1. Từ viết tắt
2. Giới thiệu
Bản ghi nhớ này mô tả cách tiếp cận cho việc xây dựng các dịch vụ IP VPN ngoài mạng
xơng sống của nhà cung cấp dịch vụ. Phổ biến có hai cách tiếp cận: mô hình overlay và
cách tiếp cận bộ định tuyến ảo. Mô hình overlay dựa trên việc tải một vài các giao thức
định tuyến hiện thời để mang thông tin. Trong tài liệu này, chúng tôi tập trung vào dịch
vụ bộ định tuyến ảo.
Cách tiếp cận đợc đa ra ở đây không phụ thuộc vào bất cứ sự thay đổi nào trong bất cứ
giao thức định tuyến nào. Những phát kiến liên quan đợc nhắm tới trong quá trình sử
dụng mạng LAN và đạt đợc nhờ sử dụn ARP. Bản ghi nhớ này cố gắng phân biệt giữa SP
và PNA: SP thì sở hữu và quản lý các dịch vụ lớp 1 và 2 trong khi các dịch vụ lớp 3 thì
chịu sự quản lý của PNA. Bằng việc cung cấp các miền định tuyến độc lập logic, PNA
mang lại khả năng mềm dẻo trong việc sử dụng địa chỉ cá nhân và cha đợc đăng ký. Để sử
dụng các LSP cá nhân và sử dụng tóm lợc VPNID sử dụng các tập nhãn qua các LSP dùng
chung, bảo mật dữ liệu không còn là vấn đề.
Cách tiếp cận trong bản ghi nhớ này khác với đợc mô tả trong RFC 2547, trong đó không
có một giao thức định tuyến cụ thể nào đợc tải để mang các tuyến VPN. RFC2547 xác
định một cách để thay đổi BGP để mang các tuyến unicast VPN qua mạng xơng sống SP.
Để mang các tuyến multicast, cần có các công việc kiến trúc sâu hơn.
3. Các bộ định tuyến ảo ảo
Một bộ định tuyến ảo là một tập các thread, cả tĩnh và động, trong thiết bị định tuyến, nó
cung cấp các dịch vụ định tuyến và gửi chuyển tiếp giống các bộ định tuyến vật lý. Một
bộ định tuyến ảo không nhất thiết là một tiến trình hệ thống vận hành riêng rẽ (mặc dầu
nó có thể là nh vậy); nó chỉ đơn giản là cung cấp ảo giác mà một bộ định tuyến dành
riêng sẵn sàng thoả mãn những nhu cầu của mạng mà nó kết nối vào. Một bộ định tuyến
ảo, giống nh bản sao vật lý của nó, là một thành phần trong một miền định tuyến. Các bộ
định tuyến khác trong miền này có thể là các bộ định tuyến vật lý hay ảo. Cho rằng bộ
định tuyến ảo kết nối vào một miền định tuyến xác định và bộ định tuyến vật lý có thể hỗ
trợ nhiều bộ định tuyến ảo, nó xảy ra hiện tợng một bộ định tuyến vật lý hỗ trợ nhiều
miền định tuyến.
Từ quan điểm của khách hàng VPN, đòi hỏi một bộ định tuyến ảo phải tơng đơng với một

bộ định tuyến vật lý. Nói cách khác, với rất ít ngoại lệ và những thứ thứ yếu, bộ định
tuyến ảo nên thiết kế cho nhiều mục đích (cấu hình, quản lý, giám sát, xử lý sự cố) giống
nh các bộ định tuyến vật lý. Động cơ chính đằng sau những đòi hỏi này là để tránh việc
nâng cấp hoặc cấu hình lại những cơ sở đã đợc cài đặt của các bộ định tuyến và để tránh
phải đào tạo lại các nhà quản lý mạng.
Các khía cạnh của bộ định tuyến mà một bộ định tuyến ảo cần có là:
- Cấu hình bất cứ sự kết hợp của các giao thức định tuyến.
- Giám sát mạng
- Xử lý sự cố
Tất cả các VPN đều có miền định tuyến độc lập logic. Điều này tăng cờng khả năng của
SP để cung cấp dịch vụ bộ định tuyến ảo hoàn toàn mềm dẻo mà nó có thể phục vụ các
khách hàng của SP mà không cần đòi hỏi các bộ định tuyến vật lý cho VPN. Điều này có
nghĩa là các đầu t vào phần cứng của SP, đó là bộ định tuyến, các liên kết giữa chúng có
thể đợc các khách hàng sử dụng lại.
4. Các mục tiêu
1. Cấu hình của các điểm cuối VPN đơn giản, có khả năng mở rộng trong mạng cung cấp
dịch vụ. Tối đa, một bộ phận cấu hình là cần thiết khi một CE đợc thêm vào.
