1. Từ viết tắt 2. Giới thiệu Bản ghi nhớ này mô tả cách tiếp cận cho việc xây dựng các dịch vụ IP VPN ngoài mạng xơng sống của nhà cung cấp dịch vụ. Phổ biến có hai cách tiếp cận: mô hình overlay và cách tiếp cận bộ định tuyến ảo. Mô hình overlay dựa trên việc tải một vài các giao thức định tuyến hiện thời để mang thông tin. Trong tài liệu này, chúng tôi tập trung vào dịch vụ bộ định tuyến ảo. Cách tiếp cận đợc đa ra ở đây không phụ thuộc vào bất cứ sự thay đổi nào trong bất cứ giao thức định tuyến nào. Những phát kiến liên quan đợc nhắm tới trong quá trình sử dụng mạng LAN và đạt đợc nhờ sử dụn ARP. Bản ghi nhớ này cố gắng phân biệt giữa SP và PNA: SP thì sở hữu và quản lý các dịch vụ lớp 1 và 2 trong khi các dịch vụ lớp 3 thì chịu sự quản lý của PNA. Bằng việc cung cấp các miền định tuyến độc lập logic, PNA mang lại khả năng mềm dẻo trong việc sử dụng địa chỉ cá nhân và cha đợc đăng ký. Để sử dụng các LSP cá nhân và sử dụng tóm lợc VPNID sử dụng các tập nhãn qua các LSP dùng chung, bảo mật dữ liệu không còn là vấn đề. Cách tiếp cận trong bản ghi nhớ này khác với đợc mô tả trong RFC 2547, trong đó không có một giao thức định tuyến cụ thể nào đợc tải để mang các tuyến VPN. RFC2547 xác định một cách để thay đổi BGP để mang các tuyến unicast VPN qua mạng xơng sống SP. Để mang các tuyến multicast, cần có các công việc kiến trúc sâu hơn. 3. Các bộ định tuyến ảo ảo Một bộ định tuyến ảo là một tập các thread, cả tĩnh và động, trong thiết bị định tuyến, nó cung cấp các dịch vụ định tuyến và gửi chuyển tiếp giống các bộ định tuyến vật lý. Một bộ định tuyến ảo không nhất thiết là một tiến trình hệ thống vận hành riêng rẽ (mặc dầu nó có thể là nh vậy); nó chỉ đơn giản là cung cấp ảo giác mà một bộ định tuyến dành riêng sẵn sàng thoả mãn những nhu cầu của mạng mà nó kết nối vào. Một bộ định tuyến ảo, giống nh bản sao vật lý của nó, là một thành phần trong một miền định tuyến. Các bộ định tuyến khác trong miền này có thể là các bộ định tuyến vật lý hay ảo. Cho rằng bộ định tuyến ảo kết nối vào một miền định tuyến xác định và bộ định tuyến vật lý có thể hỗ trợ nhiều bộ định tuyến ảo, nó xảy ra hiện tợng một bộ định tuyến vật lý hỗ trợ nhiều miền định tuyến. Từ quan điểm của khách hàng VPN, đòi hỏi một bộ định tuyến ảo phải tơng đơng với một bộ định tuyến vật lý. Nói cách khác, với rất ít ngoại lệ và những thứ thứ yếu, bộ định tuyến ảo nên thiết kế cho nhiều mục đích (cấu hình, quản lý, giám sát, xử lý sự cố) giống nh các bộ định tuyến vật lý. Động cơ chính đằng sau những đòi hỏi này là để tránh việc nâng cấp hoặc cấu hình lại những cơ sở đã đợc cài đặt của các bộ định tuyến và để tránh phải đào tạo lại các nhà quản lý mạng. Các khía cạnh của bộ định tuyến mà một bộ định tuyến ảo cần có là: - Cấu hình bất cứ sự kết hợp của các giao thức định tuyến. - Giám sát mạng - Xử lý sự cố Tất cả các VPN đều có miền định tuyến độc lập logic. Điều này tăng cờng khả năng của SP để cung cấp dịch vụ bộ định tuyến ảo hoàn toàn mềm dẻo mà nó có thể phục vụ các khách hàng của SP mà không cần đòi hỏi các bộ định tuyến vật lý cho VPN. Điều này có nghĩa là các đầu t vào phần cứng của