Tài liệu Luận văn Nghiên cứu và đề xuất giải pháp an ninh đầu cuối cho NGN: 1
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Phạm Quý Phương
NGHIÊN CỨU VÀ ĐỀ XUẤT GIẢI PHÁP
AN NINH ĐẦU CUỐI CHO NGN
LUẬN VĂN THẠC SĨ
Hà Nội - 2010
2
LỜI MỞ ĐẦU
Những năm qua với sự phát triển nhanh chóng của Công nghệ thông tin và truyền thông, nhu cầu và
yêu cầu về chất lượng dịch vụ của người dùng ngày càng cao trên các loại hình dịch vụ như: thoại,
truyền số liệu, gửi nhận Fax, các dịch vụ giá trị gia tăng mang tính chất tích hợp, đa dạng và tiện lợi.
Các dịch vụ cung cấp qua nhiều kênh phân phối, nhiều chủng loại thiết bị đầu cuối khác nhau: truyền
hình, điện thoại cố định, điện thoại di động, máy tính, thiết bị cá nhân, các điểm truy cập dịch
vụ…Các dịch vụ phải có thể sử dụng và truy cập được tại bất kỳ đâu, không phụ thuộc vào không
gian, thời gian.
Trong môi trường kinh doanh năng động và đầy cạnh trang như hiện nay các doanh nghiệp rất cần các
giải pháp và dịch vụ truyền thông chuyên nghiệp, hiện đại để giúp họ thu hút và chăm sóc đư...
103 trang |
Chia sẻ: haohao | Lượt xem: 1269 | Lượt tải: 0
Bạn đang xem trước 20 trang mẫu tài liệu Luận văn Nghiên cứu và đề xuất giải pháp an ninh đầu cuối cho NGN, để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên
1
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Phạm Quý Phương
NGHIÊN CỨU VÀ ĐỀ XUẤT GIẢI PHÁP
AN NINH ĐẦU CUỐI CHO NGN
LUẬN VĂN THẠC SĨ
Hà Nội - 2010
2
LỜI MỞ ĐẦU
Những năm qua với sự phát triển nhanh chóng của Công nghệ thông tin và truyền thông, nhu cầu và
yêu cầu về chất lượng dịch vụ của người dùng ngày càng cao trên các loại hình dịch vụ như: thoại,
truyền số liệu, gửi nhận Fax, các dịch vụ giá trị gia tăng mang tính chất tích hợp, đa dạng và tiện lợi.
Các dịch vụ cung cấp qua nhiều kênh phân phối, nhiều chủng loại thiết bị đầu cuối khác nhau: truyền
hình, điện thoại cố định, điện thoại di động, máy tính, thiết bị cá nhân, các điểm truy cập dịch
vụ…Các dịch vụ phải có thể sử dụng và truy cập được tại bất kỳ đâu, không phụ thuộc vào không
gian, thời gian.
Trong môi trường kinh doanh năng động và đầy cạnh trang như hiện nay các doanh nghiệp rất cần các
giải pháp và dịch vụ truyền thông chuyên nghiệp, hiện đại để giúp họ thu hút và chăm sóc được khách
hàng
Khẳ năng cung cấp các kênh truyền thông để tự động phân phối thông tin về sản phẩm, dịch
vụ doanh nghiệp đến với khách hàng nhanh chóng và tiện lợi, cho phép các doanh nghiệp
nhận được các phản hồi từ khách hàng không hạn chế về thời gian và không gian.
Cung cấp các giải pháp và giao diện mở cho phép doanh nghiệp có thể dễ dàng triển khai,
tích hợp với hệ thống của các nhà cung cấp hạ tầng truyền thông, tài chính ngân hàng và với
các doanh nghiệp khác.
Tiết kiệm chi phí đầu tư để phát triển hệ thống, đội ngũ kỹ thuật, cơ sở hạn tầng, ít rủi ro, lợi
nhuận cao và nhanh chóng thu hồi lại vốn.
Yêu cầu của nhà cung cấp dịch vụ Viễn thông
Thu hút được nhiều khách hàng qua đó khai thác tối đa cơ sở hạ tầng truyền thông, tài chính
và mang lại nhiều doanh thu.
Đáp ứng yêu cầu ngày càng cao về chất lượng và lọại hình dịch vụ vủa khách hàng.
Khi cơ sở hạ tầng mạng Viễn thông đã ổn định và bão hoà thì dịch vụ sẽ trở thành nguồn doanh thu
chính của các doanh nghiệp Viễn thông. Sự phong phú về dịch vụ sẽ là một trong các yếu tố thu hút
khách hàng. Các nhà khai thác mạng Viễn thông rất cần việc quản lý mạng một cách tập trung qua đó
có thể giám sát mạng và chất lượng một cách tốt nhất để cung cấp cho các khách hàng của mình với
dịch vụ tốt nhất.
Cấu trúc mạng Viễn thông hiện tại quá phức tạp
Mạng Viễn thông thế hệ cũ đã tồn tại và phát triển gần 100 năm, trong 100 năm đó ít có sự thay đổi
mang tính cách mạng và khoảng cách giữa các mốc chuyển đổi công nghệ cũng rất xa nhau (từ chuyển
mạch cơ sang mạch điệ tử analog rồi đến chuyển mạch số, chuyển mạch gói,..).
Các nhà cung cấp công nghệ Viễn thông khác nhau đã tạo ra các mạng lõi cung cấp các dịch vụ Viễn
thông tồn tại dưới dạng những ”ốc đảo” như mạng chuyển mạch PSTN, mạng X25, mạng di động..
Khái niệm “ốc đảo” ở đây không những chỉ bởi sự ngăn cách về mặt công nghệ, sự cô lập về dịch vụ
giữa các mạng (ví dụ: các dịch vụ trên mạng cố định và di động). Các rào cản cho việc hợp nhất các
mạng này là chưa có một công nghệ được chuẩn hoá nào bao trùm được tất cả các công nghệ khác.
3
Cấu trúc mạng đóng tạo ra sự độc quyền của các nhà cung cấp hệ thống
Thời gian trước đây do công nghệ chưa phát triển, các thiết bị Viễn thông là độc quyền của các công
ty Viễn thông lớn. Các công nghệ (phần cứng/phần mềm) chuyên dụng được sử dụng trong các thiết bị
này thường là bí mật công nghệ của các hãng và không được công bố rộng rãi. Do vậy, khi mua thiết
bị chuyển mạch cơ sở của một hãng nào đó thì các thiết bị cấu thành khác như: Các trạm lắp đặt thuê
bao ở xa, các bộ tập trung, các module chuyển mạch vệ tinh.. cũng phải chọn của chính hãng đó.
Rất nhiều công ty dùng chính những hạn chề này để ép khách hàng. Cũng vì cấu trúc của các hệ thống
chuyển mạch rất đóng nên các hãng sản xuất các phần cứng Viễn thông nhỏ lẻ cũng không có cơ hội
tồn tại vì không có khả năng tương thích với các thiết bị của các hãng lớn khác.
Việc cung cấp dịch vụ mới chậm và có nhiều bất cập
Do kiến trúc ốc đảo trong mạng Viễn thông hiện tại nên các dịch vụ cũng chỉ giới hạn trong các ốc đảo
này vì các công nghệ của các mạng đó quá khác nhau. Các dịch vụ bởi vậy cũng nghèo nàn và khó có
cơ hội phát triển.
Mặt khác, các dịch vụ mạng hiện tại thường do nhà khai thác Viễn thông cung cấp, được tích hợp luôn
vào các thiết bị Viễn thông của nhà khai thác (ví dụ: các dịch vụ mạng thông minh hay di động).
Quản lý mạng khó khăn
Các nhà khai thác mạng Viễn thông trong quá trình số hoá mạng Viễn thông trong những năm qua đã
cố gắng trang bị cơ sở hạ tầng Viễn thông số hiện đại và cố gắng tránh tình huống bị ép giá bằng cách
trang bị các tổng đài của nhiều hãng khác nhau. Điều này nảy sinh sự phức tạp trong kiến trúc mạng,
sự tương thích của các chủng loại thiết bị và sự phức tạp trong quản lý.
Mạng NGN ra đời
Các yếu tố trên đây đưa mạng Viễn thông phát triển đến một giai đoạn bước ngoặt mới có tính cách
mạng đó là mạng Viễn thông thế hệ mới (NGN-Next Generation Network).
Mạng NGN là vấn đề đang thu hút sự quan tâm của nhiều tổ chức Viễn thông lớn nhằm cho ra đời một
mô hình cấu trúc mạng mới dựa trên nền tảng công nghệ hiện đại, đầu tư hiệu quả và đáp ứng nhu cầu
phong phú về dịch vụ. Các tổ chức có thể kể đến như: ITU-T (Các nhóm SG16, SG11…)[1], IETF
(Internet Engineering Task Force) [2], MSF (Multiservice Switching Forum)[3], ETSI[4]..
4
An ninh cho mạng NGN
Với sự phát triển của các dịch vụ trên NGN hiện tại và tương lai, việc xây dựng mạng cung cấp dịch
vụ cần đi kèm với việc thực hiện đảm bảo an toàn cho mạng. Đó chính là điểm khác biệt tạo nên tính
cạnh tranh giữa các nhà cung cấp dịch vụ. Hiện tại có thể nói các chuẩn công nghệ về an ninh trong
NGN đang thu hút nhiều sự quan tâm của nhiều tổ chức nghiên cứu, song đa số vẫn đang còn nằm ở
dưới dạng bản thảo nghiên cứu. Việc áp dụng trực tiếp các chuẩn công nghệ để xây dựng nên giải
pháp an ninh là khá khó khăn.
Vì vậy việc nghiên cứu tìm hiểu lựa chọn các chuẩn công nghệ để có thể áp dụng làm framework
trong việc xây dựng giải pháp an ninh cho kiến trúc mạng NGN hiện tại cũng như trong tương lai là
một vấn đè quan trọng cần được thực hiện.
Với mục đích đảm bảo an ninh cho mạng nói chung và mạng viễn thông nói riêng, có rất nhiều các
giải pháp đã được đưa ra nhưng nhìn nhận một cách khách quan là các phương án đó thường không
đầy đủ và chưa được xây dựng trên một nền tảng lý luận vững chắc về bảo đảm an ninh đặc bịêt là cho
NGN.
Trong bối cảnh đó, một khung làm việc liên quan đến đảm bảo an ninh cần phải được nghiên cứu đó là
X.805 được ITU đề xuất. Bản thân X.805 không chỉ ra cách thức đảm bảo an ninh cho một đối tượng
cụ thể (mạng, thiết bị) mà phân rã các nguy cơ, biện pháp và cơ chể an ninh tổng quát cho mọi loại
hình mạng từ nhiều góc độ, lớp và mặt cắt khác nhau rất thuận tiện để phân tích cặn kẽ các vấn đề an
ninh cho bất kỳ hệ thống nào không ngoại trừ NGN.
Mục đích của luận văn
Luận văn này được Học viên đề xuất trên cơ sở nghiên cứu về mạng NGN cũng như phát triển thử
nghiệm các thực thể NGN trong một năm nghiên cứu về an ninh mạng NGN tại Trung tâm Công nghệ
Thông tin (thuộc Học viện Công nghệ Bưu chính Viễn thông) – CDiT (Center for Development of
Information Technology). Qua luận văn này Học viên mong muốn giới thiệu các vấn đề công nghệ
sau
Mạng thế hệ mới (Next Generation Network - NGN)
o Xu hướng của các dịch vụ Viễn thông
o Mô hình tham chiếu NGN
o Công nghệ truyền tải mạng NGN
o Các phương thức truy nhập NGN
o Mô hình mạng NGN điển hình
Mạng đô thị (Metro Arear Network - MAN)
o Những yếu tố thúc đẩy sự phát triển mạng MAN
o Xu hướng phát triển công nghệ Ethernet trên MAN
o Kiến trúc mạng MAN của Cisco
o Khuyến nghị TR-101
o Mô hình mạng MAN điển hình
o Cung cấp dịch vụ VPN L2 và HSI qua MANE
5
An ninh trong NGN
o Xây dựng một quy trình đảm bảo an ninh dựa trên việc tổng hợp các ưu điểm của
khuyến nghị X.805.
o Phân tích các kịch bản tấn công từ phía khách hàng đối với các thiết bị mạng của nhà
cung cấp dịch vụ Viễn thông cho hai loại hình dịch vụ là VPN L2 và HSI.
o Bước đầu áp dụng để đưa ra phương án đảm bảo an ninh cho một hệ thống NGN điển
hình với các dịch vụ VPN L2 và HSI.
Kết quả nghiên cứu cũng đồng thời là khuyến nghị cho các nhà khai thác Viễn thông ở Việt Nam trong
quá trình triển khai NGN.
Cấu trúc của luận văn
Chương 1: MẠNG THẾ HỆ MỚI
o Chương này trình bày các vấn đề liên quan đến công nghệ và giải pháp mạng NGN
như đã nêu trong phần mục đích của luận văn.
Chương 2: MẠNG ĐÔ THỊ
o Chương này trình bày các vấn đề liên quan đến công nghệ và giải pháp mạng MAN,
cách thức cung cấp dịch vụ VPN L2 và HSI qua mạng MAN như đã nêu trong phần
mục đích của luận văn.
Chương 3: PHÂN TÍCH KIẾN TRÚC VÀ CÁC THÀNH PHẦN AN NINH X.805 DO
ITU-T ĐỀ XUẤT
o Chương này phân tích cách tiếp cận của X.805 về an ninh mạng theo các mặt phẳng
và lớp an ninh, đồng thời chỉ ra các nguy cơ có thể xảy ra đối với thực thể mạng và
các biện pháp phòng chống tương ứng.
Chương 4: PHÂN TÍCH ÁP DỤNG KHUYẾN NGHỊ X.805 CHO THIẾT KẾ AN NINH
MẠNG NGN
o Chương này trình bày về quy trình áp dụng X.805 vào thiết kế giải pháp an ninh mạng
NGN do học viên và nhóm nghiên cứu tại CDiT đề xuất.
Chương 5. KẾT QUẢ ÁP DỤNG X.805 CHO MẠNG NGN
o Chương này trình bày các kết quả áp dụng X.805 đối với các thiết bị trong mạng NGN
đối với các dịch vụ VPN L2 (E-LINE, E-LAN) và dịch vụ HSI.
Chương 6. ĐÁNH GIÁ KẾT QUẢ ĐẠT ĐƯỢC VÀ KHUYẾN NGHỊ
o Chương này đánh giá các kết quả đạt được của luận văn, các khuyến nghị về an ninh
đầu cuối cho NGN đối với các nhà cung cấp dịch vụ Viễn thông
Phụ Lục. GIẢI PHÁP CHỐNG DoS CỦA ARBOR
o Phần này giới thiệu giải pháp an ninh mạng băng rộng của Arbor.
Chương 1. MẠNG THẾ HỆ MỚI
6
1.1 Tóm tắt chương
Chương này trình bày những vấn đề liên quan đến mạng thế mới (NGN) gồm: mô hình tham chiếu
NGN theo ITU-T, một số công nghệ chủ đạo cho truyền tải và truy nhập NGN. Quan trọng nhất là
việc đề xuất một mô hình NGN điển hình có thể áp dụng với các nhà khai thác và cung cấp dịch vụ
Viễn thông, đặc biệt là ở Việt Nam.
1.2 Xu hướng của các dịch vụ Viễn thông
• Lưu lượng thoại truyền thống suy giảm, chuyển dịch sang các dịch vụ di động và VoIP.
• Sự phát triển nhanh chóng của các phương thức truy nhập băng rộng càng gia tốc thêm sự suy
giảm của các dịch vụ truyền thống.