2. Không sử dụng các tài nguyên của SP điều này hoàn toàn là duy nhất và khó có thể
thu đợc các địa chỉ và mạng con IP.
3. Các phát hiện động của VR trong đám mây SP. Điều này là tuỳ chọn, nhng là mục
tiêu cực kỳ giá trị.
4. Các bộ định tuyến ảo nên đợc cấu hình đầy đủ và có khả năng giám sát bởi các nhà
quản trị mạng VPN. Điều này mang lại cho PAN khả năng mềm dẻo trong cả việc cấu
hình VPN và nhiệm vụ cấu hình tài nguyên bên ngoài cho SP.
5. Chất lợng của dữ liệu gửi đi nên đợc cấu hình trong các cơ sở VPN-by-VPN. Nó đợc
biên dịch sang GoS liên tục (hoặc rời rạc). Một vài ví dụ bao gồm sự cố gắng, băng
thông riêng, QOS, và cách chính sách dựa trên các dịch vụ gửi chuyển tiếp.
6. Các dịch vụ khác nhau nên đợc cấu hình trong các cơ sở VPN-by-VPN, có lẽ dựa trên
các LSP thiết lập cho mục đích gửi chuyển tiếp dữ liệu trong VPN.
7. Bảo mật của các bộ định tuyến internet đợc mở rộng cho các bộ định tuyến ảo. Điều

này có nghĩa là các chức năng định tuyến và gửi chuyển tiếp dữ liệu của bộ định tuyến
ảo đợc bảo mật nh bộ định tuyến vật lý. ở đây có không có hiện tờng lộ thông tin từ
một miền định tuyến sang miền khác.
8. Các giao thức định tuyến xác định không nên đợc áp dụng giữa các bộ định tuyến ảo.
Điều này khó đảm bảo các khách hàng VPN có thể thiết lập mạng và các chính sách
khi các khách hàng thấy thích hợp. Ví dụ, một vài giao thức mạnh trong công việc lọc,
trong khi đó các loại khác lại mạnh trong việc xử lý lu lợng. Các khách hàng VPN có
thể muốn khai thác cả hai để thu đợc chất lợng mạng tốt nhất.
9. Không có những mở rộng đặt biệt với các giao thức định tuyến nh BGP, RIP, OSPF,
ISIS v.v Khó có thể cho phép những bổ xung cho các dịch vụ hiện có khác trong t -
ơng lai nh NHRP và multicast. Thêm vào đó, sự tiến bộ và các phần bổ xung cho các
giao thức hiện có (nh những mỏ rộng về xử lý lu lợng cho ISIS và OSPF), chúng có thể
dễ dàng kết hợp vào một VPN implementation.
5. Những yêu cầu về kiến trúc
Mạng cung cấp dịch vụ phải chạy một vài mô hình định tuyến multicast cho tất cả các nút
sẽ có các kết nối VPN và cho các nút phải gửi chuyển tiếp các gói tin multicast cho việc
phát hiện bộ định tuyến ảo. Một giao thức định tuyến multicast cụ thể không đợc uỷ thác.
Một SP có thể chạy MOSPF hoặc DVMRP hoặc các giao thức định tuyến khác.
6. Phác thảo về kiến trúc
1. Tất cả ccs VPN đợc ấn định một VPNID nó là duy nhất trong mạng SP. Nhận dạng
này xác định chính xác một VPN mà với nó một gói tin hoặc một kết nối đợc kết hợp.
VPNID giá trị 0 đợc dự trữ; nó liên kết và đại diện cho mạng internet công cộng. Điều
này đã đợc giới thiệu, nhng không yêu cầu các nhận dạng VPN này sẽ tuân theo
RFC2685.
2. Dịch vụ VPN đợc đa ra theo dạng dịch vụ bộ định tuyến ảo. Những VR đặt tại SPED
và đợc hạn chế tới biên của đám mây SP. Các VR sẽ sử dụng mạng SP cho dữ liệu và
điều khiển gửi chuyển tiếp gói tin nhng mặt khác nó là vô hình phía ngoài các SPED.
3. Kích thớc củ VR giao ớc với VPN trong một SPED cho trớc đợc biểu diễn bằng số l-
ợng tài nguyên IP nh các giao diện định tuyến, các bộ lọc tuyến, các lối vào định
tuyến v.v.. Điều này hoàn toàn nằm dới sự điều khiển của SP và cung cấp granularity

mà SP yêu cầu để cung cấp các lớp dịch vụ VR khởi đầu trong một mức SPED. (ví dụ:
một SPED có thể là điểm tổng hợp cho một VPN và số các SPED khác cóthể là điểm
truy cập) Trong trờng hợp này, SPED kết nối với sở chỉ huy có thể đợc giao kèo để
cung cấp một VR lớn trong khi SPED kết nối với các đơn vị nhánh có thể nhỏ. Sự
cung cấp này cũng cho phép SP thiết kế mạng với mục tiêu cuối cùng là phân phối tải
giữa các bộ định tuyến trong mạng.
