Tìm hiểu công nghệ VPLS và BGP MPLS VPN

Abstract 
Trong nhiều năm, hệ thống mạng truyền tải hoạt động trên các công nghệ mạng truyền thống TDM,Frame Relay và ATM. Tuy nhiên, sự phát triển nhanh chóng của các dịch vụ yêu cầu băng thông mạng nhiều hơn, vượt quá khả năng phục vụ của các công nghệ truyền thống. Hệ thống mạng truyền tải mới, băng thông cực mạnh dựa trên công nghệ Ethernet, IP và MPLS phục vụ đa dịch vụ, đặc biệt đáp ứng nhu cầu kết nối mạng nội bộ các doanh nghiệp, thay thế các kiểu kết nối truyền thống băng thông hạn hẹp, chi phí giá thành cao. Với IP/MPLS, dịch vụ mạng riêng ảo (VPN) là giải pháp kết nối mạng linh hoạt, chi phí thấp, hỗ trợ đa dịch vụ. Bài viết phân tích 2 loại dịch vụ VPN trên nền MPLS: BGP MPLS VPN – VPN lớp 3 và VPLS – VPN lớp 2, so sánh các ưu nhược điểm trên quan điểm nhà cung cấp dịch vụ và khách hàng.

1. Giới thiệu về công nghệ MPLS và dịch vụ VPN MPLS 

Mạng truyền tải đóng vai trò vô cùng quan trọng trong mô hình mạng của mỗi nhà cung cấp dịch vụ – ISP. Với nhu cầu gia tăng nhanh băng thông đường trục, mạng truyền tải được thiết kế theo hướng đẩy phần phức tạp như định tuyến về lớp biên, phần mạng lõi chỉ xử lý đơn giản như chuyển mạch để tăng khả năng đáp ứng của mạng lõi. Công nghệ MPLS được thiết kế cho mô hình này với ưu điểm hơn so với định tuyến gói tin thuần túy – chuyển tiếp nhãn thay vì đọc gói tin IP và lựa chọn đường định tuyến trước khi chuyển tiếp gói tin. MPLS là kết hợp của kiểu chuyển mạch ATM lớp 2 trên mạng chuyển mạch IP lớp 3. Nó cho phép một mạch ảo hoặc đường hầm được tạo trên mạng sương sống IP và dữ liệu có thể được chuyển mạch đơn giản và nhanh chóng qua đường hầm mà không cần phân tích các gói tin riêng hoặc tính toán định tuyến đến các nút mạng khác. MPLS cũng hỗ trợ chất lượng dịch vụ, kỹ thuật lưu lượng và tính sẵn sàng của mạng ATM với khả năng mở
rộng, tính đa điểm của mạng IP.

Cấu trúc của mạng MPLS gồm các bộ định tuyến biên (router PE) giao tiếp với thiết bị tại mạng khách hàng (CE) và các bộ định tuyến trung tâm (Router P) chuyển tiếp các gói tin MPLS trong mạng. PE có 2 giao diện: giao diện giao tiếp với mạng MPLS và giao diện giao tiếp với mạng IP. PE sử dụng bảng chuyển tiếp nhãn lựa chọn đường dẫn chuyển mạch nhãn (LSP) đến các router P và định tuyến các gói tin IP trên cơ sở thông tin thiết bị CE.. Việc phân phối và trao đổi nhãn sử dụng giao thức phân phối nhãn (LDP). Các giao thức định tuyến trong mạng IP được bổ sung kỹ thuật lưu lượng trong mạng MPLS như RSVP-TE, OSPF-TE, ISIS-TE.

Hình 1 – Mô hình mạng MPLS

Một trong các dịch vụ được phát triển trên nền mạng MPLS là dịch vụ VPN. Trên khía cạnh nhà cung cấp dịch vụ, dịch vụ VPN – mạng riêng ảo cung cấp dịch vụ kết nối nhiều mạng khách hàng qua mạng chia sẻ chung. Dịch vụ VPN sử dụng kết nối ảo để đảm bảo tính riêng tư dữ liệu khách hàng khi truyền qua mạng dùng chung.

Hình 2 – Mô hình mạng VPN

Trong hạ tầng mạng truyền tải MPLS, các site của khách hàng A có thể kết nối bảo mật qua mạng nhà cung cấp dịch vụ mà không bị can thiệp bởi mạng của khách hàng B. Lưu lượng mạng A chạy qua các đường hầm kết nối riêng được tạo ra trong mạng MPLS kết nối các site của A. Các kết nối này nhìn từ phía khách hàng giống như dịch vụ kênh riêng, hoặc qua một đường ảo bảo mật trên cùng một kết nối vật lý.

