1. Từ viết tắt
2. Giới thiệu
Bản ghi nhớ này mô tả cách tiếp cận cho việc xây dựng các dịch vụ IP VPN ngoài mạng
xơng sống của nhà cung cấp dịch vụ. Phổ biến có hai cách tiếp cận: mô hình overlay và
cách tiếp cận bộ định tuyến ảo. Mô hình overlay dựa trên việc tải một vài các giao thức
định tuyến hiện thời để mang thông tin. Trong tài liệu này, chúng tôi tập trung vào dịch vụ
bộ định tuyến ảo.
Cách tiếp cận đợc đa ra ở đây không phụ thuộc vào bất cứ sự thay đổi nào trong bất cứ
giao thức định tuyến nào. Những phát kiến liên quan đợc nhắm tới trong quá trình sử
dụng mạng LAN và đạt đợc nhờ sử dụn ARP. Bản ghi nhớ này cố gắng phân biệt giữa SP
và PNA: SP thì sở hữu và quản lý các dịch vụ lớp 1 và 2 trong khi các dịch vụ lớp 3 thì
chịu sự quản lý của PNA. Bằng việc cung cấp các miền định tuyến độc lập logic, PNA
mang lại khả năng mềm dẻo trong việc sử dụng địa chỉ cá nhân và cha đợc đăng ký. Để sử
dụng các LSP cá nhân và sử dụng tóm lợc VPNID sử dụng các tập nhãn qua các LSP dùng
chung, bảo mật dữ liệu không còn là vấn đề.
Cách tiếp cận trong bản ghi nhớ này khác với đợc mô tả trong RFC 2547, trong đó không
có một giao thức định tuyến cụ thể nào đợc tải để mang các tuyến VPN. RFC2547 xác
định một cách để thay đổi BGP để mang các tuyến unicast VPN qua mạng xơng sống SP.
Để mang các tuyến multicast, cần có các công việc kiến trúc sâu hơn.
3. Các bộ định tuyến ảo ảo
Một bộ định tuyến ảo là một tập các thread, cả tĩnh và động, trong thiết bị định tuyến, nó
cung cấp các dịch vụ định tuyến và gửi chuyển tiếp giống các bộ định tuyến vật lý. Một
bộ định tuyến ảo không nhất thiết là một tiến trình hệ thống vận hành riêng rẽ (mặc dầu
nó có thể là nh vậy); nó chỉ đơn giản là cung cấp ảo giác mà một bộ định tuyến dành
riêng sẵn sàng thoả mãn những nhu cầu của mạng mà nó kết nối vào. Một bộ định tuyến
ảo, giống nh bản sao vật lý của nó, là một thành phần trong một miền định tuyến. Các bộ
định tuyến khác trong miền này có thể là các bộ định tuyến vật lý hay ảo. Cho rằng bộ
định tuyến ảo kết nối vào một miền định tuyến xác định và bộ định tuyến vật lý có thể hỗ
trợ nhiều bộ định tuyến ảo, nó xảy ra hiện tợng một bộ định tuyến vật lý hỗ trợ nhiều
miền định tuyến.
Từ quan điểm của khách hàng VPN, đòi hỏi một bộ định tuyến ảo phải tơng đơng với một

này có nghĩa là các chức năng định tuyến và gửi chuyển tiếp dữ liệu của bộ định tuyến
ảo đợc bảo mật nh bộ định tuyến vật lý. ở đây có không có hiện tờng lộ thông tin từ
một miền định tuyến sang miền khác.
8. Các giao thức định tuyến xác định không nên đợc áp dụng giữa các bộ định tuyến ảo.
Điều này khó đảm bảo các khách hàng VPN có thể thiết lập mạng và các chính sách
khi các khách hàng thấy thích hợp. Ví dụ, một vài giao thức mạnh trong công việc lọc,
trong khi đó các loại khác lại mạnh trong việc xử lý lu lợng. Các khách hàng VPN có
thể muốn khai thác cả hai để thu đợc chất lợng mạng tốt nhất.
9. Không có những mở rộng đặt biệt với các giao thức định tuyến nh BGP, RIP, OSPF,
ISIS v.v Khó có thể cho phép những bổ xung cho các dịch vụ hiện có khác trong t-
ơng lai nh NHRP và multicast. Thêm vào đó, sự tiến bộ và các phần bổ xung cho các
giao thức hiện có (nh những mỏ rộng về xử lý lu lợng cho ISIS và OSPF), chúng có thể
dễ dàng kết hợp vào một VPN implementation.
5. Những yêu cầu về kiến trúc
Mạng cung cấp dịch vụ phải chạy một vài mô hình định tuyến multicast cho tất cả các nút
sẽ có các kết nối VPN và cho các nút phải gửi chuyển tiếp các gói tin multicast cho việc
phát hiện bộ định tuyến ảo. Một giao thức định tuyến multicast cụ thể không đợc uỷ thác.
Một SP có thể chạy MOSPF hoặc DVMRP hoặc các giao thức định tuyến khác.
6. Phác thảo về kiến trúc
1. Tất cả ccs VPN đợc ấn định một VPNID nó là duy nhất trong mạng SP. Nhận dạng
này xác định chính xác một VPN mà với nó một gói tin hoặc một kết nối đợc kết hợp.
VPNID giá trị 0 đợc dự trữ; nó liên kết và đại diện cho mạng internet công cộng. Điều
này đã đợc giới thiệu, nhng không yêu cầu các nhận dạng VPN này sẽ tuân theo
RFC2685.
2. Dịch vụ VPN đợc đa ra theo dạng dịch vụ bộ định tuyến ảo. Những VR đặt tại SPED
và đợc hạn chế tới biên của đám mây SP. Các VR sẽ sử dụng mạng SP cho dữ liệu và
điều khiển gửi chuyển tiếp gói tin nhng mặt khác nó là vô hình phía ngoài các SPED.
3. Kích thớc củ VR giao ớc với VPN trong một SPED cho trớc đợc biểu diễn bằng số l-
ợng tài nguyên IP nh các giao diện định tuyến, các bộ lọc tuyến, các lối vào định
tuyến v.v Điều này hoàn toàn nằm dới sự điều khiển của SP và cung cấp granularity

8. Các công cụ xử lý lỗi chuẩn công nghiệp nh ping, traceroute trong miền định tuyến
bao gồm các bộ định tuyến vật lý dành riêng. Do đó, việc giám sát và xử lý lỗi có thể
đợc thi hành sử dụng SNMP hoặc các phơng thức tơng tự, nhng có thể bao gồm việc sử
dụng các công cụ chuẩn này. Một lần nữa, VRC có thể đợc sử dụng cho mục đích này
giống nh bất cứ bộ định tuyến vật lý nào.
9. Từ khi VCR là hữu hình với ngời sử dụng, việc kiểm tra bảo mật bộ định tuyến cần
phải đợc đặt đúng vị trí để đảm bảo ngời sử dụng VPN đợc cho phép truy cập vào các
tài nguyên lớp 3 chỉ trong VPN đó và không đợc phép truy cập vào các tài nguyên vật
lý trong bộ định tuyến. Hầu hết các bộ định tuyến đạt đợc điều này thông qua việc sử
dụng các quan điểm về cơ sở dữ liệu.
10. VCR cũng luôn sẵn sàng với SP. Nếu cấu hình và giám sát bị outsourced tới SP, SP có
thể sử dụng VRC để thực hiện các nhiệm vụ này nếu nó là PNA.
11. Các VR trong SPED hình thành SPN trong mạng SP. Đồng thời chúng đại diện cho
miền định tuyến ảo. Chúng phát hiện các VR khác một cách tự động băng cách sử
dụng LAN trong mạng SP.
Mỗi VPN trong mạng SP đợc ấn định một và chỉ một địa chỉ multicast. Địa chỉ này đợc
lựa chọn từ phạm vi áp dụng quản lý và yêu cầu duy nhất là địa chỉ multicast co thể đợc
xắp xếp đơn nhất vào một VPN cụ thể. Điều này có thể thực hiện tự động một cách dễ
dàng trong các bộ định tuyến nhờ việc sử dụng các chức năng đơn giản để xắp xếp chính
xác một VPNID cho một địa chỉ multicast. Địa chỉ multicast này cho phép một VR có thể
nhận biết các VR khác và đợc các VR khác nhận biết. Chú ý rằng địa chỉ multicast không
nhất thiết phải đợc cấu hình.
12. Việc gửi chuyển tiếp dữ liệu có thể đợc thực hiện theo một trong các cách sau:
Một LSP với các đặc tính hiệu quả nhẫn mà tất cả các VPN có thể sử dụng
Một LSP dành riêng cho một VPN và lu lợng đợc xử lý nhờ các khách hàng VPN.
Một LSP cá nhân với các đặc tính khác nhau.
Chính sách dựa trên việc gửi chuyển tiếp trên kênh ảo L2 dành riêng.
Lựa chọn phơng pháp tốt hơn có thể đợc dàn xếp giữa SP và khách hàng VPN, có thể là
một phần của SLA giữa chúng. Điều này cho phép SP đa ra các mức dịch vụ khác nhau
cho các khách hàng VPN khác nhau.