SP, đó là bộ định tuyến, các liên kết giữa chúng có thể đợc các khách hàng sử dụng lại. 4. Các mục tiêu 1. Cấu hình của các điểm cuối VPN đơn giản, có khả năng mở rộng trong mạng cung cấp dịch vụ. Tối đa, một bộ phận cấu hình là cần thiết khi một CE đợc thêm vào. 2. Không sử dụng các tài nguyên của SP điều này hoàn toàn là duy nhất và khó có thể thu đợc các địa chỉ và mạng con IP. 3. Các phát hiện động của VR trong đám mây SP. Điều này là tuỳ chọn, nhng là mục tiêu cực kỳ giá trị. 4. Các bộ định tuyến ảo nên đợc cấu hình đầy đủ và có khả năng giám sát bởi các nhà quản trị mạng VPN. Điều này mang lại cho PAN khả năng mềm dẻo trong cả việc cấu hình VPN và nhiệm vụ cấu hình tài nguyên bên ngoài cho SP. 5. Chất lợng của dữ liệu gửi đi nên đợc cấu hình trong các cơ sở VPN-by-VPN. Nó đợc biên dịch sang GoS liên tục (hoặc rời rạc). Một vài ví dụ bao gồm sự cố gắng, băng thông riêng, QOS, và cách chính sách dựa trên các dịch vụ gửi chuyển tiếp. 6. Các dịch vụ khác nhau nên đợc cấu hình trong các cơ sở VPN-by-VPN, có lẽ dựa trên các LSP thiết lập cho mục đích gửi chuyển tiếp dữ liệu trong VPN. 7. Bảo mật của các bộ định tuyến internet đợc mở rộng cho các bộ định tuyến ảo. Điều này có nghĩa là các chức năng định tuyến và gửi chuyển tiếp dữ liệu của bộ định tuyến ảo đợc bảo mật nh bộ định tuyến vật lý. ở đây có không có hiện tờng lộ thông tin từ một miền định tuyến sang miền khác. 8. Các giao thức định tuyến xác định không nên đợc áp dụng giữa các bộ định tuyến ảo. Điều này khó đảm bảo các khách hàng VPN có thể thiết lập mạng và các chính sách khi các khách hàng thấy thích hợp. Ví dụ, một vài giao thức mạnh trong công việc lọc, trong khi đó các loại khác lại mạnh trong việc xử lý lu lợng. Các khách hàng VPN có thể muốn khai thác cả hai để thu đợc chất lợng mạng tốt nhất. 9. Không có những mở rộng đặt biệt với các giao thức định tuyến nh BGP, RIP, OSPF, ISIS v.v Khó có thể cho phép những bổ xung cho các dịch vụ hiện có khác trong t- ơng lai nh NHRP và multicast. Thêm vào đó, sự tiến bộ và các phần bổ xung cho các giao thức hiện có (nh những mỏ rộng về xử lý lu lợng cho ISIS và OSPF), chúng có thể dễ dàng kết hợp vào một VPN implementation. 5. Những yêu cầu về kiến trúc Mạng cung cấp dịch vụ phải chạy một vài mô hình định tuyến multicast cho tất cả các nút sẽ có các kết nối VPN và cho các nút phải gửi chuyển tiếp các gói tin multicast cho việc phát hiện bộ định tuyến ảo. Một giao thức định tuyến multicast cụ thể không đợc uỷ thác. Một SP có thể chạy MOSPF hoặc DVMRP hoặc các giao thức định tuyến khác. 6. Phác thảo về kiến trúc 1. Tất cả ccs VPN đợc ấn định một VPNID nó là duy nhất trong mạng SP. Nhận dạng này xác định chính xác một VPN mà với nó một gói tin hoặc một kết nối đợc kết hợp. VPNID giá trị 0 đợc dự trữ; nó liên kết và đại diện cho mạng internet công cộng. Điều này đã đợc giới thiệu, nhng không yêu cầu các nhận dạng VPN này sẽ tuân theo RFC2685. 