Các mô hình MPLS – VPN
Có 2 mô hình MPLS-VPN là: VPN lớp 3 (L3VPN) và VPN lớp 2 (L2VPN).
1. Mô hình L3VPN
Trong kiến trúc L3VPN, các Customer Router và Provider Router được coi là các phần tử ngang hàng. Customer Edge Router (CE) cung cấp thông tin định tuyến tới Provider Edge Router (PE). PE lưu các thông tin định tuyến trong bảng VRF (Virtual Routing and Forwarding). Mỗi khoản mục của VRF tương ứng với một Customer Network và hoàn toàn cô lập với các mạng khách hàng khác. Người dùng VPN chỉ được phép truy cập tới các site hoặc máy chủ trong cùng một mạng riêng này.
Các gói tin IP qua miền MPLS được gắn 2 loại nhãn, bao gồm nhãn MPLS chỉ thị Label Switched Path (LSP) và nhãn chỉ thị Virtual Routing and Forwarding (VRF). Label Stack được thiết lập để chứa các nhãn trên. Các bộ định tuyến P của nhà cung cấp xử lý nhãn LSP để chuyển tiếp các gói tin qua miền MPLS. Nhãn VRF chỉ được xử lý tại PE nối với CE.
2. Mô hình L2VPN
L2VPN hướng tới việc thiết lập các tunnel qua mạng MPLS để xử lý các kiểu lưu lượng khác nhau như Ethernet, FR, ATM và PPP/HDLC. Có 2 dạng L2VPN cơ bản là: Point-to-point, tương tự như công nghệ ATM và FR nhằm thiết lập các đường dẫn chuyển mạch ảo qua mạng, và Point-to-multi-point, hỗ trợ các cấu hình mesh và hierarchy. Trong mô hình L2VPN, các CE và PE Router không nhất thiết phải được coi là ngang hàng. Thay vào đó, chỉ cần tồn tại kết nối lớp 2 giữa các router này. PE chuyển các luồng lưu lượng vào trong các tunnel đã được cấu hình trước tới các PE khác.
L2VPN học địa chỉ từ các router lân cận. L2VPN sử dụng Label Stack tương tự như L3VPN. Nhãn MPLS bên ngoài được sử dụng để xác định đường dẫn cho lưu lượng qua miền MPLS, còn nhãn kênh ảo VC (Virtual Circuit) nhận dạng các mạng LAN ảo, VPN hoặc kết nối tại các điểm cuối. L2VPN có ưu điểm quan trọng nhất là cho phép các giao thức lớp cao được truyền trong suốt đối với MPLS. Nó có thể hoạt động trên hầu hết các công nghệ lớp 2 gồm ATM, FR, Ethernet. Hạn chế của L2VPN là không thể tự động định tuyến giữa các site.
MegaWAN (MPLS Layer 3)
Mega Wan là dịch vụ kết nối mạng máy tính tại nhiều điểm cố định khác nhau trên diện rộng của các tổ chức, doanh nghiệp. Đây là mạng riêng ảo kết nối mạng riêng nội hạt, liên tỉnh, quốc tế để truyền số liệu, truyền dữ liệu thông tin rất tiện lợi và đáng tin cậy cho doanh nghiệp trong kinh doanh.
Mega Wan kết nối các mạng máy tính trong nước và quốc tế bằng đường dây thuê bao SHDSL (công nghệ đường dây thuê bao số đối xứng) hoặc ADSL (công nghệ đường dây thuê bao số bất đối xứng) kết hợp với công nghệ MPLS/VPN.
