1. Từ viết tắt
2. Giới thiệu
Bản ghi nhớ này mô tả cách tiếp cận cho việc xây dựngcácdịchvụ IP VPNngoài mạng
xơng sốngcủanhàcungcấpdịch vụ. Phổ biến có hai cách tiếp cận: mô hình overlay và
cách tiếp cận bộ định tuyến ảo. Mô hình overlay dựa trên việc tải một vài các giao thức
định tuyến hiện thời để mang thông tin. Trong tàiliệu này, chúng tôi tập trung vào dịch vụ
bộ định tuyến ảo.
Cách tiếp cận đợc đa ra ở đây không phụ thuộc vào bất cứ sự thay đổi nào trong bất cứ
giao thức định tuyến nào. Những phát kiến liên quan đợc nhắm tới trong quá trình sử
dụng mạng LAN và đạt đợc nhờ sử dụn ARP. Bản ghi nhớ này cố gắng phân biệt giữa SP
và PNA: SP thì sở hữu và quản lý cácdịchvụ lớp 1 và 2 trong khi cácdịchvụ lớp 3 thì
chịu sự quản lý của PNA. Bằng việc cungcấpcác miền định tuyến độc lập logic, PNA
mang lại khả năng mềm dẻo trong việc sử dụng địa chỉ cá nhân và cha đợc đăng ký. Để sử
dụng các LSP cá nhân và sử dụng tóm lợc VPNID sử dụngcác tập nhãn qua các LSP dùng
chung, bảo mật dữ liệu không còn là vấn đề.
Cách tiếp cận trong bản ghi nhớ này khác với đợc mô tả trong RFC 2547, trong đó không
có một giao thức định tuyến cụ thể nào đợctải để mangcác tuyến VPN. RFC2547 xác
định một cách để thay đổi BGP để mangcác tuyến unicast VPN qua mạng xơng sống SP.
Để mangcác tuyến multicast, cần có các công việc kiến trúc sâu hơn.
3. Các bộ định tuyến ảo ảo
Một bộ định tuyến ảo là một tập các thread, cả tĩnh và động, trong thiết bị định tuyến, nó
cung cấpcácdịchvụ định tuyến và gửi chuyển tiếp giống các bộ định tuyến vật lý. Một
bộ định tuyến ảo không nhất thiết là một tiến trình hệ thống vận hành riêng rẽ (mặc dầu
nó có thể là nh vậy); nó chỉ đơn giản là cungcấp ảo giác mà một bộ định tuyến dành
riêng sẵn sàng thoả mãn những nhu cầu củamạng mà nó kết nối vào. Một bộ định tuyến
ảo, giống nh bản sao vật lý của nó, là một thành phần trong một miền định tuyến. Các bộ
định tuyến khác trong miền này có thể là các bộ định tuyến vật lý hay ảo. Cho rằng bộ
định tuyến ảo kết nối vào một miền định tuyến xác định và bộ định tuyến vật lý có thể hỗ
trợ nhiều bộ định tuyến ảo, nó xảy ra hiện tợng một bộ định tuyến vật lý hỗ trợ nhiều
miền định tuyến.
Từ quan điểm của khách hàng VPN, đòi hỏi một bộ định tuyến ảo phải tơng đơng với một
bộ định tuyến vật lý. Nói cách khác, với rất ít ngoại lệ và những thứ thứ yếu, bộ định
tuyến ảo nên thiết kế cho nhiều mục đích (cấu hình, quản lý, giám sát, xử lý sự cố) giống
nh các bộ định tuyến vật lý. Động cơ chính đằng sau những đòi hỏi này là để tránh việc
nâng cấp hoặc cấu hình lại những cơ sở đã đợc cài đặt củacác bộ định tuyến và để tránh
phải đào tạo lại cácnhà quản lý mạng.
Các khía cạnh của bộ định tuyến mà một bộ định tuyến ảo cần có là:
- Cấu hình bất cứ sự kết hợp củacác giao thức định tuyến.
- Giám sát mạng
- Xử lý sự cố
Tất cả cácVPN đều có miền định tuyến độc lập logic. Điều này tăng cờng khả năng của
SP để cungcấpdịchvụ bộ định tuyến ảo hoàn toàn mềm dẻo mà nó có thể phục vụ các
khách hàng của SP mà không cần đòi hỏi các bộ định tuyến vật lý cho VPN. Điều này có
nghĩa là các đầu t vào phần cứngcủa SP, đó là bộ định tuyến, các liên kết giữa chúng có
thể đợccác khách hàng sử dụng lại.
