1. Từ viết tắt
2. Giới thiệu
Bản ghi nhớ này mô tả cách tiếp cận cho việc xây dựng các dịch vụ IP VPN ngoài mạng
xơng sống của nhà cung cấp dịch vụ. Phổ biến có hai cách tiếp cận: mô hình overlay và
cách tiếp cận bộ định tuyến ảo. Mô hình overlay dựa trên việc tải một vài các giao thức
định tuyến hiện thời để mang thông tin. Trong tài liệu này, chúng tôi tập trung vào dịch
vụ bộ định tuyến ảo.
Cách tiếp cận đợc đa ra ở đây không phụ thuộc vào bất cứ sự thay đổi nào trong bất cứ
giao thức định tuyến nào. Những phát kiến liên quan đợc nhắm tới trong quá trình sử
dụng mạng LAN và đạt đợc nhờ sử dụn ARP. Bản ghi nhớ này cố gắng phân biệt giữa SP
và PNA: SP thì sở hữu và quản lý các dịch vụ lớp 1 và 2 trong khi các dịch vụ lớp 3 thì
chịu sự quản lý của PNA. Bằng việc cung cấp các miền định tuyến độc lập logic, PNA
mang lại khả năng mềm dẻo trong việc sử dụng địa chỉ cá nhân và cha đợc đăng ký. Để sử
dụng các LSP cá nhân và sử dụng tóm lợc VPNID sử dụng các tập nhãn qua các LSP dùng
chung, bảo mật dữ liệu không còn là vấn đề.
Cách tiếp cận trong bản ghi nhớ này khác với đợc mô tả trong RFC 2547, trong đó không
có một giao thức định tuyến cụ thể nào đợc tải để mang các tuyến VPN. RFC2547 xác
định một cách để thay đổi BGP để mang các tuyến unicast VPN qua mạng xơng sống SP.
Để mang các tuyến multicast, cần có các công việc kiến trúc sâu hơn.
3. Các bộ định tuyến ảo ảo
Một bộ định tuyến ảo là một tập các thread, cả tĩnh và động, trong thiết bị định tuyến, nó
cung cấp các dịch vụ định tuyến và gửi chuyển tiếp giống các bộ định tuyến vật lý. Một
bộ định tuyến ảo không nhất thiết là một tiến trình hệ thống vận hành riêng rẽ (mặc dầu
nó có thể là nh vậy); nó chỉ đơn giản là cung cấp ảo giác mà một bộ định tuyến dành
riêng sẵn sàng thoả mãn những nhu cầu của mạng mà nó kết nối vào. Một bộ định tuyến
ảo, giống nh bản sao vật lý của nó, là một thành phần trong một miền định tuyến. Các bộ
định tuyến khác trong miền này có thể là các bộ định tuyến vật lý hay ảo. Cho rằng bộ
định tuyến ảo kết nối vào một miền định tuyến xác định và bộ định tuyến vật lý có thể hỗ
trợ nhiều bộ định tuyến ảo, nó xảy ra hiện tợng một bộ định tuyến vật lý hỗ trợ nhiều
miền định tuyến.
Từ quan điểm của khách hàng VPN, đòi hỏi một bộ định tuyến ảo phải tơng đơng với một

này có nghĩa là các chức năng định tuyến và gửi chuyển tiếp dữ liệu của bộ định tuyến
ảo đợc bảo mật nh bộ định tuyến vật lý. ở đây có không có hiện tờng lộ thông tin từ
một miền định tuyến sang miền khác.
8. Các giao thức định tuyến xác định không nên đợc áp dụng giữa các bộ định tuyến ảo.
Điều này khó đảm bảo các khách hàng VPN có thể thiết lập mạng và các chính sách
khi các khách hàng thấy thích hợp. Ví dụ, một vài giao thức mạnh trong công việc lọc,
trong khi đó các loại khác lại mạnh trong việc xử lý lu lợng. Các khách hàng VPN có
thể muốn khai thác cả hai để thu đợc chất lợng mạng tốt nhất.
9. Không có những mở rộng đặt biệt với các giao thức định tuyến nh BGP, RIP, OSPF,
ISIS v.v Khó có thể cho phép những bổ xung cho các dịch vụ hiện có khác trong t -
ơng lai nh NHRP và multicast. Thêm vào đó, sự tiến bộ và các phần bổ xung cho các
giao thức hiện có (nh những mỏ rộng về xử lý lu lợng cho ISIS và OSPF), chúng có thể
dễ dàng kết hợp vào một VPN implementation.
5. Những yêu cầu về kiến trúc
Mạng cung cấp dịch vụ phải chạy một vài mô hình định tuyến multicast cho tất cả các nút
sẽ có các kết nối VPN và cho các nút phải gửi chuyển tiếp các gói tin multicast cho việc
phát hiện bộ định tuyến ảo. Một giao thức định tuyến multicast cụ thể không đợc uỷ thác.
Một SP có thể chạy MOSPF hoặc DVMRP hoặc các giao thức định tuyến khác.
6. Phác thảo về kiến trúc
1. Tất cả ccs VPN đợc ấn định một VPNID nó là duy nhất trong mạng SP. Nhận dạng
này xác định chính xác một VPN mà với nó một gói tin hoặc một kết nối đợc kết hợp.
VPNID giá trị 0 đợc dự trữ; nó liên kết và đại diện cho mạng internet công cộng. Điều
này đã đợc giới thiệu, nhng không yêu cầu các nhận dạng VPN này sẽ tuân theo
RFC2685.
2. Dịch vụ VPN đợc đa ra theo dạng dịch vụ bộ định tuyến ảo. Những VR đặt tại SPED
và đợc hạn chế tới biên của đám mây SP. Các VR sẽ sử dụng mạng SP cho dữ liệu và
điều khiển gửi chuyển tiếp gói tin nhng mặt khác nó là vô hình phía ngoài các SPED.
3. Kích thớc củ VR giao ớc với VPN trong một SPED cho trớc đợc biểu diễn bằng số l-
ợng tài nguyên IP nh các giao diện định tuyến, các bộ lọc tuyến, các lối vào định
tuyến v.v.. Điều này hoàn toàn nằm dới sự điều khiển của SP và cung cấp granularity

