Sơ đồ tổng quan về MPLS VPN
Hình trên cho chúng ta thấy tổng quan về một mô hình MPLS VPN với đầy đủ các thành phần cơ bản nhất. Một nhà cung cấp dịch vụ đang cung cấp các cơ sở hạ tầng chung phổ biến mà khách hàng sử dụng. Điều quan trọng là làm quen với các thuật ngữ liên quan đến MPLS VPN. Trong mạng của nhà cung cấp dịch vụ, chúng ta có thể thấy các router P và PE.
Vậy chúng là gì ? Chức năng của từng router này ra sao? Router PE (PE – Provider Edge) là router biên của mạng nhà cung cấp dịch vụ. Nó kết nối với router biên của khách hàng là router CE (CE – Customer Edge). Router P (Provider router) là router trong mạng nhà cung cấp dịch vụ, nó không có kết nối trực tiếp với các router của khách hàng.
Trong việc triển khai MPLS VPN, cả router P và router PE đều chạy MPLS. Điều này có nghĩa là nó có khả năng phân phối các nhãn giữa nó và chuyển tiếp các gói tin đã gán nhãn. Trong mạng của khách hàng, có các router C và CE. Một router CE có kết nối trực tiếp ở lớp 3 với router PE. Một router khách hàng (C – Customer router) là một router không có đường kết nối trực tiếp đến router PE. Router CE thì không cần phải chạy MPLS. Vì CE và PE giao tiếp với nhau ở lớp 3 nên nó phải chạy một giao thức định tuyến (hoặc chạy định tuyến tĩnh). Router CE có duy nhất một mạng ngang hàng bên ngoài đó là router PE.
Nếu mạng khách hàng có nhiều CE thì nó có thể ngang hàng với nhiều PE. Router CE thì không có ngang hàng với bất kỳ một router CE nào đến từ các site khác qua mạng nhà cung cấp dịch vụ như với mô hình overlay. Cái tên mô hình peer-to-peer xuất phát từ thực tế là CE và PE tạo thành một mạng ngang hàng ở lớp 3. Chữ P trong VPN là viết tắt của từ Private (Riêng tư). Như vậy khách hàng của nhà cung cấp dịch vụ được phép có sơ đồ địa chỉ IP của riêng họ.
Điều này có nghĩa là họ có thể sử dụng các địa chỉ IP đăng ký mà còn có thể sử dụng các địa chỉ IP private hoặc thậm chí là sử dụng các địa chỉ IP đã được khách hàng khác sử dụng để kết nối đến cùng nhà cung cấp dịch vụ - cho phép sử dụng địa chỉ IP trùng lắp. Nếu các gói tin đã được chuyển tiếp như các gói tin IP trong mạng nhà cung cấp dịch vụ, điều này sẽ gây ra vấn đề, vì các router P sẽ bị nhầm lẫn. Nếu như các địa chỉ IP private và trùng lắp không được cho phép, khi đó mỗi khách hàng sẽ phải sử một phạm vi địa chỉ duy nhất.
Trong trường hợp này, các gói tin có thể được chuyển tiếp bằng cách nhìn vào các địa chỉ IP đích trên mỗi router trong mạng nhà cung cấp dịch vụ. Điều này có nghĩa là tất cả router P và PE phải có một bảng định tuyến hoàn chỉnh cho mỗi khách hàng. Đây sẽ là một bảng định tuyến lớn. Chỉ duy nhất giao thức định tuyến có khả năng mang một số lượng lớn các route đó là Border Gateway Protocol (BGP). Điều này có nghĩa rằng tất cả các router P và PE sẽ phải chạy internal BGP giữa chúng.
Tuy nhiên, đó không phải là một sơ đồ VPN, bởi vì nó không có tính riêng tư cho khách hàng. Một giải pháp khác là mỗi router P và PE có một bảng định tuyến riêng cho mỗi khách hàng. Nhiều quy trình của một giao thức định tuyến (một quá trình trên mỗi VPN) có thể được chạy trên tất cả các router để phân phối các route VPN. Chạy một quy trình định tuyến trên mỗi VPN trên mọi router P thì không có khả năng mở rộng. Mỗi lần một VPN được thêm vào mạng, một quy trình định tuyến mới phải được thêm vào tất cả router P.
Hơn nữa, nếu một gói tin IP đi vào một router P, làm thế nào để router P xác định được gói tin đó thuộc về VPN nào để tìm ra bảng định tuyến riêng cho nó để chuyển tiếp gói tin ? Nếu một gói tin là gói tin IP, điều đó là không thể. Bạn có thể thêm một trường mở rộng để gói tin IP chỉ ra VNP nó thuộc về. Các router P sau đó có thể chuyển tiếp các gói tin IP bằng cách nhìn vào trường thêm này và địa chỉ IP đích. Một lần nữa, tất cả các router P sẽ phải biết về trường mở rộng này. Một giải pháp mở rộng sẽ có các router P hoàn toàn không biết gì về các VPN. Khi đó các router P sẽ không phải chịu gánh nặng với việc chứa các thông tin định tuyến của VPN.
Chúng ta có thể đạt được điều đó bằng cách sử dụng MPLS. Các gói tin IP khách hàng sẽ được dán nhãn ở trong mạng nhà cung cấp dịch vụ để đạt được sự riêng tư cho VPN mỗi khách hàng. Hơn nữa, những con router P sẽ không còn cân phải có bảng định tuyến của các khách hàng bằng cách sử dụng hai nhãn MPLS. Do đó, BGP thì không còn cần trên các router P. Các định tuyến VPN chỉ được biết trên các router PE. Như vậy, các kiến thức VPN chỉ xuất hiện trên các router biên của mạng MPLS VPN.
Mô hình MPLS VPN – chuyển mạch các gói tin nhãn trong mạng nhà cung cấp dịch vụ và các router PE biết về VPN
Nguyễn Xuân Cảnh – VnPro