2. Các giao thức định tuyến nh RIP và OSPF sử dụng mạng LAN mô phỏng giới hạn cho
việc nhận biết các VR lân cận và để gửi các cập nhật định tuyến.
Mạng LAN (cho mỗi VPN) đợc mô phỏng sử dụng địa chỉ multicast IP. Trong tầm quan
trọng của việc duy trì không gian địa chỉ công cộng và vì điều này mà địa chỉ multicast
cần đợc xác định chỉ trong không gian mạng SP.
Chúng ta sử dụng một địa chỉ từ các địa chỉ multicast trong phạm vi một tổ chức nh đợc
mô tả trong [Meyer]. Mỗi VPN đợc cấp phát một địa chỉ từ tập địa chỉ đó. Để loại trừ
hoàn toàn cấu hình trong phần xem xét này, địa chỉ này đợc tính toán từ VPNID.
9. Cấu hình miền VPN IP
Hình 1: Miền định tuyến vật lý
Miền định tuyến vật lý trong mạng SP đợc biểu diễn trong hình trên. Trong mạng này, các
bộ định tuyến vật lý A, B và C đợc kết nối với nhau. Mỗi trong số các bộ định tuyến có
một địa chỉ IP công cộng đợc ấn định cho nó. Những địa chỉ này xác định duy nhất mỗi
trong số các bộ định tuyến trong mạng SP.
Hình 2: Miền định tuyến ảo
Mỗi bộ định tuyến ảo đợc cấu hình nhờ PNA khi đi qua nó là một bộ định tuyến vật lý cá
nhân. Tất nhiên, SP giới hạn các tài nguyên mà bộ định tuyến ảo này có thể tiêu thụ trên
các cơ sở SPED-by-SPED. Mỗi VPN có một số các kết nối vật lý (tới các bộ định tuyến
CPE) và một số các kết nối logic (tới mạng LAN mô phỏng). Mỗi kết nối là kết nối IP và
có thể đợc cấu hình để sử dụng bất cứ kết hợp giữa các giao thức định tuyến chuẩn và các
chính sách định tuyến để đạt đợc mục tiêu mạng hợp nhất cụ thể.
Để minh hoạ, trong hình 1, ba VR đặt trong ba SPED trong VPN1. Bộ định tuyến A nằm
trong VR-A, bộ định tuyến B nằm trong VR-B và bộ định tuyến C nằm trong VR-C, VR-
C và VR-B có một kết nối tới các thiết bị CPE, trong khi VR-A có hai kết nối vật lý. Mỗi
trong số các VR có kết nối logic IP tới ban điều hành công ty và chạy OSPF qua các kết
nối này. Do đó, nó có thể định tuyến các gói tin tới 172.150.0/18 và 172.150.128/18. VR-
B chạy RIP tại văn phòng chi nhánh (qua kết nối vật lý) và sử dụng RIP (qua kết nối
logic) để xuất 172.150.64/18 tới VR-A. VR-A thông báo một tuyến mặc định tới VR-B
qua kết nối logic. Nhà cung cấp sử dụng VR-C nh kết nối extranet để kết nối tới cơ sở dữ
liệu tại 172.150.128.1. Do đó, VR-C thông báo một tuyến mặc định tới VR-A qua đờng

điểm khác, việc gửi chuyển tiếp hiệu quả tốt nhất sử dụng LSP công cộng đợc sử dụng.
Trật tự u tiên gửi chuyển tiếp nh sau:
1. Giải quyết dựa trên việc gửi chuyển tiếp
2. LSP cá nhân cấu hình tuỳ chọn
3. LSP công cộng hiệu quả cao.
11.1 LSP cá nhân
LSP này đợc cấu hình tuỳ chọn trong các cơ sở VPN. LSP này thờng kết hợp với việc dự
trữ trớc băng thông và với các dịch vụ khác nhau riêng biệt hoặc lớp QOS. Nếu LSP này
sẵn sàng, nó đợc sử dụng cho dữ liệu ngời sử dụng và cho việc gửi chuyển tiếp dữ liệu
điều khiển cá nhân VPN.
11.2 LSP công cộng hiệu quả cao
Các gói tin VPN đợc gửi chuyển tiếp sử dụng LSP này nếu LSP cá nhân với băng thông
xác định và các đặc tính QOS hoặc công đợc cấu hình hoặc hiện tại không sẵn sàng. LSP
đợc sử dụng là một LSP đợc tính trớc cho bộ định tuyến lối ra trong VPN0. VPNID trong
mào đầu chèn thêm đợc sử dụng để phân các gói dữ liệu từ các VPN khác nhau tại bộ
định tuyến lối ra.