Trên nền MPLS, dịch vụ VPN được phát triển thành 2 kiêu: VPN lớp 3 và VPN lớp 2. Điểm khác biệt chính của 2 dịch vụ này là VPN lớp 3 thực hiện công việc định tuyến phức tạp cho mạng của khách hàng, còn trong VPN lớp
2, khách hàng phải tự cấu hình, quản lý định tuyến giữa các site trong mạng của mình. BGP MPLS VPN và VPLS là 2 công nghệ đại diện cho VPN lớp 3 và lớp 2 trên nền MPLS.

2. Dịch vụ BGP MPLS VPN 

BGP MPLS VPN cho phép các site của khách hàng kết nối qua mạng trục IP như sử dụng mạng riêng. BGP MPLS VPN được định nghĩa trong chuẩn IETF RFC 2547bis. BGP MPLS VPN sử dụng MPLS chuyển tiếp gói tin qua mạng truc và BGP phân phối định tuyến qua mạng trục. Mỗi BGP MPLS VPN là một mạng IP riêng với các địa chỉ IP cấu hình theo mạng khách hàng tại các CE và PE.

Hình 3 – Mô hình BGP MPLS VPN

Mỗi router PE quản lý một Cơ cở thông tin chuyển tiếp riêng của từng VPN, gọi là bảng Chuyển tiếp định tuyến ảo – VRF. Bảng VRF chứa các thông tin định tuyến nhận từ thiết bị CE. Router PE sử dụng BGP làm báo hiệu và các giao thức định tuyến để phân phối hướng đi gói tin đến các thiết bị CE. Thiết bị CE trở thành ngang hàng với router PE. Router PE lưu trữ các bảng VRF cùng với bảng định tuyến Internet của nhà cung cấp dịch vụ.
Vai trò chuyển tiếp MPLS là quan trong bởi router P trong mạng lõi không cần biết về thông tin định tuyến riêng đầu khách hàng. Router PE sử dụng 2 mào đầu MPLS để giao tiếp thông tin định tuyến. Router PE vào thêm mào đầu Next-Hop BGP và mào đầu Next-Hop IGP (Interior Gateway Protocol) vào gói tin. Tại router PE ra, gói tin được loại bỏ phần mào đầu MPLS và phân phối tiếp theo gói tin IP đến Router CE. VPLS và BGP MPLS VPN

Ưu nhược điểm của BGP MPLS VPN 

BGP MPLS VPN có một số ưu điểm khi lựa chọn cho dịch vụ VPN:

– Tính kết nối WAN – Công nghệ này sử dụng cho kết nối nhiều địa điểm cách biệt về vật lý,  được triển khai như dịch vụ thay thế hoặc kết hợp với dịch vụ VPN truyền thống.
– Tính động và mềm dẻo – Những thay đổi trong sơ đồ kết nối có thể thực hiện trên VPN mà không cần cấu hình thủ công trên thiết bị mạng phía khách hàng.
– Tính tương thích – BGP MPLS VPN có thể được triển khai trên các dịch vụ truy nhập truyền thống như Frame relay, đường riêng, ATM. Bên cạnh đó, các dịch vụ hiện tại dễ dàng nâng cấp lên mạng VPN mà không phải thay đổi về mặt cấu trúc.
– Tích hợp dễ dàng – VPN có thể được tích hợp dễ dàng các dịch vụ IP khác như truy nhập internet, web, IPSec VPN.
– Tính mở rộng và độ tin cậy – BGP MPLS VPN mở rộng dễ dàng, khả năng mở rộng tối đa chỉ giới hạn bởi BGP và đạt độ tin cậy cao dựa trên BGP.

Tuy nhiên, BGP MPLS VPN có một số giới hạn:

