Không giống như các mạng VPN truyền thống, các mạng MPLS VPN không sử dụng hoạt động đóng gói và mã hóa gói tin để đạt được mức độ bảo mật cao. MPLS VPN sử dụng bảng chuyển tiếp và các nhãn “tags” để tạo nên tính bảo mật cho mạng VPN. Kiến trúc mạng loại này sử dụng các tuyến mạng xác định để phân phối các dịch vụ VPN, và các cơ chế xử lý thông minh của MPLS VPN lúc này nằm hoàn toàn trong phần lõi của mạng. Trong lĩnh vực bảo mật, mục tiêu của mô hình mạng MPLS/VPN lớp 3 là đạt được sự bảo mật có thể so sánh với sự bảo mật trong mô hình mạng overlay VPN như ATM hay Frame Relay mang lại.
Bảo mật cho VPN phải đảm bảo được sự cách ly về thông tin định tuyến, về không gian địa chỉ của mỗi VPN. Nghĩa là việc cấp địa chỉ của mỗi VPN là hoàn toàn độc lập nhau. Thông tin định tuyến từ VPN này không được chảy vào VPN khác và ngược lại. Thứ hai bảo mật phải đảm bảo được cấu trúc mạng lõi hoàn toàn trong suốt
với khách hàng sử dụng dịch vụ. Thứ ba, bảo mật phải đảm bảo được việc tránh làm giả nhãn như việc làm giả địa chỉ IP và chống các cuộc tấn công từ chối dịch vụ (Denial-of-service) cũng như tấn công truy cập dịch vụ (instrusion).
Để đảm bảo được điều này, mạng MPLS/VPN sử dụng cơ chế sau:
Trong mạng MPLS/VPN cho phép sử dụng cùng không gian giữa các VPN nhưng vẫn tạo được tính duy nhất là nhờ vào giá trị 64 bit Route Distinguisher. Do đó, khách hàng sử dụng dịch vụ MPLS/VPN không cần phải thay đổi địa chỉ hiện tại của mình.
Mỗi router PE duy trì một bảng VRF riêng cho mỗi VPN, và VRF này chỉ phổ biến các route thuộc về VPN đó. Do đó đảm bảo được sự cách ly thông tin định tuyến giữa các VPN với nhau.
MPLS là kỹ thuật chuyển mạch nhãn, vì thế sự chuyển gói dữ liệu đi trong mạng không dựa vào địa chỉ IP trên mào đầu gói tin. Hơn nữa, tất cả các LSP đều kết thúc tại các router biên PE chứ không phải kết thúc tại các router P trong mạng. Do đó mạng lõi bên trong hoàn toàn trong suốt đối với khách hàng.
Trong mạng MPLS/VPN, khó có thể tấn công trực tiếp vào VPN. Chỉ có thể tấn công vào mạng lõi MPLS, rồi từ đó tấn công vào VPN. Mạng lõi có thể tấn công theo hai cách:
- Bằng cách tấn công trực tiếp vào router PE.
- Bằng cách tấn công vào các cơ chế báo hiệu MPLS.
Để tấn công vào mạng, trước hết cần phải biết địa chỉ IP. Nhưng mạng lõi MPLS hoàn toàn trong suốt so với bên ngoài, do đó kẻ tấn công không biết địa chỉ IP của bất kì router nào trong mạng lõi. Họ có thể đoán địa chỉ và gửi gói tin đến những địa chỉ này. Tuy nhiên, trong mạng MPLS, mỗi gói tin đi vào đều được xem như thuộc về không gian địa chỉ nào đó của khách hàng. Do đó, khó có thể tìm được các router bên trong, kể cả trong trường hợp khi đoán được địa chỉ. Có thể việc trao đổi thông tin định tuyến giữa router PE và CE sẽ là điểm yếu trong mạng MPLS/VPN nhưng trên
router PE có thể dùng ACL, các phương pháp xác thực của giao thức định tuyến dùng trên kết nối đó sẽ đảm bảo được vấn đề bảo mật.
Việc làm giả nhãn cũng khó có thể xảy ra tại vì router PE chỉ chấp nhận những gói tin từ router CE gửi đến là gói tin không có nhãn, nếu gói tin là có nhãn thì nhãn đó là do PE kiểm soát và quản lý.
