Tải bản đầy đủ (.doc) (85 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Quản trị mạng

Tìm hiểu về dịch vụ vpn lớp ba chạy trên nền mpls

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.86 MB, 85 trang )

MỤC LỤC
MỤC LỤC....................................................................................................................1
.....................................................................................................................................3
DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT..............................................4
TRONG ĐỒ ÁN.........................................................................................................4
DANH MỤC CÁC HÌNH VẼ SỬ DỤNG TRONG ĐỒ ÁN.....................................8
MỞ ĐẦU....................................................................................................................10
........................................................................................................12
...................................................................................................................................12
Chương 1..................................................................................................................13
1.1. Giới thiệu chuyển mạch nhãn đa giao thức....................................................13
1.1.1. Cấu trúc nhãn MPLS.................................................................................15
1.1.2. Ngăn xếp nhãn (Label Stack) ...................................................................15
1.1.3. Bộ định tuyến chuyển mạch nhãn (LSR-Lable Switch Router)...............16
1.1.4. Lớp chuyển tiếp tương đương (FEC-Forward Equivalence Class).........17
1.1.5. Cơ sở thông tin nhãn (LIB-Label Information Base)...............................17
1.1.6. Cơ sở thông tin chuyển tiếp nhãn (LFIB- Label Forwarding Information
Base).....................................................................................................................18
1.1.7. Tuyến chuyển mạch nhãn (LSP - Lable Switching Path).........................18
1.2. Hoạt động của MPLS......................................................................................18
1.2.1. Phân phối nhãn..........................................................................................18
1.2.2. Tải MPLS (MPLS Payload) .....................................................................19
1.3. Các phương thức chuyển tiếp nhãn.................................................................19
1.3.1. Các hoạt động cơ bản ...............................................................................19
1.3.2. Tra cứu IP và nhãn.....................................................................................20
1.4. Một số hoạt động khác ...................................................................................24

1


1.4.1. Phân tải cho gói tin nhãn...........................................................................24


1.4.2. Nhãn không xác định (Null label) ............................................................25
1.5. Giao thức phân phối nhãn...............................................................................27
1.5.1. Sơ lược về LDP.........................................................................................27
1.5.2. Cơ chế hoạt động của LDP........................................................................29
1.5.2.1. Tìm kiếm các LSR đang chạy giao thức LDP...................................29
1.5.2.2. LDP ID.............................................................................................31
1.5.2.3. Thiết lập LDP ID..............................................................................31
1.5.2.4. Phiên LDP........................................................................................33
1.5.2.5. Quảng bá bản đồ nhãn.....................................................................34
Hình 1.16. LSR upstream và LSR downstream...................................35
Chương 2....................................................................................................................38
TÌM HIỂU VỀ MẠNG MPLS VPN.........................................................................38
2.1. Hạn chế của mạng VPN truyền thống.............................................................38
2.2. MPLS VPN......................................................................................................42
2.2.2. Route Distinguisher (RD)..........................................................................44
2.2.3. Route Targets (RT)....................................................................................46
2.2.4. Address Families.......................................................................................50
2.3. Hoạt động của mặt phẳng điều khiển MPLS VPN.........................................51
2.4. Hoạt động của mặt phẳng dữ liệu...................................................................54
2.5. Hoạt động của MPLS/ VPN............................................................................55
2.5.1. Quá trình trao đổi thông tin định tuyến trong MPLS VPN......................55
2.5.2. Quá trình gửi bản tin định tuyến của VPN................................................56
2.6. Ưu điểm của MPLS VPN................................................................................59
Chương 3....................................................................................................................61
VẤN ĐỀ BẢO MẬT TRONG MẠNG MPLS VPN................................................61

2


3.1. Tổng quan về bảo mật trong MPLS VPN.......................................................61

3.1.1. Tổng quan về vấn đề an ninh mạng..........................................................61
3.1.2. Mô hình tham chiếu bảo mật trong mạng MPLS VPN............................64
3.2. Các mô hình có nguy cơ bị tấn công...............................................................67
3.2.1. Xâm nhập từ bên trong một VPN..............................................................69
3.2.2. Tấn công từ chối dịch vụ một VPN...........................................................71
3.2.3. Các mối đe dọa chống lại một site Extranet..............................................72
3.2.4. Các mối đe dọa chống lại mạng lõi...........................................................73
3.2.4.1. Xâm nhâp.........................................................................................74
3.2.4.2. Tấn công từ chối dịch vụ (DoS)........................................................75
3.2.4.3. Mối đe dọa đến từ bên trong mạng lõi..............................................75
3.3. Một vài khuyến nghị trong bảo mật................................................................77
3.3.1. Bảo mật trên các Router............................................................................77
3.3.2. Sử dụng IPSec mã hóa dữ liệu đường truyền............................................78
3.3.3 Vị trí triển khai IPSec trong mạng.............................................................79
3.3.4. CE-CE IPSec.............................................................................................80
3.3.5. PE-PE IPSec..............................................................................................81
KẾT LUẬN............................................................................84
TÀI LIỆU THAM KHẢO.........................................................85

