Tài liệu Đề tài Công nghệ nối mạng riêng ảo di động cho mạng 3G: Kính thưa các thầy cô giáo và toàn thể các bạn sinh viên. Trong thời gian vừa qua dưới sự hướng dẫn của thầy giáo TS. Nguyễn Phạm Anh Dũng, em đã hoàn thành đồ án tốt nghiệp với đề tài “Công nghệ nối mạng riêng ảo di động cho mạng 3G”. Sau đây em xin trình bày phần nội dung tóm tắt của đồ án.
Đồ án được chia thành 3 chương:
Chương I: Giới thiệu tổng quan nối mạng vô tuyến chủ yếu đi vào tìm hiểu khía cạnh các dịch vụ số liệu trong các hệ thống GPRS/UMTS và CDMA2000.
Chương II: Tổng quan MVPN và cuối cùng là.
Chương III: Các giải pháp VPN cho các hệ thống GPRS/UMTS và CDMA2000.
Sau đây em xin trình bày cụ thể nội dung từng chương.
CHƯƠNG I:
1. Nối mạng số liệu vô tuyến CS và PS
Đầu tiên ta tìm hiểu các công nghệ nối mạng số liệu vô tuyến chuyển mạch kênh và gói. Chiếu slide 2.
Với nối mạng số liệu vô tuyến CS: các kênh dành riêng được ấn định cho các thuê bao cho dù họ có sử dụng hay không.
Với nối mạng số liệu vô tuyến PS: dựa trên cơ chế ghép kênh thống kê các phiên người sử...
8 trang |
Chia sẻ: hunglv | Lượt xem: 1218 | Lượt tải: 0
Bạn đang xem nội dung tài liệu Đề tài Công nghệ nối mạng riêng ảo di động cho mạng 3G, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Kính thưa các thầy cô giáo và toàn thể các bạn sinh viên. Trong thời gian vừa qua dưới sự hướng dẫn của thầy giáo TS. Nguyễn Phạm Anh Dũng, em đã hoàn thành đồ án tốt nghiệp với đề tài “Công nghệ nối mạng riêng ảo di động cho mạng 3G”. Sau đây em xin trình bày phần nội dung tóm tắt của đồ án.
Đồ án được chia thành 3 chương:
Chương I: Giới thiệu tổng quan nối mạng vô tuyến chủ yếu đi vào tìm hiểu khía cạnh các dịch vụ số liệu trong các hệ thống GPRS/UMTS và CDMA2000.
Chương II: Tổng quan MVPN và cuối cùng là.
Chương III: Các giải pháp VPN cho các hệ thống GPRS/UMTS và CDMA2000.
Sau đây em xin trình bày cụ thể nội dung từng chương.
CHƯƠNG I:
1. Nối mạng số liệu vô tuyến CS và PS
Đầu tiên ta tìm hiểu các công nghệ nối mạng số liệu vô tuyến chuyển mạch kênh và gói. Chiếu slide 2.
Với nối mạng số liệu vô tuyến CS: các kênh dành riêng được ấn định cho các thuê bao cho dù họ có sử dụng hay không.
Với nối mạng số liệu vô tuyến PS: dựa trên cơ chế ghép kênh thống kê các phiên người sử dụng trên giao diện vô tuyến. Do vậy tài nguyên mạng chỉ được sử dụng trong thời gian truyền số liệu.
Vậy: Về lý thuyết, CS cung cấp băng thông hiệu dụng cho người sử dụng lớn hơn nhưng lại sử dụng lãng phí hơn tài nguyên mạng. PS hiệu quả hơn nhưng xảy ra hiện tượng tranh chấp băng thông hiệu dụng, dẫn đến nghẽn, trễ và hiệu suất thông lượng trên mỗi người sử dụng thấp hơn.
Hỗ trợ nối mạng di động số liệu PS dựa trên các cơ chế truyền tunnel khác nhau như MIP (sử dụng trong CDMA2000) và GTP (sử dụng trong GPRS/UMTS).
Cơ chế truyền tunnel như hình vẽ. Các đường ngắt quãng đậm nét thể hiện các tunnel quá khứ, liền nét thể hiện các tunnel hiện thời tích cực được thiết lập động giữa điểm truy nhập mạng hiện thời và một điểm neo tunnel. Do MS thay đổi vị trí trong mạng nên các tunnel cũng được thiết lập động giữa mạng nhà của MS và mạng truy nhập vô tuyến khách.