Thông tin thêm: Mega Wan-MPLS Layer 3 (VNPT)
Mô hình
Dựng mô hình mô phỏng trong EVE-NG
Yêu cầu:
- Quy hoạch địa chỉ IP theo sơ đồ
- Chạy định tuyến OSPF trong vùng MPLS core (R2, R3, R4, R5)
- Enable MPLS trên các cổng đấu nối giữa các router PE và P
- Cấu hình iBGP cho các router PE (R2, R5)
- Bật tính năng VPN Label cho vùng iBGP giữa các router PE
- Tạo VRF cho từng khách hàng
Kiến thức sử dụng: OSPF, MPLS, BGP, VRF, VPNv4
Tham khảo: Tìm hiểu về MPLS – Chuyển mạch nhãn đa giao thức
Cấu hình
Quy hoạch địa chỉ IP theo sơ đồ
R1A, R1B:
interface Loopback0
ip address 1.1.1.1 255.255.255.0
exit
interface Ethernet0/2
ip address 192.168.12.1 255.255.255.0
no shutdown
R2:
interface Loopback0
ip address 2.2.2.2 255.255.255.0
exit
interface Ethernet0/0
ip address 192.168.23.2 255.255.255.0
no shutdown
R3:
interface Loopback0
ip address 3.3.3.3 255.255.255.0
exit
interface Ethernet0/0
ip address 192.168.23.3 255.255.255.0
no shutdown
exit
interface Ethernet0/1
ip address 192.168.34.3 255.255.255.0
no shutdown
R4:
interface Loopback0
ip address 4.4.4.4 255.255.255.0
exit
interface Ethernet0/1
ip address 192.168.34.4 255.255.255.0
no shutdown
exit
interface Ethernet0/0
ip address 192.168.45.4 255.255.255.0
no shutdown
R5:
interface Loopback0
ip address 5.5.5.5 255.255.255.0
exit
interface Ethernet0/0
ip address 192.168.45.5 255.255.255.0
no shutdown
R6A, R6B:
interface Loopback0
ip address 6.6.6.6 255.255.255.0
exit
interface Ethernet0/2
ip address 192.168.56.6 255.255.255.0
no shutdown
Chạy định tuyến OSPF trong vùng MPLS core
R2:
router ospf 1
router-id 2.2.2.2
exit
interface range loopback 0, ethernet 0/0
ip ospf 1 area 0
R3:
router ospf 1
router-id 3.3.3.3
exit
interface range loopback 0, ethernet 0/0-1
ip ospf 1 area 0
R4:
router ospf 1
router-id 4.4.4.4
exit
interface range loopback 0, ethernet 0/0-1
ip ospf 1 area 0
R5:
router ospf 1
router-id 5.5.5.5
exit
interface range loopback 0, ethernet 0/0
ip ospf 1 area 0
Kiểm tra sau khi chạy định tuyến OSPF, chắc chắn các IP trong vùng MPLS core có thể giao tiếp được với nhau
show ip route ospf
Enable MPLS trên các cổng đấu nối giữa các router PE và P
R2, R5:
interface loopback 0
ip ospf network point-to-point
interface ethernet 0/0
mpls ip
R3, R4:
interface loopback 0
ip ospf network point-to-point
interface range ethernet 0/0-1
mpls ip
Kiểm tra MPLS đã được enable trên các router
show mpls interfaces
Kiểm tra quan hệ láng giềng LDP
show mpls ldp neighbor
Kiểm tra kết nối giữa các router PE
Cấu hình iBGP cho các router PE
R2:
router bgp 2345
neighbor 5.5.5.5 remote-as 2345
neighbor 5.5.5.5 update-source Loopback0
R5:
router bgp 2345
neighbor 2.2.2.2 remote-as 2345
neighbor 2.2.2.2 update-source Loopback0
Bật tính năng VPN Label cho vùng iBGP giữa các router PE
Khi thiết lập iBGP cho các router PE thì mặt định các router PE sẽ dùng IPv4 unicast để trao đổi thông tin, chúng cần phải enable vpnv4 route để trao đổi định tuyến.
R2:
router bgp 2345
address-family vpnv4
neighbor 5.5.5.5 activate
R5:
router bgp 2345
address-family vpnv4
neighbor 2.2.2.2 activate
Khi enable VNPv4 router sẽ tự động thêm vào dòng lệnh neighbor 5.5.5.5 send-community extended, dòng này là bắt buộc và không thể xóa vì vpnv4 dùng để giao tiếp và quảng bá source-target giữa các router PE khi đã enable vnpv4.
Kiểm tra sau khi thiết lập iBGP
show bgp vpnv4 unicast all summary
Đến đây đã xong phần MPLS Layer 3 VPN Core.
Tạo VRF cho từng khách hàng
Để route giữa các khách hàng thông qua MPLS Layer 3 VPN, mỗi khách hàng sẽ có một bảng route riêng biệt, ta phải tạo VRF trên router PE (R2, R5), đặt IP và gán các cổng tương ứng.
R2:
ip vrf Customer_A
rd 1:100
route-target both 1:1
exit
interface ethernet 0/2
ip vrf forwarding Customer_A
ip address 192.168.12.2 255.255.255.0
no shutdown
ip vrf Customer_B
rd 1:101
route-target both 1:1
exit
interface ethernet 0/1
ip vrf forwarding Customer_B
ip address 192.168.12.2 255.255.255.0
no shutdown
R5:
ip vrf Customer_A
rd 1:100
route-target both 1:1
exit
interface ethernet 0/2
ip vrf forwarding Customer_A
ip address 192.168.56.5 255.255.255.0
no shutdown
ip vrf Customer_B
rd 1:101
route-target both 1:1
exit
interface ethernet 0/1
ip vrf forwarding Customer_B
ip address 192.168.56.5 255.255.255.0
no shutdown
Lưu ý:
- rd ASM:nn là Route Distinguisher đặt đồng nhất dùng để xác định dải VPN của 1 khách hàng
- route-target import ASN:nn của PE bên này là route-target export ASN:nn của PE bên kia
- route-target both ASN:nn đồng nghĩa import và export bằng nhau (khi show run sẽ thấy)
Kiểm tra sau khi tạo vrf