2. Dịch vụ VPN đợc đa ra theo dạng dịch vụ bộ định tuyến ảo. Những VR đặt tại SPED và đợc hạn chế tới biên của đám mây SP. Các VR sẽ sử dụng mạng SP cho dữ liệu và điều khiển gửi chuyển tiếp gói tin nhng mặt khác nó là vô hình phía ngoài các SPED. 3. Kích thớc củ VR giao ớc với VPN trong một SPED cho trớc đợc biểu diễn bằng số l- ợng tài nguyên IP nh các giao diện định tuyến, các bộ lọc tuyến, các lối vào định tuyến v.v Điều này hoàn toàn nằm dới sự điều khiển của SP và cung cấp granularity mà SP yêu cầu để cung cấp các lớp dịch vụ VR khởi đầu trong một mức SPED. (ví dụ: một SPED có thể là điểm tổng hợp cho một VPN và số các SPED khác cóthể là điểm truy cập) Trong trờng hợp này, SPED kết nối với sở chỉ huy có thể đợc giao kèo để cung cấp một VR lớn trong khi SPED kết nối với các đơn vị nhánh có thể nhỏ. Sự cung cấp này cũng cho phép SP thiết kế mạng với mục tiêu cuối cùng là phân phối tải giữa các bộ định tuyến trong mạng. 4. Một dấu hiệu chỉ thị cho kích thớc của VPN là số SPED trong mạng SP có kết nối tới các bộ định tuyến CPE trong VPN đó. Về khía cạnh này, một VPN với rất nhiều các vị trí cần đợc kết nối là một VPN lớn trong khi một VPN với một vài vị trí là VPN nhỏ. Cũng vậy, có thể hiểu đợc rằng VPN phát triển hay thu hẹp lại về kích thớc theo thời gian. Các VPN thậm chí có thể hợp nhất để kết hợp các nhà liên kết, khả năng lĩnh hội và các thoả thuận hợp tác. Những thay đổi này rất phù hợp trong kiến trúc này, khi các tài nguyên IP duy nhất không đợc ấn định cho các VPN. Số SPED không đợc giới hạn bởi bất cứ những giới hạn về cấu hình giả tạo nào. 5. SP sở hữu và quản lý các thực thể lớp 1 và lớp 2. Một cách chi tiết, SP điều khiểncác tổng đài chuyển mạch và các bộ định tuyến vật lý, các đờng liên kết vật lý, các kết nối logic lớp 2 (nh DLCI trong FrameRelay và VPI/VCI trong ATM) và LSP (và cả ấn định của chúng cho các VPN cụ thể). Trong phạm vi của VPN, SP có trách nhiệ, kết hợp và ấn định các thực thể lớp 2 cho các VPN cụ thể. 6. Các thực thể lớp 3 thuộc quyền quản lý của PNA. Các ví dụ về thực thể lớp 3 bao gồm các giao diện IP, sự lựa chọn các giao thức định tuyến động hoặc các tuyến tính, và các giao diện định tuyến. Chú ý rằng mặc dù cấu hình lớp 3 về mặt logic là đặt dới trách nhiệm của PNA, nhng không nhất thiết PNA phải thi hành nó. Điều này có thể thực hiện đợc cho PNA để outsource quản lý IP của các bộ định tuyến ảo tới các nhà cung cấp dịch vụ. Không chú ý tới ai chịu trách nhiệm cho việc cấu hình và giám sát, cách tiếp cận này cung cấp cái nhìn đầy đủ về miền định tuyến cho PNA và cho phép PNA thiết kế mạng để đạt đợc mục tiêu về intranet, extranet và xử lý lu lợng. 7. VPN có thể đợc quản lý nh các bộ định tuyến vật lý hơn là các bộ định tuyến ảo đợc triển khai. Do đó, việc quản lý có thể đợc thi hành sử dụng SNMP hoặc các phơng thức tơng tự khác hoặc trực tiếp tại VR console (VRC) 8. Các công cụ xử lý lỗi chuẩn công nghiệp nh ping, traceroute trong miền định tuyến bao gồm các bộ định tuyến vật lý dành riêng. Do đó, việc giám sát và xử lý lỗi có thể đợc thi hành sử dụng SNMP hoặc các phơng thức tơng tự, nhng có thể bao gồm việc sử dụng các công cụ chuẩn này. Một lần nữa, VRC có thể đợc sử dụng cho mục đích này giống nh bất cứ bộ định tuyến vật lý nào. 9. Từ khi VCR là hữu hình với ngời sử dụng, việc kiểm tra bảo mật bộ định tuyến cần phải đợc