên Internet
(như NetBeui) bên trong một gói IP và gửi nó an toàn qua Internet. Hoặc, họ có thể đặt
một gói tin dùng địa chỉ IP riêng (không định tuyến) bên trong một gói khác dùng địa
chỉ IP chung (định tuyến) để mở rộng một mạng riêng trên Internet.
Kỹ thuật Tunneling trong mạng VPN điểm-nối điểm
Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing
Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger Protocol)
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
Tunneling cho mạng VPN điểm-nối-điểm và VPN truy cập từ xa. Trên thực tế,
L2TP có thể tạo ra một tunnel giữa máy khách và router, NAS và router, router và
router. So với PPTP thì L2TP có nhiều đặc tính mạnh và an toàn hơn.
1.3.2 Giải pháp tích hợp VPN không cùng nhóm công nghệ
IPSec VPN
Các mạng VPN tuyền thống sử dụng 3 chức năng bảo mật như: tạo đường
hầm (Tunneling), mã hóa dữ liệu (Encryption) và chứng thực (Authentication).
Hạn chế đầu tiên và cũng là dễ nhận thấy nhất ở IPSec đó là làm giảm hiệu năng
của mạng. Khi xét đường đi giữa hai máy tính A và B ở hai chi nhánh khác nhau.
Khi A gởi gói tin cho B, gói tin sẽ được gởi đến VPN Server ở chi nhánh A, VPN
Server này sẽ kiểm tra gói tin xem liệu nó có cần thiết để chuyển đến VPN Server
bên kia không. Trong một môi trường mạng không có VPN thì gói tin sẽ được
truyền ngay qua VPN Server bên kia. Tuy nhiên, với giao thức IPSec, đầu tiên, gói
tin phải được mã hóa, sau đó đóng gói vào các gói IP, hoạt động này tiêu tốn thời
gian và gây trễ cho gói tin. Khi gói tin đến được VPN Server bên kia, nó lại phải
được mở gói và giải mã, sau đó mới được chuyển đến máy B bằng gói IP, điều này
một lần nữa lại làm tăng thêm độ trễ của mạng. Để cải thiện điều này, nhiều thiết
bị phần cứng có tốc độ xử lý gói tin rất lớn được ra đời nhưng lại tỉ lệ thuận với giá
thành, điều này làm cho chi phí triển khai IPSec VPN rất lớn.
Lại nói về chi phí, một điểm chúng ta cần cân nhắc khi triển khai các mạng
VPN đó là các VPN Server – Customer Premise Equipment (CPE). Mỗi một CPE
phải đóng vai trò như là một Router và có khả năng hỗ trợ Tunneling. Những CPE
với chức năng này có giá thành rất cao, điều này lần nữa làm nổi bật yêu cầu chi
phí khi xây dựng mạng IPSec VPN. Để khắc phục điều này, cách duy nhất là tải
các phần mềm IPSec Client vào tất cả các PC, cách này giảm thiểu được chi phí
nhưng ngược lại đòi hỏi sự hỗ trợ người dùng, khó khăn trong quản lý mạng và
hiệu năng thì không cao.
Khai thác và bảo dưỡng cũng là một vấn đề nữa của các mạng IPSec VPN vì
phí quá cao cho các thiết bị CPE.
Việc tạo một mạng đầy đủ (full mesh) VPN, hay sâu hơn là khả khả năng mở
rộng của mạng MPLS VPN hoàn toàn đơn giản vì các MPLS VPN không sử dụng
cơ chế tạo đường hầm. Vì vậy, cấu hình mặc định cho các mạng MPLS VPN là full
17
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
mesh, chỉ cần một kết nối duy nhất cho mỗi remote site. trong đó các site được nối
trực tiếp với PE vì vậy các site bất kỳ có thể trao đổi thông tin với nhau trong
VPN. Và thậm chí, nếu site trung tâm gặp trục trặc, các site khác vẫn có thể liên
lạc với nhau.
Hoạt động khai thác và bảo dưỡng cũng đơn giản hơn trong mạng MPLS-
VPN. Hoạt động này chỉ cần thực hiện tại các thiết bị bên trong mạng core mà
không cần phải tiếp xúc đến các CPE. Một khi một site đã được cấu hình xong, ta
không cần đụng chạm đến nó nữa cho dù nếu muốn thêm một site mới vào mạng vì
những thay đổi về cấu hình lúc này chỉ cần thực hiện tại PE mà nó nối tới.
Vấn đề bảo mật thậm chí còn đơn giản hơn nhiều khi triển khai trong các
mạng MPLS VPN vì một VPN hoàn toàn dựa trên mạng CORE của ISP khép kín
bản thân nó đã đạt được sự an toàn thông tin do không có kết nối với mạng Internet
công cộng. Nếu có nhu cầu truy nhập Internet, một tuyến sẽ được thiết lập để cung
cấp khả năng truy nhập. Lúc này, một firewall sẽ được sử dụng trên tuyến này để
đảm bảo một kết nối bảo mật cho toàn bộ mạng VPN. Cơ chế hoạt động này rõ
ràng dễ dàng hơn nhiều cho hoạt động quản lý mạng vì chỉ cần duy trì các chính
sách bảo mật cho một firewall duy nhất mà vẫn đảm bảo an toàn cho toàn bộ VPN.
