81408667 bao cao mpls vpn layer 3
TRANSCRIPT
Báo cáo thực tập - MPLS-VPN Đỗ Xuân Thái
Trang 1
MPLS - VPN
1.1 Tổng quan về VPN
VPN là công nghệ cho phép kết nối các thành phần của một mạng riêng (private network) thông qua hạ
tầng mạng công cộng (Internet). VPN hoạt động dựa trên kỹ thuật tunneling: gói tin trước khi được chuyển đi
trên VPN sẽ được mã hóa và được đặt bên trong một gói tin có thể chuyển đi được trên mạng công cộng. Gói
tin được truyền đi đến đầu bên kia của kết nối VPN. Tại điểm đến bên kia của kết nối VPN, gói tin đã bị mã hóa
sẽ được “lấy ra” từ trong gói tin của mạng công cộng và được giải mã.
1.1.1 Mô hình Overlay
Hình 3.1: Mô hình overlay VPN
Khi Frame relay và ATM cung cấp cho khách hàng các mạng riêng, nhà cung cấp không thể tham gia
vào việc định tuyến khách hàng. Các nhà cung cấp dịch vụ chỉ vận chuyển dữ liệu qua các kết nối
ảo. Như vậy, nhà cung cấp chỉ cung cấp cho khách hàng kết nối ảo tại lớp 2. Đó là mô hình
Overlay.
Nếu mạch ảo là cố định, sẵn sàng cho khách hàng sử dụng mọi lúc thì được gọi là mạch ảo cố định PVC.
Nếu mạch ảo được thiết lập theo yêu cầu (on-demand) thì được gọi là mạch ảo chuyển đổi SVC.
Hạn chế chính của mô hình Overlay là các mạch ảo của các site khách hàng kết nối dạng full mesh. Nếu
có N site khách hàng thì tổng số lượng mạch ảo cần thiết N(N-1)/2.
Overlay VPN được thực thi bởi SP để cung cấp các kết nối layer 1 (physical) hay mạch chuyển vận lớp
2 (Data link – dạng dữ liệu frame hoặc cell) giữa các site khách hàng bằng cách sử dụng các thiết bị
Frame relay hay ATM Switch. Do đó, SP không thể nhận biết được việc định tuyến ở khách hàng.
Báo cáo thực tập - MPLS-VPN Đỗ Xuân Thái
Trang 2
Overlay VPN còn thực thi các dịch vụ qua layer 3 với các giao thức tạo đường hầm như GRE, IPSec…
Tuy nhiên, dù trong trường hợp nào thì mạng của nhà cung cấp vẫn trong suốt với khách hàng, và
các giao thức định tuyến chạy trực tiếp giữa các router của khách hàng.
1.1.2 Mô hình peer-to-peer
Hình 3.2: Mô hình peer-to-peer VPN
Mô hình peer-to-peer khắc phục những nhược điểm của mô hình Overlay và cung cấp cho khách hàng
cơ chế vận chuyển tối ưu qua SP backbone, vì nhà cung cấp dịch vụ biết mô hình mạng khách hàng và
do đó có thể thiết lập định tuyến tối ưu cho các định tuyến của họ.
Nhà cung cấp dịch vụ tham gia vào việc định tuyến của khách hàng. Thông tin định tuyến của khách
hàng được quảng bá qua mạng của nhà cung cấp dịch vụ. Mạng của nhà cung cấp dịch vụ xác định
đường đi tối ưu từ một site khách hàng đến một site khác.
Việc phát hiện các thông tin định tuyến riêng của khách hàng bằng cách thực hiện lọc gói (packet) tại
các router kết nối với mạng khách hàng.
Peer-to-peer VPN chia làm 2 loại:
Shared-router
Router dùng chung, tức là khách hàng VPN chia sẽ cùng router biên mạng nhà cung cấp PE. Ở
phương pháp này, nhiều khách hàng có thể kết nối đến cùng router PE.
Trên router PE phải cấu hình access-list cho mỗi interface PE-CE để đảm bảo chắc chắn sự cách ly
giữa các khách hàng VPN, để ngăn chặn VPN của khách hàng này thực hiện các tấn công từ chối
Báo cáo thực tập - MPLS-VPN Đỗ Xuân Thái
Trang 3
dịch vụ DoS vào VPN của khách hàng khác. Nhà cung cấp dịch vụ chia mỗi phần trong không gian
địa chỉ của nó cho khách hàng và quản lý việc lọc gói tin trên Router PE.