đặt đúng vị trí để đảm bảo ngời sử dụng VPN đợc cho phép truy cập vào các tài nguyên lớp 3 chỉ trong VPN đó và không đợc phép truy cập vào các tài nguyên vật lý trong bộ định tuyến. Hầu hết các bộ định tuyến đạt đợc điều này thông qua việc sử dụng các quan điểm về cơ sở dữ liệu. 10. VCR cũng luôn sẵn sàng với SP. Nếu cấu hình và giám sát bị outsourced tới SP, SP có thể sử dụng VRC để thực hiện các nhiệm vụ này nếu nó là PNA. 11. Các VR trong SPED hình thành SPN trong mạng SP. Đồng thời chúng đại diện cho miền định tuyến ảo. Chúng phát hiện các VR khác một cách tự động băng cách sử dụng LAN trong mạng SP. Mỗi VPN trong mạng SP đợc ấn định một và chỉ một địa chỉ multicast. Địa chỉ này đợc lựa chọn từ phạm vi áp dụng quản lý và yêu cầu duy nhất là địa chỉ multicast co thể đợc xắp xếp đơn nhất vào một VPN cụ thể. Điều này có thể thực hiện tự động một cách dễ dàng trong các bộ định tuyến nhờ việc sử dụng các chức năng đơn giản để xắp xếp chính xác một VPNID cho một địa chỉ multicast. Địa chỉ multicast này cho phép một VR có thể nhận biết các VR khác và đợc các VR khác nhận biết. Chú ý rằng địa chỉ multicast không nhất thiết phải đợc cấu hình. 12. Việc gửi chuyển tiếp dữ liệu có thể đợc thực hiện theo một trong các cách sau: Một LSP với các đặc tính hiệu quả nhẫn mà tất cả các VPN có thể sử dụng Một LSP dành riêng cho một VPN và lu lợng đợc xử lý nhờ các khách hàng VPN. Một LSP cá nhân với các đặc tính khác nhau. Chính sách dựa trên việc gửi chuyển tiếp trên kênh ảo L2 dành riêng. Lựa chọn phơng pháp tốt hơn có thể đợc dàn xếp giữa SP và khách hàng VPN, có thể là một phần của SLA giữa chúng. Điều này cho phép SP đa ra các mức dịch vụ khác nhau cho các khách hàng VPN khác nhau. Tất nhiên, việc gửi chuyển tiếp hop-by-hop cũng sẵn sàng để gửi các gói tin định tuyến và để gửi chuyển tiếp các gói tin dữ liệu ngời sử dụng trong các quá trình LSP thiết lập và hỏng. 13. Phơng pháp tiếp cận này không uỷ thác các nhiệm vụ hệ thống vận hành riêng rẽ cho mỗi giao thức định tuyến nào đợc chạy cho môĩ VR và SPED c trú. Các quá trình thực hiện cụ thể có thể đáp ứng nhu cầu của SPED cụ thể đang đợc sử dụng. Bảo dỡng các cơ sở dữ liệu định tuyến và các bảng gửi chuyển tiếp, mỗi một cơ sở dữ liệu và bảng cho một VR, là một cách để thu đợc chất lợng tốt nhất cho SPED cho trớc. 7. Cấu hình mở rộng Một VPN điển hình phải có hàng trăm tới hàng nghìn điểm cuối trong một đáp mây SP. Do đó, cấu hình nên mở rộng một cách tuyến tính về số lợng các điểm cuối. Một cách cụ thể, nhà quản trị mạng phải thêm một cặp các mục cấu hình khi một khách hàng mới gia nhập vào tập các VR cấu hình nên VPN. Bất cứ thứ gì kém hơn sẽ làm cho nhiệm vụ này trở nên khó khăn đối với nhà cung cấp dịch vụ. Trong kiến trúc này, tất cả những thứ mà các nhà cung cấp dịch vụ cần phải cấp phát và cấu hình là các đờng liên kết vật lý vào/ra (ví dụ nh Frame Relay DLCI hoặc ATM VPI/VCI) và các kết nối ảo giữa VR và mạng LAN. 8. Phơng pháp nhận biết các bộ định tuyến lân cận động. Các VR trong một VPN cho trớc thuộc về một số SPED trong mạng. Những VR này cần phải nhận biết về mỗi VR khác và phải đợc kết nối với các VR