• Các dịch vụ băng rộng chiếm tài nguyên mạng hơn rất nhiều so với các dịch vụ truyền thống.
• Tuy nhiên, trong tương lai gần 80% lợi nhuận của các nhà khai thác viễn thông vẫn đến từ các
dịch vụ truyền thống: TDM voice, Leased-line…
1.2.1 Các thách thức với các nhà cung cấp dịch vụ viễn thông
Duy trì “sự trung thành” của các khách hàng hiện có.
Tăng tỉ lệ ARPU bằng cách giới thiệu các gói dịch vụ, các loại hình dịch vụ mới, đa dạng tới
các đối tượng khách hàng khác nhau.
Giảm chi phí đầu từ (CAPEX) và chi phí vận hành (OPEX) nhiều hơn so với các đối thủ cạnh
tranh.
Xây dựng một cơ sở hạ tầng mạng thống nhất, vững chắc và đáp ứng sẵn sàng các yêu cầu của
các dịch vụ phát triển trong tương lai .
Xu hướng tiến lên NGN là xu hướng tất yếu của các nhà cung cấp dịch vụ viễn thông
1.2.2 Những hạn chế của mạng hiện tại và nhu cầu phát triển NGN
Cứng nhắc trong việc phân bổ băng thông.
Hình 1.1 Xu hướng của các dịch vụ Viễn thông
7
Khó khăn trong việc tổ hợp mạng.
Khó khăn trong việc cung cấp dịch vụ mới.
Đầu tư cho mạng PSTN lớn.
Giới hạn trong phát triển mạng.
Không đáp ứng được sự tăng trưởng nhanh của các dịch vụ dữ liệu.
1.3 Tổng quan về NGN
1.3.1 Định nghĩa NGN của ITU-T Y.2001
Mạng NGN là một mạng dựa trên chuyển mạch gói có khả năng cung cấp các dịch vụ Viễn thông và
sử dụng các công nghệ chuyển tải băng rộng, hỗ trợ QoS; (và trong đó) việc cung cấp các dịch vụ độc
lập với các công nghệ liên quan đến chuyển tải. Hỗ trợ người sử dụng lựa chọn dịch vụ mà không phụ
thuộc với mạng và với nhà cung cấp dịch vụ. NGN hỗ trợ khả năng di động và tạo điều kiện cung cấp
dịch vụ ở mọi lúc, mọi nơi.
Hình 1.2 Sự hội tụ giữa thoại và số liệu, cố định và di động trong NGN
8
PCS
IS-95A IS-95B
CDMA2000
1X 1X EV-DO
1X EV-DV
WCDMA
IEEE802.11 IEEE802.11b
IEEE802.11a
IEEE802.11g
PSTN
Modem
ISDN
ADSL VDSL FTTH
Mạng hội tụ băng rộng
Toàn IP
Mạng không dây
Mạng di động
Mạng cố định
Trước đây Hiện tại Tương lai
Hình 1.3 Xu hướng hội tụ các công nghệ mạng (theo 3GPP)
SMS
Tải nhạc chuông
Di động
Người-Người
Người-Máy
Môi trường hội tụ
DAB/DVB
Thoại thấy hình
TV di động
VOD
Video streaming
Dịch vụ theo vị trí
Dịch vụ định vị
Điều khiển từ xa
Dịch vụ biểu cảm
Hội nghị truyền hình
Hướng thoại
H
ư
ớ
ng
th
oạ
i
Dữ liệu tốc độ thấp Multimedia Multimedia nhanh,
băng rộng
Th
ôn
g
m
in
h
H
ư
ớ
ng
th
oạ
i
Th
ôn
g
m
in
h
Hình 1.4 Xu hướng hội tụ các dịch vụ viễn thông (theo 3GPP)
9
1.3.2 Các đặc điểm của NGN
Nền tảng là hệ thống mạng mở
Các khối chức năng của tổng đài truyền thống được chia thành các phần tử mạng độc lập, các
phần tử phân theo chức năng và phát triển một cách độc lập.
Giao diện và giao thức giữa các bộ phận phải dựa trên các tiêu chuẩn tương ứng.
Là mạng dịch vụ thúc đẩy
Chia tách dịch vụ với điều khiển cuộc gọi.
Chia tách cuộc gọi với truyền tải.
Là mạng chuyển mạch gói, giao thức thống nhất
Các mạng thông tin tích hợp trong một mạng thống nhất dựa trên nền gói.
IP trở thành giao thức vạn năng, làm cơ sở cho các mạng đa dịch vụ.
NGN là nền tảng cho cơ sở hạ tầng thông tin quốc gia (NII).
Là mạng có dung lượng và tính thích ứng cao, đủ năng lực để đáp ứng nhu cầu
Có khả năng cung cấp nhiều loại hình dịch vụ đa phương tiện băng thông cao.
Có khả năng thích ứng với các mạng đã tồn tại để tận dụng cơ sở hạ tầng mạng, dịch vụ và
khách hàng sẵn có.
1.3.3 Một số nguyên tắc tổ chức mạng NGN
Mạng có cấu trúc đơn giản.
Đáp ứng nhu cầu cung cấp các loại hình dịch vụ viễn thông phong phú và đa dạng.
Nâng cao hiệu quả sử dụng, chất lượng mạng lưới và giảm chi phí khai thác, bảo dưỡng.
Dễ dàng tăng dung lượng, phát triển dịch vụ mới.
Có độ linh hoạt và tính sẵn sàng cao, năng lực tồn tại mạnh.
Tổ chức mạng dựa trên số lượng thuê bao theo vùng địa lý và nhu cầu phát triển dịch vụ,
không theo địa bàn hành chính mà theo vùng mạng hoặc vùng lưu lượng.
10
1.4 Mô hình tham chiếu NGN
1.4.1 Mô hình tham chiếu NGN của ITU
Mô hình tham chiếu về mạng NGN của ITU như hình 1.5
Phần dưới đây sẽ trình bày cấu trúc chức năng của mạng NGN của ITU-T. Các chức năng người sử
dụng nối tới NGN theo giao diện UNI (User Network Interface), trong khi các mạng được kết nối
thông qua giao diện NNI. Giao diện API là kết nối giữa NGN với các nhà cung cấp dịch vụ Viễn thông
thứ ba.
1.4.1.1 Các chức năng tại tầng chuyển tải
Tầng chuyển tải thực hiện các chức năng kết nối các thành phần trong mạng gồm các thiết bị
(thường nằm trong các Server trong mạng) và các thiết bị của người sử dụng. IP hiện đang
được coi là phương tiện chuyển tảihứa hẹn nhất cho NGN. Tầng chuyển tải phải có khả năng
cung cấp QoS toàn trình.
Tầng chuyển tải được chia thành mạng lõi và mạng truy nhập. Các thành phần chức năng của
tầng chuyển tải được miêu tả ngắn gọn dưới đây.
SERRVICE STRATUM
TRANSPORT STRATUM
APPLICATIONs
M
AN
AG
EM
EN
T
O
TH
ER
N
E
TW
O
R
K
NNI
ANI
EN
D
U
SE
R
UNI
Application/service support
functions
Service control functions Service user
profile
Transport function
Transport control function
NACF RACF
Transport
user profile
Beare
r Control
Manageme
nt
Hình 1.5 Mô hình tham chiếu về mạng NGN của ITU-T
11
Chức năng truy nhập (Access Functions - AF)
Đây là khối chức năng quản lý truy nhập của thuê bao tới mạng. Hoạt động của nó phụ thuộc
vào công nghệ truy nhập, ví dụ: xDSL, Ethernet, quang, vô tuyến..
Chức năng chuyển tải truy nhập (Access Transport Functions - ATF)
Khối chức năng này thực hiện chuyển tải thông tin qua mạng truy nhập. Nó có các kỹ thuật
điều khiển QoS cho lưu lượng của người sử dụng gồm: quản lý bộ đệm, xếp hàng và lập lịch,
lọc gói, phân loại lưu lượng, đánh dấu và thiết lập chính sách.
Chức năng biên (Edge Functions - EF)
Khối chức năng này xử lý lưu lượng khi lưu lượng từ phần truy nhập được nhập vào mạng lõi.
Chức năng chuyển tải lõi (Core Transport Functions - CTF)
Khối chức năng này đảm bảo chuyển tải thông tin qua mạng lõi. Nó cung cấp các phương
pháp phân biệt chất lượng chuyển tảitrên mạng, dựa vào mối tương tác với các chức năng điều
khiển chuyển tải (Transport Control Function). Nó cũng cung cấp các kỹ thuật QoS, xử lý trực
tiếp lưu lượng người sử dụng gồm: quản lý bộ đệm, xếp hàng và đặt lịch, lọc gói, phân loại
lưu lượng, đánh dấu và thiết lập chính sách, điều khiển cổng và firewall.
Chức năng điều khiển gắn kết mạng (Network Attachment Control Functions - NACF)
Khối chức năng này cung cấp hoạt động đăng ký tại lớp truy nhập và khởi tạo các chức năng
người dử dụng cuối để truy nhập các dịch vụ NGN, cụ thể là: đinh danh/xác thực tại lớp mạng,
quản lý không gian địa chỉ IP của mạng truy nhập, xác thực phiên truy nhập.
Chức năng điều khiển tài nguyên và nhận vào (Resource and Admission Control Functions -
RACF)
Khối chức năng này cung cấp chức năng điều khiển nhận vào và điều khiển cổng. Điều khiển
nhận vào gồm kiểm tra xác thực dựa vào profile về người dùng thông qua chức năng NACF
và cấp phép có tính đếm năng lực tài nguyên. RACF tương tác với chức năng lớp chuyển tải
để điều khiển một số chức năng sau: lọc gói, phân loại lưu lượng, đánh dấu và định chính
sách, dành trước và cấp phát băng thông, chống giả mạo địa chỉ, NAPT, tính cước sử dụng…
Chức năng quản lý User Profile lớp chuyển tải (Transport User Profile Functions - TUPF)
Khối chức năng này xử lý thông tin và các hoạt động của người sử dụng liên quan đến tầng
chuyển tải, và lưu trữ trong “user profile”.
Chức năng cổng (Gateway Functions)
Khối chức năng này tạo khả năng tương tác với các mạng khác như PSTN/ISDN, Internet
hoặc mạng NGN của các nhà cung cấp Viễn thông khác. Giao diện NNI có cả ở lớp điều khiển
12
và chuyển tải. Tương tác giữa lớp điều khiển và chuyển tải có thể thực hiện trực tiếp hoặc
thông qua các chức năng điều khiển chuyển tải.
Chức năng quản lý Media (Media Handling Functions)
Cung cấp các dịch vụ như tạo các tín hiệu âm tone, chuyển mã, làm cầu nối cho các dịch vụ
hội nghị truyền hình (Conferencing).
1.4.1.2 Các chức năng tại tầng dịch vụ
Các chức năng này cung cấp dịch vụ có phiên, dịch vụ không phiên, và toàn bộ các dịch vụ
PSTN/ISDN hiện thời.
Chức năng điều khiển dịch vụ (Service and Control Functions)
Gồm các chức năng điều khiển phiên, chức năng đăng ký, xác thực và cấp phép tại mức dịch
vụ. Chúng có thể bao gồm các chức năng điều khiển tài nguyên Media.
Chức năng quản lý User Profile dịch vụ (Service User Profile Functions)
Khối chức năng này xử lý thông tin và các hoạt động của người sử dụng liên quan đến tầng
dịch vụ, và lưu trữ trong “user profile”.
1.4.1.3 Chức năng ứng dụng (Application Functions)
NGN hỗ trợ các giao diện API mở, cho phép các nhà cung cấp dịch vụ thứ ba sử dụng năng
lực mạng NGN để kiến tạo và phát triển các dịch vụ mới cho người sử dụng.
1.4.1.4 Các chức năng quản lý
Hỗ trợ quản lý mạng là nguyên tắc cơ bản cho các hoạt động của mạng NGN. Các chức năng
quản lý cho phép các nhà điều hành NGN quản lý mạng và cung cấp các dịch vụ NGN với
chất lượng, mức độ tin cậy và tính an toàn theo mong muốn
Các chức năng này được phân tán vào mỗi phần tử chức năng (FE). Chúng tương tác với các
phần tử chức năng quản lý phần tử mạng (NE), quản lý mạng và quản lý dịch vụ
Các chức năng quản lý còn gồm việc tính cước và thanh toán. Các chức năng này hỗ trợ cả
tính cước off-line (tính cước trả sau) và tương tác với các ứng dụng cho dịch vụ trả trước
(online charging)
1.4.1.5 Các chức năng người sử dụng
Giao diện với người sử dụng đầu cuối bao gồm cả giao diện vật lý và giao diện điều khiển. Không có
hạn chế về giao diện từ lớp truy nhập với khách hàng hoặc mạng của khách hàng. Tất cả các loại thiết
bị đầu cuối được hỗ trợ trong NGN từ điện thoại truyền thống tới các mạng phức tạp. Thiết bị người
sử dụng có thể là di động hoặc cố định
13
1.4.2. Kiến trúc NGN theo ETSI
Hình 1.6 Mô hình tiến tới NGN từ các mạng hiện có theo ITU-T
M¹ ng truyÒn t¶i lâ i
Multimedia kh¸ c
Streaming services
IMS
Ph©n hÖ m« pháng
PSTN/ISDN
Ph©n hÖ
m¹ ng g¾n vµo
Ph©n hÖ ®iÒu khiÓn
tµi nguyª n
M¹ ng truyÒn t¶i
Truy nhËp
3GPP IP-CAN
C¸ c øng dông
C
¸c
m
¹n
g
kh
¸c
(v
Ý d
ô
PS
TN
)
IP
Hình 1.7 Kiến trúc NGN theo ETSI
14
Các đặc điểm chính
Phân hệ IMS nằm giữa và liên kết các lớp chuyển tải(mạng truy nhập thông qua phân hệ điều
khiển tài nguyên và mạng lõi) và lớp dịch vụ.
Kế thừa từ các mạng hiện có như PSTN, ISDN, Internet, ..
Xây dựng thêm các phân hệ và giao thức mới để bổ sung các loại hình dịch vụ, cung cấp dịch
vụ đa phương tiện và hội tụ mạng.
Mạng chuyển tảiđược gói hóa hoàn toàn với công nghệ IP.
Các mạng riêng rẽ trước đây được kết hợp thành một mạng chung duy nhất, cho phép nhà
cung cấp có thể cung cấp tất cả các loại hình dịch vụ.
1.5. Kiến trúc mạng NGN mục tiêu
1.5.1 Lớp ứng dụng và dịch vụ
• Thiết lập một lớp ứng dụng thống nhất, đồng bộ, cung cấp dịch vụ cho toàn bộ mạng.
• Kết hợp với lớp điều khiển qua các giao diện chuẩn, cho phép nhà cung cấp ứng dụng độc lập
tích hợp và triển khai các dịch vụ giá trị gia tăng (GTGT).
Application Server
HSS
IMS + Softswitch
P
PE
PE
PE
IP/MPLS backbone
P
Wimax
MAN Ethernet in
provinces
CES CES
CES: Carrier
Ethernet Switch
PSTN/PLMN
PSTN/PLMN
SIP
DSLAM
SIP
H248/
SIP
Ethernet
Switch
MGCP/H.248 MGCP/H.248
MSAN
Hình 1.8 Kiến trúc mạng NGN mục tiêu
15
1.5.2 Lớp điều khiển
• Một lớp điều khiển thống nhất điều khiển toàn bộ các dịch vụ.
• Có các giao diện chuẩn tới hệ thống quản lý.
1.5.3 Lớp truyền tải
• Bao gồm 2 thành phần: Mạng trục và các mạng thu gom lưu lượng tại các Tỉnh/Thành phố
(Provice).
• Chuyển tải lưu lượng IP, có khả năng cung cấp VPN L2 / VPN L3 kết nối các phần tử mạng
NGN
• Đảm bảo chất lượng dịch vụ đầu cuối (end-to-end QoS).
1.5.4. Lớp truy nhập
Đa dạng hóa loại hình truy nhập, sẵn sàng phát triển các dịch vụ mới
1.5.5 Các dịch vụ được cung cấp
Các dịch vụ trên mạng NGN có thể phân thành một số nhóm dịch vụ chính
Các dịch vụ VPN hay dịch vụ kết nối (VPN L2, VPN L3)
Các dịch vụ ứng dụng Triple-Play (VoIP, IPTV, HSI) cùng các dịch vụ gia tăng trên nền các
dịch vụ ứng dụng này
Các dịch vụ Hosting (Data, Web, ..)
Hình 1.9 Topology mạng NGN mục tiêu
16
1.5.6 Tổ chức mạng
1.5.6.1 Vùng phủ
Mỗi dịch vụ trong số các dịch vụ trên về nguyên tắc là triển khai toàn mạng VNPT nghĩa là đến các
khách hàng trên cả nước
1.5.6.2 Mạng truyền tải và truy nhập băng rộng
Mạng chuyển tảivà truy nhập băng rộng của mạng NGN , các khách hàng giao tiếp với mạng qua giao
diện UNI, NNI là giao diện của mạng NGN với các mạng khác. Phần mạng của nhà cung cấp dịch vụ
sẽ gồm một số phân đoạn: Mạng lõi (core), mạng gom lưu lượng (Aggregation hay mạng Metro),
mạng truy nhập (access).
Hình 1.10 Vùng phủ của dịch vụ mạng NGN
CPE(P) Access
Node
Edge
Node
Aggregation
network
Core
network
UNI
NNI
ServerService
device
Other
networks
Inter -
connect
Users
Access
network
In-house
cabling
I
Ph?n m?ng truy nh?p và
gom lưu lưu lư?ng phân
tán trên các T?nh
Khách hàng phân
tán trên c? nư?c
Ph?n m?ng lõi liên k?t
các T?nh v?i nhau
17
1.5.6.2.1 Mạng truy nhập khách hàng
Về nguyên tắc, mỗi dịch vụ có phần thiết bị truy nhập riêng, địa điểm, dung lượng, chủng loại thiết bị
truy nhập này phục thuộc dịch vụ cụ thể. Tuy nhiên trong trường hợp của SP cung cấp đa dịch vụ và
phần thiết bị truy nhập nhiều loại được sử dụng chung cho các dịch vụ (ví dụ MSAN, DSLAM).
1.5.6.2.2 Mạng truyền tải
Mạng băng rộng là cơ sở hạ tầng chuyển tảichung cho các dịch vụ kết nối cũng như ứng dụng, phần
mạng này được định nghĩa là phần mạng giới hạn bởi các điểm mạng có khả năng cung cấp các dịch
vụ VPL lớp 2 (từ CE switch đến CE switch).
Hình 1.11 Cấu trúc mạng truy nhập khách hàng
MAN/
Aggreation
FTTX ONT OLT
UNI Access
Node
CES
K
H
Á
C
H
H
À
N
G
FE/GE
FE/GE
MSAN /
DSLAM
xDSL
POTS
POTS/
xDSL,
FE/GE
FE/GE
CPE
Wireless
FE/GE
M?ng truy nh?p
L2 Switch
CES
CES
M?ng truy?n t?i băng r?ng
IP/MPLS
Backbone
Metro Core
Metro
Access
Metro
Access
Metro
Access
Metro
Access
Metro Core
Provice A Provice B
Hình 1.12 Mạng chuyển tải băng rộng
18
1.6 Công nghệ truyền tải mạng NGN
1.6.1 Công nghệ IP over WDM
Ngày nay, với sự xuất hiện của công nghệ ghép kênh quang theo bước sóng (WDM) thì dung lượng,
tốc độ, băng thông,… của hệ thống thông tin quang ngày càng nâng cao. Công nghệ WDM tận dụng
băng tần của sợi quang bằng cách truyền nhiều kênh bước sóng quang độc lập và riêng rẽ trên cùng
một sợi quang. Mỗi bước sóng biểu thị cho một kênh quang trong sợi.
Công nghệ WDM đáp ứng được yêu cầu băng thông rộng của các dịch vụ sử dụng giao thức Internet
vì lẽ đó IP và WDM là các công nghệ quan trọng được sử dụng trong mạng lưới viễn thông ngày nay
và trong tương lai.
1.6.1.1 Nguyên lý cơ bản của hệ thống thông tin quang WDM
Các tín hiệu quang có bước sóng khác nhau ở đầu phát được ghép kênh và truyền trên cùng 1
sợi quang. Ở đầu thu, tín hiệu gồm nhiều bước sóng đến từ sợi quang đó được tách kênh để
thực hiện xử lý theo yêu cầu của từng bước sóng.
WDM có nghĩa là độ rộng băng quang của các kênh được ghép kênh ở các vùng phổ cố định,
không chồng lấn trong băng thông truyền dẫn của sợi quang. Mỗi vùng tương ứng với một
kênh có bước sóng i. Các kênh khác nhau thì độc lập với nhau và truyền với các tốc độ xác
định.
ITU đã đưa ra tiêu chuẩn cho việc thiết lập bước sóng sử dụng cho các mạng WDM, điều này
là rất cần thiết để đảm bảo tính tương thích giữa các hệ thống của các hãng thiết bị khác nhau.
ITU-T đưa khuyến nghị chuẩn G.692 “Các giao diện quang đối với các hệ thống sử dụng các
bộ khuyếch đại quang đa kênh” định nghĩa rõ các thông số cho các hệ thống DWDM sử dụng
cho các mạng liên văn phòng và các ứng dụng cự ly dài. Chuẩn G.692 còn quy định rõ giới
hạn các hệ thống quang với dung lượng kênh tối đa là 4, 8, 16, 32 hoặc nhiều bước sóng nữa
sử dụng cho các tín hiệu trong STM-4, STM-16, STM-64 sử dụng truyền dẫn quang đơn
hướng hoặc song hướng. Trong khuyến nghị chuẩn G.692 có thể dung nhiều bước sóng khác
nhau để truyền tín hiệu quang trong giải 1528,77 nm đến 1560,61 nm.
1.6.1.2 Các ưu điểm của IP over WDM
?1
?2
?3
?4
E/O
E/O
E/O
E/O
M
U
X
RM1S1
RM4S4
RM3S3
RM2S2
D
E
M
U
X
?1
?2
?3
?4
SD1
SD4
SD3
SD2
O/E
O/E
O/E
O/E
R1
R4
R3
R2
OFA OFA
?1 ?2 ?3 ?4
Hình 1.13 Nguyên lý cơ bản của hệ thống thông tin quang WDM
19
IP/WDM thừa kế tất cả sự mềm dẻo và khả năng tương thích của giao thức điều khiển IP.
IP/WDM thay đổi băng thông động theo yêu cầu trong mạng cáp quang (Cung cấp các dịch vụ
đáp ứng thời gian thực).
Cùng với sự hỗ trợ giao thức IP, IP/WDM sẽ đáp ứng được sự cùng hoạt động, cung cấp dịch
vụ của các nhà cung cấp thiết bị, dịch vụ.
IP/WDM có thể thực hiện khôi phục động bằng kỹ thuật điều khiển phân bố trong mạng.
Đứng trên quan điểm dịch vụ, mạng IP/WDM có các ưu điểm về quản lý chất lượng, các
chính sách và các kỹ thuật dự kiến sẽ sử dụng và phát triển trong mạng IP.
1.6.1.3 Ba giải pháp chính của IP over WDM
Mạng IP/WDM được thiết kế truyền lưu lượng IP trong mạng cáp quang để khai thác tối đa ưu điểm
về khả năng đấu nối đa năng đối với mạng IP và dung lượng băng thông rộng của mạng WDM. Hình 2
mô tả 03 giải pháp IP over WDM.
Giải pháp truyền IP trên ATM (IP over ATM), sau đó trên SONET/SDH và mạng quang WDM
Đối với giải pháp này, WDM được sử dụng như công nghệ truyền song song trên lớp vật lý. Ưu điểm
của giải pháp này là sử dụng ATM có khả năng truyền nhiều loại tín hiệu khác nhau trong cùng đường
truyền với yêu cầu chất lượng dịch vụ khác nhau. Một ưu điểm khác khi sử dụng ATM là tính mềm
dẻo khi cung cấp dịch vụ mạng. Tuy nhiên giải pháp này rất phức tạp, quản lý và điều khiển IP over
ATM phức tạp hơn so với quản lý và điều khiển IP qua mạng thuê riêng (IP - Leased line).
Giải pháp 2 truyền IP/MPLS over SONET/SDH và WDM
SONET/SDH có một số ưu điểm sau
SONET/SDH có cấu trúc tách ghép tín hiệu quang tiêu chuẩn, nhờ đó tín hiệu tốc độ thấp có
thể ghép, tách thành tín hiệu có tốc độ cao.
SONET/SDH cung cấp khung truyền chuẩn.
Mạng SONET/SDH có khả năng bảo vệ, khôi phục, nhờ đó tín hiệu được truyền trong suốt tới
lớp cao hơn.
Mạng SONET/SDH thường sử dụng cấu hình mạng vòng (Ring). Một số cấu hình bảo vệ có thể sử
dụng là
Cấu hình 1+1 có nghĩa là số liệu được truyền trên hai đường trong hai hướng ngược nhau, tín
hiệu có chất lượng tốt hơn sẽ được chọn ở đích.
Hình 1.14 Ba giải pháp chính của IP over WDM
20
Cấu hình 1:1 có nghĩa là đường dự phòng tách biệt đối với đường hoạt động.
Cấu hình n:1 có nghĩa là n đường hoạt động sử dụng chung một đường dự phòng.
Khai thác, quản lý, bảo dưỡng OAM&P là tính năng nổi bật của mạng SONET/SDH để truyền cảnh
báo, điều khiển, các thông tin về chất lượng ở cả mức hệ thống và mức mạng. Tuy nhiên SONET/SDH
mang số lượng thông tin mào đầu đáng kể, thông tin mào đầu này được mã hoá ở nhiều mức. Mào đầu
đoạn POH được truyền từ đầu cuối tới đầu cuối. Mào đầu đường LOH được sử dụng cho tín hiệu giữa
các thiết bị đầu cuối như các bộ tách ghép kênh OC-n (STM-n). Mào đầu phân đoạn SOH được sử
dụng để thông tin giữa các phần tử mạng lân cận như các bộ lặp. Đối với tín hiệu OC-1 có tốc độ
truyền 51.84Mb/s, tải của nó là đường truyền DS-3 chỉ có tốc độ 44.736Mb/s.
1.6.1.4 Kiến trúc IP/SDH/WDM
Có thể thực hiện một cách đơn giản để truyền dẫn khung SDH có đóng gói các qua mạng WDM nhờ
sử dụng các Transponder (bộ thích ứng bước sóng). Cũng có thể truyền dẫn các khung SDH mang
thông tin của các gói dữ liệu IP trên mạng truyền tải SDH đồng thời với các loại lưu lượng dịch vụ
khác. Nhưng cùng với sự phát triển của cơ sở hạ tầng mạng truyền tải quang (OTN) thì truyền dẫn trên
mạng WDM là tất yếu và có nhiều ưu điểm hơn.
Với hệ thống SDH hiện nay, ta có thể thực hiện chuyển mạch bảo vệ cho các liên kết lưu lượng IP khi
cáp đứt nhờ các chuyển mạch bảo vệ tự động (APS), quá trình thực hiện tại tầng quang.
1.6.1.4.1 Kiến trúc IP/PPP/HDLC/SDH
Hình 15.1 là phiên bản IP/SDH có sử dụng đóng gói PPP và các khung HDLC. Trong trường hợp này,
các card đường dây trong các bộ định tuyến IP sẽ thực hiện đóng khung PPP/HDLC. Sau đó, tín hiệu
quang được định dạng cho phù hợp với truyền dẫn trên sợi quang qua các phần tử SDH, các bộ định
tuyến IP giáp ranh hay qua các bộ thích ứng bước sóng WDM để truyền dẫn ở cự ly xa.
Các luồng VC-4 hay VC-4-Xc
Cung cấp một băng thông tổng mà không có sự phân biệt nào cho từng loại dịch vụ IP trong trường
hợp chúng xuất hiện đồng thời trong một luồng các gói tin.
Các giao diện kênh
Tại đây các đầu ra STM-16 quang có thể gồm 16 luồng VC-4 riêng biệt, trong đó mỗi luồng VC-4
tương ứng với một loại dịch vụ. Sau đó, các luồng VC-4 riêng biệt có thể được định tuyến qua mạng
SDH để đến các bộ định tuyến đích khác nhau (điều này có thể thực hiện nhờ khả năng tách xen một
luồng bất kỳ ở một vị trí bất kỳ của hệ thống SDH).
IP
PPP
HDLC5
SDH
WDM
Sợi quang
IP
LAPS
SDH
WDM
Sợi quang
21
Sắp xếp khung SDH
Các khung HDLC được sắp xếp vào tải của các VC-4 hay VC-4-Xc có sự đồng bộ ranh giới của các
byte trong khung HDLC với ranh giới của các byte trong VC-4 (VC-4-Xc). Giống như sắp xếp
ATM/SDH cần phải thực hiện ngẫu nhiên hoá trước khi sắp xếp vào các khung VC-4 (VC-4-Xc) nhằm
hạn chế một cách thấp nhất rủi ro do sai lỗi gây ra.
Giải pháp thứ ba IP/WDM sử dụng IP/MPLS trực tiếp trên WDM
Đây là giải pháp hiệu quả nhất trong ba giải pháp. Tuy nhiên nó yêu cầu lớp IP phải kiểm tra đường
bảo vệ và khôi phục. Nó cũng cần dạng khung đơn giản để xử lý lỗi đường truyền. Có nhiều dạng
khung IP over WDM. Một số công ty đã phát triển tiêu chuẩn khung mới như Slim SONET/SDH.
Dạng khung này có chức năng tương tự như SONET/SDH nhưng với kỹ thuật mới hơn khi thay thế
mào đầu và tương thích kích thước khung với kích thước gói. Một ví dụ khác là thực hiện dạng khung
Gigabit Ethernet. 10 Gigabit Ethernet được thiết kế đặc biệt cho hệ thống ghép bước sóng quang mật
độ cao DWDM. Sử dụng dạng khung Ethernet, kết nối Ethernet không cần thiết phải ghép tín hiệu
sang dạng giao thức khác (như ATM) để truyền dẫn.
Mạng IP truyền thống sử dụng báo hiệu trong kênh (In of band), trong phương thức báo hiệu này tín
hiệu số liệu và tín hiệu điều khiển được truyền cùng nhau trong cùng đường nối. Mạng quang WDM
có mạng truyền số liệu riêng cho tín hiệu điều khiển. Vì vậy, nó sử dụng báo hiệu ngoài kênh (Out of
band).
1.6.2 Công nghệ SDH
1.6.2.1 Đặc điểm chung của công nghệ SDH
• Công nghệ truyền tải theo phương thức TDM dựa trên cấu trúc ghép kênh phân cấp đồng bộ.
• Cung cấp các kết nối băng thông cố định có tốc độ từ vài Mbit/s tới hàng chục Gbit/s.
• Truyền tải thông tin trên kết nối có độ tin cậy cao do sử dụng cơ chế phục hồi bảo/vệ.
• Được thiết kế tối ưu cho truyền tải dịch vụ TDM.
1.6.2.2 Ưu điểm của công nghệ SDH
Chất lượng truyền tải thông tin trên kết nối cao, trễ truyền tải nhỏ.
Độ tin cậy kết nối cao.
Công nghệ đã được chuẩn hóa.
22
Thuận tiện sử dụng cho mô hình kết nối điểm – điểm.
Thiết bị được triển khai rộng rãi trên mạng, tương thích với nhiều chủng loại thiết bị mạng.
Quản lý dễ dàng.
1.6.2.3 Nhược điểm của công nghệ SDH
Do SDH được thiết kế tối ưu cho phương thức truyền tải TDM, do vậy có những nhược điểm khi triển
khai SDH cho mạng truyền tải dữ liệu gói
Kết nối cứng, lãng phí tài nguyên băng thông khi kết nối truyền tải lưu lượng gói.
Không tối ưu và lãng phí tài nguyên băng thông khi truyền tải lưu lượng gói trên cấu trúc tô-
pô ring.
Tài nguyên mạng dành cho phục hồi và bảo vệ mạng lớn.
Không tối ưu trong việc triển khai các dịch vụ quảng bá (Multicast).
Hiệu quả sử dụng băng thông thấp khi ghép dữ liệu gói vào tải tin SDH.
Cấu trúc ghép kênh qua nhiều cấp, số lượng thiết bị mạng lớn khi phải phân chia nhiều loại
giao diện khách hàng.
Các giao diện mạng không tương thích với các giao diện của thiết bị Ethernet.
Chi phí nâng cấp mở rộng tốn kém.
Thời gian cung ứng dịch vụ cho khách hàng lâu.
Ethenet SDH Tốc độ truyền Hiệu suất sử dụng băng thông
10Mbps VC-3 48,4Mbps 21%
100Mbps VC-4 150Mbps 67%
1Gbps VC-4-16c 2,4Gbps 42%
1.6.3 Công nghệ NG-SDH
Hiện nay trên thế giới công nghệ NG-SDH đã và đang được triển khai, cho phép các nhà khai thác
cung cấp nhiều hơn nữa các dịch vụ truyền tải và đồng thời tăng hiệu suất của hạ tầng mạng SDH đã
có. Ưu điểm của NG-SDH là không cần phải lắp đặt một mạng truyền dẫn mới hay thay đổi tất cả các
thiết bị nút mạng hay các tuyến cáp quang, nhờ vậy sẽ giảm được chi phí và thu hút được các khách
hàng mới trong khi vẫn duy trì được các dịch vụ đã có. NG-SDH tạo ra phương thức truyền tải các
dịch vụ khách hàng có tốc độ cố định (như PDH) và các dịch vụ có tốc độ biến đổi như Ethernet,
VPN, DVB, SAN... qua các thiết bị và mạng SDH hiện có bằng cách bổ xung một số thiết bị phần
cứng và các thủ tục cũng như giao thức mới. Các thủ tục và giao thức này được phân thành các lớp là:
Bảng 1.1 Hiệu suất sử dụng băng thông khi truyền dịch vụ Ethernet qua mạng SDH
23
thủ tục định dạng khung GFP, kết nối ảo VCAT và giao thức điều chỉnh dung lượng tuyến
LCAS...Các chức năng này được thực hiện trên các nút biên của mạng.
Công nghệ NG-SDH được cải tiến từ công nghệ SDH nhằm khắc phục một số nhược điểm của công
nghệ SDH
Cho phép hỗ trợ truyền tải các dịch vụ truyền tải TDM và dịch vụ truyền tải gói.
Tạo các giao thức cải thiện hiệu quả sử dụng băng thông khi truyền tải dịch vụ dữ liệu.
Cung cấp các giao diện ghép nối chuẩn với thiết bị mạng Ethernet.
Cải thiện hiệu năng thiết bị tăng hiệu quả truyền tải dữ liệu với kiến trúc tô – pô ring.
Cải thiện cơ chế kiến tạo kết nối, giảm thiểu thời gian cung ứng dịch vụ tới khách hàng.
1.6.3.1 Các tiêu chuẩn liên quan công nghệ NG-SDH
ITU-T đã có một số các khuyến nghị liên quan đến thủ tục tạo khung GFP, giao thức sửa đổi dung
lượng tuyến LCAS, kết nối ảo VCAT cho thiết bị NG-SDH.
1.6.3.1.1 ITU-T Rec. G.7041/Y.1303
Quy định giao thức tạo khung chung GFP, bao gồm
Quy định các đặc điểm chung đối với GFP sắp xếp theo khung: tải tin MAC Ethernet, tải tin
HDLC/PPP, tải tin kênh quang qua FC-BBW_SONET, điều khiển lỗi trong GFP sắp xếp theo
khung, sắp xếp trực tiếp MPLS vào GFP –F.
Quy định các đặc điểm chung đối với GFP sắp xếp theo ký tự: các khía cạnh chung của GFP -
T, cực tính trong mã 64B/65B, lỗi tín hiệu đối với từng đối tượng sử dụng, sắp xếp toàn bộ tốc
độ số liệu của đối tượng sử dụng có mã 8B/10B thành GFP.
1.6.3.1.2 ITU-T Rec. G.707/Y.1322
Quy định các tín hiệu STM-N tại giao diện nút mạng SDH, bao hàm cả B-ISDN. Trong khuyến nghị
này, hai điểm quan trọng cần chú ý
Sắp xếp các tín hiệu nhánh vào các VC-n: các tín hiệu loại G.702, các tế bào ATM, các tín
hiệu định dạng khung HDLC, DQDB vào VC-4, FDDI tốc độ 125 000 kbit/s vào VC-4 và sắp
xếp các khung GFP.
Liên kết các VC: liên kết nối tiếp X VC-4s (VC-4-Xc, X = 4, 16, 64, 256), liên kết ảo X VC-
3/4s (VC-3/4-Xv, X = 1 ... 256), liên kết nối tiếp X VC-2s trong một VC-3 (VC-2-Xc, X = 1
… 7), liên kết ảo X VC-2/1s.
1.6.3.1.3 ITU-T Rec. G.7042/Y.1305
Quy định giao thức điều chỉnh dung lượng tuyến được sử dụng để chuyển tải dung lượng của container
qua mạng SDH hay OTN nhanh hơn thông qua liên kết ảo. Ngoài ra, giao thức này có khả năng hồi
phục, tự động giảm dung lượng khi một thành phần mạng bị hỏng và tăng dung lượng trở lại khi sự cố
mạng đã được khắc phục.
24
Quy định các trạng thái tại phía nguồn và đích của tuyến cũng như thông tin điều khiển được trao đổi
giữa hai phía nguồn và đích để cho phép thay đổi linh hoạt tín hiệu dung lượng container ảo.
1.6.3.1.4 Các thành phần của NG-SDH
• VCAT: Ghép ảo (Virtual Concatenation)
• GFP: Thủ tục khung chung (Generic Framing Procedure)
• LCAS: Cơ chế điều chỉnh dung lượng tuyến (Link Capacity Adjustment Scheme)
• L2 Switching: Chuyển mạch lớp 2
Hình 1.16 Các thành phần của NG-SDH
25
1.6.3.1.5Các giao thức chính được bổ sung trong NG-SDH
Các giao thức chính được bổ sung trong NG-SDH
• Thủ tục định dạng khung chung (GFP): Thủ tục sắp xếp gói số liệu của bất kỳ dịch vụ
tuyến số liệu (data link) nào như Ethernet, quảng bá video số (DVB), lưu trữ cục bộ (SAN).
So với các thủ tục định dạng khung khác như Packet over SDH hay X.86, GFP có tỉ lệ mào
đầu thấp nên không đòi hỏi nhiều quá trình phân tích xử lý.
• Liên kết ảo (VCAT): Thủ tục tạo ra một “ống ảo” với kích thước phù hợp cho lưu lượng, độ
linh hoạt và khả năng tương thích cao với các kỹ thuật SDH hiện có.
• Giao thức điều chỉnh dung lượng tuyến (LCAS): thủ tục báo hiệu thực hiện phân định hay
huỷ bỏ các đơn vị băng thông để phù hợp với yêu cầu truyền tải số liệu.
1.6.3.1.5.1 Giao thức ghép khung tổng quát
• Được chuẩn hóa trong ITU-T G.7041.
• Là giao thức đóng gói cần thiết thích ứng với tính bùng phát của lưu lượng dạng gói.
• Hiện tại có hai thủ tục ghép khung thích ứng với tín hiệu khách hàng là
o Ghép theo khung (GFP-F) : Toàn bộ một khung (gói) dữ liệu data được ánh xạ vào
một khung GFP (dịch vụ được ánh xạ theo khung), thích hợp cho ghép lưu lượng
khung MAC Ethernet, các gói PPP/IP và các PDU được đóng khung HDLC …Độ dài
khung GFP thay đổi.
o Ghép theo trong suốt (GFP-T): GFP ghép theo ký tự được dùng để truyền tốc độ bit
liên tục (dịch vụ được ánh xạ theo byte), dữ liệu đối tượng sử dụng mã hoá khối
8B/10B và thông tin điều khiển được chuyển tải trong mạng kênh quang (Fiber
Channel), ESCON, FICON và Ethernet Gigabit, tốt với các dịch vụ nhạy cảm về trễ .
Độ dài khung cố định, giảm thiểu trễ và truyền dữ liệu hiệu quả.
• Kiểu sử dụng tùy thuộc vào dịch vụ
Hình 1.17 Sơ đồ kết nối của 2 node NG-SDH
26
o GFP-F: Thích hợp với truyền tín hiệu Ethernet
o GFP-T: Có thể ánh xạ bất kỳ tín hiệu dữ liệu nào
Cấu trúc ghép khung tổng quát
Khung GFP gồm 4 trường:
Mào đầu khung: Xác định độ dài khung GFP, phát hiện lỗi CRC.
Mào đầu tải tin: Xác định loại thông tin được truyền (các khung quản lý, khung khách hàng).
Thông tin tải khách hàng: Tải thực truyền.
Tùy chọn: Phát hiện lỗi FCS.
Hình 1.18 Cấu trúc ghép khung tổng quát
27
1.6.3.1.5.2 Liên kết ảo (VCAT)
• Được chuẩn hóa trong ITU-T G.7042
• Là giải pháp tăng hiệu suất truyền tải của băng thông có trong các cấp VC của cấu trúc ghép
SDH.
• Có 2 phương pháp ghép kênh thông dụng để truyền tải các lưu lượng gói dữ liệu qua mạng
SDH: Ghép liên tục và Ghép ảo .
• Ghép “liên tục” (ITU-T G.707)
o Các gói tin lân cận được ghép liên tục với nhau (Continuous concatenation), truyền
qua mạng NG SDH như một container.
o Các nút mạng tham gia vào đường truyền phải có khả năng nhận dạng và xử lý được
container ghép.
o Truyền tải một số loại Data không hiệu quả vì thiếu các mức thay đổi băng thông.
• Ghép “ảo” (ITU-T G.707)
o Ánh xạ từng gói tin vào một liên kết ghép ảo (Virtual concatenation VCAT) gồm
nhiều container cơ sở tạo thành.
o Ghép một số lượng container bất kỳ, tạo ra nhiều mức băng thông linh động hơn so
với ghép liên tục.
o Điều chỉnh hiệu quả hơn dung lượng truyền tải theo yêu cầu dịch vụ
• Nút mạng khởi tạo và kết cuối
o Nhận dạng và xử lý cấu trúc ghép ảo.
STM-n
314
Cổng 1
Cổng 2
Cổng n
Cổng 1
Cổng 2
Cổng n
Hàng đợi
Rx
Hàng đợi
Tx
Hệ thống
ghép phụ
Khung STM
Kênh định danh
Sắp xếp
GFP
Giải sắp xếp
GFP
Đóng gói
Sắp xếp
Ghép kênh
TRUYỀN
Phân kênh
Giải sắp xếp
Giải đóng gói
Ethernet MSPP SDH EthernetMSPP
Hình 1.19 Quá trình ghép và chuyển tải các khung GFP vào VC container trong các khung STM
28
o Các container cơ sở có thể đi theo các đường khác nhau có sự lệch pha giữa các
container khi đi tới kết cuối nút kết cuối phải có các bộ đệm trễ, và các cơ chế tái
tạo lại VCAT như tại điểm đầu.
• Các nút trung gian xử lý các container như các container chuẩn.
• Ví dụ truyền kênh dữ liệu 1Gbps
o Nếu dùng ghép kênh liên tục (truyền thống): phải sử dụng 1 kênh STM-16 2.5G vơi
container VC-4-16c hiệu suất sử dụng băng thông: 42%.
o Sử dụng VCAT (VCG): VC-4-7v
- VC-4 là mức cơ bản (150Mbps).
- Số phần tử cơ bản của nhóm là 7.
- 7 * 150M = 1050M hiệu suất sử dụng băng thông là 95%.
1.6.3.1.5.3 Cơ chế điều chỉnh dung lượng tuyến (LCAS)
• Được định nghĩa trong chuẩn G.7402.
• LCAS có thể tự động điều chỉnh và xác định băng thông tương thích cho VCAT.
• Hoạt động giữa 2 NE, nối giao tiếp khách hàng với mạng SDH truyền thống.
• Cho phép thiết bị đầu phát thay đổi linh hoạt số container của nhóm ghép phù hợp với thay đổi
yêu cầu băng thông, theo thời gian thực.
• Byte H4/K4: Truyền tải gói điều khiển, là thông tin về VC và các thông số của giao thức
LCAS (Link Capacity Adjusment Scheme).
1.6.4 Công nghệ RRR
RPR sử dụng vòng song hướng gồm hai sợi quang truyền ngược chiều nhau, cả hai vòng đồng thời
được sử dụng để truyền gói dữ liệu và điều khiển. RPR cho phép nhà cung cấp dịch vụ giảm chi phí
thiết bị phần cứng cũng như thời gian và chi phí của việc giám sát mạng. Bằng cách tính toán khả năng
mạng và dự báo yêu cầu lưu lượng, RPR ghép thống kê và phân phối công bằng băng thông (fairness)
cho các node trên vòng để tránh tắc nghẽn có thể mang lại lợi ích hơn nhiều so với vòng SDH/SONET
dựa trên ghép kênh phân chia theo thời gian.
RPR là giao thức lớp MAC vận hành ở lớp 2 của mô hình OSI, nó không nhận biết lớp 1 nên độc lập
với truyền dẫn nên có thể làm việc với WDM, SDH hay truyền dẫn dựa trên Ethernet (sử dụng GBIC -
Gigabit Interface Converter). Ngoài ra, RPR đi từ thiết bị đa lớp đến dịch vụ mạng thông minh lớp 3
như MPLS. MPLS kết hợp thiết bị biên mạng IP lớp 3 với thiết bị lớp 2 như ATM, Frame Relay. Sự
kết hợp độ tin cậy và khả năng phục hồi của RPR với ưu điểm quản lý lưu lượng và khả năng mở rộng
của MPLS VPN và MPLS TE được xem là giải pháp xây dựng MAN trên thế giới hiện nay.
29
1.6.4.1 Động lực thúc đẩy phát triển công nghệ
Khi triển khai mạng Metro với các công nghệ chủ yếu là SDH và Ethernet, tồn tại một số vấn đề
Phần lớn hệ thống cáp tại các đô thị được tổ chức theo cấu trúc tô pô ring.
Sử dụng SDH là tiện ích truyền tải lưu lượng sẽ lãng phí băng thông.
Triển khai cấu trúc HUB cho mạng Ethernet lãng phí dung lượng hệ thống.