– Chỉ mạng IP- Chúng chỉ điều khiển lưu lượng IP, không điều khiên lưu lượng trên mạng khác như SNA hay IPX nếu chúng không được đóng gói trong gói tin IP. Mặc dù phần lớn khách hàng đang chuyển qua cơ sở hạ tầng IP duy nhất, tuy nhiên vẫn còn nhiều ứng dụng chạy trên các mạng khác.
– Chia sẻ định tuyến – BGP MPLS VPN yêu cầu khách hàng chia sẻ thông tin về miền định tuyến trong mạng của họ với router PE. Điều này không được nhiều khách hàng chấp nhận vì tiết lộ hoạt động cũng như cấu trúc trong mạng của họ.
– Router CE – Để chia sẻ thông tin định tuyến, thiết bị CE tại khách hàng phải là một router chứ không được là thiết bị đơn giản như Switch. Điều này tương ứng khách hàng phải tốn thêm chi phí trang bị thiết bị cho mỗi điểm kết nối.
– Phụ thuộc các router PE – Do yêu cầu lưu trữ bảng định tuyến, thực hiện nhiều chức năng nên router PE phải có cấu hình cao, thậm chí đắt hơn Router lõi.
– Mạng phức tạp – Số lượng định tuyến động nhiều làm gia tăng tải, làm giảm khả năng xử lý của PE. Nếu số lượng khách hàng cá nhân tăng thì mạng cần mở rộng, bổ sung các router  PE.
– Tính ổn định và toàn vẹn mạng – BGP MPLS VPN có thể làm ảnh hưởng đến tính ổn định và toàn vẹn của mạng. Nếu thiết bị CE tại một khách hàng hoạt động không ổn định và tác động đến router PE, thì các kênh dịch vụ VPN của khách hàng khác có thể bị ảnh hưởng.
– Quản lý mạng phức tạp – Cấu hình và quản lý dịch vụ phức tạp, mỗi khách hàng có một hồ sơ riêng trên router PE. Cần phải quản lý bảng định tuyến riêng trên PE đối với mỗi khách hàng. Quản lý cấu hình CE là router cũng phức tạp hơn so với thiết bị Switch.
– Thêm cấu hình phía khách hàng – Khách hàng phải cấu hình, quản lý thêm việc định tuyến đến PE thay vì định tuyến đến các router trong mạng của họ

Trong khi một vài các hạn chế trên có thể giải quyết như nâng cấp phần cứng, phần mềm của router PE để bổ sung các tính năng và năng lực xử lý khác, thì một số hạn chế khác không dễ dàng xử lý. Không thể triển khai dịch vụ với khách hàng có nhiều giao thức trong môi trường LAN nếu mạng của họ không phải mạng toàn IP. Việc chia sẻ thông tin định tuyến riêng trong mạng khách hàng với router PE của nhà cung cấp dịch vụ không được nhiều người chấp nhận. Họ muốn có một kết nối dịch vụ trong suốt từ phía nhà cung cấp dịch vụ để tự quản lý, điều khiền và bảo mật trong mạng nội bộ.
Đối với một số nhà cung cấp dịch vụ có mạng đường trục IP lớn và đã triển khai router lõi, BGP MPLS VPN là lựa chọn tốt phát triển khi họ dễ dàng thêm, bớt và thay đổi dịch vụ, sử dụng khám phá định tuyến tự động của BGP. Tuy nhiên với phần lớn nhà cung cấp dịch vụ Metro , giới hạn chính của BG_P MPLS VPN là chi phí và độ phức tạp trong việc quản lý và tích hợp với hệ thống điều hành (OSS).

3. Dịch vụ VPLS – Virtual Private LAN Service 

Giải pháp lớp 2 MPLS mới nhất cung cấp dịch vụ đa điểm là dịch vụ LAN riêng ảo – VPLS. Với VPLS, nhiều mạng khách hàng có thể giao tiếp như kiểu kết nối qua phân đoạn mạng LAN Ethernet riêng. VPLS nằm trên truyền tải MPLS vì vậy thiết bị lõi là tương tự BGP MPLS. Điểm khác nhau chính là giao tiếp giữa thiết bị CE và PE. Trong VPLS, CE không cần là một router và PE không ngang hàng với thiết bị CE nên PE không cần quản lý riêng biệt bảng định tuyến của mỗi CE. VPLS đơn giản chỉ ánh xạ lưu lượng lớp 2 đến của khách hàng vào một LSP thích hợp trong MPLS. VPLS hoạt động theo mô hình bao phủ trong khi BGP MPLS VPN là mô hình ngang hàng.

Hình 4 – Dịch vụ VPLS

Nguyên tắc hoạt động cơ bản của dịch vụ VPLS sử dụng giao thức phân phối nhãn (LDP) để thành lập một mạng đầy đủ các đường dẫn chuyển mạch nhãn (LSP) – đường hầm giữa tất cả các nút PE. Các đường hầm đó được gán các VPLS-ID nhận dạng các kết nối ảo (VC LSP) giữa các nút PE cho mạng VPN. Các VC LSP tạo một cầu nối logic các PE cấu hình VPLS cho khách hàng.

Tính năng cơ bản của VPLS là khả năng tự học địa chỉ MAC gửi từ phía mạng khách hàng của các  router PE. Các PE tiếp nhận và học địa chỉ MAC qua các gói tin unicast hoặc multicast gửi qua mạng. Các địa chỉ MAC sau khi tự học sẽ được gán với một LSP là cơ sở cho việc chuyển tiếp gói tin truyền giữa các nút PE.