khác. Một cách để thực hiện điều này là yêu cầu cấu hình của các VR lân cận. Ví dụ, khi một vùng mới đợc thêm vào VPN, điều này đòi hỏi cấu hình của tất cả các VR khác nh là các VR lân cận. Điều này rõ ràng là không thể mở rộng trên quan điểm tài nguyên mạng và cấu hình. Nhu cầu tăng lên để cho phép những VR này nhận biết động mỗi VR khác. Phơng pháp nhận biết các bộ định tuyến lân cận đợc làm cho thuận tiện bằng việc cung cấp cho mỗi VPN một mạng LAN mô phỏng giới hạn. Mạng LAN mô phỏng này đợc sử dụng theo vài cách: 1. Giải quyết địa chỉ sử dụng mạng LAN này để quyết định các địa chỉ IP hop kế tiếp liên kết với các VR khác. 2. Các giao thức định tuyến nh RIP và OSPF sử dụng mạng LAN mô phỏng giới hạn cho việc nhận biết các VR lân cận và để gửi các cập nhật định tuyến. Mạng LAN (cho mỗi VPN) đợc mô phỏng sử dụng địa chỉ multicast IP. Trong tầm quan trọng của việc duy trì không gian địa chỉ công cộng và vì điều này mà địa chỉ multicast cần đợc xác định chỉ trong không gian mạng SP. Chúng ta sử dụng một địa chỉ từ các địa chỉ multicast trong phạm vi một tổ chức nh đợc mô tả trong [Meyer]. Mỗi VPN đợc cấp phát một địa chỉ từ tập địa chỉ đó. Để loại trừ hoàn toàn cấu hình trong phần xem xét này, địa chỉ này đợc tính toán từ VPNID. 9. Cấu hình miền VPN IP Hình 1: Miền định tuyến vật lý Miền định tuyến vật lý trong mạng SP đợc biểu diễn trong hình trên. Trong mạng này, các bộ định tuyến vật lý A, B và C đợc kết nối với nhau. Mỗi trong số các bộ định tuyến có một địa chỉ IP công cộng đợc ấn định cho nó. Những địa chỉ này xác định duy nhất mỗi trong số các bộ định tuyến trong mạng SP. Hình 2: Miền định tuyến ảo Mỗi bộ định tuyến ảo đợc cấu hình nhờ PNA khi đi qua nó là một bộ định tuyến vật lý cá nhân. Tất nhiên, SP giới hạn các tài nguyên mà bộ định tuyến ảo này có thể tiêu thụ trên các cơ sở SPED-by-SPED. Mỗi VPN có một số các kết nối vật lý (tới các bộ định tuyến CPE) và một số các kết nối logic (tới mạng LAN mô phỏng). Mỗi kết nối là kết nối IP và có thể đợc cấu hình để sử dụng bất cứ kết hợp giữa các giao thức định tuyến chuẩn và các chính sách định tuyến để đạt đợc mục tiêu mạng hợp nhất cụ thể. Để minh hoạ, trong hình 1, ba VR đặt trong ba SPED trong VPN1. Bộ định tuyến A nằm trong VR-A, bộ định tuyến B nằm trong VR-B và bộ định tuyến C nằm trong VR-C, VR- C và VR-B có một kết nối tới các thiết bị CPE, trong khi VR-A có hai kết nối vật lý. Mỗi trong số các VR có kết nối logic IP tới ban điều hành công ty và chạy OSPF qua các kết nối này. Do đó, nó có thể định tuyến các gói tin tới 172.150.0/18 và 172.150.128/18. VR- B chạy RIP tại văn phòng chi nhánh (qua kết nối vật lý) và sử dụng RIP (qua kết nối logic) để xuất 172.150.64/18 tới VR-A. VR-A thông báo một tuyến mặc định tới VR-B qua kết nối logic. Nhà cung cấp sử dụng VR-C nh kết nối extranet để kết nối tới cơ sở dữ liệu tại 172.150.128.1. Do đó, VR-C thông báo một tuyến mặc định tới VR-A qua đờng kết nối logic. VR-A chỉ xuất 175.150.128.1 tới VR-C. Điều này giữ phần còn lại của mạng khỏi những vấn đề về bảo mật. Nhà quản trị mạng sẽ cấu hình những thứ nh sau: 1. Các kết nối OSPF tới mạng 172.150.0/18 