4. Các mục tiêu
1. Cấu hình củacác điểm cuối VPN đơn giản, có khả năng mở rộng trong mạngcung cấp
dịch vụ. Tối đa, một bộ phận cấu hình là cần thiết khi một CE đợc thêm vào.
2. Không sử dụngcáctài nguyên của SP điều này hoàn toàn là duy nhất và khó có thể
thu đợccác địa chỉ và mạng con IP.
3. Các phát hiện động của VR trong đám mây SP. Điều này là tuỳ chọn, nhng là mục tiêu
cực kỳ giá trị.
4. Các bộ định tuyến ảo nên đợc cấu hình đầy đủ và có khả năng giám sát bởi các nhà
quản trị mạng VPN. Điều này mang lại cho PAN khả năng mềm dẻo trong cả việc cấu
hình VPN và nhiệm vụ cấu hình tài nguyên bên ngoài cho SP.
5. Chất lợng của dữ liệu gửi đi nên đợc cấu hình trong các cơ sở VPN-by-VPN. Nó đợc
biên dịch sang GoS liên tục (hoặc rời rạc). Một vài ví dụ bao gồm sự cố gắng, băng
thông riêng, QOS, và cách chính sách dựa trên cácdịchvụ gửi chuyển tiếp.
6. Cácdịchvụ khác nhau nên đợc cấu hình trong các cơ sở VPN-by-VPN, có lẽ dựa trên
các LSP thiết lập cho mục đích gửi chuyển tiếp dữ liệu trong VPN.
7. Bảo mật củacác bộ định tuyến internet đợc mở rộng cho các bộ định tuyến ảo. Điều
này có nghĩa là các chức năng định tuyến và gửi chuyển tiếp dữ liệucủa bộ định tuyến
ảo đợc bảo mật nh bộ định tuyến vật lý. ở đây có không có hiện tờng lộ thông tin từ
một miền định tuyến sang miền khác.
8. Các giao thức định tuyến xác định không nên đợc áp dụng giữa các bộ định tuyến ảo.
Điều này khó đảm bảo các khách hàng VPN có thể thiết lập mạng và các chính sách
khi các khách hàng thấy thích hợp. Ví dụ, một vài giao thức mạnh trong công việc lọc,
trong khi đó các loại khác lại mạnh trong việc xử lý lu lợng. Các khách hàng VPN có
thể muốn khai thác cả hai để thu đợc chất lợng mạng tốt nhất.
9. Không có những mở rộng đặt biệt với các giao thức định tuyến nh BGP, RIP, OSPF,
ISIS v.v Khó có thể cho phép những bổ xung cho cácdịchvụ hiện có khác trong t-
ơng lai nh NHRP và multicast. Thêm vào đó, sự tiến bộ và các phần bổ xung cho các
giao thức hiện có (nh những mỏ rộng về xử lý lu lợng cho ISIS và OSPF), chúng có thể
dễ dàng kết hợp vào một VPN implementation.
5. Những yêu cầu về kiến trúc
Mạng cungcấpdịchvụ phải chạy một vài mô hình định tuyến multicast cho tất cả các nút
sẽ có các kết nối VPN và cho các nút phải gửi chuyển tiếp các gói tin multicast cho việc
phát hiện bộ định tuyến ảo. Một giao thức định tuyến multicast cụ thể không đợc uỷ thác.
Một SP có thể chạy MOSPF hoặc DVMRP hoặc các giao thức định tuyến khác.
6. Phác thảo về kiến trúc
1. Tất cả ccs VPNđợc ấn định một VPNID nó là duy nhất trong mạng SP. Nhận dạng
này xác định chính xác một VPN mà với nó một gói tin hoặc một kết nối đợc kết hợp.
VPNID giá trị 0 đợc dự trữ; nó liên kết và đại diện cho mạng internet công cộng. Điều
này đã đợc giới thiệu, nhng không yêu cầu các nhận dạng VPN này sẽ tuân theo
RFC2685.
2. DịchvụVPNđợc đa ra theo dạng dịchvụ bộ định tuyến ảo. Những VR đặt tại SPED
và đợc hạn chế tới biên của đám mây SP. Các VR sẽ sử dụngmạng SP cho dữ liệu và
điều khiển gửi chuyển tiếp gói tin nhng mặt khác nó là vô hình phía ngoàicác SPED.