2. Số liệu gói CDMA2000
Kiến trúc này cho phép các nhà cung cấp dịch vụ vô tuyến di động cung cấp các dịch vụ gói 2 chiều sử dụng IP. Để cung cấp chức năng này , CDMA2000 sử dụng hai phương pháp truyền tunnel: IP đơn giản và IP di động. Simple IP hỗ trợ di động hạn chế hơn MIP nhưng có ưu điểm là không đòi hỏi phần mềm đặc biệt cài đặt trong trạm di động.
3. Số liệu gói GPRS/UMTS
GPRS là một mở rộng nối mạng số liệu gói của hệ thống GSM và có kiến trúc như hình vẽ. Chiếu slide 4.
hai phần tử chính mới của GPRS là SGSN và GGSN tương tác với nhau qua giao diện Gn dựa trên giao thức GTP
GGSN neo giữ các phiên truyền số liệu và cung cấp truy nhập đến các mạng số liệu gói bằng hỗ trợ kết cuối GTP tunnel từ SGSN mà MS hiện thờib đang nối đến.
UMTS có kiến trúc tương tự GPRS. Chiếu slide 5.
điểm khác là giao thức GTP sử dụng trong UMTS là GTPv1 không tương thích với giao thức GTPv0 được sử dụng trong GPRS.
CHƯƠNG II: chiếu slide 1
1. Định nghĩa VPN và các khối cơ bản của VPN. Chiếu slide 2
Nối mạng riêng ảo mô phỏng của các mạng số liệu riêng để đảm bảo an ninh trên các phương tiện viễn thông công cộng chung không đảm bảo an ninh. Các thuộc tính của VPN bao gồm các cơ chế để bảo vệ số liệu, thiết lập sự tin tưởng giữa các máy trạm trong mạng ảo cũng như sự kết hợp giữa các phương pháp khác nhau để đảm bảo các thỏa thuận mức dịch vụ SLA và chất lượng dịch vụ QoS cho các thực thể tạo nên mạng VPN.
Các khối cơ bản của VPN bao gồm:
Điều khiển truy nhập AC: là tập các chính sách và kĩ thuật điều khiển việc truy nhập đến các tài nguyên nối mạng riêng cho các phía được trao quyền. AC hoạt động độc lập với nhận thực và an ninh.
Nhận thực AU: trong VPN, mọi thực thể liên quan đến truyền thông tin phải có thể nhận dạng mình với các đối tác liên quan khác và ngược lại. Nhận thực là quá trình cho phép các thực thể truyền thông kiểm tra các nhận dạng như vậy.
An ninh Sec: VPN được xây dựng trên các phương tiện công cộng dùng chung không an ninh, do đó yêu cầu về toàn vẹn dữ liệu và mật mã hóa là điều kiện không thể thiếu. Có thể đảm bảo an ninh bằng cách triển khai các phương pháp mật mã hóa kết hợp với hệ thống phân phối khóa an ninh.
Truyền tunnel là nền tảng của VPN: bao gồm việc đóng bao một số gói số liệu vào các gói khác theo một tập quy tắc được áp dụng cho cả hai đầu cuối của tunnel. Kết quả là nội dung được đóng bao trong tunnel là không thể thấy được khi truyền qua mạng công cộng không an ninh. Nó thực hiện ba nhiệm vụ chính:
Đóng bao
Trong suốt đánh địa chỉ riêng
Toàn vẹn số liệu đầu cuối-đầu cuối và bảo mật.
SLA: các thực thể tham gia vào VPN bị ràng buộc bởi các thỏa thuận để đạt được các mức dịch vụ yêu cầu cũng như lợi nhuận mong muốn. Các thỏa thuận này được dự thảo giữa tất cả các bên liên quan để định nghĩa các mức dịch vụ.
2. Phân loại VPN (chiếu slide 3 và slide 4)
Nêu nội dung có trong slide.
Do mục đích chính của đồ án nên ta chỉ đi xem xét cụ thể vào việc phân loại VPN theo truyền tunnel. Bao gồm: VPN tự ý, bắt buộc và móc nối.
VPN tự ý
Cho phép người sử dụng ở xa có thể thiết lập một tunnel từ thiết bị đầu cuối của mình đến một điểm kết cuối tunnel xác định. Kiểu dịch vụ này được mô tả như sau. Chiếu slide 5.
Ưu điểm:
+ là phương pháp đơn giản nhất để truy nhậpVPN từ xa.
+ đảm bảo truyền tin đầu cuối-đầu cuối an ninh và trong suốt để truy nhập đến các mạng riêng.
