81408667 Bao Cao Mpls VPN Layer 3

Báo cáo thực tập - MPLS-VPN Đỗ Xuân Thái

Trang 1

MPLS - VPN

1.1 Tổng quan về VPN

VPN là công nghệ cho phép kết nối các thành phần của một mạng riêng (private network) thông qua hạ

tầng mạng công cộng (Internet). VPN hoạt động dựa trên kỹ thuật tunneling: gói tin trước khi được chuyển đi

trên VPN sẽ được mã hóa và được đặt bên trong một gói tin có thể chuyển đi được trên mạng công cộng. Gói

tin được truyền đi đến đầu bên kia của kết nối VPN. Tại điểm đến bên kia của kết nối VPN, gói tin đã bị mã hóa

sẽ được “lấy ra” từ trong gói tin của mạng công cộng và được giải mã.

1.1.1 Mô hình Overlay

Hình 3.1: Mô hình overlay VPN

Khi Frame relay và ATM cung cấp cho khách hàng các mạng riêng, nhà cung cấp không thể tham gia

vào việc định tuyến khách hàng. Các nhà cung cấp dịch vụ chỉ vận chuyển dữ liệu qua các kết nối

ảo. Như vậy, nhà cung cấp chỉ cung cấp cho khách hàng kết nối ảo tại lớp 2. Đó là mô hình

Overlay.

Nếu mạch ảo là cố định, sẵn sàng cho khách hàng sử dụng mọi lúc thì được gọi là mạch ảo cố định PVC.

Nếu mạch ảo được thiết lập theo yêu cầu (on-demand) thì được gọi là mạch ảo chuyển đổi SVC.

Hạn chế chính của mô hình Overlay là các mạch ảo của các site khách hàng kết nối dạng full mesh. Nếu

có N site khách hàng thì tổng số lượng mạch ảo cần thiết N(N-1)/2.

Overlay VPN được thực thi bởi SP để cung cấp các kết nối layer 1 (physical) hay mạch chuyển vận lớp

2 (Data link – dạng dữ liệu frame hoặc cell) giữa các site khách hàng bằng cách sử dụng các thiết bị

Frame relay hay ATM Switch. Do đó, SP không thể nhận biết được việc định tuyến ở khách hàng.


Trang 2

Overlay VPN còn thực thi các dịch vụ qua layer 3 với các giao thức tạo đường hầm như GRE, IPSec…

Tuy nhiên, dù trong trường hợp nào thì mạng của nhà cung cấp vẫn trong suốt với khách hàng, và

các giao thức định tuyến chạy trực tiếp giữa các router của khách hàng.

1.1.2 Mô hình peer-to-peer

Hình 3.2: Mô hình peer-to-peer VPN

Mô hình peer-to-peer khắc phục những nhược điểm của mô hình Overlay và cung cấp cho khách hàng

cơ chế vận chuyển tối ưu qua SP backbone, vì nhà cung cấp dịch vụ biết mô hình mạng khách hàng và

do đó có thể thiết lập định tuyến tối ưu cho các định tuyến của họ.

Nhà cung cấp dịch vụ tham gia vào việc định tuyến của khách hàng. Thông tin định tuyến của khách

hàng được quảng bá qua mạng của nhà cung cấp dịch vụ. Mạng của nhà cung cấp dịch vụ xác định

đường đi tối ưu từ một site khách hàng đến một site khác.

Việc phát hiện các thông tin định tuyến riêng của khách hàng bằng cách thực hiện lọc gói (packet) tại

các router kết nối với mạng khách hàng.

Peer-to-peer VPN chia làm 2 loại:

Shared-router

Router dùng chung, tức là khách hàng VPN chia sẽ cùng router biên mạng nhà cung cấp PE. Ở

phương pháp này, nhiều khách hàng có thể kết nối đến cùng router PE.

Trên router PE phải cấu hình access-list cho mỗi interface PE-CE để đảm bảo chắc chắn sự cách ly

giữa các khách hàng VPN, để ngăn chặn VPN của khách hàng này thực hiện các tấn công từ chối


Trang 3

dịch vụ DoS vào VPN của khách hàng khác. Nhà cung cấp dịch vụ chia mỗi phần trong không gian

địa chỉ của nó cho khách hàng và quản lý việc lọc gói tin trên Router PE.

