1. Các phương thức để Router PE học các Router từ Router
CE Để cung cấp dịch vụ VPN, router PE cần được cấu hình để bất kì thông tin định tuyến nào được học từ interface khách hàng VPN có thể được liên kết với một VRF nào đó. Điều này có thể được thực hiện thông qua tiến trình giao thức định tuyến chuẩn, tiến trình này được gọi là routing context.
Mỗi VRF sử dụng một routing context riêng. Bất kì route nào được học dọc interface liên kết với một routing context nào đó sẽ được nhập vào bảng VRF tương ứng. Nhưng với những route không phải thuộc về routing context VRF nào sẽ được đặt vào bảng định tuyến global. Điều này cho phép sự cách ly thông tin định tuyến thành những context khác nhau ngay cả nếu thông tin đó được học bởi cùng một tiến trình giao thức định tuyến. Tạo ra các giao thức định tuyến thích hợp cho từng VPN (VPN-aware routing protocol) một cách hiệu quả.
Trong trường hợp thiết bị CE là host hoặc là switch, địa chỉ này thường được cấu hình trên router PE mà thiết bị đó kết nối vào. Nhưng trong trường hợp thiết bị CE là router, thì có nhiều cách để router PE có thể học được các địa chỉ từ router CE. Router PE chuyển những địa chỉ này thành địa chỉ VPNv4 bằng cách sử dụng RD.
Các route VPNv4 phải được quảng bá dọc phiên MP-BGP đến router PE khác. Điều này xảy ra khi routing context phải được cấu hình trong tiến trình BGP để thông báo cho BGP biết route VRF nào quảng bá. Kết nối trên CE và PE có thể thực hiện thông qua định tuyến tĩnh hoặc định tuyến động (OSPF, EBGP, RIPv2, EIGRP) để router PE có thể học được các route của khách hàng và đặt vào bảng VRF tương ứng. Mỗi routing context của khách hàng nào đó có thể chạy những giao thức định tuyến khác nhau.
2. Bảo mật trong MPLS - VPN
Bảo mật đóng vai trò rất quan trọng đối với tất cả các giải pháp mạng VPN. Cần phải đáp ứng được 3 yêu cầu cơ bản sau:
Thứ 1: phải đảm bảo tính riêng biệt về thông tin định tuyến của mỗi VPN nghĩ là việc cấp địa chỉ của mỗi VPN là hoàn toàn độc lập nhau.
Thứ 2: phải đảm bảo được cấu trúc mạng lõi hoàn toàn trong suốt với khách hàng sử dụng dịch vụ.
Thứ 3: đảm bảo việc không làm giả nhãn và chống lại tấn công từ chối dịch vụ và tấn công truy cập dịch vụ.
Việc định tuyến trong mạng của nhà cung cấp dịch vụ VPN được thực hiện trên chuyển mạch nhãn chứ không phải dựa trên địa chỉ IP truyền thống. Hơn nữa, mỗi LSP tương ứng với một tuyến VPN-IP được bắt đầu và kết thúc tại các bộ định tuyến PE chứ không bắt đầu và kết thúc ở một điểm trung gian nào trong mạng của nhà cung cấp. Do đó mạng lõi bên trong hoàn toàn trong suốt đối với khác hàng.
Mỗi bộ định tuyến PE duy trì một bảng VRF riêng cho từng VPN, và VRF này chỉ phổ biến các tuyến thuộc về VPN đó. Nhờ vậy đảm bảo được sự cách ly thông tin định tuyến giữa các VPN với nhau. Việc trao đổi thông tin định tuyến giữa các bộ định tuyến PE và CE sẽ là điểm yếu trong mạng MPLS-VPN, nhưng trên bộ định tuyến PE có thể dùng ACL và các phương pháp xác thực của giao thức định tuyến dùng trên kết nối đó sẽ đảm bảo được vấn đề bảo mật.
Việc làm giả nhãn cũng khó có thể xảy ra vì bộ định tuyến PE chỉ chấp nhận những gói tin từ bộ định tuyến CE gửi đến không có nhãn. Nếu gói tin là có nhãn thì nhãn đó do PE kiểm soát và quản lý. Từ những vấn đề nêu trên, có thể thấy việc bảo mật trong MPLS-VPN được bảo đảm ở mức độ rất cao và hoàn toàn có thể so sánh ngang bằng với việc bảo mật trong các giải pháp dựa trên ATM hay Frame Relay.
3. Chất lượng dịch vụ (Qos – Quality of Service) trong MPLS-VPN
QoS luôn là một vấn đề được quan tâm hàng đầu đối với nhà khai thác và quản trị mạng. Các cơ chế QoS được sử dụng phải đủ mềm dẻo để đáp ứng những yêu cầu khác nhau của khách hàng VPN. QoS được kích hoạt trên tất cả các thiết bị Router, Gateway, Switch trên toàn mạng để đảm bảo QoS từ đầu cuối đến đầu cuối (end-to-end).
Lê Sơn Hà – VnPro