3


DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT
TRONG ĐỒ ÁN

Từ viết tắt
ACL
AES

Từ đầy đủ


Chú giải tiếng Việt

Access Control List

Danh sách điều khiển truy cập

Advanced Encryption

Chuẩn mã hóa cấp cao

Standard

AH

Authentication Header

Tiêu đề xác thực

AS

Autonomous System

Hệ thống tự trị

Asynchronous Transfer

Cơ chế truyền tải không đồng

Mode


bộ

ATM

Giao thức định tuyến cổng

BGP

Border Gateway Protocol

CE

Customer Edge

DES

Data Encryption Standard

Chuẩn mã hóa dữ liệu

Data Link Connection

Nhận dạng kết nối lớp kênh dữ

Identifier

liệu

External Gateway Protocol


Giao thức định tuyến liên miền

DLCI
EGP
FEC
FR
GRE

miền
Thiết bị biên của mạng người
dùng

Forwarding Equivalence
Class

Lớp chuyển tiếp tương đương

Frame Relay

Chuyển mạch khung

Generic Routing

Giao thức đóng gói định tuyến

Encapsulation

chung


4


High-level Data Link

Điều khiển liên kết dữ liệu

Control

mức cao

ID

Identifier

Nhận dạng

IGP

Interior Gateway Protocol

IKE

Internet Key Exchange

Giao thức trao đổi khóa

IP

Internet Protocol


Giao thức Internet

IPSec

Internet Protocol Security

Giao thức an ninh Internet

ISP

Internet Service Provider

Nhà cung cấp dịch vụ Internet

L2F

Layer hai Forwarding

Giao thức chuyển tiếp lớp 2

HDLC

L2TP

Layer hai Tunneling

Giao thức định tuyến trong
miền


Giao thức đường hầm lớp 2

Protocol

LAN

Local Area Network

Mạng cục bộ

LDP

Label Distribution Protocol Giao thức phân bổ nhãn

LER

Label Edge Router

Bộ định tuyến chuyển mạch
nhãn biên

Label Forwarding

Cơ sở thông tin chuyển tiếp

Information Base

nhãn

LIB


Label Information Base

Cơ sở thông tin nhãn

LSP

Label Switching Path

Đường chuyển mạch nhãn

LSR

Label Switching Router

MD

Multicast Domain

Miền đa điểm

MultiProtocol Label

Chuyển mạch nhãn đa giao

Switching

thức

LFIB


MPLS

Bộ định tuyến chuyển mạch
nhãn

5


NOC

Network Operations Center Trung tâm vận hành mạng

OSPF

Open Shortest Path First

PE

Provider Edge

Giao thức đường đi ngắn nhất
đầu tiên
Thiết bị biên của mạng nhà
cung cấp

Point to Point Tunneling

Giao thức đường hầm điểm tới


Protocol

điểm

PVC

Permanent Virtual Circuit

Kênh ảo cố định

QoS

Quality of Service

Chất lượng dịch vụ

RD

Route Distinguisher

Thuộc tính phân biệt tuyến

Resource Reservation

Giao thức dành trước tài

Protocol

nguyên


RT

Route Target

Thuộc tính tuyến đích

SP

Service Provider

Nhà cung cấp dịch vụ

Transmission Control

Giao thức điều khiển truyền

Protocol

dẫn

TDP

Tag Distribution Protocol

Giao thức phân phối thẻ

UDP

User Datagram Protocol


Giao thức lược đồ dữ liệu

VC

Virtual Circuit

Kênh ảo

VCI

Virtual Circuit Identifier

Nhận dạng kênh ảo

VP

Virtual Path

Đường ảo

VPI

Virtual Path Identifier

Nhận dạng đường ảo

PPP

RSVP


TCP

VPLS
VPN

Virtual Private LAN

Dịch vụ LAN riêng ảo

Service
Virtual Private Network

6

Mạng riêng ảo


VR
VRF
WAN

Virtual Router

Bộ định tuyến ảo

VPN Routing and

Bảng định tuyến và chuyển

Forwarding


tiếp VPN

Wide Area Network

Mạng diện rộng

7


DANH MỤC CÁC HÌNH VẼ SỬ DỤNG TRONG ĐỒ ÁN
MỤC LỤC....................................................................................................................1
.....................................................................................................................................3
DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT..............................................4
TRONG ĐỒ ÁN.........................................................................................................4
DANH MỤC CÁC HÌNH VẼ SỬ DỤNG TRONG ĐỒ ÁN.....................................8
MỞ ĐẦU....................................................................................................................10
........................................................................................................12
...................................................................................................................................12
Chương 1..................................................................................................................13
1.1. Giới thiệu chuyển mạch nhãn đa giao thức....................................................13
1.1.1. Cấu trúc nhãn MPLS.................................................................................15
1.1.2. Ngăn xếp nhãn (Label Stack) ...................................................................15
1.1.3. Bộ định tuyến chuyển mạch nhãn (LSR-Lable Switch Router)...............16
1.1.4. Lớp chuyển tiếp tương đương (FEC-Forward Equivalence Class).........17
1.1.5. Cơ sở thông tin nhãn (LIB-Label Information Base)...............................17
1.1.6. Cơ sở thông tin chuyển tiếp nhãn (LFIB- Label Forwarding Information
Base).....................................................................................................................18
1.1.7. Tuyến chuyển mạch nhãn (LSP - Lable Switching Path).........................18
1.2. Hoạt động của MPLS......................................................................................18