Dedicated-router
Là phương pháp mà khách hàng VPN có router PE dành riêng. Trong phương pháp này, mỗi khách
hàng VPN phải có router PE dành riêng và do đó chỉ truy cập đến các định tuyến trong bảng định
tuyến của router PE đó. Mô hình Dedicated-router sử dụng các giao thức định tuyến để tạo ra bảng
định tuyến trên một VPN trên Router PE. Bảng định tuyến chỉ có các định tuyến được quảng bá bởi
khách hàng VPN kết nối đến chúng, kết quả là tạo ra sự cách ly giữa các VPN.
1.2 Mô hình định tuyến MPLS-VPN
1.2.1 Bảng định tuyến và chuyển tiếp ảo-VRF (Virtual Routing and Forwarding table)
Khách hàng được phân biệt trên router PE bằng các bảng định tuyến ảo (virtual routing tables) hoặc các
instance, còn được gọi là VRF (virtual routing and forwarding tables/instances).
Chức năng của VRF giống như một bản định tuyến toàn cục, ngoại trừ việc nó chứa mọi tuyến liên quan
đến một VPN cụ thể.
VRF chứa một bảng định tuyến IP tương ứng với bảng định tuyến IP toàn cục, một bảng CEF, liệt kê
các cổng giao tiếp tham gia vào VRF, và một tập hợp các nguyên tắc xác định giao thức định tuyến trao
đổi với các router CE (routing protocol contexts). VRF còn chứa các định danh VPN (VPN identifier)
như thông tin thành viên VPN (RD và RT).
Hình 3.4: Bảng VRF
1.2.2 Route Distinguisher, Route Targets, MP-BGP, và Address Families
Route Distinguisher
Trong mô hình định tuyến MPLS VPN, router PE tạo ra sự cô lập giữa các khách hàng cách sử dụng các bảng
định tuyến và chuyển tiếp ảo VRF. Tuy nhiên, các route của khách hàng trong quá trình được vận chuyển qua
Báo cáo thực tập - MPLS-VPN Đỗ Xuân Thái
Trang 4
mạng backbone có thể bị chồng lấp (overlapping) với nhau khi các khách hàng sử dụng cùng không gian địa
chỉ. RD giúp tạo nên sự duy nhất giữa các route VPN và tránh việc overlapping address xảy ra.
Một prefix 64 bits được gọi là Route Distinguisher được sử dụng trong MPLS VPN để biến đổi địa chỉ IPv4 32
bits là không duy nhất thành một địa chỉ 96 bits là địa chỉ mang tính duy nhất cho mỗi VRF. Địa chỉ 96 bits này
sẽ được truyền giữa các router PE và được gọi là địa chỉ VPNv4. Mục đích của RD là tạo ra sự duy nhất cho
các route IPv4. Hình vẽ bên dưới mô tả địa chỉ VPNv4.
Hình 3.5: Địa chỉ VPNv4
Route Target
Route targets (RT) là những định danh dùng trong miền MPLS VPN khi triển khai MPLS VPN nhằm xác định
thành viên VPN của các tuyến được học từ các site cụ thể. RT được thực thi bởi các BGP community mở
rộng sử dụng 16 bit cao của BGP extended community (64 bit) mã hóa với một giá trị tương ứng với thành viên
VPN của site cụ thể. Khi một tuyến VPN học từ một CE chèn vào VPNv4 BGP, một danh sách các thuộc tính
community mở rộng cho VPN router target được kết hợp với nó.
RT được kèm theo định tuyến được gọi là export RT và được cấu hình riêng biệt cho mỗi VRF tại router
PE. Export RT dùng để xác định thành viên VPN và được kết hợp với mỗi VRF. Export RT được nối
thêm vào địa chỉ khách hàng khi chuyển thành địa chỉ VPNv4 bởi PE và quảng bá trong các cập
nhật MP-BGP.
Import RT kết hợp với mỗi VRF và xác định các tuyến VPNv4 được thêm vào VRF cho khách
hàng cụ thể. Định dạng của RT giống như giá trị RD.
Khi thực thi các cấu trúc mạng VPN phức tạp (như: extranet VPN, Internet access VPNs, network management
VPN,…) sử dụng công nghệ MPLS VPN thì RT giữ vai trò nòng cốt. Một địa chỉ mạng có thể được kết hợp với
một hoặc nhiều export RT khi quảng bá qua mạng MPLS VPN. Như vậy, RT có thể kết hợp với nhiều site thành
viên của nhiều VPN.
Multiprotocol BGP (MP-BGP)
MP-BGP chạy giữa các router biên nhà cung cấp để trao đổi thông tin các tuyến VPNv4. MP-BGP là mở
rộng của giao thức BGP hiện tại. Địa chỉ VPNv4 khách hàng là một địa chỉ 12 byte, kết hợp của địa chỉ IPv4
và RD. 8 byte đầu là RD; 4 byte tiếp theo là địa chỉ IPv4.
Một phiên làm việc MP-BGP giữa các PE trong một BGP AS được gọi là MP-iBGP session và kèm theo các
nguyên tắc thực thi của iBGP liên quan đến thuộc tính của BGP (BGP attributes). Nếu VPN mở rộng ra khỏi
phạm vi một AS, các VPNv4 sẽ trao đổi giữa các AS tại biên bằng MP-eBGP session.
Báo cáo thực tập - MPLS-VPN Đỗ Xuân Thái
Trang 5
Address familys
Họ địa chỉ (Address family) là một khái niệm quan trọng trong hoạt động của MP-BGP cho phép
chuyển vận các tuyến VPNv4 với các thuộc tính community mở rộng. Theo RFC 2283
“Multiprotocol Extensions for BGP-4”, BGPv4 chỉ có khả năng mang thông tin định tuyến thuộc vào
IPv4. BGP-4 có thể mang thông tin của nhiều giao thức lớp mạng. BGP-4 hỗ trợ định tuyến cho nhiều
giao thức lớp mạng, BGP-4 phải đăng ký (account) một giao thức lớp mạng cụ thể liên quan đế một trạm
kế (next hop) như NLRI (network layer reachability information).
Router P cần chạy một IGP (OSPF hoặc IS-IS) khi MPLS cho phép chuyển tiếp các gói được gán nhãn
(mặt phẳng dữ liệu – data plane) giữa các PE. IGP quảng bá các NLRI đến các P và PE để thực thi một
MP-iBGP session giữa các PE (mặt phẳng điều khiển – control plane). LDP chạy trên các router P để
gán và phân phối nhãn.
1.2.3 Hoạt động của mặt phẳng điều khiển MPLS VPN
Mặt phẳng điều khiển trong MPLS VPN chứa mọi thông tin định tuyến lớp 3 và các tiến trình trao đổi thông tin
của các IP prefix được gán và phân phối nhãn bằng LDP.
Hình 3.7: Mặt phẳng điều khiển MPLS VPN
Các bước hoạt động của mặt phẳng điều khiển MPLS VPN: Mỗi router PE quảng cáo địa chỉ loopback của nó:
PE1 quảng cáo 1.1.1.1/32 và PE2 quảng cáo 2.2.2.2/32. LDP dùng để phân phối thông tin gắn nhãn giữa các
router chạy MPLS. Trên mỗi router PE, LFIB chứa một nhãn gắn với địa chỉ loopback của router PE khác. Khi
PE1 chuyển tiếp gói từ 2.2.2.2 trên PE2, nó sẽ gắn thêm nhãn 20 cho gói và khi PE2 chuyển tiếp một gói từ
1.1.1.1, nó sẽ đặt nhãn 10 cho gói. Định tuyến và chuyển tiếp VPN được tạo trên PE1 và PE2, gọi là VPNA.
