core network

5/12/2018 Core Network - slidepdf.com

http://slidepdf.com/reader/full/core-network-55a3599b070ac 1/63

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH

TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN

BÁO CÁO ĐỀ TÀI

MÔN HỌC: MẠNG VIỄN THÔNG

Đề tài : CORE NETWORK

GV hướ ng dẫn : ThS Ngô Đắc Thuần

TP Hồ Chí Minh ngày 12 tháng 05 năm 2011

MỤC LỤC

Chương I : Router

I. Router biên: 5

1. Định nghĩa ....................................................................................... 6

2. Chức năng 6

II. Các giao thức định tuyến cho Router biên

1. Giao thức định tuyến OSPF 72. Giao thức định tuyến BGP 9

III. Các dịch vụ đi kèm vớ i Router biên

1. DNS 11

a. Định nghĩa



b. Hoạt động

c. Cấu trúc gói tin DNS

2. DHCP 13

a. Định nghĩa b. Hoạt động

c. Cấu trúc của DHCP Message

3. NAT 14

a. Định nghĩa

b. Chức năng

c.

Hoạt động4. VPN 16

a. Định nghĩa

b. Phân loại

5. Firewall 17

a. Firewall trên Router

b. ACL

c. Phân loại

d. Nhữ ng chú ý khi áp dụng ACLs

e. Hạn chế của ACLs.

6. Chuyển đổi giữ a IPv4 và IPv6 20

a. Ưu điểm của IPv6 ...................................................................... 24

b. Cơ chế chuyển đổi ..................................................................... 24

Chương II: SWITCHI. Giớ i thiệu tổng quan về SW ................................................................ 27

II. Vai trò của SW ..................................................................................... 29

1. Ở lớ p Access

2. Ở lớ p Distribuiton



3. Ở lớ p Core

III. Đặc tính của SW cơ bản ...................................................................... 32

IV. Hoạt động của SW ............................................................................... 35

1. Chức năng của SW2. Cách học địa chỉ của SW

3. Quá trình chuyển mạch của SW

4. Độ trễ mạng

V. Các giao thức và cơ chế hỗ trợ SW .................................................... 36

1. STP

2.

Chia VLAN3. VTP

4. Inter VLAN

5. Layer 3 Forwading.

Chương 3 : MPLS

I. Khái quát MPLS .................................................................................. 35

1. MPLS lá gì

2. Chức năng của MPLS

3. Lợ i ích của MPLS

II. Các thành phần trong MPLS ............................................................. 36

1. Các thành phần trong MPLS

2. Các khái niệm trong MPLS

3. Phần chức năng chuyển gói tin4. Phần chức năng điều khiển của MPLS

III. Ứ ng dụng cơ bản của MPLS .............................................................. 42

1. Định tuyến phân cấp

2. Ứ ng dụng MPLS trên nền ATM



3. Kỹ thuật lưu lượ ng trong MPLS

4. Mạng riêng ảo VPN

IV. MPLS tại Việt Nam ............................................................................. 45



I. Router biên:

1. Định nghĩa:

Router biên (Edge Router) là các router nằm ở biên mạng của nhà cung cấp

dịch vụ ISP (Internet Service Provider). Đó là các router nằm ở vùng biên

giới, để k ết nối giữa mạng nội bộ (LAN) vớ i mạng diện rộng (WAN), nhằm

lựa chọn đường lưu thông tốt nhất cho việc gửi và nhận các gói tin. Ví dụ:

những con router k ết nối vớ i mạng khách hàng. Còn router lõi (Core router)

là các router nằm bên trong của mạng ISP, việc chia subnet cho các router

không phụ thuộc vào các router đó ở đâu mà phụ thuộc vào cách quy hoạch

mạng.

2. Chức năng:

- Router có chức năng tìm đường đi tốt nhất trong mạng và forward gói tin.

Tuy nhiên tùy loại router mà chức năng này sẽ khác nhau. Đối vớ i core

router thì việc tìm đường đi và forward gói tin này đượ c diễn ra ở nội bộ

bên trong của mạng LAN. Còn edge router thì có một sự tương phản vớ i

Core router, việc liên lạc này đượ c diễn ra giữa các mạng vớ i nhau.



- Có nhiều loại router biên vớ i nhiều chức năng khác nhau. Ví dụ: một

LER(Lable Edge Router) sử dụng mạng MPLS làm nhiệm vụ kiểm tra việc

đóng nhãn của các gói tin khi đi tớ i. Nếu nó phát hiện không có nhãn thì nó

sẽ làm nhiệm vụ đóng nhãn cho gói tin đó. Còn nếu có nhãn thì nó sẽ tra

cứu trong bảng chứa thông tin nhãn dùng để forward các gói tin(LFIB) và

thực hiện thay thế nhãn hay gắn thêm nhãn rồi chuyển tớ i next hop tiếp

theo. Khi gói tin ra khỏi mạng MPLS thì router biên sẽ tháo hết nhãn ra và

thực hiện routing bình thườ ng. Còn các router lõi thì chỉ có nhiệm vụ thay

thế nhãn và chuyển mạch.

II. Các giao thức định tuyến cho router biên:

Có nhiều giao thức được dùng để định tuyến cho router biên. Tuy nhiên ở đây

ta chỉ xét 2 giao thức tiêu biểu nhất, đó là OSPF và BGP.

1. Giao thức định tuyến OSPF:

a. Định nghĩa: Giao thức OSPF là một giao thức đặc trưng cho kiểu Interior Gateway

Protocol (IGP), hoạt động theo kiểu trạng thái liên k ết (link state protocol).

Bắt đầu đượ c xây dựng vào năm 1988 và hoàn thành vào năm 1991. Nó sử

dụng thuật toán tìm ra tuyến đường đi ngắn nhất mô tả cụ thể các tuyến



đườ ng nên chọn để đến được đích.OSPF có nhiều tính năng mà các giao thức

distance vector không có. Việc hỗ trợ các tính năng này đã khiến cho OSPF

trở thành một giao thức định tuyến khá phức tạp nhưng đượ c sử dụng rộng

rãi trong các môi trườ ng mạng lớ n. Trong thực tế, RFC 1812 (đưa ra các yêucầu cho bộ định tuyến IPv4) - đã xác định OSPF là giao thức định tuyến động

duy nhất cần thiết phục vụ cho các mạng lớ n hiện nay.

b. Tính chất:

Đây chính là một số tính năng tiêu biểu đã tạo nên thành công của giao

thức này:

-

Cân bằng tải giữa các tuyến cùng cost (load balancing): Việc sử dụngcùng lúc nhiều tuyến cho phép tận dụng có hiệu quả tài nguyên băng

thông trên mạng.

- Phân chia mạng một cách logic: Điều này làm giảm bớ t các thông tin

phát ra trong những điều kiện bất lợi. Nó cũng giúp kết hợ p các thông

báo về định tuyến, hạn chế việc phát đi những thông tin không cần thiết

về mạng.

- Hỗ trợ chứng thực (authentication): OSPF hỗ trợ chứng thực cho tất cả

các node phát thông tin quảng cáo định tuyến. Điều này hạn chế đượ c

nguy cơ thay đổi bảng định tuyến vớ i mục đích xấu.

- Thờ i gian hội tụ (convergence) nhanh hơn các giao thức khác: OSPF cho

phép truyền các thông tin về thay đổi các đườ ng paths một cách tức thì.

Điều đó giúp rút ngắn thờ i gian hội tụ cần thiết để cập nhật thông tin cấu

hình mạng.

- Hỗ trợ CIDR và VLSM: Điều này cho phép nhà quản trị mạng có thể

phân phối nguồn địa chỉ IP một cách có hiệu quả hơn.

c. Cách thứ c hoạt động của OSPF:



- Trướ c khi router tiến hành truyền thông tin cho các devides khác trong

mạng, nó sẽ xác định các neighbors đang đượ c k ết nối trực tiếp vớ i nó

bằng cách gửi gói tin Hello packets ra tất cả các interfaces của nó. Trong

gói Hello packet có chứa thông tin OSPF Router ID của router gửi.

- Router ID: đơn giản là IP address. Router ID đượ c sử dụng dựa theo thứ

tự sau:

+ Sử dụng IP address từ câu lệnh router-id.

+ Nếu router không đượ c cấu hình câu lệnh router-id thì nó sẽ lấy địa chỉ

IP cao nhất của các loopback interfaces(dùng loopback interface có

thuận lợ i là nó không bao giờ rơi vào trạng thái down cả).+ Nếu không có loopback interfaces nào đượ c cấu hình, router sẽ lầy địa

chỉ IP cao nhất của các interfaces vật lý.

- Sau khi nhận đượ c thông tin phản hồi từ các gói Hello packets mà các

router neighbors gửi về, router sẽ tiến hành phân chia các neighbors. Quá

trình này được xác định dựa vào thông số cost trong mạng. Cách tình cost

của OSPF:

cost = 108 /bps.

- Dựa vào cost mà router sẽ tính toán được đường đi tốt nhất trong mạng.

- Lựa chọn Designated Router (DR) và Backup Designated Router (BDR)

+ DR sẽ update cho tất cả các router khác trong mạng khi có sự thay đổi

xuất hiện trong mạng multi – access.

+ BDR cũng hoạt động giống như DR nhưng khi DR đã bị ngừng hoạt

động.

- Quá trình lự a chọn DR và BDR:

Router có số interface priority cao nhất đượ c chọn làm DR. Router có số

interface priority cao thứ hai đượ c chọn làm BDR. Trong trườ ng hợ p số



interface priority bằng nhau, thì việc lựa chọn sẽ dựa vào Router ID

(RID).

- Các thông số về thờ i gian:

- Hello interval: xác định chu k ỳ gửi các gói hello packets. Đối vớ i multi-

access segments hay point- to –point segments thì là 10s. Đối vớ i non-

broadcast multi-access segments(NBMA) như là Frame Relay, X.25 hay

ATM thì là 30s.

- Dead interval: là khoảng thờ i gian mà router chờ gói hello packet phản

hồi từ các neighbors trướ c khi đưa nó về trạng thái “down”. Mặc định

thờ i gian này sẽ gấp 4lần thời gian hello interval : đối vớ i multi-accesssegments hay point – to – point segmets là 40s, đối vớ i non-broadcast

multi-access segments là 120s.

- Chú ý: Nếu dead interval k ết thúc mà router chưa nhận đượ c gói hello

packet phản hồi thì giao thức OSPF sẽ loại bỏ router neighbor ra khỏi

link-state database và sẽ gửi thông báo về trạng thái “down ” của router

này cho các neighbors khác trong mạng.

