--1
LỜI CAM ĐOAN
Tôi cam đoan đây là luận văn nghiên cứu của tôi.
Các số liệu, kết quả nêu trong luận văn là trung thực và chƣa từng đƣợc công bố
trong bất kỳ Luận văn khoa học nào khác. Các số liệu đƣợc chú thích, trích dẫn tham
khảo từ bài báo, tài liệu gốc cụ thể.
Ngƣời viết cam đoan
Phan Thanh Hà
--2
MỤC LỤC
LỜI CAM ĐOAN ............................................................................................................ 1
MỤC LỤC ....................................................................................................................... 2
DANH SÁCH TỪ VIẾT TẮT ........................................................................................ 4
DANH MỤC HÌNH VẼ VÀ ĐỒ THỊ ............................................................................. 7
MỞ ĐẦU ......................................................................................................................... 9
CHƢƠNG 1 - CÔNG NGHỆ MẠNG RIÊNG ẢO VÀ CÔNG NGHỆ MPLS VPN
TRÊN NỀN MẠNG NGN............................................................................................. 10
1.1 Công nghệ mạng riêng ảo ............................................................................. 10
1.1.1. Các định nghĩa, khái niệm .................................................................... 10
1.1.2. Sơ đồ mạng riêng ảo ............................................................................. 11
1.1.3. Đƣờng hầm ........................................................................................... 12
1.1.4. Mô hình VPN chuẩn ............................................................................. 14
1.2. Công nghệ MPLS trên nền mạng NGN ...................................................... 15
3.1. Bảo mật IPSEC trên MPLS VPN ................................................................ 73
3.1.1. Khái niệm về IPsec ............................................................................... 73
3.1.2. Hoạt động của IPSec ............................................................................ 74
3.1.3. Các phƣơng thức bảo mật trong IPSec ................................................. 76
3.1.4. Đƣờng ngầm IPSec ............................................................................... 77
3.2. Mô phỏng đƣờng hầm IPsec ........................................................................ 78
3.2.1. Mô hình mô phỏng ............................................................................... 78
3.2.2. Các bƣớc cấu hình ................................................................................ 79
3.2.3. Phân tích mô hình mô phỏng dựa trên các bƣớc cấu hình ................... 81
3.2.4. Phân tích dựa trên hoạt động của mô hình ........................................... 81
3.3. Kết luận ....................................................................................................... 83
KẾT LUẬN ................................................................................................................... 85
TÀI LIỆU THAM KHẢO ............................................................................................. 86
--4
DANH SÁCH TỪ VIẾT TẮT
STT
Từ viết tắt
Tên tiếng Anh
1
ACL
Access Control List
7
COS
Class Of Service
8
CsC
Carrier’s Carrier
9
DoS
Denial of Service
10
EIGRP
Enhanced Interior Gateway Routing Protocol
11
ESP
Encapsuling Security Payload
17
IGP
Interior Gateway Protocol
18
IOS
Internetwork Operating System
--5
STT
Từ viết tắt
Tên tiếng Anh
19
IP
Internet Protocol
20
IPsec
Label Forwarding Information Base
26
LIB
Label Information Bas
27
LSP
Label Switching Path
28
LSR
Label Switching Router
29
MD5
Message-Digest algorithm 5
30
MPLS
Protocol identifier
36
PING
Packet InterNet Groper
37
QoS
Quality of Service
--6
STT
Từ viết tắt
Tên tiếng Anh
38
RD
Route Distinguisher
44
Seg
Sequence Number
45
SP
Service Provider
46
SPI
Security Parameter Index
47
TCP
Transmission Control Protocol
48
TDP
Tag Distribution Protocol
Hình 1-3: Sử dụng chồng nhãn để ghép đƣờng hầm ..................................................... 13
Hình 1-4: Cấu trúc Hub and Spoke ............................................................................... 14
Hình 1-5: Cấu trúc Full mesh ........................................................................................ 15