4. Một dấu hiệu chỉ thị cho kích thớc của VPN là số SPED trong mạng SP có kết nối tới
các bộ định tuyến CPE trong VPN đó. Về khía cạnh này, một VPN với rất nhiều các vị
trí cần đợc kết nối là một VPN lớn trong khi một VPN với một vài vị trí là VPN nhỏ.
Cũng vậy, có thể hiểu đợc rằng VPN phát triển hay thu hẹp lại về kích thớc theo thời
gian. Các VPN thậm chí có thể hợp nhất để kết hợp các nhà liên kết, khả năng lĩnh hội
và các thoả thuận hợp tác. Những thay đổi này rất phù hợp trong kiến trúc này, khi các
tài nguyên IP duy nhất không đợc ấn định cho các VPN. Số SPED không đợc giới hạn
bởi bất cứ những giới hạn về cấu hình giả tạo nào.
5. SP sở hữu và quản lý các thực thể lớp 1 và lớp 2. Một cách chi tiết, SP điều khiểncác
tổng đài chuyển mạch và các bộ định tuyến vật lý, các đờng liên kết vật lý, các kết nối
logic lớp 2 (nh DLCI trong FrameRelay và VPI/VCI trong ATM) và LSP (và cả ấn
định của chúng cho các VPN cụ thể). Trong phạm vi của VPN, SP có trách nhiệ, kết
hợp và ấn định các thực thể lớp 2 cho các VPN cụ thể.
6. Các thực thể lớp 3 thuộc quyền quản lý của PNA. Các ví dụ về thực thể lớp 3 bao gồm
các giao diện IP, sự lựa chọn các giao thức định tuyến động hoặc các tuyến tính, và
các giao diện định tuyến. Chú ý rằng mặc dù cấu hình lớp 3 về mặt logic là đặt dới
trách nhiệm của PNA, nhng không nhất thiết PNA phải thi hành nó. Điều này có thể
thực hiện đợc cho PNA để outsource quản lý IP của các bộ định tuyến ảo tới các nhà
cung cấp dịch vụ. Không chú ý tới ai chịu trách nhiệm cho việc cấu hình và giám sát,
cách tiếp cận này cung cấp cái nhìn đầy đủ về miền định tuyến cho PNA và cho phép
PNA thiết kế mạng để đạt đợc mục tiêu về intranet, extranet và xử lý lu lợng.
7. VPN có thể đợc quản lý nh các bộ định tuyến vật lý hơn là các bộ định tuyến ảo đợc
triển khai. Do đó, việc quản lý có thể đợc thi hành sử dụng SNMP hoặc các phơng
thức tơng tự khác hoặc trực tiếp tại VR console (VRC)

8. Các công cụ xử lý lỗi chuẩn công nghiệp nh ping, traceroute trong miền định tuyến
bao gồm các bộ định tuyến vật lý dành riêng. Do đó, việc giám sát và xử lý lỗi có thể
đợc thi hành sử dụng SNMP hoặc các phơng thức tơng tự, nhng có thể bao gồm việc sử
dụng các công cụ chuẩn này. Một lần nữa, VRC có thể đợc sử dụng cho mục đích này
giống nh bất cứ bộ định tuyến vật lý nào.
9. Từ khi VCR là hữu hình với ngời sử dụng, việc kiểm tra bảo mật bộ định tuyến cần
phải đợc đặt đúng vị trí để đảm bảo ngời sử dụng VPN đợc cho phép truy cập vào các
tài nguyên lớp 3 chỉ trong VPN đó và không đợc phép truy cập vào các tài nguyên vật
lý trong bộ định tuyến. Hầu hết các bộ định tuyến đạt đợc điều này thông qua việc sử
dụng các quan điểm về cơ sở dữ liệu.
10. VCR cũng luôn sẵn sàng với SP. Nếu cấu hình và giám sát bị outsourced tới SP, SP có
thể sử dụng VRC để thực hiện các nhiệm vụ này nếu nó là PNA.
11. Các VR trong SPED hình thành SPN trong mạng SP. Đồng thời chúng đại diện cho
miền định tuyến ảo. Chúng phát hiện các VR khác một cách tự động băng cách sử
dụng LAN trong mạng SP.