và mạng 172.150.128/18 trong VR-A 2. Các kết nối RIP tới VR-B và VR-C trong VR-A 3. Các chính sách định tuyến trong VR-A để thông báo chỉ một tuyến mặc định tới VR-B 4. Các chính sách định tuyến trong VR-A để thông báo chỉ 172.150.128.1 tới VR-C 5. RIP trong VR-B tới VR-A 6. RIP trong VR-C để thông báo một tuyến mặc định tới VR-A. 10. Ví dụ về phơng pháp nhận biết các bộ định tuyến lân cận Trong hình 1, SPED trong VR-A (SPED-A) sử dụng địa chỉ của 150.0.0.1/24, SPED-B sử dụng 150.0.0.2/24 và SPED-C sử dụng 150.0.0.3/24. Chú ý rằng kết nối giữa các VR là thông qua mạng LAN mô phỏng. Cho các địa chỉ giao diện trong kết nối mạng LAN mô phỏng, VR-A sử dụng 10.0.0.1/24, VR-B sử dụng 10.0.0.2/24 và VR-C sử dụng 10.0.0.3/24. Bây giờ quan tâm tới việc VR-A gửi gói tin tới VR-B. Để thu đợc địa chỉ của VR-B (Địa chỉ của SPED-B), VR-A gửi một gói tin yêu cầu ARP với địa chỉ của VR-B (10.0.0.2) nh địa chỉ logic. Địa chỉ logic nguồn là 10.0.0.1 và địa chỉ phần cứng là 151.0.0.1. Yêu cầu ARP này đợc tóm lợc trong địa chỉ multicast của VPN này và gửi ra. SPED-B và SPED-C nhận một bản sao của gói tin. SPED-B nhận 10.0.0.2 trong phạm vi VPN1 và đáp ứng với 152.0.0.2 nh địa chỉ phần cứng. Đáp ứng này đợc gửi tới địa chỉ multicast VPN để đề x- ớng cách sử dụng ARP không phân loại và kết quả suy giảm trong lu lợng mạng. Cấu hình thông thờng sẽ cần thiết nếu phơng pháp nhận biết bộ định tuyến lân cận không đợc sử dụng. Trong ví dụ này, VR-A sẽ đợc cấu hình với lối vào ARP tĩnh cho địa chỉ logic của VR-B (10.0.0.1) với địa chỉ phần cứng đợc đặt là 152.0.0.2. 11. Gửi chuyển tiếp Nh đợc đề cập trong phác thảo về kiến trúc, gửi chuyển tiếp dữ liệu có thể đợc thực hiện theo một vài cách. Trong tất cả các công nghệ ngoại trừ công nghệ Hop-by-Hop cho việc gửi chuyển tiếp các gói tin định tuyến/điều khiển, các phơng thức hiện thời đều có thể cấu hình đợc. Tại điểm cuối, giải quyết dựa trên việc gửi chuyển tiếp cho dịch vụ nhanh và tại điểm khác, việc gửi chuyển tiếp hiệu quả tốt nhất sử dụng LSP công cộng đợc sử dụng. Trật tự u tiên gửi chuyển tiếp nh sau: 1. Giải quyết dựa trên việc gửi chuyển tiếp 2. LSP cá nhân cấu hình tuỳ chọn 3. LSP công cộng hiệu quả cao. 11.1 LSP cá nhân LSP này đợc cấu hình tuỳ chọn trong các cơ sở VPN. LSP này thờng kết hợp với việc dự trữ trớc băng thông và với các dịch vụ khác nhau riêng biệt hoặc lớp QOS. Nếu LSP này sẵn sàng, nó đợc sử dụng cho dữ liệu ngời sử dụng và cho việc gửi chuyển tiếp dữ liệu điều khiển cá nhân VPN. 11.2 LSP công cộng hiệu quả cao Các gói tin VPN đợc gửi chuyển tiếp sử dụng LSP này nếu LSP cá nhân với băng thông xác định và các đặc tính QOS hoặc công đợc cấu hình hoặc hiện tại không sẵn sàng. LSP đợc sử dụng là một LSP đợc tính trớc cho bộ định tuyến lối ra trong VPN0. VPNID trong mào đầu chèn thêm đợc sử dụng để phân các gói dữ liệu từ các VPN khác nhau tại bộ định tuyến lối ra. 12. Các dịch vụ khác nhau Việc cấu hình các LSP cá nhân cho các VPN cho phép SP đa ra những dịch vụ khác nhau dành cho các khác hàng. Những LSP cá nhân này có thể đợc kết hợp với bất cứ lớp QOS L2 nào có sẵn hoặc với các điểm mã dịch vụ. Trong một