Hình 1-6: Dùng RD để phân biệt cácVPN .................................................................... 16
Hình 1-7: Cấu trúc khung VPN-IPv4. ........................................................................... 17
Hình 1-8: Cấu trúc RT khi trƣờng Type = 0.................................................................. 19
Hình 1-9: Cấu trúc RT khi trƣờng Type = 1.................................................................. 19
Hình 1-10: Mô hình Carrier’sCarrier. ........................................................................... 23
Hình 1-11: Cấu trúc mạng VPN VR.............................................................................. 29
Hình 2-1: Ba thành phần chính của hệ thống bảo mật mạng ........................................ 32
Hình 2-2: Mô hình tham chiếu bảo mật cơ bản ............................................................. 33
Hình 2-3: Mô hình tham chiếu bảo mật với Extranet .................................................... 34
Hình 2-4: Mô hình tham chiếu bảo mật với Internet ..................................................... 34
Hình 2-5: Mô hình tham chiếu bảo mật giữa nhiều nhà cung cấp ................................ 35
Hình 2-6: Hiểm họa đối với một VPN .......................................................................... 35
Hình 2-7: Các điểm có thể đột nhập vào VPN .............................................................. 36
Hình 2-8: Các điểm có khả năng bị tấn công DoS của một VPN ................................. 37
Hình 2-9: Cấu trúc của địa chỉ VPN-IPv4 ..................................................................... 43
Hình 2-10: Không gian địa chỉ trong mạng MPLS VPN .............................................. 44
Hình 2-11: Sự bao gói trên mạng lõi ............................................................................. 46
Hình 2-12: Không gian địa chỉ có thể nhìn thấy từ VPN .............................................. 47
Hình 2-13: Địa chỉ PE-CE ............................................................................................. 49
Hình 2-14: Mạng CsC ................................................................................................... 51
Hình 2-15: CsC - Phân cấp VPN ................................................................................... 53
Hình 2-16: Mô hình mô phỏng VPN sử dụng công nghệ MPLS .................................. 56
Hình 2-18: Các điểm bắt gói tin trên đƣờng truyền ...................................................... 67
--8
nền mạng riêng ảo VPN (Virtual Private Network) ngày càng cao trong khi nguy cơ bị
tấn công mạng ngày một gia tăng về số lƣợng cũng nhƣ cấp độ nguy hiểm, vấn đề bảo
mật của dịch vụ VPN trở nên cấp thiết và đƣợc cả nhà cung cấp dịch vụ và khách hàng
sử dụng quan tâm.
Luận văn này nghiên cứu về bảo mật của mạng riêng ảo VPN/MPLS trên nền
mạng NGN, nội dung chia làm 4 chƣơng.
Chƣơng 1. Giới thiệu tổng quan về công nghệ mạng riêng ảo; giới thiệu về
VPN/MPLS trong mạng NGN
Chƣơng 2. Mô tả các khái niệm, phân tích, đánh giá vấn đề bảo mật trong
mạng riêng ảo VPN/MPLS.Thực hiện mô phỏng bảo mật trong MPLS VPN và phân
tích, đánh giá kết quả
Chƣơng 3. Mô tả, mô phỏng phân tích, đánh gia bảo mật dựa trên công nghệ IP
Sec.
Tác giả gửi lời cảm ơn sâu sắc tới PGS.TS. Vƣơng Đạo Vy đã hƣớng dẫn và
giúp đỡ tôi nghiên cứu khoa học trong suốt quá trình thực hiện luận văn, đồng thời xin
gửi lời cảm ơn tới các thầy, cô trong khoa Điện Tử - Viễn Thông Đại học Công Nghệ Đại học Quốc Gia Hà Nội đã cung cấp cho tôi những kiến thức quý báu trong thời gian
học tập, nghiên cứu tại trƣờng.
--10
CHƢƠNG 1 - CÔNG NGHỆ MẠNG RIÊNG ẢO VÀ CÔNG NGHỆ
MPLS VPN TRÊN NỀN MẠNG NGN
1.1. Công nghệ mạng riêng ảo
1.1.1. Các định nghĩa, khái niệm
Định nghĩa mạng:
Mạng máy tính là sự kết nối của máy tính với các hệ thống truyền thông nhằm
khai thác tài nguyên chung từ những vị trí địa lý khác nhau.
Mạng máy tính tạo ra môi trƣờng làm việc với nhiều ngƣời sử dụng phân tán,
cho phép nâng cao hiệu quả khai thác tài nguyên chung lên rất nhiều so với khi từng
Trong VPN, mạng ở những địa điểm khác nhau đƣợc liên kết với nhau. Ngƣời
ta gọi mỗi mạng riêng biệt ấy là điểm (site).Trƣớc đây, các điểm (site) khách hàng
đƣợc kết nối với nhau thông qua kênh riêng (leased line) thuê của nhà cung cấp sử
dụng công nghệ ATM hoặc Frame ReLay.
