Tweet
Tổng quan MPLS VPN.
2.1.1. Tổng quan về mạng riêng ảo VPN.
2.1.1.a. Giới thiệu.
Mạng riêng ảo VPN (Virtual Private Network) là thuật ngữ đƣợc các nhà cung cấp dịch vụ và các Carrier sử dụng. Nhƣ đúng tên gọi của nó, VPN là một mạng riêng của
khách hàng dựa trên cơ sở hạ tầng mạng công cộng dùng chung. Chúng có thể được tạo ra bằng cách sử dụng phần mềm, phần cứng hay kết hợp cả hai phần đó để tạo ra một kết nối bảo mật giữa hai mạng riêng (private network) đi qua mạng công cộng.Mạng riêng ảo VPN bao gồm hai phần, mạng của nhà cung cấp dịch vụ và mạng của khách hàng. Mạng của nhà cung cấp chạy dọc cơ sở hạ tầng Internet công cộng, bao gồm các router cung cấp dịch vụ VPN cho mạng khách hàng cũng nhƣ các router cung cấp dịch vụ khác.
2.1.1.b. Phân loại VPN.
Khái niệm VPN ra đời từ rất sớm, khi mà các công nghệ truyền thông nhƣ X.25, Frame Relay đƣợc giới thiệu. VPN có thể là mạng riêng ảo giữa hai đầu cuối hệ thống,
hai giữa hai hoặc nhiều mạng riêng. Nó có thể đƣợc xây dựng bằng cách sử dụng đường hầm.Do đó, có thể chia VPN ra thành hai loại chính đó là:
- Customer-based VPN (còn gọi là overlay VPN): là VPN đƣợc cấu hình trên các thiết bị của khách hàng sử dụng các giao thức đƣờng hầm xuyên qua mạng công
cộng. Nhà cung cấp dịch vụ sẽ bán các mạch ảo giữa các site của khách hàng nhƣ là đƣờng kết nối leased line. Network-based VPN (còn gọi là VPN ngang cấp): là VPN được cấu hình trêncác thiết bị của nhà cung cấp dịch vụ và đƣợc quản lý bởi nhà cung cấp dịch vụ.
Nhà cung cấp dịch vụ và khách hàng trao đổi thông tin định tuyến lớp 3, nhà cung cấp sắp đặt dữ liệu các site khách hàng vào đƣờng đi tối ƣu nhất mà không
cần có sự tham gia của khách hàng.
- Overlay VPN .
Mô hình overlay VPN ra đời từ rất sớm và được triển khai dƣới nhiều công nghệ khác nhau. Ban đầu, VPN đƣợc xây dựng bằng cách sử dụng các đƣờng leased line để
cung cấp kết nối giữa khách hàng ở nhiều vị trí khác nhau. Khách hàng mua dịch vụ leased line của nhà cung cấp. Đƣờng leased line này đƣợc thiết lập giữa các site của khách hàng cần kết nối. Đƣờng này là đƣờng dành riêng cho khách hàng.
Cho đến những năm 1990, Frame Relay được giới thiệu. Frame Relay đƣợc xem như là một công nghệ VPN vì nó đáp ứng kết nối cho khách hàng nhƣ dịch vụ leased
line, chỉ khác ở chỗ là khách hàng không đƣợc cung cấp các đƣờng dành riêng cho mỗi khách hàng, mà khách hàng sử dụng một đƣờng chung nhƣng đƣợc chỉ định các mạch ảo. Các mạch ảo này sẽ đảm bảo lưu lượng cho mỗi khách hàng là riêng biệt. Mạch ảo được gọi là PVC (Permanent Virtual Circuit) hay SVC (Switched Virtual Circuit).