3. Kích thớc củ VR giao ớc với VPN trong một SPED cho trớc đợc biểu diễn bằng số l-
ợng tài nguyên IP nh các giao diện định tuyến, các bộ lọc tuyến, các lối vào định
tuyến v.v Điều này hoàn toàn nằm dới sự điều khiển của SP và cungcấp granularity
mà SP yêu cầu để cungcấpcác lớp dịchvụ VR khởi đầu trong một mức SPED. (ví dụ:
một SPED có thể là điểm tổng hợp cho một VPN và số các SPED khác cóthể là điểm
truy cập) Trong trờng hợp này, SPED kết nối với sở chỉ huy có thể đợc giao kèo để
cung cấp một VR lớn trong khi SPED kết nối với các đơn vị nhánh có thể nhỏ. Sự
cung cấp này cũng cho phép SP thiết kế mạng với mục tiêu cuối cùng là phân phối tải
giữa các bộ định tuyến trong mạng.
4. Một dấu hiệu chỉ thị cho kích thớc củaVPN là số SPED trong mạng SP có kết nối tới
các bộ định tuyến CPE trong VPN đó. Về khía cạnh này, một VPN với rất nhiều các vị
trí cần đợc kết nối là một VPN lớn trong khi một VPN với một vài vị trí là VPN nhỏ.
Cũng vậy, có thể hiểu đợc rằng VPN phát triển hay thu hẹp lại về kích thớc theo thời
gian. CácVPN thậm chí có thể hợp nhất để kết hợp cácnhà liên kết, khả năng lĩnh hội
và các thoả thuận hợp tác. Những thay đổi này rất phù hợp trong kiến trúc này, khi các
tài nguyên IP duy nhất không đợc ấn định cho các VPN. Số SPED không đợc giới hạn
bởi bất cứ những giới hạn về cấu hình giả tạo nào.
5. SP sở hữu và quản lý các thực thể lớp 1 và lớp 2. Một cách chi tiết, SP điều khiểncác
tổng đài chuyển mạch và các bộ định tuyến vật lý, các đờng liên kết vật lý, các kết nối
logic lớp 2 (nh DLCI trong FrameRelay và VPI/VCI trong ATM) và LSP (và cả ấn
định của chúng cho cácVPN cụ thể). Trong phạm vi của VPN, SP có trách nhiệ, kết
hợp và ấn định các thực thể lớp 2 cho cácVPN cụ thể.
6. Các thực thể lớp 3 thuộc quyền quản lý của PNA. Các ví dụ về thực thể lớp 3 bao gồm
các giao diện IP, sự lựa chọn các giao thức định tuyến động hoặc các tuyến tính, và các
giao diện định tuyến. Chú ý rằng mặc dù cấu hình lớp 3 về mặt logic là đặt dới trách
nhiệm của PNA, nhng không nhất thiết PNA phải thi hành nó. Điều này có thể thực
hiện đợc cho PNA để outsource quản lý IPcủacác bộ định tuyến ảo tới cácnhà cung
cấp dịch vụ. Không chú ý tới ai chịu trách nhiệm cho việc cấu hình và giám sát, cách
tiếp cận này cungcấp cái nhìn đầy đủ về miền định tuyến cho PNA và cho phép PNA
thiết kế mạng để đạt đợc mục tiêu về intranet, extranet và xử lý lu lợng.
7. VPN có thể đợc quản lý nh các bộ định tuyến vật lý hơn là các bộ định tuyến ảo đợc
triển khai. Do đó, việc quản lý có thể đợc thi hành sử dụng SNMP hoặc các phơng
thức tơng tự khác hoặc trực tiếp tại VR console (VRC)
8. Các công cụ xử lý lỗi chuẩn công nghiệp nh ping, traceroute trong miền định tuyến
bao gồm các bộ định tuyến vật lý dành riêng. Do đó, việc giám sát và xử lý lỗi có thể
đợc thi hành sử dụng SNMP hoặc các phơng thức tơng tự, nhng có thể bao gồm việc sử
dụng các công cụ chuẩn này. Một lần nữa, VRC có thể đợc sử dụng cho mục đích này
giống nh bất cứ bộ định tuyến vật lý nào.
9. Từ khi VCR là hữu hình với ngời sử dụng, việc kiểm tra bảo mật bộ định tuyến cần
phải đợc đặt đúng vị trí để đảm bảo ngời sử dụngVPNđợc cho phép truy cập vào các
tài nguyên lớp 3 chỉ trong VPN đó và không đợc phép truy cập vào cáctài nguyên vật
lý trong bộ định tuyến. Hầu hết các bộ định tuyến đạt đợc điều này thông qua việc sử
dụng các quan điểm về cơ sở dữ liệu.