Cơ chế hoạt động của Ethernet không có cơ chế hỗ trợ truyền tải cấu trúc ring.
Cần tìm ra giải pháp công nghệ phù hợp để giải quyết vấn đề trên.
1.6.4.2 Vòng RPR
RPR sử dụng vòng song hướng gồm 2 sợi quang truyền ngược chiều đối xứng nhau. Một vòng được
gọi là vòng ngoài (Outer ring), vòng kia được gọi là vòng trong (Inner ring) gọi chung là ringlet. Hai
ringlet có thể đồng thời sử dụng để truyền gói dữ liệu và điều khiển. Một node gửi gói dữ liệu trên
hướng downstream và gửi gói điều khiển trên hướng ngược lại upstream trên ringlet kia.
Hình 1.20 Cấu trúc mạng và khả năng cung cấp dịch vụ RPR
30
1.6.4.3 Ưu điểm của RPR
• RPR tận dụng khả năng phục hồi nhanh sự cố tuyến và sự cố nút của công nghệ SDH
(<50ms).
• RPR tận dụng ưu điểm về giá thành của thiết bị mạng Ethernet.
• Tối ưu hóa truyền lưu lượng Ethernet trên mạng ring (đảm bảo tương thích cơ chế hoạt động
của Ethernet và duy trì hiệu suất sử dung băng thông hệ thống).
• Có khả năng hỗ trợ các mức ưu tiên truyền tải lưu lượng.
• Có khả năng phân chia băng thông công bằng trong mạng.
• Có khả năng tự phát hiện cấu hình (chức năng Plugin).
• Tương thích hoàn toàn với các giao thức truyền tải hiện có.
1.6.4.4 Chức năng tái sử dụng băng thông (spatial reuse)
• Trong trường hợp nút mạng RPR thu một khung dữ liệu, nó gỡ bỏ khung dữ liệu trên ring
xuống nút mạng thay vì copy khung dữ liệu.
• Khung dữ liệu trống quay trở lại nơi gửi theo chiều vòng ring
• Băng thông trống khung dữ liệu để lại cho các nút khác sử dụng
1.6.4.4 Chức năng chia sẻ băng thông công bằng
• Khi xuất hiện tắc nghẽn tại nút mạng nào đó, nó sẽ truyền một cảnh báo với một giá trị băng
thông đề xuất nào đó theo hướng ring ngược lại.
• Nút mạng hướng truyền lên sẽ điều chỉnh tốc độ truyền sao cho không vượt quá giá trị băng
thông đề xuất.
• Các nút mạng chuyển tiếp cảnh báo tới các nút mạng kế tiếp trên hướng lên.
• Nếu nút mạng nhận cảnh báo vẫn bị tắc nghẽn nó truyền dữ liệu ở mức tối thiểu và tiếp tục gửi
cảnh báo và giá trị băng thông sử dụng của nó tới các nút mạng kế tiếp.
Hình 1.21 Vòng RPR
31
1.6.4.5 Chức năng bảo vệ phục hồi
• Wrapping: Nếu sự cố hỏng được phát hiện lưu lượng sẽ được loop vòng lại đầu ra nút mạng
gần nhất với nơi có sự cố hỏng. Theo đó lưu lượng sẽ được truyền theo chiều ngược lại của
ring.
• Steering: Nếu sự cố hỏng được phát hiện, các nút mạng kế cận nơi có sự cố hỏng thực hiện
chuyển mạch chọn tín hiệu để chuyển lưu lượng sang ring dự phòng.
1.6.4.5.1 Kĩ thuật Wrapping
Một vòng RPR gồm hai vòng sợi quang truyền ngược chiều nhau. Nếu một thiết bị hay sợi
quang bị phát hiện có lỗi, lưu lượng đang đi đến và từ hướng bị lỗi sẽ bị wrap ngược về theo
hướng đối nghịch trên vòng quang kia. Wrap xảy ra trên node kế cận với lỗi, dưới sự điều
khiển của giao thức chuyển mạch bảo vệ.
Một ví dụ đường truyền dữ liệu trước khi xảy ra lỗi như hình 20. Trước khi sợi quang đứt
Node 4 gửi lưu lượng đến Node 1 qua con đường Node 46Node 56Node 66Node 1.
Có một lỗi đứt sợi giữa Node 5 và Node 6, Node 5 và Node 6 sẽ wrap lưu luợng vòng Inner
qua vòng Outer. Sau khi quá trình Wrap được khởi động, lưu lượng từ Node 4 đến Node 1 sẽ
khởi động đi qua con đường Node 46Node 56Node 46Node 36Node 26Node 16Node 66Node
1.
1.6.4.5.2 Kĩ thuật Steering
Đối với bảo vệ Steer, một node sẽ không wrap đoạn bị lỗi trong khi lỗi được phát hiện. Một
bản tin yêu cầu sự bảo vệ được gửi đến mỗi node để xác định có lỗi đứt sợi giống như bảo vệ
kiểu Wrap. Khi node nhận bản tin yêu cầu xác định lỗi, topology sẽ được cập nhật tương ứng.
Nó sẽ nhận trách nhiệm của node lưu lượng nguồn để đổi hướng lưu lượng của vòng Inner hay
Outer để tránh đoạn bị lỗi.
Hình 1.22 Đường đi của dữ liệu sau khi wrap
32
1.7. Các phương thức truy nhập NGN
1.7.1 Xu hướng chuyển đổi của mạng truy nhập
Hợp nhất các mạng truy nhập trên một hạ tầng thống nhất
o Dễ dàng triển khai các dịch vụ truyền thống cũng như các dịch vụ mới.
o Giảm đáng kể CAPEX và OPEX.
Các dịch vụ băng rộng (Broadband) là tương lai của mạng cố định.
Các dịch vụ truy nhập không dây băng rộng sẽ phát triển nhanh chóng.
Các dịch vụ truyền thống vẫn đem lại các nguồn doanh thu, lợi nhuận chính cho các nhà cung
cấp dịch vụ trong tương lai gần.
Các vấn đề cần quan tâm
o Lựa chọn các loại công nghệ truy nhập khác nhau, các loại giao diện khác nhau.
o Chi phí đầu tư cho mạng truy nhập chiếm hơn 60% tổng chi phí xây dựng mạng.
o Chi phí vận hành mạng truy nhập chiếm 80% tổng chi phí vận hành.
Hình 1.23 Đường đi của dữ liệu sau khi phát hiện topology mới
33
1.7.2 Phương thức truy nhập xDSL
• Dịch vụ truy nhập xDSL đang chiếm lĩnh thị trường truy nhập băng rộng. Băng thông cung
cấp của dịch vụ xDSL càng cao thì cự ly càng ngắn.
• Cáp quang hiện đang là một xu hướng phát triển để cung cấp các kết nối tốc độ cao, cự ly
truyền dẫn xa và độ ổn định cao tới khách hàng.
• Các nhà cung cấp dịch vụ cần cân nhắc tới băng thông cung cấp, khoảng cách tới khách hàng,
và chi phí đầu tư để lựa chọn công nghệ truy nhập
Hình 1.24 Các phương thức truy nhập NGN
Hình 1.25 Cấu trúc mạng truy nhập DSL dùng thiết bị Ethernet – TR-101
34
• ADSL 2+ hoàn toàn tương thích với ADSL tuy nhiên tốc độ cao hơn, và ít tốn nguồn cung cấp
hơn (Seamless Rate Adaption - SRA)
o Cung cự li: ADSL2+ tốc độ cao hơn.
o Cùng tốc độ: ADSL2+ có cự li cung cấp xa hơn
• ADSL2+ hiện đã được hoàn thiện và bắt đầu được triển khai thương mại rộng rãi. Trong khi
đó, VDSL2 vẫn đang trong giai đoạn nghiên cứu, hoàn thiện.
• Đối với cự li truyền dẫn 1.2km thì tốc độ truy nhập của ADSL2+ và VDSL2 là như nhau.
Hình 1.26 Truy nhập mạng broadband cố định
Hình 1.27 Truy nhập xDSL
35
1.7.3 Phương thức truy nhập FTTx (FTTC, FTTB, FTTH)
• Point-to-Point: Cung cấp các kết nối Leased-line cho các khác hàng lớn.
• Passive Optical Network-PON: Công nghệ mạng quang thụ động, dải thông được chia đều cho
các thuê bao trên một sợi quang bằng thiết bị Splitter.
1.7.4 Phương thức nhập không dây WiMAX
• Là công nghệ truy nhập broadband không dây hứa hẹn nhất hiện nay.
• Đáp ứng đầy đủ yêu cầu cho các dịch vụ IP/NGN: Data, VoIP.
• Khả năng di dộng, thu phát cự li xa, NLOS, thiết bị đầu cuối gọn nhỏ.
• 802.16: sử dụng cho truyền dẫn không dây cố định sử dụng dải tẩn số 10–66Ghz. LOS và chỉ
dùng cho các kết nối Point-to-Point.
• 802.16c: phát triển sử dụng cho hệ thống mạng MAN không dây cố định: LOS, Point-to-Point
backhaul, 10–66GHz.
• 802.16a: phát triển cho dải tần 2-11GHz, NLOS, các ứng dụng Point-to-Mutilpoint.
• 802.16d (802.16-2004): thay thế cho phiên bản trước (802.16a), sử dụng dải tần 2-6GHz,
NLOS, ứng dụng cho hệ thống truy nhập không dây Point-to-Multipoint cố định (Fixed &
Portable).
• 802.16e: sử dụng dải tần 2-6GHz, NLOS, phát triển thêm các khả năng Roaming, truy nhập
khi đang di chuyển với tốc độ cao. Ứng dụng cho các dịch vụ truy nhập không dây di động.
Hình 1.28 Tuy nhập FTTx
36
1.7.5 Triển khai các thiết bị IP DSLAM và MSAN cung cấp dịch vụ
1.7.5.1 Thiết bị truy nhập MSAN
Cung cấp nhiều loại phương thức truy nhập đồng thời: băng rộng và băng hẹp.
Có các kết nối TDM tới hệ thống cũ để cung cấp dịch vụ băng hẹp.
Các kết nối IP : cung cấp các dịch vụ băng rộng và kết nối tới mạng NGN.
Sẵn sàng nâng cấp lên VoIP (H.248, SIP), và các tính năng QoS, Multicast… để chuyển đổi
lên NGN.
Cấu trúc thiết bị truy nhập MSAN
Bao gồm 2 bộ phận cơ bản: phần chuyển mạch TDM và phần chuyển mạch IP.
Kiến trúc Bus nội bộ cũng gồm 2 phần tương ứng: Bus TDM cho các dịch vụ băng hẹp
(POTS, TDM Leased-line..) và Bus IP cho các dịch vụ băng rộng (xDSL, VoIP).
Giao diện kết nối thoại POTS: V5.2 TDM.
Giao diện kết nối thoại VoIP (H.248, SIP): là các giao diện IP (FE, GE…).
Phương án sử dụng thiết bị truy nhập MSAN
• MSAN phù hợp triển khai trong giai đoạn chuyển tiếp lên NGN: cơ sở hạ tầng IP chưa hoàn
thiện, từng bước triển khai Softswitch.
• Triển khai ở nhưng nơi vẫn còn nhu cầu phát triển dịch vụ thoại POTS. Kết nối V5.2 và sử
dụng cơ sở hạ tầng có sẵn (truyền dẫn TDM và giao diện V5.2 trên tổng đài).
• Kết nối tới hệ thống xDSL bằng TDM hoặc IP để cung cấp dịch vụ.
• Chuyển đổi lên NGN
o Vẫn dùng các thuê bao cũ để cung cấp dịch vụ voice cho khách hàng.
Hình 1.29 Truy nhập qua MSAN
37
o Nâng cấp card Coder VoIP và Card điều khiển báo hiệu (H.248, SIP) để làm việc với
Softswitch cung cấp dịch vụ VoIP.
o Đấu nối phần uplink IP để cung cấp đông thời các dịch vụ BB và NB
1.7.5.2 Thiết bị truy nhập IPDSLAM
Cấu trúc của IPDSLAM tương đối đơn giản: thông thường gồm 1 Layer 2 Switch được tích
hợp trong Card điều khiển làm nhiệm vụ chuyển mạch các gói tin và thực hiện các tính năng
lớp 2: STP, Multicast, Q-in-Q…
Hiện nay có một số hãng sản xuất tích hợp phần VoIP vào IPDSLAM để cung cấp dịch vụ
thoại NGN trong tương lai.
Hình 1.30 Kết nối mạng thiết bị truy nhập MSAN
Hình 1.31 Thiết bị truy nhập IPDSLAM
38
Phương án sử dụng thiết bị truy nhập IPDSLAM
IP DSLAM hiện đã được sử dụng tương đối phổ biến trong mạng truy nhập.
IPDSLAM được sử dụng để cung cấp dịch vụ truy nhập HSI.
Hiện nay các IPDSLAM đang được triển khai cung cấp HSI bằng giao thức PPPoE
và theo mô hinh 1:1 VLAN
Với bản chất có 1 Layer 2 Switch tích hợp nên mô hình đấu nối của IPDSLAM rất linh động:
Ring, Star, String…
Ngoài ra IPDSLAM còn sẵn sàng tính năng Multicast để cung cấp dịch vụ IPTV.
Hình 1.32 Phương án sử dụng thiết bị truy nhập IP DSLAM
Hình 1.33 Mô hình 1 Vlan cho IP DSLAM
39
1.7.6 Các phương thức truy nhập khác
Gigabit Ethernet: cung cấp bởi mạng MAN-E.
FTTx: Đang trong quá trình cung cấp thử nghiệm.
WiMAX: đã tiến hành thử nghiệm, hiện đang chờ quá trình tiêu chuẩn hóa và thương mại
hóa sản phẩm của các nhà cung cấp thiết bị.
Các thành phần chính của mạng FTTx
OLT: (Optical line termination) là một thiết bị chuyển mạch được sử dụng trong mạng PON
để quản lý các kết nối phía sau Splitter.
LCP (Local Convergence point) Điểm phân phối sợi quang, có thể là những măng xông
quang hay các Splitter tuỳ theo công nghệ mạng sử dụng.
NAP (Network Access Point) là điểm truy nhập mạng,NAP có thể chứa măng xông quang
hay các Splitter tuỳ theo công nghệ sử dụng: Điểm - điểm hay PON.
ONU/ONT: Đơn vị mạng quang/ Kết cuối mạng quang Optical Network Unit (Optical
Network ermination) cung cấp giao diện biến đổi quang điện.
Splitter còn được gọi là cút nối, là một thiết bị lượng tử ánh sáng thụ động, nó có thể chia
ánh sáng từ một sợi quang thành 2 hoặc tối đa là 32 sợi quang; Có các loại Splitter sau: 1x4,
1x8, 1x16, 1x32.
Trong mạng FTTx có thể sử dụng các bộ Hub phân phối quang (FDH).
Hình 1.34 Cấu hình mạng quang FTTx
40
1.8 Tổ chức lớp điều khiển và dịch vụ trên mạng NGN
Trước khi hướng đến hệ thống điều khiển chung trong tương lai xa (ví dụ như IMS) thì hiện
tại cũng như trong vòng 5 năm tới các dịch vụ sẽ theo chiều hướng có các hệ thống điều khiển
riêng. Chẳng hạn với dịch vụ VoIP có hệ thống Softswitch; dịch vụ IPTV có các hệ thống
SHE, VHO, VSO; dịch vụ HSI có các hệ thống BRAS, AAA..