1.2.1. Phân phối nhãn..........................................................................................18
1.2.2. Tải MPLS (MPLS Payload) .....................................................................19
1.3. Các phương thức chuyển tiếp nhãn.................................................................19
1.3.1. Các hoạt động cơ bản ...............................................................................19
1.3.2. Tra cứu IP và nhãn.....................................................................................20

8


1.4. Một số hoạt động khác ...................................................................................24
1.4.1. Phân tải cho gói tin nhãn...........................................................................24
1.4.2. Nhãn không xác định (Null label) ............................................................25
1.5. Giao thức phân phối nhãn...............................................................................27
1.5.1. Sơ lược về LDP.........................................................................................27
1.5.2. Cơ chế hoạt động của LDP........................................................................29
Hình 1.16. LSR upstream và LSR downstream...................................35
Chương 2....................................................................................................................38
TÌM HIỂU VỀ MẠNG MPLS VPN.........................................................................38
2.1. Hạn chế của mạng VPN truyền thống.............................................................38
2.2. MPLS VPN......................................................................................................42
2.2.2. Route Distinguisher (RD)..........................................................................44
2.2.3. Route Targets (RT)....................................................................................46
2.2.4. Address Families.......................................................................................50
2.3. Hoạt động của mặt phẳng điều khiển MPLS VPN.........................................51
2.4. Hoạt động của mặt phẳng dữ liệu...................................................................54
2.5. Hoạt động của MPLS/ VPN............................................................................55
2.5.1. Quá trình trao đổi thông tin định tuyến trong MPLS VPN......................55
2.5.2. Quá trình gửi bản tin định tuyến của VPN................................................56
2.6. Ưu điểm của MPLS VPN................................................................................59
Chương 3....................................................................................................................61

VẤN ĐỀ BẢO MẬT TRONG MẠNG MPLS VPN................................................61
3.1. Tổng quan về bảo mật trong MPLS VPN.......................................................61
3.1.1. Tổng quan về vấn đề an ninh mạng..........................................................61
3.1.2. Mô hình tham chiếu bảo mật trong mạng MPLS VPN............................64
3.2. Các mô hình có nguy cơ bị tấn công...............................................................67

9


3.2.1. Xâm nhập từ bên trong một VPN..............................................................69
3.2.2. Tấn công từ chối dịch vụ một VPN...........................................................71
3.2.3. Các mối đe dọa chống lại một site Extranet..............................................72
3.2.4. Các mối đe dọa chống lại mạng lõi...........................................................73
3.3. Một vài khuyến nghị trong bảo mật................................................................77
3.3.1. Bảo mật trên các Router............................................................................77
3.3.2. Sử dụng IPSec mã hóa dữ liệu đường truyền............................................78
3.3.3 Vị trí triển khai IPSec trong mạng.............................................................79
3.3.4. CE-CE IPSec.............................................................................................80
3.3.5. PE-PE IPSec..............................................................................................81
KẾT LUẬN............................................................................84
TÀI LIỆU THAM KHẢO.........................................................85

MỞ ĐẦU
Nhiều năm trở lại đây, công nghệ đã có những bước phát triển lớn.
Đi đôi với việc áp dụng các thành tựu khoa học vào các lĩnh vực mang lại
cho các doanh nghiệp nhiều lợi nhuận thì vấn đề an ninh mạng đã và đang
là điều mà các tổ chức doanh nghiệp hết sức quan tâm. Trong nhiều
trường hợp vấn đề bảo vệ dữ liệu mang tính sống còn đối với một doanh
nghiệp. Việc trao đổi dữ liệu đối với một doanh nghiệp diễn ra liên tục và
với hạ tầng mạng cũ thì khả năng dữ liệu quan trong bị đánh cắp là rất

lớn. Đứng trước nhu cầu cấp thiết đó, một công nghệ mới được triển khai
cho phép các chi nhánh của doanh nghiệp ở khắp mọi nơi có thể trao đổi
thông tin với nhau trong một môi trường có tính bảo mật cao. Đó chính là