- Vấn đề chứng thực (authentication): cũng giống như các giao thức khác,

OSPF cũng đượ c hỗ trợ chứng thực. Authentication đảm bảo rằng router

sẽ nhận đượ c các routing information từ các router khác đã đượ c cấu hình

cùng password hoặc authentication information.

2. Giao thức định tuyến BGP:

a. Định nghĩa:



- BGP là giao thức đặc trưng cho kiểu Exterior Gateway Protocol (EGP),

là giao thức để k ết nối các mạng rất lớ n hoặc các Autonomuos System

(AS). Đây là một giao thức khá phức tạp đượ c dùng nhiều trên Internet

và các công ty đa quốc gia. Mục đích của giao thức ngoại BGP không chỉ

là tìm ra đường đi trong mạng mà còn cho phép ngườ i quản trị tìm ra các

AS của các mạng.

- Autonomous-System (AS) là một nhóm các router cùng chia sẻ một

chính sách hay hoạt động trong cùng một miền nhất định. Mỗi AS đượ c

định danh bở i một số( loại Public từ 1-64511, loại Privite từ 64512-

65535)và đượ c cung cấp bở i một nhà cung cấp AS hoặc bở i ISP.b. Một số thuộc tính cơ bản của BGP:

- AS- Path:là thuộc tính quan trọng trong việc xác định đường đi tối

ưu(AS-Path càng ngắn thì càng đượ c router ưu tiên) và để ngăn ngừa

loop.

- Thuộc tính Origin-attribute: là thuộc tính xác định nguồn gốc các

routing thông tin cập nhật định tuyến (“i”: IGP, “e”: EGP).

- Thuộc tính Next hop attribute:là địa chỉ của router bên ngoài vùng tự

trị AS quảng bá vào bên trong AS.

- Thuộc tính Local Preference: đượ c diễn tả bằng một con số và đượ c so

sánh để tìm đường đi đến đích khi ra khỏi một AS (Local Preference cao

sẽ đượ c chọn).

- Thuộc tính Weight: Router sẽ ưu tiên dùng câu route có giá trị Weight

cao hơn.

- Thuộc tính Multi-Exit-Disc(MED): là một thuộc tính được AS dùng để

tham chiếu trong việc chọn router nào để đến cùng một đích trong một

AS.



- Thuộc tính Community attribute: cung cấp các chính sách cho một

nhóm các router đi qua một AS. Là thuộc tính không bắt buộc.

c. Hoạt động của BGP:

- BGP là giao thức định tuyến dạng Path-vector nên việc lựa chọn đườ ng

đi tốt nhất thông thườ ng dựa trên một tập hợ p các thuộc tính đượ c gọi là

Attribute. Do sử dụng metric khá phức tạp, BGP đượ c xem là một trong

những giao thức phức tạp.

- Nhiệm vụ của BGP là đảm bảo thông tin liên lạc giữa các AS, trao đổi

thông tin định tuyến và cung cấp thông tin về trạm cuối cho mỗi đích

đến.- Trong giai đoạn đầu của phiên thiết lập quan hệ BGP, toàn bộ các thông

tin routing-update sẽ đượ c gửi. Sau đó, BGP sẽ chuyển sang cơ chế dùng

trigger-update. Bất k ỳ một thay đổi nào trong hệ thống mạng cũng sẽ là

nguyên nhân để gửi trigger-update.

- So sánh giữ a OSPF và BGP:

OSPF BGP

- Là giao thức kiểu IGP, dạng

link state.

- Quảng bá thông tin hiện có đến

các láng giềng.

- Chống loop kém.

- Cân bằng tải.

- Không biết đượ c topology mạng

- Gói tin đi từ nguồn đến đích mà

không quan tâm đến policy

- Là giao thức kiểu EGP, dạng path

vector.

- Quảng bá thông tin đến danh sách toàn

bộ đườ ng dẫn dến đích.

- Có khả năng phát hiện loop và loại bỏ

ngay lập tức.

- Không cân bằng tải.

- Biết đượ c topology của mạng.

- Hỗ trợ chính sách định tuyến (policy).

III. Các dịch vụ đi kèm vớ i router biên:



1. DNS (Domain Name System):

a. Định nghĩa:

- DNS là hệ thống tên miền đượ c phát minh vào năm 1984 cho Internet, là

hệ thống cho phép thiết lập tương ứng giữa địa chỉ IP vớ i tên miền.

- Ta có thể hiểu đơn giản là DNS giống như một “Danh bạ điện thoại”, mỗi

một tên tương ứng vớ i một số điện thoại và ngượ c lại.

Ví dụ: tên miền www.cisco.com có địa chỉ IP tương ứng là

198.133.219.25

b. Cách thứ c hoạt động:

-

DNS phân giải các tên miền thành các địa chỉ IP tương ứng giúp tạo sự dễ dàng, thuận lợi cho ngườ i truy cập mạng.

- DNS sử dụng một hệ thống phân tầng gồm các DNS Server tạo cơ sở dữ

liệu cho việc phân giải các tên miền thành các địa chỉ IP.

- DNS có khả năng yêu cầu các DNS Server khác hỗ trợ trong việc phân

giải tên miền thành địa chỉ IP. DNS Server có khả năng ghi nhớ lại những

tên miền vừa phân giải để dùng cho những yêu cầu phân giải lần sau. Số

lượ ng những tên miền phân giải được lưu lại tùy thuộc vào quy mô của

từng DNS.

http://www.cisco.com/






Ví dụ: mỗi một website có mọt tên và một địa chỉ IP riêng. Khi mở một

trình duyệt web lên và truy nhập tên website, trình duyệt web sẽ gửi yêu

cầu lên DNS Server để xin địa chỉ IP tương ứng vớ i tên miền đó. Khi đó

DNS Server sẽ dịch tên miền ra địa chỉ IP tương ứng và gửi về cho trình

duyệt web. Trình duyệt web sẽ dùng địa chỉ IP mớ i nhận được này để

truy cập đến website cần vào. Các DNS Server hỗ trợ lẫn nhau để dịchđịa chỉ Ip thành tên miền và ngượ c lại.

c. Cấu trúc của gói tin DNS:

Một gói tin DNS có dạng: ID QR Opcode AA TC RD RA Z Rcode

QDcount ANcount NScount ARcount

- ID (16 bits): chứa mã nhận dạng. Mã này đượ c tạo ra bở i một chương

trình để thay cho truy vấn. Gói tin hồi đáp sẽ dựa vào mã nhận dạng này

để hồi đáp lại. Chính vì vậy mà truy vấn và hồi đáp có thể phù hợ p vớ i

nhau.

- QR(1 bit): có giá trị là 0 ↔ truy vấn; 1 ↔hồi đáp.

- Opcode(4 bits): đượ c thiết lập là 0 ↔ cờ hiệu truy vấn; 1 ↔ truy vấn

ngược; 2 ↔ tình trạng truy vấn.

- AA(1bit):nếu gói tin là hồi đáp, nó sẽ đi đến một server có thẩm quyền

giải quyết truy vấn.

- TC(1bit):cho biết gói tin có bị cắt khúc do kích thước vượt quá băng

thông cho phép hay không.



- RD(1bit): cho biết truy vấn muốn server tiếp tục truy vấn một cách đệ

quy.

- RA(1bit):cho biết truy vấn đệ quy có đượ c thực thi trên router hay không.

- Z(1bit):là trườ ng dự trữ, và đượ c thiết lập là 0.

- Rcode(4bits): gói tin hồi đáp có thể nhận các giá trị sau:

+ 0: không có lỗi trong quá trình truy vấn.

+ 1: định dạng gói tin bị lỗi, server không hiểu đượ c truy vấn.

+ 2: Server bị trục trặc, không thực hiện hồi đáp đượ c.

+ 3: Tên bị lỗi. Chỉ có Server có đủ thẩm quyền mớ i có thể thiết lập giá

trị này.+ 4: không thi hành, Server không thể thực hiện chức năng này.

+ 5: Server từ chối thực thi truy vấn.

- QDcount:số lần truy vấn của gói tin trong một vấn đề.

- ANcount: số lượ ng tài nguyên tham gia trong phần trả lờ i.

- NScount: số lượng tài nguyên đượ c ghi lại trong các phần có thẩm quyền

của gói tin.

- ARcount: số lượ ng tài nguyên ghi lại trong phần thêm vào của gói tin.

2. D

HCP(Dynamic Host Configuration Protocol):

a. Định nghĩa:

Giao thức cấu hình động máy chủ - DHCP – là một giao thức cấu hình tự

động địa chỉ IP. Máy tính đượ c cấu hình một cách tự động vì thế sẽ giảm

việc can thiệp vào hệ thống mạng. Nó cung cấp một database trung tâm

để theo dõi tất cả các máy tính trong hệ thống mạng. Mục đích là để tránh

trườ ng hợ p hai máy tính khác nhau lại có cùng địa chỉ IP. Nếu không có

DHCP, các máy có thể cấu hình IP bằng tay, nhưng sẽ mất nhiều thờ i



gian. Ngoài việc cung cấp địa chỉ IP, DHCP còn cung cấp thông tin cấu

hình khác, như DNS.

b. Hoạt động:

- Đầu tiên, DHCP Client sẽ gửi broadcast gói tin DHCP Discover chứa

Mac Address và tên máy tính cho đến khi nhận đượ c trả lờ i từ DHCP

Server.

- Một DHCP Server sẽ trả lờ i bằng cách gửi unicast gói tin DHCP Offer

chứa các thông tin về địa chỉ IP, subnet mask, default getway, DNS

Server,…DHCP Client có thể nhận đượ c nhiều DHCP Offer nếu như cónhiều DHCP Server cùng trả lờ i.

- DHCP Client gửi broadcast gói tin DHCP Request để xác định nó đã

chọn địa chỉ IP và DHCP Server nào.

- Cuối cùng, DHCP Server sẽ gửi unicast gói tin DHCP Acknowledge cho

DHCP Client để xác nhận toàn bộ quá trình.



c. Cấu trúc của DHCP Message:

3. NAT(Network Address Translation):

a. Định nghĩa:

NAT là một k ỹ thuật chuyển đổi giữa private address và public address để

giải quyết vấn đề IP shortage cũng như giúp các máy tính trong một mạng

LAN có thể truy cập Internet bằng địa chỉ IP của ISP.

b. Chức năng:

- NAT cho phép chia sẻ k ết nối internet cho nhiều máy bên trong mạng

LAN vớ i một địa chỉ IP của mạng WAN.



- NAT có thể làm việc như một Firewall.

- NAT rất linh hoạt và sử dụng dễ dàng trong việc quản lý.