PE1 dùng giao tiếp S0/0 trong VPN này và PE2 dùng giao tiếp S0/1. OSPF chạy giữa các PE1và CE1; PE2 và
CE2. Khi PE1 nhận tuyến đường tới mạng 10.1.1.0 từ CE1, router đặt nó trong bảng định tuyến của VPNA. Lúc
này, nó gán nhãn (5) cho prefix. Khi PE2 nhận tuyến đường tới mạng 10.1.2.0 từ CE2, nó đặt vào bảng định
tuyến của VPNA. Lúc này nhãn (6) được gán cho prefix. PE1 sau đó gởi cập nhật MP-iBGP đa giao thức tới
PE2 quảng cáo mạng 10.1.1.0. Cập nhật cũng chứa nhãn (5) mà PE1 gắn cho prefix 10.1.1.0, và PE2 gắn thêm
vào bất kỳ gói nào tới mạng 10.1.1.0 trước khi nó chuyển tiếp gói. Khi PE1 quảng cáo tuyến, nó đặt địa chỉ
BGP chặng kế là 1.1.1.1/32, là địa chỉ loopback của nó. PE2 sau đó gởi cập nhật iBGP đa giao thức cho PE1
Báo cáo thực tập - MPLS-VPN Đỗ Xuân Thái
Trang 6
quảng cáo mạng 10.1.2.0. Cập nhật cũng chứa nhãn (6), mà PE2 gán cho prefix 10.1.2.0 và PE1 phải gắn thêm
vào các gói tới mạng 10.1.2.0 trước khi chuyển tiếp nó. Khi PE2 quảng cáo tuyến đường, nó đặt địa chỉ BGP
chặng kế là 2.2.2.2/32 là địa chỉ loopback của nó. PE1 đưa prefix 10.1.2.0 vào bảng định tuyến của VPNA và
PE2 đưa prefix 10.1.1.0 vào bảng định tuyến của VPNA.
1.3 Những giao thức định tuyến PE-CE.
1.3.1 Định tuyến tĩnh.
Định tuyến tĩnh là dạng định tuyến đơn giản nhất để cấu hình. Tuy nhiên, nhưng nó lại tỏ ra kém hiệu
quả khi chúng ta cần cấu hình nhiều tuyến tĩnh (static routes). Để cung cấp cho các VRF, các tuyến tĩnh
đã tạo ra VRF aware mà chúng có thể được cấu hình trên router PE cho lưu lượng tuyến trong các VRF.
Tuyến tĩnh (static route) gắn vào VRF cust-one và tuyến được đặt vào trong bảng định tuyến mà được
liên kết với VRF cust-one.
Để đảm bảo là tuyến tĩnh được học trên các router PE như là một tuyến VPNv4, chúng ta phải phân phối
các tuyến tĩnh vào BGP dưới địa chỉ family cho VRF đặc biệt.
1.3.2 RIPv2.
RIP (Routing information Protocol) là một giao thức định tuyến miền trong được sử dụng cho các hệ thống tự
trị. Giao thức thông tin định tuyến thuộc loại giao thức định tuyến khoảng cách véctơ, giao thức sử dụng giá trị
để đo lường đó là số bước nhảy (hop count) trong đường đi từ nguồn đến đích. Mỗi bước đi trong đường đi từ
nguồn đến đích được coi như có giá trị là 1 hop count. Khi một bộ định tuyến nhận được 1 bản tin cập nhật định
tuyến cho các gói tin thì nó sẽ cộng 1 vào giá trị đo lường (hop count) đồng thời cập nhật vào bảng định tuyến.
Định tuyến không theo lớp địa chỉ.
Có gửi thông tin về mặt nạ mạng con trong thông tin định tuyến.
RIP chỉ thích hợp với mạng nhỏ, yêu cầu thấp do RIP không hiểu được các cấu hình netmask, khả năng nhận
thực kém ( thiếu trường địa chỉ nguồn, chỉ có trường địa chỉ đích), không có phần địa chỉ Multicast. Các nhược
điểm trên được khắc phục với RIPv2.
RIP phiên bản 2 (RIPv2) đã cải tiến một số chi tiết kỹ thuật của RIP đầu tiên, nhưng nó vẫn bị hạn chế giao thức
định tuyến. Một số cải tiến như sau:
Bao gồm mạng cấp dưới với những tiền tố (prefixes).
Bao gồm địa chỉ kế tiếp next-hop.
Bao gồm route tag.
Quyền thẩm định (tùy ý).
Trong Cisco IOS, RIPv2 được ứng dụng như là giao thức định tuyến PE-CE, nhưng RIP phiên bản 1 thì
không.