Dedicated-router

Là phương pháp mà khách hàng VPN có router PE dành riêng. Trong phương pháp này, mỗi khách

hàng VPN phải có router PE dành riêng và do đó chỉ truy cập đến các định tuyến trong bảng định

tuyến của router PE đó. Mô hình Dedicated-router sử dụng các giao thức định tuyến để tạo ra bảng

định tuyến trên một VPN trên Router PE. Bảng định tuyến chỉ có các định tuyến được quảng bá bởi

khách hàng VPN kết nối đến chúng, kết quả là tạo ra sự cách ly giữa các VPN.

1.2 Mô hình định tuyến MPLS-VPN

1.2.1 Bảng định tuyến và chuyển tiếp ảo-VRF (Virtual Routing and Forwarding table)

Khách hàng được phân biệt trên router PE bằng các bảng định tuyến ảo (virtual routing tables) hoặc các

instance, còn được gọi là VRF (virtual routing and forwarding tables/instances).

Chức năng của VRF giống như một bản định tuyến toàn cục, ngoại trừ việc nó chứa mọi tuyến liên quan

đến một VPN cụ thể.

VRF chứa một bảng định tuyến IP tương ứng với bảng định tuyến IP toàn cục, một bảng CEF, liệt kê

các cổng giao tiếp tham gia vào VRF, và một tập hợp các nguyên tắc xác định giao thức định tuyến trao

đổi với các router CE (routing protocol contexts). VRF còn chứa các định danh VPN (VPN identifier)

như thông tin thành viên VPN (RD và RT).

Hình 3.4: Bảng VRF

1.2.2 Route Distinguisher, Route Targets, MP-BGP, và Address Families

Route Distinguisher

Trong mô hình định tuyến MPLS VPN, router PE tạo ra sự cô lập giữa các khách hàng cách sử dụng các bảng

định tuyến và chuyển tiếp ảo VRF. Tuy nhiên, các route của khách hàng trong quá trình được vận chuyển qua


Trang 4

mạng backbone có thể bị chồng lấp (overlapping) với nhau khi các khách hàng sử dụng cùng không gian địa

chỉ. RD giúp tạo nên sự duy nhất giữa các route VPN và tránh việc overlapping address xảy ra.

Một prefix 64 bits được gọi là Route Distinguisher được sử dụng trong MPLS VPN để biến đổi địa chỉ IPv4 32

bits là không duy nhất thành một địa chỉ 96 bits là địa chỉ mang tính duy nhất cho mỗi VRF. Địa chỉ 96 bits này

sẽ được truyền giữa các router PE và được gọi là địa chỉ VPNv4. Mục đích của RD là tạo ra sự duy nhất cho

các route IPv4. Hình vẽ bên dưới mô tả địa chỉ VPNv4.

Hình 3.5: Địa chỉ VPNv4

Route Target

Route targets (RT) là những định danh dùng trong miền MPLS VPN khi triển khai MPLS VPN nhằm xác định

thành viên VPN của các tuyến được học từ các site cụ thể. RT được thực thi bởi các BGP community mở

rộng sử dụng 16 bit cao của BGP extended community (64 bit) mã hóa với một giá trị tương ứng với thành viên

VPN của site cụ thể. Khi một tuyến VPN học từ một CE chèn vào VPNv4 BGP, một danh sách các thuộc tính

community mở rộng cho VPN router target được kết hợp với nó.

RT được kèm theo định tuyến được gọi là export RT và được cấu hình riêng biệt cho mỗi VRF tại router

PE. Export RT dùng để xác định thành viên VPN và được kết hợp với mỗi VRF. Export RT được nối

thêm vào địa chỉ khách hàng khi chuyển thành địa chỉ VPNv4 bởi PE và quảng bá trong các cập

nhật MP-BGP.

Import RT kết hợp với mỗi VRF và xác định các tuyến VPNv4 được thêm vào VRF cho khách

hàng cụ thể. Định dạng của RT giống như giá trị RD.