Hình 5 – Cơ chế học địa chỉ MAC gói tin Broadcast

Việc quản lý số lượng lớn địa chỉ MAC trong VPLS có thể thực hiện theo 2 giải pháp.Các thứ nhất, phía khách hàng sử dụng các thiết bị CPE là router, khi đó các PE nhìn các site phía khách hàng như một địa chỉ MAC duy nhất. Cách thứ 2, khi các CPE là thiết bị Switch, các PE phải có khả năng giới hạn số địa chỉ MAC có thể học từ mỗi kết nối đến.

Các ưu nhược điểm của VPLS. 
VPLS có ưu điểm quan trọng trong việc lựa chọn dịch vụ Ethernet VPN

– Kết nối đô thị – Kỹ thuật này là ý tưởng cho kết nối nhiều điểm trong một khu vực đô thị và có thể triển khai thay thế hoặc mở rộng dịch vụ kết nối LAN-LAN truyền thống.
– Chi phí hiệu quả – VPLS cho phép nhà cung cấp dịch vụ được lợi từ chi phí thấp của thiết bị Ethernet, đơn giản và phổ biến mà không phải thực hiện mở rộng, đảm bảo độ tin cậy, kỹ thuật lưu lượng và cam kết SLA.
– Đơn giản hóa trên router PE – Với VPLS, các PE không phải quản lý nhiều bảng định tuyến riêng của khách hàng.
– Đa giao thức – Ngoài lưu lượng IP, VPLS có thể hỗ trợ các lưu lượng khác như SNA, IPX.
– Vùng định tuyến riêng – VPLS không yêu cầu khách hàng chia sẻ thông tin định tuyến mạng nội bộ với PE
– Thiết bị CE đơn giản – Khi thông tin định tuyến khách hàng không cần chia sẻ, các CE có thể là thiết bị đơn giản như Ethernet switch, bridge hoặc Hub
– Sự phân ranh giới – VPLS cung cấp một ranh giới rõ ràng giữa mạng riêng khách hàng và mạng nhà cũng cấp dịch vụ
– Báo hiệu động – VPLS sử dụng MPLS để xác định báo hiệu động các đường dẫn mới, cho phép lưu lượng nhanh chóng chuyển qua đường dự phòng hoặc đường tính toán trước.
– Truy nhập dịch vụ BGP MPLS VPN – Chúng có thể được sử dụng để mang lưu lượng từ mạng Metro qua mạng đường trục trong truy cập BGP MPLS VPN.
– Dễ dàng quản lý – VPLS là đơn giản và chi phí thấp về mặt quản lý
– Tích hợp Metro Ethernet – VPLS có thể tích hợp với dịch vụ Metro Ethernet khác như Internet, Web, dịch vụ dự phòng và khôi phục.
– Tích hợp quản lý – Chúng tích hợp dễ dàng với dịch vụ lớp 2 như Frame relay và ATM với  các thành phần cung cấp hạ tầng khác trong tương lai.

Dịch vụ Ethernet VPN trên VPLS cũng tồn tại một số điểm hạn chế:

– Khám phá tự động (Auto discovery) – VPLS không hỗ trợ khám phá tự động của PE trên cơ sở LDP. VPLS sử dụng LDP để xác định cách thành lập mạch điểm đa điểm Ethernet.
– Khả năng mở rộng – Khi mở rộng mạng VPLS, số lượng các LSP full mesh, các LDP ngang cấp và việc phân phối các gói tin sao chép gia tăng, dẫn đến việc quản lý phức tạp, tiêu tốn tài nguyên mạng cũng như khả năng bị tấn công flooding địa chỉ MAC. Vấn đề này có thể giải quyết bởi sử dụng mô hình VPLS phân cấp theo kiểu Hud – and – Spoke. Trong đó, các VPLS PE đóng vai trò như các Hub, trao đổi thông tin với các vùng Spoke.

Hình 6 – Mô hình phân cấp VPLS dạng Hub-and-Spoke.

