Chapter 2.1 MPLS - VPN

1. VPN:
- Là 1 mạng ảo dành riêng nhưng được xây dựng trên 1 hạ tầng mạng chung
- Đặc tính cơ bản:

• Reachable: tính truy cập, gói tin có thể gửi từ 1 cty tới 1 chi nhánh trên đường VPN
• Isolated: Tính cách ly, cô lập
• Transparent: Hạ tầng của ISP phải trong suốt với minh và hạ tầng của minh phải trong suốt với ISP

- Các loại VPN:

• Overlay VPN
• Peer-to-peer VPN

2. Overlay VPN
- Do ISP cung cấp hay doanh nghiệp tự cấu hình các đường kết nối điểm – điểm giữa các site của minh
- Ví dụ:

• Frame relay: VPN trên layer 2 sử dụng các đường PVC
• ATM (layer 2)
• GRE _VPN (layer 3)
• IPSEC – VPN (layer 3)

- Các số 102, 103.. là các DLCI, các đường này chạy chung trên 1 con frame relay switch
- Ưu điểm:

• Có tính biệt lập cao giữa các VPN, giữa nhà cung cấp dịch vụ và khách hàng.
• Nhà cung cấp dịch vụ chỉ cung cấp một đường truyền,không tham gia định tuyến cùng khách hàng.

- Nhược điểm:

• Các VPN chủ yếu được khai báo tĩnh và là các đường điểm –điểm: các VC phải được khai báo tay suốt tuyến (manually configuration)
• Muốn tối ưu hóa về đường đi phải xây dựng full – mesh đấu nối các VC => tốn chi phí
• Các VPN khác nhau không liên thông được với nhau. Không cung cấp được cơ chế đi Internet

3. Peer to peer VPN
- Nhà cung cấp dịch vụ tham gia định tuyến cùng với khách hàng.
- Ưu điểm:

• Đảm bảo định tuyến tối ưu giữa các site của khách hàng.
• Có tính chất “động”: dễ dàng triển khai thêm VPN, có thể cho các VPN khác nhau liên thông với nhau, tạo được đường đi Internet.

- Nhược điểm:

• Nhà cung cấp dịch vụ phải tham gia định tuyến và chịu trách nhiệm cho sự hội tụ định tuyến của khách hàng.
• PE router (Router biên) phải chứa rất nhiều route của các khách hàng.
• Nhà cung cấp dịch vụ phải triển khai thêm các công cụ lọc route, các công cụ hỗ trợ sự trùng lặp IP giữa các khách hàng.

- Khi triển khai Peer to peer thì các router ISP tham gia định tuyến nên đảm bảo được tính Reachable.
- Nhưng nó không đảm bảo được tính Isolated. Vì Router 1A có thể đi đến cả mạng của Router 1B, 2A, 2B…

• Để 1A chỉ nhìn thấy Router 2A thì Router PE1 triển khai tính năng filter route như: Distribute list, redistribute, prefix list, redistribute, route map…

- Mỗi khách hàng khi đấu nối vào ISP sử dụng các giao thức định tuyến khác nhau như: OSPF, EIGRP … Như vậy để đáp ứng tất cả các khác hàng ISP phải chạy 1 giao thức tối ưu để có khả năng đáp ứng được đến chục ngàn route từ khách hàng. Nên lớp core của ISP sẽ sử dụng giao thức BPG

• Nhưng khi đó thì các Route của khách hàng phải khác nhau. Route của router 1A phải khác với route của 1B… => để giải quyết vấn đề này người ta đưa ra cơ chế VRF A, VRF B.

- VRF (virtual Routing Forward):

• Là một tổ hợp định tuyến và chuyển mạch đi kèm với một giao thức định tuyến trên PE router
• Lúc này trên Router PE(router biên), mỗi VRF sẽ được gán cho một VPN khác hàng

- Router PE sẽ tạo ra các bảng định tuyến chuyển mạch ải. Mỗi khách sẽ sở hữu 1 bảng định tuyến chuyển mạch ảo riêng. Các Router core bên trong thì vẫn dùng các bảng định tuyến chính thức Global Routing table

• Giải quyết được vấn đề overlap IP ở vùng ngoài Router PE. Nhưng khi redistribute các Router trên bảng RVF vào trong core lại bị trùng lặp Route.
• Cần 1 cơ chế để phân biệt các Route trong core thì người ta sử dụng 1 tham số RD (Route Distinguisher)

- RD - (Route Distinguisher) : Lúc này các route sẽ được gán thêm 1 giá trị là RD

• RD được đính kèm vào các IPv4 Prefix route để định danh duy nhất các route được trao đổi giữa các Router.
• RD là một dãy nhị phân dài 64 bit có định dạng: ASN:nn (ASN là số Autonomous system number)
• RD đính kèm với IPv4 tạo thành địa chỉ VPNv4 dài 96 bit (32 bit IPv4 + 64 bit RD)
• => BGP chỉ vận chuyển được các route IPv4 nên ngoài ta sinh ra giao thức MP - BGP để vận chuyển các route VPNv4 giữa các PE.

- RT (Route Target)

• Là một thuộc tính community mở rộng của BGP được sử dụng để xác định xem route nào nhận được từ MP –BGP sẽ được import (đưa vào) VRF.
• RT cấu trúc 16bits (AS number):16bits(số tùy thích). Nhưng 16bits đằng sau cũng có thể mở rộng thành 32bits.
• RT là thuộc tính mở rộng của BGP, có thể dùng lệnh debug ip bgp update để thấy các route update nhận về và RT của nó. Do đó RT nằm trong thuộc tính mở rộng của BGP (type 16).
• Ví dụ: RT của site A (import) = RT của site B (export) thì Site A thấy routes của Site B.

=> Đến đây là chúng ta đã giải quyết vấn đề Peer-to-peer VPN dựa vào routing hoàn toàn
- Nhược điểm

• Các Router core của ISP cũng phải chạy BPG với mô hình full mesh và chứa tất cả các Route như router PE

=> Triển khai MPLS trong lớp core ISP và chỉ Router PE mới chạy MP-BGP để đảm bảo

• Tính trong suốt
• Các Router core ISP không cần học các route của khác hàng (BGP free core)

- Kỹ thuật trên gọi là MPLS VPN.
- Ví dụ như hình dưới đây:

• Gói tin IPv4 được gởi từ CE Router đến PE Router và được cập nhật vào trong bảng VRF.
• Gói tin IPv4 sẽ được gắn vào thông số RD để phân biệt những địa chỉ IP trùng lấp trở thành địa chỉ VPNv4 và được gởi từ PE router này đến PE router khác bằng giao thức MP BGP.
• PE Router đầu xa nhận được địa chỉ VPNv4 gở bỏ giá trị RD , cho vào bảng VRF dựa vào giá trị RT để xác định cổng ra và gởi đến cho CE Router đích.

- MPLS VPN sử dụng 2 nhãn

• Nhãn đầu ra (Top – Label): Dùng để xác định Router PE đầu ra
• Nhãn thứ 2 ( Second – Label) Khi đi tới PE đầu ra thì nhãn thứ 2 sẽ được dùng để xác định VPN ( VRF đầu ra)

=> MPLS VPN là kỹ thuật peer to peer VPN trên nền MPLS với nhiều đặc tính cải tiến

terima kasih