Hiện nay các nhà cung cấp dịch vụ thƣờng sử dụng cấu trúc mạng IP hoặc
IP/MPLS. Do đó họ cung cấp dịch vụ VPN sử dụng cơ sở hạ tầng IP có sẵn của nhà
cung cấp. Chúng ta gọi đó là IP VPN. Các IP VPN có thể tạo ra bằng cách tạo ra
đƣờng hầm dữ liệu nhƣ IPsec hoặc L2TP để kết nối các điểm (site) khách hàng. Có
nhiều công nghệ mới cho phép nhà cung cấp thiết kế nhiều dịch vụ VPN khác nhau
trên nền mạng IP/MPLS của họ.
1.1.2. Sơ đồ mạng riêng ảo
Hình 1-1: Cấu trúc mạng riêng ảo
Mạng của nhà cung cấp (Provider Network): đó là mạng đƣờng trục (có thể là
mạng IP hoặc ATM/Frame Relay ..) đặt dƣới sự quản lý và điều hành của một nhà
cung cấp dịch vụ nào đó.
Điểm khách hàng (customer site): là một tập các mạng (LAN) và là một phần của
mạng khách hàng. Các điểm khách hàng này đƣợc kết nối với nhau tạo thành VPN.
Một điểm khách hàng đƣợc kết nối với mạng backbone thông qua liên kết CE-PE.
CE (Customer Edge): Là thiết bị của khách hàng trƣớc khi nối với mạng của nhà
cung cấp, cho phép mạng của khách hàng liên kết với mạng nhà cung cấp qua một
vài router PE. Thiết bị CE có thể là một host hoặc một router.
PE (Provider Edge): CE kết nối với mạng của nhà cung cấp thông qua thiết bị biên
mạng nhà cung cấp viết tắt là PE. Thiết bị PE thƣờng là các router và nó hỗ trợ,
--12
duy trì cơ sở dữ liệu định tuyến của mỗi VPN. Cơ sở dữ liệu định tuyến này bao
gồm các thông tin về cấu hình mạng của mỗi VPN
đƣợc thêm vào phần dữ liệu rồi gửi đi từ đầu phát của đƣờng hầm. Dữ liệu này đƣợc
gửi ngay tới các nút kế tiếp trên đƣờng đi dựa trên thông tin trong mào đầu mà không
cần mở gói xem nội dung bên trong.
--13
Hình 1-2 là một ví dụ, dữ liệu gửi đi từ A đến B bằng cách tạo ra đƣờng hầm từ
X đến Z. Thực hiện việc này ngƣời ta gán thêm một mào đầu lên gói dữ liệu tại X.
Mào đầu này nói rằng chuyển gói tin đến Z. Các nút mạng tiếp theo nhìn vào mào đầu
và biết cần chuyển gói tin đến Z mà không cần bóc gói tin ra xem nội dung bên trong.
Đến điểm cuối của đƣờng hầm (điểm Z) mào đầu đó đƣợc gỡ ra và định tuyến bình
thƣờng tới B. Nói cách khác mào đầu của đƣờng nhƣ là biển chỉ dẫn, chỉ cần nhìn vào
đó các P biết ngay cần chuyển gói tin đi theo hƣớng nào không cần phải mất thời gian
kiểm tra địa chỉ đích và nguồn.
Hình 1-2: Tạo đƣờng hầm
Nhƣ vậy tạo đƣờng hầm dữ liệu có nghĩa là các router lõi không cần quan tâm
đến dữ liệu trong gói là của VPN hay không mà nó chỉ cần có chức năng chuyển dữ
liệu đi trong đƣờng hầm. Điều này rất quan trọng bởi nó giảm đƣợc tài nguyên VPN sử
dụng và số lƣợng cấu hình yêu cầu để tạo ra VPN.
Thêm vào đó sử dụng đƣờng hầm để chuyển dữ liệu giữa hai điểm VPN có thể
duy trì đƣợc tính riêng tƣ của dữ liệu, tránh việc lẫn lộn thông tin giữa các VPN khác
nhau, đồng thời bảo vệ thông tin của VPN không bị rò rỉ vào trong mạng của SP hoặc
mạng toàn cầu.