Khi thực thi các cấu trúc mạng VPN phức tạp (như: extranet VPN, Internet access VPNs, network management

VPN,…) sử dụng công nghệ MPLS VPN thì RT giữ vai trò nòng cốt. Một địa chỉ mạng có thể được kết hợp với

một hoặc nhiều export RT khi quảng bá qua mạng MPLS VPN. Như vậy, RT có thể kết hợp với nhiều site thành

viên của nhiều VPN.

Multiprotocol BGP (MP-BGP)

MP-BGP chạy giữa các router biên nhà cung cấp để trao đổi thông tin các tuyến VPNv4. MP-BGP là mở

rộng của giao thức BGP hiện tại. Địa chỉ VPNv4 khách hàng là một địa chỉ 12 byte, kết hợp của địa chỉ IPv4

và RD. 8 byte đầu là RD; 4 byte tiếp theo là địa chỉ IPv4.

Một phiên làm việc MP-BGP giữa các PE trong một BGP AS được gọi là MP-iBGP session và kèm theo các

nguyên tắc thực thi của iBGP liên quan đến thuộc tính của BGP (BGP attributes). Nếu VPN mở rộng ra khỏi

phạm vi một AS, các VPNv4 sẽ trao đổi giữa các AS tại biên bằng MP-eBGP session.


Trang 5

Address familys

Họ địa chỉ (Address family) là một khái niệm quan trọng trong hoạt động của MP-BGP cho phép

chuyển vận các tuyến VPNv4 với các thuộc tính community mở rộng. Theo RFC 2283

“Multiprotocol Extensions for BGP-4”, BGPv4 chỉ có khả năng mang thông tin định tuyến thuộc vào

IPv4. BGP-4 có thể mang thông tin của nhiều giao thức lớp mạng. BGP-4 hỗ trợ định tuyến cho nhiều

giao thức lớp mạng, BGP-4 phải đăng ký (account) một giao thức lớp mạng cụ thể liên quan đế một trạm

kế (next hop) như NLRI (network layer reachability information).

Router P cần chạy một IGP (OSPF hoặc IS-IS) khi MPLS cho phép chuyển tiếp các gói được gán nhãn

(mặt phẳng dữ liệu – data plane) giữa các PE. IGP quảng bá các NLRI đến các P và PE để thực thi một

MP-iBGP session giữa các PE (mặt phẳng điều khiển – control plane). LDP chạy trên các router P để

gán và phân phối nhãn.

1.2.3 Hoạt động của mặt phẳng điều khiển MPLS VPN

Mặt phẳng điều khiển trong MPLS VPN chứa mọi thông tin định tuyến lớp 3 và các tiến trình trao đổi thông tin

của các IP prefix được gán và phân phối nhãn bằng LDP.

Hình 3.7: Mặt phẳng điều khiển MPLS VPN

Các bước hoạt động của mặt phẳng điều khiển MPLS VPN: Mỗi router PE quảng cáo địa chỉ loopback của nó:

PE1 quảng cáo 1.1.1.1/32 và PE2 quảng cáo 2.2.2.2/32. LDP dùng để phân phối thông tin gắn nhãn giữa các

router chạy MPLS. Trên mỗi router PE, LFIB chứa một nhãn gắn với địa chỉ loopback của router PE khác. Khi

PE1 chuyển tiếp gói từ 2.2.2.2 trên PE2, nó sẽ gắn thêm nhãn 20 cho gói và khi PE2 chuyển tiếp một gói từ

1.1.1.1, nó sẽ đặt nhãn 10 cho gói. Định tuyến và chuyển tiếp VPN được tạo trên PE1 và PE2, gọi là VPNA.