Vấn đề bảo mật trong các mạng MPLS VPN được đảm bảo vì một VPN khép kín bản thân nó đã đạt được sự an toàn thông tin do không có kết nối với mạng Internet ccông cộng. Nếu có nhu cầu truy nhập Internet, một tuyến sẽ được thiết lập để cung cấp khả năng truy nhập. Lúc này, một firewall sẽ được sử dụng trên tuyến này để đảm bảo một kết nối bảo mật cho toàn bộ mạng VPN. Cơ chế hoạt động này dễ dàng hơn nhiều cho hoạt động quản lý mạng vì chỉ cần duy trì các chính sách bảo mật cho một firewall duy nhất mà vẫn đảm bảo an toàn cho toàn bộ VPN.
Từ những vấn đề nêu trên, ta thấy việc bảo mật trong mạng MPLS/VPN hoàn toàn có thể so sánh ngang bằng với việc bảo mật trong mạng ATM hay Frame Relay.
QoS (Quality of Service) là một khái niệm dùng để đề cập đến tất cả các khía cạnh liên quan đến hiệu quả hoạt động của mạng. QoS bao gồm hai thành phần chính:
+ Tìm đường qua mạng nhằm cung cấp cho dịch vụ được yêu cầu. + Duy trì hiệu lực hoạt động của dịch vụ.
Hai mô hình cung cấp chất lượng dịch vụ được sử dụng phổ biến ngày nay là: + Mô hình dịch vụ tích hợp IntServ (Intergrated Services).
+ Mô hình dịch vụ phân biệt DiffServ (Differentiated Services).
Có nhiều nguyên nhân giải thích tại sao mô hình IntServ không được sử dụng để theo kịp mức độ phát triển của Internet. Thay vào đó, IntServ chỉ được sử dụng phổ biến trong các mô hình mạng với quy mô nhỏ và trung bình. Trong khi đó, DiffServ lại là mô hình cung cấp chất lượng dịch vụ có khả năng mở rộng. Cơ chế hoạt động của mô hình này bao gồm quá trình phân loại lưu lượng và tại thành phần biên mạng, quá trình xếp hàng tại mỗi nút mạng và xử lý huỷ gói trong lõi mạng. Trong đó, phần lớn
các quản lý xử lý được thực hiện tại thành phần biên mạng mà không cần phải lưu giữ trạng thái của các luồng lưu lượng trong lõi mạng.
Khi cung cấp dịch vụ MPLS/VPN cho khách hàng, yêu cầu đặt ra là khả năng cung cấp chất lượng dịch vụ đáp ứng được một số lượng lớn các khách hàng VPN với những yêu cầu đa dạng của họ. Ví dụ, một nhà cung cấp dịch vụ có thể cung cấp nhiều lớp chất lượng dịch vụ cho một VPN và những ứng dụng khác nhau trong VPN sẽ thuộc về những phân lớp dịch vụ khác nhau. Với cách thức này, dịch vụ mail sẽ thuộc về một lớp dịch vụ COS (Class of Service) nào đó trong khi những ứng dụng thời gian thực có thể thuộc về một lớp dịch vụ khác. Hơn nữa lớp dịch vụ COS của một ứng dụng thuộc về một VPN nào đó có thể khác với lớp dịch vụ của cùng ứng dụng đó nhưng lại thuộc về VPN khác. Có nghĩa là mỗi VPN độc lập trong việc ấn định lớp dịch vụ. Và tuỳ mạng, tuỳ nhà cung cấp dịch vụ mà ta lại xét chất lượng dịch vụ cho từng VPN khác nhau. Có nhà cung cấp dịch vụ chỉ cung cấp một giá trị EXP duy nhất cho tất cả VPN, có nhà cung cấp lại cung cấp độc lập cho từng VPN. Nhưng dù thế nào đó cũng chỉ là cách sử dụng giá trị EXP trong mạng lõi, hoàn toàn độc lập với việc quy định về chất lượng dịch vụ của khách hàng.
Mỗi VPN được kết hợp với một bảng định tuyến - chuyển tiếp VPN (VRF) riêng biệt. VRF cung cấp các thông tin về mối quan hệ trong VPN của một site khách hàng khi được nối với PE router. Bảng VRF bao gồm thông tin bảng định tuyến IP (IP routing table), bảng CEF (Cisco Express Forwarding), các giao diện của bảng định tuyến; các quy tắc, các tham số của giao thức định tuyến... Mỗi site chỉ có thể kết hợp với một và chỉ một VRF. Các VRF của site khách hàng mang toàn bộ thông tin về các “tuyến” có sẵn từ site tới VPN mà nó là thành viên.