Tích hợp VPLS với mạng hiện có VPLS có thể không chỉ sử dụng trong dịch vụ Metro Net mà có thể tích hợp với mạng lõi IP VPN chạy trên các công nghệ lõi khác như mạng SDH thế hệ mới, DWDM, RPR

 

Hình 7 – Tích hợp VPLS với mạng hiện có

Các ISP có thể tiếp tục phát triển các dịch vụ truyền thống như kênh riêng, Frame relay trong khi gi���i thiệu dịch vụ mới là ứng dụng của mạng Metro như VPLS, vì vậy tránh phải loại bỏ lợi nhuận hiện có. Các ISP giới thiệu dịch vụ băng rộng mới trên công nghệ DSL, cáp và WLAN đối với khách hàng nhỏ hoặc thị trường SME. Tuy nhiên, sự cạnh tranh về chất lượng, giá thành làm dịch vụ băng rộng truyền thống chạy trên ATM và SDH không gia tăng thêm được. Sử dụng Metro Ethernet với VPLS cho phép các nhà cung cấp dịch vụ kết hợp dịch vụ băng rộng hiệu quả hơn, vươn gần tới khách hàng hơn mà không tốn thêm chi phí.
Mặc dù đường kênh riêng, Frame relay tiếp tục góp phần đáp nhu cầu chia sẻ dữ liệu, ít các ISP hoặc khách hàng có thể bảo vệ nguồn vốn bổ sung cho các dịch vụ đơn giản đó đảm bảo hiệu quả và tiết kiệm chi phí hơn so với Ethernet, IP, MPLS. Trong tương lai, các ISP có thể xây dựng nhiều hơn mạng truyền tải hiệu quả chi phí và mở rộng dịch vụ hiện có đến khách hàng mới mà không cần các ISP hay khách hàng đầu tư thêm chi phí so với dịch vụ truyền thống.

4. Kết hợp dịch vụ VPLS và BGP MPLS VPN 
Trên đây đã phân tích chi tiết những điểm mạnh của 2 công nghệ VPN. Mỗi nhà cung cấp dịch vụ sẽ lựa chọn giải pháp phù hợp với yêu cầu của khách hàng theo điều kiện thực tế. Công nghệ VPLS là lựa chọn tốt với các dịch vụ trong môi trường Metro, kết nối nhiều site của khách hàng trong một mạng Ethernet LAN duy nhất. VPLS là giải pháp thay thế, nâng cấp dịch vụ LAN-to-LAN truyền thống, triển khai các dịch vụ tầng ứng dụng đến mạng khách hàng.
BGP MPLS VPN thích hợp với môi trường mạng đường trục, kết nối nhiều khu vực qua mạng WAN. Khả năng mở rộng và việc sử dụng BGP, MPLS là giải pháp tốt mở rộng các mạng VPN trên mạng đường trục IP/MPLS truyền thống. BGP MPLS VPN sử dụng kết nối các site VPN của mạng Metro này sang site VPN của mạng Metro khác.

Mô hình kết hợp VPLS và BGP MPLS VPN sẽ tận dụng các ưu điểm của mỗi công nghệ. VPLS được triển khai tại các mạng Metro, giảm thiểu yêu cầu xử lý trên router Metro, triển khai đơn giản, chi phí quản lý thấp. BGP MPLS VPN phát triển trên mạng trục IP kết nối mạng VPN giữa các Metro, tăng độ tin cậy kết nối liên mạng dựa trên BGP.

Hình 8. Mô hình kết hợp dịch vụ VPLS và BGP MPLS VPN

Hình 7 thể hiện ví dụ của dịch vụ MPLS lớp 3 trên mạng trục có thể kết hợp với dịch vụ MPLS lớp 2 trên mạng Metro để cung cấp dịch vụ VPLS trong mạng Metro và dịch vụ IP VPN giữa các mạng Metro. Lợi ích của các nhà cung cấp dịch vụ gia tăng khi sử dụng kết hợp 2 mô hình này mà không làm tăng độ phức tạp của mạng lõi, tận dụng được những ưu điểm trên mạng Metro. Về phía khách hàng, họ cũng có thêm các lựa chọn dịch vụ phù hợp với mô hình kinh doanh của mình.

Kết luận 
Hai công nghệ VPN triển khai trên nền MPLS là VPLS và BGP MPLS VPN có những điểm tương tự nhau nhưng chúng có những hướng triển khai khác nhau. Mỗi công nghệ có những ưu điểm và giới hạn riêng mà các nhà cung cấp dịch vụ và khách hàng có căn cứ lựa chọn sử dụng dịch vụ trong các môi trường khác nhau. VPLS thích hợp kết nối nhiều site, dịch vụ đa dạng trong phạm vi Metro. BGP MPLS VPN là giải pháp kết nối nhiều site của khách hàng giữa các Metro. Việc kết hợp 2 giải pháp là lựa chon cho nhà cung cấp dịch vụ sử dụng tốt hơn từ khía cạnh dịch vụ đến khách hàng.