1.9 Kết luận chương
NGN ra đời là một tất yếu khách quan, việc lựa chọn kiến trúc và công nghệ truyền dẫn cho NGN đặt
ra một thách thức lớn đối với các nhà khai thác và cung cấp dịch vụ Viễn thông đặc biệt là trong bối
cảnh công nghệ này cũng chưa thật sự chín muồi. Trên thị trường đã có rất nhiều hãng đi tiên phong
trong việc sản xuất thiết bị cũng như cung cấp các giải pháp cho NGN có thể kể đến như: Juniper,
Cisco, Huawei, Alcatel Lucent,... Chương này đã khái quát được bức tranh chung về NGN mặc dù
chưa rõ nét và đầy đủ, nhất là các vấn đề về cung cấp dịch vụ, điều khiển, vận hành và khai thác NGN.
Chương 2 sẽ trình bày rõ hơn về việc cấp phát một số dịch vụ điển hình qua NGN đặc biệt là ở phần
mạng đô thị.
M
?n
g
tru
y
nh
?p
D?ch v? HSI
D?ch v? IPTV
D?ch v? VoIP
M?ng truy?n t?i băng r?ng
K
há
ch
h
àn
g
D?ch v? VPN
Giao di?n đi?u
khi?n (logic)
Giao di?n
v?t lý
UNI
NNI
Hình 1.35 Các hệ thống điều khiển riêng cho mỗi dịch vụ
41
Chương 2. MẠNG ĐÔ THỊ
2.1 Tóm tắt chương
Chương này trình bày những vấn đề liên quan đến việc cấp dịch vụ VPN L2 và HSI qua mạng đô thị
(MAN) ứng dụng công nghệ Ethernet. Đặc biệt là việc áp dụng chuẩn 802.1ad (QinQ) trong việc tách
biệt lưu lượng các loại hình dịch vụ và khách hàng với nhau. Những vấn đề công nghệ của Cisco và
Huawei đối với các loại hình dịch vụ này được thể hiện trong chương này.
2.2 Tổng quan về mạng MAN và xu hướng phát triển mạng
2.2.1 Những yếu tố thúc đẩy sự phát triển mạng MAN
Sự phát triển bùng nổ các tổ hợp văn phòng, khu công nhiệp, công nghệ cao, các khu chung
cư. Sự bùng nổ về nhu cầu và loại hình trao đổi thông tin trong tất cả các lĩnh vực hoạt động
của xã hội như kinh tế, văn hóa, giáo dục, khoa học lỹ thuật…
Các mạng nội bộ LAN đáp ứng được nhu cầu trao đổi thông tin với phạm vi địa lý rất hẹp.
Hàng loạt các dự án phát triển thông tin của chính phủ, của các nhà cung cấp dịch vụ, các cơ
quan, công ty, cơ sở đào tạo.
Định hướng chuyển từ lưu lượng định hướng kênh sang lưu lượng định hướng gói trong các
mạng ngày nay. Công nghệ mạng truyền thống (TDM, PSTN) không đáp ứng được nhu cầu
truyền tải băng rộng và đa dịch vụ.
Xu hướng công nghệ hướng tới truyền tải gói và truyền tải tích hợp đa dịch vụ (NGN). Các
loại hình công nghệ truyền tải NGN (truyền dẫn, chuyển mạch, định tuyến) cho phép kiến tạo
các giải pháp thực hiện mạng MAN theo yêu cầu.
Xu hướng tập trung đầu tư xây dựng các mạng nội vùng, chuyển đổi công nghệ, cung cấp đa
dịch vụ, đưa dịch vụ tới gần người sử dụng, đạt mục đích cung cấp dịch vụ “mọi nơi, mọi lúc,
mọi giao diện”.
2.2.2 Xu hướng phát triển công nghệ Ethernet trên MAN
Kể từ khi được phát triển đầu những năm 1980, Ethernet đã trở thành giao thức mạng thống trị các
mạng LAN trên Thế Giới với các ưu điểm
• Tốc độ không ngừng được nâng cao: 10Mbps -> 10Gbps, 40Gbps.
• Cự ly truyền dẫn ngày càng tăng: 10km, 40km, 70km…
• Được hầu như tất cả các nhà cung cấp thiết bị trên Thế Giới hỗ trợ
• Hiệu quả chi phí: Chi phí đầu tư và vận hành thấp.
• Đơn giản
o Đã được tiêu chuẩn hóa và không ngừng được phát triển.
o Được ứng dụng rộng rãi trong tất cả các tổ chức, doanh nghiệp và thiết bị gia đình.
• Độ linh động cao
o Quản lý băng thông và mở rộng băng thông kết nối rất dễ dàng.
o Hỗ trợ rất nhiều mô hình kết nối (topology) khác nhau.
42
o Tối ưu cho việc truyền tải thông tin dạng gói, đặc biệt là các gói tin IP.
Với sự phát triển về mặt công nghệ (Gigabit Ethernet & Optical), các ưu điểm của mình, Ethernet hiện
được lựa chọn rộng rãi để xây dựng mạng MAN nhằm đáp ứng nhu cầu ngày càng cao
Trong những năm gần đây, với sự phát triển vượt bậc của các công nghệ truy nhập mới (xDSL,
FTTx…) và các dịch vụ mới (VoIP, IPTV, VoD…), đặc biệt là xu hướng tiến lên NGN của ác nhà
khai thác Viễn thông
Yêu cầu về băng thông kết nối tới các thiết bị truy nhập (IPDSLAM, MSAN) ngày càng cao.
Yêu cầu cơ sở hạ tầng truyền tải phải đáp ứng các công nghệ mới của IP để sẵn sàng cho các
dịch vụ mới ngày càng tăng: multicast, end-to-end QoS, bandwitdh-on-demand…
Yêu cầu băng thông cung cấp trực tiếp cho khách hàng (FE, GE)…
Tất cả các yêu cầu trên dẫn đến sự phát triển bùng nổ của mạng MAN trong các thành phố, đặc biệt là
mạng MAN dựa trên công nghệ Ethernet để truyền tải lưu lượng IP. Tất cả các công nghệ sẽ đóng góp
vào việc đạt được những mục đích chung của xây dựng mạng
Cắt giảm các chi phí.
Giảm thời gian cung cấp.
Đối phó với sự tăng nhanh chóng lưu lượng gói.
Tăng lợi nhuận từ các dịch vụ mới.
Đẩy mạnh hiệu suất khai thác mạng.
Việc áp dụng công nghệ Ethernet vào mạng MAN mang lại nhiều lợi ích cho cả nhà cung cấp dịch vụ
lẫn khách hàng. MAN là một giải pháp mạng có độ tin cậy, khả năng mở rộng và hiệu quả cao về chi
phí đầu tư. Việc quản lý băng thông trong MAN cũng được thực hiện một cách dễ dàng.
2.3 Ưu nhược điểm của mạng MAN
2.3.1 Ưu điểm của mạng MAN
Tính dễ sử dụng
Dịch vụ Ethernet dựa trên một giao diện Ethernet chuẩn, dùng rộng rãi trong các hệ thống mạng cục
bộ (LAN). Hầu như tất cả các thiết bị và máy chủ trong LAN đều kết nối dùng Ethernet, vì vậy việc sử
dụng Ethernet để kết nối với nhau sẽ đơn giản hóa quá trình hoạt động và các chức năng quản trị, quản
lí và cung cấp (OAM &P).
Hiệu quả về chi phí
Dịch vụ Ethernet làm giảm chi phí đầu tư (CAPEX-capital expense) và chi phí vận hành (OPEX-
operation expense)
Sự phổ biến của Ethernet trong hầu hết tất cả các sản phẩm mạng giao diện Ethernet có chi
phí không đắt.
Giá thành thiết bị thấp, chi phí quản trị và vận hành thấp hơn ít tốn kém hơn những dịch vụ
cạnh tranh khác.
Nhiều nhà cung cấp dịch vụ Ethernet cho phép những thuê bao tăng thêm băng thông một
cách khá mềm dẻo cho phép thuê bao thêm băng thông khi cần thiết và họ chỉ trả cho
những gì họ cần.
43
Tính linh hoạt
Dịch vụ Ethernet cho phép những thuê bao thiết lập mạng của họ theo những cách hoặc là phức tạp
hơn hoặc là không thể thực hiện với các dịch vụ truyền thống khác. Ví dụ: một công ty thuê một giao
tiếp Ethernet đơn có thể kết nối nhiều mạng ở vị trí khác nhau để thành lập một Intranet VPN của họ,
kết nối những đối tác kinh doanh thành Extranet VPN hoặc kết nối Internet tốc độ cao đến ISP. Với
dịch vụ Ethenet, các thuê bao cũng có thể thêm vào hoặc thay đổi băng thông trong vài phút thay vì
trong vài ngày ngày hoặc thậm chí vài tuần khi sử dụng những dịch vụ mạng truy nhập khác (Frame
relay, ATM,…). Ngoài ra, những thay đổi này không đòi hỏi thuê bao phải mua thiết bị mới hay ISP
cử cán bộ kỹ thuật đến kiểm tra, hỗ trợ tại chỗ.
2.3.2 Nhược điểm của mạng MAN
Để có thể hỗ trợ cho nhiều ứng dụng và yêu cầu của thuê bao dịch vụ Ethernet cần có nhiều
loại, nhiều thuộc tính dịch vụ khác nhau.
MEF đang tiếp tục định nghĩa và chuẩn hóa các loại dịch vụ và các thuộc tính này, cho phép
các nhà cung cấp dịch vụ có khả năng trao đổi giải pháp của họ một cách rõ ràng, các thuê bao
có thể hiểu và so sánh các dịch vụ 1 cách tốt hơn Cập nhật và đào tạo về công nghệ mới,
chuẩn mới.
2.4. Kiến trúc mạng MAN của Cisco
Tổng quan về kiến trúc của MAN thường đặt trong mối quan hệ với các dịch vụ MAN được cung cấp
bởi các nhà cung cấp khác nhau. Mỗi tổ chức lại có 1 cách xây dựng kiến trúc MAN khác nhau. Theo
Cisco, kiến trúc MAN được chia thành 5 lớp
Lớp truy nhập (Access)
Lớp kết tập (Aggregation)
Lớp biên (Edge)
Lớp lõi (Core)
Lớp ứng dụng và dịch vụ (Service Application)
44
2.4.1 Lớp truy nhập
Cung cấp truy nhập băng rộng cho các khách hàng là doanh nghiệp và dân cư, dựa trên công
nghệ xDSL (ADSL, ADSL 2+, VDSL).
Thiết bị với chức năng UPE (User-Provider Equipment): điểm phân tách giữa khách hàng và
mạng nhà cung cấp dịch vụ. thông thường nó là thiết bị lớp 2 đặt tại lớp Access đặt tại CP
nhưng được quản lý bởi nhà cung cấp dịch vụ. Chức năng của UPE ban đầu là
o Tổng hợp nhiều tuyến nối từ phía khách hàng tại lớp truy nhập.
o Định nghĩa các dịch vụ Ethernet bằng cách cung cấp đặc điểm UNI phù hợp, ví dụ 802.1Q
tunneling (Q-in-Q) và 802.1Q trunking.
o Cô lập lưu lượng khách hàng bằng cách gán giá trị VLAN IDs duy nhất của nhà cung cấp
cho mỗi dịch vụ.
o Đảm bảo SLA thích hợp bằng cách phân loại lưu lượng, áp đặt chính sách.
2.4.2 Lớp kết tập
Cung cấp dịch vụ vận chuyển giữa lớp mạng truy nhập và lớp mạng biên, bao gồm cả các nút
phân phối và tổng hợp kết nối trong topo vật lý khác nhau.
Công nghệ Carrier Ethernet mạng tổng hợp dựa trên IP/MPLS và cho phép các tùy chọn vận
chuyển lớp 2 và Lớp 3 ( P2P và MP) dựa trên các yêu cầu dịch vụ đặc biệt.
Thiết bị cho kết tập lưu lượng(Provier Equipment Aggreation - PEAGG): tổng hợp lưu lượng,
quản lý tắc nghẽn, ghép dịch vụ, chuyển mạch cục bộ cho các dịch vụ Ethernet.
Hình 2.1 Kiến trúc mạng MAN theo Cisco
45
2.4.3 Lớp biên
Dịch vụ và các chính sách điều khiển quản lý của mạng: bảo mật – xác thực 802.1x và bảo
mật dựa trên cổng.
Ghép lưu lượng và quản lý tắc nghẽn: liên quan đến QoS như phân lớp, thiết lập chính sách,
đánh dấu và xếp hàng, ánh xạ bit 802.1p.
Giao diện quang hoặc đồng.
2.4.4 Lớp lõi
Thực hiện chức năng chuyển tiếp gói tin nhanh (IP/MPLS), quản lý tắc nghẽn và kỹ thuật điều
khiển lưu lượng phức tạp, giao diện quang tốc độ cao, sự hội tụ của xử lý gói tin và công nghệ
quang.
2.4.5 Lớp ứng dụng và dịch vụ
Lớp ứng dụng và dịch vụ cung cấp
Các giao diện quang mật độ cao
Chuyển mạch tốc độ cao
Quản lý tắc nghẽn và lưu lượng phức tạp
Cổng dịch vụ IP và MPLS: lớp định nghĩa dịch vụ VPLS và VPWS, cổng liên kết làm việc
dịch vụ VPN L2, VPN L3
Thiết bị ứng dụng dịch vụ lớp 3: dịch vụ nội dung, Firewall, phát hiện xâm nhập,…
2.5 Khuyến nghị TR-101
2.5.1 Tổng quan về TR-101
Hiện nay, mạng xDSL của các nhà khai thác Viễn thông chủ yếu dựa trên kiến trúc ATM. Các mạng
này được phát triển cách đây vài năm theo khuyến nghị TR-059 và TR-025 của diễn đàn DSL, tuy đáp
ứng được nhu cầu sử dụng Internet tốc độ cao nhưng dần lộ rõ những nhược điểm cần khắc phục. Vì
vậy, Diễn đàn DSL đã đưa ra khuyến nghị TR-101 về việc chuyển mạng xDSL từ kiến trúc dựa trên
ATM sang kiến trúc dựa trên Ethernet. TR-101 đã định hướng phát triển cho mạng truy nhập DSL để
hỗ trợ các công nghệ ADSL2+ và VDSL, QoS, IP Multicast bằng cách tận dụng các lợi điểm do công
nghệ Metro Ethernet mang lại. Nội dung chính của TR-101 bao gồm những phần sau đây
Phần 1: Giới thiệu khái niệm tổng quan về mô hình TR-101 khuyến nghị tuân theo.
Phần 2: Các khuyến nghị cho Access node.
Phần 3: Các khuyến nghị cho Ethernet Aggregation node.
Phần 4: Các khuyến nghị cho BNG (BROADBAND NETWORK GATEWAY).
Phần 5: Các vấn đề về Multicast.
Phần 6: Các vấn đề về OAM.
Phần 7: Các vấn đề trong quản trị mạng.
46
Như vậy, TR-101 bao gồm những khuyến nghị với rất nhiều thành phần. Luận văn này giới thiệu
những vấn đề chung nhất về TR-101 và một số vấn đề áp dụng trong mạng Viễn thông đối với SP.
2.5.1.1 ATM và những vấn đề liên quan
Mạng DSL hiện nay dựa trên mô hình tham chiếu TR-025 hay mới hơn là dựa trên TR-059. Cả hai mô
hình này đều dùng ATM để thu gom các mạng truy nhập vào mạng của nhà cung cấp dịch vụ băng
thông rộng khu vực.
Trong TR-025, BRAS được đặt ở mạng băng rộng khu vực hoặc ở nhà cung cấp dịch vụ, trong khi
TR-059 mang BRAS đặt ở mạng băng rộng khu vực. Nhiệm vụ chính của BRAS trong TR-025 là kết
cuối PPP (PPP termination), nhưng trong TR-059 được mở rộng thêm chức năng quản lý thuê bao,
quản lý chất lượng dịch vụ QoS, quản lý lưu lượng nâng cao,….