10. VCR cũng luôn sẵn sàng với SP. Nếu cấu hình và giám sát bị outsourced tới SP, SP có
thể sử dụng VRC để thực hiện các nhiệm vụ này nếu nó là PNA.
11. Các VR trong SPED hình thành SPN trong mạng SP. Đồng thời chúng đại diện cho
miền định tuyến ảo. Chúng phát hiện các VR khác một cách tự động băng cách sử
dụng LAN trong mạng SP.
Mỗi VPN trong mạng SP đợc ấn định một và chỉ một địa chỉ multicast. Địa chỉ này đợc
lựa chọn từ phạm vi áp dụng quản lý và yêu cầu duy nhất là địa chỉ multicast co thể đợc
xắp xếp đơn nhất vào một VPN cụ thể. Điều này có thể thực hiện tự động một cách dễ
dàng trong các bộ định tuyến nhờ việc sử dụngcác chức năng đơn giản để xắp xếp chính
xác một VPNID cho một địa chỉ multicast. Địa chỉ multicast này cho phép một VR có thể
nhận biết các VR khác và đợccác VR khác nhận biết. Chú ý rằng địa chỉ multicast không
nhất thiết phải đợc cấu hình.
12. Việc gửi chuyển tiếp dữ liệu có thể đợc thực hiện theo một trong các cách sau:
Một LSP với các đặc tính hiệu quả nhẫn mà tất cả cácVPN có thể sử dụng
Một LSP dành riêng cho một VPN và lu lợng đợc xử lý nhờ các khách hàng VPN.
Một LSP cá nhân với các đặc tính khác nhau.
Chính sách dựa trên việc gửi chuyển tiếp trên kênh ảo L2 dành riêng.
Lựa chọn phơng pháp tốt hơn có thể đợc dàn xếp giữa SP và khách hàng VPN, có thể là
một phần của SLA giữa chúng. Điều này cho phép SP đa ra các mức dịchvụ khác nhau
cho các khách hàng VPN khác nhau.
Tất nhiên, việc gửi chuyển tiếp hop-by-hop cũng sẵn sàng để gửi các gói tin định tuyến và
để gửi chuyển tiếp các gói tin dữ liệu ngời sử dụng trong các quá trình LSP thiết lập và
hỏng.
13. Phơng pháp tiếp cận này không uỷ thác các nhiệm vụ hệ thống vận hành riêng rẽ cho
mỗi giao thức định tuyến nào đợc chạy cho môĩ VR và SPED c trú. Các quá trình thực
hiện cụ thể có thể đáp ứng nhu cầu của SPED cụ thể đang đợc sử dụng. Bảo dỡng các
cơ sở dữ liệu định tuyến và các bảng gửi chuyển tiếp, mỗi một cơ sở dữ liệu và bảng
cho một VR, là một cách để thu đợc chất lợng tốt nhất cho SPED cho trớc.
7. Cấu hình mở rộng
Một VPN điển hình phải có hàng trăm tới hàng nghìn điểm cuối trong một đáp mây SP.
Do đó, cấu hình nên mở rộng một cách tuyến tính về số lợng các điểm cuối. Một cách cụ
thể, nhà quản trị mạng phải thêm một cặpcác mục cấu hình khi một khách hàng mới gia
nhập vào tập các VR cấu hình nên VPN. Bất cứ thứ gì kém hơn sẽ làm cho nhiệm vụ này
trở nên khó khăn đối với nhàcungcấpdịch vụ. Trong kiến trúc này, tất cả những thứ mà
các nhàcungcấpdịchvụ cần phải cấp phát và cấu hình là các đờng liên kết vật lý vào/ra
(ví dụ nh Frame Relay DLCI hoặc ATM VPI/VCI) và các kết nối ảo giữa VR và mạng
LAN.
8. Phơng pháp nhận biết các bộ định tuyến lân cận động.
Các VR trong một VPN cho trớc thuộc về một số SPED trong mạng. Những VR này cần
phải nhận biết về mỗi VR khác và phải đợc kết nối với các VR khác.
