1. Cơ chế truyền thông tin của khách hàng theo mạng MPLS-VPN
Bộ định tuyến CE gửi cập nhật định tuyến IP đến bộ định tuyến PE. Bộ định tuyến PE sau đó thêm trường phân biệt tuyến (64bit) vào trường địa chỉ IP (32bit) mà nó đã nhận, kết quả là tạo ra địa chỉ VPN-IP 96 bit duy nhất. Địa chỉ VPN-IP này được truyền đi thông qua phiên MP-BGP đến các bộ định tuyến PE khác. Bộ định tuyến PE nhận sẽ loại bỏ trường phân biệt tuyến từ địa chỉ VPN-IP để tạo thành IP như ban đầu mà CE đầu xa đã gửi.
Địa chỉ IP này được chuyển tiếp đến bộ định tuyến CE khác trong bản cập nhật định tuyến IP. Địa chỉ VPN-IP chỉ được xử lý trong các giao thức định tuyến chứ không được tải trong phần mào đầu của gói IP. Vì vậy VPN-IP không thể sử dụng một cách trực tiếp để chuyển gói. Nhiệm vụ chuyển tiếp các gói được thực hiện dựa trên MPLS.
Chuyển tiếp dữ liệu qua mạng MPLS
Để hiểu rõ hơn cơ chế hoạt động của quá trình chuyển tiếp các gói VPN ta xem hình trên. Trong ví dụ PE1 là bộ định tuyến đầu vào, còn PE2 là bộ định tuyến đầu ra. Bộ định tuyến PE đầu vào có hai nhãn liên quan tới tuyến VPN đầu xa. Một nhãn dành cho BGP next-hop, được đăng kí bởi bộ định tuyến P kế tiếp thông qua giao thức phấn bố nhãn LDP và được lấy tứ LIB cục bộ. Còn nhãn thứ hai được đăng ký bởi bộ định tuyến PE đầu ra và được truyền đi thông qua các cập nhật MP-iBGP. Cả hai nhãn này được kết hợp trong ngăn xếp nhãn và đưa vào bảng VRF.
Giả sử đường dẫn chuyển mạch nhãn LSP đã được thiết lập giữa PE1 và PE2, và host1 muốn gửi dữ liệu đến host 2. Host 1 gửi gói tin đến bộ định tuyến CE1. CE1 sẽ đóng gói gói tin và chuyển đến PE1. PE1 nhận gói tin, và dựa trên giao diện mà gói tin đến, nó quyết định sử dụng bảng chuyển tiếp của VRF A để định tuyến gói tin. PE1 kiểm tra địa chỉ đích của host 2 trong bảng chuyển tiếp của VRF A và tìm thấy có địa chỉ trong đó. PE1 dán nhãn 16 vào gói tin. Đây là nhãn bên trong để nhận diện VRF trên bộ định tuyến PE2. Nhãn 16 trước đó đã được chuyển từ PE2 đến PE1 thông qua phiên làm việc MP-iBGP.
Tiếp theo, PE1 dán thêm nhãn 21 vào gói tin và chuyển gói đã dán nhãn đến bộ định tuyến P1. Nhãn 21 được đặt vào trong ngăn xếp sau nhãn 16. Như vậy, nhãn 21 là nhãn bên ngoài và sẽ được thay đổi sau mỗi phân đoạn giữa hai bộ định tuyến LSR với nhau. P1 nhận gói tin từ PE1 và lấy nhãn 21 ra để kiểm tra trong bảng chuyển tiếp. Nó quyết định dán nhãn 19 thay cho nhãn 21 rồi chuyển tiếp gói tin đến P2. P2 nhận gói tin và lấy nhãn 19 ra để kiểm tra trong bảng chuyển tiếp.
Kết quả kiểm tra chỉ thị rằng nó phải dán nhãn 46 thay cho nhãn 19 rồi chuyển tiếp gói tin đến PE2. PE2 nhận gói tin từ P2, kiểm tra nhãn 46. PE2 được nhận biết là bộ định tuyến đầu ra của đường chuyển mạch nhãn LSP nên nó giải phóng nhãn 46. Sau đó nó kiểm tra nhãn tiếp theo là 16 và xác định được gói tin sẽ đi đến VRF A. Địa chỉ IP của gói tin được kiểm tra trong VRF A để xác định đích và giao diện đầu ra cho gói tin. PE2 chuyển tiếp gói tin đến CE6. CE6 nhận gói tin IP từ PE2 và kiểm tra địa chỉ đích host2.
Tại đây việc định tuyến được thực hiện dựa trên các giao thức định tuyến IGP thông thường. Mô hình hệ thống trên có hai mạng riêng ảo là VPN A và VPN B. VPN A bao gồm có CE1, CE5 và CE6. VPN B bao gồm có CE2, CE3 và CE4. CE1 có lưu lượng đến đích là CE5 và CE6. Vì các site này cùng chung một VPN, nên PE1 sử dụng chung bảng chuyển tiếp là VRF A.
Nhãn bên trong xác định VRF đích và nó giống nhau trong tất cả các gói tin thuộc vể VPN đó, ngay cả nếu các gói tin này được chuyển đến các site khác nhau. CE2 và CE3 có lưu lượng đến đích là CE4. Vì các bộ định tuyến này thuộc về VPN B, PE1 sử dụng bảng chuyển tiếp khác cho VPN này là VRF B. Tuy nhiên, cả hai VPN sử dụng cùng một đường chuyển mạch nhãn LSP vì chúng đều có cùng bộ định tuyến vào PE1 và bộ định tuyến ra PE2.
2. Hoạt động của mặt phẳng dữ liệu MPLS VPN
Hình sau mô tả các buớc trong chuyển tiếp dữ liệu khách hàng của mặt phẳng dữ liệu từ một site khách hàng CE2-A tới CE1-A trong hạ tầng mạng của SP.
Hoạt động của mặt phẳng dữ liệu MPLS VPN
Khi dữ liệu được chuyển tiếp tới một mạng cụ thể dọc theo mạng VPN qua lõi MPLS, chỉ có nhãn trên (top lable) trong chồng nhãn bị hoán đổi (swap) khi gói đi qua backbone. Nhãn VPN vẫn giữ nguyên và được bóc ra khi đến router PE ngõ ra (egress)/xuôi dòng(downstream). Mạng gắn với một giao tiếp ngõ ra thuộc vào một VRF cụ thể trên router phụ thuộc vào giá trị của nhãn VPN.
Sau đây là những buớc trong việc chuyển tiếp của mặt phẳng dữ liệu minh họa cho hình trên:
CE2-A tạo ra một gói dữ liệu với địa chỉ nguồn 172.16.20.1 và đích là 172.16.10.1.
PE2-AS1 nhận gói dữ liệu, thêm vào nhãn VPN V1 và nhãn LDP L2 rồi chuyển tiếp gói đến P2-AS1.
P2-AS1 nhận gói dữ liệu và chuyển đổi (swap) nhãn LDP L2 thành L1.
P1-AS1 nhận gói dữ liệu và bóc (pop) nhãn trên (top label) ra vì nó nhận một ánh xạ nhãn cho 10.10.10.101/32 từ PE1-AS1.
Kết quả, gói được gán nhãn (nhãn VPN la V1) được chuyển tiếp đến PE1-AS1.
PE1-AS1 bóc nhãn VPN V1 ra và chuyển tiếp gói dữ liệu dến CE1-A nơi có địa chỉ mạng 172.16.10.0 được định vị.
Lê Sơn Hà – VnPro