Sau này công nghệ ATM ra đời, về cơ bản ATM cũng hoạt động giống như Frame Relay nhƣng đáp ứng tốc độ truyền dẫn cao hơn. Khách hàng thiết lập việc liên lạc giữa các thiết bị đầu phía khách hàng CPE với nhau qua kênh ảo. Giao thức định tuyến chạy trực tiếp giữa các router khách hàng thiết lập mối quan hệ cận kề và trao đổi thông tin định tuyến với nhau. Nhà cung cấp dịch vụ không hề biết đến thông tin định tuyến của khách hàng. Nhiệm vụ của nhà cung cấp dịch vụ trong mô hình này chỉ là đảm bảo vận chuyển dữ liệu điểm-điểm giữa các site của khách hàng mà thôi.
Overlay VPN còn đƣợc triển khai dƣới dạng đƣờng hầm (tunneling). Việc triển khai thành công các công nghệ gắn với IP nên một vài nhà cung cấp dịch vụ bắt đầu
triển khai VPN qua IP. Nếu khách hàng nào muốn xây dựng mạng riêng của họ qua Internet thì có thể dùng giải pháp này vì chi phí thấp. Bên cạnh lý do kinh tế, mô hình
tunneling còn đáp ứng cho khách hàng việc bảo mật dữ liệu.
Hai công nghệ VPN đường hầm phổ biến là IPSec (IP security) và GRE (Generic Route Encapsulation).
Các cam kết về QoS trong mô hình overlay VPN thường là cam kết về băng thông trên một VC, giá trị này đƣợc gọi là CIR (Committed Information Rate). Băng thông có thể sử dụng đƣợc tối đa trên một kênh ảo đó, giá trị này đƣợc gọi là PIR (Peak Information Rate). Việc cam kết này đƣợc thực hiện thông qua các thống kê tự nhiên của dịch vụ lớp 2 nhƣng lại phụ thuộc vào chiến lƣợc của nhà cung cấp. Điều này có nghĩa là tốc độ cam kết không thật sự đƣợc bảo đảm mặc dù nhà cung cấp có thể đảm bảo tốc độ nhỏ nhất (MIR - Minimum Information Rate). Cam kết về băng thông cũng chỉ là cam kết về hai điểm trong mạng khách hàng. Nếu không có ma trận lƣu lƣợng đầy đủ cho tất cả các lớp lƣu lƣợng thì thật khó có thể thực hiện cam kết này cho khách hàng trong mô hình overlay. Và thật khó để cung cấp nhiều lớp dịch vụ vì nhà cung cấp dịch vụ không thể phân biệt đƣợc lƣu lượng ở giữa mạng. Để làm được việc này bằng cách tạo ra nhiều kết nối (kết nối full-mesh), như trong mạng Frame Relayhay ATM là có các PVC giữa các site khách hàng. Tuy nhiên, kết nối full-mesh thì chỉlàm tăng thêm chi phí của mạng.
Mô hình VPN overlay có một số ưu điểm sau:
-Đó là mô hình dễ thực hiện, nhìn theo quan điểm của khách hàng và của cả nhà cung cấp dịch vụ. Nhà cung cấp dịch vụ không tham gia vào định tuyến khách hàng trong mạng
-VPN overlay. Nhiệm vụ của họ là vận chuyển dữ liệu điểm-điểm giữa các site của khách hàng, việc đánh dấu điểm tham chiếu giữa nhà cung cấp dịch vụ và
khách hàng sẽ quản lý dễ dàng hơn.
Hạn chế của mô hình overlay VPN:
-Nó thích hợp trong các mạng không cần độ dự phòng với ít site trung tâm và nhiều site ở đầu xa, nhƣng lại khó quản lý nếu nhƣ cần nhiều cầu hình mắc lƣới.
-Việc cung cấp càng nhiều VC đòi hỏi phải có sự hiểu biết cặn kẽ về loại lưu lượng giữa hai site với nhau mà điều này thƣờng không thật sự thích hợp.
-Khi thực hiện mô hình này với các công nghệ lớp 2 thì chỉ tạo ra một lớp mớikhông cần thiết đối với các nhà cung cấp hầu hết chỉ dựa trên IP, do đó làm
tăng thêm chi phí hoạt động.