Một cách để thực hiện điều này là yêu cầu cấu hình củacác VR lân cận. Ví dụ, khi một
vùng mới đợc thêm vào VPN, điều này đòi hỏi cấu hình của tất cả các VR khác nh là các
VR lân cận. Điều này rõ ràng là không thể mở rộng trên quan điểm tài nguyên mạng và
cấu hình.
Nhu cầu tăng lên để cho phép những VR này nhận biết động mỗi VR khác. Phơng pháp
nhận biết các bộ định tuyến lân cận đợc làm cho thuận tiện bằng việc cungcấp cho mỗi
VPN một mạng LAN mô phỏng giới hạn. Mạng LAN mô phỏng này đợc sử dụng theo vài
cách:
1. Giải quyết địa chỉ sử dụngmạng LAN này để quyết định các địa chỉ IP hop kế tiếp
liên kết với các VR khác.
2. Các giao thức định tuyến nh RIP và OSPF sử dụngmạng LAN mô phỏng giới hạn cho
việc nhận biết các VR lân cận và để gửi cáccập nhật định tuyến.
Mạng LAN (cho mỗi VPN) đợc mô phỏng sử dụng địa chỉ multicast IP. Trong tầm quan
trọng của việc duy trì không gian địa chỉ công cộng và vì điều này mà địa chỉ multicast
cần đợc xác định chỉ trong không gian mạng SP.
Chúng ta sử dụng một địa chỉ từ các địa chỉ multicast trong phạm vi một tổ chức nh đợc
mô tả trong [Meyer]. Mỗi VPNđợccấp phát một địa chỉ từ tập địa chỉ đó. Để loại trừ
hoàn toàn cấu hình trong phần xem xét này, địa chỉ này đợc tính toán từ VPNID.
9. Cấu hình miền VPN IP
Hình 1: Miền định tuyến vật lý
Miền định tuyến vật lý trong mạng SP đợc biểu diễn trong hình trên. Trong mạng này, các
bộ định tuyến vật lý A, B và C đợc kết nối với nhau. Mỗi trong số các bộ định tuyến có
một địa chỉ IP công cộng đợc ấn định cho nó. Những địa chỉ này xác định duy nhất mỗi
trong số các bộ định tuyến trong mạng SP.
Hình 2: Miền định tuyến ảo
Mỗi bộ định tuyến ảo đợc cấu hình nhờ PNA khi đi qua nó là một bộ định tuyến vật lý cá
nhân. Tất nhiên, SP giới hạn cáctài nguyên mà bộ định tuyến ảo này có thể tiêu thụ trên
các cơ sở SPED-by-SPED. Mỗi VPN có một số các kết nối vật lý (tới các bộ định tuyến
CPE) và một số các kết nối logic (tới mạng LAN mô phỏng). Mỗi kết nối là kết nối IP và
có thể đợc cấu hình để sử dụng bất cứ kết hợp giữa các giao thức định tuyến chuẩn và các
chính sách định tuyến để đạt đợc mục tiêu mạng hợp nhất cụ thể.
Để minh hoạ, trong hình 1, ba VR đặt trong ba SPED trong VPN1. Bộ định tuyến A nằm
trong VR-A, bộ định tuyến B nằm trong VR-B và bộ định tuyến C nằm trong VR-C, VR-
C và VR-B có một kết nối tới các thiết bị CPE, trong khi VR-A có hai kết nối vật lý. Mỗi
trong số các VR có kết nối logic IP tới ban điều hành công ty và chạy OSPF qua các kết
nối này. Do đó, nó có thể định tuyến các gói tin tới 172.150.0/18 và 172.150.128/18. VR-
B chạy RIP tại văn phòng chi nhánh (qua kết nối vật lý) và sử dụng RIP (qua kết nối
logic) để xuất 172.150.64/18 tới VR-A. VR-A thông báo một tuyến mặc định tới VR-B
qua kết nối logic. Nhàcungcấp sử dụng VR-C nh kết nối extranet để kết nối tới cơ sở dữ
liệu tại 172.150.128.1. Do đó, VR-C thông báo một tuyến mặc định tới VR-A qua đờng
kết nối logic. VR-A chỉ xuất 175.150.128.1 tới VR-C. Điều này giữ phần còn lại của
mạng khỏi những vấn đề về bảo mật.