12. Các dịch vụ khác nhau
Việc cấu hình các LSP cá nhân cho các VPN cho phép SP đa ra những dịch vụ khác nhau
dành cho các khác hàng. Những LSP cá nhân này có thể đợc kết hợp với bất cứ lớp QOS
L2 nào có sẵn hoặc với các điểm mã dịch vụ. Trong một VPN, nhiều LSP cá nhân với các
lớp dịch vụ khác nhau có thể đợc cấu hình với các thông tin luồng cho việc sắp xếp các
gói tin trong các LSP. Đặc tính này, cùng với khả năng thay đổi kích thớc các bộ định
tuyến ảo, cho phép SP cung cấp các dịch vụ hoàn toàn khác nhau tới các khách hàng
VPN.
13. Xem xét về vấn đề bảo mật
13.1 Bảo mật định tuyến
Sử dụng các giao thức định tuyến chuẩn nh OSPF và BGP theo hình thức không đổi của
chúng có nghĩa là tất cả các các phơng thức mã hoá và bảo mật (Nh xác nhận MD5 của
các bộ định tuyến lân cận) là hoàn toàn có sẵn trong các VR. Đảm bảo rằng các tuyến này
không bị rò rỉ thông tin từ một VPN tới các VPN khác là một vấn đề phải thi hành. Một

chuyển tiếp.
Xem xét tại mặt bằng định tuyến, hầu hết các giao thức định tuyến hiện đại sử dụng một
vài hình thức của phơng thức tính toán tối u để tính toán đờng đi ngắn nhất để tới đợc đích
cuối cùng. Ví dụ, OSPF và ISIS sử dụng thuật toán Djikstra trong khi BGP sử dụng
Decision Process. Những thuật toán này dựa trên việc phân tích cơ sở dữ liệu định tuyến
và tính toán đờng đi tốt nhất tới đích cuối cùng. Các đặc tính chất lợng của những thuật
toán này đợc dựa trên hoặc là đặc tính hình học topo (ISIS và OSPF) hoặc số AS trên đờng
đi tới đích (BGP). Nhng chú ý rằng mào đầu trong việc thiết lập và khởi tạo những tính
toán này là rất nhỏ cho hầu hết các bộ định tuyến ngày nay. Điều này bởi vì,mặc dầu
chúng ta đề cập tới đầu vào tính toán định tuyến là cơ sở dữ liệu, những cơ sở dữ liệu này
đợc nhớ trong các cấu trúc dữ liệu thờng trú.
Do đó, những kết luận sau có thể đợc đa ra:
1. Việc bắt đầu tính toán định tuyến cho một miền định tuyến không nhiều hơn việc thiết
lập những đăng ký để chỉ ra các đối tợng cơ sở dữ liệu đúng.
2. Dựa trên 1, chất lợng của một thuật toán đa ra hoàn toàn không tồi hơn nhờ mào đầu
đợc yêu cầu để thiết lập thuật toán đó.
3. Dựa trên 2, tiếp theo, khi một số các công việc tính toán định tuyến cho một số các bộ
định tuyến ảo phải đợc bộ định tuyến vật lý thi hành, sự phức tạp trong kết quả tính
toán định tuyến không nhiều hơn tổng các phức tạp của việc tính toán định tuyến của
các bộ định tuyến ảo riêng rẽ.
4. Dựa trên 3, tiếp theo liệu mô hình overlay đợc sử dụng hay một mô hình định tuyến ảo
đợc áp dụng, các đặc tính chất lợng của một bộ định tuyến hoàn toàn phụ thuộc vào
khả năng về phần cứng của nó và sự lựa chọn các cấu trúc dữ liệu và các thuật toán.
Để minh hoạ, đặt một bộ định tuyến vật lý trong N VPN, tất cả chạy cùng một giao thức
định tuyến gọi là RP. Cho rằng chất lợng trung bình trong thuật toán tính toán định tuyến
của RP là f(X,Y) ở đây x và y là các tham số quyết định chất lợng của thuật toán cho giao
thức định tuyến đó. Nh trong ví dụ, cho thuật toán Djikstra với giao thức OSPF, X có thể
là số nút trong vùng trong khi Y có thể là số liên kết. Chất lợng của một VPN n tuỳ ý là
f(Xn,Yn). Chất lợng của bộ định tuyến vật lý là tổng của f(Xi,Yi) cho các giá trị i chạy từ
0 tới N. Kết luận này độc lập với cách tiếp cận VPN lựa chọn (bộ định tuyến ảo hay mô