PE1 dùng giao tiếp S0/0 trong VPN này và PE2 dùng giao tiếp S0/1. OSPF chạy giữa các PE1và CE1; PE2 và

CE2. Khi PE1 nhận tuyến đường tới mạng 10.1.1.0 từ CE1, router đặt nó trong bảng định tuyến của VPNA. Lúc

này, nó gán nhãn (5) cho prefix. Khi PE2 nhận tuyến đường tới mạng 10.1.2.0 từ CE2, nó đặt vào bảng định

tuyến của VPNA. Lúc này nhãn (6) được gán cho prefix. PE1 sau đó gởi cập nhật MP-iBGP đa giao thức tới

PE2 quảng cáo mạng 10.1.1.0. Cập nhật cũng chứa nhãn (5) mà PE1 gắn cho prefix 10.1.1.0, và PE2 gắn thêm

vào bất kỳ gói nào tới mạng 10.1.1.0 trước khi nó chuyển tiếp gói. Khi PE1 quảng cáo tuyến, nó đặt địa chỉ

BGP chặng kế là 1.1.1.1/32, là địa chỉ loopback của nó. PE2 sau đó gởi cập nhật iBGP đa giao thức cho PE1


Trang 6

quảng cáo mạng 10.1.2.0. Cập nhật cũng chứa nhãn (6), mà PE2 gán cho prefix 10.1.2.0 và PE1 phải gắn thêm

vào các gói tới mạng 10.1.2.0 trước khi chuyển tiếp nó. Khi PE2 quảng cáo tuyến đường, nó đặt địa chỉ BGP

chặng kế là 2.2.2.2/32 là địa chỉ loopback của nó. PE1 đưa prefix 10.1.2.0 vào bảng định tuyến của VPNA và

PE2 đưa prefix 10.1.1.0 vào bảng định tuyến của VPNA.

1.3 Những giao thức định tuyến PE-CE.

1.3.1 Định tuyến tĩnh.

Định tuyến tĩnh là dạng định tuyến đơn giản nhất để cấu hình. Tuy nhiên, nhưng nó lại tỏ ra kém hiệu

quả khi chúng ta cần cấu hình nhiều tuyến tĩnh (static routes). Để cung cấp cho các VRF, các tuyến tĩnh

đã tạo ra VRF aware mà chúng có thể được cấu hình trên router PE cho lưu lượng tuyến trong các VRF.

Tuyến tĩnh (static route) gắn vào VRF cust-one và tuyến được đặt vào trong bảng định tuyến mà được

liên kết với VRF cust-one.

Để đảm bảo là tuyến tĩnh được học trên các router PE như là một tuyến VPNv4, chúng ta phải phân phối

các tuyến tĩnh vào BGP dưới địa chỉ family cho VRF đặc biệt.

1.3.2 RIPv2.

RIP (Routing information Protocol) là một giao thức định tuyến miền trong được sử dụng cho các hệ thống tự

trị. Giao thức thông tin định tuyến thuộc loại giao thức định tuyến khoảng cách véctơ, giao thức sử dụng giá trị

để đo lường đó là số bước nhảy (hop count) trong đường đi từ nguồn đến đích. Mỗi bước đi trong đường đi từ

nguồn đến đích được coi như có giá trị là 1 hop count. Khi một bộ định tuyến nhận được 1 bản tin cập nhật định

tuyến cho các gói tin thì nó sẽ cộng 1 vào giá trị đo lường (hop count) đồng thời cập nhật vào bảng định tuyến.

Định tuyến không theo lớp địa chỉ.

Có gửi thông tin về mặt nạ mạng con trong thông tin định tuyến.

RIP chỉ thích hợp với mạng nhỏ, yêu cầu thấp do RIP không hiểu được các cấu hình netmask, khả năng nhận

thực kém ( thiếu trường địa chỉ nguồn, chỉ có trường địa chỉ đích), không có phần địa chỉ Multicast. Các nhược

điểm trên được khắc phục với RIPv2.

RIP phiên bản 2 (RIPv2) đã cải tiến một số chi tiết kỹ thuật của RIP đầu tiên, nhưng nó vẫn bị hạn chế giao thức

định tuyến. Một số cải tiến như sau:

Bao gồm mạng cấp dưới với những tiền tố (prefixes).

Bao gồm địa chỉ kế tiếp next-hop.

Bao gồm route tag.

Quyền thẩm định (tùy ý).

Trong Cisco IOS, RIPv2 được ứng dụng như là giao thức định tuyến PE-CE, nhưng RIP phiên bản 1 thì

không.

