Phụ lục A: ứ n g dụng của MPLS
241
Ta nói thêm về tính bào mật trong MPLS. Do nó dựa trên cơ cấu chuyển mạch ở lớp
hai nên ta không thể can thiệp trực tiếp vào các gói tin tại các chuyển mạch và một nguyên
nhân quan trọng khác là ta che dấu được cấu trúc lõi MPLS cũng như thông tin về mạng nội
bộ ra bên ngoài. Như trong hình A.2, mỗi site có không gian địa chi riêng và không nhìn
thấy địa chỉ của các bộ định tuyến PE khác (kể cả địa chi loopback), cũng như của các VPN
khác nên không thể xâm nhập vào các VPN này do không biết được địa chi thiét bị. MPLS
không đưa các thông tin không cần thiết ra bên ngoài, cho dù đó là khách hàng VPN. Và ta
có thể hạn chế truy nhập đến bộ định tuyến PE thông qua giao tiếp CE/PE bằng cách thiết
lập một danh mục quản lí truy nhập (Access Control List). Một cách tấn công khác là giả
nhân. Theo lí thuyết, có thể làm giả nhãn của một gói dữ liệu vào mạng MPLS từ bên ngoài
như một VPN hay từ internet. Nhưng theo nguyên tắc giao tiếp giữa bất kì bộ định tuyến PE
và CE là CE không biết đến lõi MPLS và PE sẽ không chấp nhận một gói dữ liệu có nhãn từ
CE và nó sẽ huỷ gói. Khả năng cuối cùng để làm giả địa chỉ IP của một gói dữ liệu là gửi
đến lõi của MPLS tuy nhiên điều này rất khó thực hiện có sự phân chia nghiêm ngặt giữa
các bộ định tuyến PE và mỗi VPN có bảng định tuyến chuyển tiếp VRF riêng. Nói tóm lại,
không cần sừ dụng các hoạt động đóng gói và mã hóa gói tin, MPLS-VPN vẫn đạt được
mức bảo mật cao.
Trong hình A.2, lưu ý rằng các nhãn người dùng 51, 52, 53 không cần kiểm tra trong
mạng trục VPN. Thay vì phải hỗ trợ một lưới iBGP đầy đủ giữa các PE router, ta có thể
dùng bộ phàn xạ router BGP để cải thiện tính khả mở của mạng.
Tóm lại, với
MPLS-VPN, hoạt động khai thác và bảo dường đơn giản chỉ cần thực
hiện tại các thiết bị trong mạng lõi mà không cần phải tiếp xúc đến CPE. Khi một site cấu
hình xong, ta không cần đụng chạm đến nó nữa cho dù phải thêm site mới vào thì ta chi việc
thay đổi cấu hình tại các PE mà nó nối tói.
Các dịch vụ phân biệt DựỵServe
Ý tường chính của các dịch vụ phân biệt là phân loại và điều chinh lưu lượng tại biên
mạng. Việc phân loại này dựa vào tiêu đề gói tin và ta chi phân thành ít nhóm để đơn giản
hóa quá trình cấp phát tài nguyên cho các loại lưu lượng khác nhau. Sau khi gói tin được
phân loại cùng với DSCP tại biên mạng, chúng sẽ được chuyển tiếp qua mạng. Việc chuyển
tiếp được thực hiện tại mỗi chặng, nút DS sẽ quyết định việc chuyển tiếp bằng cách chọn một
PHB để xác định cách thức phục vụ gói và xác suất rớt gói có thể xảy ra. Và mỗi vùng DS sẽ
có trách nhiệm đáp ứng các thỏa thuận LSA giữa người dùng và nhà cung cấp dịch vụ.
A.2. MPLS VÀ ATM
A.2.1. Tổng quan ATM
ATM là công nghệ chuyển tải dùng kỳ thuật ghép kênh phân thời gian không đồng bộ
trên gói dữ liệu có độ dài cố định, được sừ dụng làm cơ sở cho mạng ISDN băng rộng. Khái
niệm bất đồng bộ trong ATM có nghĩa rằng các gói dữ liệu được đưa lên mạng mà không
cần một thoả mãn các yêu cầu về định thời một cách chính xác như ừong ghép kênh phân
thời gian đồng bộ. Phương pháp này có ưu điểm là tối ữu hóa việc sử dụng kênh truyền dẫn,
cho phép ghép nhiêu kênh có tốc độ khác nhau theo nguyên lí thống kê, hồ trợ các dịch vụ
cỏ tốc độ bit thay đôi VBR (Variable Bit Rate), không liên tục (bursty) một cách hiệu quả.
Các tiện ích của ATM:
Phụ lục A: ứ ng dụng của MPLS
243
chi chặng kế NHRP để phân giải địa chi của mạng con khác này và thiết lập một kết nối
ATM từ đầu cuối đến đầu cuối gọi là đường tắt.
Trong LANE, mạng ATM được dùng để
mô phỏng các giao thức LAN phổ biến như Ethernet. Do đó, các ứng dụng IP hiện tại có thể
chạy trên mạng ATM mà không phải sửa đổi lại.
Với các cách tiếp cận trên, ATM vẫn dùng giao thức định tuyến PNNI và IP vẫn dùng
giao thức định tuyến IP bình thường, tức hoạt động chung với nhau mà không cần thay đổi
giao thức. Ta sẽ xét việc mở rộng theo mô hình xếp chồng. Điều quan trọng là phải làm ATM
trong suốt đối với IP và các router. Xét mạng trục ATM như hình A.3. Các chuyển mạch
ATM sẽ khởi tạo các kênh ảo giữa chúng và các router để tạo thành một mạng router dạng
mắt lưới đầy đủ (fully meshed) tuy nhiên mắt lưới này là luận lí. Và các chuyển mạch ATM
trong đường trục (backbone) sẽ làm nhiệm vụ chuyển tiếp lưu lượng. Ý tường trên được
minh hoạ trong hình A.4. Tuy nhiên, với n router, ta có nx (n-l)/2 cặp ngang cấp trong việc
định tuyến và quảng bá định tuyến. Ví dụ trong hình ta có 6 router nên có 15 mối liên hệ
ngang hàng có thể. Khái niệm ngang cap (peer) dùng để chi các router láng giềng và các
router kế cận lẫn nhau. Trong định tuyến internet, các router láng giềng trao đổi thông tin với
nhau về các địa chi mà chúng biết. Neu thông tin định tuyến được gừi giữa các router thông
qua các kênh ảo thì việc cập nhật các thông tin định tuyến sẽ tốn rất nhiều băng thông mạng.
Chia sẻ với bạn bè của bạn: