Tài liệu Đề tài Tìm hiểu mạng riêng ảo VPN: MỤC LỤC
Trang
DANH MỤC CÁC HÌNH
Trang
Hình 1.1. Cơ chế truyền tunnel số liệu gói vô tuyến 4
Hình 1.2. Thí dụ kiến trúc số liệu gói cdma2000 6
Hình 1.3. Thí dụ các ngăn xếp giao thức của dịch vụ gói cdma2000 7
Hình 1.4. Phân cấp di động cdma2000 10
Hình 1.5. Mạng lõi cdma2000 điển hình cùng với các hệ thống AAA 12
Hình 1.6. Kiến trúc GPRS 14
Hình 1.7. Kiến trúc UMTS 15
Hình 1.8. Kiến trúc ngăn xếp giao thức mặt phẳng người sử dụng GPRS và UMTS 17
Hình 2.1. Truyền tunnel trong nối mạng riêng ảo 29
Hình 2.2. Che đậy địa chỉ IP bằng tunnel 30
Hình 2.4. VPN tự ý trên mạng TTDĐ 2G 35
Hình 2.5. VPN bắt buộc 37
Hình 2.6. Một số tùy chọn VPN móc nối (trong môi trường GPRS). 38
Hình 2.7. Extranet VPN động 41
Hình 2.8. Truy nhập từ xa hữu tuyến sử dụng phương tiện hãng khác 42
Hình 2.9. VPN trong các môi trường vô tuyến 44
Hình 2.10. Cây phả hệ VPN 47
Hình 3.2. Kiến trúc IP với chế độ truy nhập dựa trên PCO 53
Hình 3.3. DHCPv4 trong các hệ thống GPRS 55
Hình 3.4. PPP Relay ...
99 trang |
Chia sẻ: hunglv | Lượt xem: 1237 | Lượt tải: 0
Bạn đang xem trước 20 trang mẫu tài liệu Đề tài Tìm hiểu mạng riêng ảo VPN, để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên
MỤC LỤC
Trang
DANH MỤC CÁC HÌNH
Trang
Hình 1.1. Cơ chế truyền tunnel số liệu gói vô tuyến 4
Hình 1.2. Thí dụ kiến trúc số liệu gói cdma2000 6
Hình 1.3. Thí dụ các ngăn xếp giao thức của dịch vụ gói cdma2000 7
Hình 1.4. Phân cấp di động cdma2000 10
Hình 1.5. Mạng lõi cdma2000 điển hình cùng với các hệ thống AAA 12
Hình 1.6. Kiến trúc GPRS 14
Hình 1.7. Kiến trúc UMTS 15
Hình 1.8. Kiến trúc ngăn xếp giao thức mặt phẳng người sử dụng GPRS và UMTS 17
Hình 2.1. Truyền tunnel trong nối mạng riêng ảo 29
Hình 2.2. Che đậy địa chỉ IP bằng tunnel 30
Hình 2.4. VPN tự ý trên mạng TTDĐ 2G 35
Hình 2.5. VPN bắt buộc 37
Hình 2.6. Một số tùy chọn VPN móc nối (trong môi trường GPRS). 38
Hình 2.7. Extranet VPN động 41
Hình 2.8. Truy nhập từ xa hữu tuyến sử dụng phương tiện hãng khác 42
Hình 2.9. VPN trong các môi trường vô tuyến 44
Hình 2.10. Cây phả hệ VPN 47
Hình 3.2. Kiến trúc IP với chế độ truy nhập dựa trên PCO 53
Hình 3.3. DHCPv4 trong các hệ thống GPRS 55
Hình 3.4. PPP Relay sử dụng L2TP 58
Hình 3.5. PPP kết cuối tại GGSN 59
Hình 3.6. Kiến trúc hệ thống trả trước theo CAMEL giai đoạn 3 62
Hình 3.7. Kiến trúc chuyển mạng GPRS 63
Hình 3.8. Chuyển mạng GPRS với GGSN trong mạng khách 65
Hình 3.12. Mô hình kiến trúc của IP VPN đơn giản 68
Hình 3.13. Mô hình tham khảo giao thức IP VPN đơn giản 69
Hình 3.14. Thiết lập kết nối IP VPN đơn giản 70
Hình 3.15. Các phương pháp MIP VPN 71
Hình 3.16. Kiến trúc HA VPN công cộng 72
Hình 3.17. Ngăn xếp giao thức HA VPN công cộng 73
Hình 3.18. Kiến trúc HA VPN riêng và ngăn xếp 75
Hình 3.19. Thiết lập HA động 80
Hình 3.20. Kiến trúc AAA dựa trên cdma2000 RADIUS và mô hình tham khảo giao thức 84
THUẬT NGỮ VÀ TỪ VIẾT TẮT
A
AA
Acccess Accept
ChÊp nhËn truy nhËp
AA
Agent advertisement
Qu¶ng c¸o t¸c nh©n
AAA
Authentication, Authorization and Accounting
NhËn thùc, trao quyÒn vµ thanh to¸n
AC
Access Control
§iÒu khiÓn truy nhËp
AH
Authentication Header
Tiªu ®Ò nhËn thùc
ANSI
American National Standard Institute
ViÖn nghiªn cøu tiªu chuÈn quèc gia Mü
AP
Access Point
§iÓm truy nhËp
APN
Access Point Name
Tªn ®iÓm truy nhËp
ARQ
Automatic Repeat Request
Yªu cÇu ph¸t l¹i tù ®éng
AS
Agent sollicitation
Nµi xin t¸c nh©n
ASN
Abract Syntaxe Notation
Ký hiÖu có ph¸p trõu tîng
ASP
Application Service Provider
Nhµ cung cÊp dÞch vô øng dông
ATM
Asynchronous Transfer Mode
ChÕ ®é truyÒn di bé
Auth
Authentication
NhËn thùc
AVP
Attribute-Value Pair
CÆp gi¸ trÞ thuéc ng÷
b
BGP
Border Gateway Protocole
Giao thøc cæng biªn
BSS
Base Station System
HÖ thèng tr¹m gèc
BSSGP
BSS GPRS Protocol
Giao thøc BSS GPRS
C
CA
Certificate Authority
ThÈm quyÒn chøng nhËn
CAMEL
Customized Application for Mobile Network Enhanced Logic
øng dông kh¸ch hµng hãa cho logic ®îc m¹ng di ®éng t¨ng cêng
CAP
CAMEL Application Part
PhÇn øng dông CAMEL
CC
Customer Churn
X¸o trén kh¸ch hµng
CCoA
Collocated Care of Address
Ch¨m sãc ®Þa chØ ®îc ®ång vÞ trÝ
CDMA
Code Division Multiple Access
§a truy nhËp ph©n chia theo m·
CDR
Charging Data Record
B¶n ghi sè liÖu tÝnh cíc
CGF
Charging Gateway Function
Chøc n¨ng cæng tÝnh cíc
CHAP
Challenge Handshake Authentication Protocol
Giao thøc nhËn thùc b¾t tay khÈu lÖnh
CLP
Cell Loss Priority
¦u tiªn mÊt tÕ bµo
CN
Correspondent Node
Nót ®èi t¸c
CoA
Care of Address
PhÇn ch¨m sãc ®Þa chØ
COPS
Common Open Policy Service
DÞch vô chÝnh s¸ch më chung
CoS
Class of Service
Lo¹i dÞch vô
CP
Captive Portal
Cæng b¾t gi÷
CRL
Certificate Revocation List
Danh s¸ch hñy bá chøng nhËn
CS
Circuit Switch(ed)
ChuyÓn m¹ch kªnh
CSCF
Call Session Control Function
Chøc n¨ng ®iÒu khiÓn phiªn cuéc gäi
CSD
Circuit-Switched Data
Sè liÖu chuyÓn m¹ch kªnh
d
DHCP
Dynamic Host Configuration Protocol
Giao thøc lËp cÊu h×nh m¸y tr¹m ®éng
DIAMETER
Giao thøc RADIUS c¶i tiÕn nh»m ®Þnh nghÜa quan hÖ ®ång cÊp cña c¸c thùc thÓ ®ång cÊp
DiffSrv
Differentiated Services
C¸c dÞch vô ®îc ph©n lo¹i
DLCI
Data Link Connection Identifier
NhËn d¹ng kÕt nèi liªn kÕt sè liÖu
DNS
Domain Name System
HÖ thèng tªn miÒn
DSCP
Differentiated Service Code Point
§iÓm m· dÞch vô ®îc ph©n lo¹i
DSL
Digital Subscriber Line
§êng thuª bao sè
DSLAM
DSL Access Multiplex
GhÐp kªnh DSL
DTM
Dual Transfert Mode
Hai chÕ ®é truyÒn
e
EAP
Extensible Authentication Protocol
Giao thøc nhËn thùc më réng ®îc
EHF
Extension Header Flag
Cê chØ thÞ sù tån t¹i cña trêng tiªu ®Ò më réng tiÕp theo
ESP
Encapsulating Security Payload
T¶i tin ®ãng bao an ninh
f
FA
Foreign Agent
T¸c nh©n ngoµi
FEC
Forwarding Equivalence Class
Lo¹i t¬ng ®¬ng ®Þnh tuyÕn
FL
Flow Label
Nh·n theo luång (dßng chÈy)
FQDN
Full Qualified Domain Name
Tªn miÒn ®îc hoµn toµn ph©n lo¹i
FR
Frame Relay
ChuyÓn tiÕp khung
g
GERAN
GSM EDGE RAN
M¹ng truy nhËp v« tuyÕn GSM EDGE
GGSN
Gateway GPRS Support Node
Node hç trî GPRS cæng
GMM
GPRS Mobility Management
Qu¶n lý di ®éng GPRS
GMSC
Gateway MSC
MSC cæng
GPRS
General Packet Radio Service
DÞch vô v« tuyÕn gãi chung
GRE
Generic Routing Encapsulation
§ãng bao ®Þnh tuyÕn chung
GSM
Global System For Mobile Telecommunications
HÖ thèng th«ng tin di ®éng toµn cÇu
GTP
GPRS Tunneling Protocol
Giao thøc truyÒn tunnel GPRS
GTP-C
GTP- Control Plane
Giao thøc GTP mÆt ph¼ng ®iÒu khiÓn
GTP-U
GTP-User Plane
Giao thøc GTP mÆt ph¼ng ngêi sö dông
GW
Gateway
Cæng
h
HA
Home Agent
T¸c nh©n nhµ
HAAA
Home AAA
AAA nhµ (xem AAA)
HLR
Home Location Register
Bé ghi dÞnh vô thêng tró
HPMLN
Home PLMN
M¹ng PLMN nhµ
HSS
Home Subscriber Server
Server thuª bao nhµ
i
IBGP
Internet Border Gateway Protocol
Giao thøc cæng biªn internet
IE
Information Element
PhÇn tö th«ng tin
IKE
Internet Key Exchange
Trao ®æi kho¸ Internet
IMA
Inverse Multiplexing ATM
ATM ghÐp kªnh ®¶o
IMSI
International Mobile Station Identifier
NhËn d¹ng thuª bao duy nhÊt toµn cÇu
IP
Internet Protocol
Giao thøc Internet
IPCP
IP Configuration Protocol
Giao thøc lËp cÊu h×nh IP
IPIP
IP in IP
Giao thøc IP trong IP
IPSec
IP Security
An ninh IP
ISP
Internet Service Provider
Nhµ cung cÊp dÞch vô Internet
IT
Information Technology
C«ng nghÖ th«ng tin
IWF
Interworking Function
Chøc n¨ng t¬ng t¸c
IXC
Internet Exchange
Tæng ®µi internet
l
L2F
Layer Two Forwarding
ChuyÓn ®i líp 2
L2TP
L2 Tunneling Protocol
Giao thøc truyÒn tunnel líp 2
LAC
L2TP Access Concentrator
Bé tËp trung truy nhËp L2TP
LCP
Link Control Protocol
Giao thøc ®iÒu khiÓn liªn kÕt
LDAP
Lightweight Directory Access Protocol
Giao thøc truy nhËp danh môc träng lîng nhÑ
LLC
Logical Link Control
§iÒu khiÓn liªn kÕt logic
LNS
L2TP Network Server
M¸y chñ m¹ng L2TP
LSP
Label Switched Path
TuyÕn chuyÓn m¹ch theo nh·n
m
MAC
Medium Access Control
§iÒu khiÓn m«i trêng
MD
Message Digest
Tãm t¾t b¶n tin
MIP
Mobile IP
IP di ®éng
MN
Mobile Node
Nót di ®éng
MPLS
Multi-Protocol Label Switching
ChuyÓn m¹ch nh·n ®a giao thøc
MSC
Mobile Services Switched Center
Trung t©m chuyÓn m¹ch c¸c dÞch vô di ®éng
MT
Mobile Termination
KÕt cuèi di ®éng
MVPN
Mobile Virtual Private Network
M¹ng riªng ¶o di ®éng
n
NAI
Network Access Identifier
NhËn d¹ng truy nhËp m¹ng
NAS
Network Access Server
M¸y chñ truy nhËp m¹ng
NAT
Network Address Translation
Biªn dÞch ®Þa chØ m¹ng
NCP
Network Control Protocol
Giao thøc ®iÒu khiÓn m¹ng
o
OA&M
Operation Administration and Maintenance Center
Khai th¸c, qu¶n trÞ vµ b¶o dìng
OSA
Open Services Architecture
KiÕn tróc c¸c dÞch vô më
p
PAD
Packet Assembler and Deassembler
§ãng vµ th¸o bao gãi
PAP
Password Authentication Protocol
Giao thøc nhËn thùc mËt khÈu
PC
PDP context
Ng÷ c¶nh PDP
PCF
Packet Control Function
Chøc n¨ng ®iÒu khiÓn gãi
PCO
Protocol Configuration Options
C¸c tïy chän cÊu h×nh
PCU
Packet Control Unit
§¬n vÞ ®iÒu khiÓn sè liÖu
PDCP
Packet Data Convergence Protocol
Giao thøc héi tô sè liÖu gãi
PDN
Packet Data Network
M¹ng sè liÖu gãi
PDP
Packet Data Protocol
Giao thøc sè liÖu gãi
PDSN
Packet Data Serving Node
Node phôc vô sè liÖu gãi
PDU
Protocol Data Unit
§¬n vÞ sè liÖu giao thøc
PE
Provider Edge
Biªn nhµ cung cÊp
PIN
Personal Identitification Number
Sè nhËn d¹ng c¸ nh©n
PKI
Public Key Infrastructure
C¬ së h¹ tÇng kho¸ c«ng céng
PLMN
Public Land Mobile Network
M¹ng di ®éng mÆt ®Êt c«ng céng
PMM
Packet Mobility Management
Qu¶n lý di ®éng gãi
POP
Point of Presence
§iÓm ®¹i diÖn
PPP
Point-to-Point Protocol
Giao thøc ®iÓm ®Õn ®iÓm
PS
Packet Switch(ed)
ChuyÓn m¹ch gãi
q
QoS
Quality of Service
ChÊt lîng dÞch vô
r
RADIUS
Remote Authentication Dial-in User Service
DÞch vô nhËn thùc ngêi dïng quay sè tõ xa
RAN
Radio Access Network
M¹ng truy nhËp v« tuyÕn
RANAP
Radio Access Application Part
PhÇn øng dông truy nhËp v« tuyÕn
RAS
Remote Access Server
M¸y chñ truy nhËp tõ xa
RLC
Radio Link Control
§iÒu khiÓn liªn kÕt v« tuyÕn
RLP
Radio Link Protocol
Giao thøc liªn kÕt v« tuyÕn
RNC
Radio Network Controller
Bé ®iÒu khiÓn m¹ng v« tuyÕn
RP
RADIUS Proxy
§¹i diÖn RADIUS
R-P
Radio-Packet
V« tuyÕn-gãi
RRP
Registration Response
Tr¶ lêi ®¨ng kÝ
RRQ
Registration Request
Yªu cÇu ®¨ng kÝ
s
SA
security association
Liªn kÕt an ninh
SAAL-NNI
Signaling ATM Adaptation Layer Network-to-Network Interface
Giao diÖn m¹ng ®Õn m¹ng líp thÝch øng ATM cña b¸o hiÖu
SAD
Security Association Database
C¬ së d÷ liÖu liªn kÕt an ninh
SCCP
Signaling Connection Control Part
PhÇn ®iÒu khiÓn kÕt nèi b¸o hiÖu
SCF
Service Charging Function
Chøc n¨ng tÝnh cíc dÞch vô
SCTP
Stream Control Transmission Protocol
Giao thøc truyÒn dÉn ®iÒu khiÓn luång
SGSN
Serving GPRS Support Node
Nót hç trî GPRS phôc vô
SI
Simple IP
IP ®¬n gi¶n
SIM
Subscriber Identity Module
Modul nhËn d¹ng thuª bao
SLA
Service Level Agreement
Tho¶ thuËn møc dÞch vô
SM
Session Management
Qu¶n lý phiªn
SMS
Short Message Service
DÞch vô b¶n tin ng¾n hay nh¾n tin
SNDCP
Subnetwork Dependent Convergence Protocol
Giao thøc héi tô phô thuéc m¹ng con
SP
Security Police
ChÝnh s¸ch an ninh
SPD
Security Policy Database
C¬ së d÷ liÖu chÝnh s¸ch an ninh
t
TDMA
Time Division Multiple Access
§a truy nhËp ph©n chia theo thêi gian
TE
Terminal Equipment
ThiÕt bÞ ®Çu cuèi
TEID
Tunnel Endpoint Identifier
Sè nhËn d¹ng ®Çu cuèi tunnel
TID
Tunnel Identifier
Sè nhËn d¹ng tunnel
TLS
Transport Layer Security
An ninh líp truyÒn t¶i
u
UMTS
Universal Mobile Telecommunications System
HÖ thèng th«ng tin di ®éng toµn cÇu
USIM
UMTS Subscriber Identity Module
Modul nhËn d¹ng thuª bao UMTS
UTRAN
UMTS Terrestrial Radio Access Network
M¹ng truy nhËp mÆt ®Êt cña UMTS
v
VAAA
Visited AAA
AAA kh¸ch (xem AAA)
VAS
Value Added Service
DÞch vô gi¸ trÞ gia t¨ng
VLR
Visitor Location Register
Bé ghi ®Þnh vÞ t¹m tró
VoIP
Voice Over IP
Tho¹i trªn IP
VPI
Virtual Path Identifier
NhËn d¹ng tuyÕn ¶o
VPLMN
Visited PLMN
PLMN kh¸ch
VPN
Virtual Private Network
M¹ng riªng ¶o
VR
Virtual Router
Router ¶o
w
WAN
Wide Area Network
M¹ng diÖn réng
WAP
Wireless Application Protocol
Giao thøc øng dông v« tuyÕn
WLAN
Wireless LAN
M¹ng LAN v« tuyÕn
WWW
World Wide Web
Web toµn cÇu
LỜI MỞ ĐẦU
Ngày nay, thông tin di động đã trở thành một ngành công nghiệp viễn thông phát triển nhanh nhất và phục vụ những yêu cầu trao đổi thông tin hữu hiệu nhất. Để đáp ứng các nhu cầu về chất lượng và dịch vụ ngày càng nâng cao, mạng thông tin di động ngày càng được cải tiến, cụ thể là xu hướng chuyển đổi từ hệ thống thông tin di động thế hệ hai sang thế hệ ba.
Mặc dù thông tin di động thế hệ hai (2G) đã sử dụng công nghệ số nhưng vì là hệ thống băng hẹp và xây dựng trên cơ chế chuyển mạch kênh nên không thể đáp ứng được các kiểu dịch vụ mới như truyền số liệu tốc độ bit thấp và cao, truy nhập Internet tốc độ cao, đa phương tiện, truyền video và các dịch vụ yêu cầu băng thông lớn khác, vậy nên sự ra đời và phát triển mạnh mẽ của các hệ thống thông tin di động thế hệ ba (UMTS và CDMA2000) là một điều tất yếu.
Song song với sự phát triển mạnh mẽ của các mạng thông tin di động là sự phát triển liên tục của mạng Internet, mạng truyền số liệu lớn nhất và phổ biến nhất trên toàn thế giới. Từ khi ra đời đến nay, mạng Internet đã tạo ra những thay đổi cơ bản phong cách làm việc, khai thác thông tin và giải trí của con người.
Tính tại thời điểm gần đây số thuê bao sử dụng các dịch vụ vô tuyến trên toàn thế giới là vào khoảng hơn một tỷ người. Bên cạnh đó số lượng các máy chủ Internet cũng vào khoảng hơn 200 triệu host. Và theo những nghiên cứu gần đây, 80% người sử dụng Internet thì cũng là các thuê bao sử dụng các dịch vụ di động, và 40% trong số họ là những người sử dụng với các mục đích kinh doanh.
Như vậy không có gì ngạc nhiên khi ngày càng có nhiều người quan tâm hơn đến dịch vụ truyền số liệu vô tuyến, gồm cả các ứng dụng thương mại và trao đổi thông thường. Một trong những xu hướng phát triển hứa hẹn gần đây trong lĩnh vực thương mại đó là việc sử dụng công nghệ nối mạng riêng ảo VPN trong các hệ thống truyền thông số liệu để đảm bảo an ninh cho các kết nối tới các mạng riêng từ xa qua các hạ tầng dùng chung không tin cậy, mà ở đây chính là mạng Internet.
Mạng riêng ảo VPN được định nghĩa không chặt chẽ là một mạng trong đó kết nối khách hàng giữa các site được triển khai trên một hạ tầng cơ sở chia sẻ với cùng các chính sách truy nhập và an ninh như một mạng riêng. Với việc phát hiện gần đây về các hoạt động tiếp thị xung quanh thuật ngữ VPN, từ các công nghệ mới hỗ trợ VPN, các sản phẩm và dịch vụ được cung cấp bởi VPN khiến cho chúng ta có suy nghĩ rằng VPN là một công nghệ mới. Tuy nhiên VPN là khái niệm về công nghệ đã có hơn 10 năm và được sử dụng rất phổ biến trong thị trường công nghiệp viễn thông.
Một trong những ứng dụng mới nhất của VPN là MVPN, nghĩa là đưa công nghệ VPN vào môi trường vô tuyến. Các mạng riêng ảo di động (MVPNs) cho phép truyền thông riêng tư đảm bảo truyền thông an ninh qua các mạng di động dùng chung được cung cấp bởi các nhà khai thác vô tuyến và các nhà cung cấp dịch vụ Internet không dây. Nói cách khác, MVPN là sự phỏng tạo của các mạng số liệu di động an ninh riêng dựa trên các phương tiện vô tuyến và di động an ninh dùng chung.
Ý nghĩa của các mạng MVPN đối với các khách hàng như sau:
Đảm bảo an ninh khi truy nhập mạng với các hiệu năng dự kiến được
Đảm bảo chỉ có những thành viên được phép mới được truy nhập tới các mạng này.
Ở Việt Nam, hệ thống GSM đã được đưa vào từ năm 1993 và đang hoạt động rất hiệu quả. Tuy nhiên theo xu thế chung, việc nâng cấp lên mạng 3G là tất yếu trong bối cảnh cạnh tranh trên thị trường mạng thông tin di động. Internet cũng chỉ mới phổ biến vài năm gần đây và hiện nay cơ sở hạ tầng còn rất hạn chế. Tuy nhiên việc mở rộng thị trường viễn thông và tin học cộng với nhu cầu sử dụng ngày càng tăng chắc chắn sẽ thúc đẩy Internet Việt Nam phát triển ngang tầm với các nước trong khu vực và trên thế giới. Việc cung cấp tính năng di động có hiệu quả cho mạng Internet do đó chỉ còn là vấn đề thời gian.
Chính vì vậy, trong đồ án tốt nghiệp của mình tôi đã lựa chọn đề tài “Công nghệ nối mạng riêng ảo di động MVPN cho 3G” nhằm tìm hiểu các giải pháp kĩ thuật, công nghệ MVPN cho các hệ thống thông tin di động GPRS/UMTS và cdma2000. Hy vọng rằng trong thời gian tới khi mạng thông tin di động thế hệ ba đã được triển khai rộng rãi ở nước ta thì đồ án sẽ là một tài liệu hữu ích cho tất cả những ai quan tâm tới vấn đề này.
Về nội dung đồ án được chia ra làm ba chương:
Chương I: Trình bày tổng quan về các công nghệ nối mạng vô tuyến, bao gồm các công nghệ chuyển mạch kênh và các công nghệ chuyển mạch gói trong các hệ thống 2G và 3G, chủ yếu đi sâu thêm về nối mạng số liệu gói trong cdma2000 và GPRS/UMTS PS
Chương II: Trình bày về tổng quan VPN và MVPN. Phân loại công nghệ VPN và chuyển từ hữu tuyến sang vô tuyến.
Chương III: Là phần chính trong đó nêu ra các giải pháp MVPN cho các hệ thống GPRS/UMTS và cdma2000.
Kết luận: Tóm tắt lại những kiến thức đã thu được và một số hướng phát triển trong tương lai.
Cuối cùng em xin bày tỏ lòng biết ơn chân thành nhất đối với Tiến sĩ Nguyễn Phạm Anh Dũng - Phó khoa Viễn Thông I, Học viện Công nghệ Bưu chính Viễn thông, người thầy đã tận tình hướng dẫn em trong quá trình học tập, nghiên cứu để hoàn thành đồ án tốt nghiệp này.
Em xin chân thành cảm ơn các anh chị trong Công ty Dịch Vụ Viễn Thông GPC đã tạo điều kiện và giúp đỡ em trong quá trình thực tập, nghiên cứu và hoàn thành đồ án.
Em cũng xin chân thành cảm ơn sự ủng hộ và giúp đỡ về mọi mặt của các thầy các cô khoa Viễn Thông I- Học viện Công nghệ Bưu chính Viễn thông đã tạo mọi điều kiện giúp đỡ em hoàn thành nhiệm vụ học tập của mình.
Cuối cùng con xin chân thành cảm ơn ba mẹ, cảm ơn các bạn trong lớp D2001VT và những người thân trong gia đình đã giúp đỡ, động viên con trong suốt 5 năm học tập vừa qua.
CHƯƠNG 1: TỔNG QUAN CÁC CÔNG NGHỆ NỐI MẠNG VÔ TUYẾN
1.1. CÁC CÔNG NGHỆ NỐI MẠNG SỐ LIỆU CHUYỂN MẠCH KÊNH VÀ CHUYỂN MẠCH GÓI
Với nối mạng số liệu vô tuyến CS, các kênh dành riêng được ấn định cho các thuê bao dù họ có sử dụng hay không. Về mặt lý thuyết, điều này cung cấp băng thông hiệu dụng lớn hơn cho các người sử dụng bằng cách dành riêng toàn bộ kênh cho từng người sử dụng. Dịch vụ số liệu được cung cấp thông qua mô hình quay số vô tuyến giống như truy nhập từ xa bằng quay số ở hữu tuyến. Người sử dụng quay một số điện thoại liên kết với một NAS (Network Access Server) dùng cho một dịch vụ số liệu vô tuyến đặc thù. Khi kết nối vật lý (kênh) đã được thiết lập giữa MS và NAS, PPP được sử dụng để cung cấp dịch vụ liên kết đầu cuối-đầu cuối. Có thể kết cuối dễ dàng phiên PPP của người sử dụng bằng cách sử dụng các kỹ thuật quay số đơn giản dựa trên các ngân hàng modem hay RAS (Remote Access Server) bao gồm chức năng IWF (InterWorking Function) với cập nhật phần mềm để nó phù hợp với môi trường vô tuyến. Thông thường IWF cần kết cuối các giao thức truy nhập vô tuyến (RLP) và tương tác với PSTN khi cần thiết. Trong một số trường hợp, IWF cũng có thể chuyển PPP đến một mạng riêng sử dụng L2TP.
Khác với CS, các công nghệ nối mạng số liệu PS vô tuyến dựa trên hỗ trợ mạng truy nhập vô tuyến để ghép kênh thống kê các phiên người sử dụng trên giao diện vô tuyến. Các tài nguyên mạng số liệu gói chỉ được dùng trong thời gian truyền số liệu và không được dùng trong các thời gian rỗi, vì thế hệ thống hiệu quả hơn vì mọi nguồn lưu lượng có thể sử dụng các tài nguyên khi các tài nguyên này không bị nguồn khác sử dụng. Ghép kênh thống kê là một tính chất quan trọng của tất cả các hệ thống nối mạng số liệu gói. Ghép kênh thống kê làm cho các hệ thống nối mạng số liệu gói trở nên hiệu quả hơn các hệ thống dựa trên CS, vì các hệ thống CS cung cấp kênh riêng cho từng người sử dụng nên chúng không thể sử dụng hoàn toàn khi các mẫu truyền dẫn số liệu có dạng cụm. Tuy nhiên điều này cũng có nghĩa là các người sử dụng dùng chung các mạng phương tiện phải tranh chấp cho băng thông khả dụng, nên đôi khi dẫn đến nghẽn, trễ và hiệu suất thông lượng trên một người sử dụng thấp hơn.
Tranh chấp truy nhập cho các tài nguyên dùng chung là vấn đề điển hình không chỉ đối với các môi trường gói thông tin di động (TTDĐ) mà cả với WLAN. Trong các hệ thống TTDĐ hỗ trợ truy nhập chế độ gói, để sử dụng hiệu quả các tài nguyên, các kênh mang truy nhập vô tuyến chỉ được cấp phát tạm thời cho một người sử dụng. Sau một khoảng thời gian không tích cực, MS chuyển vào chế độ rỗi (chẳng hạn trong GPRS) hay chế độ ngủ (trong cdma2000). Chế độ này cho phép MS luôn có thể được kết nối bằng cách gửi báo hiệu và số liệu đến địa chỉ lớp mạng của nó bằng cách sử dụng các thủ tục cập nhật vị trí và tìm gọi, trong khi không tài nguyên dành riêng nào tích cực để cho phép MS gửi và nhận số liệu. Khi cần nhận số liệu, MS được tìm gọi, nó "tỉnh giấc" và phát đi yêu cầu thiết lập kênh mang vô tuyến để được phép thu số liệu. MS cũng phát đi yêu cầu như vậy khi nó cần phát số liệu và khi không có kênh mang vô tuyến được thiết lập.
Hỗ trợ nối mạng di động số liệu gói về mặt khái niệm giống nhau đối với các hệ thống nối mạng số liệu vô tuyến khác. Nó dựa trên các cơ chế truyền tunnel khác nhau như MIP (sử dụng trong cdma2000) và GTP (sử dụng trong GSM và UMTS), cả hai cơ chế này sẽ được phân tích sau trong chương này. Mô hình truyền tunnel số liệu gói chung này được cho ở hình 1.1. Các tunnel trên hình vẽ (được biểu thị bằng các đường ngắt quãng đậm nét (cho các tunnel quá khứ) và các đường liên tục (cho các tunnel hiện thời, tích cực) được thiết lập động giữa điểm nhập mạng vô tuyến hiện thời của MS và một "điểm neo" tunnel hay mạng nhà, đóng vai trò như một cổng cho mạng số liệu di động mà từ đó người sử dụng nhận được dịch vụ truy nhập. Vì MS thay đổi động vị trí trong mạng (chẳng hạn di chuyển qua vùng địa lý nào đó từ một MSC này đến một MSC khác hay đang ở biên MSC) các tunnel được thiết lập động giữa mạng nhà của MS và mạng truy nhập vô tuyến khách.
Hình 1.1. Cơ chế truyền tunnel số liệu gói vô tuyến
Phần lớn các người sử dụng số liệu trước đây quen thuộc với truy nhập từ xa quay số hữu tuyến đều không gặp khó khăn gì khi làm quen với các dịch vụ số liệu chuyển mạch kênh vô tuyến. Điều này cho phép tốc độ tiếp nhận số liệu CS khá cao, mặc dù băng thông nhỏ và các giới hạn khác của nó làm hạn chế mong muốn thường xuyên sử dụng dịch vụ này và sử dụng nó trong thời gian dài. Tất cả các tính năng truy nhập quay số hữu tuyến quen thuộc đều có trong nối mạng số liệu CS vô tuyến: Chuỗi mật khẩu đăng nhập quen thuộc, khả năng truy nhập mạng hãng đơn giản bằng cách quay các số điện thoại đặc thù, các thủ tục lập cấu hình tương tự trên các thiết bị client của người sử dụng như máy tính xách tay.
1.2. SỐ LIỆU GÓI CDMA2000
Trong phần này chúng ta sẽ trình bầy kiến trúc số liệu gói liên kết với giao diện vô tuyến cdma2000. Kiến trúc này cho phép các nhà cung cấp dịch vụ vô tuyến di động cung cấp các dịch vụ gói hai chiều sử dụng IP. Để cung cấp chức năng này, cdma2000 sử dụng hai phương pháp: Simple IP (IP đơn giản) và MIP (Mobile IP: IP di động).
Trong IP đơn giản, nhà cung cấp phải ấn định cho người sử dụng một địa chỉ IP động. Địa chỉ này giữ nguyên không đổi khi người sử dụng duy trì kết nối với cùng một mạng IP trong miền của nhà khai thác di động, nghĩa là cho đến khi người sử dụng này không ra ngoài vùng phủ của một PDSN (Packet Data Serving Node: Nút phục vụ số liệu gói). Tuy nhiên một địa chỉ IP mới phải nhận được khi người sử dụng nhập vào một mạng IP khác, nghĩa là vào một vùng phủ của một PDSN khác. Dịch vụ IP đơn giản không cho phép chứa bất kỳ sơ đồ truyền tunnel nào để cung cấp di động trên lớp mạng như đã trình bầy trong phần đầu của chương này và chỉ hỗ trợ di động trong các biên giới địa lý nhất định.
Lưu ý một trong các ưu điểm đáng kể của IP đơn giản và không giống như MIP, nó không đòi hỏi phần mềm đặc biệt cài đặt trong trạm di động. Toàn bộ nhu cầu của MS là các khả năng đầu cuối và ngăn xếp PPP giống như ngăn xếp được sử dụng để thiết lập phiên quay số hữu tuyến, thường được kết hợp với các hệ điều hành hiện đại nhất như PocketPC2002 và Windows XP.
Phương pháp truy nhập MIP phần lớn dựa trên [RFC2002], nay thay bằng [RFC3220]. Trước hết trạm di động được nhập vào một PDSN phục vụ có hỗ trợ chức năng FA và được ấn định địa chỉ IP bởi HA của nó. MIP cho phép MS duy trì địa chỉ IP của mình trong thời gian phiên trong khi di chuyển trong mạng cdma2000 hay sang mạng khác hỗ trợ MIP.
Đối với các MS tương thích với tiêu chuẩn TIA/EIA [IS-2000] được nối vào một mạng cdma2000-1x, có thể thay đổi số liệu khả dụng giữa tốc độ số liệu cơ bản 9,6kbps và các tốc độ cụm sau: 19,2kbps; 38,4kbps; 76,8kbps và 153,6kbps.
Các cụm tốc độ cao hơn này được ấn định bởi cơ sở hạ tầng dựa trên nhu cầu của người sử dụng và tính khả dụng của tài nguyên (cả băng thông vô tuyến lẫn các phần tử hạ tầng). Các cụm dành cho một MS thường là đoạn thời gian ngắn từ 1 đến 2 giây. Khi này tài nguyên và tình trạng di động được đánh giá lại. Cấp phát cụm được thực hiện độc lập với nhau trên đường lên và đường xuống.
1.2.1. Kiến trúc hệ thống số liệu gói cdma2000
Kiến trúc hệ thống số liệu gói cdma2000 được cho như hình 1.2.
Kiến trúc trên hình 1.2 bao gồm các phần tử sau:
+ MS có dạng máy cầm tay, PDA hay PCMCIA card trong máy tính sách tay/cầm tay hỗ trợ Simple IP hay MIP client hay cả hai.
+ Cdma2000-1x RAN (Mạng truy nhập gói cdma2000-1x).
Hình 1.2. Thí dụ kiến trúc số liệu gói cdma2000
+ PCF (Packet Control Function: Chức năng điều khiển gói).
+ PDSN hỗ trợ chức năng FA trong trường hợp MIP.
+ HA (cho phương pháp truy nhập MIP).
Khi MS kết nối đến cdma2000 BTS, trước hết nó thiết lập kết nối đến một PDSN. Trong trường hợp MIP, sau đó MS được kết nối đến HA phục vụ của mình bằng một tunnel giữa PDSN/FA và HA được thiết lập bằng cách sử dụng MIP. Địa chỉ IP của MS được ấn định từ không gian địa chỉ của HA của nó hoặc được cung cấp tĩnh hoặc được ấn định động tại đầu mỗi phiên. Tại MIP mức cao, nhận thực và trao quyền thường được thực hiện tại cả PDSN và HA bằng cách yêu cầu hạ tầng AAA. Trong trường hợp Simple IP, địa chỉ phải được ấn định cho MS bởi PDSN và không được cung cấp cố định trong MS. Nhận thực cho phương pháp truy nhập này chỉ dựa trên PDSN.
Kết nối giữa MS và PDSN phục vụ của nó đòi hỏi thiết lập một lớp kết nối thứ hai cho thông tin IP. Kết nối này được đảm bảo bởi giao thức PPP được định nghĩa bởi [RFC1661] và hỗ trợ IPCP, LCP, PAP và CHAP. PPP được khởi đầu bởi MS trong quá trình đàm phán kết nối và kết cuối bởi PDSN. Giữa mạng vô tuyến cdma2000 và PDSN, lưu lượng PPP được đóng bao vào giao diện R-P (Radio-Packet). Thí dụ ngăn xếp giao thức cdma2000 cho cả trường hợp Simple IP và MIP được cho ở hình 1.3.
PCF được cho trên hình vẽ là phần tử của mạng cdma2000 RAN chịu trách nhiệm thiết lập giao diện R-P và xử lý. Nó thường được thực hiện như một phần tử của cdma2000 MSC. (Ngoại trừ kiến trúc cdma2000-1xEVDO không dựa trên MSC). PCF có thể được thực hiện ở đây như là một bộ phận của 1xEVDO RNC (RNC: Radio Network Controller: Bộ điều khiển mạng hay BSC, tùy thuộc vào nhà cung cấp). Cũng có thể có thực hiện PCF riêng. Sau khi kết nối lớp liên kết được thiết lập, PCF chỉ đơn giản chuyển tiếp các khung PPP giữa thiết bị di động và PDSN. Một chức năng quan trọng khác của PCF là hỗ trợ di động vi mô được thực hiện bằng cách cho phép MS thay đổi PCF trong khi vẫn giữ MS gắn với cùng một PDSN và nhớ đệm số liệu của người sử dụng khi đoạn nối vô tuyến ngủ được kết nối lại. ý nghĩa của tính năng này sẽ được giải thích sau trong chương này.
Hình 1.3. Thí dụ các ngăn xếp giao thức của dịch vụ gói cdma2000
Vai trò chính của PDSN trong kiến trúc cdma2000 là kết cuối các phiên PPP khởi xướng từ MS và cung cấp chức năng FA (trong trường hợp dịch vụ MIP được yêu cầu) hay truyền các gói IP đến chặng tiếp theo khi IP đơn giản được sử dụng. PDSN cũng có nhiệm vụ nhận thực các người sử dụng và trao quyền cho họ đối với các dịch vụ được yêu cầu. Cuối cùng PDSN chịu trách nhiệm thiết lập, duy trì và kết cuối kết nối liên kết dựa trên PPP đến MS. Một cách tùy chọn, PDSN phải hỗ trợ tunnel ngược an ninh đến HA.
Đối với dịch vụ Internet cơ sở sử dụng phương pháp truy nhập IP đơn giản, PDSN ấn định một địa chỉ IP động cho MS, kết cuối liên kết PPP của người sử dụng và chuyển các gói trực tiếp đến Internet thông qua router cổng mặc định trên mạng IP đường trục của nhà cung cấp dịch vụ. Các bộ định thời PPP thông thường được sử dụng và các gói từ MS có thể được kiểm tra để đảm bảo rằng MS đang sử dụng địa chỉ IP mà PDSN ấn định cho nó (ngoài ra còn có các quy tắc lọc và các chính sách khác mà PDSN có thể áp dụng trong chế độ IP đơn giản).
Đối với các phương pháp truy nhập MIP, PDSN thiết lập kết nối giao thức MIP đến mạng nhà của MS (được thể hiện bởi HA chịu trách nhiệm để ấn định địa chỉ IP). PDSN phải hỗ trợ một chức năng AAA client để hỗ trợ một phần nhận thực MS bởi AAA server địa phương. Theo [IS835], PDSN cũng được yêu cầu hỗ trợ nén tiêu đề TCP/TP Van Jacobson và ba giải thuật nén PPP: Stac LZS [RFC1974], MPPC [RFC2118] và Deflate[RFC2394], giải thuật sau cùng được sử dụng nhiều nhất bởi các MS dựa trên Linux và UNIX.
Giao diện R-P kết nối PCF và PDSN (còn được định bởi TIA/EIA là A10/A11) là một giao diện mở dựa trên giao thức truyền tunnel GRE và được sử dụng để kết nối mạng vô tuyến và PDSN. Giao thức giao diện R-P thực chất giống như MIP trong đó PCF hoạt động như FA và PDSN hoạt động như HA (giao diện R-P sử dụng các GRE tunnel cho mặt phẳng lưu lượng và các bản tin RRQ/RRP: Registration Request/Registration Response cho báo hiệu). Có một số lý do để đưa ra giao diện R-P hay nói một cách khác "tách riêng" các chức năng PCF và PDSN. Bằng cách hỗ trợ giao diện R-P, các thiết bị di động dựa trên IP có thể đi qua các biên giới MSC mà không ảnh hưởng lên tính liên tục của các phiên người sử dụng. Nói một cách khác, nếu người sử dụng chuyển dịch vào một vùng phủ MSC, phiên người sử dụng không bị cắt và người này không buộc phải kết nối lại đến MSC mới và nhận một địa chỉ IP mới. Điều này được thực hiện bằng các chuyển giao PCF (PCF transfers) trong khi vẫn giữ MS nối vào (neo vào) cùng một PDSN. Tuy nhiên điều này đòi hỏi rằng tất cả các PCF phục vụ có kết nối mạng đến cùng một tập PDSN. Một mục đích khác để tách PDSN ra khỏi PCF là để cho phép nhà cung cấp dịch vụ chọn các PDSN từ các nhà cung cấp thứ ba khác với các nhà cung cấp các cơ sở hạ tầng cho họ như các MSC và PCF. Vì thế R-P cho phép các hãng vô tuyến đưa ra các giải pháp PDSN đa nhà cung cấp vào mạng của họ. Vì thế không ngạc nhiên là cộng đồng nhà khai thác hầu như tán thành quá trình tiêu chuẩn hóa R-P này.
1.2.2. Triển vọng MS
Các cdma2000 MS có thể nhận thực cùng với HLR của nhà cung cấp dịch vụ cho truy nhập vô tuyến và nhận thực với PDSN và HA bằng cách sử dụng các phương pháp truy nhập IP đơn giản hay MIP cho truy nhập mạng số liệu. Các MS phải hỗ trợ giao thức nối mạng PPP tiêu chuẩn và có khả năng hỗ trợ nhận thực dựa trên CHAP trong giai đoạn nhận thực PPP cho dịch vụ IP đơn giản. Đối với dịch vụ MIP, MS cũng phải hỗ trợ MIP client như mô tả trong [IS-835]. Trong chế độ này MS trao đổi thông tin với HA qua PDSN phục vụ trong mạng khách. Nếu MS hỗ trợ một hay nhiều tùy chọn thuật toán giải nén như MPPC hay Stac LZS hay Deflate, thì việc nén PPP có thể đàm phán trong giai đoạn kết nối với PDSN, do vậy sẽ tối ưu hóa việc sử dụng tài nguyên vô tuyến và tăng cường hiệu quả sử dụng thông qua tốc độ số liệu cao hơn.
1.2.2.1. Trạng thái ngủ
"Trạng thái ngủ" của MS trên đường truyền vô tuyến (theo định nghĩa của TIA [IS-707A1]) cho phép hoặc MS hoặc MSC tạm ngưng kết nối đường truyền vô tuyến tích cực sau một khoảng thời gian không tích cực để giải phóng giao diện vô tuyến và các tài nguyên BTS đang phục vụ. Nếu hoặc MS hoặc PCF liên kết có các gói cần phát trong khi ngủ, kết nối được tích cực trở lại và truyền dẫn lại tiếp tục. Các MS ngủ được định nghĩa là các MS không có kết nối lớp liên kết tích cực đến PCF. Tất cả các MS (tích cực hay ngủ) đều được đăng ký sử dụng phương pháp truy nhập MIP, có mặt trong danh sách máy khách của PDSN và một ràng buộc với HA tương ứng. Cần chú ý rằng trạng thái ngủ chỉ ảnh hưởng kết nối đường vô tuyến, trong khi đó thì các MS vẫn còn giữ kết nối PPP với PDSN, và PDSN sẽ không quan tâm tới trạng thái của MN.
PDSN phục vụ các người sử dụng tại mạng khách hoạt động như một router mặc định cho tất cả các người sử dụng di động được đăng ký (tích cực và ngủ) và duy trì các tuyến máy trạm đến họ. Đối với chế độ MIP, PDSN/FA theo dõi thời gian còn lại của khoảng thời gian đăng ký có hiệu lực (Registration Lifetime) cho từng MS trong bảng định tuyến của nó và MS chịu trách nhiệm làm mới lại thời hạn của nó với HA. Nếu MS không đăng ký lại trước khi hết hạn đăng ký, PDSN sẽ chấm dứt liên kết với PCF phục vụ MS này và kết cuối phiên MS (và HA cũng làm tương tự nếu MS không đăng ký lại qua một PDSN khác). Sau khi thời hạn đang ký của MS đã hết, PDSN/FA sẽ dừng định tuyến các gói đến nó. Để nhận và gửi các gói, các MS ngủ phải chuyển sang trạng thái tích cực. Giả sử bất kỳ một MS nào cũng có thể ở kiểu trạng thái ngủ hoặc tích cực, PDSN nói chung không yêu cầu chỉ thị trạng thái của các liên kết PPP tới MS ngoại trừ giá trị định thời trạng thái ngủ hiện thời đối với mỗi kết nối cụ thể. Lưu lượng có thể hướng đến một liên kết ngủ tại bất kỳ thời điểm nào, buộc MS liên quan phải chuyển sang trạng thái tích cực. Đối với các liên kết PPP tích cực mang lưu lượng, PDSN kết cuối phiên PPP với MS và chuyển tiếp lưu lượng IP được đóng bao đến MS từ HA hay từ MS đến HA qua truyền tunnel ngược. Tồn tại một tunnel riêng cho mỗi HA dùng cho tất cả các người sử dụng đã đăng ký.
1.2.2.2. Các kiểu MS
Tồn tại hai kiểu cấu hình MS cơ bản: Mô hình chuyển tiếp và mô hình mạng. Trong các MS mô hình chuyển tiếp (Relay Model), đầu cuối di động cdma2000 được kết nối đến một đầu cuối số liệu cầm tay khác như máy tính xách tay, thiết bị tính toán cầm tay hay đầu cuối số liệu đặt trong thiết bị nào đó khác. Máy thoại mô hình chuyển tiếp không kết cuối bất kỳ lớp giao thức nào trừ lớp vật lý của cdma2000 (giao diện vô tuyến) và các lớp RLP. Thiết bị đầu cuối số liệu đi kèm phải kết cuối tất cả các giao thức lớp cao hơn (PPP, IP, TCP/UDP…).
MS mô hình mạng, ngoài giao diện vô tuyến, kết cuối tất cả các giao thức cần thiết và không cần bất cứ thiết bị đầu cuối bổ sung nào. Bản thân máy thoại di động cung cấp tất cả các khả năng hiển thị và đầu vào của người sử dụng cùng với các ứng dụng để sử dụng mạng số liệu gói. Thí dụ về loại điện thoại này gồm cả "điện thoại thông minh" và điện thoại "trình duyệt". Các thiết bị này thường có ứng dụng trình duyệt hay dịch vụ tin học bên trong cùng với một màn hiện thị thông tin thu được từ Internet server. Các loại đầu cuối này có thể cung cấp khả năng kết nối tới một máy tính xách tay kết cuối tới mạng số liệu thông qua một phiên PPP. Trong cấu hình này, chiếc điện thoại có thể hỗ trợ các trình ứng dụng như trình duyệt nhỏ, đồng thời cũng cho sử dụng với mục đích thông thường qua một điểm đầu cuối số liệu bên ngoài.
1.2.3. Các mức di động của cdma2000
Kiến trúc số liệu gói cdma2000 định nghĩa ba mức di động cho MS như mô tả ở hình 1.4. Mức thứ nhất được trình bầy tại lớp vật lý bởi chuyển giao mềm hay bán mềm giữa các BTS, trong khi MS neo giữ đến cùng một PCF. Điều này được thực hiện bởi truy nhập vô tuyến cdma2000 và không nhìn thấy đối với cả PCF và PDSN.
Hình 1.4. Phân cấp di động cdma2000
Mức di dộng thứ hai được trình bầy bởi giao diện R-P trên lớp liên kết, mức này cho phép chuyển giao trong suốt từ PCF đến PCF trong khi vẫn duy trì phiên tại cùng một PDSN. Trong trường hợp này, hai tuỳ chọn được trình bầy trước đây sẽ xẩy ra: Ngủ và tích cực. Trong trạng thái tích cực khi người sử dụng đi qua biên giới PCF, chuyển giao xảy ra trong suốt đối với MS. MS tham gia vào chuyển giao bán mềm đến BSC mới (hay MSC phụ thuộc vào nhà cung cấp), trong khi phiên số liệu vẫn neo đến PCF gốc trong thời gian cuộc gọi và MS nằm trong trạng thái tích cực. Nói một cách khác khi MS trong trạng thái tích cực, không xẩy ra thay đổi PCF phục vụ.