10


dịch vụ mạng riêng ảo (Virtual Private Network - VPN) chạy trên nền
công nghệ mới MPLS.
Mạng riêng ảo VPN là một trong những ứng dụng rất quan trọng
trong mạng MPLS. Các công ty, doanh nghiệp đặc biệt các công ty đa
quốc gia có nhu cầu rất lớn về loại hình dịch vụ này. Với VPN họ hoàn
toàn có thể sử dụng các dịch vụ viễn thông, truyền số liệu nội bộ với chi
phí thấp, an ninh bảo đảm. Đây là một ứng dụng rất quan trọng đáp ứng
các yêu cầu của các mạng riêng sử dụng hạ tầng cơ sở thông tin quốc gia
với những yêu cầu khác nhau về độ an toàn, bảo mật và chất lượng dịch
vụ.
Đồ án “Tìm hiểu về dịch vụ VPN lớp ba chạy trên nền MPLS”
nhằm mục đích tìm hiểu về công nghệ MPLS, cũng như dịch vụ VPN lớp
ba được triển khai trên nền tảng MPLS, cuối cùng đưa ra một số mô hình
có khả năng bị tấn công và một vài khuyến nghị về bảo mật. Đồ án được
trình bày qua ba chương:
• Chương 1: Tìm hiểu về công nghệ chuyển mạch nhãn đa giao thức,
một số khái niệm cơ bản, cách thức hoạt động của các giao thức trao
đổi bản tin cũng như thiết lập nên một mạng chuyển mạch nhãn.
• Chương 2: Tìm hiểu về dịch vụ VPN lớp ba chạy trên nền MPLS,
các khái niệm và cách thức hoạt động của dịch vụ VPN, ưu điểm
của dịch vụ VPN chạy trên nền công nghệ MPLS
• Chương 3: Khái quát các nguy cơ về an ninh mạng, các mô hình có
khả năng bị tấn công và một vài khuyến nghị về bảo mật cho khách

hàng khi đăng kí dịch vụ VPN để đảm bảo an toàn cao nhất cho dữ
liệu.
Trong quá trình nghiên cứu và thực hiện đề tài em đã nhận được sự
chỉ bảo và giúp đỡ tận tình của thầy Nguyễn Đào Trường. Em xin gửi lời
cảm ơn chân thành tới thầy Nguyễn Đào Trường đã trực tiếp hướng dẫn
em hoàn thành đồ án này. Em cũng xin cảm ơn tất cả các thầy cô giáo

11


trong trường Học Viện Kỹ Thuật Mật Mã đã dạy dỗ và chỉ bảo em trong
những năm học đã qua.
Em xin chân thành cảm ơn!

Hà nội, ngày 17 tháng 06 năm 2010
Sinh viên

12


Chương 1
TÌM HIỂU CÔNG NGHỆ MPLS
1.1. Giới thiệu chuyển mạch nhãn đa giao thức.
Chuyển mạch nhãn đa giao thức (Multiprotocol Label Switching MPLS) là một công nghệ kết hợp giữa lợi ích của chuyển mạch gói dựa
trên chuyển mạch lớp hai với định tuyến lớp 3. Tương tự như các mạng
lớp hai (Frame relay hay Asynchronous Transfer Mode - ATM), MPLS là
một phương pháp cải tiến việc chuyển tiếp gói trên mạng bằng cách gán
nhãn cho các gói IP, tế bào ATM hoặc frame lớp 2. Cơ chế chuyển tiếp
qua mạng như thế được gọi là đổi nhãn (label swapping), trong đó các
đơn vị dữ liệu (ví dụ như gói hoặc tế bào) mang một nhãn ngắn có chiều

dài cố định để tại các node các gói được xử lý và chuyển tiếp.
Sự khác nhau cơ bản giữa MPLS và các công nghệ WAN truyền
thống chính là cách mà các nhãn được gán và khả năng mang một ngăn
xếp của các nhãn (Stack of Labels) cho một gói tin. Khái niệm ngăn xếp
nhãn cho phép chúng ta có nhiều ứng dụng mới ví dụ như Điều khiển lưu
lượng (Traffic Engineering), Mạng riêng ảo (Virtual Private Network –
VPN)….
Chuyển tiếp các gói trong MPLS hoàn toàn tương phản với môi
trường không kết nối hiện có, nơi mà các gói tin được phân tích trên từng
hop một (Router), đấy chính là quá trình kiểm tra tiêu đề lớp 3, và một
quyết định forward gói tin được tiến hành dựa trên thuật toán định tuyến ở
lớp mạng
Cấu trúc của một nút MPLS bao gồm hai mặt thành phần: thành
phần chuyển tiếp (hay còn được gọi là mặt phẳng dữ liệu) và thành phần
điều khiển (còn được gọi là mặt phẳng điều khiển). Thành phần chuyển
tiếp sử dụng một cơ sở dữ liệu chuyển tiếp nhãn để chuyển tiếp dữ liệu
13


dựa trên các nhãn đi kèm với gói tin. Thành phần điều khiển chịu trách
nhiệm tạo và duy trì các thông tin chuyển tiếp nhãn (còn được gọi là
bindings) giữa nhóm các chuyển mạch nhãn với nhau.
Tất cả các nút MPLS phải chạy một hoặc nhiều giao thức định
tuyến IP (hoặc dựa trên định tuyến tĩnh) để có thể trao đổi thông tin định
tuyến với các nút MPLS khác trên mạng. Theo đó, mỗi một nút MPLS
(bao gồm cả chuyển mạch ATM) là một Router trên mặt phẳng điều
khiển.

