Đồ Án Xây dựng các dịch vụ IP VPN ngoài mạng xương sống của nhà cung cấp dịch vụ

1. Giới thiệu
Bản ghi nhớ này mô tả cách tiếp cận cho việc xây dựng các dịch vụ IP VPN ngoài mạng xương sống của nhà cung cấp dịch vụ. Phổ biến có hai cách tiếp cận: mô hình overlay và cách tiếp cận bộ định tuyến ảo. Mô hình overlay dựa trên việc tải một vài các giao thức định tuyến hiện thời để mang thông tin. Trong tài liệu này, chúng tôi tập trung vào dịch vụ bộ định tuyến ảo.
Cách tiếp cận được đưa ra ở đây không phụ thuộc vào bất cứ sự thay đổi nào trong bất cứ giao thức định tuyến nào. Những phát kiến liên quan được nhắm tới trong quá trình sử dụng mạng LAN và đạt được nhờ sử dụn ARP. Bản ghi nhớ này cố gắng phân biệt giữa SP và PNA: SP thì sở hữu và quản lý các dịch vụ lớp 1 và 2 trong khi các dịch vụ lớp 3 thì chịu sự quản lý của PNA. Bằng việc cung cấp các miền định tuyến độc lập logic, PNA mang lại khả năng mềm dẻo trong việc sử dụng địa chỉ cá nhân và chưa được đăng ký. Để sử dụng các LSP cá nhân và sử dụng tóm lược VPNID sử dụng các tập nhãn qua các LSP dùng chung, bảo mật dữ liệu không còn là vấn đề.
Cách tiếp cận trong bản ghi nhớ này khác với được mô tả trong RFC 2547, trong đó không có một giao thức định tuyến cụ thể nào được tải để mang các tuyến VPN. RFC2547 xác định một cách để thay đổi BGP để mang các tuyến unicast VPN qua mạng xương sống SP. Để mang các tuyến multicast, cần có các công việc kiến trúc sâu hơn.
2. Các bộ định tuyến ảo ảo
Một bộ định tuyến ảo là một tập các thread, cả tĩnh và động, trong thiết bị định tuyến, nó cung cấp các dịch vụ định tuyến và gửi chuyển tiếp giống các bộ định tuyến vật lý. Một bộ định tuyến ảo không nhất thiết là một tiến trình hệ thống vận hành riêng rẽ (mặc dầu nó có thể là như vậy); nó chỉ đơn giản là cung cấp ảo giác mà một bộ định tuyến dành riêng sẵn sàng thoả mãn những nhu cầu của mạng mà nó kết nối vào. Một bộ định tuyến ảo, giống như bản sao vật lý của nó, là một thành phần trong một miền định tuyến. Các bộ định tuyến khác trong miền này có thể là các bộ định tuyến vật lý hay ảo. Cho rằng bộ định tuyến ảo kết nối vào một miền định tuyến xác định và bộ định tuyến vật lý có thể hỗ trợ nhiều bộ định tuyến ảo, nó xảy ra hiện tượng một bộ định tuyến vật lý hỗ trợ nhiều miền định tuyến.
Từ quan điểm của khách hàng VPN, đòi hỏi một bộ định tuyến ảo phải tương đương với một bộ định tuyến vật lý. Nói cách khác, với rất ít ngoại lệ và những thứ thứ yếu, bộ định tuyến ảo nên thiết kế cho nhiều mục đích (cấu hình, quản lý, giám sát, xử lý sự cố) giống như các bộ định tuyến vật lý. Động cơ chính đằng sau những đòi hỏi này là để tránh việc nâng cấp hoặc cấu hình lại những cơ sở đã được cài đặt của các bộ định tuyến và để tránh phải đào tạo lại các nhà quản lý mạng.
Các khía cạnh của bộ định tuyến mà một bộ định tuyến ảo cần có là:
- Cấu hình bất cứ sự kết hợp của các giao thức định tuyến.
