Chương 6: Vấn đề bảo mật và chất lượng dịch vụ MPLS/VPN
6.1. 3 Dấu cấu trúc mạng lõ
Trong công nghệ VNP lớp 2, như Frame Relay hoặc ATM có đặc tính là người sử dụng VPN không thể thấy kiến trúc của lõi. Đó là bởi vì người sử dụng kết nối một thiết bị lớp 3 tới mạng lớp 2, vì vậy nền tảng mạng ở lớp 2 sẽ bị dấu đi với người dùng.
Mạng MPLS VPN dấu đi cơ sở hạ tầng mạng do cấu trúc của nó. Như vừa đề cập ở trên, chỉ có địa chỉ PE ngang hàng (peering PE address) là lộ ra với người sử dụng, còn các bộ định tuyến P hoàn toàn được dấu đi. Điều này là rất quan trọng để hiểu việc dấu mạng lõi không phải bởi vì ACL mà bản chất là việc tách biệt các dải địa chỉ trên mạng lõi MPLS: thậm chí nếu một địa chỉ của một bộ định tuyến P nào đấy bị lộ ra bên ngoài thì do địa chỉ này không thuộc về dải địa chỉ của người sử dụng nên không thể đến được (unreachable).
Chỉ có một ngoại lệ đó là địa chỉ ngang hàng của bộ định tuyến PE. Tuy nhiên, dải địa chỉ của kết nối CE-PE thuộc về VPN, không phải là mạng lõi. Trên thực tế, các dải địa chỉ giống nhau có thể được sử dụng trên một vài VPN khác nhau mà không sợ bị xung đột (conflict). Vì thế, mặc dù một địa chỉ PE có thể nhìn thấy từ VPN thì nói đúng ra không có bất kỳ thông tin bi lộ ra bên ngoài bởi vì địa chỉ này là dải địa chỉ VPN.
Tuy nhiên, có một cách để dấu hoàn toàn bộ định tuyến PE với người dùng VPN đó là: sử dụng sử dụng dải địa chỉ không đánh số và định tuyến tĩnh giữa PE và CE.