Mô hình VPN ngang cấp (peer-to-peer VPN).
Để giải quyết các hạn chế của mô hình VPN overlay và để cho nhà cung cấp dịch vụ cung cấp cho khách hàng việc vận chuyển dữ liệu tối ƣu qua mạng backbone, mô
hình VPN ngang cấp ra đời. Với mô hình này nhà cung cấp dịch vụ tham gia vào hoạt động định tuyến của khách hàng. Tức là router biên mạng nhà cung cấp (Provider
Edge - PE) thực hiện trao đổi thông tin định tuyến trực tiếp với router CE của khách hàng.
-Việc định tuyến đơn giản hơn (nhìn từ phía khách hàng) khi router khách hàng chỉ trao đổi thông tin định tuyến với một hoặc một vài router PE. Trong khi ở mô hình overlay VPN, số lƣợng router láng giềng có thể phát triển với số lƣợng lớn.
-Định tuyến giữa các site khách hàng luôn luôn đƣợc tối ƣu vì nhà cung cấp dịch vụ biết topology mạng khách hàng và do đó có thể thiết lập định tuyến tối ƣu
cho các route của họ.
-Việc cung cấp băng thông đơn giản hơn bởi vì khách hàng chỉ phải quan tâm đến băng thông đầu vào và ra ở mỗi site mà không cần phải chính xác toàn bộ
lƣu lƣợng từ site này đến site kia (site-to-site) nhƣ mô hình overlay VPN.
-Có khả năng mở rộng vì nhà cung cấp dịch vụ chỉ cần thêm vào một site và thay đổi cấu hình trên Router PE. Trong mô hình overlay, nhà cung cấp dịch vụ
phải tham gia vào toàn bộ tập hợp các VC từ site này đến site khác của VPN khách hàng.
Nhà cung cấp dịch vụ triển khai hai ứng dụng khác sử dụng VPN ngang cấp:
Phƣơng pháp chia sẽ router (shared router): Router dùng chung, tức là khách hàng VPN chia sẽ cùng router biên mạng nhà cung cấp (provider edge – PE). Ở phƣơng
pháp này, nhiều khách hàng có thể kết nối đến cùng router PE.
Trên router PE phải cấu hình access-list cho mỗi interface PE-CE để đảm bảo chắc chắn sự cách ly giữa các khách hàng VPN, để ngăn chặn VPN của khách hàng này
thực hiện các tấn công từ chối dịch vụ (DoS – Denial of Service) vào VPN của khách hàng khác. Nhà cung cấp dịch vụ chia mỗi phần trong không gian địa chỉ của nó cho khách hàng và quản lý việc lọc gói tin trên Router PE.
Phương pháp router P dành riêng (dedicated router): là phƣơng pháp mà khách hàng VPN có router PE dành riêng. Trong phƣơng pháp này, mỗi khách hàng VPN
phải có router PE dành riêng và do đó chỉ truy cập đến các route trong bảng định tuyến của router PE đó.
Mô hình router dành trước sử dụng các giao thức định tuyến để tạo ra bảng định tuyến trên một VPN trên Router PE. Bảng định tuyến chỉ có các route đƣợc quảng bá
bởi khách hàng VPN kết nối đến chúng, kết quả là tạo ra sự cách ly tuyệt vời giữa các VPN.
Định tuyến trên router dành trước có thể được thực hiện như sau:
-Giao thức định tuyến chạy giữa PE và CE là bất kì.
-BGP là giao thức chạy giữa PE và PE.
-PE phân phối các route nhận đƣợc từ CE vào BGP, đánh dấu với ID (Identification) của khách hàng (BGP community), và truyền các route đến router P, router P sẽ có tất cả các route từ tất cả VPN của khách hàng.
-Router P chỉ truyền các route với BGP community thích hợp đến Router PE. Do đó Router PE chỉ nhận các route từ Router CE trong VPN của chúng.