Nhà quản trị mạng sẽ cấu hình những thứ nh sau:
1. Các kết nối OSPF tới mạng 172.150.0/18 và mạng 172.150.128/18 trong VR-A
2. Các kết nối RIP tới VR-B và VR-C trong VR-A
3. Các chính sách định tuyến trong VR-A để thông báo chỉ một tuyến mặc định tới VR-B
4. Các chính sách định tuyến trong VR-A để thông báo chỉ 172.150.128.1 tới VR-C
5. RIP trong VR-B tới VR-A
6. RIP trong VR-C để thông báo một tuyến mặc định tới VR-A.
10. Ví dụ về phơng pháp nhận biết các bộ định tuyến lân cận
Trong hình 1, SPED trong VR-A (SPED-A) sử dụng địa chỉ của 150.0.0.1/24, SPED-B sử
dụng 150.0.0.2/24 và SPED-C sử dụng 150.0.0.3/24. Chú ý rằng kết nối giữa các VR là
thông qua mạng LAN mô phỏng. Cho các địa chỉ giao diện trong kết nối mạng LAN mô
phỏng, VR-A sử dụng 10.0.0.1/24, VR-B sử dụng 10.0.0.2/24 và VR-C sử dụng
10.0.0.3/24.
Bây giờ quan tâm tới việc VR-A gửi gói tin tới VR-B. Để thu đợc địa chỉ của VR-B (Địa
chỉ của SPED-B), VR-A gửi một gói tin yêu cầu ARP với địa chỉ của VR-B (10.0.0.2) nh
địa chỉ logic. Địa chỉ logic nguồn là 10.0.0.1 và địa chỉ phần cứng là 151.0.0.1. Yêu cầu
ARP này đợc tóm lợc trong địa chỉ multicast củaVPN này và gửi ra. SPED-B và SPED-C
nhận một bản sao của gói tin. SPED-B nhận 10.0.0.2 trong phạm vi VPN1 và đáp ứng với
152.0.0.2 nh địa chỉ phần cứng. Đáp ứng này đợc gửi tới địa chỉ multicast VPN để đề x-
ớng cách sử dụng ARP không phân loại và kết quả suy giảm trong lu lợng mạng.
Cấu hình thông thờng sẽ cần thiết nếu phơng pháp nhận biết bộ định tuyến lân cận không
đợc sử dụng. Trong ví dụ này, VR-A sẽ đợc cấu hình với lối vào ARP tĩnh cho địa chỉ
logic của VR-B (10.0.0.1) với địa chỉ phần cứngđợc đặt là 152.0.0.2.
11. Gửi chuyển tiếp
Nh đợc đề cập trong phác thảo về kiến trúc, gửi chuyển tiếp dữ liệu có thể đợc thực hiện
theo một vài cách. Trong tất cả các công nghệ ngoại trừ công nghệ Hop-by-Hop cho việc
gửi chuyển tiếp các gói tin định tuyến/điều khiển, các phơng thức hiện thời đều có thể cấu
hình đợc. Tại điểm cuối, giải quyết dựa trên việc gửi chuyển tiếp cho dịchvụ nhanh và tại
điểm khác, việc gửi chuyển tiếp hiệu quả tốt nhất sử dụng LSP công cộng đợc sử dụng.
Trật tự u tiên gửi chuyển tiếp nh sau:
1. Giải quyết dựa trên việc gửi chuyển tiếp
2. LSP cá nhân cấu hình tuỳ chọn
3. LSP công cộng hiệu quả cao.
11.1 LSP cá nhân
LSP này đợc cấu hình tuỳ chọn trong các cơ sở VPN. LSP này thờng kết hợp với việc dự
trữ trớc băng thông và với cácdịchvụ khác nhau riêng biệt hoặc lớp QOS. Nếu LSP này
sẵn sàng, nó đợc sử dụng cho dữ liệu ngời sử dụng và cho việc gửi chuyển tiếp dữ liệu
điều khiển cá nhân VPN.
11.2 LSP công cộng hiệu quả cao
Các gói tin VPNđợc gửi chuyển tiếp sử dụng LSP này nếu LSP cá nhân với băng thông
xác định và các đặc tính QOS hoặc công đợc cấu hình hoặc hiện tại không sẵn sàng. LSP
đợc sử dụng là một LSP đợc tính trớc cho bộ định tuyến lối ra trong VPN0. VPNID trong
mào đầu chèn thêm đợc sử dụng để phân các gói dữ liệu từ cácVPN khác nhau tại bộ
định tuyến lối ra.