Khi MS trong trạng thái ngủ đi qua biên giới của một vùng phủ PCF, MS sẽ khởi động tích cực lại tại một BSC (MSC) mới để thiết lập một kết nối PCF. Điều này dẫn đến thay đổi PCF nhưng không nhất thiết PDSN. PCF mới sẽ tìm cách ấn định MS cho PDSN đang phục vụ, Nếu PCF mới có kết nối đến PDSN này, thì MS và PDSN hoàn toàn không bị tác động.
Mức di dộng thứ ba (lớp mạng) là chuyển giao giữa các PDSN dựa trên sử dụng MIP. Giả sử MS đã đăng ký với HA và PDSN (MS đã được nhận thực bởi hai phần tử này) để thiết lập IP tunnel cho lưu lượng cần truyền. Mỗi khi MS chuyển đến vị trí được phục vụ bởi một PCF kết nối đến PDSN mới, MS nhận được một chỉ thị rằng cần đăng ký với PDSN này. Đăng ký này cập nhật các bảng ràng buộc tại HA, vì thế tất cả lưu lượng tiếp theo cho MS này sẽ định tuyến đến PDSN mới. Trong trường hợp này liên kết PPP của MS bị ảnh hưởng bởi sự thay đổi này trong khi lớp IP không thay đổi. Và tính di động giữ nguyên không nhìn thấy đối với đối tác của MS.
Lưu ý rẳng kiểu chuyển giao cuối cùng không thể xẩy ra ở chế độ IP đơn giản. IP đơn giản chỉ đảm bảo di động một phần thông qua hai mức đối với MS. Một trong nhiệm vụ của giao diện R-P là đựa dịch vụ IP gần hơn đến hoạt động của dịch vụ MIP cùng với việc giải quyết các vấn đề khác. Chẳng hạn nó giải quyết các tình trạng khi MS thay đổi điểm nhập mạng của mình quá thường xuyên dẫn đến việc thiết lập MIP tunnel gây ra quá nhiều thông tin bổ sung liên quan đến việc tăng các bản tin báo hiệu. Một vấn đề khác thường được nhắc đến là trễ thiết lập tunnel mới dẫn đến các trễ và các khoảng trống trong đó không thể truyền số liệu. Trễ này luôn có trong đường vòng gây ra bởi MIP, vì yêu cầu đăng ký được gửi đến HA và trả lời được gửi trở lại PDSN.
1.2.4. AAA di động cdma2000
Cdma2000 cũng như đa số các hệ thống thông tin di động khác, hỗ trợ khái niệm về các mạng nhà và các mạng khách. Một thuê bao cdma2000 có một tài khoản (thanh toán) được thiết lập với một nhà khai thác vô tuyến, hãng cung cấp dịch vụ tiếng và số liệu cho người sử dụng. Cũng hãng vô tuyến này có thể cung cấp mạng nhà cho thuê bao di động. Mạng nhà lưu giữ lý lịch thuê bao và thông tin nhận thực. Khi người sử dụng này chuyển mạng vào vùng lãnh thổ của nhà khai thác khác (mạng khách), nhà khai thác này phải nhận được thông tin nhận thực và lý lịch dịch vụ đối với người sử dụng này từ mạng nhà của thuê bao này.
Lý lịch phục vụ chỉ ra các tài nguyên vô tuyến nào người sử dụng được quyền sử dụng như: Băng thông cực đại hay mức ưu tiên truy nhập. Trong cdma2000 các lý lịch người sử dụng được lưu tại HLR đặt tại mạng nhà, tạm thời được lấy ra và lưu tại VLR. HLR và VLR đều là các cơ sở dữ liệu dựa trên các cơ sở tính toán có khả năng kháng lỗi. Các thủ tục tương tự thực hiện nhận thực việc truy nhập của người sử dụng đến các mạng số liệu. Kiến trúc số liệu gói cdma2000 được mô tả trên hình 1.5. Kiến trúc này dựa trên khái niệm các mạng số liệu nhà và mạng khách, được thể hiện bởi HA và PDSN và các server AAA mạng nhà và mạng ngoài như: RADIUS hay DIAMETER được định nghĩa trong [RFC3141].
Hình 1.5. Mạng lõi cdma2000 điển hình cùng với các hệ thống AAA
MS yêu cầu dịch vụ số liệu trong các hệ thống cdma2000 sẽ bị nhận thực hai lần: trên lớp vật lý và trên lớp liên kết. Nhận thực lớp vật lý (hay truy nhập mạng và thiết bị đầu cuối người sử dụng) được thực hiện bởi hạ tầng HLR và VLR. Quá trình này dựa trên IMSI được định nghĩa trong IS2000. Nhận thực trạm di động lớp liên kết cdma2000 hay truy nhập mạng số liệu gói, được thực hiện bởi các cơ sở hạ tầng của các server AAA và các client, trong đó các client được đặt trong các PDSN và các HA. Quá trình này dựa trên NAI (Network Access Identifier) được định nghĩa bởi IETF trong [RFC2486]. Đây là số nhận dạng có dạng user@homedomain (người sử dụng@miền nhà) cho phép mạng khách nhận dạng AAA server mạng nhà bằng cách chuyển nhãn "home-domain" (miền nhà) thành địa chỉ AAA IP. Hô lệnh từ PDSN cũng cho phép bảo vệ khỏi các tấn công dựa trên cơ chế phát lại.
Ngoài ra, NAI cho phép phân phát liên kết an ninh MIP đặc thù để hỗ trợ nhận thực PDSN/HA trong thời gian đăng ký di động, ấn định HA và chuyển giao giữa các PDSN. Lưu ý rằng AAA của mạng số liệu sẽ nhận thực người sử dụng, không như nhận thực lớp vật lý chỉ nhận thực MS. Vì thế người sử dụng muốn truy nhập đến các mạng số liệu công cộng hay riêng phải thực hiện đăng nhập và mật khẩu giống như những người sử dụng truy nhập số liệu từ xa, ngoài ra việc nhận thực thiết bị di động xảy ra trong giai đoạn đăng ký. Điều này dẫn đến tạm dừng khi khởi đầu điện thoại thường thấy ở hầu hết các người sử dụng máy thoại di động.
Hệ thống số liệu cdma2000 đảm bảo hai cơ chế nhận thực khi sử dụng các phương pháp truy nhập IP đơn giản và IP di động như định nghĩa trong [IS835] và [RFC3141]. Như đã nói, đối với chế độ truy nhập IP đơn giản, nhận thực dựa trên CHAP, đây là một bộ phận của đàm phán PPP. Trong CHAP, PDSN ra lệnh cho MS bằng một giá trị ngẫu nhiên. MS phải trả lời lại bằng một chữ ký dựa trên tóm tắt lệnh MD-5, một tên người sử dụng và một mật khẩu. PDSN chuyển cặp câu lệnh/trả lời đến AAA server nhà để nhận thực người sử dụng.
Đối với IP di động, PDSN gửi đi một lệnh tương tự trong bản tin quảng cáo tác nhân tới MS. Ngược lại, MS phải trả lời lệnh này bằng một chữ ký và NAI (được kiểm tra bởi mạng nhà), nhưng lần này trả lời từ MS được gửi đi khi yêu cầu đăng ký IP di động chứ không phải trong quá trình thiết lập phiên PPP. Cả hai cơ chế này đều dựa trên các thông tin bí mật chung kết hợp với NAI được lưu tại mạng nhà và được hỗ trợ bởi cùng một hạ tầng AAA server. Trong cả hai trường hợp, số liệu thanh toán được thu thập tại PDSN và được chuyển đến AAA server. PDSN thu thập các con số thống kê mức độ sử dụng số liệu của từng người sử dụng, kết hợp với các bản ghi thanh toán truy nhập vô tuyến do PCF gửi đến và gửi chúng đến AAA server địa phương. Lưu ý rằng thông tin thanh toán được thu thập bởi cả PCF và PDSN. Đối với các người sử dụng chuyển mạng, AAA server có thể được lập cấu hình để gửi một bản sao của tất cả các bản tin thanh toán RADIUS đến AAA server mạng nhà, đồng thời cũng lưu giữ một bản tại AAA server khách.
Khi MS chuyển giao giữa hai PDSN, PDSN được giải phóng gửi đi bản tin Accouting Stop (dừng thanh toán) đến AAA server, và PDSN mà MS kết nối đến sẽ gửi đi bản tin Accouting Start (bắt đầu thanh toán) đến AAA server. Accounting Stop từ PDSN giải phóng đôi khi có thể đến sau Accounting Start từ PDSN mới (PDSN có thể không biết rằng MS đã rời đi, nhưng vẫn đợi thời hạn đăng ký hay tạm ngưng không tích cực PPP để kết thúc phiên). Điều này có nghĩa là server tính cước phải tiếp nhận nhiều chuỗi dừng/khởi từ các PDSN khác nhau và xử lý chúng như một phiên duy nhất, theo [IS 835]. Khi một bộ định thời không tích cực PPP hay thời hạn MIP đã hết hay MS kết thúc phiên, liên kết R-P được giải phóng và một Accounting Stop được gửi đến AAA server.
Lưu ý rằng cũng có tập các tốc độ cụm được định nghĩa trong các tiêu chuẩn liên kết vô tuyến dựa nhiều trên 14,4kbps thay vì 9,6kbps. Tuy nhiên các tốc độ này thường không được áp dụng do tốc độ đỉnh tổng hợp 23,04kbps không có vùng phủ không gian tốt cho hầu hết các môi trường vô tuyến dẫn đến họ tập tốc độ này không hấp dẫn trong các mạng thương mại so với họ 9,6kbps.
Bên cạnh đó, hỗ trợ CHAP không cần cho MIP và chỉ là một lựa chọn cho các phương pháp truy nhập IP đơn giản.
Cho đến nay ta đã xét chi tiết các dịch vụ số liệu gói trong cdma2000, trong phần sau ta sẽ trình bầy chi tiết như vậy đối với các hệ thống UMTS và GPRS.
1.3. NỐI MẠNG SỐ LIỆU GÓI: GPRS VÀ MIỀN UMTS PS
Trong phần này ta sẽ xét các hệ thống GPRS và miền UMTS PS và các dịch vụ cung cấp cho MS. Ta sẽ xem xét các cách thức mà một MS có thể truy nhập vào các mạng liệu gói, ví dụ như các giao thức được sử dụng và cách thức thực hiện nhận thực người sử dụng. Ngoài ra ta cũng xem xét tình hình thị trường hiện nay liên quan đến một số khả năng được coi rằng sẽ gia tăng giá trị cho các nhà cung cấp nhưng chưa được cung cấp rộng rãi bởi các nhà sản xuất thiết bị mạng. Cuối cùng ta kết thúc phần này bằng việc thảo luận các khả năng dịch vụ của hai hệ thống.
1.3.1. Các phần tử GPRS
Hệ thống GPRS là một mở rộng nối mạng số liệu gói của hệ thống GSM trước đây được thiết kế cho các dịch vụ chuyển mạch kênh. GPRS cho phép hỗ trợ truyền dẫn số liệu bằng gói trên giao diện vô tuyến và khả năng di động số liệu gói trong mạng lõi. Triển khai GPRS chỉ đòi hỏi cập nhật phần mềm BSS để ghép các dịch vụ số liệu lên các khe thời gian không bị chiếm bởi các dịch vụ CS, cơ chế điều khiển luồng và các cơ chế phát lại cần thiết để truyền số liệu gói trên công nghệ truyền dẫn vô tuyến (GSM). Nó cũng yêu cầu cập nhật phần mềm HLR và cài đặt một số node mới trong mạng lõi như: SGSN và GGSN. DNS, hệ thống quản lý địa chỉ, hệ thống AAA, tính cước và mạng thông minh là các phần tử bổ sung, là các bộ phận của các dịch vụ GPRS tiên tiến. Kiến trúc GPRS và các đặc tả của nó được ETSI định nghĩa và bây giờ được duy trì bởi 3GPP. Kiến trúc GPRS được trình bầy trên hình 1.6.
Hình 1.6. Kiến trúc GPRS
SGSN trong GPRS (còn được gọi là 2G SGSN) cung cấp các dịch vụ nén lớp mạng, chức năng phân đoạn và lắp ráp lại, lập khung và ghép kênh lớp liên kết, mật mã hóa cũng như xử lý báo hiệu MS và quản lý di động (trong BSS, giữa các SGSN) và quản lý các GTP tunnel được thiết lập đến các GGSN. SGSN cũng tương tác với HLR và mạng thông minh, MSC và SMS-SC (SMS Service Center: Trung tâm dịch vụ các bản tin ngắn).
GGSN "neo giữ" các phiên truyền số liệu và cung cấp truy nhập đến các mạng số liệu gói bằng cách hỗ trợ kết cuối các GTP tunnel từ SGSN mà MS hiện thời đang nối đến. Các GGSN cũng được sử dụng trong các mạng IP để cung cấp nền tảng và cổng đến các dịch vụ số liệu gói tiên tiến như trình duyệt Web, WAP, các mạng riêng ở xa bao gồm các mạng được sử dụng để cung cấp hỗ trợ di động cho các người sử dụng không chuyển mạng (mạng bên trong PLMN), chuyển mạng (GRX: GPRS Roaming Exchange: Tổng đài chuyển mạng GPRS) và các chức năng phần tử mạng GPRS.
1.3.2. Các phần tử UMTS
UMTS cung cấp các dịch vụ số liệu gói qua vùng PS của nó (xem phần sau). Kiến trúc UMTS được cho trên hình 1.7 tương tự như kiến trúc GPRS. Cũng các nút mạng như vậy tham gia vào mạng lõi, nhưng giao thức GTP được sử dụng trong UMTS (GTPv1) không tương thích với các phiên bản giao thức GTP được sử dụng cho GPRS (GTPv0). Các điểm khác biệt khác là các khả năng dịch vụ (chẳng hạn UMTS hỗ trợ QoS cùng với truyền thông đa phương tiện nhiều hơn). Ngoài ra, UMTS SGSN (3G SGSN) không kết cuối bất cứ giao thức lớp liên kết nào cũng như không cung cấp nén lớp mạng hay mật mã. Nó chỉ đơn giản chuyển tiếp các gói giữa các GGSN và các RNC (Radio Network Controller: Bộ điều khiển mạng vô tuyến) trên các GTP tunnel (trong đó các RNC đóng vai trò như các BSC trong GSM). Trong UMTS, chức năng RNC là quản lý tính di động của các MS giữa các nút B (NB: Node B, các UMTS BTS). Theo một trong các nguyên tắc cơ sở của UMTS, các hoạt động của RAN phải được dấu kín (không nhìn thấy) đối với mạng lõi. Đây là một trong các lý do mà tất cả các chức năng lớp liên kết UMTS được chuyển từ SGSN đến RNC.
Hình 1.7. Kiến trúc UMTS
Đặc tả hệ thống cho cả GPRS và miền UMTS PS cho Release 99 và các Release sau này được đưa ra trong cùng một tài liệu [3GPP TS 21.060]. Đặc tả này định nghĩa tất cả các khía cạnh ở mức độ hệ thống từ 3GPP R99 trở đi và nó chỉ ra các điểm khác nhau giữa hai hệ thống. Các điểm khác nhau này thường là rất ít và chủ yếu liên quan đến xử lý quản lý tính di động đầu cuối và giao tiếp với RAN. Trong các Release trước R99, kiến trúc GPRS được tả bởi [GSM TS 01.60].
1.3.3. Kiến trúc hệ thống GPRS và miền UMTS PS
Hệ thống GPRS chủ yếu định nghĩa hai phần tử: BSS và đường trục PLMN. GPRS BSS là GSM BSS được bổ sung PCU để hỗ trợ các dịch vụ gói. Đường trục PLMN bao gồm hai nút mới được nói từ trước là: SGSN và GGSN. GGSN và SGSN được nối với nhau qua một mạng IP và tương tác với nhau qua giao diện Gn dựa trên giao thức GTP.
Khi một người sử dụng chuyển mạng, người này nối đến một SGSN trong mạng khách và một GGSN trong mạng nhà hoặc mạng khách. Nếu GGSN nằm trong mạng nhà, mạng IP được sử dụng để nối SGSN khách đến GGSN nhà và được gọi là mạng đường trục giữa các PLMN (Inter-PLMN Backbone Network). Mạng đường trục giữa các PLMN thường được các nhà cung cấp dịch vụ dưới tên GRX (GPRS Roaming Exchange – Tổng đài chuyển mạng GPRS) do Liên đoàn GSM định nghĩa. Các ứng cử vận hành mạng GRX phải tuân thủ các yêu cầu do Liên đoàn GSM quy định. Một nét đặc biệt của của GPRS liên quan đến GRX là SGSN trong mạng khách và GGSN trong mạng nhà tương tác với nhau trên mạng GRX qua giao diện được gọi là Gp, giao diện này hoàn toàn giống giao thức Gn. Tuy nhiên vì các nhà cung cấp mạng vô tuyến có thể quyết định cung cấp thêm các cơ chế an ninh để bảo vệ lưu lượng giữa các PLMN – sẽ thực hiện bắt đầu từ phát hành 3GPP R5 – nên đã đưa ra tên mới cho giao diện này mặc dù cơ chế an ninh nói trên vẫn chưa được chuẩn hóa.