Hình 2.2 Mô hình tham chiếu TR-205
Hình 2.3 Mô hình tham chiếu TR-059
47
2.5.1.2 Mô hình tham chiếu TR-101
Trong TR-101, khái niệm cổng mạng băng rộng BNG (Broadband Network Gateway) bao
gồm cả chức năng BRAS được mô tả trong TR-092 và các chức năng khác, nhất là khi được
sử dụng làm bộ định tuyến ngoại biên (Edge Router) được đưa ra.
Mạng thu gom được định nghĩa trong TR-101 là phần mạng kết nối từ Access Node đến BNG
(BRAS trong TR-025 hay TR-059). Như vậy, trong TR-025 và TR-059, mạng kết tập đều dựa
trên nền tảng ATM, còn trong TR-101 mạng kết tập là Ethernet.
Hình trên mô tả kiến trúc mạng theo khuyến nghị TR-101. Sự thay đổi bao gồm các đặc điểm cơ bản
sau
Giao diện V sử dụng Ethernet làm giao thức truyền tải, không sử dụng ATM
Mạng thu gom là Ethernet
Hỗ trợ sử dụng hai hay nhiều BNG
Cung cấp dịch vụ tốc độ cao hơn
Tính khả dụng cao hơn (high availability)
Giao diện U có thể hỗ trợ khung Ethernet trực tiếp trên DSL.
Dưới đây là một số thông tin mô tả về các thành phần trong mô hình tham chiếu TR-101.
Hình 2.4 Mô hình tham chiếu TR-101
48
2.5.1.2.1 Giao diện U
Mô tả ngăn giao thức
Tùy chọn a đến d được mô tả trong TR-043
o Tùy chọn a: IPoEoATM
o Tùy chọn b: PPPoEoATM
o Tùy chọn c: IPoATM
o Tùy chọn d: PPPoATM
Tùy chọn e, f được sử dụng trong trường hợp hỗ trợ khung Ethernet trực tiếp và được gọi là
IPoE hay PPPoE.
2.5.1.2.2 Nút truy nhập (Access node)
Access node là điểm thu gom đầu tiên của mạng truy nhập DSL, có khả năng:
Kết nối với lớp ATM
Có giao diện Ethernet ở hướng lên (uplink)
Khi cung cấp ATM ở giao diện U, access node có chức năng kết nối giữa ATM ở phía người
dùng và Ethernet ở phía mạng, cung cấp chuyển đổi giao thức, xác định mạch vòng truy nhập
(access loop), chất lượng dịch vụ (QoS), an ninh (security), bảo trì , bảo dưỡng, quản lý
(OAM).
Hỗ trợ Native Ethernet framing.
Hỗ trợ Multicast.
Hỗ trợ tách biệt người dùng (user isolation).
Hình 2.5 Chồng giao thức giao diện U
49
2.5.1.2.3 Giao diện V
Giao diện V cung cấp các chức năng sau
Thu gom lưu lượng
Phân biệt lớp các dịch vụ (class of service)
Ngăn cách (isolation) và dò vết (traceability) người dùng
Vì mạng kết tập là Ethernet nên cả Access Node và BNG đều trang bị giao diện Ethenet, do đó giao
diện V là Ethernet. Cơ chế phân tách các mạng Ethernet thành các mạng LAN ảo (VLAN) sử dụng
giao thức 802.1q và được bổ sung trong 802.1ad. Các thẻ VLAN (VLAN tag) cho phép nhóm các lưu
lượng có chung tính chất, mức độ dịch vụ thành một VLAN có VID=x, các nhóm lưu lượng khác
thành một VLAN có VID=y. Như vậy chúng ta đã đánh dấu được lớp các dịch vụ nhờ sử dụng trường
ưu tiên gồm 3 bit (3-bit priority) và do đó phân biệt được các dịch vụ này.
Ngoài ra, giao diện V còn cho phép lồng 2 thẻ VLAN (double tagging) để cung cấp một tổ hợp 16
triệu (224) VLAN khác nhau. Giao diện U có thể cung cấp thẻ VLAN gọi là C-VLAN tag bên trong
(inner tag). Giao diện V cung cấp thẻ VLAN gọi là S-VLAN tag bao bên ngoài (outer tag).
Hình 2.6 Chức năng kết nối ATM-Ethernet
Hình 2.7 Chồng giao thức giao diện V
50
2.5.1.2.4 Mạng thu gom Ethernet
Các mạng kết tập Ethernet cần phải cung cấp các tính năng mà mạng dựa trên ATM cung cấp, ngoài ra
nó còn cung cấp các tính năng khác
Hỗ trợ ưu tiên lưu lượng (prioritize traffic) để điều kiển nghẽn
Hỗ trợ Multicast
Cung cấp tính năng khả dụng cao
Hỗ trợ kết nối 802.1ad
Ngăn tách người dùng
Mạng thu gom phải hỗ trợ các mạng truy nhập đã triển khai và mạng Metro Ethernet. Đồng thời phải
hỗ trợ các tính năng multicast. Dưới đây là một số mô hình mạng thu gom Ethernet
2.6 Công nghệ Ethernet quang (Gigabit Ethernet - GbE)
Hiện nay, Ethernet chiếm tới 85% trong ứng dụng mạng LAN. Chuẩn Gigabit Ethernet có thể sử dụng
để mở rộng dung lượng LAN tiến tới MAN và thậm chí cả đến WAN nhờ các card đường truyền
Gigabit trong các bộ định tuyến IP. Những card này có giá thành rẻ hơn 5 lần so với card đường truyền
cùng dung lượng sử dụng công nghệ SDH. Nhờ đó, Gigabit Ethernet trở nên hấp dẫn trong môi trường
Metro để truyền tải lưu lượng IP qua các mạch vòng WDM hoặc thậm chí cho cả các tuyến WDM cự
ly dài. Hơn thế nữa, các cổng Ethernet 10 Gbit/s đã được chuẩn hoá.
Mạng Ethernet tốc độ bit thấp (ví dụ 10Base-T hoặc 100Base-T) sử dụng kiểu truyền hoàn toàn song
công, ở đây băng tần truyền dẫn hiệu dụng được chia sẻ giữa tất cả người sử dụng và giữa hai hướng
truyền dẫn. Để kiểm soát sự truy nhập vào băng tần chia sẻ có thể dử dụng công nghệ CSMA-CD.
Điều này sẽ giảm giới hạn kích thước vật lý của mạng vì thời gian chuyển tiếp không vượt quá “khe
thời gian” có độ dài khung nhỏ nhất (chẳng hạn 512 bit đối với 10 Base-T và 100 Base-T.
Khi Gigabit Ethernet (1000 Base-X) sử dụng kiểu song công nó trở thành một phương pháp tạo khung
và bao gói đơn giản và tính năng CSMA-CD không còn được sử dụng. Chuyển mạch Ethernet cũng
được sử dụng để mở rộng tô-pô mạng thay thế cho các tuyến điểm-điểm.
Hình 2.8 Mô hình mạng thu gom Ethernet
51
Độ dài cực đại của Gigabit Ethernet là 1500 byte nhưng có thể mở rộng tới 9000 byte (khung jumbo)
trong tương lai. Tuy nhiên, kích thước tải lớn hơn sẽ khó tương hợp với các chuẩn Ethernet trước đây
và hiện tại cũng chưa có chuẩn nào cho vấn đề này.
Khung Ethernet được mã hoá trong sóng mang quang sử dụng mã 8B/10B. Trong 8B/10B mỗi byte
mã hoá sử dụng 10 bit nhằm để đảm bảo mật độ chuyển tiếp phù hợp trong tín hiệu khôi phục đồng
hồ. Do đó thông lượng đầu ra 1 Gbit/s thì tốc độ đường truyền là 1,25 Gbit/s. Việc mã hoá cũng phải
đảm bảo chu kỳ trống được lấp đầy ký hiệu có mật độ chuyển tiếp phù hợp giữa trạng thái 0 và 1 khi
các gói không được phát đi nhằm đảm bảo khả năng khôi phục đồng hồ.
Gigabit Ethernet cung cấp một số CoS như định nghĩa trong tiêu chuẩn IEEE 802.1Q và 802.1P.
Những tiêu chuẩn này dễ dàng cung cấp CoS qua Ethernet bằng cách gắn thêm thẻ cho các gói cùng
chỉ thị ưu tiên hoặc mức dịch vụ mong muốn cho gói. Những thẻ này cho phép tạo những ứng dụng
liên quan đến khả năng ưu tiên của gói cho các phần tử trong mạng.
2.7 802.1ad (Q inQ )
Công nghệ đóng gói VLAN (VLAN Stacking, VLAN Tunneling) dữ liệu khách hàng phân
chia độc lập với những đối tượng dữ liệu khác.
802.1Q VLAN hạn chế số lượng VLAN (cho người dùng) do thẻ VLAN định nghĩa trong
IEEE 802,1Q chỉ có 12 bit. (4096 VLAN).
Trong công nghệ QinQ (802.1ad), bên cạnh trường VLAN Tagging 12 bit truyền thống
(802.1q), bổ sung thêm một trường Q in Q được thiết kế để mở rộng số VLAN xấp xỉ 16 triệu.
Trường CoS (3 bit) cho phép phân chia được 8 loại yêu cầu chất lượng dịch vụ khác nhau.
Các gói tin có thể được đánh dấu tùy theo dịch vụ hoặc tùy theo khách hàng.
52
2.8 Mô hình mạng MANE đích
Trong giai đoạn hiện nay, mạng Metro Ethernet đang từng bước được triển khai. Mô hình chung của
hệ thống mạng như sau
Các core switch kết nối vào mạng lõi của MANE thông qua các PE/BRAS. Dự kiến, khi xây
dựng hoàn tất, mỗi mạng MAN sẽ kết nối vào mạng lõi của NGN qua 2 PE kết nối full-mesh
với 2 core switch của MAN. Kết nối từ core switch đến PE thường là kết nối GE.
Phần truy nhập bao gồm các DSLAM, các thiết bị MSAN, và các thiết bị Carrier Ethernet
khác (còn gọi là các access switch).
o Các DSLAM kết nối dạng sao đến các access switch bằng các giao diện GE.
o Kết nối giữa các access switch và các core switch có thể theo cấu trúc dạng vòng,
dạng mesh hoặc dạng sao sử dụng các giao diện GE.
Hình 2.9 Mô hình MANE đích
53
o
2.8.1 Các yêu cầu chung đối với mạng MANE
Cung cấp đa dạng dịch vụ: MANE cung cấp một cơ sở hạ tầng thống nhất sẵn sàng cho các
loại hình dịch vụ đa dạng: HSI, VoIP, IPTV, Tripple-play, ELine, ELAN…
Hỗ trợ QoS: đảm bảo End-to-End QoS cho các kết nối, có các cơ chế điều khiển băng thông
cho các kết nối, phân loại dịch vụ, điều khiển nghẽn…
Độ sẵn sàng cao: có các cơ chế tự động phục hồi kết nối khi có sự cố xảy ra (50ms), tránh sự
cố tại một vài điểm có thể ảnh hưởng đến dịch vụ của toàn mạng.
Hiêu năng cao: băng thông lớn, trễ thông tin nhỏ…
An ninh, an toàn: có các cơ chế xác thực, áp dụng các chính sách an ninh mạng, phòng chống
các hình thức tấn công.
Độ linh động cao, khả năng mở rộng dễ dàng.
Sử dụng các giao thức, phương thức đã được tiêu chuẩn hóa.
Khả năng quản lý tập trung, thiết lập các thông số dịch vụ dễ dàng.
Tối ưu hóa chi phí
Sử dụng các thiết bị Carrier Ethernet Switch (CES) tạo thành mạng MAN truyền tải
IP/Ethernet.
Kiến trúc mạng: đấu vòng (Ring), sao (Star) hoặc nối tiếp trong các trường hợp bắt buộc.
Sử dụng các cổng kết nối nx1GE hoặc nx10GE qua cáp quang.
Hình 2.10 Sơ đồ tóm tắt các công nghệ có thể được sử dụng cho MANE
54
2.8.2 Một số khuyến nghị cho lớp truy nhập (Access)
Bao gồm các CES lắp đặt tại các trạm Viễn thông, kết nối với nhau và kết nối tới ring core
bằng cáp quang trực tiếp.
Tùy theo điều kiện, lớp truy nhập có thể sử dụng kết nối dạng hình sao, ring (trong một ring
tối đa từ 4 - 6 thiết bị CES), hoặc đấu nối tiếp nhau (tối đa đấu nối tiếp từ 4 - 6 thiết bị CES).
Để đảm bảo an toàn các vòng Ring Access sẽ được kết nối tới 2 thiết bị Core CES khác nhau.
Vị trí lắp đặt các CES truy nhập thường đặt tại các điểm thuận tiện cho việc thu gom truyền
dẫn kết nối đến các thiết bị truy nhập (như MSAN/IP-DSLAM,…)
Kết nối tới mạng Core IP/MPLS: Để đảm bảo mạng hoạt động ổn định cao, kết nối từ mạng
MANE tới mạng trục IP/MPLS NGN sẽ thông qua 2 thiết bị core CES của mạng MANE (để
dự phòng và phân tải lưu lượng). Các thiết bị MSAN / IP DSLAM cũng như các khách hàng
lớn sử dụng thuê bao FE/GE sẽ chỉ được đấu và các Access CES (không đấu vào Core CES)
để đảm bảo an toàn cho mạng
2.9 Cung cấp dịch vụ qua MANE
2.9.1 Kết nối IP DSLAM, MSAN, Switch lớp 2 vào mạng MANE
Mạng MANE gồm các thiết bị: BRAS (kết cuối dịch vụ Internet), PEAGG (thiết bị MAN Core), UPE
(thiết bị MAN Access). Thiết bị mạng truy nhập (IP DSLAM, MSAN, Switch lớp 2, thiết bị mạng truy
nhập quang) sẽ đấu nối vào UPE của mạng MANE theo sơ đồ hình sao, chuỗi. Để đảm bảo chất lượng
dịch vụ và đơn giản cho việc cấu hình, quản lý thiết bị, sơ đồ đấu nối thiết bị mạng truy nhập theo kiểu
vòng sẽ không được sử dụng.
Trong trường hợp cáp quang thường xuyên bị đứt, nhằm mục đích dự phòng, các IP DSLAM (MSAN,
Switch lớp 2,…) có thể đấu nối theo kiểu vòng dự phòng “nguội”. Nghĩa là vòng IP DSLAM (MSAN,
55
Switch lớp 2,…) sẽ được cấu hình để lưu lượng các dịch vụ chạy về 1 hướng của vòng (hướng chính),
hướng còn lại (hướng dự phòng) của vòng chỉ được nối cáp quang mà chưa được cấu hình để chạy
dịch vụ. Chỉ khi hướng chính của vòng IP DSLAM (MSAN, Switch lớp 2,…) bị đứt thì mới bắt đầu
cấu hình trên IP DSLAM (MSAN, Switch lớp 2,…) và UPE của mạng MANE để lưu lượng dịch vụ
chạy theo hướng dự phòng.
2.9.2 Cấu hình thiết bị trong mạng MANE để cung cấp dịch vụ
Khi cung cấp dịch vụ trong mạng MAN-E, các thiết bị trong mạng MAN-E và mạng truy nhập sẽ phân
biệt dịch vụ qua chỉ số S-VLAN trên gói dữ liệu. Việc phân bổ dải địa chỉ S-VLAN và cấp phát S-
VLAN được thực hiện trên thiết bị mạng MAN-E hay thiết bị mạng truy nhập sẽ tùy thuộc vào dịch
vụ.