Mỗi VPN trong mạng SP đợc ấn định một và chỉ một địa chỉ multicast. Địa chỉ này đợc
lựa chọn từ phạm vi áp dụng quản lý và yêu cầu duy nhất là địa chỉ multicast co thể đợc
xắp xếp đơn nhất vào một VPN cụ thể. Điều này có thể thực hiện tự động một cách dễ
dàng trong các bộ định tuyến nhờ việc sử dụng các chức năng đơn giản để xắp xếp chính
xác một VPNID cho một địa chỉ multicast. Địa chỉ multicast này cho phép một VR có thể
nhận biết các VR khác và đợc các VR khác nhận biết. Chú ý rằng địa chỉ multicast không
nhất thiết phải đợc cấu hình.
12. Việc gửi chuyển tiếp dữ liệu có thể đợc thực hiện theo một trong các cách sau:
Một LSP với các đặc tính hiệu quả nhẫn mà tất cả các VPN có thể sử dụng
Một LSP dành riêng cho một VPN và lu lợng đợc xử lý nhờ các khách hàng VPN.
Một LSP cá nhân với các đặc tính khác nhau.
Chính sách dựa trên việc gửi chuyển tiếp trên kênh ảo L2 dành riêng.
Lựa chọn phơng pháp tốt hơn có thể đợc dàn xếp giữa SP và khách hàng VPN, có thể là
một phần của SLA giữa chúng. Điều này cho phép SP đa ra các mức dịch vụ khác nhau
cho các khách hàng VPN khác nhau.

Tất nhiên, việc gửi chuyển tiếp hop-by-hop cũng sẵn sàng để gửi các gói tin định tuyến và
để gửi chuyển tiếp các gói tin dữ liệu ngời sử dụng trong các quá trình LSP thiết lập và
hỏng.
13. Phơng pháp tiếp cận này không uỷ thác các nhiệm vụ hệ thống vận hành riêng rẽ cho
mỗi giao thức định tuyến nào đợc chạy cho môĩ VR và SPED c trú. Các quá trình thực
hiện cụ thể có thể đáp ứng nhu cầu của SPED cụ thể đang đợc sử dụng. Bảo dỡng các
cơ sở dữ liệu định tuyến và các bảng gửi chuyển tiếp, mỗi một cơ sở dữ liệu và bảng
cho một VR, là một cách để thu đợc chất lợng tốt nhất cho SPED cho trớc.
7. Cấu hình mở rộng
Một VPN điển hình phải có hàng trăm tới hàng nghìn điểm cuối trong một đáp mây SP.
Do đó, cấu hình nên mở rộng một cách tuyến tính về số lợng các điểm cuối. Một cách cụ
thể, nhà quản trị mạng phải thêm một cặp các mục cấu hình khi một khách hàng mới gia
nhập vào tập các VR cấu hình nên VPN. Bất cứ thứ gì kém hơn sẽ làm cho nhiệm vụ này
trở nên khó khăn đối với nhà cung cấp dịch vụ. Trong kiến trúc này, tất cả những thứ mà
các nhà cung cấp dịch vụ cần phải cấp phát và cấu hình là các đờng liên kết vật lý vào/ra
(ví dụ nh Frame Relay DLCI hoặc ATM VPI/VCI) và các kết nối ảo giữa VR và mạng
LAN.
8. Phơng pháp nhận biết các bộ định tuyến lân cận động.
Các VR trong một VPN cho trớc thuộc về một số SPED trong mạng. Những VR này cần
phải nhận biết về mỗi VR khác và phải đợc kết nối với các VR khác.
Một cách để thực hiện điều này là yêu cầu cấu hình của các VR lân cận. Ví dụ, khi một
vùng mới đợc thêm vào VPN, điều này đòi hỏi cấu hình của tất cả các VR khác nh là các
VR lân cận. Điều này rõ ràng là không thể mở rộng trên quan điểm tài nguyên mạng và
cấu hình.
Nhu cầu tăng lên để cho phép những VR này nhận biết động mỗi VR khác. Phơng pháp
nhận biết các bộ định tuyến lân cận đợc làm cho thuận tiện bằng việc cung cấp cho mỗi
VPN một mạng LAN mô phỏng giới hạn. Mạng LAN mô phỏng này đợc sử dụng theo vài
cách:
1. Giải quyết địa chỉ sử dụng mạng LAN này để quyết định các địa chỉ IP hop kế tiếp
liên kết với các VR khác.

2. Các giao thức định tuyến nh RIP và OSPF sử dụng mạng LAN mô phỏng giới hạn cho
việc nhận biết các VR lân cận và để gửi các cập nhật định tuyến.