Hệ thống UMTS ngay từ đầu đã tính đến việc hỗ trợ cả mạng lõi chuyển mạch gói và mạng lõi chuyển mạch kênh. Một trong các nguyên tắc để đặc tả mạng truy nhập 3G là sự độc lập mạng lõi với giao diện vô tuyến và hỗ trợ đa mạng lõi. 3GPP đã định nghĩa miền CS cho các dịch vụ chuyển mạch kênh và miền PS cho các dịch vụ chuyển mạch gói. Vì tính di động trong UTRAN (UMTS Terrestrial Radio Access Network) phải trong suốt đối với mạng lõi UMTS, nghĩa là mạng lõi không biết rằng MS sẽ ở trong BTS nào. Để nhấn mạnh yêu cầu này, 3GPP quyết định RAN sẽ được đặc tả là một mạng được cấu trúc từ các RNC và các Node B, không sử dụng thuật ngữ BSC và BTS như trong hệ thống GSM. Ngoài ra các mô hình và đề án nghiên cứu ban đầu đã đưa ra khái niệm các ANO (Access Network Operator: Nhà khai thác mạng truy nhập) và các CNO (Core Network Operator: Nhà khai thác mạng lõi). Các khái niệm này không được sử dụng trong thuật ngữ chính thức và các nỗ lực chuẩn hóa không tìm cách hỗ trợ chúng như các thực thể được công nhận chính thức.
Mạng lõi miền UMTS PS giống như mạng lõi GPRS. Thực tế, bắt đầu từ R99, cả hai đặc tả hệ thống không có các khác biệt kỹ thuật liên quan đến mạng lõi. Tuy nhiên cần lưu ý rằng có một số điểm khác nhau đáng kể giữa các dịch vụ khả dụng trong GPRS R98 và GPRS/UMTS R99 sẽ được ta nói đến trong phần còn lại của chương này. Sở dĩ cần nói đến các khác biệt này giữa hai hệ thống vì thông thường GPRS được định nghĩa theo R98 do phần lớn các mạng sẽ hỗ trợ UMTS chỉ bắt đầu từ R99 trở đi (trừ một số nhà khai thác muốn sử dụng phổ tần hiện có vì không được cấp phép phổ tần của UMTS).
Các đặc tả GPRS định nghĩa các lớp giao thức mới trong BSS, là RLC (Radio Link Protocol: Giao thức liên kết vô tuyến) và MAC (Medium Access Control: Điều khiển truy nhập môi trường), để cho phép sử dụng cấu trúc lập khung của GSM cho GPRS. Đặc tả hệ thống GSM cho phép sử dụng một đến tám khe thời gian cho cả đường lên và đường xuống. Các đặc tả tiêu chuẩn này định nghĩa cách thích ứng các giao thức khác nhau đối với dịch vụ liên kết logic do hệ thống này cung cấp, sử dụng giao thức SNDCP (SubNetwork Dependent Convergence Protocol), bằng cách chuyển tiếp các khung LLC (Logical Link Control: Điều khiển liên kết logic) giữa MS và SGSN. Chức năng chuyển tiếp này được đảm bảo bởi PCU, PCU cho phép tăng cường các GSM BSS để được BSS có khả năng phục vụ GPRS.
GSM RAN với chức năng PCU tăng cường được nối đến mạng lõi GPRS qua giao diện Gb, Gb định nghĩa dịch vụ mạng dựa trên chuyển tiếp khung (Frame Relay) và trên nó là giao thức BSSGP (BSS GPRS Protocol) (hình 1.8).
Hình 1.8. Kiến trúc ngăn xếp giao thức mặt phẳng người sử dụng GPRS và UMTS
BSSGP được sử dụng để hỗ trợ các kênh logic bên trên dịch vụ mạng chuyển tiếp khung. Các kênh logic này được sử dụng để thực hiện định tuyến các khung giao thức LLC giữa BSS và mạng lõi, vì thế BSC+PCU có thể định tuyến các khung LLC đến cell cần thiết. Trên đường lên, BSSGP mang thông tin nhận dạng cell và mọi khung LLC được truyền tải trên giao thức LLC có thể cung cấp thông tin vị trí. Thông thường MS cập nhật vị trí (cập nhật cell) khi nó có một phiên tích cực (phát và thu số liệu) bằng cách phát đi một khung LLC.
SNDCP, LLC và BSSGP cũng như dịch vụ mạng dựa trên Frame Relay được kết cuối tại 2G SGSN. Vì cả lưu lượng của người sử dụng lẫn thông tin điều khiển đều được truyền trên các giao thức này, và các dịch vụ lớp liên kết cho MS được kết cuối tại 2G SGSN, nên 2G SGSN đặc biệt phức tạp. Tính phức tạp này dẫn đến các giới hạn nghiêm trọng về khả năng mở rộng. Để giải quyết vấn đề này, trong khi phát triển các tiêu chuẩn UMTS, người ta quyết định không kết cuối các lớp liên kết tại SGSN, vì thế giảm bớt sự phức tạp của các phần tử này và cho phép nó mở rộng để hỗ trợ nhiều thuê bao hơn và vùng phủ rộng hơn. Định cỡ một SGSN để phủ diện tích rộng hơn rất quan trọng. Nó cho phép giảm thiểu báo hiệu quản lý di động liên quan đến chuyển giao và chuyển giao trên vùng phủ trở nên dễ dàng hơn. Trong UMTS, 3GPP định nghĩa một giao diện rõ ràng hơn giữa RAN và mạng lõi miền PS gọi là giao diện Iu-PS. Giao diện này dựa trên phương thức truyền tải IP over ATM đối với mặt phẳng người sử dụng (lớp liên kết có thể dựa trên mọi công nghệ kể từ các phát hành sau R99 như R4 và R5), và trên giao thức RANAP (Radio Access Aplication Part). RANAP là một ứng dụng người sử dụng SCCP được mang trên SS7 băng rộng (MTP3-B được trình bầy trong [Q2210]) sử dụng dịch vụ SAAL-NNI (Signalling ATM Adaptation Layer Network-to-Network Interface) [Q2100] hay truyền tải IP dựa trên các giao thức SIGTRAN: M3UA và SCCP.
Các gói của người sử dụng được truyền trên Iu-PS sử dụng giao thức truyền tải GTP/UDP/IP, sau đó được chuyển tiếp bởi RNC đến MS sử dụng các giao thức liên kết vô tuyến (PDCP, RLC/MAC). Chức năng PDCP (Packet Data Convergence Protocol: Giao thức hội tụ số liệu gói) trong UMTS giống như SNDCP trong GPRS. Nó cũng hỗ trợ các giao thức nén tiêu đề để giảm phần overhead cho các ứng dụng thời gian thực, đặc biệt đối với các ứng dụng VoIP (Voice over IP) tương lai. VoIP sẽ là sự tiến hóa của hệ thống UMTS khi ta chuyển sang R5. Các lớp RLC và MAC được sử dụng để thực hiện lớp liên kết vô tuyến. Các lớp này thực hiện các kênh liên kết logic trên lớp vật lý giao diện vô tuyến W-CDMA. Hình 1.8 trình bầy tổng kết về các ngăn xếp giao thức đối với mặt phẳng người sử dụng cho cả hai hệ thống GPRS và UMTS.
Đầu cuối di động truyền thông tin điều khiển đến mạng lõi GPRS hay UMTS sử dụng giao thức RIL3 (Radio Interface Layer 3: Lớp 3 giao diện vô tuyến) được đặc tả trong [3GPP TS 21.008]. Giao thức này gồm GMM (GPRS Mobility Management: Quản lý di động GPRS) và SM (Session Management: Quản lý phiên). Trong GPRS, RIL3 được mang trên kênh LLC NULL và nó được xử lý bởi SGSN tại phía mạng lõi. Trong UMTS, giao thức này được truyền tải sử dụng thủ tục truyền trực tiếp trên giao thức RANAP. SGSN xử lý thông tin từ đầu cuối, kết quả là nó có thể tương tác với các phần tử khác trong mạng. Chẳng hạn nó có thể mở các hội thoại MAP với HLR cho các thủ tục an ninh, nhận thông tin về thuê bao hay cho các mục đích định vị. Nó cũng có thể tương tác với mạng thông minh qua giao diện CAMEL [3GPP TS21.078] chẳng hạn cho các dịch vụ trả tiền trước đối với các người sử dụng GPRS.
Các phiên số liệu gói trong GPRS và UMTS được thiết lập bằng cách thiết lập và duy trì các GTP tunnel đến các GGSN. Một GTP tunnel là một quá trình đóng bao các gói người dùng giữa GGSN và SGSN trong GTP/UDP/IP. Thực ra, đóng bao cũng được định nghĩa là GTP/TCP/IP, nhưng từ R99 trở đi có sự nhất trí chung rằng dạng tunnel này không cần nữa, vì nó chỉ cần để truyền X.25 một cách tin cậy trên đường trục PLMN. Rõ ràng X.25 không phải là phương thức nối mạng số liệu tương lai, các nhà khai thác vô tuyến sẽ không cung cấp dịch vụ X.25 và các nhà cung cấp thiết bị nối mạng cũng không hỗ trợ nó.
Một chức năng khác của SGSN là thu thập các số liệu tính cước và truyền nó đến CGF (Charging Gateway Function: Chức năng cổng tính cước) trên giao diện Ga (xem hình 1.7). Giao diện Ga được xây dựng trên giao thức GTP [3GPP TS 32.015]. SGSN cũng có thể hỗ trợ các dịch vụ SMS thông qua giao diện Gd đến SMS-GMSC và tương tác với MSC/VLR qua gia diện Gs để điều phối nhắn tin và cập nhật vị trí.
1.3.4. Các khả năng dịch vụ của GPRS và miền UMTS PS
Các hệ thống GPRS và miền UMTS PS về mặt nguyên tắc là đa giao thức và trung lập đối với lớp mạng hay các lớp liên kết của lưu lượng người sử dụng. Các giao thức người sử dụng còn được gọi là PDP (Packet Data Protocol: Giao thức số liệu gói). Kiểu của giao thức này được nhận dạng theo thuật ngữ "kiểu PDP". Lúc đầu hệ thống GPRS hỗ trợ nhiều kiểu PDP hơn là đã thực hiện và triển khai trong thực tế. Chẳng hạn 3GPP đã khuyến nghị kiểu PDP hỗ trợ X.25 dựa trên cơ chế truyền TCP/IP tin cậy cho các gói X.25 được đóng bao GTP trên đường trục GPRS. Sau đó kiểu PDP này bị loại bỏ khỏi các đặc tả từ R99 trở đi và cũng không chắc rằng chúng sẽ có trong triển khai thực tế của các Release ban đầu. Một thí dụ khác là IHOSS (Internet Host Octet Stream Protocol: Giao thức luồng byte máy trạm internet) để hỗ trợ luồng các bit trong suốt giữa GGSN và MS. Kiểu PDP này cũng đã bị loại bỏ từ các đặc tả R99.
GPRS đảm bảo hỗ trợ cho cả IPv4 và IPv6, nhưng IPv6 không được triển khai trước năm 2004. Nó hỗ trợ PDP kiểu PPP từ R98, tuy nhiên tiếc rằng các nhà cung cấp đầu cuối vẫn chưa hào hứng thực hiện hỗ trợ kiểu PDP này và hiện nay ta vẫn chưa thấy hỗ trợ thực sự cho kiểu PDP này. Trong thực tế, chúng ta đang chứng kiến rất nhiều các tranh luận không mong muốn về kiểu PDP này. Một số nhà cung cấp tìm cách loại bỏ nó khỏi tiêu chuẩn, cho dù kiểu PDP này tỏ ra hữu ích trong việc cung cấp các dịch vụ số liệu tiên tiến như truy nhập các mạng riêng.
Các hệ thống GPRS và miền UMTS PS cung cấp kênh truyền tải không tin cậy từ GGSN đến MS. Kênh này có thể được đặc trưng bởi một số các thông số QoS. Các thông số này khác nhau đối với các phát hành trước R99 và từ R99 trở đi. Trong các phát hành R99 và trở về sau, có thể phân biệt cách xử lý các gói khác nhau thuộc cùng một phiên của người sử dụng. Sở dĩ có sự phân biệt này là do khi thiết lập các kênh mang (PDP contexts: Các ngữ cảnh PDP) các loại lưu lượng khác nhau và lý lịch QoS được liên kết trong cùng một phiên, và việc truyền các gói trên các kênh mang tương ứng dựa trên một số quy tắc phân loại khác nhau đã được thiết lập tại GGSN và MS. Khả năng này được đưa ra do yêu cầu cần phải cung cấp các khả năng đa phương tiện cho hệ thống UMTS. Trong R98, chỉ có một mức QoS (và chỉ một PDP context có thể liên kết với một phiên).
1.3.5. Đầu cuối GPRS và miền UMTS PS
Có ba loại GPRS MS khác nhau:
+Loại A. Loại này cho phép hỗ trợ đồng thời các dịch vụ GSM và GPRS.
+Loại B. Trong loại này, MS giám sát các kênh tìm gọi của cả GSM và GPRS, nhưng mỗi lần chỉ có thể hỗ trợ một dịch vụ.
+Loại C. Trong loại này MS chỉ hỗ trợ dịch vụ GPRS (là thiết bị chỉ dùng cho truyền số liệu).
Các đầu cuối loại A đòi hỏi hai thiết bị phát thu GSM riêng biệt hoạt động trên các tần số khác nhau, với các dịch vụ PS và CS độc lập. Do sự phức tạp của các thiết bị đầu cuối này mà trong R99, các nhà khai thác và các nhà sản xuất muốn tìm cách định nghĩa các đầu cuối hỗ trợ DTM (Dual Transfer Mode: Hai chế độ truyền). Về quan điểm dịch vụ, thiết bị này vẫn cung cấp đồng thời dịch vụ thoại GSM và dịch vụ số liệu GPRS giống như một đầu cuối A, nhưng từ quan điểm tìm gọi (paging) chúng giống thiết bị loại B hơn và chỉ đòi hỏi một máy thu phát. Phương pháp này được thực hiện bằng cách nâng cấp BSS để định tuyến tìm gọi trên cùng kênh sử dụng cho GPRS khi MS đã nhập vào GPRS. Lưu ý rằng điều này cho phép kết hợp tìm gọi trong BSS giống như trong các hệ thống UMTS.
Một đầu cuối di động có khả năng truy nhập UMTS PS hay GPRS có thể hoặc là:
+ Một thiết bị tích hợp cung cấp tính toán và truy nhập số liệu vô tuyến chỉ trong một khối vật lý.
+ Thiết bị có hai thành phần: một để truy nhập vô tuyến và một có khả năng hỗ trợ các ứng dụng số liệu.
Cấu hình thứ hai giống như các máy tính xách tay hiện nay được trang bị các card modem PCMCIA hay kết nối nối tiếp đến modem. Thực tế, các tiêu chuẩn 3GPP [3GPP TS29.061], [3GPP TS27.060] định nghĩa sự tồn tại của hai phần tử logic của MS: TE (Terminal Equipment: Thiết bị đầu cuối) và MT (Mobile Termination: Kết cuối di động). TE là phần có khả năng tính toán của MS. MT là phần để hỗ trợ các khả năng truy nhập số liệu vô tuyến. Khi TE và MT hoạt động như các phần tử độc lập, chúng có thể được kết nối với nhau bởi nhiều công nghệ (nối tiếp, hồng ngoại, Bluetooth…) với lớp liên kết dựa trên giao thức PPP hay một giao diện riêng khác. Hình 1.6 và 1.8 cho thấy hai thành phần của MS được phân cách với nhau bởi giao diện R. Giao diện này có thể là giao diện bên trong giữa hai phần tử của một thiết bị duy nhất hoặc giao diện giữa các thực thể vật lý khác nhau.
Khi giao diện PPP được sử dụng giữa TE và MT, vẫn có thể sử dụng kiểu IP PDP, nhưng thông tin nhận thực và cấu hình không sử dụng PPP để truyền tải giữa GGSN và MT. Ngoài ra, nó được đóng bao trong PCO IE (Protocol Configuration Options Information Element), được chuyển tiếp trong suốt giữa RIL3 và GTP bởi SGSN. Bằng cách này, PPP tồn tại giữa TE và MT chứ không phải giữa MT và GGSN. Chế độ truy nhập này được gọi là truy nhập IP không trong suốt.
Các đầu cuối di động cũng thường là đầu cuối có khả năng song mode GPRS/GSM và UMTS, vì nhiều nhà khai thác sẽ triển khai UMTS tại các vùng mật độ dân cư cao, lưu lượng lớn và dựa trên GPRS để xử lý các người sử dụng trong các vùng đã có phủ sóng 2G. Thực tế, đây sẽ là một trong số các tính năng đầu cuối được yêu cầu phổ biến nhất trong những ngày đầu của UMTS.