Nhờ các ưu điểm trên mà NAT giúp cho các home user và các doanh

nghiệp nhỏ có thể tạo k ết nối vớ i Internet một cách dễ dàng và hiệu quả

cũng như tiết kiệm vốn đầu tư.

c. Hoạt động:

- Static NAT: Static NAT đượ c thiết k ế để ánh xạ một địa chỉ IP này sang

một địa chỉ khác, thông thườ ng là từ một địa chỉ nội bộ sang một địa chỉ

công cộng và quá trình này đượ c cài đặt thủ công, nghĩa là địa chỉ ánh xạ

và địa chỉ đượ c ánh xạ đượ c chỉ định rõ ràng tương ứng duy nhất. Các địachỉ này đượ c chứa trong bảng NAT Table.

+ Static NAT rất hữu ích trong trườ ng hợ p những host cần phải có địa

chỉ cố định để truy cập từ Internet. Những host này có thể là những

public server: mail server, web server,…

- Dynamic NAT: khác với Static NAT, đối với Dynamic NAT, các địa chỉ

IP được thay đổi liên tục mỗi lần host tạo k ết nối ra ngoài. Khi đó, NAT

sẽ lưu lại thông tin IP của host này trong NAT Table và khi host này

không k ết nối nữa thì địa chỉ IP này sẽ đượ c sử dụng để cấp phát cho một

host khác có nhu cầu k ết nối ra ngoài. Vì vậy, ưu điểm của Dynamic

NAT là tất cả các host đều có khả năng kết nối ra ngoài, còn Static NAT

thì chỉ có những host đượ c mapping mớ i có thể k ết nối ra ngoài.

PAT (Port Address Translation):

- PAT cung cấp chức năng giống như NAT nhưng PAT cho phép nhiều

host có thể k ết nối Internet cùng một lúc bằng cách chỉ dùng một địa chỉ

IP public address (cho phép gán tớ i 65536 hosts cho một public address).

Vì vậy, PAT đượ c xem là NAT overload.



- PAT sẽ track và chuyển đổi: Source IP address, Destination IP address và

TCP/UDP Source port Number. Nhờ vậy có thể phân biệt đượ c giữa các

gói tin của các host và nhiều host có thể k ết nối ra ngoài cùng một thờ i

điểm.

4. VPN – dịch vụ mạng riêng ảo(Virtual Private Network):

a. Định nghĩa:

- VPN là một công nghệ xây dựng một mạng riêng sử dụng hệ thống mạng

công cộng (Internet) để k ết nối các địa điểm hoặc ngườ i sử dụng từ xa

vớ i một mạng LAN ở trụ sở trung tâm. VPN cho phép các máy tính

truyền thông vớ i nhau thông qua một môi trườ ng chia sẻ như mạng

Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu. Ví dụ

như nhu cầu truy cập từ xa mạng nội bộ để trao đổi dữ liệu hay sử dụng

các ứng dụng ngày càng phổ biến. Thay vì dùng k ết nối vật lý thật khá

phức tạp(đườ ng dây thuê bao số), dựa vào router, VPN tạo ra các liên k ếtảo đượ c truyền qua Internet giữa mạng riêng của một tổ chức với địa

điểm hoặc ngườ i sử dụng ở xa.

- Trước đây, để truy cập từ xa vào hệ thống mạng, người ta thườ ng sử

dụng phương thức Remote Access quay số dựa trên mạng điện thoại, gây



mất thời gian và không an toàn. Để cung cấp k ết nối giữa các máy tính,

các gói thông tin đượ c bao bọc bằng một header có chứa những thông tin

định tuyến, cho phép dữ liệu có thể gửi từ máy truyền qua môi trườ ng

mạng chia sẻ và đến đượ c máy nhận, ví dụ như truyền trên các đườ ng

truyền ống riêng đượ c gọi là tunnel. Để đảm bảo tính riêng tư và bảo mật,

các gói tin đượ c mã hóa và chỉ có thể giải mã vớ i những khóa thích hợ p,

ngăn ngừa trườ ng hợ p bị mất gói tin trên đườ ng truyền.

b. Phân loại:

Có 2 loại đượ c sử dụng phổ biến:

VPN truy cập từ xa (Remote- Access)

- Còn đượ c gọi là mạng Dial-up riêng ảo (VPDN),là một k ết nối giữa

người dùng đến mạng LAN, để đáp ứng nhu cầu liên lạc mạng riêng từ

rất nhiều địa điểm ở xa. Ưu điểm của loại VPN này là cho phép các k ết

nối an toàn, có mật mã.

- Ví dụ: Một công ty muốn thiết lập một VPN lớ n thì cần phải liên hệ vớ i

nhà cung cấp dịch vụ doanh nghiệp (ESP). ESP này tạo ra một máy chủ

truy cập mạng NAS và cung cấp cho những ngườ i sử dụng từ xa (“văn

phòng” tại gia hay nhân viên di động)một phần mềm client cho máy tính

của họ. Sau đó, ngườ i sử dụng có thể gọi một số miễn phí để liên lạc vớ i

NAS và dùng phần mềm VPN client để truy cập vào mạng riêng của

công ty đó.

VPN điểm nối điểm (Site – to -Site):

- Là việc sử dụng mật mã dành riêng cho nhiều người để k ết nối nhiều

điểm cố định vớ i nhau thông qua một mạng công cộng như Internet. Loại

này có thể dựa trên Intranet(VPN nội bộ) hay Extranet (VPN mở rộng).



+ Intranet: ví dụ như công ty có một vài địa điểm từ xa muốn tham gia

vào một mạng riêng duy nhất, họ có thể tạo ra một VPN nội bộ

(Intranet) để nối LAN vớ i LAN.

+ Extranet: ví dụ công ty trên có mối quan hệ mật thiết vớ i một công ty

khác (đối tác cung cấp, khách hàng,…) họ có thể xây dựng một VPN

mở rộng (Extranet) k ết nối LAN với LAN để nhiều tổ chức khác nhau

có thể làm việc trên một môi trườ ng chung.

- Router là thiết bị cung cấp tính năng truyền dẫn, bảo mật đượ c sử dụng

trong VPN. Dựa vào hệ điều hành Internet IOS của mình, Cisco đã phát

triển loại router thích hợ p cho mọi trườ ng hợ p, từ truy cập nhà-văn phòngcho đến các doanh nghiệp có quy mô lớ n.

5. Bảo mật :

a. Firewall trên router:

Firewall cho VPN:

- Tườ ng lửa là rào chắn vững chắc giữa mạng riêng ảo VPN và Internet.

Bạn có thể thiết lập các tườ ng lửa để hạn chế số lượ ng cổng mở , loại gói

tin và giao thức đượ c chuyển qua. Do đó cần cài đặt Firewall thật tốt

trướ c khi thiết lập VPN.

(Cisco có sản phẩm tườ ng

lửa PIX: trao đổi Internet

riêng Private Internet

Exchange bao gồm một cơ

chế dịch địa chỉ mạng rất

mạnh, máy chủ proxy, bộ

lọc gói tin, các tính năng VPN và chặn truy cập bất hợ p pháp).



- Mỗi máy tính sẽ có một mật mã truy cập. Khi mã hóa dữ liệu và gửi nó

tớ i một máy tính khác thì chỉ có máy đó mớ i giải mã đượ c. Mật mã truy

cập này đượ c chia làm 2 loại:

Mật mã riêng (Symmetric-Key Encryption): mỗi máy tính đều có một

mã bí mật để mã hóa gói tin trướ c khi gửi tớ i máy tính khác trong

mạng. Yêu cầu của mã riêng là bạn cần phải biết mình đang liên hệ

vớ i những máy tính nào để có thể cài mã lên đó, để máy tính của

ngườ i nhận có thể giải mã đượ c gói tin.

Mật mã chung (Public-Key Encryption): k ết hợ p mã riêng vớ i mã

công cộng. Mã riêng này chỉ có máy gửi nhận biết, còn mã chung thìdo máy gửi cấp cho bất k ỳ máy nào muốn liên hệ vớ i nó(một cách an

toàn). Để giải mã một message, máy tính phải dùng mã chung đượ c

máy tính nguồn cung cấp, đồng thời cũng cần đến mã riêng của nó.

Một ứng dụng rất phổ biến của mã chung này là Pretty Good Privacy

(PGP), cho phép mã hóa hầu như bất cứ thứ gì.

Router làm firewall:

- Các router của Cisco vớ i hệ điều hành Cisco IOS có hỗ trợ chức năng

làm Firewall (gọi là IOS Firewall Feature Set). IOS firewall sẽ hỗ trợ

nhiều chức năng như lọc gói tin(IP Filter), Application Filter, stateful

inspection, và chức năng proxy. Một stateful Firewall không chỉ kiểm tra

các thông tin TCP header, UDP, port,… mà nó còn có khả năng nhớ các

chi tiết, các trạng thái của các yêu cầu đó. Chức năng Stateful Firewall

không chỉ kiểm tra header mà còn kiểm tra nội dung của gói tin, lên đến

tận lớ p application.

- Ví dụ, mỗi khi có một k ết nối TCP/UDP đượ c thiết lập, thông tin về trạng

thái k ết nối được đưa vào bảng stateful trong router. Khi hệ thống bên

ngoài trả lờ i lại các yêu cầu, Firewall sẽ kiểm tra gói tin nhận đượ c vớ i



bảng trạng thái đã lưu giữ để xác định gói tin đó có được phép đi vào

mạng hay không.

Ưu điểm của Firewall trên router so vớ i ACLs:

- Hoạt động trên cả gói tin và trên k ết nối.

- Có hiệu suất cao hơn các chức năng thông thường như ACL hay Authen

proxy.

- Lưu trữ thông tin cho mọi phiên giao dịch trong một bảng. bảng này sẽ

giúp xác định một gói tin có thuộc về một k ết nối hợ p lệ hay là từ một

nguồn bất hợ p lệ.

b. ACL (Access Control List):

- ACL là một danh sách các câu lệnh được áp đặt vào các cổng của router.

Danh sách này chỉ ra cho router biết loại packet nào sẽ đượ c chấp

nhận(permit) và loại packet nào sẽ bị hủy bỏ(deny).