1.3.3 OSPF (Open Shortest Path First )
Báo cáo thực tập - MPLS-VPN Đỗ Xuân Thái
Trang 7
OSPF là một giao thức định tuyến trên kết nối PE-CE. Để vận chuyển tuyến khách hàng từ PE đến PE, OSPF
được phân phối lại thành iBGP và vice versa trên các router PE. Bên dưới cái này là cái mà tất cả các tuyến
OSPF trở thành các tuyến phía ngoài trên router PE ở xa khi các tuyến được phân phối lại trở thành OSPF. Kết
quả là tất cả các tuyến OSPF truyền qua mạng trục MPLS VPN sẽ thuận tiện hơn so với các tuyến không truyền
qua mạng trục mà được gửi qua kết nối intersite (backdoor link) từ một site OSPF đến site khác.
1.3.4 EIGRP ( Enhanced IGRP ):
EIGRP router lưu trữ các thông tin về đường đi và cấu trúc mạng trên RAM, nhờ đó chúng đáp ứng
nhanh chóng theo sự thay đổi. Giống như OSPF, EIGRP cũng lưu những thông tin này thành từng bảng
và từng cơ sở dữ liệu khác nhau.
EIGRP lưu các con đường mà nó học được theo một cách đặc biệt. Mỗi con đường có trạng thái riêng và
có đánh dấu để cung cấp thêm nhiều thông tin hữu dụng khác.
EIGRP có ba loại bảng sau:
Bảng láng giềng (Neighbor table)
Bảng cấu trúc mạng ( Topology table).
Bảng định tuyến (Routing table).
Báo cáo thực tập - MPLS-VPN Đỗ Xuân Thái
Trang 8
TÓM TẮT MPLS - VPN
1. Bảng định tuyến và chuyển tiếp VPN ( VPN routing forwarding - VRF)
Sự kết hợp giữa bảng định tuyến VPN và bảng chuyển tiếp VPN tạo thành bảng định tuyến chuyển tiếp
VPN (VRF)
Mỗi VPN đều có bảng định tuyến và chuyển tiếp riêng của nó trong router PE
Mỗi router PE duy trì một hoặc nhiều bảng VRF
Một VRF đơn giản chỉ là một tập hợp các route thích hợp cho một site nào đó (hoặc một tập hợp gồm
nhiều site) kết nối đến router PE. Các route này có thể thuộc về hơn một VPN
Nếu một site thuộc vào nhiều VPN, bảng chuyển tiếp tương ứng với site đó có thể có nhiều route liên
quan đến tất cả VPN mà nó thuộc về
PE chỉ duy trì một bảng VRF trên một site
Các site khác nhau có thể chia sẽ cùng bảng VRF nếu nó sử dụng tập hợp các route một cách chính xác
giống như các route trong bảng VRF đó. Nếu tất cả các site có thông tin định tuyến giống nhau (điều này
thường là các site đó cùng thuộc về tập hợp VPN) sẽ được phép liên lạc trực tiếp với nhau và nếu kết nối
đến cùng một router PE sẽ được đặt vào cùng một bảng VRF chung.
Bất kì router PE nào trong mạng MPLS/VPN có nhiều bảng định tuyến trên mỗi VRF và một bảng định
tuyến global, bảng định tuyến này được sử dụng để tìm các router khác trong mạng nhà cung cấp dịch
vụ, cũng như tìm các đích thuộc về mạng bên ngoài (ví dụ như Internet).
Cấu trúc của bảng VRF có thể bao gồm
Bảng định tuyến IP.
Bảng chuyển tiếp.
Tập hợp các quy tắc và các tham số giao thức định tuyến (gọi là routing protocol context).
Danh sách các interface sử dụng trong VRF
2. Phân phối route VPN thông qua BGP
Để trao đổi tất cả các route của khách hàng giữa các router PE với việc triển khai một giao thức định tuyến như
là BGP, một vấn đề được đặt ra là: làm thế nào mà BGP có thể truyền nhiều prefix xác định thuộc về các khách
hàng khác nhau giữa các router PE?
BGP, trong format chuẩn của nó, chỉ có thể thực hiện được đối với các route IPv4.
Trong MPLS/VPN, mỗi VPN phải có khả năng sử dụng các IP prefix giống nhau
MP-BGP không thể làm việc đúng nếu khách hàng sử dụng cùng không gian địa chỉ.