1.4. KẾT LUẬN
Trong chương này chúng ta đã nghiên cứu nối mạng số liệu CS và PS trong các hệ thống vô tuyến tổ ong. Ta đã đề cập cả các khía cạnh đầu cuối và mạng lõi. Các kiến thức của chương này sẽ là cơ sở để nghiên cứu MVPN trong các chương sau.
CHƯƠNG 2: TỔNG QUAN MVPN
Trong chương này chúng ta sẽ nghiên cứu các khái niệm MPVN và phân tích công nghệ của nó qua việc xem xét các kiến trúc và phân loại các mạng VPN số liệu truyền thống, sau đó sẽ bổ sung khả năng di động để có được một bức tranh tổng thể. Đầu tiên ta định nghĩa VPN và phân tích các quy trình nối mạng riêng. Tiếp theo sẽ thảo luận về các công nghệ mà mạng VPN hỗ trợ và phân loại VPN. Cuối chương sẽ phân tích mối quan hệ giữa các thuật ngữ vô tuyến (wireless) với di động (mobile) và giới thiệu VPN trong môi trường di động.
2.1. ĐỊNH NGHĨA VPN
Thuật ngữ VPN bao gồm hai khái niệm: nối mạng ảo và nối mạng riêng. Trong nối mạng ảo, các node ở xa được phân tán theo địa lý có thể tương tác với nhau theo cách mà chúng hoạt động trong một mạng mà tại đó chúng được sắp xếp thứ tự nhau. Cấu hình mạng ảo không phụ thuộc vào cấu hình vật lý trong thực tế với các tính năng được sử dụng để hỗ trợ các dịch vụ cho người dùng. Mỗi người sử dụng của một mạng ảo không cần quan tâm đến cấu hình thực tế của mạng vật lý mà chỉ cần biết cấu hình của mạng ảo. Một mạng ảo có thể được quản lý bởi một thực thể quản trị duy nhất.
Còn các mạng riêng thường được định nghĩa là các phương tiện nối mạng không chia sẻ kết hợp các máy trạm (host) và máy khách (client) trực thuộc một thực thể quản trị duy nhất. Ví dụ điển hình của mạng riêng đó là mạng Intranet của một hãng. Mạng này chỉ được một số cá nhân có quyền quản trị thuộc hãng đó sử dụng.
Vậy có thể định nghĩa nối mạng riêng ảo (Virtual Private Networking - VPN) là mô phỏng của các mạng số liệu riêng để đảm bảo an ninh trên các phương tiện viễn thông công cộng chung không đảm bảo an ninh. Các thuộc tính của VPN bao gồm các cơ chế để bảo vệ số liệu, thiết lập sự tin tưởng giữa các máy trạm trong mạng ảo cũng như sự kết hợp giữa các phương pháp khác nhau để đảm bảo các thỏa thuận mức dịch vụ (SLA: Service Level Agreement) và chất lượng dịch vụ (QoS: Quality of Service) cho các thực thể tạo nên mạng VPN.
Có thể định nghĩa VPN từ nhiều góc độ. Định nghĩa nói trên nhìn VPN từ quan điểm nối mạng.
Trong một vài năm trước, có một số quan điểm đưa ra một định nghĩa VPN rộng hơn để nó bao hàm cả các công nghệ lớp ứng dụng như TLS (Transport Layer Security: An ninh lớp truyền tải). Hiện nay các nhà cung cấp và các cộng đồng công nghệ thông tin đã quan niệm quá đơn giản về vấn đề này và biến toàn bộ khái niệm VPN thành một thuật ngữ nối mạng chung đang được sử dụng rộng rãi cho các mục đích tiếp thị. Để thống nhất hai quan điểm này, chúng ta cần có một định nghĩa chung cho nối mạng số liệu VPN để chuyển đến các khía cạnh thực tế khi thực hiện nó.
2.2. CÁC KHÁI NIỆM CHUNG NHẦM LẪN VỀ CÁC MẠNG RIÊNG
Các mạng số liệu riêng vẫn được xem như là công nghệ truyền tải cao hơn so với IP VPN, hay thậm chí các mạng ATM và chuyển tiếp khung. Điều này bắt nguồn từ việc cung cấp các dịch vụ viễn thông của các nhà khai thác dựa trên tính an ninh và vững chắc của các tuyến cáp đồng và cáp quang của mạng truyền dẫn, nhưng quan điểm nay là hoàn toàn vô căn cứ. Thí dụ điển hình nhất của của các mạng riêng như vậy là PSTN, các đường thuê số liệu riêng và các mạng quay số ở cả hữu tuyến và vô tuyến. Dưới đây ta sẽ cho thấy rằng các mạng dựa trên các phương tiện riêng dành riêng cũng chịu chung các vấn đề khai thác như các mạng riêng ảo được cung cấp trên các cơ sở hạ tầng nối mạng chung.
2.2.1. Các mạng riêng đảm bảo an ninh
Người ta thường nói rằng một hệ thống đảm bảo được an ninh ngay cả khi đường truyền ở mức độ yếu kém. Từ cách nhìn này, các phương tiện nối mạng riêng của nhà cung cấp dịch vụ chỉ được đảm bảo an ninh ở dạng phần tử riêng của nó, chẳng hạn cáp đồng hoặc cáp quang, các kênh được thiết lập trên đường truyền vô tuyến (trong trường hợp thông tin vô tuyến) và các phần tử chuyển mạch, định tuyến trên đường truyền số liệu. Đoạn truyền yếu nhất của một mạng thường là môi trường vật lý, thông thường môi trường này không được đảm bảo tính riêng tư và an ninh.
Chẳng hạn, các đoạn mạng riêng được xây lắp trong các ống dẫn dưới mặt đất ở thành phố hoặc nông thôn (thường được đánh dấu bằng các ký hiệu khác nhau để phân biệt chúng) hay treo (cáp trên các cột điện thoại, mà mọi người đều có thể với đến bằng một thiết bị phù hợp và chúng chỉ được bảo vệ bởi lớp vỏ nhựa bọc ngoài) thường không được canh giữ và dễ dàng bị truy nhập trái phép với các mục đích hình sự. Kết quả là số liệu truyền giữa hai điểm của một hãng có thể bị lấy ra từ cáp quang dưới mặt đất chỉ đơn giản bằng cách rạch vỏ cáp và bóc lớp bảo vệ, uốn cong nó và thu ánh sáng lọt ra ngoài bằng một thiết bị rẻ tiền thường được các kỹ thuật viên bảo dưỡng sử dụng. Số liệu truyền dẫn trên các mạch vòng cáp đồng trong các vùng đô thị có thể bị truy nhập dễ dàng bằng cách đặt các nhánh rẽ cầu vào các đường dẫn không được bảo vệ hoặc đặt đường rẽ trực tiếp đến các đầu cuối kết nối cho các phương tiện xuyên qua tầng hầm của tòa nhà trong thành phố. Các mạng dựa trên công nghệ lớp liên kết như ATM và chuyển tiếp khung, ngoài việc bị dễ bị tổn hại lớp vật lý còn thường xuyên bị các tấn công lớp mạng như các xâm phạm dụng ý xấu hoặc bị nghe trộm.
Ngoài việc dễ bị tấn công của các phương tiện truyền tải, số liệu truyền tải trên các mạng riêng thường không được các nhà cung cấp dịch vụ lẫn các công ty mật mã hóa. Vì họ cho rằng không thể thâm nhập vào cáp và các ống dẫn đặt dưới mặt đất, nên các nhà cung cấp dịch vụ không lo lắng đến việc áp dụng các sơ đồ mật mã hóa hay các biện pháp mã hóa và nhận thực khác. Các phòng IT của các hãng lại tin vào các nhà cung cấp dịch vụ rằng lưu lượng được truyền trên các phương tiện riêng của họ (nghĩa là được đảm bảo an ninh), vì thế cũng không cần thiết phải áp dụng các biện pháp an ninh phức tạp đầu cuối-đầu cuối.
Tình trạng này cũng không sáng sủa hơn trong thông tin LAN vô tuyến và thông tin di động. Việc truy nhập đến thông tin được truyền trên đường vô tuyến thậm chí còn dễ hơn nhiều so với truy nhập thông tin truyền trên cáp. Các hệ thống tương tự ban đầu không đảm bảo bất kỳ biện pháp bảo vệ số liệu nào thậm chí cả việc nhận thực cần thiết nên thường bị xâm nhập bằng thiết bị quét và giải mã rẻ tiền. Điều này dẫn đến hiện tượng nhân bản hàng loạt điện thoại di động vào những năm 1980 và 1990.
Nền công nghiệp viễn thông vô tuyến đã giải quyết các vấn đề này bằng các hệ thống số mới có các sơ đồ mật mã hóa ở giao diện vô tuyến và SIM, USIM trong các máy thoại GSM, UMTS để nhận thực và mật mã hóa. Mặc dù các biện pháp này giải quyết thành công các vấn đề xâm phạm các thiết bị di động, nhưng vấn đề an toàn số liệu vẫn chưa được giải quyết tương xứng. Các sơ đồ mật mã hóa giao diện vô tuyến của các hệ thống thông tin di động số 2G và 3G để bảo vệ số liệu của người sử dụng thường yếu và đắt tiền khi áp dụng vào thực tế và thường không đảm bảo kết quả mong muốn của khách hàng. Kết quả là những biên pháp này là không bắt buộc đối với nhiều hệ thống. Ví dụ như an ninh giao diện vô tuyến trong cdma2000 chỉ là một tùy chọn của các tiêu chuẩn TIA và thường không được các nhà sản xuất thiết bị hỗ trợ, còn mật mã hóa trong GSM có thể không cần hoặc được update nếu có yêu cầu.
2.2.2. Các mạng riêng luôn luôn tin cậy
Trái với sự tin tưởng của nhiều người, đôi khi việc thuê riêng một phương tiện riêng có thể để lộ ra các phá vỡ dịch vụ nghiêm trọng và phục hồi chậm hơn các mạng dựa trên công nghệ VPN. Các mạng riêng dựa trên các kênh riêng ít tin cậy hơn nhiều so với các công nghệ dựa trên việc sử dụng các liên kết ảo (như các mạng ATM, chuyển tiếp khung hay MPLS) hay các giải pháp dựa trên datagram (như IP VPN), cho phép tự động định tuyến lại các luồng số liệu trên các tuyến ảo khác nhau trong trường hợp sự cố ở đoạn nối trung gian hay tại các node.
Thông thường các mạng riêng trải dài trên các khoảng cách lớn với nhiều phương tiện liên kết và có nhiều kiểu thiết bị số liệu như: Các chuyển mạch, các router, các bộ nối chéo và các SONET ADM( Synchronous Optical Network Add/Drop Multiplexer). Trong trường hợp có sự cố kênh hay đường riêng được dành riêng không thể tự động định tuyến lại số liệu qua các tuyến khác và không thể giữ được thông tin cho đến khi dịch vụ được phục hồi. Đôi khi sử dụng các vòng ring SONET để giải quyết vấn đề này, nhưng chỉ ở lớp vật lý (đoạn nối mạng yếu nhất của hệ thống) và thường không ở dạng đầu cuối-đầu cuối. Không chỉ riêng công nghệ vật lý trong một mạng riêng để lộ ra các vấn đề về khả năng tồn tại của tuyến đầu cuối-đầu cuối.
2.3. CÁC KHỐI CƠ BẢN CỦA VPN
Trong chương này ta sẽ xét các khối cơ bản của VPN bao gồm:
Điều khiển truy nhập
Nhận thực
An ninh
Truyền tunnel
Các thỏa thuận về mức dịch vụ
Các khối này là các khối chung cho hầu hết các kiểu mạng VPN số liệu bao gồm cả MVPN.
2.3.1. Điều khiển truy nhập
Điều khiển truy nhập (AC: Access Control) trong nối mạng số liệu được định nghĩa là tập các chính sách và kỹ thuật điều khiển việc truy nhập đến các tài nguyên nối mạng riêng cho các phía được trao quyền. Các cơ chế AC hoạt động độc lập với nhận thực và an ninh và cơ bản định nghĩa các tài nguyên nào khả dụng cho một người sử dụng cụ thể sau khi người này đã được nhận thực. Trong VPN, các thực thể vật lý như các máy trạm ở xa, tường lửa và các cổng VPN trong các mạng thuộc hãng tham dự vào các phiên thông tin thường chịu trách nhiệm hoặc tham gia đảm bảo trạng thái các kết nối VPN.
Thí dụ về các quyết định bao gồm:
+ Khởi đầu
+ Cho phép
+ Tiếp tục
+ Từ chối
+ Kết thúc
Mục đích chính của VPN là cho phép truy nhập đảm bảo an ninh và có chọn lựa đến các tài nguyên nối mạng từ xa. Nếu chỉ có an ninh và nhận thực mà không có AC, VPN chỉ bảo vệ tính toàn vẹn, bí mật của lưu lượng được truyền và ngăn cản những người sử dụng vô danh sử dụng mạng, nhưng không cho phép truy nhập các tài nguyên mạng. AC thường phụ thuộc vào thông tin mà thực thể yêu cầu kết nối, như nhận dạng hay tín chỉ, cũng như các quy tắc định nghĩa quyết định AC. Chẳng hạn một số VPN có thể được điều hành bởi một server tập trung hay thiết bị điều khiển VPN khác được đặt tại trung tâm số liệu của nhà cung cấp dịch vụ, hay nó có thể được quản lý cục bộ bởi cổng VPN trong các mạng có liên quan đến truyền thông VPN.
Tập các quy tắc và hành động quy định các quyền truy nhập đến các tài nguyên mạng được gọi là chính sách điều khiển truy nhập. Chính sách điều khiển truy nhập đảm bảo mục đích kinh doanh. Chẳng hạn, chính sách "Cho phép truy nhập cho các thuê bao từ xa không vượt quá 60 giờ sử dụng" có thể được thực hiện bằng cách sử dụng nhận thực dựa trên RADIUS và sử dụng một bộ đếm thời gian mỗi khi người sử dụng truy nhập. Về mặt lý thuyết (xem [RFC2882]) có thể sử dụng bản tin RADIUS DISCONNECT (ngắt kết nối radius) để ngắt phiên của người sử dụng khi vượt quá 60 giờ, nhưng đôi khi chính sách này lại được áp dụng tại thời gian đăng nhập (Logon) (chứ không phải tại thời điểm truy nhập) do người sử dụng không thường xuyên ở tình trạng đăng nhập, hay bằng cách đặt ra một giới hạn khoảng thời gian của một phiên. Có thể thực hiện các chính sách tương tự bằng cách thay đổi giới hạn thời gian bằng một giới hạn tín dụng liên quan đến tài khoản trả trước.
2.3.1.1. Trang bị chính sách và buộc thi hành
Các thí dụ về cơ chế trang bị chính sách theo tiêu chuẩn và ép buộc thi hành gồm có LDAP (Lightweight Directory Access Protocol), một chuẩn dùng để yêu cầu một danh mục, được định nghĩa bởi [RFC2820], [RFC2829] và RADIUS. Các định nghĩa về dịch vụ và các lệnh truy nhập đặc thù cho cả hai cơ chế này được lưu trong các cơ sở dữ liệu tập trung. Các thiết bị có trách nhiệm với các quyết định điều khiển truy nhập như các router IP, các cổng VPN và các thiết bị mạng thông minh đều có thể truy nhập vào các cơ sở dữ liệu này. Ưu điểm chính của các phương pháp này là đơn giản và dễ quản lý cũng như cung cấp. Với LDAP, các thay đổi chính sách có thể được thực hiện bởi cả nhà cung cấp dịch vụ lẫn nhà quản lý IT của hãng bằng cách truy nhập đến một server có chứa một cơ sở dữ liệu riêng thay vì cung cấp lại thông tin được lưu trên rất nhiều phần tử mạng.
Việc sử dụng RADIUS sẽ liên kết quá trình nhận thực người sử dụng với điều khiển truy nhập và chọn lựa chính sách dịch vụ. Sau mỗi lần chọn lựa chính sách truy nhập, việc ép buộc thực thi có thể thực hiện tại thiết bị bằng cách yêu cầu một kho lưu chính sách sử dụng LDAP. Trong những năm gần đây một giao thức mới tên là COPS (Common Open Policy Service, [RFC2748]) đã được đề suất để thực hiện trang bị và ra quyết định chính sách cho các thiết bị đơn giản. Việc sử dụng giao thức thức này vẫn còn rất hạn chế. Tuy nhiên nó đã được 3GPP R5 chấp nhận để nhận thực các phiên truyền thông. Đây chính là cơ chế điều khiển truy nhập cho các mạng (có thể là các VPN), được sử dụng để cung cấp các dịch vụ đa phương tiện trên các hệ thống 3G.