- Khi một gói tin đi vào một interface của router, nó sẽ lấy thông tin trong

phần header của gói tin ra để kiểm tra xem interface này có đượ c cấu

hình ACL (inbound interface) hay không. Nếu có thì gói tin sẽ đượ c kiểm

tra đối chiếu vớ i những điều kiện trong danh sách của nó. Nếu gói tin bị

ngăn chặn(deny), nó sẽ bị drop ngay lập tức. Còn nếu gói tin đó đượ c cho

phép, nó sẽ đượ c kiểm tra trong bảng routing table để quyết định chọn

interface nào để đến đích. Tiếp đó, router sẽ kiểm tra xem outbound

interface có đượ c cấu hình ACL hay không. Nếu không thì packet sẽ

đượ c gửi tớ i mạng đích. Còn nếu có ACL đượ c cấu hình thì nó sẽ kiểm

tra đối chiếu vớ i những điều kiện có trong danh sách ACL đó. Quá trìnhlọc các packet này đượ c thực hiện dựa vào các địa chỉ nguồn, địa chỉ đích

của gói tin hoặc dựa vào chỉ số port tương ứng vớ i các giao thức của các

lớ p trên.

Ưu điểm của ACL:



- Tiết kiệm băng thông và làm tăng performance của mạng.

- Điều khiển lưu thông.

- Đảm bảo tính bảo mật cho lớ p access network.

- Cho phép admin có thể điều khiển đượ c sự truy cập của các users.

c. Phân loại: có 2 loại chính:

Standard ACLs: (access- list – number từ 1-99 và 1300-1999)

- Dựa vào địa chỉ IP nguồn (source IP address) để quyết định permit hay

deny gói tin, không quan tâm đến địa chỉ đích đến cũng như các ports.

Extended ACLs : (access-list-number từ 100-199 và 2000-2699)

- Permit hay deny một gói tin trong một giao thức cụ thể nào đó. Lọc cácgói tin dựa vào một vài thuộc tính:

- Địa chỉ nguồn và đích, source or destination of TCP, UDP ports, port

number hoặc service.

Ngoài ra còn có Dynamic ACLs (Lock and Key), Reflexive ACLs, Time-

based ACLs.

d. Nhữ ng chú ý khi áp dụng ACLs:

- Vì những câu lệnh trong ACL đượ c trình bày theo thứ tự từ trên xuống

dướ i nên phải chắc chắn rằng thứ tự này là đúng.

- Phải đảm bảo permit/deny đúng giao thức.

- Phải kiểm tra việc áp dụng ACL có đúng interface và đúng hướ ng vào-ra

hay không.

e. Hạn chế của ACLs:

- Không chống đượ c kiểu tấn công IP Spoofing. Một gói tin nào đó có thể

đi qua router mà không bị ACL chặn lại.

- Không lọc đượ c các gói tin bị phân mảnh (fragmented packet).

- Một vài dịch vụ sử dụng port động nên không thể bị lọc.

6. Chuyển đổi giữ a Ipv4 và Ipv6:



Vì sao lại phải có sự chuyển đổi này?

- Ipv4 với 32bits địa chỉ, có thể hỗ trợ cho 4,3 tỉ k ết nối Internet sắp cạn

kiệt, trong khi số địa chỉ Ipv6 gấp 296 lần con số 4,3 tỉ chỉ đang phát

triển.

a. Ưu điểm của Ipv6:

- Tăng không gian địa chỉ lên 128 bits thay vì 32bits như Ipv4.

- Định tuyến hiệu quả hơn: Ipv6 đượ c thiết k ế để tạo ra cơ sở định tuyến

phân cấp hiệu quả và có khả năng tập hợ p lại. Do đó, các bảng định tuyến

trên các router trên mạng backbone sẽ gọn hơn.

- Tự động cấu hình địa chỉ: Ipv6 còn hỗ trợ thêm khả năng cấp địa chỉ Iptự động khi không có DHCP Server bằng cách sử dụng Ipv6 Prefix nhận

đượ c từ router, hay nếu trong mạng không có router thì host cũng sẽ tự

động cấu hình địa chỉ link local để liên lạc vớ i các host khác.

- Mở rộng dễ dàng: IPv6 có phần header mở rộng nằm ngay sau phần Ipv6

header cho phép thêm vào các chức năng mớ i khi yêu cầu.

- Hỗ trợ di động tốt hơn: Ipv6 có 4 tính năng(home address, care-of

address, binding, home agent) hoàn toàn mớ i hỗ trợ cho thiết bị di động(

Ipv4 không có).

- Bảo mật: Ipv6 hỗ trợ khả năng bảo mật IPSec (tích hợ p bảo mật vào

trong kiến trúc vớ i 2 header: Authentication header (AH) và Encrypted

Security Payload(ESP) – có thể sử dụng một trong 2 hoặc cả 2 để tăng

cườ ng chức năng bảo mật).

b. Cơ chế chuyển đổi:



- Dual IP layer: cơ chế này đảm bảo một Host/router được cài đặt cả hai

giao thức Ipv4 và Ipv6 ở Internet layer trong mô hình phân lớ p

TCP/IP(Dual Stack).

- Ipv6 Tunneling over Ipv4 (công nghệ đườ ng hầm): cơ chê này thực hiện

đóng gói tin Ipv6 vào một gói theo chuẩn giao thức Ipv4 để có thể

chuyển gói tin qua mạng Ipv4 thuần túy. Trong trườ ng hợ p này, mạng

xem như đó là một gói tin Ipv4 bình thườ ng.

- Công nghệ đườ ng hầm là một phương pháp sử dụng cơ sở hạ tầng sẵn có

của mạng Ipv4 để thực hiện các k ết nối Ipv6 bằng cách sử dụng các thiết

bị mạng có khả năng hoạt động dual-stack tại hai điểm đầu và cuối nhất



định. Các thiết bị này bọc gói tin Ipv6 trong gói tin Ipv4 và truyền tải đi

trong mạng Ipv4 tại điểm đầu và gỡ bỏ gói tin Ipv4, nhận lại gói tin Ipv6

ban đầu tại điểm đích cuối đườ ng truyền Ipv4.



I. GIỚ I THIỆU TỔNG QUAN VỀ SWITCH

1.Giớ i thiệu Switch layer 2

Switch là một thiết bị Lớp 2 đượ c sử dụng để tăng băng thông và giảm nghẽn

mạch. Switch có thể phân đoạn mạng LAN thành các đoạn mạng siêu nhỏ. Là một



thiết bị lớ p 2 nên LAN switch có thể phân nhiều miền đụng độ nhưng tất cả các

Host k ết nối vào Switch vẫn nằm trong cùng một miền quảng bá.

Switch layer 3

Switch layer 3 là 1 loại Switch layer 2 nhưng có thêm tính năng route vàrouting (như 1 Router) hay chúng ta cứ mường tượ ng nó là 1 con router bình

thường nhưng có tích hợ p thêm nhiều port LAN.

Switch layer 3 hoạt động nhanh hơn 1 router khi cùng thực hiện 1 công việc

giống nhau như chuyển gói tin từ nguồn đến đích. Vì routers phải chuyển gói tin

lên lớp 3 (network) để xem địa chỉ đích mà gói tin đến sau đó sẽ xuất ra đúng port

cho nên sẽ mất nhiều thờ i gian và quá trình xử lý gói tin hơn so vớ i switch layer 3.Switch layer 3 chỉ chuyển gói tin đầu tiên lên lớp 3(network) để xem địa chỉ đích

và các gói tin còn lại sẽ đượ c truyền đi ở lớ p 2,cơ chế này đượ c thong qua giao

thức cut-through. So vớ i router, switch layer 3 hoạt động nhanh hơn vì vậy thờ i

gian trễ thấp.

Switch layer 3 chuyển gói tin dựa vào địa chỉ IP,vì là hoạt động ở lớ p 3 nên sẽ

ngăn chặn các gói tin quảng bá, chọn đườ ng đi tốt nhất cho gói dữ liệu và xuất ra

cổng tương ứng, giúp phân luồng lưu lượ ng mạng…

II. Vai trò của Switch :



Trong mô hình phân lớ p, switch có thể hoạt động ở cả 3 lớ p Access, Distribution

và Core. Ở mỗi lớ p, switch thực hiện các chức năng khác nhau tùy theo hệ thống

mạng:

1. Ở lớ p Access :

Mạng LAN Mạng của nhà ISP

Cung cấp k ết nối vào mạng cho

các thiết bị cuối như Laptops, IP

phones, PCs, Printers,…

Cung cấp k ết nối vào mạng của nhà ISP

cho các thuê bao, doanh nghiệp,… cho

phép các thiết bị trong mạng nội bộ của

họ k ết nối vào mạng WAN hay Internet.

2. Ở lớ p Distribution :

Thực hiện tập trung lưu lượ ng ở lớ p Access (link aggregation), giúp tránh

hiện tượ ng nút cổ chai.

Kiểm soát lưu lượ ng vớ i các chính sách bảo mật và định tuyến.



Forward các gói tin nhận đượ c dựa trên các virtual circurt (Frame Relay,

ATM,…), các đườ ng chuyển mạch kênh và chuyển mạch gói.

Định nghĩa các vùng broadcast domains.

Định tuyến giữa các VLAN.

Cung cấp các đườ ng k ết nối dự phòng (sử dụng STP để chống loop)

3. Ở lớ p Core :

Thực hiện chuyển tiếp vớ i tốc độ cao, ổn định.

III.Đặc tính của Switch cơ bản

CSMA/CD (Carrier Sense Multiple Access / Collision Detection)

Carrier Sense ( phát hiện sóng mang)

Trong hệ thống truy cập CSMA/CD, tất cả các thiết bị lắng nghe trên đườ ng

truyền Ethernet trước khi đượ c phép truyền tín hiệu. Nếu thiết bị Ethernet phát

hiện có thiết bị khác đang truyền dữ liệu thì nó sẽ đợi để truyền.

Khi không phát hiện giao thông trên đườ ng truyền, thiết bị sẽ truyền thông tin.

Trong khi truyền tin, thiết bị tiếp tục lắng nghe xem có xảy ra va chạm hoặc đụng

độ trên mạng LAN hay không. Sau khi thông tin dữ liệu đượ c gửi đi, thiết bị gửi

trở lại chế độ lắng nghe cho lần truyền tin sau.



Collision Detection(phát hiện đụng độ)

Khi một thiết bị ở chế độ lắng nghe,nó có thể phát hiện khi xảy ra va chạm

đụng độ trên đườ ng truyền chia sẽ. Khi xảy ra đụng độ, những thiết bị khác ở chế

độ lắng nghe, còn những thiết bị đang truyền dữ liệu nhận biết có sự gia tăng tínhiệu.