Hình 1-3: Sử dụng chồng nhãn để ghép đƣờng hầm
--14
--15
Full mesh:
Nếu các điểm khách hàng có mức độ quan trọng như nhau cùng cần trao đổi
thông tin với nhau thì nên cấu hình mạng dạng lưới (full mesh). Ở loại cấu hình này tất
cả các điểm đều là các hop đơn cho nên mỗi điểm sẽ nối trực tiếp với nhau. Dạng full
mesh đƣợc tối ƣu hóa cho lƣu lƣợng ngang hàng giữa các điểm.
Tuy nhiên cấu trúc này cũng có nhƣợc điểm là khi số lƣợng hop tăng lên thì số
lƣợng đƣờng kết nối giữa các điểm cũng tăng theo hàm bậc hai. Điều này làm cho việc
quản lý mạng trở nên rất phức tạp.
Hình 1-5: Cấu trúc Full mesh
Một VPN lớn, với rất nhiều điểm ở các vùng địa lí cách xa nhau có thể sử dụng
dạng cấu trúc kết hợp cả 2 loại trên. Tức là các mạng riêng nhỏ có thể nối với một
mạng trung tâm theo cấu hình Hub-Spoke, sau đó các mạng trung tâm lại kết nối với
nhau theo cấu hình full mesh.
1.2. Công nghệ MPLS trên nền mạng NGN
1.2.1. RFC 2547
Giới thiệu:
RFC 2547 là một phƣơng thức cho phép nhà cung cấp dịch vụ dùng mạng
đƣờng trục IP của họ để cung cấp dịch vụ VPN cho khách hàng. RFC2547 thƣờng
đƣợc biết đến với cái tên BGP/MPLS VPN bởi vì nó sử dụng giao thức BGP để phân
phối thông tin định tuyến VPN xuyên qua mạng đƣờng trục của nhà cung cấp dịch vụ
và sử dụng MPLS để chuyển lƣu lƣợng VPN từ điểm này tới điểm khác.
Một số tiêu chí của BGP/MPLS VPN:
Làm cho dịch vụ trở nên dễ sử dụng ngay cả đối với những khách hàng
có ít kinh nghiệm về định tuyến IP.
Làm cho dịch vụ có tính khả triển và mềm dẻo để làm cho việc triển khai
cùng một dải địa chỉ mạng.
Hình 1-6: Dùng RD để phân biệt cácVPN
Địa chỉ VPN-IPv4 gồm có 12 byte trong đó có 8 byte RD và 4 byte địa chỉ
IPv4. Sau đây là cấu trúc địa chỉ VPN-IPv4.
--17
Hình 1-7: Cấu trúc khung VPN-IPv4.
8 byte RD đƣợc chia thành 2 byte trƣờng kiểu và 6 byte trƣờng giá trị. Trƣờng
kiểu để xác định độ dài của hai trƣờng phụ của trƣờng giá trị và ý nghĩa của
Administrator subfield. Hiện nay chỉ định nghĩa hai giá trị cho trƣờng kiểu là 0 và 1.
Khi giá trị trƣờng Type = 0, Administrator subfield bao gồm 2 byte và
Assigned Number Subfield bao gồm 4 byte. Trƣờng Administrator subfield
phải là số hệ thống tự trị (ASN). Tuy nhiên tuyệt đối không nên sử dụng
ASN từ không gian private ASN, chỉ nên sử dụng public ASN do tổ chức
IANA (Internet Assigned Numbers Association) phân phối. Assigned
Number Subfield là một giá trị lấy từ không gian đánh số do nhà cung cấp
dịch vụ VPN (đƣợc IANA cung cấp cho ASN) điều hành.
Khi giá trị trƣờng Type = 1, Administrator subfield bao gồm 4 byte và
Assigned Number Subfield bao gồm 2 byte. Administrator subfield phải bao
gồm địa chỉ IP. Assigned Number Subfield phải là một giá trị lấy từ không
gian đánh số do nhà cung cấp dịch vụ VPN đƣợc IANA cung cấp cho ASN)
điều hành.
Lƣu ý rằng, RD chỉ đƣợc dùng để làm cho địa chỉ IPv4 thành duy nhất. Không
có mối liên hệ trực tiếp nào giữa trƣờng RD và VPN hay nguồn gốc của một tuyến
đƣờng. RD đƣợc cấu hình tại VRF trong router PE. Khi cấu hình RD trên router PE,
RFC 2547 không đòi hỏi tất cả các router trong một VPN đều phải có cùng RD, và sự
thật là mỗi VRF có thể dùng riêng RD của nó. Dù thế nhà cung cấp dịch vụ phải đảm
triển khai BGP/MPLS và hỗ trợ phân phối các tuyến đƣờng VPN-IPv4, router PE nhất
thiết phải hỗ trợ MP-BGP.
