Tìm hiểu công nghệ chuyển mạch nhãn đa giao thức trong VPN

3.5.2 MPLS VPN

Trễ trong mạng được giữ ở mức thấp nhất vì các gói tin lưu chuyển trong mạng không phải thông qua các hoạt động như đóng gói và mã hóa. Sở dĩ không cần chức năng mã hóa là vì MPLS VPN tạo nên một mạng riêng. Phương pháp bảo mật này gần giống như bảo mật trong mạng Frame Relay. Ngoài ra, cơ chế chuyển mạch dựa vào thông tin nhãn giúp MPLS VPN cải thiện tốc độ chuyển mạch và cũng giảm độ trễ gói tin trong mạng so mới IPSec VPN.

Toàn bộ thông tin định tuyến giữa các chi nhánh của khách hàng được ISP quản lý trên các PE Router thông qua các bảng VRF. Đó là một trong những ưu điểm lớn nhất của MPLS VPN, không đòi hỏi các thiết bị CPE thông minh bởi vì toàn bộ các chức năng VPN được thực hiện ở phía trong mạng lõi của nhà cung cấp dịch vụ và hoàn toàn “trong suốt” đối với các CPE. Các CPE không đòi hỏi chức năng VPN và hỗ trợ IPSec. Điều này có nghĩa là khách hàng không phải chi phí quá cao cho các thiết bị CPE.

Tạo một mạng đầy đủ (full mesh) VPN, hay sâu hơn là khả khả năng mở rộng của mạng MPLS VPN hoàn toàn đơn giản vì các MPLS VPN không sử dụng cơ chế tạo đường hầm. Vì vậy, cấu hình mặc định cho các mạng MPLS VPN là full mesh, chỉ cần một kết nối duy nhất cho mỗi remote site. trong đó các site được nối trực tiếp với PE vì vậy các site bất kỳ có thể trao đổi thông tin với nhau trong VPN. Và thậm chí, nếu site trung tâm gặp trục trặc, các site khác vẫn có thể liên lạc với nhau.

Hoạt động khai thác và bảo dưỡng cũng đơn giản hơn trong mạng MPLS-VPN. Hoạt động này chỉ cần thực hiện tại các thiết bị bên trong mạng core mà không cần phải tiếp xúc đến các CPE. Một khi một site đã được cấu hình xong, ta không cần đụng chạm đến nó nữa cho dù nếu muốn thêm một site mới vào mạng vì những thay đổi về cấu hình lúc này chỉ cần thực hiện tại PE mà nó nối tới.

Vấn đề bảo mật thậm chí còn đơn giản hơn nhiều khi triển khai trong các mạng MPLS VPN vì một VPN hoàn toàn dựa trên mạng CORE của ISP khép kín bản thân nó đã đạt được sự an toàn thông tin do không có kết nối với mạng Internet công cộng. Nếu có nhu cầu truy nhập Internet, một tuyến sẽ được thiết lập để cung cấp khả năng truy nhập. Lúc này, một firewall sẽ được sử dụng trên tuyến này để đảm bảo một kết nối bảo mật cho toàn bộ mạng VPN. Cơ chế hoạt động này rõ ràng dễ dàng hơn nhiều cho hoạt động quản lý mạng vì chỉ cần duy trì các chính sách bảo mật cho một firewall duy nhất mà vẫn đảm bảo an toàn cho toàn bộ VPN.

Vậy, MPLS VPN chứng tỏ hoàn toàn các điểm nổi trội của mình so với IPSec

VPN.