So sánh các phương pháp của mô hình VPN ngang cấp:
Phƣơng pháp dùng chung router rất khó duy trì vì nó yêu cầu cần phải có cấu hình access-list dài và phức tạp trên mỗi interface của router. Còn phƣơng pháp dùng router riêng, mặc dù có vẻ đơn giản về cấu hình và dễ duy trì hơn nhƣng nhà cung cấp dịch vụ phải bỏ ra chi phí lớn để đảm bảo đƣợc phục vụ tốt cho số lƣợng lớn khách hàng.
Tất cả khách hàng dùng chung không gian địa chỉ IP, nên họ phải sử dụng hoặc là địa chỉ thật trong mạng riêng (private network) của họ hoặc là phụ thuộc vào nhà cung cấp dịch vụ để có đƣợc địa chỉ IP. Trong cả hai trƣờng hợp, kết nối một khách hàng mới đến dịch vụ VPN ngang cấp đòi hỏi phải đăng kí lại địa chỉ Ip trong mạng khách hàng.
Khách hàng không thể thêm route mặc định vào VPN. Giới hạn này đã ngăn chặn việc định tuyến tối ƣu và cấm khách hàng truy cập Internet từ nhà cung cấp dịch vụ
khác.
Ưu điểm của mô hình VPN peer-to-peer:
-VPN ngang cấp cho ta định tuyến tối ƣu giữa các site khách hàng mà không cần phải cấu hình hay thiết kế gì đặc biệt.
-Dễ mở rộng.
Hạn chế của mô hình VPN peer-to-peer:
-Nhà cung cấp dịch vụ phải đáp ứng đƣợc định tuyến khách hàng cho đúng và đảm bảo việc hội tụ của mạng khách hàng khi có lỗi liên kết.
-Router P của nhà cung cấp dịch vụ phải mang tất cả các route của khách hàng.
-Nhà cung cấp dịch vụ cần phải biết rõ chi tiết về định tuyến IP, mà điều này thực sự không cần thiết đối với nhà cung cấp từ xƣa đến nay.
2.1.1. Tổng quan về mạng riêng ảo VPN.
2.1.1.a. Giới thiệu.
Mạng riêng ảo VPN (Virtual Private Network) là thuật ngữ đƣợc các nhà cung cấp dịch vụ và các Carrier sử dụng. Nhƣ đúng tên gọi của nó, VPN là một mạng riêng của
khách hàng dựa trên cơ sở hạ tầng mạng công cộng dùng chung. Chúng có thể được tạo ra bằng cách sử dụng phần mềm, phần cứng hay kết hợp cả hai phần đó để tạo ra một kết nối bảo mật giữa hai mạng riêng (private network) đi qua mạng công cộng.Mạng riêng ảo VPN bao gồm hai phần, mạng của nhà cung cấp dịch vụ và mạng của khách hàng. Mạng của nhà cung cấp chạy dọc cơ sở hạ tầng Internet công cộng, bao gồm các router cung cấp dịch vụ VPN cho mạng khách hàng cũng nhƣ các router cung cấp dịch vụ khác.
2.1.1.b. Phân loại VPN.
Khái niệm VPN ra đời từ rất sớm, khi mà các công nghệ truyền thông nhƣ X.25, Frame Relay đƣợc giới thiệu. VPN có thể là mạng riêng ảo giữa hai đầu cuối hệ thống,
hai giữa hai hoặc nhiều mạng riêng. Nó có thể đƣợc xây dựng bằng cách sử dụng đường hầm.Do đó, có thể chia VPN ra thành hai loại chính đó là:
- Customer-based VPN (còn gọi là overlay VPN): là VPN đƣợc cấu hình trên các thiết bị của khách hàng sử dụng các giao thức đƣờng hầm xuyên qua mạng công
cộng. Nhà cung cấp dịch vụ sẽ bán các mạch ảo giữa các site của khách hàng nhƣ là đƣờng kết nối leased line. Network-based VPN (còn gọi là VPN ngang cấp): là VPN được cấu hình trêncác thiết bị của nhà cung cấp dịch vụ và đƣợc quản lý bởi nhà cung cấp dịch vụ.