2.3.1.2. Cổng bắt giữ (Captive Portal)
Chức năng AC có thể được thi hành tại điểm kết cuối các giao thức truy nhập bằng cách chỉ cho phép truy nhập mạng sau khi nhận thực giao thức truy nhập thành công. Nói một cách khác có thể thi hành AC mạng thông qua phương pháp cổng bắt giữ. Phương pháp này thường được sử dụng trong các mạng truy nhập dựa trên WLAN và các mạng truy nhập băng rộng. Nó buộc các người sử dụng phải nhận thực bằng cách điền vào một mẫu biểu trên một trang Web, là nơi duy nhất họ có thể truy nhập sau khi đạt được kết nối IP. Điều này có thể được thực hiện qua chức năng chuyển hướng TCP trên các cổng 80, 8000 và 8080 thường được sử dụng cho HTTP (giao thức được sử dụng để truyền các trang Web).
Chức năng chuyển hướng TCP, được cài đặt trên một thiết bị mạng hay một router thông thường tại biên của VPN (hay một mạng IP bất kỳ), sẽ giám sát tất cả các gói IP chuyển lên lớp truyền tải. Nếu giao thức là TCP và số cổng là HTTP, địa chỉ nơi nhận của mạng và tiêu đề HTTP được thay đổi để yêu cầu trang Web phù hợp với trang Web đầu vào cổng chính. Một phương pháp khác được sử dụng khi thiết bị mạng không được thiết kế để hoạt động tại mức ứng dụng, bản thân cổng chính có thể hiểu được để luôn luôn đáp trả các yêu cầu HTTP đến từ các địa chỉ IP không đăng ký (không được phép) bằng các phát đi trang Web đăng ký thông qua HTTP. Khi đã thu thập chứng nhận và nhận thực thành công người sử dụng, cổng chính thông báo cho thiết bị mạng và thiết bị này đưa lên chức năng chuyển hướng TCP và để cho lưu lượng người sử dụng qua tự do, tất nhiên chỉ đến khi xảy ra một sự kiện nào đó sau đây: bộ định thời người sử dụng không tích cực, thời gian sử dụng hay giới hạn lưu lượng bị vượt quá, khoảng thời gian được phép trước khi nhận thực mới được yêu cầu, hay thậm chí việc chuyển hướng đến một trang quảng cáo nào đó không làm thay đổi trạng thái này.
Chúng ta sẽ không đi sâu vào các chi tiết không liên quan đến mục đích chính của chương này, nhưng có thể thấy rằng việc thực hiện điều khiển truy nhập AC nói trên ngày càng trở nên phổ biến do sự chuyển dịch các công nghệ truy nhập vào các môi trường quảng bá như WLAN, và sự chia sẻ các tài nguyên mạng truy nhập có thể cần một giai đoạn lựa chọn nhà cung cấp trước khi bắt đầu sử dụng dịch vụ. Ngoài ra khi lựa chọn nhà cung cấp, người sử dụng có thể được nhắc nhở trên một trang Web thứ hai (mang tính cá nhân) về lý lịch tài khoản của người này, các hoạt động quảng cáo và các đường nối đến các đối tác cung cấp các dịch vụ hấp dẫn khác. Chức năng này có thể được đặt tại các VPN hay các mạng dịch vụ và không thể truy nhập được chừng nào giai đoạn AC dựa trên cổng bắt giữ (captive portal) chưa được tiến hành thành công.
Một số nhà cung cấp dịch vụ thậm chí không sử dụng sự phức tạp của captive portals dựa trên chuyển hướng TCP, có thể vì thiết bị của họ chỉ kiểm tra các gói ở mức lớp mạng và chỉ có thể được lập cấu hình để cho phép truy nhập đến một số nơi nhận của lớp mạng. Thay vào đó họ đảm bảo truy nhập cho các người sử dụng nếu họ chỉ ra cho các bộ trình duyệt của mình về một URL được in trên card đăng ký hay card trả tiền trước mà họ nhận được. Sau khi đã qua giai đoạn nhận thực, mạng cho phép người sử dụng được nhận dạng bằng địa chỉ nguồn IP (hay cả nhận dạng MAC lớp 2) và có thể truy nhập thành công đến tất cả các đích.
2.3.2. Nhận thực
Một trong các chức năng quan trọng nhất được VPN hỗ trợ là nhận thực. Trong nối mạng riêng ảo, mọi thực thể liên quan đến truyền thông tin phải có thể tự nhận dạng mình với các đối tác liên quan khác và ngược lai. Nhận thực là một quá trình cho phép các thực thể truyền thông kiểm tra các nhận dạng như vậy. Một trong các phương pháp nhận thực phổ biến được sử dụng rộng rãi hiện này là hạ tầng khóa công cộng PKI (Public Key Infrastructure). Đây là phương pháp nhận thực dựa trên chứng nhận, và các bên tham dự truyền thông tin sẽ nhận thực lẫn nhau bằng cách trao đổi các chứng nhận của họ. Các chứng nhận này được đảm bảo bởi quan hệ tin tưởng với một bộ phận thẩm quyền chứng nhận.
Quá trình nhận thực cũng có thể liên quan đến cung cấp thông tin nhận thực dựa trên bí mật chia sẻ (Shared Secret) như: Mật khẩu hay cặp khẩu lệnh/trả lời của CHAP tới thực thể nhận thực, hay như NAS (Network Access Server) để tra cứu một file địa phương hay yêu cầu server RADIUS. Về mặt này hoạt động của VPN gồm hai kiểu nhận thực: Nhận thực client-gateway và gateway-gateway. Thí dụ nhận thực client-gateway là nhận thực trong môi trường số liệu gói của GPRS là nhận thực dựa trên RADIUS khi người sử dụng truy nhập GGSN. Chỉ khi thành công họ mới được phép vào IPSec tunnel nối đến cổng IPSec của mạng khách hàng. Trường hợp thứ hai thường gặp khi kết nối site-site được thiết lập hay khi các mạng quay số ảo được sử dụng và nhận thực thiết lập tunnel LTP2 được yêu cầu giữa LAC (L2TP Access Concentrator) và LNS (L2TP Network Server).
2.3.3. An ninh
Theo định nghĩa ở trên, VPN được xây dựng trên các phương tiện công cộng dùng chung không an toàn, vì thế tính toàn vẹn và mật mã hóa là yêu cầu nhất thiết phải có. Có thể đảm bảo an ninh cho VPN bằng cách triển khai một trong các phương pháp mật mã hóa đã có hay cơ chế mật mã hóa kết hợp với các hệ thống phân bố khóa an ninh. Tuy nhiên cần nhắc lại rằng an ninh không chỉ giới hạn bởi mật mã hóa lưu lượng VPN. Nó cũng liên quan đến các thủ tục phức tạp của các nhà cung cấp và khai thác (chẳng hạn cung cấp các SIM card cùng với các giải thuật và kiểm tra khóa bí mật), và khi VPN dựa trên mạng (network-based VPN), cần thiết lập mối quan hệ tin tưởng giữa nhà cung cấp dịch vụ và khách hàng VPN, yêu cầu thoả thuận và triển khai các cơ chế an ninh tương ứng. Chẳng hạn, chỉ có thể truy nhập server AAA trong hãng bằng cách đảm bảo an ninh các bản tin RADIUS thông qua IPSec khi chúng truyền trên hạ tầng chung. Ngoài ra AAA server có thể trực thuộc một mạng không ở trong VPN để cách ly lưu lượng AAA với lưu lượng người sử dụng.
2.3.4. Truyền tunnel là nền tảng VPN
Truyền tunnel là công nghệ quan trọng nhất để xây dựng các IP VPN. Truyền tunnel bao gồm đóng bao (encapsulation) một số gói số liệu vào các gói khác theo một tập quy tắc được áp dụng cho cả hai đầu cuối của tunnel. Kết quả là nội dung được đóng bao trong tunnel không thể nhìn thấy đối với mạng công cộng không an ninh nơi các gói được truyền. Cần lưu ý rằng một tunnel có thể có nhiều điểm cuối khi sử dụng địa chỉ nhận đa phương (Multicast).
Hình 2.1. Truyền tunnel trong nối mạng riêng ảo
Khái niệm truyền tunnel được áp dụng cho nối mạng riêng ảo được trình bầy trên hình 2.1. Trên hình này, các gói được gửi đi từ máy trạm A đến máy trạm Z phải qua rất nhiều chuyển mạch và router. Nếu router C đóng bao gói đến từ máy A và cổng Y mở bao gói, thì các nút khác mà gói này đi qua sẽ không nhận biết được gói đóng bao "bên ngoài" này và sẽ không thể biết được phần tải tin cũng như địa chỉ điểm nhận cuối cùng của nó. Bằng cách này, tải tin của gói được gửi giữa C và Y sẽ chỉ được nhận biết bởi hai nút mạng này và các máy A, Z là nơi khởi đầu và kết cuối lưu lượng. Điều này tạo ra một cách hiệu quả một "tunnel" mà qua đó các gói được truyền tải với mức an ninh mong muốn.
Có thể định nghĩa tunnel bởi các điểm cuối của nó, các thực thể mạng nơi tháo bao và giao thức đóng bao được sử dụng. Các kỹ thuật truyền tunnel hỗ trợ các VPN như L2TP hay PPTP được sử dụng để đóng bao các khung lớp liên kết (PPP). Tương tự các kỹ thuật truyền tunnel như IP trong IP và các chế độ IPSec được sử dụng để đóng bao các gói lớp mạng.
Theo ngữ cảnh nối mạng riêng ảo, truyền tunnel có thể thực hiện ba nhiệm vụ chính sau:
+ Đóng bao.
+ Tính trong suốt đánh địa chỉ riêng.
+ Toàn vẹn số liệu đầu cuối-đầu cuối và tính bảo mật.
Tính trong suốt đánh địa chỉ riêng cho phép sử dụng các địa chỉ riêng trên hạ tầng IP nơi cho phép đánh địa chỉ công cộng. Vì các nội dung của gói được truyền tunnel và các thuộc khác như các địa chỉ, chỉ có thể được hiểu từ bên ngoài các điểm đầu cuối tunnel, đánh địa chỉ IP riêng hoàn toàn được che đậy khỏi các mạng IP công cộng bằng cách sử dụng các địa chỉ hợp lệ (hình 2.2).
Hình 2.2. Che đậy địa chỉ IP bằng tunnel
Các chức năng toàn vẹn và bảo mật đảm bảo rằng một kẻ không được phép không thể thay đổi các gói truyền tunnel của người sử dụng và nhờ vậy nội dung của gói được bảo vệ chống truy nhập trái phép. Ngoài ra theo tuỳ chọn, truyền tunnel có thể bảo đảm sự toàn vẹn của tiêu đề gói IP bên ngoài, vì thế sẽ đảm bảo nhận thực nguồn gốc số liệu. Chẳng hạn trong IP VPN có thể sử dụng tiêu đề IPSec AH (Authentication Header) để bảo vệ các địa chỉ IP của các đầu cuối tunnel. Tuy nhiên trong truyền thông số liệu, những trường hợp này không được xem là vấn đề quan trọng và thực tế nhiều cổng VPN thậm chí không áp dụng AH. Lí do là nếu gói truyền tunnel của người sử dụng được bảo vệ bởi ESP và gói này được mật mã hóa bằng cách sử dụng phân phối khóa an ninh, các kỹ thuật quản lý cũng như các giải thuật không dễ bị phá vỡ như 3DES (Triple Data Encryption Standard), thì mọi mục đích thay đổi địa chỉ IP để chặn hoặc để gửi lưu lượng đều thất bại. Vì thế các điểm cuối được sử dụng với ý đồ xấu sẽ không có cách nào tham dự vào liên kết an ninh dựa trên ESP IPSec (Encapsulation Security Payload). Do vậy, mặc dù việc biện pháp đảm bảo an ninh dễ dàng được nhận ra nhưng khó có thể chuyển đổi được số liệu bị đánh cắp. Đây là điều mà các khách hàng VPN quan tâm và cũng là lý do việc sử dụng AH còn hạn chế.
Lưu ý rằng AH vẫn hữu ích khi cần cung cấp thông tin điều khiển thiết lập tunnel. Ví dụ để bảo vệ các bản tin đăng ký MIP (Mobile IP) thì sử dụng AH là bắt buộc.
Khi áp dụng truyền tunnel để tạo lập một Mobile VPN, bốn chức năng (đóng bao, trong suốt đánh địa chỉ riêng, toàn vẹn số liệu đầu cuối-đầu cuối và bảo mật) phải đi kèm với một tập các cơ chế để đảm bảo chuyển mạch tunnel động hay thiết lập lại nhằm hỗ trợ tính di động của người sử dụng VPN. Trong chương này chúng ta sẽ bàn luận chi tiết về yêu cầu bổ sung này. Các hệ thống số liệu gói dựa trên di động hiện đại như GPRS, UMTS và cdma 2000, sử dụng cơ chế truyền tunnel GTP hay MIP. GTP và MIP được thiết kế để hỗ trợ di động. Tunnel di động dựa trên các công nghệ này có thể được móc nối với các tunnel tĩnh tại biên của các mạng vô tuyến để cung cấp đa dạng các kiến trúc MVPN.
Đánh nhãn (MPLS) và VPN
MPLS cho phép định tuyến các gói IP qua đường trục IP dựa trên địa chỉ IP không phải của nơi nhận cuối cùng. Một trong các ứng dụng của MPLS là kỹ thuật điều khiển lưu lượng - định tuyến các gói trên các tuyến được quyết định bởi tiêu chuẩn khác với chỉ định tuyến IP tối ưu, dựa trên nhu cầu cung cấp một số mức QoS nào đó, hay chọn các liên kết chi phí tối thiểu (minimum-cost) hoặc định tuyến trên các liên kết ít được sử dụng để chia sẻ tải. Một ứng dụng quan trọng khác của MPLS là cung cấp các dịch vụ VPN dựa trên mạng (network-based) giữa các mạng khách hàng có nhiều site hay còn gọi là các VPN đa site (xem hình 2.3). VPN dựa trên mạng là một dịch vụ do nhà cung cấp dịch vụ cung cấp qua PE (Provider Edge) đến các mạng khách hàng. Các router PE thường nối đến các site khách hàng qua các router CE (Customer Edge) bằng công nghệ lớp 2 hay truyền tunnel cũng như MPLS.
Hình 2.3. VPN đa site dựa trên mạng của nhà cung cấp dịch vụ
Sử dụng MPLS để cung cấp các dịch vụ VPN liên quan đến khả năng điều khiển thiết lập các LSP (Label switched Path) thông qua một giao thức phát hiện/phân phối thành viên của VPN site hiệu quả. Có hai trường phái chính về việc sử dụng MPLS để cung cấp các VPN. Một trường phái cho rằng cần sử dụng một router PE hoàn toàn được điều khiển bởi nhà cung cấp và được trang bị nhiều bảng định tuyến, ta gọi phương pháp này là phương pháp router đơn thuần. Trường phái thứ hai cho rằng PE router phải hoạt động dựa trên các router ảo và rằng các khách hàng phải có khả năng điều khiển chúng ở mức độ nào đó. Ta sẽ không kết luận phương pháp nào là tốt nhất, vì thực tế sẽ quyết định khi nào thì sử dụng phương pháp nào là hợp lý. Tuy nhiên ta sẽ phân tích ưu khuyết của từng phương pháp.
Phương pháp router PE đơn thuần dựa trên khả năng của mỗi router hỗ trợ một bảng định tuyến cho một VPN site và mỗi bảng định tuyến này sẽ quảng cáo về các tuyến trong nội miền (intradomain) giữa các site mạng khách hàng bằng cách sử dụng giao thức IBGP (Internet Border Gateway Protocol) và các tuyến liên miền (Interdomain) bằng cách sử dụng BGP. Trong trường hợp một tiền tố mạng thuộc một site nào đó chồng lấn lên một tiền tố khác của một site khác được quảng cáo bởi cùng một router PE, tuyến này sẽ đi kèm với phân biệt tuyến để tạo nên họ địa chỉ IPv4 VPN. Tuyến này có thể được liên kết tới hai thuộc tính BGP bổ sung: thuộc tính VPN đích (Target VPN) và thuộc tính VPN nguồn (VPN of Origin), để xây dựng bộ lọc dựa trên các chính sách. Bộ lọc này được sử dụng để lập cấu hình các VPN dựa trên các PE. Nhãn đi cùng với tuyến cũng được quảng cáo và PE router chứa địa chỉ IP của nó ở dạng chặng BGP tiếp theo. Nhãn này được sử dụng như nhãn bên trong của một ngăn xếp nhãn, cho phép gói IP được gửi từ PE này đến PE khác và định tuyến gói đến CE router dựa trên giá trị của nhãn. Phương pháp này trình bầy trong [RFC2547], được sử dụng rộng rãi bởi nhà cung cấp mạng hàng đầu Cisco Systems.