18
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
CHƢƠNG II: GIẢI PHÁP TÍCH HỢP MẠNG RIÊNG ẢO MPLS-VPN và
nghệ có khả năng kết hợp những đặc điểm tốt của chuyển mạch kênh ATM và
chuyển mạch gói IP .
Công nghệ MPLS (Multiprotocol Label Switching) ra đời trong bối cảnh này
đáp ứng được nhu cầu của thị trường đúng theo tiêu chí phát triển của Internet đã
mang lại những lợi ích thiết thực, đánh dấu một bước phát triển mới của mạng
Internet trước xu thế tích hợp công nghệ thông tin và viễn thông (ICT -
Information Communication Technology) trong thời kỳ mới.
2) MPLS và mô hình tham chiếu OSI
MPLS được xem như là một công nghệ lớp đệm (shim layer), nó nằm trên lớp
2 nhưng dưới lớp 3, vì vậy đôi khi người ta còn gọi nó là lớp 2,5.
Nguyên lý của MPLS được thể hiện ở hình 1.2. Tất cả các gói IP sẽ được gắn
nhãn (label) và chuyển tiếp theo một đường dẫn LSP (Label Switched Path). Các bộ
định tuyến (router) trên đường dẫn chỉ căn cứ vào nội dung của nhãn để thực hiện
quyết định chuyển tiếp gói mà không cần phải kiểm tra phần đầu (header) của IP.
3) Các khái niệm trong MPLS
• LDP (Label Distribution Protocol): Giao thức phân bố nhãn.
• LSP (Label Switched Path): Đường dẫn chuyển mạch nhãn.
• FEC (Forwarding Equivalence Class): Lớp chuyển tiếp tương đương.
• LSR (Label Switching Router) Bộ định tuyến chuyển mạch nhãn.
• LER (Label Edge Router): Bộ định tuyến nhãn biên.
• NHLFE (Next Hop Label Forwarding Entry): Mục chuyển tiếp chặng tiếp theo.
• FTN (FEC to NHLFE): Aùnh xạ FEC sang NHLFE.
• LIB (Label Information Base): Cơ sở thông tin nhãn.
Miền MPLS (MPLS Domain)
Miền MPLS được chia thành hai phần: phần mạng lõi (core) và phần mạng
biên (edge). Các nút thuộc miền MPLS được gọi là bộ định tuyến (router) chuyển
mạch nhãn LSR (Label Switch Router). Các nút ở phần mạng lõi được gọi là LSR
chuyển tiếp (transit-LSR) hay LSR lõi (core-LSR) (thường được gọi tắt là LSR).
Các nút ở biên được gọi là bộ định tuyến nhãn biên LER (Label Edge Router). Nếu
Chuyển gói qua miền MPLS
Hình dưới đây là một ví dụ đơn giản minh hoạ quá trình truyền gói IP đi qua
miền MPLS. Gói tin IP khi đi từ ngoài mạng vào trong miền MPLS được bộ định
21
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
tuyến (router) A đóng vai trò là một LER ngõ vào sẽ gán nhãn có giá trị là 6 cho
gói IP rồi chuyển tiếp đến bộ định tuyến B. Bộ định tuyến B dựa vào bảng hoán
đổi nhãn để kiểm tra nhãn của gói tin. Nó thay giá trị nhãn mới là 3 và chuyển tiếp
đến router C. Tại C, việc kiểm tra cũng tương tự như ở B và sẽ hoán đổi nhãn, gán
cho gói tin một nhãn mới là 9 và tiếp tục được đưa đến bộ định tuyến D.
Bộ định tuyến D đóng vai trò LER ngõ ra sẽ kiểm tra trong bảng hoán đổi nhãn và
gỡ bỏ nhãn 9 ra khỏi gói tin rồi định tuyến gói IP một cách bình thường đi ra khỏi
miền MPLS. Với kiểu làm việc này thì các LSR trung gian như bộ định tuyến B và
C sẽ không phải thực hiện kiểm tra toàn bộ phần đầu (header) IP của gói tin mà nó
chỉ việc kiểm tra các giá trị của nhãn, so sánh trong bảng và chuyển tiếp. Vì vậy
tốc độ xử lý trong miền MPLS sẽ nhanh hơn nhiều so với định tuyến IP truyền
thống. Đường đi từ bộ định tuyến A đến bộ định tuyến D được gọi là đường
chuyển mạch nhãn LSP (Label Switched Path).