Nhà cung cấp dịch vụ và khách hàng trao đổi thông tin định tuyến lớp 3, nhà cung cấp sắp đặt dữ liệu các site khách hàng vào đƣờng đi tối ƣu nhất mà không
cần có sự tham gia của khách hàng.
- Overlay VPN .
Mô hình overlay VPN ra đời từ rất sớm và được triển khai dƣới nhiều công nghệ khác nhau. Ban đầu, VPN đƣợc xây dựng bằng cách sử dụng các đƣờng leased line để
cung cấp kết nối giữa khách hàng ở nhiều vị trí khác nhau. Khách hàng mua dịch vụ leased line của nhà cung cấp. Đƣờng leased line này đƣợc thiết lập giữa các site của khách hàng cần kết nối. Đƣờng này là đƣờng dành riêng cho khách hàng.
Cho đến những năm 1990, Frame Relay được giới thiệu. Frame Relay đƣợc xem như là một công nghệ VPN vì nó đáp ứng kết nối cho khách hàng nhƣ dịch vụ leased
line, chỉ khác ở chỗ là khách hàng không đƣợc cung cấp các đƣờng dành riêng cho mỗi khách hàng, mà khách hàng sử dụng một đƣờng chung nhƣng đƣợc chỉ định các mạch ảo. Các mạch ảo này sẽ đảm bảo lưu lượng cho mỗi khách hàng là riêng biệt. Mạch ảo được gọi là PVC (Permanent Virtual Circuit) hay SVC (Switched Virtual Circuit).
Sau này công nghệ ATM ra đời, về cơ bản ATM cũng hoạt động giống như Frame Relay nhƣng đáp ứng tốc độ truyền dẫn cao hơn. Khách hàng thiết lập việc liên lạc giữa các thiết bị đầu phía khách hàng CPE với nhau qua kênh ảo. Giao thức định tuyến chạy trực tiếp giữa các router khách hàng thiết lập mối quan hệ cận kề và trao đổi thông tin định tuyến với nhau. Nhà cung cấp dịch vụ không hề biết đến thông tin định tuyến của khách hàng. Nhiệm vụ của nhà cung cấp dịch vụ trong mô hình này chỉ là đảm bảo vận chuyển dữ liệu điểm-điểm giữa các site của khách hàng mà thôi.
Overlay VPN còn đƣợc triển khai dƣới dạng đƣờng hầm (tunneling). Việc triển khai thành công các công nghệ gắn với IP nên một vài nhà cung cấp dịch vụ bắt đầu
triển khai VPN qua IP. Nếu khách hàng nào muốn xây dựng mạng riêng của họ qua Internet thì có thể dùng giải pháp này vì chi phí thấp. Bên cạnh lý do kinh tế, mô hình
tunneling còn đáp ứng cho khách hàng việc bảo mật dữ liệu.
Hai công nghệ VPN đường hầm phổ biến là IPSec (IP security) và GRE (Generic Route Encapsulation).
Các cam kết về QoS trong mô hình overlay VPN thường là cam kết về băng thông trên một VC, giá trị này đƣợc gọi là CIR (Committed Information Rate). Băng thông có thể sử dụng đƣợc tối đa trên một kênh ảo đó, giá trị này đƣợc gọi là PIR (Peak Information Rate). Việc cam kết này đƣợc thực hiện thông qua các thống kê tự nhiên của dịch vụ lớp 2 nhƣng lại phụ thuộc vào chiến lƣợc của nhà cung cấp. Điều này có nghĩa là tốc độ cam kết không thật sự đƣợc bảo đảm mặc dù nhà cung cấp có thể đảm bảo tốc độ nhỏ nhất (MIR - Minimum Information Rate). Cam kết về băng thông cũng chỉ là cam kết về hai điểm trong mạng khách hàng. Nếu không có ma trận lƣu lƣợng đầy đủ cho tất cả các lớp lƣu lƣợng thì thật khó có thể thực hiện cam kết này cho khách hàng trong mô hình overlay. Và thật khó để cung cấp nhiều lớp dịch vụ vì nhà cung cấp dịch vụ không thể phân biệt đƣợc lƣu lượng ở giữa mạng. Để làm được việc này bằng cách tạo ra nhiều kết nối (kết nối full-mesh), như trong mạng Frame Relayhay ATM là có các PVC giữa các site khách hàng. Tuy nhiên, kết nối full-mesh thì chỉlàm tăng thêm chi phí của mạng.