- Giám sát mạng
- Xử lý sự cố
Tất cả các VPN đều có miền định tuyến độc lập logic. Điều này tăng cường khả năng của SP để cung cấp dịch vụ bộ định tuyến ảo hoàn toàn mềm dẻo mà nó có thể phục vụ các khách hàng của SP mà không cần đòi hỏi các bộ định tuyến vật lý cho VPN. Điều này có nghĩa là các đầu tư vào phần cứng của SP, đó là bộ định tuyến, các liên kết giữa chúng có thể được các khách hàng sử dụng lại.
3. Các mục tiêu
1. Cấu hình của các điểm cuối VPN đơn giản, có khả năng mở rộng trong mạng cung cấp dịch vụ. Tối đa, một bộ phận cấu hình là cần thiết khi một CE được thêm vào.
2. Không sử dụng các tài nguyên của SP điều này hoàn toàn là duy nhất và khó có thể thu được các địa chỉ và mạng con IP.
3. Các phát hiện động của VR trong đám mây SP. Điều này là tuỳ chọn, nhưng là mục tiêu cực kỳ giá trị.
4. Các bộ định tuyến ảo nên được cấu hình đầy đủ và có khả năng giám sát bởi các nhà quản trị mạng VPN. Điều này mang lại cho PAN khả năng mềm dẻo trong cả việc cấu hình VPN và nhiệm vụ cấu hình tài nguyên bên ngoài cho SP.
5. Chất lượng của dữ liệu gửi đi nên được cấu hình trong các cơ sở VPN-by-VPN. Nó được biên dịch sang GoS liên tục (hoặc rời rạc). Một vài ví dụ bao gồm sự cố gắng, băng thông riêng, QOS, và cách chính sách dựa trên các dịch vụ gửi chuyển tiếp.
6. Các dịch vụ khác nhau nên được cấu hình trong các cơ sở VPN-by-VPN, có lẽ dựa trên các LSP thiết lập cho mục đích gửi chuyển tiếp dữ liệu trong VPN.
7. Bảo mật của các bộ định tuyến internet được mở rộng cho các bộ định tuyến ảo. Điều này có nghĩa là các chức năng định tuyến và gửi chuyển tiếp dữ liệu của bộ định tuyến ảo được bảo mật như bộ định tuyến vật lý. ở đây có không có hiện tường lộ thông tin từ một miền định tuyến sang miền khác.
8. Các giao thức định tuyến xác định không nên được áp dụng giữa các bộ định tuyến ảo. Điều này khó đảm bảo các khách hàng VPN có thể thiết lập mạng và các chính sách khi các khách hàng thấy thích hợp. Ví dụ, một vài giao thức mạnh trong công việc lọc, trong khi đó các loại khác lại mạnh trong việc xử lý lưu lượng. Các khách hàng VPN có thể muốn khai thác cả hai để thu được chất lượng mạng tốt nhất.
9. Không có những mở rộng đặt biệt với các giao thức định tuyến như BGP, RIP, OSPF, ISIS v.v Khó có thể cho phép những bổ xung cho các dịch vụ hiện có khác trong tương lai như NHRP và multicast. Thêm vào đó, sự tiến bộ và các phần bổ xung cho các giao thức hiện có (như những mỏ rộng về xử lý lưu lượng cho ISIS và OSPF), chúng có thể dễ dàng kết hợp vào một VPN implementation.
4. Những yêu cầu về kiến trúc
Mạng cung cấp dịch vụ phải chạy một vài mô hình định tuyến multicast cho tất cả các nút sẽ có các kết nối VPN và cho các nút phải gửi chuyển tiếp các gói tin multicast cho việc phát hiện bộ định tuyến ảo. Một giao thức định tuyến multicast cụ thể không được uỷ thác. Một SP có thể chạy MOSPF hoặc DVMRP hoặc các giao thức định tuyến khác.