Route Target (RT):
Mỗi tuyến khách hàng phân phối qua MP-BGP tới PE ở đầu kia tuyến đƣợc
VRF xếp cho một hay nhiều thuộc tính đích tuyến đƣờng RT. Ngƣời ta cấu hình VRF
để chỉ chấp nhận những tuyến đƣờng có RT xác định. Cách xuất nhập RT nhƣ sau:
PE xuất những bản tin cập nhật định tuyến.
Chỉ những PE có thẩm quyền trên những tuyến đƣờng với RT nhất định mới
nhập bản tin này vào trong bảng định.
RT đƣợc chuyển đi trên thuộc tính đƣờng nhóm mở rộng (Extended
Communities Path Attribute) của bản tin cập nhật BGP. Thuộc tính này đƣợc định
nghĩa trong BGP Extended Communities Attributes (IETF-5), sử dụng mã kiểu 16. Đó
là một thuộc tính có thể lựa chọn đƣợc. Thuộc tính bao gồm một tập các kết nối mở
rộng. Mỗi kết nối mở rộng là một trƣờng giá trị 8 octet đƣợc mã hóa, tƣơng tự nhƣ mã
hóa RD. 8 byte này đƣợc chia thành 2 trƣờng: trường Kiểu (Type field) - 2 byte và
--19
trường Giá trị (Value field) - 6 byte. Cũng giống nhƣ RD, RT cũng có 2 kiểu mã hóa
tùy thuộc vào giá trị của trƣờng Kiểu mà trƣờng Giá trị sẽ phân chia trƣờng phụ nhƣ
thế nào:
Trường Type = 0
Trường Value: 2 byte đầu là ASN, 4 byte còn lại là số do tổ chức đƣợc
IANA cấp cho ASN phân phố.
Hình 1-8: Cấu trúc RT khi trƣờng Type = 0
Trường Type = 1
Trường Value: 4 byte đầu là địa chỉ IPv4 do IANA cấp, 2 byte tiếp theo
là số do tổ chức đƣợc IANA cấp cho địa chỉ IP phân phối.
tới tất cả các iBGP ngang hàng. Để tăng độ tin cậy của hệ thống, hai RR nên tách biệt
về mặt vật lý và kết nối logic giữa RR client và RR nên đi trên những liên kết vật lý
khác nhau. Nếu cả hai RR trong một mạng con lại chỉ có thể đến đƣợc thông qua một
liên kết vật lý thì không có ý nghĩa gì cả. Bởi vì nếu liên kết này hỏng thì chúng ta sẽ
mất liên lạc với cả 2 RR. RR có thể là một router bất kì trong mạng miễn là có khả
năng kiểm soát số lƣợng lớn phiên làm việc theo yêu cầu. Nó cũng có thể là một PE
nếu có đủ khả năng xử lí trên router. Khái niệm này chỉ có thể áp dụng đƣợc nếu các
iBGP ngang hàng ở trong cùng một AS. Nếu các điểm ngang hàng không ở trong cùng
một AS thì RR nhất thiết phải duy trì phiên eBGP với RR trong AS khác và trao đổi
thông tin nhãn qua eBGP.
Thông thƣờng phải có ít nhất một RR thứ hai làm dự phòng cho mỗi điểm RR
để đề phòng hỏng hóc. Ngƣời ta cũng có thể dùng RR phân cấp để nâng cao hiệu suất
và tính khả triển. Cũng có thể cấu hình RR cho từng nhóm VPN nhất định, kiểu sử
dụng này cũng nâng cao tính khả triển. Nếu dùng cấu trúc này thì không cần thiết có
RR trung tâm để quản lý tất cả router của VPN. Muốn thực hiện mô hình này cần có
thêm bộ lọc định tuyến biên ngoài (outbound route filter-ORF) trong RR client, vì thế
một RR nhất định chỉ nhận đƣợc thông tin định tuyến của một nhóm nhỏ VPN trong
mạng của nhà cung cấp dịch vụ. ORF đƣợc cấu hình trên các RR và đƣợc đƣa vào các
RR client. RR gửi ra ngoài bản tin Refresh BGP tới các client của nó.