8. Các công cụ xử lý lỗi chuẩn công nghiệp nh ping, traceroute trong miền định tuyến
bao gồm các bộ định tuyến vật lý dành riêng. Do đó, việc giám sát và xử lý lỗi có thể
đợc thi hành sử dụng SNMP hoặc các phơng thức tơng tự, nhng có thể bao gồm việc sử
dụng các công cụ chuẩn này. Một lần nữa, VRC có thể đợc sử dụng cho mục đích này
giống nh bất cứ bộ định tuyến vật lý nào.
9. Từ khi VCR là hữu hình với ngời sử dụng, việc kiểm tra bảo mật bộ định tuyến cần
phải đợc đặt đúng vị trí để đảm bảo ngời sử dụng VPN đợc cho phép truy cập vào các
tài nguyên lớp 3 chỉ trong VPN đó và không đợc phép truy cập vào các tài nguyên vật
lý trong bộ định tuyến. Hầu hết các bộ định tuyến đạt đợc điều này thông qua việc sử
dụng các quan điểm về cơ sở dữ liệu.
10. VCR cũng luôn sẵn sàng với SP. Nếu cấu hình và giám sát bị outsourced tới SP, SP có
thể sử dụng VRC để thực hiện các nhiệm vụ này nếu nó là PNA.
11. Các VR trong SPED hình thành SPN trong mạng SP. Đồng thời chúng đại diện cho
miền định tuyến ảo. Chúng phát hiện các VR khác một cách tự động băng cách sử
dụng LAN trong mạng SP.
Mỗi VPN trong mạng SP đợc ấn định một và chỉ một địa chỉ multicast. Địa chỉ này đợc
lựa chọn từ phạm vi áp dụng quản lý và yêu cầu duy nhất là địa chỉ multicast co thể đợc
xắp xếp đơn nhất vào một VPN cụ thể. Điều này có thể thực hiện tự động một cách dễ
dàng trong các bộ định tuyến nhờ việc sử dụng các chức năng đơn giản để xắp xếp chính
xác một VPNID cho một địa chỉ multicast. Địa chỉ multicast này cho phép một VR có thể
nhận biết các VR khác và đợc các VR khác nhận biết. Chú ý rằng địa chỉ multicast không
nhất thiết phải đợc cấu hình.
12. Việc gửi chuyển tiếp dữ liệu có thể đợc thực hiện theo một trong các cách sau:
Một LSP với các đặc tính hiệu quả nhẫn mà tất cả các VPN có thể sử dụng
Một LSP dành riêng cho một VPN và lu lợng đợc xử lý nhờ các khách hàng VPN.
Một LSP cá nhân với các đặc tính khác nhau.
Chính sách dựa trên việc gửi chuyển tiếp trên kênh ảo L2 dành riêng.
Lựa chọn phơng pháp tốt hơn có thể đợc dàn xếp giữa SP và khách hàng VPN, có thể là
một phần của SLA giữa chúng. Điều này cho phép SP đa ra các mức dịch vụ khác nhau
cho các khách hàng VPN khác nhau.

2. Các giao thức định tuyến nh RIP và OSPF sử dụng mạng LAN mô phỏng giới hạn cho
việc nhận biết các VR lân cận và để gửi các cập nhật định tuyến.