Nhược điểm:
+ vì nội dung các gói được đóng bao nên không thể kiểm tra tại các nút trên tuyến tunnel trừ các điểm cuối tunnel, do vậy không thực hiện được QoS và CoS.
+ do đóng bao bổ sung ở trên đoạn vô tuyến nên sẽ tiêu tốn thêm tài nguyên vô tuyến vốn đã rất quý hiếm.
VPN bắt buộc. chiếu slide 6
Nhà cung cấp dịch vụ có thể cung cấp dịch vụ VPN bắt buộc bằng cách móc nối nhiều tunnel hay cung cấp một tunnel duy nhất cho một đoạn của tuyến số liệu giữa hai điểm cuối tham dự. Với dịch vụ VPN bắt buộc, người sử dụng ở xa không cần tham dự vào quá trình thiết lập VPN mà bị "buộc" phải sử dụng dịch vụ được cung cấp trước mỗi khi cần truy nhập đến mạng. Các tunnel không tồn tại trên toàn tuyến đến tận người sử dụng đầu cuối.
Ưu điểm:
+ sử dụng tốt hơn giao diện vô tuyến nhờ không cần chi phí cho đóng bao trên giao diện vô tuyến
+ thiết bị đầu cuối đơn giản hơn
+ nhà ccấp dịch vụ có khả năng kiểm soát lớn hơn đối với người sử dụng
Nhược điểm:
+ phải có một phần tuyến số liệu riêng không được bảo vệ
+ phải tin tưởng vào nhà cung cấp dịch vụ
+ phải thiết lập nhiều thỏa thuận mức dịch vụ và bảo mật phức tạp
VPN móc nối
VPN này bao gồm một tập các tunnel móc nối để kéo dài toàn bộ đường truyền đến thiết bị đầu cuối. VPN tunnel móc nối có thể có nhiều dạng như thấy trên hình vẽ. Đây là một số cách móc nối tunnel trong mạng GPRS.
Giống VPN tự ý: VPN móc nối đảm bảo bảo vệ số liệu đầu cuối-đầu cuối của người sử dụng. Và người sử dụng tham gia vào khởi đầu tunnel.
Giống VPN bắt buộc: nhà cung cấp dịch vụ tham gia vào cung cấp và cấu trúc tunnel móc nối và có thể dễ dàng áp dụng QoS và tạo dạng lưu lượng tại các điểm móc nối tunnel. Tuy nhiên sự tham gia này không cần SLA và các xử lý số liệu.
Chiếu slide 7: Cả ba công nghệ VPN phân theo truyền tunnel như trình bày ở trên đều được áp dụng trong vô tuyến và di động. Mỗi dạng VPN đều có những ưu và nhược điểm, sẽ đồng thời tồn tại tùy thuộc vào điều kiện cụ thể.
CHƯƠNG III:
I. Giải pháp VPN cho GPRS/UMTS
1.Các giải pháp công nghệ số liệu gói. Slide 2
Cả GPRS và UMTS đều có khả năng cung cấp các dịch vụ số liệu gói. Phần tử GGSN cung cấp các diểm truy nhập đến các mạng số liệu gói thông qua một tên logic gọi là APN. Dựa trên APN và việc tra cứu thông tin xử lý phiên được sử dụng để lập cấu hình cho APN này, các dịch vụ truy nhập mạng khác nhau có thể được cung cấp tại GGSN. Các dịch vụ này có thể được phân loại thành:
Kiểu IP PDP:
Simple IP (IP đơn giản).
IP với các tùy chọn cấu hình giao thức.
Chuyển tiếp DHCP và MIPv4.
Kiểu PPP PDP (bắt đầu có từ R98):
Chuyển tiếp PPP
PPP kết cuối tại GGSN.
Ta sẽ xét cụ thể các trường hợp IP PDP và PPP PDP.
Kiểu IP PDP: chiếu slide 3
Bao gồm các cách khác nhau để ấn định địa chỉ IP, lập cấu hình máy trạm, và kết nối lớp thấp hơn đến mạng IP.
Kiểu IP đơn giản: Khi PDP context khởi xướng bởi mạng được hỗ trợ, địa chỉ IP cần được liên kết cố định với IMSI của MS. Địa chỉ IP này được ấn định bằng cách sử dụng các nhóm địa chỉ tại GGSN hay RADIUS hay DHCP client, nó được thông báo cho MS trong IE địa chỉ của người sử dụng đầu cuối của trả lời GTP Create PDP context (tạo lập ngữ cảnh PDP) và các bản tin tiếp nhận Activate PDP Context (tích cực PDP context).