Hình 1.1. Cấu trúc cơ bản của một nút MPLS
Tương tự như các Router truyền thống, các giao thức định tuyến IP

sẽ dùng để xây dựng nên bảng định tuyến. Bảng định tuyến IP được sử
dụng để chuyển tiếp gói tin.
Tại một nút MPLS, bảng định tuyến được sử dụng để xác định việc
trao đổi thông tin nhãn chuyển tiếp, nơi mà các nút MPLS kề cận với nó
trao đổi các nhãn cho các mạng con (subnets) cụ thể được chứa trong
bảng định tuyến.
Các quá trình điều khiển định tuyến MPLS IP (MPLS IP Routing
Control) sử dụng các nhãn để trao đổi với các nút MPLS cạnh nó để tạo ra

14


bảng chuyển tiếp nhãn (Label Forwarding Table), bảng này là vùng cơ sở
dữ liệu được sử dụng để chuyển tiếp các gói được gán nhãn qua mạng
MPLS.
1.1.1. Cấu trúc nhãn MPLS

Hình 1.2. Cấu trúc nhãn MPLS
• 20 bit đầu là giá trị nhãn. Nhãn có thể có giá trị từ 0 đến 2 20 -1 (=


1048575)
Bit 20 đến 22 là các bit thực nghiệm (Experience) sử dụng cho

vấn đề chất lượng dịch vụ (Quality of Service - QoS)
• Bit 23 là BoS (Bottom of Stack – đáy ngăn xếp). Nếu bit này
bằng 1, thì đây là nhãn đáy của ngăn xếp (stack) nếu không nó
được thiết lập với giá trị 0.
• Bit 24-31: TTL (Time to Live - thời gian sống của một gói tin).
Trường TTL này có cùng chức năng với TTL của gói tin IP. Mỗi

lần đi qua một Router, giá trị của nó sẽ giảm đi một. Chức năng
chính của nó là chống gói tin bị định tuyến lặp trong mạng. Nếu
có lặp (Loop) mạng xảy ra và không có trường TTL, gói tin sẽ tồn
tại trong mạng mãi mãi. TTL trở về 0, gói tin bị hủy.
1.1.2. Ngăn xếp nhãn (Label Stack)
Để chuyển gói tin trong mạng MPLS, Router có thể cần nhiều hơn
một nhãn. Do vậy, người ta thiết kế ra ngăn xếp để chồng các nhãn lên
nhau. Nhãn đầu tiên trong ngăn xếp được gọi là nhãn đỉnh (Top Label),
còn nhãn cuối được gọi là nhãn đáy (Bottom Label). Số lượng nhãn nằm
giữa hai nhãn này là không giới hạn.

15


Hình 1.3. Cấu trúc chồng nhãn
Có thể thấy ở nhãn đáy, bit BoS được bật bằng 1, các nhãn ở trên nó
có bit BoS = 0
Vị trí của ngăn xếp nhãn: Ngăn xếp nhãn MPLS nằm ở trước header
lớp ba và ở sau header lớp hai, được gọi là Shim header (lớp mào đầu
chèn giữa).

Hình 1.4. Vị trí nhãn MPLS
1.1.3. Bộ định tuyến chuyển mạch nhãn (LSR-Lable Switch Router)
Là thiết bị chuyển mạch hay thiết bị định tuyến sử dụng trong mạng
MPLS để chuyển các gói tin bằng thủ tục phân phối nhãn. Có một số loại
LSR như LSR, LSR-ATM….
Có ba loại LSR trong mạng MPLS:
• Ingress LSR- LSR ngõ vào: Gói tin đi vào mạng MPLS thông
quamộtRouter ngõ vào, là ingress LSR. Router này có nhiệm vụ gắn
nhãn đầu vào cho các gói tin IP.

16


• Egress LSR- LSR ngõ ra: Gói tin sẽ đi ra khỏi mạng MPLS từ
Router này. Router này có nhiệm vụ bóc các nhãn của gói tin và
chuyển gói tin đi dựa vào bảng định tuyến IP
• Intermediate LSR- LSR lõi: Các Router này có nhiệm vụ chuyển
mạch các gói tin đã đính nhãn chạy trong mạng MPLS đến LSR đầu
ra.
1.1.4. Lớp chuyển tiếp tương đương (FEC-Forward Equivalence Class)
FEC là một nhóm các gói, nhóm các gói này chia sẻ cùng yêu cầu
trong sự chuyển tiếp chúng qua mạng. Tất cả các gói trong một nhóm như
vậy được cung cấp cùng cách chọn đường tới đích. Khác với chuyển tiếp
IP truyền thống, trong MPLS việc gán một gói cụ thể vào một FEC cụ thể
chỉ được thực hiện một lần khi các gói vào trong mạng. MPLS không ra
quyết định chuyển tiếp với mỗi datagram lớp ba mà sử dụng khái niệm
FEC. FEC phụ thuộc vào một số các yếu tố, ít nhất là phụ thuộc vào địa
chỉ IP và có thể là phụ thuộc cả vào kiểu lưu lượng trong datagram (thoại,
dữ liệu, fax…). Sau đó dựa trên FEC, nhãn được thoả thuận giữa các LSR
lân cận từ lối vào tới lối ra trong một vùng định tuyến. Mỗi LSR xây dựng
một bảng để xác định xem một gói phải được chuyển tiếp như thế nào.
Bảng này được gọi là cơ sở thông tin nhãn (LIB: Label Information Base),
nó là tổ hợp các ràng buộc FEC với nhãn (FEC-to-label). Và nhãn lại
được sử dụng để chuyển tiếp lưu lượng qua mạng.
1.1.5. Cơ sở thông tin nhãn (LIB-Label Information Base)
Là bảng kết nối trong LSR có chứa giá trị nhãn FEC được gán vào
cổng ra cũng như thông tin về đóng gói dữ liệu truyền tin để xác định
phương thức một gói tin được chuyển tiếp.