Một giải pháp để giải quyết vấn đề này là mở rộng ip prefix khách hàng với một prefix duy nhất sẽ làm cho địa
chỉ của khách hàng trở nên duy nhất ngay cả khi có sự trùng lắp địa chỉ
Việc truyền route của khách hàng dọc mạng MPLS VPN sẽ được thực hiện như sau:
Router CE gửi cập nhật định tuyến Ipv4 đến Router PE.
Báo cáo thực tập - MPLS-VPN Đỗ Xuân Thái
Trang 9
Router PE sau đó thêm vào Route Distinguisher 64 bit vào cập nhật định tuyến Ipv4 mà nó đã nhận đó,
kết quả là tạo ra địa chỉ VPNv4 96 bit duy nhất.
Địa chỉ VPNv4 này được truyền đi thông qua phiên MP-IBGP đến các Router PE khác.
Router PE nhận sẽ loại bỏ Route Distinguisher từ địa chỉ VPNv4 tạo thành địa chỉ Ipv4 như ban đầu mà
CE đầu xa đã gửi.
Địa chỉ Ipv4 này được chuyển tiếp đến router CE khác trong bản cập nhật định tuyến Ipv4
3. Route Distinguisher (RD)
Một prefix 64 bit, được gọi là Route Distinguisher, được sử dụng trong MPLS VPN để biến đổi địa chỉ IP 32 bit
(là địa chỉ không duy nhất) thành địa chỉ 96 bit (là địa chỉ mang tính duy nhất). Địa chỉ 96 bit này sẽ đựơc
truyền giữa các router PE và được gọi là địa chỉ VPNv4 (hay còn gọi là địa chỉ VPN_Ipv4). Route distinguisher
bản thân nó không có ý nghĩa hay giá trị gì cả, nó không có mang thông tin về nguồn gốc của route hoặc về tập
hợp các VPN mà route đó được phân phối tới. Mục đích của RD chỉ là cho phép tạo ra tính duy nhất cho các
route có địa chỉ Ipv4. RD cũng có thể được sử dụng để tạo ra nhiều route khác nhau trong cùng một hệ thống.
Format của địa chỉ VPNv4
VPNv4 route là NLRI 96 bit (RD + 32 bit Ipv4 NLRI)
Một bảng VRF sẽ chỉ có một route VPNv4 cho tất cả các địa chỉ prefix 32 bit thuộc về VRF đó. Khi địa
chỉ đích của gói tin thỏa mãn (matched) được route VPNv4 thì có nghĩa là phần prefix 32 bit trong route
VPNv4 thỏa mãn địa chỉ đích đó.
Route Distinguisher được tạo ra để cho mỗi nhà cung cấp dịch vụ có thể quản trị „khoảng giá trị - numbering
space‟ của họ, họ có thể thực hiện việc đăng kí RD mà không mâu thuẫn với việc đăng kí RD của nhà cung cấp
dịch vụ khác (nghĩa là RD của mỗi nhà cung cấp dịch vụ không trùng nhau).
Format của RD bao gồm các trường: trường Type, trường Administrator , và trường Assigned number.
Trường Type: 2 byte, xác định chiều dài của hai trường còn lại.
Trường Administrator: dùng để nhận diện quyền của số được đăng kí (assigned number authority).
Trường Assigned number: bao gồm số được đăng kí cho mục đích cụ thể nào đó của nhà cung cấp
dịch vụ.
Tùy vào trường Type mà RD có format khác nhau, cấu trúc của giá trị này có thể là
ASN : nn hoặc IP-address : nn.
Với ASN là Autonomous System Number được đăng kí bởi Internet Assigned Number Authority
(IANA), và nn là số được đăng kí bởi nhà cung cấp dịch vụ đến IANA.
Báo cáo thực tập - MPLS-VPN Đỗ Xuân Thái
Trang 10
Số nn là giá trị mang tính duy nhất trên mỗi VRF, mặc dù trong môt vài trường hợp nó có thể
duy nhất trên mỗi khách hàng VPN.