Cấu trúc MPLS
Cấu trúc của một nút MPLS bao gồm 2 mặt thành phần:thành phần chuyển tiếp
(hay còn được gọi là mặt phẳng dữ liệu) và thành phần điều khiển (còn được gọi là
mặt phẳng điều khiển). Thành phần chuyển tiếp sử dụng một cơ sở dữ liệu chuyển
tiếp nhãn để chuyển tiếp dữ liệu dựa trên các nhãn đi kèm với gói tin. Thành phần
điều khiển chịu trách nhiệm tạo và duy trì các thông tin chuyển tiếp nhãn (còn
được gọi là bindings ) giữa nhóm các chuyển mạch nhãn với nhau. Tất cả các nút
MPLS phải chạy một hoặc nhiều giao thức định tuyến IP (hoặc dựa trên định tuyến
tĩnh) để có thể trao đổi thông tin định tuyến với các nút MPLS khác trên mạng.
Theo đó, mỗi một nút MPLS (bao gồm cả chuyển mạch ATM) là một router trên
trước gói và truyền đi trên đường kết nối dữliệu.
o Egress LSR – LSR ra nhận các gói được gán nhãn, tách nhãn và truyền
chúng trên đường kết nối dữliệu. LSR ra và LSR vào là các LSR biên.
o LSR trung gian (intermediate LSR) – các LSR trung gian này sẽ nhận các
gói có nhãn tới, thực hiện các thao tác trên nó, chuyển mạch gói và truyền gói đến
đường kết nối dữ liệu đúng.
Bảng sau mô tảcác hoạt động của nhãn:
LSR phải có khảnăng lấy ra một hoặc nhiều nhãn (tách một hoặc nhiều nhãn
từphía trên của ngăn xếp nhãn) trước khi chuyển mạch gói ra ngoài. Một LSR cũng
phải có khảnăng gắn một hoặc nhiều nhãn vào gói nhận được. Nếu gói nhận được
đã có sẵn nhãn, LSR đẩy một hoặc một vài nhãn lên trên ngăn xếp nhãn và chuyển
mạch gói ra ngoài. Nếu gói chưa có nhãn, LSR tạo một ngăn xếp nhãn và gán nhãn
lên gói. Một LSR phải có khảnăng trao đổi nhãn. Nó có ý nghĩa rất đơn giản khi nó
nhận được gói đã gán nhãn, nhãn trên cùng của ngăn xếp nhãn được trao đổi với
nhãn mới và gói được chuyển mạch trên đường kết nối dữliệu ra. LSR mà gắn
nhãn lên trên gói đầu tiên được gọi là LSR imposing (gắn) bởi vì nó là LSR đầu
tiên đặt nhãn lên trên gói. Đây là một việc bắt buộc đối với một LSR vào. Một
24
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
LSR mà tách tất cảcác nhãn từgói có dán nhãn trước khi chuyển mạch gói là một
LSR Disposing (tách) hay là một LSR ra.
Trong MPLS VPN, các LSR ra và vào được biết đến nhưmột bộ định tuyến
cung cấp biên (PE). LSR trung gian được biết đến nhưlà bộ định tuyến của nhà
cung cấp. Bộ định tuyến PE và P trởlên phổbiến đến nỗi nó thường xuyên được
sửdụng khi mạng MPLS không chạy MPLS VPN.
LER (label edge Router)
Bộ định tuyến nhãn ởbiên mạng (LER) là thiết bịhoạt động ởranh giới giữa
Hình 2.2: LSP nested (ghép)
2.1.2 Ứng dụng VPN trên mạng MPLS
- Giới thiệu về MPLS trong VPN
MPLS là một công nghệ kết hợp đặc điểm tốt nhất giữa định tuyến lớp ba
và chuyển mạch lớp hai cho phép chuyển tải các gói rất nhanh trong mạng lõi
(core) và định tuyến tốt mạng biên (edge) bằng cách dựa vào nhãn (label).
MPLS là một phương pháp cải tiến việc chuyển tiếp gói trên mạng bằng cách
gắn nhãn vào mỗi gói IP, tế bào ATM, hoặc frame lớp hai. Phương pháp
chuyển mạch nhãn giúp các Router và các bộ chuyển mạch MPLS-enable
ATM quyết định theo nội dung nhãn tốt hơn việc định tuyến phức tạp theo địa
chỉIP đích. MPLS cho phép các ISP cung cấp nhiều dịch vụkhác nhau mà
không cần phải bỏ đi cơ sở hạ tầng sẵn có. Cấu trúc MPLS có tính mềm dẻo
trong bất kỳ sự phối hợp với công nghệ lớp hai nào.
MPLS hỗ trợ mọi giao thức lớp hai, triển khai hiệu quả các dịch vụ IP trên
một mạng chuyển mạch IP. MPLS hỗ trợ việc tạo ra các tuyến khác nhau
giữa nguồn và đích trên một đường trục Internet. Bằng việc tích hợp MPLS
vào kiến trúc mạng, các ISP có thểgiảm chi phí, tăng lợi nhuận, cung cấp
Copyright: Tài liệu đại học ©