17



1.1.6. Cơ sở thông tin chuyển tiếp nhãn (LFIB- Label Forwarding
Information Base)
LFIB là một tập con của LIB. Khi một gói tin có nhãn đi vào
Router, nó sẽ tra cứu trong bảng này để xác định đầu ra và nhãn mới cho
gói tin.
1.1.7. Tuyến chuyển mạch nhãn (LSP - Lable Switching Path)
Là tuyến tạo ra từ đầu vào đến đầu ra của mạng MPLS dùng để
chuyển tiếp gói của một FEC nào đó sử dụng cơ chế hoán đổi nhãn. Các
tuyến chuyển mạch nhãn chứa một chuỗi các nhãn tại tất cả các nút dọc
theo tuyến từ nguồn tới đích. LSP được thiết lập trước khi truyền dữ liệu
hoặc trong khi xác định luồng dữ liệu nào đó. Các nhãn được phân phối
bằng các giao thức như LDP, RSVP. Mỗi gói dữ liệu được đóng gói lại và
mang các nhãn trong suốt thời gian di chuyển từ nguồn tới đích. Chuyển
mạch dữ liệu tốc độ cao hoàn toàn có thể thực hiện dựa theo phương pháp
này, vì các nhãn có độ dài cố định được chèn vào phần đầu của gói tin
hoặc tế bào và có thể được sử dụng bởi phần cứng để chuyển mạch nhanh
các gói giữa các liên kết.
1.2. Hoạt động của MPLS
1.2.1. Phân phối nhãn
Nhãn đầu tiên được gán bởi các LSR ngõ vào và được dùng cho một
tuyến LSP. Tuyến đường mà gói tin đi trong mạng MPLS được xác định
là một LSP. Khi qua mỗi chặng sẽ có sự thay đổi nhãn trên cùng trong
chồng nhãn. Router ngõ vào chịu trách nhiệm về một hoặc nhiều nhãn.
Các Router trung gian hay còn gọi là các Router P (Router Provider) với
nhiệm vụ chuyển mạch sẽ thay đổi nhãn ở gói tin đến bằng các nhãn ra và
chuyển tiếp gói tin đến next-hop. Các Router ngõ ra của LSP sẽ loại bỏ
nhãn và chuyển tiếp gói tin.
Với việc thay đổi nhãn trong các quá trình chuyển tiếp gói tin, các

Router buộc phải nhận biết được nhãn của gói tin đến, cũng như biết gán

18


nhãn nào để gói tin có thể chuyển tiếp được đến đích. Vì vậy khi một
nhãn được đưa vào gói tin nó cần phải có một giao thức phân phối. Ở đây
sẽ có hai con đường để lựa chọn: phát triển một giao thức phân phối nhãn
hoặc tận dụng giao thức lớp 3.
LDP là giao thức phân phối nhãn của MPLS. Giao thức này hoạt
động đồng bộ với bảng định tuyến. Có hai loại nhãn đặc trưng trong LDP
là local và remote. Với thông tin nhãn đã thu thập được, Router tra cứu và
kết hợp với bảng RIB (Routing Table) và LIB (Label Information Base)
để đưa ra bảng LFIB (Label Forwarding Information Base). LFIB là bảng
quyết định cho việc xác định tuyến và xây dựng các gói tin nhãn.
1.2.2. Tải MPLS (MPLS Payload)
Việc xác định tải MPLS là rất quan trọng đối với các Router biên.
Khi biết được loại tải chúng mới có thể xác định gói tin sẽ được đưa vào
FEC nào, gán nhãn thế nào và cần chuyển tiếp chúng đi đâu cũng như
QoS đối với gói tin đó. Tuy nhiên, trái ngược với các Router biên, các
Router không cần quan tâm đến việc gói tin đến chúng là gói tin gì vì thực
chất chúng chỉ cần soi vào nhãn trên cùng và thực hiện việc thay thế nhãn
rồi chuyển tiếp gói tin.
1.3. Các phương thức chuyển tiếp nhãn
1.3.1. Các hoạt động cơ bản
Như đã biết, mạng MPLS chuyển mạch được là nhờ vào nhãn
(Label). Vậy quá trình chuyển tiếp gói tin chứa nhãn diễn ra như thế nào
và nó khác gì so với gói tin IP thông thường. Điều này sẽ được thể hiện
nhờ ba cơ chế của nhãn: Swap, Push và Pop.
Hoạt động của ba phương thức này được minh họa trong hình sau:


19


Hình 1.5. Phương thức chuyển tiếp nhãn


Swap là quá trình thay thế một nhãn cũ bằng một nhãn mới (16
được thay bằng 34).



Push là quá trình thêm vào gói tin một nhãn mới (nhãn 55 được
thêm mới).