VPN, nhiều LSP cá nhân với các lớp dịch vụ khác nhau có thể đợc cấu hình với các thông tin luồng cho việc sắp xếp các gói tin trong các LSP. Đặc tính này, cùng với khả năng thay đổi kích thớc các bộ định tuyến ảo, cho phép SP cung cấp các dịch vụ hoàn toàn khác nhau tới các khách hàng VPN. 13. Xem xét về vấn đề bảo mật 13.1 Bảo mật định tuyến Sử dụng các giao thức định tuyến chuẩn nh OSPF và BGP theo hình thức không đổi của chúng có nghĩa là tất cả các các phơng thức mã hoá và bảo mật (Nh xác nhận MD5 của các bộ định tuyến lân cận) là hoàn toàn có sẵn trong các VR. Đảm bảo rằng các tuyến này không bị rò rỉ thông tin từ một VPN tới các VPN khác là một vấn đề phải thi hành. Một cách để đạt đợc điều này là để duy trì các cơ sở dữ liệu định tuyến và gửi chuyển tiếp. 13.2 Bảo mật dữ liệu Điều này cho phép SP đảm bảo với các khách hàng VPN rằng tất cả các gói tin dữ liệu trong một VPN không bao giờ đi chệch đờng sang VPN khác. Từ quan điểm định tuyến, điều này có thể đạt đợc bằng việc duy trì các cơ sở dữ liệu định tuyến riêng biệt cho mỗi bộ định tuyến ảo. Từ quan điểm gửi chuyển dữ liệu, sử dụng các tập nhãn trong trờng hợp các LSP dùng chung [Rosen2][Callon] hoặc sử dụng các LSP cá nhân đảm bảo bảo mật dữ liệu. Các bộ lọc gói tin cũng có thể đợc cấu hình để giúp đỡ làm các vấn đề trở nên dễ dàng hơn. 13.3 Bảo mật cấu hình Các bộ định tuyến ảo xuất hiện nh các bộ định tuyến vật lý với PNA. Điều này có nghĩa là chúng có thể đợc PNA cấu hình để có đợc kết nối giữa các văn phòng của một tập đoàn. Rõ ràng, SP phải đảm bảo rằng chỉ có PNA và các nhà thiết kế của PNA, những ngời truy cập tới các VR trên SPED trong mạng cá nhân, là có đợc các kết nối tới chúng. Kể từ khi bộ định tuyến ảo cân bằng về mặt chức năng với bộ định tuyến vật lý, tất cả các phơng thức xác nhận có thể dùng trong physical console nh khẩu lệnh, RADIUS là dùng đợc trong PNA. 13.4 Bảo mật mạng vật lý Khi một PNA truy cập vào một SPED để cấu hình hoặc giám sát VPN, PNA đó đợc truy cập vào VR của VPN. PNA chỉ có quyền cấu hình và giám sát lớp 3 cho VR. Cụ thể PNA không có quyền cấu hình cho mạng vật lý. Điều này đảm bảo cho SP rằng nhà quản trị VPN sẽ không thể tác động đến mạng SP. 14. Giám sát bộ định tuyến ảo Tất cả các đặt tính giám sát bộ định tuyến dùng trong bộ định tuyến vật lý có thể dùng đ- ợc trong bộ định tuyến ảo. Điều này bao gồm các công cụ nh ping traceroute. Thêm vào đó, khả năng hiển thị bảng định tuyến cá nhân, cơ sở dữ liệu trạng thái liên kết, v.v cũng sử dụng đợc. 15. Xem xét về chất lợng Cho mục đích tranh luận về các vấn đề chất lợng và khả năng mở rộng, các bộ định tuyến ngày nay có thể đợc phân chia thành hai mặt bằng: mặt bằng định tuyến và mặt bằng gửi chuyển tiếp. Xem xét tại mặt bằng định tuyến, hầu hết các giao thức định tuyến hiện đại sử dụng một vài hình thức của phơng thức tính toán tối u để tính toán đờng đi ngắn nhất để tới đợc đích cuối cùng. Ví dụ, OSPF và ISIS sử dụng thuật toán Djikstra trong khi BGP sử dụng Decision Process. Những thuật toán này dựa trên việc phân tích cơ sở dữ liệu định tuyến và tính toán đờng đi tốt nhất tới đích cuối cùng. Các đặc tính