Vậy VPN có thể có RD với trường Administrator là ASN hay IP-address. Nhưng cách sử dụng ASN được
khuyến khích hơn vì nó được đăng kí bởi IANA, tạo ra được tính duy nhất giữa các nhà cung cấp dịch vụ. Sử
dụng format IP-address : nn chỉ khi mạng MPLS/VPN sử dụng private AS nhưng địa chỉ VPN-Ipv4 được truyền
đi không phải bị giới hạn ở private AS (ví dụ khi trao đổi VPN route giữa các nhà cung cấp dịch vụ khác nhau).
4. Route Target (RT)
Mặc dù Route Distinguisher cho phép khách hàng VPN sử dụng cùng chung một không gian địa chỉ mạng
riêng, nhưng nó không giải quyết được vấn đề khi có nhiều khách hàng trong cùng một VPN sử dụng chung
không gian địa chỉ ở site của họ cũng như khi một site thuộc về nhiều VPN vì mỗi RD chỉ ánh xạ đến một
VPN (ánh xạ một-một). Do đó cần có một phương pháp khác dùng để nhận dạng VPN và xác định một
route nào đó thuộc về VPN nào. Khái niệm Route Target ra đời để giải quyết vấn đề đó
Chức năng được thực hiện bởi Route Target tương tự như chức năng được thực hiện bởi thuộc tính BGP
Community. Tuy nhiên, format của thuộc tính BGP Community không thích hợp, vì nó chỉ có hai byte
dành cho khoảng giá trị (numbering space). Do đó cần phải mở rộng thuộc tính Community để cung cấp
khoảng giá trị lớn hơn. Và thuộc tính này được gọi là BGP Community mở rộng (extended BGP
Community).
Thuộc tính BGP Community mở rộng trong các cập nhật định tuyến được sử dụng để mang Route
Target của cập nhật đó, từ đó sẽ xác định được cập nhật thuộc về VPN nào. Do đó, Route Target chính
là thuộc tính được gắn vào VPNv4 route.
Mỗi bảng VRF sẽ được kết hợp với một hay nhiều thuộc tính Route Target. Khi route VPNv4 được
Router PE tạo ra, nó sẽ được kết hợp với một hay nhiều thuộc tính Route Target. Bất kì route nào mang
Route Target T sẽ được phân phối đến mỗi router PE có bảng chuyển tiếp VRF có Route Target T. Khi
PE nhận được một route như vậy nó được cập nhật vào bảng VRF mà Route Target đó đã nhận diện (vì
mỗi VPN chỉ có một bảng VRF).
MPLS/VPN Route Target được gắn đến route của khách hàng tại thời điểm route đó được router PE
chuyển đổi từ route IPv4 thành route VPNv4 được gọi là RT xuất (export RT). RT xuất được cấu hình
riêng biệt cho mỗi bảng VRF trong router PE và nó sẽ nhận diện được VPN của site có bảng VRF đó.
Khi route VPNv4 được truyền đến router PE khác, các router đó cần lựa chọn route để nhập vào bảng
VRF. Sự lựa chọn này dựa vào RT nhập (import RT). Mỗi bảng định tuyến ảo trong router PE có thể có
một số RT nhập được cấu hình để nhận diện route đến là thuộc VPN nào, sau đó sẽ nhập route đó vào
bảng định tuyến ảo tương ứng.
Báo cáo thực tập - MPLS-VPN Đỗ Xuân Thái
Trang 11
Vậy làm cách nào mà router PE có thể xác định thuộc tính Route Target nào kết hợp vào với route được
cho? Có nhiều giải pháp đưa ra để thực hiện điều này.
PE có thể được cấu hình để liên kết tất cả các route đến một site nào đó với một giá trị Route Target.
PE có thể được cấu hình để liên kết một số route nào đó đến site ta quan tâm với một giá trị Route
Target.
Hoặc Router CE, khi nó phân phối các route này đến router PE (sẽ được phân tích chi tiết ở sau), có thể
chỉ ra một hoặc nhiều Route Target cho route đó.