12. Cácdịchvụ khác nhau
Việc cấu hình các LSP cá nhân cho cácVPN cho phép SP đa ra những dịchvụ khác nhau
dành cho các khác hàng. Những LSP cá nhân này có thể đợc kết hợp với bất cứ lớp QOS
L2 nào có sẵn hoặc với các điểm mã dịch vụ. Trong một VPN, nhiều LSP cá nhân với các
lớp dịchvụ khác nhau có thể đợc cấu hình với các thông tin luồng cho việc sắp xếp các
gói tin trong các LSP. Đặc tính này, cùng với khả năng thay đổi kích thớc các bộ định
tuyến ảo, cho phép SP cungcấpcácdịchvụ hoàn toàn khác nhau tới các khách hàng
VPN.
13. Xem xét về vấn đề bảo mật
13.1 Bảo mật định tuyến
Sử dụngcác giao thức định tuyến chuẩn nh OSPF và BGP theo hình thức không đổi của
chúng có nghĩa là tất cả cáccác phơng thức mã hoá và bảo mật (Nh xác nhận MD5 của
các bộ định tuyến lân cận) là hoàn toàn có sẵn trong các VR. Đảm bảo rằng các tuyến này
không bị rò rỉ thông tin từ một VPN tới cácVPN khác là một vấn đề phải thi hành. Một
cách để đạt đợc điều này là để duy trì các cơ sở dữ liệu định tuyến và gửi chuyển tiếp.
13.2 Bảo mật dữ liệu
Điều này cho phép SP đảm bảo với các khách hàng VPN rằng tất cả các gói tin dữ liệu
trong một VPN không bao giờ đi chệch đờng sang VPN khác. Từ quan điểm định tuyến,
điều này có thể đạt đợc bằng việc duy trì các cơ sở dữ liệu định tuyến riêng biệt cho mỗi
bộ định tuyến ảo. Từ quan điểm gửi chuyển dữ liệu, sử dụngcác tập nhãn trong trờng hợp
các LSP dùng chung [Rosen2][Callon] hoặc sử dụngcác LSP cá nhân đảm bảo bảo mật
dữ liệu. Các bộ lọc gói tin cũng có thể đợc cấu hình để giúp đỡ làm các vấn đề trở nên dễ
dàng hơn.
13.3 Bảo mật cấu hình
Các bộ định tuyến ảo xuất hiện nh các bộ định tuyến vật lý với PNA. Điều này có nghĩa là
chúng có thể đợc PNA cấu hình để có đợc kết nối giữa các văn phòng của một tập đoàn.
Rõ ràng, SP phải đảm bảo rằng chỉ có PNA và cácnhà thiết kế của PNA, những ngời truy
cập tới các VR trên SPED trong mạng cá nhân, là có đợccác kết nối tới chúng. Kể từ khi
bộ định tuyến ảo cân bằng về mặt chức năng với bộ định tuyến vật lý, tất cả các phơng
thức xác nhận có thể dùng trong physical console nh khẩu lệnh, RADIUS là dùng đợc
trong PNA.
13.4 Bảo mật mạng vật lý
Khi một PNA truy cập vào một SPED để cấu hình hoặc giám sát VPN, PNA đó đợc truy
cập vào VR của VPN. PNA chỉ có quyền cấu hình và giám sát lớp 3 cho VR. Cụ thể PNA
không có quyền cấu hình cho mạng vật lý. Điều này đảm bảo cho SP rằng nhà quản trị
VPN sẽ không thể tác động đến mạng SP.
14. Giám sát bộ định tuyến ảo
Tất cả các đặt tính giám sát bộ định tuyến dùng trong bộ định tuyến vật lý có thể dùng đ-
ợc trong bộ định tuyến ảo. Điều này bao gồm các công cụ nh ping traceroute. Thêm
vào đó, khả năng hiển thị bảng định tuyến cá nhân, cơ sở dữ liệu trạng thái liên kết, v.v
cũng sử dụng đợc.
15. Xem xét về chất lợng
Cho mục đích tranh luận về các vấn đề chất lợng và khả năng mở rộng, các bộ định tuyến
ngày nay có thể đợc phân chia thành hai mặt bằng: mặt bằng định tuyến và mặt bằng gửi
chuyển tiếp.