Khi đụng độ đượ c phát hiện, những thiết bị đang truyền thông tin sẽ gửi ra một

tín hiệu trì hoãn. Tín hiệu trì hoãn này thông báo cho các thiết bị khác biết rằng

đang có đụng độ xảy ra, vì vậy mỗi thiết bị sẽ chờ một thờ i hạn ngẫu nhiên đượ c

cài đặt trên từng thiết bị. sau thờ i hạn này, các thiết bị lại trở về trạng thái lắng

nghe.Khi k ết nối một thiết bị vào một port của Switch, Switch sẽ tạo một k ết nối

riêng biệt vớ i trọn băng thông cho máy đó. Kết nối này là một miền đụng độ riêng.

Switch xây dựng bảng chuyển mạch bằng cách học địa chỉ MAC của các host

k ết nối trên mỗi port của Switch. Khi 2 host k ết nối vào Switch muốn liên lạc vớ i

nhau, Switch sẽ tìm trong bảng chuyển mạch của nó và thiết lập k ết nối ảo giữa 2

port của 2 host đó. Kết nối này được duy trì cho đến khi phiên giao dịch k ết thúc.

Switch và miền quảng bá.

Miềnđụng độ:

Miền quảng bá:

Mặc dù Switch lọc

hầu hết các frames dữ liệu thông qua địa chỉ MAC nhưng chúng không lọc các

frame quảng bá. một tập hợp các Switch như vậy đượ c gọi là một broadcast



domain ( miền quảng bá). Chỉ những thiết bịở lớp 3 như một router hoặc 1 mạng

LAN ảo (VLAN) mớ i có thể ngăn chặn miền quảng bá và cả miền đụng độ

Switch là thiết bị lớ p 2. Khi Switch nhận 1 frame broadcast, nó sẽ chuyển tiếp

gói frame đó ra mỗi port trừ port nó nhận vào. Mỗi thiết bị nhận đượ c gói tin quảng

bá nàyđều phải xử lý thông tin nằm trong đó. Điều này làm giảm hiệu suất hoạt

dộng của mạng vì tốn băng thông, các thiết bị phải nhận và xử lý chúng.

IV. Hoạt động của Switch

1. Chức năng của Switch

Switch tập trung các k ết nối và quyếtđịnh chọn đườ ng dẫn để chuyển dữ liệuhiệu quả. Frame đượ c chuyển mạch từ port nhận vào và đến port phát ra. mỗi port

là một k ết nối cung cấp toàn bộ băng thông cho host.

Để chuyển frame hiệu quả giữa các port, Switch xây dựng một bảngđịa chỉ. Khi

Switch nhận vào một frame, nó sẽ ghi lạiđịa chỉ MAC của máy gửi tươngứng vớ i

port mà nó frame vào.

Đặcđiểm chính của Ethernet Switch:

- Tách biệt giao thông trên từng segment.

- Tăng nhiều hơn lượng băng thông dành riêng cho mỗiuser bằng cách tạo

miềnđụng độ nhỏ hơn.

2. Cách học địa chỉ của Switch

Switch là một thiết bị thông minh vì nó quyếtđịnh chuyển frame theo địa chỉ

MAC. Để thực hiệnđiều này, Switch xây dựng một bảngđịa chỉ. Khi Switch bắt

đầu đượ c bật lên, Switch sẽ gửi một gói tin quảng bá cho mọi máy trạm trong

segment k ết nối vào nó để yêu cầu các máy nhận trả lờ i. Khi các máy trạm trả lờ i

thông điệp quảng bá, Switch sẽ ghi lạiđịa chỉ của các máy vào bảngđịa chỉ của

mình. Quá trình này đượ c gọi là quá trình họcđịa chỉ.

Switch học địa chỉ theo cách sau:



- Đọcđịa chỉ MAC nguồn trong mỗi frame nhận đượ c.

- Ghi lại số port mà Switch học đượcđịa chỉ của thiết bị k ết nối vào port nào

của Switch.

- Địa chỉ học đượ c và số port tươngứng sẽ đượ c trong bảngđịa chỉ. Switch sẽ

kiểm tra địa chỉđích nằm trong frame nhận đượ c rồi dò tìmđịa chỉđích này trong

bảngđịa chỉ để tìm port tươngứng.

3.Quá trình chuyển mạch của Switch

Có 3 chếđộ chuyển mạch của Switch:

- Fast-forward: Switch đọcđược địa chỉ của Frame là bắtđầu chuyển frame đi

luôn mà không cần chờ nhận toàn bộ hết frame. Như vậy, frame đượ c chuyểnđitrướ c khi nhận hết toàn bộ frame. Vì vậy, thờ i gian trễ thấp xuống nhưng khả năng

phát hiện lỗi kém.

- Store and forward: switch nhận toàn bộ frame rồi mớ i bắtđầu chuyển frame

đi. Switch đọcđịa chỉ nguồn, địa chỉđích và thực hiện lọc bỏ frame nếu cần rồi mớ i

quyếtđịnh chuyển frame đi. thờ i gian Switch nhận frame sẽ gây ra thờ i gian trễ lớ n

nhưng như vậy thì Switch mớiđủ thờ i gian kiểm tra lỗi của frame nên khả năng

phát hiện lỗi cao hơn.

- Fragment-free: nhận hết 64 byte đầu tiên rồi mớ i chuyển frame đi.

Fragment-free là 1 dạng cải biên của chuyển mạch cut-through.

Switch có thể đưa ra các quyết định chuyển mạch dựa vào : MAC Address, số

DLCI (Frame Relay), VPI/VCI (ATM), nhãn (MPLS),…

4. Độ trễ mạng :Độ trễ là khoảng thờ i gian mà một frame hoặc một gói tin di chuyển từ máy

nguồn đến máy đích.

Những user truy cập mạng sử dụng cácứng dụng họ sẽ cảm nhận được độ trễ của

mạng khi họ phải chờ nhiều thời gian để truy cập vào cơ sở dữ liệu được lưu giữ



tại một trung tâm dữ liệu hoặc khi một trang web cần nhiều thời gian để load

chương trình về. Có 3 dạng trễ:

Đầu tiên: trễ là do thờ i gian cần thiết để một NIC nguồnđưa những xung

điện vào đườ ng dây và thờ i gian để NIC đích chuyển đổi những xung đó. Khoảng

thờ i gian này gọi là độ trễ NIC. Thông thườ ng khoảng 1 micro giây cho 1 NIC

10BASE-T.

Thứ hai:Độ trễ do sự lan truyền thực tế của tín hiệu. Một tín hiệu cần có một

khoảng thờ i gian lan truyền trong cáp. Thông thườ ng, mất khoảng 0.556 micro

giây/100 mét cho loại cáp CAT 5 UTP. . Cáp càng dài thì theo tốc độ thực tế dẫn

truyền sẽ có độ trễ nhiều hơn nửa. Thứ ba: trễ là do mắc thêm nhiều thiết bị trên đườ ng dẫn giữa hai thiết bị.

Tùy theo từng thiết bị sẽ có độ trễ khác nhau.

V. Các giao thức và cơ chế hỗ trợ Switch :

1. Spanning Tree Protocol(STP):

Các switch ở lớ p Distribution và Core có vai trò quan trọng trong hệ thống mạng,

yêu cầu phải luôn available 24/24. Do đó, giữa các switch này luôn có các đườ ng

dự phòng (Redundant) để đề phòng khi 1 đườ ng k ết nối bị hư thì sẽ có đườ ng khác

thay thê.

Khi có nhiều đườ ng dự phòng dễ dẫn đến hiện tượ ng loop và 1 số lỗi khác kèm

theo như : Broadcast Storms, Duplicate Unicast Frames.

Bằng cách chỉ cho 1 đườ ng k ết nối trong trạng thái forwarding còn các đườ ng dự

phòng khác ở trạng thái blocking (không forward frames) và khi đườ ng chính bị hưthì 1 trong số các đườ ng dự phòng sẽ chuyển sang trạng thái forwarding, STP ngăn

loop và các lỗi có liên quan khi sử dụng các đườ ng dự phòng.

2. Chia VLAN :



VLAN(hay virtual LAN ) là một k ỹ thuật cho phép tạo lập các mạng LAN độc lập

một cách logic trên cùng một kiến trúc hạ tầng vật lý. Việc tạo lập nhiều mạng

LAN ảo trong cùng một mạng cục bộ (giữa các khoa trong một trườ ng học, giữa

các cục trong một công ty,...) giúp giảm thiểu vùng quảng bá (broadcast domain)

cũng như tạo thuận lợ i cho việc quản lý một mạng cục bộ rộng lớ n.

3. Vlan Trunking Protocol (VTP) :

VTP cho phép nhà quản lí mạng cấu hình một switch để có thể cấu hình cho các

switch khác trong mạng. Switch có thể đượ c cấu hình trong vai trò của một VTP

server hay một VTP client. VTP chỉ học về normal-range VLAN (VLAN IDs 1 to

1005). Extended-range VLANs (IDs lớn hơn 1005) thì không hỗ trợ VTP.4. Inter VLAN :

Giúp cho việc giao tiếp giữa các VLAN khác nhau sử dụng các đườ ng trunk, các

chuẩn đóng gói như 802.1q và ISL.

5. Layer 3 Forwarding

Một switch layer3 có khả năng rout transmissions giữa VLANs. thủ tục giống

như giao tiếp inter-VLAN sử dụng một router riêng, ngoại trừ SVIs hoạt động như

router interfaces cho việc routing dữ liệu giữa các VLAN

Các cơ chế chuyể n mạ ch

Packet-switching and circuit-switching

Packet-switching and circuit-switching sử dụng hai k ỹ thuật khác nhau trong

việc vận chuyển thông tin từ nơi này đến nơi khác trong hệ thống mạng.

Circuit Switching

http://vi.wikipedia.org/wiki/LAN






Đặc điểm:

Kết nối đượ c dành riêng.

Không chia sẽ băng thông.

Đảm bảo chất lượ ng k ết nối.

Sử dụng hai k ỹ thuật ghép kênh : TDM và FDM



Hạn chế: Không tối ưu hóa băng thông.

Packet Switching

Thông tin đượ c chia thành từ gói nhỏ (packet)

Chia sẽ băng thông.

Có sự tranh chấp tài nguyên

Tắc nghẽn

Store & Forward

Hạn chế: Thờ i gian thực.

ATM & Frame Relay

I. Giớ i thiệu khái quát về ATM



1.1 Thự c trạ ng các mạ ng viễ n thông hiệ n tại

Tồn tại một cách riêng lẽ ( mạng Telex, mạng điện thoại công cộng

(POTS), mạng truyền số liệu…)

Chỉ truyền đượ c các dịch vụ độc lập tương ứng từng mạng.

Thiếu hiệu quả trong việc bảo dưỡ ng, vận hành cũng như sử dụng.