1.3.3 OSPF (Open Shortest Path First )


Trang 7

OSPF là một giao thức định tuyến trên kết nối PE-CE. Để vận chuyển tuyến khách hàng từ PE đến PE, OSPF

được phân phối lại thành iBGP và vice versa trên các router PE. Bên dưới cái này là cái mà tất cả các tuyến

OSPF trở thành các tuyến phía ngoài trên router PE ở xa khi các tuyến được phân phối lại trở thành OSPF. Kết

quả là tất cả các tuyến OSPF truyền qua mạng trục MPLS VPN sẽ thuận tiện hơn so với các tuyến không truyền

qua mạng trục mà được gửi qua kết nối intersite (backdoor link) từ một site OSPF đến site khác.

1.3.4 EIGRP ( Enhanced IGRP ):

EIGRP router lưu trữ các thông tin về đường đi và cấu trúc mạng trên RAM, nhờ đó chúng đáp ứng

nhanh chóng theo sự thay đổi. Giống như OSPF, EIGRP cũng lưu những thông tin này thành từng bảng

và từng cơ sở dữ liệu khác nhau.

EIGRP lưu các con đường mà nó học được theo một cách đặc biệt. Mỗi con đường có trạng thái riêng và

có đánh dấu để cung cấp thêm nhiều thông tin hữu dụng khác.

EIGRP có ba loại bảng sau:

Bảng láng giềng (Neighbor table)

Bảng cấu trúc mạng ( Topology table).

Bảng định tuyến (Routing table).


Trang 8

TÓM TẮT MPLS - VPN

1. Bảng định tuyến và chuyển tiếp VPN ( VPN routing forwarding - VRF)

Sự kết hợp giữa bảng định tuyến VPN và bảng chuyển tiếp VPN tạo thành bảng định tuyến chuyển tiếp

VPN (VRF)

Mỗi VPN đều có bảng định tuyến và chuyển tiếp riêng của nó trong router PE

Mỗi router PE duy trì một hoặc nhiều bảng VRF

Một VRF đơn giản chỉ là một tập hợp các route thích hợp cho một site nào đó (hoặc một tập hợp gồm

nhiều site) kết nối đến router PE. Các route này có thể thuộc về hơn một VPN

Nếu một site thuộc vào nhiều VPN, bảng chuyển tiếp tương ứng với site đó có thể có nhiều route liên

quan đến tất cả VPN mà nó thuộc về

PE chỉ duy trì một bảng VRF trên một site

Các site khác nhau có thể chia sẽ cùng bảng VRF nếu nó sử dụng tập hợp các route một cách chính xác

giống như các route trong bảng VRF đó. Nếu tất cả các site có thông tin định tuyến giống nhau (điều này

thường là các site đó cùng thuộc về tập hợp VPN) sẽ được phép liên lạc trực tiếp với nhau và nếu kết nối

đến cùng một router PE sẽ được đặt vào cùng một bảng VRF chung.

Bất kì router PE nào trong mạng MPLS/VPN có nhiều bảng định tuyến trên mỗi VRF và một bảng định

tuyến global, bảng định tuyến này được sử dụng để tìm các router khác trong mạng nhà cung cấp dịch

vụ, cũng như tìm các đích thuộc về mạng bên ngoài (ví dụ như Internet).

Cấu trúc của bảng VRF có thể bao gồm

Bảng định tuyến IP.

Bảng chuyển tiếp.

Tập hợp các quy tắc và các tham số giao thức định tuyến (gọi là routing protocol context).

Danh sách các interface sử dụng trong VRF

2. Phân phối route VPN thông qua BGP

Để trao đổi tất cả các route của khách hàng giữa các router PE với việc triển khai một giao thức định tuyến như

là BGP, một vấn đề được đặt ra là: làm thế nào mà BGP có thể truyền nhiều prefix xác định thuộc về các khách

hàng khác nhau giữa các router PE?

BGP, trong format chuẩn của nó, chỉ có thể thực hiện được đối với các route IPv4.

Trong MPLS/VPN, mỗi VPN phải có khả năng sử dụng các IP prefix giống nhau

MP-BGP không thể làm việc đúng nếu khách hàng sử dụng cùng không gian địa chỉ.