chất lợng của những thuật toán này đợc dựa trên hoặc là đặc tính hình học topo (ISIS và OSPF) hoặc số AS trên đờng đi tới đích (BGP). Nhng chú ý rằng mào đầu trong việc thiết lập và khởi tạo những tính toán này là rất nhỏ cho hầu hết các bộ định tuyến ngày nay. Điều này bởi vì,mặc dầu chúng ta đề cập tới đầu vào tính toán định tuyến là cơ sở dữ liệu, những cơ sở dữ liệu này đợc nhớ trong các cấu trúc dữ liệu thờng trú. Do đó, những kết luận sau có thể đợc đa ra: 1. Việc bắt đầu tính toán định tuyến cho một miền định tuyến không nhiều hơn việc thiết lập những đăng ký để chỉ ra các đối tợng cơ sở dữ liệu đúng. 2. Dựa trên 1, chất lợng của một thuật toán đa ra hoàn toàn không tồi hơn nhờ mào đầu đợc yêu cầu để thiết lập thuật toán đó. 3. Dựa trên 2, tiếp theo, khi một số các công việc tính toán định tuyến cho một số các bộ định tuyến ảo phải đợc bộ định tuyến vật lý thi hành, sự phức tạp trong kết quả tính toán định tuyến không nhiều hơn tổng các phức tạp của việc tính toán định tuyến của các bộ định tuyến ảo riêng rẽ. 4. Dựa trên 3, tiếp theo liệu mô hình overlay đợc sử dụng hay một mô hình định tuyến ảo đợc áp dụng, các đặc tính chất lợng của một bộ định tuyến hoàn toàn phụ thuộc vào khả năng về phần cứng của nó và sự lựa chọn các cấu trúc dữ liệu và các thuật toán. Để minh hoạ, đặt một bộ định tuyến vật lý trong N VPN, tất cả chạy cùng một giao thức định tuyến gọi là RP. Cho rằng chất lợng trung bình trong thuật toán tính toán định tuyến của RP là f(X,Y) ở đây x và y là các tham số quyết định chất lợng của thuật toán cho giao thức định tuyến đó. Nh trong ví dụ, cho thuật toán Djikstra với giao thức OSPF, X có thể là số nút trong vùng trong khi Y có thể là số liên kết. Chất lợng của một VPN n tuỳ ý là f(Xn,Yn). Chất lợng của bộ định tuyến vật lý là tổng của f(Xi,Yi) cho các giá trị i chạy từ 0 tới N. Kết luận này độc lập với cách tiếp cận VPN lựa chọn (bộ định tuyến ảo hay mô hình overlay) Trong trờng hợp thông thờng, mặt bằng gửi chuyển tiếp co hai đầu vào: bảng gửi chuyển tiếp và mào đầu gói tin. Tham số chất lợng chính là thuật toán tìm kiếm. Chất lợng tốt nhất có thể có đợc cho việc tìm kiếm bảng định tuyến IP bằng cách tổ chức bảng dới một vài mô hình hình cây và sử dụng các phơng pháp tìm kiếm nhị phân để thi hành việc tìm kiếm. Chất lợng của thuật toán này là O (log n) Do đó, chỉ cần các bảng định tuyến của các bộ định tuyến ảo là riêng biệt, chi phí tìm kiếm là giá trị không đổi cho việc tìm kiếm bảng định tuyến và là O(log n) để tìm lối vào. Điều này không tồi hơn bất cứ bộ định tuyến nào và không khác so với bộ định tuyến mà áp dụng các công nghệ overlay để phân phối các dịch vụ VPN. Tuy nhiên, khi bộ định tuyến overlay sử dụng việc tích hợp nhiều bảng định tuyến VPN, chất lợng sẽ là O(log m*n) ở đay m là số VPN mà bản định tuyến giữ. . tả cách tiếp cận cho việc xây dựng các dịch vụ IP VPN ngoài mạng xơng sống của nhà cung cấp dịch vụ. Phổ biến có hai cách tiếp cận: mô hình overlay và cách. làm cho nhiệm vụ này trở nên khó khăn đối với nhà cung cấp dịch vụ. Trong kiến trúc này, tất cả những thứ mà các nhà cung cấp dịch vụ cần phải cấp phát và