Nếu router PE nằm khác vùng AS thì các nhãn đƣợc phân phối bởi eBGP, và
việc này diễn ra chỉ tại các điểm trao đổi riêng mà không phải ở các điểm trao đổi
Internet công cộng để tránh bị làm giả và đảm bảo mức an toàn cao nhất giữa các VPN
khác nhau. Dải nhãn đƣợc các eBGP ngang hàng thông báo cần đƣợc quản lý chặt chẽ
--21
và lọc tại các router biên của hệ thống tự trị (AS border router - ASBR ) để ngăn chặn
những lỗ hổng an ninh.
Dù vậy, khi sử dụng BGP Route Reflector số lƣợng tuyến đƣờng cần duy trì có
lý một số hoặc tất cả các CE thì đây là giao thức lựa chọn hàng đầu.
OSPF: Đây có thể là sự lựa chọn tốt nhất nếu ngƣời sử dụng VPN cũng
đang chạy OSPF trong IGP. Bởi vì mỗi VRF sẽ chạy riêng một giao thức
--22
OSPF nên sẽ có vấn đề lớn về mặt tài nguyên thiết bị mạng khi mà số lƣợng
VPN hoặc số lƣợng site tăng lên. Tuy vậy sử dụng giao thức này có thể gây
ra vấn đề mất cấu hình từ phía nhà cung cấp. Có nhiều cách vẫn sử dụng
giao thức OSPF để trao đổi thông tin giữa CE và PE mà vẫn đảm bảo sự kết
hợp không ranh giới của kiến trúc OSPF bên trong BGP/MPLS VPN. Vấn
đề chính là ánh xạ OSPF LSA vào trong thuộc tính đƣờng trục MP – MPLS
và chuyển LSA trong suốt xuyên qua mạng của SP tới PE khác. Mục đích là
coi mạng của nhà cung cấp là một miền 0. Có 2 cách:
Coi mỗi liên kết PE-CE là một miền 0.
Coi đƣờng trục MPLS là một miền 0 và miền khách hàng nối trực
tiếp vào PE.
Cả hai trƣờng hợp MP-iBGP đều phải sử dụng những thuộc tính đặc biệt để
mang OSPF qua mạng đƣờng trục và chuyển nó cho tất cả các PE khác mà nối với các
site trong miền OSPF. Thông tin này đƣợc mạng trong thuộc tính nhóm mở rộng trong
bản tin cập nhật BGP.
EIGRP: Đây là giao thức độc quyền của Cisco. Và EIGRP sẽ là sự lựa chọn
tối ƣu nhất nếu cả phía nhà cung cấp và mạng khách hàng đang sử dụng
thiết bị của Cisco và có kiến thức về giao thức này. Đây cũng chính là
nhƣợc điểm vì các thiết bị của các hãng sản xuất khác sẽ không thể sử dụng
đƣợc EIGRP, nó chỉ có thể sử dụng đƣợc duy nhất trên thiết bị của Cisco.
RIP (Routing Information Protocol): Trong RFC2435 và ISIS mô tả trong
draft-sheng-isis-bgp-mpls-vpn. Hiện nay ngƣời ta hay dùng phiên bản RIP2
vì nó có một số ƣu điểm vƣợt trội hơn so với RIP. RIP2 có mang thêm thông
các router PE khác của carrier ISP. Router PE của carrier ISP nhận đƣợc thông tin định
tuyến đó đến từ PE khác lại quảng bá nó tới CE của client ISP. Các router CE của
client ISP chỉ quảng bá thông tin định tuyến nội mạng chứ không phải cả bảng định
tuyến Internet tới các router PE của carrier ISP.
Các phiên đa hop iBGP đƣợc sử dụng để quảng bá tuyến đƣờng ngoài giữa các
client ISP trong cùng một AS; còn eBGP nội liên minh đa hop đƣợc dùng để phân phối
các tuyến ngoài client ISP giữa các điểm ở khác AS.