Một giải pháp để giải quyết vấn đề này là mở rộng ip prefix khách hàng với một prefix duy nhất sẽ làm cho địa

chỉ của khách hàng trở nên duy nhất ngay cả khi có sự trùng lắp địa chỉ

Việc truyền route của khách hàng dọc mạng MPLS VPN sẽ được thực hiện như sau:

Router CE gửi cập nhật định tuyến Ipv4 đến Router PE.


Trang 9

Router PE sau đó thêm vào Route Distinguisher 64 bit vào cập nhật định tuyến Ipv4 mà nó đã nhận đó,

kết quả là tạo ra địa chỉ VPNv4 96 bit duy nhất.

Địa chỉ VPNv4 này được truyền đi thông qua phiên MP-IBGP đến các Router PE khác.

Router PE nhận sẽ loại bỏ Route Distinguisher từ địa chỉ VPNv4 tạo thành địa chỉ Ipv4 như ban đầu mà

CE đầu xa đã gửi.

Địa chỉ Ipv4 này được chuyển tiếp đến router CE khác trong bản cập nhật định tuyến Ipv4

3. Route Distinguisher (RD)

Một prefix 64 bit, được gọi là Route Distinguisher, được sử dụng trong MPLS VPN để biến đổi địa chỉ IP 32 bit

(là địa chỉ không duy nhất) thành địa chỉ 96 bit (là địa chỉ mang tính duy nhất). Địa chỉ 96 bit này sẽ đựơc

truyền giữa các router PE và được gọi là địa chỉ VPNv4 (hay còn gọi là địa chỉ VPN_Ipv4). Route distinguisher

bản thân nó không có ý nghĩa hay giá trị gì cả, nó không có mang thông tin về nguồn gốc của route hoặc về tập

hợp các VPN mà route đó được phân phối tới. Mục đích của RD chỉ là cho phép tạo ra tính duy nhất cho các

route có địa chỉ Ipv4. RD cũng có thể được sử dụng để tạo ra nhiều route khác nhau trong cùng một hệ thống.

Format của địa chỉ VPNv4

VPNv4 route là NLRI 96 bit (RD + 32 bit Ipv4 NLRI)

Một bảng VRF sẽ chỉ có một route VPNv4 cho tất cả các địa chỉ prefix 32 bit thuộc về VRF đó. Khi địa

chỉ đích của gói tin thỏa mãn (matched) được route VPNv4 thì có nghĩa là phần prefix 32 bit trong route

VPNv4 thỏa mãn địa chỉ đích đó.

Route Distinguisher được tạo ra để cho mỗi nhà cung cấp dịch vụ có thể quản trị „khoảng giá trị - numbering

space‟ của họ, họ có thể thực hiện việc đăng kí RD mà không mâu thuẫn với việc đăng kí RD của nhà cung cấp

dịch vụ khác (nghĩa là RD của mỗi nhà cung cấp dịch vụ không trùng nhau).

Format của RD bao gồm các trường: trường Type, trường Administrator , và trường Assigned number.

Trường Type: 2 byte, xác định chiều dài của hai trường còn lại.

Trường Administrator: dùng để nhận diện quyền của số được đăng kí (assigned number authority).

Trường Assigned number: bao gồm số được đăng kí cho mục đích cụ thể nào đó của nhà cung cấp

dịch vụ.

Tùy vào trường Type mà RD có format khác nhau, cấu trúc của giá trị này có thể là

ASN : nn hoặc IP-address : nn.

Với ASN là Autonomous System Number được đăng kí bởi Internet Assigned Number Authority

(IANA), và nn là số được đăng kí bởi nhà cung cấp dịch vụ đến IANA.


Trang 10

Số nn là giá trị mang tính duy nhất trên mỗi VRF, mặc dù trong môt vài trường hợp nó có thể

duy nhất trên mỗi khách hàng VPN.

Vậy VPN có thể có RD với trường Administrator là ASN hay IP-address. Nhưng cách sử dụng ASN được

khuyến khích hơn vì nó được đăng kí bởi IANA, tạo ra được tính duy nhất giữa các nhà cung cấp dịch vụ. Sử

dụng format IP-address : nn chỉ khi mạng MPLS/VPN sử dụng private AS nhưng địa chỉ VPN-Ipv4 được truyền

đi không phải bị giới hạn ở private AS (ví dụ khi trao đổi VPN route giữa các nhà cung cấp dịch vụ khác nhau).