Pop là quá trình bóc tách một nhãn trên cùng.
Việc xác định khi một gói tin đến được Swap, Push hay Pop phụ

thuộc vào các con Router LSR. Khi một LSR nhận được một gói tin chứa
nhãn, nó sẽ đọc hai mươi bit đầu trong phần header của nhãn, sau đó sẽ
nhìn vào bảng LFIB và tìm kiếm giá trị nhãn tương ứng trong cột nhãn
cục bộ để quyết định gói tin sẽ được Swap, Push hay Pop.
1.3.2. Tra cứu IP và nhãn
Khi một Router nhận một gói tin, nó cần phải xác định đấy là gói
tin IP hay gói tin nhãn, từ đó xác định việc đóng gói gói tin như thế nào
cho phù hợp. Nếu gói tin đến là gói tin IP, nó sẽ thực hiện quá trình IP
Lookup. Trong Cisco IOS (Internet Operating System), điều đó có nghĩa
là gói tin IP đó sẽ được tra cứu trong bảng CEF (Cisco Express

Forwarding). Với một quá trình tương tự nếu gói tin đến là gói tin nhãn

20


thì quá trình tra cứu sẽ diễn ra trong bảng LFIB. Router sẽ nhận biết việc
gói tin tới là gói tin IP hay nhãn thông qua việc đọc trường giao thức
trong header của khung. Dù gói tin được chuyển tiếp dựa vào bảng CEF
hay LFIB thì khi rời các Router gói tin đó hoàn toàn có khả năng là gói tin
chứa nhãn hoặc không chứa nhãn.

Hình 1.6. Tra cứu nhãn
Khi một Router LSR ngõ vào nhận được một gói tin IP, nó sẽ tra
cứu trong bảng CEF và được chuyển tiếp đính kèm một nhãn thì được gọi
là chuyển đổi từ gói tin IP sang gói tin nhãn (IP-to-Label). Khi LSR nhận
được gói tin nhãn, tra cứu trong bảng LFIB, nó có thể bóc tách phần nhãn
và chuyển tiếp gói tin dưới dạng IP như trường hợp đầu tiên trên hình 1.6.
Quá trình đó gọi là Label-to-IP, trong trường hợp còn lại là Label-toLabel.

Hình 1.7. IP sang nhãn

21


Hình 1.7 thể hiện trường hợp IP-to-Label. LSR nhận được một gói
tin với địa chỉ đích là 10.200.254.4/32, nó sẽ đẩy ra cổng Et0/0/0
(Ethernet0/0/0) sau khi đã gán thêm nhãn 18 vào gói tin. Điểm đến của
gói tin (next hop) có địa chỉ 10.200.200.2. Trong Cisco IOS, chỉ có
chuyển mạch CEF là mode duy nhất có hỗ trợ việc sử dụng nhãn để
chuyển tiếp gói tin. Các loại chuyển mạch IP khác như fast switching

chẳng hạn không thể làm được điều đó vì bộ nhớ trong mode này không
lưu giữ các thông tin về nhãn. Và do việc mode chuyển mạch CEF là
mode duy nhất được hỗ trợ để kết nối với mạng MPLS nên khi kích hoạt
MPLS trên một Router, nhất thiết phải khởi tạo mode chuyển mạch CEF.
Đối với gói tin đến là gói tin nhãn, hình 1.8 cho thấy việc bảng
LFIB sẽ được sử dụng.

Hình 1.8. Thông tin bảng LFIB
Nhãn cục bộ (Local Label hoặc Local Tag) là nhãn được các Router
LSR đăng ký và phân phối tới các LSR khác. Nhìn trong hình trên ta có
thể thấy, giả sử gói tin đến mang nhãn 17, nó sẽ được thay thế bởi nhãn
16 và chuyển tiếp ra cổng Et0/0/0 với next hop là 10.200.200.2 . Quá trình
này như đã biết được gọi là Swap. Trong trường hợp gói tin đến chứa
nhãn 18, phương thức Pop hoạt động và nhãn trên cùng sẽ được bóc tách
sau đó chuyển tiếp ra cổng Et0/0/0 dưới dạng gói tin là gói tin nhãn hoặc
IP. Nếu LSR nhận được gói tin mang nhãn 16, nó sẽ loại bỏ hết toàn bộ
nhãn mà gói tin đang chứa và chuyển tiếp gói tin ra dưới dạng gói tin IP
vì đầu ra (Outgoing Label(tag)) là không nhãn (Untagged). Đây là một ví
22


dụ cho trường hợp Label-to-IP. Ngoài Pop và Swap còn có phương thức
Push. Dưới đây là một ví dụ về cách thức hoạt động của Push.

Hình 1.9. Ví dụ về hoạt động của Push
Trong hình 1.9 ta có thể thấy gói tin đi đến mang nhãn 23, và mặc
dù nhìn trong outgoing thì nhãn là 16 nhưng đây không phải là quá trình
Swap. Trong Tag Stack{20 16} có thể thấy trước khi mang nhãn 16 thì
nhãn 23 được Swap bằng nhãn 20, sau đó LSR chèn thêm một nhãn 16
vào nữa. Quá trình này chính là Push.