- Hạn chế: không đảm bảo an ninh do nhận thực người sử dụng chủ yếu dựa vào nhận thực của mạng vô tuyến.
IP với các tùy chọn cấu hình giao thức PCO (chiếu slide 4): Trong phương pháp này, bản tin Creat PDP Context chứa PCO IE có chứa cấu hình máy trạm và thông tin nhận thực trao đổi giữa các phần tử TE và MT của MS.
TE gửi thông tin nhận thực đến MT qua liên kết PPP, sau đó MT chuyển vào chế độ IPCP (IP Configuration Protocol) vào thành phần PCO IE của bản tin Activate PPP Context ở SGSN rồi được chuyển đến GGSN trong bản tin Creat PDP Context.
Sau đó GGSN trả lời MS bằng cách sử dụng PCO IE trong trả lời Creat PDP Context.
- Phương pháp này bổ sung thêm khả năng nhận thực người sử dụng đối với mạng vô tuyến dựa trên bí mật dùng chung giữa thực thể quản lý mạng và người sử dụng. Do vậy an ninh chặt chẽ hơn IP đơn giản.
Chuyển tiếp DHCP và MIPv4 (chiếu slide 5):
Khi một yêu cầu Create PDP context được phát đến GGSN để lập cấu hình APN nhằm hỗ trợ DHCP, một trả lời Create PDP context được gửi ngược lại SGSN ngay lập tức mà không có bất cứ nhận thực người sử dụng nào khác với ở chế độ truy nhập đơn giản. Trả lời này định nghĩa một GTP tunnel và một kênh mang đến một MS mà không có bất cứ địa chỉ MS IP nào liên kết với nó. Tunnel này có thể được sử dụng để trao đổi các bản tin cấu hình DHCP và các bản tin đăng ký. Sau đó MS sẽ được ấn định một địa chỉ IP bằng cách sử dụng DCHP.
Chế độ truy nhập DHCP được sử dụng khi các phương pháp lập cấu hình máy trạm và khi chế độ truy nhập "giống LAN" được yêu cầu. nhận thực người sử dụng trong phương pháp này cũng gặp phải các nhược điểm giống như trong chế độ IP đơn giản. Tuy nhiên ở đây nhận thực người sử dụng có thể được tăng cường bằngcách sử dụng nhận thực DHCP.
Kiểu PPP PDP chiếu slide 6
Sử dụng mật mã hóa và nén PPP và một số giao thức mạng khác để tăng cường an ninh, giải quyết một số yếu điểm của trường hợp IP PDP, tuy nhiên khi đó sẽ sử dụng lãng phí tài nguyên mạng. Do vậy ta có thể sử dụng MVPN bắt buộc thay cho IP PDP trong môi trường di động.
Bao gồm hai trường hợp:
Chuyển tiếp PPP
PPP kết cuối tại GGSN
Với ngăn xếp giao thức được cho như hình vẽ.
Lợi ích bổ sung của kiểu PPP PDP dựa trên MVPN là ở trường hợp chuyển tiếp PPP, nhà cung cấp dịch vụ có thể cho phép nhà quản lý mạng riêng thực hiện quản lý địa chỉ và AAA, nhờ vậy giảm thiểu ảnh hưởng lên quản lý mạng và sự phức tạp.
II. Giải pháp VPN cho CDMA2000 chiếu slide 7
Trong phần này em xin trình bày những nội dung quan trọng nhất bao gồm: VPN dựa trên IP đơn giản và IP di động, các vấn đề cấp phát HA trong mạng
1. VPN dựa trên IP đơn giản (chiếu slide 8)
- Mô hình kiến trúc của VPN IP đơn giản được đưa ra như sau.
- Phiên PPP do MS khởi xướng được kết cuối bởi NAS (trong trường hợp này chức năng của NAS được hỗ trợ bởi PDSN ) và sau đó được chuyển tiếp qua tunnel đến điểm cuối tunnel phía xa nằm sau tường lửa trong mạng riêng.
- Giao thức truyền tunnel trong trường hợp này là L2TP. Chức năng LAC (L2TP Access Concentrator) do PDSN hỗ trợ sẽ đóng bao phiên PPP của MS và mang nó trên một mạng IP đến LNS (L2TP Network Server) phía xa. Đến lượt mình LNS kết cuối liên kết PPP trong mạng riêng. L2TP không phải là giao thức an ninh, nên có thể tăng cường an ninh bằng sử dụng tùy chọn IP Sec.