4. Route Target (RT)

Mặc dù Route Distinguisher cho phép khách hàng VPN sử dụng cùng chung một không gian địa chỉ mạng

riêng, nhưng nó không giải quyết được vấn đề khi có nhiều khách hàng trong cùng một VPN sử dụng chung

không gian địa chỉ ở site của họ cũng như khi một site thuộc về nhiều VPN vì mỗi RD chỉ ánh xạ đến một

VPN (ánh xạ một-một). Do đó cần có một phương pháp khác dùng để nhận dạng VPN và xác định một

route nào đó thuộc về VPN nào. Khái niệm Route Target ra đời để giải quyết vấn đề đó

Chức năng được thực hiện bởi Route Target tương tự như chức năng được thực hiện bởi thuộc tính BGP

Community. Tuy nhiên, format của thuộc tính BGP Community không thích hợp, vì nó chỉ có hai byte

dành cho khoảng giá trị (numbering space). Do đó cần phải mở rộng thuộc tính Community để cung cấp

khoảng giá trị lớn hơn. Và thuộc tính này được gọi là BGP Community mở rộng (extended BGP

Community).

Thuộc tính BGP Community mở rộng trong các cập nhật định tuyến được sử dụng để mang Route

Target của cập nhật đó, từ đó sẽ xác định được cập nhật thuộc về VPN nào. Do đó, Route Target chính

là thuộc tính được gắn vào VPNv4 route.

Mỗi bảng VRF sẽ được kết hợp với một hay nhiều thuộc tính Route Target. Khi route VPNv4 được

Router PE tạo ra, nó sẽ được kết hợp với một hay nhiều thuộc tính Route Target. Bất kì route nào mang

Route Target T sẽ được phân phối đến mỗi router PE có bảng chuyển tiếp VRF có Route Target T. Khi

PE nhận được một route như vậy nó được cập nhật vào bảng VRF mà Route Target đó đã nhận diện (vì

mỗi VPN chỉ có một bảng VRF).

MPLS/VPN Route Target được gắn đến route của khách hàng tại thời điểm route đó được router PE

chuyển đổi từ route IPv4 thành route VPNv4 được gọi là RT xuất (export RT). RT xuất được cấu hình

riêng biệt cho mỗi bảng VRF trong router PE và nó sẽ nhận diện được VPN của site có bảng VRF đó.

Khi route VPNv4 được truyền đến router PE khác, các router đó cần lựa chọn route để nhập vào bảng

VRF. Sự lựa chọn này dựa vào RT nhập (import RT). Mỗi bảng định tuyến ảo trong router PE có thể có

một số RT nhập được cấu hình để nhận diện route đến là thuộc VPN nào, sau đó sẽ nhập route đó vào

bảng định tuyến ảo tương ứng.


Trang 11

Vậy làm cách nào mà router PE có thể xác định thuộc tính Route Target nào kết hợp vào với route được

cho? Có nhiều giải pháp đưa ra để thực hiện điều này.

PE có thể được cấu hình để liên kết tất cả các route đến một site nào đó với một giá trị Route Target.

PE có thể được cấu hình để liên kết một số route nào đó đến site ta quan tâm với một giá trị Route

Target.

Hoặc Router CE, khi nó phân phối các route này đến router PE (sẽ được phân tích chi tiết ở sau), có thể

chỉ ra một hoặc nhiều Route Target cho route đó.

5. Route origin

Route Target xác định được VRF nào, và do đó xác định được VPN site nào, sẽ nhận được route Mặc dù

Route Target cung cấp cơ chế để nhận diện VRF nhưng nó không cung cấp tiện ích có thể ngăn được loop

định tuyến. Loop này có thể xảy ra nếu route được học từ một site và lại quảng bá ngược trở lại site đó. Để

ngăn chặn điều này, một khái niệm khác được giới thiệu trong MPLS/VPN đó là Route Origin (RO), RO nhận

diện route xuất phát từ site nào, và từ đó site đó không nên nhận route từ bất kì router PE. Nhưng nếu mạng

backbone MPLS/VPN được thiết kế theo kiểu partitioned site (multihomed) thì không cần phải sử dụng Route

Origin, vì trong trường hợp này, các route được học từ một phần của site sẽ được quảng bá đến phần khác cũng

thuộc về site đó nhưng trên router PE ở vị trí khác.