Đối với mỗi VRF, thông tin sử dụng để chuyển tiếp các gói tin được lưu trong các bảng định tuyến IP và bảng CEF. Các bảng này được duy trì riêng rẽ cho từng VRF nên nó ngăn chặn được hiện tượng thông tin bị chuyển tiếp ra ngoài mạng VPN cũng như ngăn chặn các gói tin bên ngoài mạng VPN chuyển tiếp vào các router bên trong
mạng VPN. Đây chính là cơ chế bảo mật của MPLS VPN. Bên trong mỗi một MPLS VPN, có thể kết nối bất kỳ hai điểm nào với nhau và các site có thể gửi thông tin trực tiếp cho nhau mà không cần thông qua site trung tâm.
Tham số phân biệt tuyến RD (Route Distinguisher) giúp nhận biết các địa chỉ IP thuộc VPN riêng biệt nào. Một mạng MPLS có thể hỗ trợ hàng trăm đến hàng nghìn VPN. Phần bên trong của kiến trúc mạng MPLS VPN được kết cấu bởi các thiết bị của nhà cung cấp. Những thiết bị này hình thành mạng lõi (core) MPLS và không được nối trực tiếp đến các CE router. Các chức năng VPN của một mạng MPLS-VPN sẽ được thực hiện bởi các PE router bao quanh mạng lõi này. Cả P router và PE router đều là các bộ định tuyến chuyển mạch nhãn LSR (Label Switch Router) trong mạng MPLS. Các site khách hàng có thể được kết nối với các PE router bằng nhiều cách khác nhau như T1, Frame Relay, DSL, ATM, v.v...
Trong một mạng MPLS VPN, site phía khách hàng sẽ sử dụng IP thông thường mà không cần biết đến MPLS, IPSec hay bất cứ một chức năng VPN đặc biệt nào. Tại các PE router, một cặp VRF và RD sẽ tương ứng với mỗi liên kết đến site của khách hàng (customer site). Liên kết này có thể là một liên kết vật lý T1, Frame Relay hay ATM VC, DSL... Giá trị RD sẽ hoàn toàn “ẩn” và sẽ không được cấu hình tại các thiết bị của khách hàng.
Một trong những ưu điểm lớn nhất của các MPLS VPN là không đòi hỏi các thiết bị CPE thông minh bởi vì toàn bộ các chức năng VPN được thực hiện ở phía trong mạng lõi của nhà cung cấp dịch vụ và hoàn toàn “trong suốt” đối với các CPE. Các CPE không đòi hỏi chức năng VPN và hỗ trợ IPSec. điều này có nghĩa là khách hàng không phải chi phí quá cao cho các thiết bị CPE.
Trễ trong mạng được giữ ở mức thấp nhất vì các gói tin lưu chuyển trong mạng không phải thông qua các hoạt động như đóng gói và mã hóa. Sở dĩ không cần chức năng mã hóa là vì MPLS VPN tạo nên một mạng riêng. Phương pháp bảo mật này gần
giống như bảo mật trong mạng Frame Relay. Thậm chí trễ trong MPLS VPN còn thấp hơn trong mạng MPLS IP sử dụng chuyển mạch nhãn.
Việc tạo một mạng đầy đủ (full mesh) VPN là hoàn toàn đơn giản vì các MPLS VPN không sử dụng cơ chế tạo đường hầm. Vì vậy, cấu hình mặc định cho các mạng MPLS VPN là full mesh, trong đó các site được nối trực tiếp với PE vì vậy các site bất kỳ có thể trao đổi thông tin với nhau trong VPN. Và thậm chí, nếu site trung tâm gặp trục trặc, các spoke site vẫn có thể liên lạc với nhau.
Hoạt động khai thác và bảo dưỡng cũng đơn giản hơn trong mạng MPLS-VPN. Hoạt động này chỉ cần thực hiện tại các thiết bị bên trong mạng core mà không cần phải tiếp xúc đến các CPE. Khi một site đã được cấu hình xong, ta không cần cấu hình thêm cho dù muốn thêm một site mới vào mạng, vì những thay đổi về cấu hình lúc này chỉ cần thực hiện tại PE mà nó nối tới.
Một ưu điểm nữa của các mạng MPLS VPN là chỉ cần một kết nối duy nhất cho mỗi remote site. So sánh với mạng Frame Relay truyền thống có 1 nút trung tâm và 10 remote site (mỗi một remote site sẽ cần một Frame Relay PVC) thì tại nút trung tâm (hub) sẽ cần 10 PVCs. Trong khi bên trong một mạng MPLS VPN chỉ cần duy nhất một PVC tại vị trí hub trung tâm nên chi phí mạng sẽ giảm đáng kể.