Không thể chia sẽ tài nguyên có trong cùng một mạng không thể chia sẽ

cho các mạng khác cùng sử dụng.

1.2 Sự ra đờ i củ a hệ thố ng viễ n thông mớ i B-ISDN

- ISDN là gì ?

ISDN (integrated Services Digital Network) là tập hợ p các giao thức

nhằm k ết hợ p mạng điện thoại số và dịch vụ truyền dữ liệu. ISDN cho phép

tất cả các thông tin thoại, data và video có thể truyền qua một đườ ng dây

thuê bao

(subscriber line) vớ i tốc độ cao và chất lượ ng tốt.

- M ạng B-ISDN (Broadband Integrated Services Digital Network)

Xu hướ ng của các dịch vụ ngày nay và trong tương lai là các yêu cầu

dịch vụ băng thông rộng đang tăng lên (HDTV, video conference…).

Sự cần thiết phải tổ hợ p các dịch vụ phụ thuộc lẫn nhau ở chuyển

mạch kênh và chuyển mạch gói vào một mạng băng thông rộng duy nhất.

Cần thiết phải đảm bảo tốc độ truyền, chất lượ ng dịch vụ, kinh tế…

Mạng B-ISDN ra đờ i nhằm đáp ứng các điều kiện trên mà mạng băng

thông hẹp N.ISDN không đáp ứng đượ c.



Quá trình tiế n tớ i mạ ng B-ISDN hiệ n tại có thể xem như có 2 hướ ng:

Từ các mạng điện thoati5 tiến tớ i xay dựng mạng số đa dịch vụ tích hợ p

ISDN rồi tiến tớ i B-ISDN.

Từ các mạng Frame-Relay rồi mạng truyện dẫn không đồng bộ ATM để

làm nền tản cho B-ISDN.

Hiện nay, ở Việt Nam mớ i có mạng truyền số liệu chuyển mạch gói theo

tiêu chuẩn X.25 đang đượ c khai thác. Mạng truyền liệu này chỉ có thể phục

vụ cho các nhu cầu truyền số liệu tốc độ thấp nhưng nó có tính an toàn cao,khắc phụ đượ c những điểm yếu của một mạng truyền dẫn chất lượ ng thấp.

Vớ i công nghệ truyền dẫn như hiện nay, vấn đề nâng cấp chất lượ ng các

đườ ng truyền dẫn không còn quá phức tạp như trướ c. Vì vậy, chúng ta có

thể chọn hướ ng phát triển là xây dụng mạng truyền số liệu theo Frame-

Relay và tiến tớ i xây dựng mạng ATM

II. Frame-Relay

1.1 Frame Relay là gì ?

Frame Relay là một dịch vụ truyền số liệu mạng diện rộng dựa trên công

nghệ chuyển mạch gói. Đây là một tiêu chuẩn của CCITT (consultative

committee for international Telegraph and telephone) và ANSI

(american national standard institude) định ra quá trình truyền dữ liệu

qua mạng dữ liệu công cộng.

Frame Relay phụ vụ cho khách hàng có nhu cầu k ết nối các mạng diện

rộng và sử dụng các dịch vụ vớ i tốc độ k ết nối cao mà ở các công nghệ

cũ hơn như chuyển mạch kênh và chuyển mạch gói không thể tạo ra.



1.2 Đặc điểm

Frame-Relay thực hiện các k ỹ thuật chuyển mạch ở lớ p 2 và nó chia dữ

liệu thành từng đơn vị có kích thướ c không cố định gọi là Frame.

Một số chức năng ở tầng này cũng đượ c loại bỏ như các tham số về

ACK, NAK… nhằm làm giảm độ trể mạng.

Dạ ng gói d ữ liệu Frame-Relay

Trong bài viết này, chúng tôi không trình bày lại toàn bộ các tham số và các

thông tinn về cấu trúc chi tiết của gói tin kiểu Frame-Relay mà chỉ tập trung và

các tham số tạo ra sự khác biệt của công nghệ này để giải quyết các vấn đề quan

trọng nhất trong việc xây dựng mạng truyền số liệu. Đó là các tham số liên quan

đến việc xử lý tắc nghẽn và việc thiết lập các kênh logic để truyền số liệu.

Tham số liên quan đến việc xử lý tắc nghẽn chính là: FECN và BECN (giải

thích)



Việc thiết lập các kênh logic

Kênh ảo cố định PVC (Permanent Virtual Circuit)

Kênh ảo chuyển mạch (Switched Virtual Circuit)

Kênh ảo nối đa điểm MVC (Multicast Virtual Circuit)

Công nghệ

Sử dụng khe

thờ i gian cố

định

Độ trể Thông lượ ng

X.25 Không Lớ n Thấp

TDM Có Rất nhỏ Cao

Frame-Relay Không Nhỏ Cao

Kết luật

III. ATM

1. ATM là gì ?

ATM ( Asynchronous Time Division) là phức thức truyền tin trong đó thông tin

đượ c chia thành nhiều gói nhỏ (tế bào) có chiều dài không thay đổi gọi là các tế

bào tin.

Vì sao ATM lại chọn phương thứ c truyền tin không đồng bộ ?

Vì sao ATM sử d ụng các t ế bào có nhỏ có độ dài cố định ?

Ưu điểm:

Mềm dẻo và phù hợ p vớ i các dịch vụ của tương lai.



Có hiệu quả trong việc sử dụng tài nguyên.

Sử dụng một mạng duy nhất cho tất cả các dịch vụ

2. Cấu trúc phân lớ p trong mạng ATM

a. Cấu trúc tế bào ATM

Header (5 bytes): thông tin chứa trong Header giúp cho việc tìm đườ ng của

các ATM cell qua mạng.

Payload (48 bytes): chứa data của ngườ i sử dụng và các tín hiệu điều khiển

tương ứng.

Phần Header của ATM có 2 d ạng:



T ế bào truyề n trên giao diện UNI

Các t ế bào truyề n giữ a các nút mạng NNI

Đặc điểm các trườ ng trong cấu trúc tế bào

Số hiệu nhận dạng kênh ảo VCI( Virtual Channel Identifier)

Số hiệu nhận dạng đườ ng ảo VPI (Virtual Path Identifier)



Giải thích



I. Khái quát MPLS:

1. MPLS là gì :

MPLS là một framework do IETF đưa ra , cung cấp thiết k ế hiệu quả cho

việc định tuyến, chuyển tiếp, chuyển mạch cho luồng lưu lượ ng qua mạch.



2. Chức năng của MPLS :

Định quá trình quản lý lưu lượ ng luồng của các mạng khác nhau, như luồng

giữa các máy, phần cứng khác nhau hoặc thậm chí luồng giữa các ứng dụng

khác nhau.

Duy trì sự độc lập của giao thức lớ p 2 và lớ p 3.

Cung cấp cách thức để ánh xạ các địa chỉ IP thành các nhãn đơn giản có độ

dài không đổi đượ c sử dụng bở i các công nghệ chuyển tiếp gói và chuyển

mạch gói khác nhau.

Giao diện chung đối vớ i các giao thức định tuyến như RSVP và OSFP.

Hỗ trợ IP, ATM, Frame Relay.

3. Lợ i ích của MPLS :

MPLS mang lại nhiều lợi ích như :

Kỹ thuật lưu lượ ng : Cung cấp các khả năng thiết lập đườ ng truyền mà lưu lượ ng

sẽ truyền qua mạng và khả năng thiết lập chất lượ ng cho các cấp độ dịch vụ (CoS)

và chất lượ ng dịch vụ (QoS) khác nhau. MPLS là sự phát triển chủ yếu trong các

công nghệ Internet mà hỗ trợ việc bổ sung các khả năng cần thiết cho mạng IP ngày

nay.

Cung cấp IP dự a trên các mạng riêng ảo : Bằng việc sử dụng MPLS, các

nhà cung cấp dịch vụ có thể cung cấp đườ ng hầm IP đi qua mạng của họ mà không

cần thiết mã hoá hay các ứng dụng đầu cuối-ngườ i sử dụng.

Loại bỏ cấu hình đa lớ p : Thông thườ ng, phần lớn các nhà điều hành mạng cung

cấp mô hình chồng lấn mà ATM đượ c sử dụng tại lớp 2 và IP đượ c sử dụng tại lớ p

3. Bằng việc sử dụng MPLS, các nhà điều hành mạng có thể mang chức năng của

mặt điều khiển ATM vào lớp 3, do đó sẽ làm đơn giản hóa mạng và việc quản lý

mạng.



Tuyến hiện : Một đặc điểm chính của MPLS là sự hỗ trợ của nó đối vớ i các

Các đườ ng chuyển mạch nhãn được định tuyến sẵn hiệu quả hơn so vớ i tuỳ chọn

tuyến nguồn trong IP. Chúng cũng có thể cung cấp một vài chức năng cần thiết cho

kĩ thuật lưu lượ ng.

Hỗ trợ đa liên kết và đa giao thứ c : Thành phần chuyển tiếp chuyển mạch nhãn

là không xác định vớ i một lớ p mạng cụ thể. Ví dụ cùng một thành phần chuyển

tiếp cũng có thể đượ c sử dụng khi đang thực hiện chuyển mạnh nhãn với IP cũng

như IPX. Chuyển mạch nhãn cũng có thể hoạt động ảo trên mọi giao thức liên k ết dữ

liệu thông qua ATM

I. Các thành phần trong MPLS :

1. Các thành phần của MPLS:

K

hái quát phương thứ c hoạt động của MPLS

Ở router biên của mạng, khi gói tin đi vào nó đượ c ấn định vào một FEC một lần

duy nhấ t . FEC mà gói tin đượ c ấn định mã hoá thành nhãn có độ dài cố định.

Nhãn đượ c gửi theo gói tin khi gói tin đi tớ i Hop tiếp theo, như vậy các gói tin

dán nhãn trước khi chúng đượ c gửi chuyển tiếp.

Tại các Hop phía sau, nhãn được dùng để nó xác định Hop tiế p theo và nhãn mớ i.

Nhãn cũ đượ c thay thế bằng một nhãn mới và gói tin đượ c gửi tớ i Hop tiếp theo.

Hop tiếp theo lại dùng nhãn nhận được để xác định Hop tiếp theo và nhãn mớ i cho

gói tin nó nhận đượ c.

Cứ như vậy, gói tin lần lượt đượ c gửi qua các router trong mạng. Tất cả công

việc gửi chuyển tiếp được điều khiển bằng các nhãn.



Đến router biên ở đầu ra, nhãn đượ c gỡ bỏ và gói tin sẽ đượ c định tuyến đi ra

ngoài mạng MPLS dựa vào các thông tin về địa chỉ IP đích có trong gói tin.