Route Origin là một thuộc tính thuộc về thuộc tính Community mở rộng giống như Route Target. Nó

được sử dụng để ngăn chặn loop khi thuộc tính AS_Path không thể sử dụng.

6. Giao thức MP-BGP (Multiprotocol BGP)

Thuộc tính Community mở rộng (Extended Community)

Thuộc tính community mở rộng là một community được định nghĩa mang code 16 và được mã hóa thành giá trị

8 byte. Có format giống như Route Distinguisher. Hai octet đầu tiên định nghĩa loại thuộc tính, 6 octet tiếp theo

là giá trị của thuộc tính.

Type mang giá trị từ 0 đến 0x7FFF được IANA đăng kí.

Type mang giá trị từ 0x8000 đến 0xFFFF là dành cho vendor.

Route Target community mở rộng có type code là 0x0002 và 0x0102, Route Origin community mở rộng có

type code là 0x0001 và 0x0101.

Cấu trúc của trường giá trị như thế nào là phụ thuộc vào giá trị ở trường type.

Nếu trường Type mang giá trị là 0x00 thì nó có cấu trúc sau: ASN : nn

Nếu trường Type mang giá trị là 0x01 thì nó có cấu trúc là: Ip-add: nn

Multiprotocol BGP (MP-BGP)

- MP- BGP là giao thức mở rộng của BGP. Nó được sử dụng để quảng bá các route VPN khách hàng giữa

các router PE, các route được PE học được từ router CE kết nối trực tiếp vào nó.


Trang 12

- MP-BGP chỉ yêu cầu trong mạng backbone của nhà cung cấp dịch vụ. Do đó, tất cả các phiên MP-BGP

đều là internal, vì phiên được thiết lập giữa hai router thuộc về cùng một AS. Do đó ta có thể gọi giao thức này

là MP-iBGP.

- MP-BGP được yêu cầu trong kiến trúc MPLS/VPN vì cập nhật BGP cần mang nhiều thông tin hơn bên

cạnh địa chỉ Ipv4 như BGP-4. Và BGP mở rộng cung cấp nhiều khả năng (capability) thêm vào cần thiết để cho

phép BGP mang nhiều thông tin hơn. Khi phiên BGP được thiết lập giữa hai router BGP, việc trao đổi bản tin

Open khởi tạo các tham số BGP, các tham số đó như là giá trị AS (AS-number) được sử dụng bởi láng giềng.

Bản tin này cũng có thêm nhiều tham số lựa chọn (xem format của bản tin Open trong phần Bản tin BGP), một

trong các tham số lựa chọn đó là Capabilities. Một trong các Capabilities đó là multiprotocol extensions. Các

multiprotocol extensions này cung cấp cho BGP khả năng mang thêm nhiều thông tin khác ngoài địa chỉ Ipv4

trong các cập nhật định tuyến.

- Multiprotocol extensions sử dụng hai thuộc tính mới là Multiprotocol Reachable NLRI (MP-

REACH_NLRI) và Multiprotocol Unreachable NLRI (MP_UNREACH_NLRI).

MP_REACH_NLRI được sử dụng để mang thông tin về các đích hợp lệ (reachable) với thông tin

về next-hop sử dụng để chuyển tiếp gói tin đến các đích đó.

MP_UNREACH_NLRI được sử dụng để mang thông tin về các đích không hợp lệ (unreachable).

Cả hai thuộc tính nói trên là đều là thuộc tính optional non-transitive, có nghĩa là nếu router BGP nào không hỗ

trợ multiprotocol capabilities sẽ bỏ qua thông tin được mang trong các thuộc tính này, và sẽ không chuyển nó

đến router BGP khác.

81408667 Bao Cao Mpls VPN Layer 3

Documents