Xem xét tại mặt bằng định tuyến, hầu hết các giao thức định tuyến hiện đại sử dụng một
vài hình thức của phơng thức tính toán tối u để tính toán đờng đi ngắn nhất để tới đợc đích
cuối cùng. Ví dụ, OSPF và ISIS sử dụng thuật toán Djikstra trong khi BGP sử dụng
Decision Process. Những thuật toán này dựa trên việc phân tích cơ sở dữ liệu định tuyến
và tính toán đờng đi tốt nhất tới đích cuối cùng. Các đặc tính chất lợng của những thuật
toán này đợc dựa trên hoặc là đặc tính hình học topo (ISIS và OSPF) hoặc số AS trên đờng
đi tới đích (BGP). Nhng chú ý rằng mào đầu trong việc thiết lập và khởi tạo những tính
toán này là rất nhỏ cho hầu hết các bộ định tuyến ngày nay. Điều này bởi vì,mặc dầu
chúng ta đề cập tới đầu vào tính toán định tuyến là cơ sở dữ liệu, những cơ sở dữ liệu này
đợc nhớ trong các cấu trúc dữ liệu thờng trú.
Do đó, những kết luận sau có thể đợc đa ra:
1. Việc bắt đầu tính toán định tuyến cho một miền định tuyến không nhiều hơn việc thiết
lập những đăng ký để chỉ ra các đối tợng cơ sở dữ liệu đúng.
2. Dựa trên 1, chất lợng của một thuật toán đa ra hoàn toàn không tồi hơn nhờ mào đầu
đợc yêu cầu để thiết lập thuật toán đó.
3. Dựa trên 2, tiếp theo, khi một số các công việc tính toán định tuyến cho một số các bộ
định tuyến ảo phải đợc bộ định tuyến vật lý thi hành, sự phức tạp trong kết quả tính
toán định tuyến không nhiều hơn tổng các phức tạp của việc tính toán định tuyến của
các bộ định tuyến ảo riêng rẽ.
4. Dựa trên 3, tiếp theo liệu mô hình overlay đợc sử dụng hay một mô hình định tuyến ảo
đợc áp dụng, các đặc tính chất lợng của một bộ định tuyến hoàn toàn phụ thuộc vào
khả năng về phần cứngcủa nó và sự lựa chọn các cấu trúc dữ liệu và các thuật toán.
Để minh hoạ, đặt một bộ định tuyến vật lý trong N VPN, tất cả chạy cùng một giao thức
định tuyến gọi là RP. Cho rằng chất lợng trung bình trong thuật toán tính toán định tuyến
của RP là f(X,Y) ở đây x và y là các tham số quyết định chất lợng của thuật toán cho giao
thức định tuyến đó. Nh trong ví dụ, cho thuật toán Djikstra với giao thức OSPF, X có thể
là số nút trong vùng trong khi Y có thể là số liên kết. Chất lợng của một VPN n tuỳ ý là
f(Xn,Yn). Chất lợng của bộ định tuyến vật lý là tổng của f(Xi,Yi) cho các giá trị i chạy từ
0 tới N. Kết luận này độc lập với cách tiếp cận VPN lựa chọn (bộ định tuyến ảo hay mô
hình overlay)
Trong trờng hợp thông thờng, mặt bằng gửi chuyển tiếp co hai đầu vào: bảng gửi chuyển
tiếp và mào đầu gói tin. Tham số chất lợng chính là thuật toán tìm kiếm. Chất lợng tốt
nhất có thể có đợc cho việc tìm kiếm bảng định tuyến IP bằng cách tổ chức bảng dới một
vài mô hình hình cây và sử dụngcác phơng pháp tìm kiếm nhị phân để thi hành việc tìm
kiếm. Chất lợng của thuật toán này là O (log n)
Do đó, chỉ cần các bảng định tuyến củacác bộ định tuyến ảo là riêng biệt, chi phí tìm
kiếm là giá trị không đổi cho việc tìm kiếm bảng định tuyến và là O(log n) để tìm lối vào.
Điều này không tồi hơn bất cứ bộ định tuyến nào và không khác so với bộ định tuyến mà
áp dụngcác công nghệ overlay để phân phối các dịchvụ VPN. Tuy nhiên, khi bộ định
tuyến overlay sử dụng việc tích hợp nhiều bảng định tuyến VPN, chất lợng sẽ là O(log
m*n) ở đay m là số VPN mà bản định tuyến giữ.
. tả cách tiếp cận cho việc xây dựng các dịch vụ IP VPN ngoài mạng
xơng sống của nhà cung cấp dịch vụ. Phổ biến có hai cách tiếp cận: mô hình overlay và
cách. làm cho nhiệm vụ này
trở nên khó khăn đối với nhà cung cấp dịch vụ. Trong kiến trúc này, tất cả những thứ mà
các nhà cung cấp dịch vụ cần phải cấp phát và