MPLS là chuyển mạch nhãn đa giao thức, đa giao thức ở đây có nghĩa là các

công nghệ của nó có thể áp dụng trong bất cứ giao thức lớ p mạng nào như IP,IPX…

2. Các khái niệm cơ bản của mạng MPLS

N

hãn (Lable):

Nhãn là một thực thể có độ dài ngắn và cố định không có cấu trúc bên trong.

Nhãn không trực tiếp mã hoá thông tin của mào đầu lớ p mạng như địa chỉ mạng. Nhãn đượ c gắn vào một gói tin cụ thể sẽ đại diện cho một FEC (Forwarding

Equivalence Classes) mà gói tin đượ c ấn định.

Thườ ng thì một gói tin đượ c ấn định một FEC (hoàn toàn hoặc một phần) dựa

trên địa chỉ đích lớ p mạng của nó. Tuy nhiên nhãn không phải là mã hoá của địa

chỉ đó.

Nhãn trong dạng đơn giản nhất xác định đường đi mà gói tin có thể truyền qua.

Nhãn được mang hay được đóng gói trong tiêu đề lớ p 2 cùng vớ i gói tin. Bộ định

tuyến kiểm tra các gói tin qua nội dung nhãn để xác định các bướ c chuyển k ế tiếp.

Khi gói tin đượ c gán nhãn, các chặng đườ ng còn lại của gói tin thông qua mạng

đườ ng trục dựa trên chuyển mạch nhãn. Giá trị nhãn chỉ có ý nghĩa cục bộ nghĩa là

chúng chỉ liên quan đến các bướ c chuyển tiếp giữa các LSR.

Dạng của nhãn phụ thuộc vào phương thức truyền tin mà gói tin được đóng gói.

Kiể u khung (Frame mode): Kiểu khung là thuật ngữ khi chuyển tiếp một gói

nhãn gán trước tiêu đề lớ p ba. Một nhãn đượ c mã hoá vớ i 20 bỉt, nghĩa là có thể có

2 mũ 20 giá trị khác nhau. Một gói có nhiều nhãn gọi là chồng nhãn (Lable stack).

Ở mỗi chặng trong mạng chỉ có một nhãn bên ngoài đượ c xem xét.



LABLE EXP S TTL STACK

LABLE=20 bits

EXP (EXPERIMENTAL)=3 bits

S (BOTTOM OF STACK)=1 bit TTL (TIME TO LIVE)=8 bits

Trong đó:

EXP: dành cho thực nghiệm. Khi các gói tin xếp hàng có thể dùng các bít

này tương tự như các bit IP ưu tiên (IP Precedence)

S: là bít cuối chồng . Nhãn cuối chồng bit này đượ c thiết lập lên 1,các nhãn

khác có giá trị bít này là 0. TTL: thờ i gian sống là bản sao của IP TTL. Giá trị của nó đượ c giảm tại mỗi

chặng để tránh lặp như IP. Thường dùng khi người điều hành mạng muốn che dấu

cấu hình mạng bên dưới khi tìm đườ ng từ mạng bên ngoài.

Kiể u t ế bào (Cell mode): Thuật ngữ này dùng khi có một mạng gồm các ATM

LSR dùng trong mặt phẳng điều khiển để trao đổi thông tin VPI/VCI thay vì dùng

báo hiệu ATM. Trong kiểu tế bào, nhãn là trườ ng VPI/VCI của tế bào. Các ATM

LSR ở phía trong hoạt động như chuyển mạch ATM-chúng chuyển tiếp một tế bào

dựa trên VPI/VCI vào và thông tin cổng ra tương ứng. Cuối cùng, router cổng ra

sắp xếp các tế bào thành một gói.

Kiểu khung PPP hoặc Ethernet: giá trị nhận dạng giao thức P-ID (hoặc Ethernet

type) được chèn vào mào đầu khung tương ứng để thông báo khung là MPLS đơn

hướng hay đa hướ ng.



Gói tin IP

Tiêu đề Shim

Dữ liệu

VPI/VCI

Tiêu đề IP

Dữ liệu

Tiêu đề IP

Hình 1.1: Lớ p liên kết dữ liệu là ATM

Gói tin IP

Tiêu đề Shim

Dữ liệu

DLCI

Dữ liệu

Tiêu đề IP

Dữ liệu

Tiêu đề IP

Hình 1.2: Lớ p liên kết dữ liệu Frame-relay

Tiêu đề gói PPP trên SDH

Tiêu đề MAC LAN

Tiêu đề PPP Tiêu đề lớp 3Tiêu đề Shim

Tiêu đề lớp 3Tiêu đề ShimTiêu đề MAC

Nhãn

Nhãn trong Shim-giữ a lớ p 2 và lớ p 3



N

găn xếp nhãn (Lable stack):

Là một tập hợ p thứ tự các nhãn gán theo gói để chuyển tải thông tin về nhiều

FEC và về các LSP tương ứng mà gói đi qua. Ngăn xếp nhãn cho phép MPLS hỗ

trợ định tuyến phân cấp (một nhãn cho EGP và một nhãn cho IGP) và tổ chức đa

LSP trong một trung k ế LSP. Điều này tạo điều kiện thuận lợ i cho chế độ hoạt

động đườ ng hầm

B

ộ định tuyến chuyển mạch nhãn ( LSR-Lable Switching Router ):

Là thiết bị chuyển mạch hay thiết bị định tuyến sử dụng trong mạng MPLS để chuyển các gói tin bằng thủ tục phân phối nhãn. Có một số loại LSR như LSR,

LSR-ATM….

L

ớ p chuyển tiếp tương đương ( FEC-Forward Equivalence Class ):

FEC là một nhóm các gói, nhóm các gói này chia sẻ cùng yêu cầu trong sự

chuyển tiếp chúng qua mạng. Tất cả các gói trong một nhóm như vậy đượ c cung

cấp cùng cách chọn đườ ng tới đích. Khác vớ i chuyển tiếp IP truyền thống, trong

MPLS việc gán một gói cụ thể vào một FEC cụ thể chỉ đượ c thực hiện một lần khi

các gói vào trong mạng. MPLS không ra quyết định chuyển tiếp vớ i mỗi datagram

lớ p 3 mà sử dụng khái niệm FEC. FEC phụ thuộc vào một số các yếu tố, ít nhất là

phụ thuộc vào địa chỉ IP và có thể là phụ thuộc cả vào kiểu lưu lượ ng trong

datagram (thoại, dữ liệu, fax…). Sau đó dựa trên FEC, nhãn đượ c thoả thuận giữa

các LSR lân cận từ lối vào tớ i lối ra trong một vùng định tuyến. Cơ sở thông tin

nhãn ( LIB-Lable Information Base ):



Là bảng k ết nối trong LSR có chứa giá trị nhãn/ FEC đượ c gán vào cổng ra cũng

như thông tin về đóng gói dữ liệu truyền tin để xác định phương thức một gói tin

đượ c chuyển tiếp.

Tuyến chuyển mạch nhãn ( LSP-Lable Switching Path ):

Là tuyến tạo ra từ đầu vào đến đầu ra của mạng MPLS dùng để chuyển tiếp gói

của một FEC nào đó sử dụng cơ chế hoán đổi nhãn. Các tuyến chuyển mạch nhãn

chứa một chuỗi các nhãn tại tất cả các nút dọc theo tuyến từ nguồn tới đích. LSP

đượ c thiết lập trướ c khi truyền dữ liệu hoặc trong khi xác định luồng dữ liệu nào

đó. Các nhãn đượ c phân phối bằng các giao thức như LDP, RSVP. Mỗi gói dữ liệuđược đóng gói lại và mang các nhãn trong suốt thờ i gian di chuyển từ nguồn tớ i

đích.

G

ói tin dán nhãn:

Gói tin dán nhãn là gói tin mà nhãn được mã hóa trong đó. Trong một số trườ ng

hợ p, nhãn nằm trong mào đầu của gói tin dành riêng cho mục đích dán nhãn. Trong

các trườ ng hợ p khác, nhãn có thể được đặt chung vào trong mào đầu lớ p mạng và

lớ p liên k ết dữ liệu miễn là ở đây có thể dùng đượ c cho mục đích dán nhãn.

Ấ

n định và phân phối nhãn:

Trong mạng MPLS, quyết định để k ết hợ p một nhãn L cụ thể vớ i một FEC F cụ

thể là do LSR phía trướ c thực hiện. LSR phía trướ c sau khi k ết hợ p sữ thông báo

vớ i LSR phía sau về sự k ết hợp đó. Do vậy, các nhãn được LSR phía trướ c ấn định

và các k ết hợp nhãn đượ c phân phối theo hướ ng từ LSR phía trướ c tớ i LSR phía

sau.

C

ơ cấu báo hiệu



Yêu cầu nhãn: Một LSR yêu cầu một nhãn từ dòng xuống lân cận nên nó có

thể liên k ết đến FEC xác định. Cơ cấu này có thể dùng để truyền đến các LSR tiếp

theo cho đến LER lối ra.

Đáp ứng nhãn: Để đáp ứng một yêu cầu nhãn, LSR luồng xuống sẽ gửi một

nhãn đến các bộ khởi động luồng lên sử dụng cơ cấu ánh xạ nhãn.

Đáp ứngnhãn

Ví dụ nhãn 2

Đáp ứngnhãn

Ví dụ nhãn 5

Yêu cầunhãn

Cho đích C

Yêu cầunhãn

Cho đích C

LSRLối vào LER

Bộ địnhtuyến B

Bộ địnhtuyến C

Cơ cấu báo hiệu

Phần chức năng chuyển gói tin: Vớ i nhiệm vụ gửi gói tin giữa các bộ định

tuyến, sử dụng cơ chế hoán đổi nhãn tương tự như ATM. Trong MPLS, nhãn là

một số có độ dài cố định và không phụ thuộc vào lớ p mạng. Kỹ thuật hoán đổinhãn về bản chất là việc tìm nhãn của một gói tin trong một bảng các nhãn để xác

định tuyến của gói và tìm nhãn mớ i của nó. Hay nói cách khác k ỹ thuật hoán đổi

nhãn là việctìm chặng k ế tiếp của gói tin trong một bảng chuyển tiếp nhãn, sau đó

thay thế giá trị nhãn của gói rồi chuyển ra cổng ra của bộ định tuyến. Việc này

đơn giản hơn nhiều so vớ i việc xử lý gói tin thông thườ ng và do vậy cải tiến khả

năng của thiết bị. Các bộ định tuyến sử dụng thiết bị này gọi là bộ định tuyến

chuyển mạch nhãn LSR.