“Aggregate” cũng có thể xuất hiện trong list của outgoing tag. Việc
xuất hiện từ này đồng nghĩa với việc các LSR tổng hợp cần phải loại bỏ
nhãn của gói tin đến và sử dụng IP Lookup để quyết định tuyến cụ thể cho
việc chuyển tiếp gói tin IP.
Như vậy có thể thấy rằng:
• Pop: Là quá trình bóc tách nhãn trên cùng. Gói tin sau khi được
bóc tách và chuyển tiếp có thể là gói tin IP hoặc gói tin nhãn
• Swap: Là quá trình nhãn trên cùng được thay thế bởi một nhãn khác.
• Push: Là quá trình mà sau khi đã thực hiện việc thay thế nhãn
(Swapped), một nhãn mới sẽ được thêm vào (pushed) bên trên
nhãn thay thế.

23


• Untagged/No label: Chồng nhãn được bóc tách và gói tin chuyển
tiếp là gói tin không nhãn.
• Aggregate: Quá trình này sẽ bóc tách toàn bộ nhãn, sau đó tra
cứu và xác định tuyến đi cụ thể cho gói tin
1.4. Một số hoạt động khác
1.4.1. Phân tải cho gói tin nhãn
Nếu quá trình định tuyến cho thấy có những con đường với giá bằng
nhau đến cùng một đích, hệ điều hành Cisco sẽ thực hiện việc cân bằng tải
cho các gói tin chứa nhãn.

Hình 1.10. Ví dụ về cách phân tải gói tin
Trong hình trên có thể thấy với việc nhận một nhãn 17 hoặc 18, gói
tin đi ra sẽ có nhãn như nhau. Đây chính là cân bằng tải, mặc dù vậy
không phải cứ cân bằng tải là các nhãn đầu ra (Outgoing Label) sẽ giống
nhau. Trong nhiều trường hợp cũng xảy ra sự khác biệt. Chúng thực sự

giống nhau khi mà giữa hai Router là một cặp kết nối và liên kết giữa
chúng cùng được xây dựng trên một không gian nhãn. Nếu tồn tại nhiều
next-hop LSRs thì outgoing label chúng sử dụng thường là khác nhau trên
mỗi tuyến, bởi vì các next-hop LSRs đăng ký nhãn một cách độc lập với
nhau.
Đối với MPLS chạy trên nền IPv4, ngoài gói tin chứa nhãn thì
những gói tin không chứa nhãn vẫn có thể được định tuyến đến mạng
đích. Điều đó xẩy ra trong một số trường hợp, nguyên nhân do tại một
liên kết nào đó mà MPLS không được kích hoạt. Lúc này gói tin sẽ là gói
tin không nhãn, Router sẽ xem xét tra cứu trong bảng định tuyến IP và
quyết định chuyển tiếp về mạng đích. Mặc dù vậy đối với MPLS VPN,
24


các Router P không lưu trữ bảng định tuyến VPN vì thế đối với gói tin
không nhãn chúng không thể tìm kiếm được đích đến. Tải MPLS là khung
tầng 2, nếu gói tin bị mất nhãn, các Router P cũng không thể xác định
được tuyến đích để chuyển tiếp vì bản thân Router P không lưu trữ thông
tin về định tuyến lớp 2. Việc sử dụng cân bằng tải cho các gói tin IP và
nhãn không được thực hiện trên các con Router P, việc này hoàn toàn
được đảm trách bởi các Router biên LSRs. Vì thế các Router P không thể
chuyển tiếp gói tin không nhãn trong đại đa số trường hợp.
1.4.2. Nhãn không xác định (Null label)
Mạng MPLS được hoạt động nhờ nhãn, vì thế trong trường hợp
bình thường, các gói tin đến hoàn toàn được xác định nhãn và chuyển tiếp
đến chặng kế tiếp. Mặc dù vậy, đôi khi xảy ra lỗi trên đường truyền và
xuất hiện các nhãn không mong muốn, các nhãn này không tồn tại trong
bảng lưu trữ mà các Router có. Khi sự việc này xảy ra, đối với các LSRs
nó có thể cố gắng loại bỏ nhãn và tìm kiếm tuyến để chuyển tiếp gói tin
hoặc là hủy gói tin. Mặc dù vậy việc cố gắng xác định tuyến là không cần

thiết, lúc này các Router sẽ thực hiện việc hủy gói tin. Vì vậy đối với một
gói tin đến mà nhãn trên cùng không được xác định, các Router sẽ thực
hiện việc hủy bỏ gói tin ngay.
1.4.3. Đăng ký nhãn
Mỗi một Router được phép đăng ký nhãn độc lập và số nhãn có thể
đăng ký là rất lớn (các giá trị từ 16 đến 220 -1). Tuy nhiên, với bất kỳ một
Router nào thì các nhãn mang giá trị từ 0 đến 15 không được sử dụng
trong các trường hợp chuyển tiếp thông thường các gói tin. Các nhãn này
có những chức năng đặc biệt, dùng để xác định rõ một chức năng nào đó
của Router. Ví dụ với nhãn 3, đây được gọi là nhãn NULL ngầm định
(Implicit NULL Label), nhãn 0 là nhãn NULL tường minh (Explicit
NULL Label).
Một Router biên khi đăng ký nhãn implicit NULL label với giá trị là
3, điều này cho biết Router đó không muốn đăng ký nhãn cho FEC. Nhãn

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×