Tóm lại, phƣơng thức hỗ trợ Carrier’s Carrier cũng tƣơng tự nhƣ đối với
BGP/MPLS thông thƣờng. Chỉ có sự khác biệt đó là thiết bị CE của client ISP phải hỗ
trợ MPLS. Thiết bị CE nối với carrier ISP dùng giao thức BGP để phân phối định
tuyến nội bộ tới mạng của carrier ISP và LDP (hoặc một giao thức phân phối nhãn
khác) sẽ phân phối nhãn tới mạng này và nhận nhãn từ trong mạng ra. Việc làm này
ngăn ngừa thiết bị PE của carrier ISP kiểm tra đích hiện thời của lƣu lƣợng trong VPN
của khách hàng của client ISP. Thay vào đó nó chỉ cần chuyển mạch nhãn. Carrier’s
Carrier đƣợc mô tả chi tiết trong draft-ietf-l3vpn-rfc2547bis.
Hình 1-10: Mô hình Carrier’s Carrier.
--24
Multicast:
Chúng ta mới chỉ khảo sát cách RFC 2547 hỗ trợ định unicast. Điều gì sẽ xảy ra
nếu ta sử dung giảo thức định tuyến multicast chẳng hạn nhƣ PIM (Protocol
Independent Multicast) trong VPN.
Để định tuyến một cách tối ƣu, khi PE nhận đƣợc gói PE từ một CE thì gói phải
đƣợc gửi tới cùng các PE có các điểm nối vào thuộc nhóm multicast đang chờ gói đó.
Có nghĩa là không phải gửi gói multicast cho tất cả các PE có trong mạng của nhà
cung cấp và không đƣợc sao lại nếu không cần thiết. Vì thế cần thiết phải có cây
nguồn (source-tree) cho mỗi nhóm multicast. Do đó đòi hỏi mỗi router lõi của nhà
đƣờng trong Internet. Nó chỉ có một hoặc rất ít tuyến mặc định. Thông
thƣờng chỉ là một tuyến chỉ định trƣớc nối tới một router khác (là router kế
tiếp). Thiết bị này mới có nhiệm vụ định tuyến trong Internet. Một điều quan
trọng nữa là các VRF và bảng chuyển tiếp mặc định trong PE hoàn toàn độc
lập với nhau nên không trao đổi thông tin với nhau.
Có nhiều điểm khách hàng truy nhập Internet thông qua một giao diện có
VRF. Một gói tin đến PE qua giao diện có VRF, nếu địa chỉ đích của gói
không khớp với tất cả tuyến đƣờng trong VRF, thì nó sẽ đƣợc đem so với
bảng chuyển tiếp mặc định có trong PE. Nếu khớp gói tin sẽ đƣợc chuyển
tới mạng đƣờng trục Internet. Để có thể chuyển tin từ Internet đến giao diện
VRF, thì một số tuyến đƣờng trong VRF phải đƣợc đƣa vào trong bảng
chuyển tiếp Internet. Đƣơng nhiên các tuyến đƣờng này phải có địa chỉ toàn
cục (global). Trong kiểu truy nhập Internet này, bảng chuyển tiếp mặc định
phải lƣu toàn bộ các tuyến đƣờng Internet, hoặc một số tuyến đến các router
lƣu giữ toàn bộ tuyến đƣờng Internet.
Giả thiết là trong VRFcủa router PE có tuyến đƣờng của các gói tin không
thuộc VPN. Nếu gói tin đến PE có địa chỉ đích khớp với tuyến này thì nó sẽ
đƣợc chuyển đi đến Internet không cần qua mạng MPLS. Nếu VRF có tuyến
đƣờng cho các gói tin không thuộc VPN, thì mặc nhiên tất cả các gói tin có
địa chỉ đích là địa chỉ Internet đều đƣợc chuyển qua tuyến đƣờng này, đến
hop tiếp theo của nó. Tại hop tiếp theo, nó sẽ đƣợc so sánh địa chỉ đích với
bảng chuyển tiếp tại đó và sẽ đƣợc chuyển đi. Kĩ thuật này phù hợp với cấu
trúc mà các router CE không phân phối tuyến đƣờng mặc định.
Phƣơng thức truy nhập Internet này cũng thông qua một giao diện có VRF.
Tuy nhiên VRF này phải chứa toàn bộ các tuyến đƣờng Internet. So với
cách thứ 2, phƣơng thức này không cần phải xem bảng định chuyển tiếp hai
lần, nhƣng nó có nhƣợc điểm là phải lƣu thông tin định tuyến Internet trong
mỗi VRF. Nếu SP triển khai cách này, thì họ phải sử dụng giao diện có VRF
làm giao diện Internet của mình, đồng thời sử dụng giao thức BGP để phân
Copyright: Tài liệu đại học ©