Mô hình VPN overlay có một số ưu điểm sau:
-Đó là mô hình dễ thực hiện, nhìn theo quan điểm của khách hàng và của cả nhà cung cấp dịch vụ. Nhà cung cấp dịch vụ không tham gia vào định tuyến khách hàng trong mạng
-VPN overlay. Nhiệm vụ của họ là vận chuyển dữ liệu điểm-điểm giữa các site của khách hàng, việc đánh dấu điểm tham chiếu giữa nhà cung cấp dịch vụ và
khách hàng sẽ quản lý dễ dàng hơn.
Hạn chế của mô hình overlay VPN:
-Nó thích hợp trong các mạng không cần độ dự phòng với ít site trung tâm và nhiều site ở đầu xa, nhƣng lại khó quản lý nếu nhƣ cần nhiều cầu hình mắc lƣới.
-Việc cung cấp càng nhiều VC đòi hỏi phải có sự hiểu biết cặn kẽ về loại lưu lượng giữa hai site với nhau mà điều này thƣờng không thật sự thích hợp.
-Khi thực hiện mô hình này với các công nghệ lớp 2 thì chỉ tạo ra một lớp mớikhông cần thiết đối với các nhà cung cấp hầu hết chỉ dựa trên IP, do đó làm
tăng thêm chi phí hoạt động.
Mô hình VPN ngang cấp (peer-to-peer VPN).
Để giải quyết các hạn chế của mô hình VPN overlay và để cho nhà cung cấp dịch vụ cung cấp cho khách hàng việc vận chuyển dữ liệu tối ƣu qua mạng backbone, mô
hình VPN ngang cấp ra đời. Với mô hình này nhà cung cấp dịch vụ tham gia vào hoạt động định tuyến của khách hàng. Tức là router biên mạng nhà cung cấp (Provider
Edge - PE) thực hiện trao đổi thông tin định tuyến trực tiếp với router CE của khách hàng.
-Việc định tuyến đơn giản hơn (nhìn từ phía khách hàng) khi router khách hàng chỉ trao đổi thông tin định tuyến với một hoặc một vài router PE. Trong khi ở mô hình overlay VPN, số lƣợng router láng giềng có thể phát triển với số lƣợng lớn.
-Định tuyến giữa các site khách hàng luôn luôn đƣợc tối ƣu vì nhà cung cấp dịch vụ biết topology mạng khách hàng và do đó có thể thiết lập định tuyến tối ƣu
cho các route của họ.
-Việc cung cấp băng thông đơn giản hơn bởi vì khách hàng chỉ phải quan tâm đến băng thông đầu vào và ra ở mỗi site mà không cần phải chính xác toàn bộ
lƣu lƣợng từ site này đến site kia (site-to-site) nhƣ mô hình overlay VPN.
-Có khả năng mở rộng vì nhà cung cấp dịch vụ chỉ cần thêm vào một site và thay đổi cấu hình trên Router PE. Trong mô hình overlay, nhà cung cấp dịch vụ
phải tham gia vào toàn bộ tập hợp các VC từ site này đến site khác của VPN khách hàng.
Nhà cung cấp dịch vụ triển khai hai ứng dụng khác sử dụng VPN ngang cấp:
Phƣơng pháp chia sẽ router (shared router): Router dùng chung, tức là khách hàng VPN chia sẽ cùng router biên mạng nhà cung cấp (provider edge – PE). Ở phƣơng
pháp này, nhiều khách hàng có thể kết nối đến cùng router PE.