Phần chức năng điều khiển của MPLS: Bao gồm các giao thức định tuyến lớ p

mạng vớ i nhiệm vụ phân phối thông tin định tuyến giữa các LSR, và thủ tục gán



nhãn để chuyển thông tin định tuyến thành các bảng định tuyến cho việc chuyển

mạch nhãn. MPLS có thể hoạt động đượ c vớ i các giao thức định tuyến Internet

khác như OSPF và BGP. Do MPLS hỗ trợ việc điều khiển lưu lượ ng và cho phép

thiết lập tuyến cố định, việc đảm bảo chất lượ ng dịch vụ của các tuyến là hoàn

toàn khả thi. Đây là một điểm vượ t trội của MPLS so với các định tuyến cổ điển.

II. Ứ ng dụng cơ bản của MPLS

1. ĐỊNH TUYẾN PHÂN CẤP

Kiến trúc định tuyến đượ c sử dụng trên Internet ngày nay là sự tập trung các miềnđịnh tuyến, khi định tuyến trong từng khu vực thì đượ c cung cấp bở i các giao thức

định tuyến trong miền (EIGRP, RIP, OSPF… ), khi định tuyến qua nhiều miền thì

dung giao thức định tuyến đa miền(BGP).

Trong hình trên, các router biên sẽ chạy giao thức BGP vớ i các router biên của các

miền khác, còn các router bên trong sẽ chạy các giao thức IGP để định tuyến tring



miền. IBGP đượ c tất cả các router sử dụng để truyền các thông tin định tuyến bên

ngoài vào bên trong miền. Trong một mạng mà có IGP và IBGP chạy song song

thì vẫn không ảnh hưở ng gì cả. Để một router có thể biết được cách đến đượ c

IBGP peer của các IBGP , nó phải dựa vào IGP.

Định tuyến phân cấp là chia định tuyến thành 2 thành phần trong miền và đa miền.

Việc này có thuận lợ i là:

• Tách biệt định tuyến Inter-domain và Intra-domain: Cải tiến sự ổn định do

do giảm số lượng thông tin định tuyến cho các router.

• Giảm kích thướ c bảng của Interior Router: Chỉ những định tuyến IGP đượ c

lưu trữ tại các nút Interior• Cải tiến mở rông BGP: Chỉ các Router biên cần chạy BGP

Do giảm khối lượ ng bảng định tuyến nên làm tăng khả năng mở rộng của

các mạng

2. Ứ NG DỤNG MPLS TRÊN NỀN ATM

Chuyển mạch nhãnđa giao thức (MPLS) mở rộng khả năng của các bộ định

tuyến IP và các chuyển mạch ATM trong một vài phương pháp chính:

− MPLS tích hợp hoàn toànđiều khiểnđịnh tuyến IP với các chuyển mạch



ATM,điều này cung cấp những hỗ trợ tự nhiên các dịch vụ IP như loại dịch vụ

IP và

IPđa hướng (multicast) trên chuyển mạch cũng như các bộ định tuyến ATM.

−MPLS cung cấp các hỗ trợ cho khẳ năng mở rộng quy mô và sử dụng linhhoạt các dịch vụ mạng riêngảo IP trên bộ định tuyến và chuyển mạch.

− MPLS cung cấp các hỗ trợ cho kỹ thuật lưu lượng IP,đó làđiều khiển

mềm dẻo các luồng lưu lượng IP theo các nguồn tài nguyên trên mạng

3. KỸ THUẬT LƯU LƯỢ NG TRONG MPLS

Mạng IP truyền thống xảy ra tình trạng một phần mạng bị nghẽn trong khi cácphần còn lại không đượ c tận dụng. MPLS có khả năng chỉ ra con đườ ng tối ưu

thỏa mãn ràng buộc và dự phòng tài nguyên có thể giải quyết đượ c vấn đề này, gọi

là k ỹ thuật lưu lượ ng, giúp sử dụng tối ưu tài nguyên. Kỹ thuật lưu lượng ứng dụng

các nguyên lý khoa học công nghệ để đo lường, mô hình hoá, đặc trưng hoá và

điều khiển lưu lượng nhằm đạt được các mục tiêu tối ưu nhất. Một ưu điểm nữa là

khả năng hồi phục nhanh, giúp giảm thiểu tỉ lệ mất gói khi xảy ra lỗi trên các liên

k ết hoặc các nút chuyển mạch nhãn.

4. MẠNG RIÊNG ẢO VPN

Có thể nói VPN là một trong những ứng dụng quan trọng nhất của MPLS. Kỹ

thuật MPLS VPN đơn giản hóa quá trình tạo “đườ ng hầm” trong mạng riêng ảo

bằng cơ chế gán nhãn gói tin(labels) trên thiết bị do nhà mạng cung cấp. Thay vì tự

thiết lập và quản trị và đầu tư những thiết bị đắt tiền, MPLS VPN sẽ giúp các

doanh nghiệp giao nhiệm vụ này cho các nhà cung cấp - đơn vị có đầy đủ nănglực, thiết bị và công nghệ bảo mật tốt hơn nhiều cho mạng của doanh nghiệp. Lợ i

ích của MPLS VPN so vớ i các dịch vụ VPN truyền thống:

R

iêng biệt và bảo mật: MPLS VPN giữ các thông tin định tuyến riêng biệt cho



mỗi VPN, đảm bảo ngườ i dùng chỉ có thể liên lạc đượ c với các địa chỉ đã đượ c

lập sẵn cho VPN của mình. Hơn nữa, trễ trong mạng đượ c giữ ở mức thấp nhất

do các gói tin không phải trải qua quá trình đóng gói và mã hóa.

Độc lập với khách hàng:MPLS VPN có cách đánh địa chỉ (gán nhãn trong mạng

MPLS) hết sức linh hoạt, ngườ i dùng có thể sử dụng bất cứ dải địa chỉ nào (k ể

cả các địa chỉ kiểm tra hoặc các địa chỉ không được đăng k ý) hoặc có thể sử

sụng NAT (Network Address Translation). Mặt khác, ngườ i dùng còn có thể sử

dụng các dải địa chỉ trùng hoặc giống nhau. Một điểm nổi bật khác là mạng của

ngườ i dùng không yêu cầu các thiết bị h trợ MPLS, các thiết bị đắt tiền nhưVPN Router vớ i IP Sec hoặc bất cứ yêu cầu đặc biệt nào khác ngoài IP.

L

inh hoạt và khả năng phát triển:Vớ i các dịch vụ VPN dựa trên IP, số lượ ng

router trên mạng tăng nhanh chóng theo số lượ ng các VPN. VPN sẽ phải chứa

các bảng định tuyến ngày một lớ n. MPLS VPN sử dụng một tập các BGP

(Border Gateway Protocol) ngang hàng giữa các LSR cạnh (Edge LSR), cho

phép số lượ ng VPN không hạn chế và hỗ trợ nhiều dạng VPN, dễ dàng tạo

thêm các VPN hoặc site mớ i (chỉ cần thực hiện tại router của site mớ i).

III. MPLS tại Việt Nam :

Tại Việt nam, MPLS hiện đang được xúc tiến xây dựng trong mạng

truyền tải của Tổng công ty BCVT Việt nam (VNPT). Với dự án

VoIP hiện đang triển khai, VNPT đã thiết lập mạng trục MPLS với 3

LSR lõi. Các LSR biên sẽ được tiếp tục đầu tư và mở rộng tại các địa

điểm có nhu cầu lớn như Hải Phòng, Quảng Ninh ở phía Bắc, Đà

Nẵng, Khánh Hoà... ở miền Trung, Bình Dương, Đồng Nai, Bà Rịa -



Vũng Tàu... ở miền Nam.

Hiện nay VNPT cung cấp dịch vụ MEGA-WAN với các loại hình

dịch vụ VPN MPLS như sau.

- VNPT MPLS VPN lớ p 2 với đặc trưng là kết nối point – point với

lớp truyền giữa là ATM, Ethernet, FR. Triển khai là các dịch vụ

ADSL, G.SHDSL kéo từ mạng của VNPT tới các CE và khách hàng

tự quản lý việc định tuyến. Ưu điểm của VPN lớp 2 là: không yêu cầu

bất cứ một sự thay đổi nào từ phía mạng hiện có của khách hàng; Mứcđộ riêng tư phụ thuộc vào policy của khách hàng; Khách hàng tự quản

lý việc định tuyến từ PCE – PCE; Các giao thức hỗ trợ cho cả Unicast

và Multicast. Loại này phù hợp với các doanh nghiệp vừa và nhỏ, có

mô hình mạng không phức tạp. Ít khả năng mở rộng và chỉ là công

nghệ lớp 2 (ATM, FR, Ethernet trong suốt trên MPLS).



- VNPT MPLS VPN lớp 3: Công nghệ truyền dẫn vẫn là ADSL và

G.SHDSL qua các DSLAM. Topo mạng là Full-Mesh. Trong dịch vụ

này VNPT sẽ quản lý việc định tuyến, còn người dùng chỉ việc phó

mặc việc đó cho VNPT. VPN lớp 3 của VNPT sử dụng giao thức định

tuyến tĩnh, RIPv2, OSPF, BGP. Dịch vụ này có chi phí khá thấp vì chỉ

cần một thiết bị định tuyến và không cần trình độ quản lý cao, do nhà

cung cấp dịch vụ đã quản lý hộ người dùng. Tuy nhiên dịch vụ này

cũng có một số giới hạn đó là người dùng không có khả năng tự quản

lý định tuyến được như dịch vụ Wan lớp 2. Các chính sách bảo mật

như firewall hoặc mã hoá được đặt ở CPE chứ không phải ở PE, do đó

người dùng phải có kiến thức về bảo mật.



- Các dịch vụ an ninh, bảo đảm cho VPN: Sử dụng IPsec cho việc

đảm bảo an ninh trên MPLS. Bảo mật ở cả lớp 2 và lớp 3 trong mô

hình OSI. Cam kết về chất lượng các ứng dụng và kết nối toàn cầu.

Người dùng tuỳ biến cấu hình bảo mật.



TÀI LIỆU THAM KHẢO

1. BruceDavie and Yakov Rekhter "MPLS Technology and Applications"

Morgan Kaufmann Pulishers, Inc. 2000.

2. Ivan Pepelnjak, Jim Guichard "MPLS and VPN Architectures" Cissco

Press, 2001.

3. Mạng riêng ảo - Nhà xuất Bưu điện

4. Initial MPLS VPN Setup - Cisco Press

5. Chuyển mach nhãn đa giao thức MPLS – NXB Thông tin truyền thông.

core network

Documents