5. Route origin
Route Target xác định được VRF nào, và do đó xác định được VPN site nào, sẽ nhận được route Mặc dù
Route Target cung cấp cơ chế để nhận diện VRF nhưng nó không cung cấp tiện ích có thể ngăn được loop
định tuyến. Loop này có thể xảy ra nếu route được học từ một site và lại quảng bá ngược trở lại site đó. Để
ngăn chặn điều này, một khái niệm khác được giới thiệu trong MPLS/VPN đó là Route Origin (RO), RO nhận
diện route xuất phát từ site nào, và từ đó site đó không nên nhận route từ bất kì router PE. Nhưng nếu mạng
backbone MPLS/VPN được thiết kế theo kiểu partitioned site (multihomed) thì không cần phải sử dụng Route
Origin, vì trong trường hợp này, các route được học từ một phần của site sẽ được quảng bá đến phần khác cũng
thuộc về site đó nhưng trên router PE ở vị trí khác.
Route Origin là một thuộc tính thuộc về thuộc tính Community mở rộng giống như Route Target. Nó
được sử dụng để ngăn chặn loop khi thuộc tính AS_Path không thể sử dụng.
6. Giao thức MP-BGP (Multiprotocol BGP)
Thuộc tính Community mở rộng (Extended Community)
Thuộc tính community mở rộng là một community được định nghĩa mang code 16 và được mã hóa thành giá trị
8 byte. Có format giống như Route Distinguisher. Hai octet đầu tiên định nghĩa loại thuộc tính, 6 octet tiếp theo
là giá trị của thuộc tính.
Type mang giá trị từ 0 đến 0x7FFF được IANA đăng kí.
Type mang giá trị từ 0x8000 đến 0xFFFF là dành cho vendor.
Route Target community mở rộng có type code là 0x0002 và 0x0102, Route Origin community mở rộng có
type code là 0x0001 và 0x0101.
Cấu trúc của trường giá trị như thế nào là phụ thuộc vào giá trị ở trường type.
Nếu trường Type mang giá trị là 0x00 thì nó có cấu trúc sau: ASN : nn
Nếu trường Type mang giá trị là 0x01 thì nó có cấu trúc là: Ip-add: nn
Multiprotocol BGP (MP-BGP)
- MP- BGP là giao thức mở rộng của BGP. Nó được sử dụng để quảng bá các route VPN khách hàng giữa
các router PE, các route được PE học được từ router CE kết nối trực tiếp vào nó.
Báo cáo thực tập - MPLS-VPN Đỗ Xuân Thái
Trang 12
- MP-BGP chỉ yêu cầu trong mạng backbone của nhà cung cấp dịch vụ. Do đó, tất cả các phiên MP-BGP
đều là internal, vì phiên được thiết lập giữa hai router thuộc về cùng một AS. Do đó ta có thể gọi giao thức này
là MP-iBGP.
- MP-BGP được yêu cầu trong kiến trúc MPLS/VPN vì cập nhật BGP cần mang nhiều thông tin hơn bên
cạnh địa chỉ Ipv4 như BGP-4. Và BGP mở rộng cung cấp nhiều khả năng (capability) thêm vào cần thiết để cho
phép BGP mang nhiều thông tin hơn. Khi phiên BGP được thiết lập giữa hai router BGP, việc trao đổi bản tin
Open khởi tạo các tham số BGP, các tham số đó như là giá trị AS (AS-number) được sử dụng bởi láng giềng.
Bản tin này cũng có thêm nhiều tham số lựa chọn (xem format của bản tin Open trong phần Bản tin BGP), một
trong các tham số lựa chọn đó là Capabilities. Một trong các Capabilities đó là multiprotocol extensions. Các
multiprotocol extensions này cung cấp cho BGP khả năng mang thêm nhiều thông tin khác ngoài địa chỉ Ipv4
trong các cập nhật định tuyến.
- Multiprotocol extensions sử dụng hai thuộc tính mới là Multiprotocol Reachable NLRI (MP-
REACH_NLRI) và Multiprotocol Unreachable NLRI (MP_UNREACH_NLRI).
MP_REACH_NLRI được sử dụng để mang thông tin về các đích hợp lệ (reachable) với thông tin
về next-hop sử dụng để chuyển tiếp gói tin đến các đích đó.
MP_UNREACH_NLRI được sử dụng để mang thông tin về các đích không hợp lệ (unreachable).
Cả hai thuộc tính nói trên là đều là thuộc tính optional non-transitive, có nghĩa là nếu router BGP nào không hỗ
trợ multiprotocol capabilities sẽ bỏ qua thông tin được mang trong các thuộc tính này, và sẽ không chuyển nó
đến router BGP khác.