Với cách tiếp cận router ảo (VR), PE router hỗ trợ các router hoạt động dựa trên phần mềm được gọi là các router ảo, mỗi router này chịu trách nhiệm về một site mạng khách hàng. Do VR hoạt động như một router thông thường, các khách hàng có thể quản lý nó và lập cấu hình các FEC (Forwading Equivalence Classes) cho nó. Mỗi PE VR trực thuộc một VPN riêng có thể phát hiện các VR khác thông qua OA&M, các phương pháp dựa trên danh mục hay phương pháp BGP có thể tham khảo trong [RFC2547].
Chẳng hạn, có thể hình dung rằng một nhà khai thác GPRS không chỉ quản lý truy nhập vô tuyến mà còn quản lý GGSN của họ hoạt động như một CE của giao thức BGP MPLS và sử dụng các MPLS VPN để chia mạng thành các VPN dành cho các dịch vụ khác nhau. Một nhà khai thác GPRS có thể quyết định tạo lập một MPLS VPN cho các dịch vụ số liệu gói nội miền để cung cấp cho các thuê bao không chuyển mạng và một VPN cho các thuê bao chuyển mạng. Cách này có ưu điểm là tối tiểu hóa sử dụng các tài nguyên đường trục giữa các PLMN (chẳng hạn các địa chỉ IP cho các khối GRX được ấn định cho nhà cung cấp khai thác liên mạng PLMN).
2.3.5. Các thỏa thuận mức dịch vụ SLA (Service Level Agreement)
Các thực thể tham gia nối mạng riêng ảo như các hãng vô tuyến, các ISP, các hãng và các người sử dụng từ xa bị ràng buộc bởi các thỏa thuận để đạt được các mức dịch vụ yêu cầu cũng như các lợi nhuận mong muốn đối với các dịch vụ được cung cấp. Các thỏa thuận này được dự thảo giữa các bên có liên quan và các đối tác của họ để định nghĩa các mức cho phép định lượng và đánh giá dịch vụ được gọi là các thỏa thuận mức dịch vụ SLA. Các SLA được sử dụng ở nhiều dạng. Tuy nhiên chúng đặc biệt quan trọng đối với các mạng ảo dựa trên hạ tầng dùng chung hay nhiều hạ tầng dùng chung, như trường hợp MVPN. Trong các mạng số liệu di động sử dụng các mối quan hệ đồng cấp, có thể cần nhiều SLA để hỗ trợ tất cả các dịch vụ và tất cả các thực thể liên quan đến các dịch vụ này ở phía nhà cung cấp hoặc khách hàng. Ta xét chi tiết các vấn đề liên quan đến thiết lập một SLA toàn diện trong môi trường di động.
MVPN SLA
Các MVPN SLA đặc biệt phức tạp vì chúng chứa cả phần vô tuyến và hữu tuyến. Thông thường không thể đảm bảo được hiệu năng phần vô tuyến phù hợp vì bản chất không dự đoán trước được của giao diện vô tuyến. Ngoài ra trong môi trường di động, một người sử dụng có thể chuyển đến một mạng ngoài miền quản lý của nhà cung cấp dịch vụ di động mạng nhà. Điều này làm nảy sinh vấn đề đảm bảo dịch vụ đầu cuối-đầu cuối. Nhà cung cấp dịch vụ nhà bằng cách nào đó phải giảm bớt nhu cầu này để đảm bảo dịch vụ theo thỏa thuận chuyển mạng khung (tiêu chuẩn cho tất cả các đối tác chuyển mạng). SLA chuyển mạng này cho phép đảm bảo mức phục vụ đầu cuối-đầu cuối với mức độ chấp nhận được theo các thông số hiệu năng đã thỏa thuận với khách hàng. Vì vậy, đưa ra các mẫu di động và chuyển mạng sẽ đặc trưng cho các người sử dụng di động và cũng vì các điều kiện không dự đoán được của mạng khách nên các nhà cung cấp dịch vụ MVPN có thể đưa ra các đảm bảo mức dịch vụ khác nhau của SLA cho các trường hợp khi người sử dụng chuyển mạng và khi người này ở mạng nhà.
Dưới đây là danh sách các điều cần xem xét khi soạn thảo một SLA cho một dịch vụ MVPN điển hình:
+ Tính khả dụng của tunnel cố định.
+ Các đảm bảo băng thông của tunnel cố định.
+ Trễ của tunnel cố định.
+ Tốc độ tế bào/gói đỉnh và có thể chấp nhận được.
+ Tỷ lệ gói mất.
+ Các đảm bảo sự liên tục phiên (giới hạn về thời gian kỳ vọng mà phiên có thể bị mất trong một số vùng phủ và trong một số điều kiện di động của vùng phủ có độ rộng giới hạn.
+ Các thời gian tạm ngưng của các phiên rỗi (nó có thể khác với các thời gian tạm ngưng thường được buộc thi hành bởi server truy nhập mạng của hãng, do nhu cầu tiết kiệm tài nguyên ở phía mạng vô tuyến).
+ Các vùng được phép chuyển mạng và hiệu năng khi chuyển mạng.
Sau khi đã phân tích các thuộc tính chính của VPN và các công nghệ được sử dụng ta sẽ đi phân loại VPN.
2.4. PHÂN LOẠI CÔNG NGHỆ VPN
Có hai cách phân loại công nghệ VPN:
Phân loại theo kiến trúc: Xét đến cách triển khai kiến trúc.
Phân loại theo truyền tunnel: Xét đến cách áp dụng các kỹ thuật tunnel.
Về mặt lịch sử, phân loại theo kiến trúc thường được sử dụng nhiều hơn trong nối mạng VPN số liệu hữu tuyến, còn phân loại theo truyền tunnel thường được sử dụng trong các hệ thống thông tin di dộng. Mặc dù đề tài này chủ yếu xét đến các hệ thống vô tuyến, chúng ta cũng sẽ xét tổng quan cả hai cách phân loại và khả năng ứng dụng chúng cho MVPN. Các thí dụ phân loại VPN theo truyền tunnel bao gồm bắt buộc (Compulsory) và tự ý (Voluntary). Phân loại theo site-site đối lập với truy nhập từ xa, dựa trên phân loại theo kiến trúc.
2.4.1. Phân loại theo phương pháp truyền tunnel
Có thể thực hiện tất cả các IP VPN bằng cách sử dụng các phương pháp truyền tunnel cơ sở:
Đầu cuối-đầu cuối, hay tự ý.
Dựa trên mạng (network-based), hay bắt buộc.
Các tunnel trung gian.
Đối với các VPN dựa trên phương thức truyền tunnel ta có thể phân loại chúng thành tự ý (voluntary), bắt buộc (compulsory) hay kết hợp (combined). Bây giờ ta xét cụ thể hơn cả ba phương pháp này.
2.4.1.1. VPN tự ý
IP VPN tự ý cho phép các người sử dụng ở xa có thể thiết lập một tunnel từ thiết bị đầu cuối của mình, chẳng hạn các máy điện thoại di động hay các PDA, đến một điểm kết cuối tunnel xác định, chẳng hạn một cổng VPN đặt trong mạng riêng. Các mạng riêng thường được bảo vệ bằng các tường lửa, như vậy cần có các cơ chế vượt qua tường lửa và các cơ chế an ninh đối với các người dùng hợp lệ, (chẳng hạn nhận thực người sử dụng, toàn vẹn số liệu và bảo mật) áp dụng cho lưu lượng truy nhập từ xa. Vì thế các thiết bị của người sử dụng ở xa phải hỗ trợ các giao thức thích hợp để thỏa mãn các yêu cầu này. Chẳng hạn một người sử dụng ở xa được trang bị PDA có thể thiết lập một tunnel IPSec ESP đến mạng của hãng bằng cách sử dụng phân phối khoá dựa trên PKI (được gọi là phương pháp khóa không đối xứng). Tất cả số liệu giữa các trạm di động và mạng riêng khi này phải được đóng bao trong tunnel IPSec đầu cuối-đầu cuối đảm bảo an ninh. Truyền tunnel đầu cuối-đầu cuối trong trường hợp này chỉ tồn tại trong thời gian của phiên và bị cắt kết nối khi người sử dụng không yêu cầu truy nhập mạng riêng hoặc dựa trên một tập các sự kiện quy định như thời gian phiên hay các giới hạn quyền truy nhập.
Kiểu dịch vụ VPN này được mô tả trên hình 2.2. Dịch vụ VPN trên hình này sử dụng truy nhập quay số trên mạng GSM cho một mạng riêng sau khi đã được nhà khai thác vô tuyến cho phép truy nhập Internet.
Hình 2.4. VPN tự ý trên mạng TTDĐ 2G
Lưu ý rằng cả truy nhập vô tuyến và hữu tuyến đến Internet đều cho phép người sử dụng chuyển mạng sử dụng kiểu VPN này, "tự ý" mở một kênh thông tin đến mạng riêng khi họ cần, do đó phương pháp này có tên là VPN tự ý.
VPN tự ý có một số ưu điểm, đối với các nhà quản lý IT mạng riêng và đối với các người sử dụng ở xa, đây là cách đơn giản nhất để thiết lập truy nhập VPN từ xa. Các người sử dụng ở xa chỉ việc truy nhập vào Internet hoặc một mạng IP công cộng bất kỳ và một VPN client trong thiết bị cố định hoặc di động của họ. Điều duy nhất mà phòng IT của mạng riêng phải làm là cung cấp một cổng VPN nối đến Internet và có khả năng kết cuối một kiểu truyền tunnel nhất định và thiết lập một tập các chính sách và các thủ tục an ninh. Nhà cung cấp dịch vụ truy nhập Internet không thể truy nhập vào số liệu từ đầu cuối-đầu cuối đã được mật mã hóa giữa người sử dụng đầu xa và mạng riêng, vì thế sẽ không xẩy ra xâm hại số liệu. VPN tự ý cũng không đòi hỏi bất kỳ quan hệ nào được thiết lập trước giữa các hãng và các nhà cung cấp dịch vụ. Vì thế sẽ không có các SLA và các thỏa thuận quy định về bảo mật số liệu. Tuy nhiên người sử dụng và hãng phải luôn sẵn sàng tiếp nhận dịch vụ truy nhập mạng mặc dù khó dự báo trước dịch vụ này và thường chất lượng thấp hơn dịch vụ được cung cấp cho các phía khi sử dụng SLA, trừ phi nhà cung cấp cung cấp các mức dịch vụ quy định trước ở dạng một tùy chọn truy nhập Internet "loại kinh doanh".
Các VPN tự ý yêu cầu ấn định các địa chỉ IP công cộng đúng theo cấu hình topo cho thiết bị của người sử dụng ở xa. Yêu cầu này (cùng với các thuộc tính khác của truyền tunnel đầu cuối-đầu cuối) dẫn đến một số nhược điểm tiềm ẩn của dịch vụ VPN tự ý. Do số lượng địa chỉ IPv4 khả dụng đối với các nhà cung cấp dịch vụ có hạn (nhất là đối với các nhà khai thác thông tin di động vì họ phải cung cấp nối mạng IP "thường xuyên" cho các khách hàng của họ), nên phải dựa trên các sơ đồ đánh địa chỉ riêng để bảo toàn không gian địa chỉ IP quý giá, kết hợp với các các kỹ thuật chia mạng con và phiên dịch địa chỉ như NAT (Network Address Translation) là rất phổ biến. Thời gian gần đây việc sử dụng các địa chỉ IP công cộng này làm cho việc truyền tunnel đầu cuối-đầu cuối không khả thi. Chẳng hạn, chế độ IPSec AH không tương thích với NAT và thậm chí NAT còn không cho phép thiết lập tunnel. Tuy nhiên mới đây một số cơ chế cho phép truyền qua NAT đã được IETF đưa ra và đang được sử dụng rộng rãi trong công nghiệp. Ngoài ra sự xuất hiện mạng dựa trên IPv6 và sự chuyển đổi dần sang IPv6 Internet trong tương lai sẽ giải quyết vấn đề thiếu hụt địa chỉ.
Một nhược điểm khác của VPN tự ý xuất phát từ bản chất của truyền tunnel đầu cuối-đầu cuối có đảm bảo an ninh. Trong phương pháp này, nội dung của các gói truyền tunnel được đóng bao và vì thế không thể kiểm tra tại các nút trên tuyến tunnel trừ các điểm cuối tunnel. Vì thế QoS, CoS (Class of Service) và các cơ chế tạo dạng lưu lượng đòi hỏi kiểm tra gói tại nhiều điểm là không thể thực hiện được. Giám sát thiết bị và các chức năng tường lửa cũng không làm việc tốt.
Khi các MVPN được thực hiện trong một môi trường thông tin di động, truyền tunnel sẽ dẫn đến một lớp đóng bao bổ sung ở trên đoạn truyền vô tuyến chặng cuối cùng. Điều này sẽ tiêu tốn hơn các tài nguyên vô tuyến đắt tiền và quí hiếm. Ngoài ra mật mã hóa và các giải thuật an ninh phức tạp có thể không phù hợp cho việc áp dụng trong các thiết bị vô tuyến nhỏ do khả năng xử lý và nguồn acqui có hạn của chúng. Hơn nữa các điều kiện vô tuyến dễ thay đổi và môi trường vô tuyến gây tổn hao không thuận lợi cho việc thiết lập và bảo tồn các IPSec tunnel. Điều này có thể gây ra thời gian thiết lập tunnel lâu hay trong các trường hợp cực đoan dẫn đến sự cố hoàn toàn và dẫn đến phải chuyển đến vùng phủ sóng tốt hơn. Lưu ý rằng điều này không chỉ ảnh hưởng lên các hệ thông thông tin di động mà còn ảnh hưởng lên các mạng truy nhập dựa trên WLAN.
Vì các lý do trên, nên mặc dù truyền tunnel tự ý đảm bảo giải pháp đầu cuối-đầu cuối an ninh và trong suốt để truy nhập đến các mạng riêng, nhưng hiệu suất cao hơn của VPN và các dịch vụ duy nhất lại chỉ có thể đạt được với sự tham ra của các nhà cung cấp dịch vụ dẫn đến việc đưa ra một kiểu VPN khác.
2.4.1.2. VPN bắt buộc
Nhà cung cấp dịch vụ có thể cung cấp dịch vụ VPN bắt buộc bằng cách móc nối nhiều tunnel hay cung cấp một tunnel duy nhất cho một đoạn của tuyến số liệu giữa hai điểm cuối tham dự. Chẳng hạn, VPN bắt buộc có thể được xây dựng trên một tunnel được tạo lập giữa mạng riêng và nhà cung cấp dịch vụ mà không kéo dài trên toàn tuyến số liệu đến người sử dụng ở xa sử dụng dịch vụ này. Vì thế với dịch vụ VPN bắt buộc, người sử dụng ở xa không cần tham dự vào quá trình thiết lập VPN mà bị "buộc" sử dụng dịch vụ được cung cấp trước mỗi khi cần truy nhập đến mạng và đây cũng là tên của phương pháp này.
Kiểu VPN này cho rằng cơ sở hạ tầng mạng của nhà khai thác có tính năng thông minh và các chức năng cần thiết để hỗ trợ các dịch vụ VPN dựa trên tunnel hay các tập tunnel được trang bị giữa mạng riêng và các mạng của nhà cung cấp dịch vụ và tunnel không tồn tại trên toàn tuyến đến tận người sử dụng đầu cuối. Trong cả hai trường hợp, hãng (hay xí nghiệp) phải thiết lập một SLA chi tiết với nhà cung cấp dịch vụ chịu trách nhiệm về dịch vụ VPN và phải tin tưởng nhà cung cấp dịch vụ trong việc xử lý số liệu giá trị với trách nhiệm và bí mật cần thiết. Nhà cung cấp dịch vụ thường tham dự vào điều khiển truy nhập mạng và hãng phải tin tưởng nhà cung cấp này trong việc từ chối truy nhập đối với các người sử dụng trái phép theo chính sách truy nhập mạng do nhà quản lý mạng hãng quy định. Hình 2.5 cho thấy thí dụ kịch bản áp dụng VPN bắt buộc trong cdma2000. Trong hình này số liệu của người sử dụng chỉ được đóng bao vào MIP tunnel giữa PDSN của cdma2000 của nhà cung cấp dịch vụ và HA thuộc sở của hãng.
Hình 2.5. VPN bắt buộc
Việc phải có một đoạn tuyến số liệu riêng không được bảo vệ, phải tin vào nhà cung cấp dịch vụ và thiết lập các SLA và các thỏa thuận bảo mật số liệu phức tạp là một số các nhược điểm của VPN bắt buộc. Trong môi trường di động, các vấn đề an ninh thậm chí quan trọng hơn, vì lưu lượng được phát trên các kênh vô tuyến khó đảm bảo an ninh. Khi chuyển mạng số liệu gói, lưu lượng không được bảo v
Các file đính kèm theo tài liệu này:
- Do an nop.doc