- VPN dựa trên IP đơn giản với giao thức L2TP tại PDSN được xem là VPN bắt buộc.
- Phương pháp này khác với MIP không yêu cầu HA nhưng vẫn dựa trên hạ tầng AAA server ở xa liên kết với LNS trong các mạng riêng.
Tiếp đến ta sẽ xét tới trường hợp VPN dựa trên MIP.
2. VPN dựa trên MIP (chiếu slide 9)
- MIP khắc phục hạn chế mức di động của MS của IP đơn giản. Nó cung cấp một số mức di động trong khi vẫn giữ nguyên địa chỉ IP của MS khi MS thay đổi PDSN phục vụ.
- MIP có thể được thực hiện bằng hai cách trong các hệ thống CDMA2000:
+ HA VPN công cộng từ xa: coi HA được đặt trong mạng riêng khác với mạng của nhà khai thác vô tuyến. HA kết nối đến PDSN thông qua một MIP tunnel thông minh.
+ HA VPN riêng địa phương: coi HA được đặt trong cùng Intranet với PDSN và thuộc quyền sở hữu và bảo dưỡng của nhà khai thác vô tuyến. Các dịch vụ VPN được hỗ trợ bằng cách kết hợp các tunnel MIP và các tùy chọn kiểu truyền tải (là chuỗi các tunnel khác nhau, các đường thuê riêng hay ATM PVC).
HA công cộng:
- Lưu lượng đường xuống (đến MS) khởi đầu trong mạng riêng sẽ được truyền tunnel đến HA đặt trong mạng riêng, sau đó đến PDSN nằm trong mạng của nhà khai thác vô tuyến.
- Lưu lượng đường lên (từ MS) được truyền tunnel đến PDSN trong mạng nhà khai thác vô tuyến, sau đó đến HA trong mạng khách hàng. PDSN có thể thiết lập tunnel ngược tùy chọn. Cả tunnel thuận và ngược đều dựa trên các giao thức IP/IP hay GRE và có thể được kết hợp với tùy chọn IPSec.
HA riêng:
Các quy tắc triển khai trong HA riêng hoàn toàn khác với trường hợp HA công cộng.
Trong trường hợp này, các mạng riêng không cần duy trì HA và kết cuối các MIP tunnel. Thay vào đó, nhà khai thác vô tuyến và mạng riêng phải dựa trên một tập các tunnel (hay các công nghệ khác) móc nối nhau tại HA thuộc sở hữu của mình kết hợp với các thỏa thuận đồng cấp riêng và các SLA để có thể cung cấp VPN an ninh.
3. Cấp phát HA trong mạng (chiếu slide 12)
Bao gồm cấp phát tĩnh (hay cấp phát HA theo PDSN) và cấp phát HA động.
Cấp phát HA so với PDSN:
- PDSN/HA đồng vị trí: trong trường hợp này sẽ có nhiều vị trí HA trong mạng.Các cửa PDSN và HA trong các hệ thống phải rất gần nhau đặc biệt là khi phương pháp HA VPN riêng được thực hiện. Thông thường các chức năng này được hỗ trợ trong cùng một nền tảng, vì thế có thể tiết kiệm được kích cỡ đặt máy bằng cách đặt chúng chung hoặc thành cụm.
HA đặt tập trung: các HA phục vụ tất cả các người sử dụng MIP trong mạng được đặt tại một trung tâm duy nhất.
Cấp phát HA động:
Thiết lập HA động đòi hỏi cần phải biết bí mật dùng chung giữa MS và HA để đăng kí di động tiếp theo có thể được nhận thực khi MS thay đổi các PDSN phục vụ.
Địa chỉ HA được xác định bởi AAA server chứ không phải MIP RRS (Register request).
Một AAA server nhà sẽ cấp phát động một HA trong mạng của nhà cung cấp dịch vụ hay mạng riêng ở xa và trả lời địa chỉ của nó đến AAA server khách và PDSN, cùng với các bí mật dùng chung MN-HA được phân bố động cho cả MS và HA để nhận thực muộn hơn. Các bí mật này được bảo vệ bằng mật mã hóa bởi mạng AAA quá giang. PDSN sau đó trả lời các giá trị này cho MS và MS bắt đầu sử dụng địa chỉ nhà mới của nó.
Kết luận:
Các file đính kèm theo tài liệu này:
- Bao ve.doc