Trên router PE phải cấu hình access-list cho mỗi interface PE-CE để đảm bảo chắc chắn sự cách ly giữa các khách hàng VPN, để ngăn chặn VPN của khách hàng này
thực hiện các tấn công từ chối dịch vụ (DoS – Denial of Service) vào VPN của khách hàng khác. Nhà cung cấp dịch vụ chia mỗi phần trong không gian địa chỉ của nó cho khách hàng và quản lý việc lọc gói tin trên Router PE.
Phương pháp router P dành riêng (dedicated router): là phƣơng pháp mà khách hàng VPN có router PE dành riêng. Trong phƣơng pháp này, mỗi khách hàng VPN
phải có router PE dành riêng và do đó chỉ truy cập đến các route trong bảng định tuyến của router PE đó.
Mô hình router dành trước sử dụng các giao thức định tuyến để tạo ra bảng định tuyến trên một VPN trên Router PE. Bảng định tuyến chỉ có các route đƣợc quảng bá
bởi khách hàng VPN kết nối đến chúng, kết quả là tạo ra sự cách ly tuyệt vời giữa các VPN.
Định tuyến trên router dành trước có thể được thực hiện như sau:
-Giao thức định tuyến chạy giữa PE và CE là bất kì.
-BGP là giao thức chạy giữa PE và PE.
-PE phân phối các route nhận đƣợc từ CE vào BGP, đánh dấu với ID (Identification) của khách hàng (BGP community), và truyền các route đến router P, router P sẽ có tất cả các route từ tất cả VPN của khách hàng.
-Router P chỉ truyền các route với BGP community thích hợp đến Router PE. Do đó Router PE chỉ nhận các route từ Router CE trong VPN của chúng.
So sánh các phương pháp của mô hình VPN ngang cấp:
Phƣơng pháp dùng chung router rất khó duy trì vì nó yêu cầu cần phải có cấu hình access-list dài và phức tạp trên mỗi interface của router. Còn phƣơng pháp dùng router riêng, mặc dù có vẻ đơn giản về cấu hình và dễ duy trì hơn nhƣng nhà cung cấp dịch vụ phải bỏ ra chi phí lớn để đảm bảo đƣợc phục vụ tốt cho số lƣợng lớn khách hàng.
Tất cả khách hàng dùng chung không gian địa chỉ IP, nên họ phải sử dụng hoặc là địa chỉ thật trong mạng riêng (private network) của họ hoặc là phụ thuộc vào nhà cung cấp dịch vụ để có đƣợc địa chỉ IP. Trong cả hai trƣờng hợp, kết nối một khách hàng mới đến dịch vụ VPN ngang cấp đòi hỏi phải đăng kí lại địa chỉ Ip trong mạng khách hàng.
Khách hàng không thể thêm route mặc định vào VPN. Giới hạn này đã ngăn chặn việc định tuyến tối ƣu và cấm khách hàng truy cập Internet từ nhà cung cấp dịch vụ
khác.
Ưu điểm của mô hình VPN peer-to-peer:
-VPN ngang cấp cho ta định tuyến tối ƣu giữa các site khách hàng mà không cần phải cấu hình hay thiết kế gì đặc biệt.
-Dễ mở rộng.
Hạn chế của mô hình VPN peer-to-peer:
-Nhà cung cấp dịch vụ phải đáp ứng đƣợc định tuyến khách hàng cho đúng và đảm bảo việc hội tụ của mạng khách hàng khi có lỗi liên kết.
-Router P của nhà cung cấp dịch vụ phải mang tất cả các route của khách hàng.
-Nhà cung cấp dịch vụ cần phải biết rõ chi tiết về định tuyến IP, mà điều này thực sự không cần thiết đối với nhà cung cấp từ xƣa đến nay.