2.9.2.1 Dịch vụ HSI
2.9.2.1.1 Khách hàng là cá nhân
Đối với dịch vụ High Speed Internet (HSI), mạng MANE của SP đóng vai trò là mạng truyền tải và
BRAS là thiết bị kết cuối dịch vụ. Các thiết bị tham gia vào cung cấp dịch vụ HSI từ phía SP đến thuê
bao bao gồm
BRAS
PEAGG ( Router Core của mạng MANE)
UPE (Router Access của mạng MANE)
IP DSLAM / MSAN / FTTx (các thiết bị thuộc mạng truy nhập)
Thiết bị truy nhập phía khách hàng (modem xDSL, router,…)
2.9.2.1.2 Khách hàng là SMB (Small/Medium Business)
Dịch vụ SMB là dịch vụ mà ngoài việc truy nhập Internet như các khách hàng cá nhân thông
thường, ở phía mạng khách hàng còn có thể có các server (Ví dụ: mail server, web server,
content server),… Dịch vụ SMB chia làm 2 loại
o Khách hàng có router.
o Khách hàng không có router (sử dụng switch).
Hình 2.12 Sơ đồ tổng quan cơ chế hoạt động của dịch vụ HSI
56
Cơ chế hoạt động của dịch vụ SMB với khách hàng có router
SOHO (Small Office HOme) gateway gửi IpoE request.
Switch thu gom (Agg switch) đóng gói S-VLAN vào gói tin.
UPE thiết lập VPLS với PE-AGG.
PE-AGG kết cuối VPLS và gửi request lên router PE của IP Core.
Router PE cấp phát 1 địa chỉ IP public cho SOHO gateway.
Các server gửi DHCP request đến SOHO gateway.
SOHO gate way cấp phát địa chỉ cho NAT server và các server khác.
57
Cơ chế hoạt động của dịch vụ SMB với khách hàng không có router
Các server gửi IPoE request.
Switch thu gom đóng gói S-VLAN.
UPE thiết lập phiên VPLS với PEAGG.
PEAGG kết cuối phiên VPLS và gửi request đến PE của IP Core.
PE cấp phát cho mỗi server của doanh nghiệp 1 địa chỉ IP public.
Hình 2.14 Dịch vụ SMB, khách hàng không có Gateway
58
Hình 2.15 Sơ đồ tổng thể dịch vụ HSI trên IP DSLAM / MSAN
Hình 2.16 Sơ đồ tổng thể dịch vụ HSI trên Switch L2
59
2.9.2.2 Dịch vụ VPN L2
2.9.2.2.1 Dịch vụ E-LINE
Dịch vụ E-LINE dành cho khách hàng doanh nghiệp có nhu cầu kết nối VPN L2 điểm-điểm.
Cơ chế hoạt động của dịch vụ E-LINE
Đối với dịch vụ E-LINE nội tỉnh, UPE sẽ thiết lập VLL trực tiếp với nhau (mô hình bên trái
trong hình 48).
Đối với dịch vụ E-LINE liên tỉnh, UPE thiết lập VLL với PEAGG, lưu lượng giữa các tỉnh
được chuyển qua IP Core (mô hình bên phải hình 48).
Tag dot1Q được gán cho khách hàng, mỗi khách hàng khác nhau có VC-ID khác nhau. UPE
và PEAGG không phải học địa chỉ MAC.
Với các khách hàng có nhu cầu truy nhập Internet, PE sẽ kết cuối VLAN.
Hình 2.17 Dịch vụ E-LINE
60
2.9.2.2.2 Dịch vụ E-LAN
Dịch vụ E-LAN dành cho khách hàng doanh nghiệp có nhu cầu kết nối VPN L2 đa điểm – đa điểm.
Cơ chế hoạt động của dịch vụ E-LAN như sau
Đối với cả dịch vụ E-LAN nội tỉnh và liên tỉnh, UPE sẽ thiết lập VPLS với 2 PEAGG.
Khách hàng doanh nghiệp khác nhau được định nghĩa trong các VSI khác nhau, 1 khách hàng
1 VLAN.
PE-AGG không kích hoạt tính năng split horizon. Các PE-AGG không thiết lập VPLS peer
với nhau để tránh lặp vòng (loop) với IP Core. Để bảo vệ link, tính năng MAC-withdraw được
kích hoạt trên PEAGG.
Tag dot1Q được gán cho khách hàng tại UPE. Tính năng học địa chỉ MAC trên VSI được kích
hoạt trên PEAGG, nhưng số lượng MAC học được cần phải bị giới hạn.
Các khách hàng nối đến cùng UPE có thể liên lạc nội bộ với nhau trên VSI.
2.10 Kết luận chương
Triển khai mạng MAN là một nhu cầu cấp bách nhằm đáp ứng nhu cầu cung cấp dịch vụ trao
đổi, liên kết chia sẻ dữ liệu ngày càng gia tăng.
Mạng cần có khả năng tích hợp đa dịch vụ băng rộng trên cùng một cơ sở hạ tầng tạo điều
kiện để quản lý thống nhất dễ dàng cho quản lý, mở rộng, nâng cấp, tiết kiệm chi phí đầu tư.
Mạng có năng lực truyền tải, phục vụ kết nối với các mạng khác, cung cấp đa giao diện, đa tốc
độ.
Hình 2.18 Dịch vụ E-LAN
61
Chương 3. PHÂN TÍCH KIẾN TRÚC VÀ CÁC THÀNH PHẦN AN NINH
X.805 DO ITU-T ĐỀ XUẤT
3.1 Tóm tắt chương
Nội dung chương này tập trung mô tả kiến trúc an ninh X.805 do ITU-T đề xuất
3.2. Phân tích các lớp (Layer) an ninh trong X.805
Để cung cấp giải pháp an ninh từ đầu cuối đến đầu cuối, các biện pháp an ninh phải được áp dụng cho
từng thiết bị (hay thực thể chức năng), một thiết bị hay thực thể chức năng nào đó được phân lớp trừu
tượng dưới dạng lớp hạ tầng, lớp dịch vụ và lớp ứng dụng - điều này tạo ra khái niệm lớp an ninh.
Điều này tạo ra sự phân cấp trong việc bảo vệ các thiết bị hay thực thể chức năng, các thực thể dường
như là được bảo vệ theo vòng. Việc phân lớp an ninh trong từng thiết bị hay thực thể chức năng tạo
điều kiện thuận lợi cho việc xác định cách thức bảo vệ các phần tử mạng lớp cao dựa trên sự bảo vệ ở
lớp dưới. Trong khuyến nghị này, có ba lớp an ninh được định nghĩa đó là
Lớp an ninh cơ sở hạ tầng
Lớp an ninh các dịch vụ
Lớp an ninh các ứng dụng
Tất cả những lớp an ninh này xây dựng dựa vào nhau để tạo thành giải pháp an ninh tổng thể cho
mạng. Cách thức xử lý theo mô hình phân lớp sẽ thực hiện như sau: Các lỗ hổng an ninh được xử lý
tại lớp an ninh cơ sở hạ tầng, sau đó xử lý tại lớp dịch vụ, cuối cùng các lỗ hổng an ninh được xử lý tại
mức ứng dụng. Hình 3.1 minh hoạ việc áp dụng các biện pháp an ninh vào các lớp an ninh để khắc
phục các lỗ hổng an ninh và giảm thiểu nguy cơ tấn công.
3.2.1 Lớp an ninh cơ sở hạ tầng
Hình 3.1 Áp dụng các biện pháp an ninh vào các lớp an ninh
62
Lớp an ninh cơ sở hạ tầng bao gồm tập hợp các phương tiện truyền dẫn cũng như các phần tử mạng
được bảo vệ bằng các biện pháp an ninh. Lớp cơ sở hạ tầng là thành phần cơ bản xây dựng nên mạng,
các dịch vụ mạng và các ứng dụng trên đó. Các thành phần thường thấy trong lớp cơ sở hạ tầng mạng
đó là: router, switch và các server cũng như các tuyến truyền thông nối giữa các thiết bị đó.
3.2.2 Lớp an ninh các dịch vụ
Lớp an ninh các dịch vụ giải quyết các vấn đề an ninh của các dịch vụ mà các nhà cung cấp đưa tới
khách hàng. Những dịch vụ này bao gồm các dịch vụ truyền tải cơ bản cũng như các dịch vụ hỗ trợ
dùng để hỗ trợ các dịch vụ khác (người sử dụng dùng trực tiếp dịch vụ này). Một số dịch vụ hỗ trợ
thường thấy đó là: Dịch vụ hỗ trợ người dùng truy cập Internet (các dịch vụ AAA, dịch vụ DHCP,
dịch vụ DNS,..), một số dịch vụ hỗ trợ giá trị gia tăng như là dịch vụ thông tin vị trí, dịch vụ chat,…
Lớp an ninh dịch vụ được dùng để bảo vệ các nhà cung cấp dịch vụ và khách hàng của họ, cả hai đối
tượng này là mục tiêu của các nguy cơ. Chẳng hạn, kẻ tấn công có thể nhằm vào nhà cung cấp dịch vụ
để hạn chế khả năng cung cấp dịch vụ của họ hay làm gián đoạn dịch vụ cho một khách hàng nào đó
(có thể là một tổng công ty) của nhà cung cấp dịch vụ.
3.2.3 Lớp an ninh các ứng dụng
Lớp an ninh ứng dụng tập trung vào an ninh cho các ứng dụng chạy trên mạng được truy nhập bới
khách hàng. Những ứng dụng này được thực thi nhờ sự hỗ trợ của các dịch vụ mạng và bao gồm một
số ứng dụng điển hình như ứng dụng truyền file (FTP), ứng dụng duyệt Web (HTTP/HTTPS). Một số
ứng dụng cơ bản như tra số điện thoại, ứng dụng thư điện tử và thư thoại, thương mại điện tử,… Các
ứng dụng có thể được cung cấp bởi nhà cung cấp dịch vụ ứng dụng (ASP) thứ 3.
3.3 Phân tích các mặt phẳng (plane) an ninh trong X.805
Trong mạng, để tiện cho việc bảo vệ thông tin người ta phân biệt các hoạt động ra thành các loại hoạt
động khác nhau. Mặt phẳng an ninh là kiểu hoạt động mạng nào đó được bảo vệ bằng các biện pháp an
ninh. Trong khuyến nghị này luận văn chỉ đề cập đến 3 kiểu hoạt động cần được bảo vệ ứng với 3 mặt
phẳng an ninh
Mặt phẳng an ninh quản lý
Mặt phẳng an ninh điều khiển
Mặt phẳng an ninh người sử dụng
Những mặt phẳng an ninh này đề cập đến các nhu cầu về an ninh kết hợp với các hoạt động quản lý
mạng, hoạt động báo hiệu và điều khiển mạng và hoạt động liên quan đến người sử dụng tương ứng.
Các mạng nên được thiết kế theo cách để làm sao các sự kiện xảy ra đối với mặt phẳng an ninh này
được cách ly hoàn toàn với các mặt phẳng an ninh khác.
63
3.3.1 Mặt phẳng an ninh quản lý
Mặt phẳng an ninh quản lý liên quan đến việc bảo vệ các chức năng OAM&P của các phần tử mạng,
các phương tiện truyền dẫn, các hệ thống hỗ trợ (các hệ thống hỗ trợ vận hành, hệ thống hỗ trợ kinh
doanh, hệ thống hỗ trợ khách hàng,…) và các trung tâm dữ liệu. Mặt phẳng an ninh quản lý hỗ trợ các
chức năng liên quan đến lỗi hệ thống, dung lượng hệ thống, quản trị hệ thống, độ khả dụng và an ninh
hệ thống.
3.3.2 Mặt phẳng an ninh điều khiển
Mặt phẳng an ninh điều khiển liên quan đến việc bảo vệ các hoạt động nhằm cho phép phân bổ thông
tin, các dịch vụ và ứng dụng một cách hiệu quả trên mạng. Hoạt động trong mặt phẳng điều khiển
thường bao gồm các dòng thông tin giữa các thiết bị trong mạng để xác định đường đi tốt nhất trong
mạng. Kiểu thông tin này thường được gọi là thông tin điều khiển hay báo hiệu. Thành phần mạng
dùng để vận chuyển những kiểu gói tin này có thể dùng chung hay tách rời khỏi lưu lượng người sử
dụng của nhà cung cấp dịch vụ.
3.3.3 Mặt phẳng an ninh người sử dụng
Mặt phẳng an ninh người sử dụng đề cập đến các vấn đề an ninh của việc truy nhập và sử dụng mạng
của nhà cung cấp dịch vụ từ phía khách hàng. Mặt phẳng này liên quan đến dòng lưu lượng của người
sử dụng.
3.4 Phân tích các nguy cơ (threat) an ninh trong X.805
Kiến trúc an ninh xác định nên một lược đồ và một tập các nguyên lý dùng để mô tả giải pháp an ninh
từ đầu cuối đến đầu cuối. Kiến trúc này cũng chỉ ra các vấn đề an ninh cần phải được giải quyết để
ngăn chặn các nguy cơ có chủ định cũng như các nguy cơ ngẫu nhiên. Các nguy cơ được nêu ra ở đây
được mô tả trong ITU-T Rec.X.800 (1991) là
Phá huỷ thông tin hay các tài nguyên khác (Destruction of Information & Resource)
Sửa đổi thông tin (Information Corruption and Modification)
Đánh cắp thông tin hay các tài nguyên khác (Theft of Information)
Làm lộ thông tin (Disclosure of Information)
Làm gián đoạn các dịch vụ (Interruption of Service)
3.5 Phân tích các giải pháp (dimension) an ninh trong X.805
Đứng trước các nguy cơ an ninh hiện có, các biện pháp an ninh cần thiết phải được thực hiện một cách
chặt chẽ cho hệ thống. Xem xét một cách có hệ thống, có thể thấy nhìn chung các biện pháp an ninh
được phân chia thành một số biện pháp dưới đây. Mỗi biện pháp có thể được thực hiện bởi các cơ chế
khác nhau, do đó ứng với mỗi biện pháp chúng ta cũng đề cập luôn đến phần cơ chế để thực hiện biện
pháp đó.
64
3.5.1 Điều khiển truy nhập (Access Control)
Phương pháp này nhằm hạn chế và điều khiển việc truy nhập vào các phần tử mạng, các dịch
vụ và các ứng dụng.
Một số cơ chế phổ biến để thực hiện biện pháp này đó là: Sử dụng mật khẩu, sử dụng danh
sách điều khiển truy nhập (ACL), sử dụng Firewall.
3.5.2 Nhận thực người sử dụng (Authentication)
Phương pháp này sử dụng nhận dạng người sử dụng để kiểm tra tính đúng đắn của người sử
dụng.
Một số cơ chế phổ biến để thực hiện biện pháp này: sử dụng khoá chia sẻ, sử dụng hạ tầng
khoá công cộng, sử dụng chữ ký số, sử dụng chứng chỉ số.
3.5.3 Chứng minh tránh phủ nhận (Non-Reputation)
Phương pháp này nhằm ngăn chặn khả năng người sử dụng nào đó từ chối hành động mà họ
đã thực hiện vào mạng.
Một số cơ chế phổ biến để thực hiện biện pháp này chúng ta thường thấy đó là: sử dụng cơ chế
ghi lại sự kiện hệ thống, sử dụng chữ ký số.
3.5.4 Bảo mật dữ liệu (Confidentiality of Data)
Phương pháp này nhằm đảm bảo tính bí mật cho dữ liệu của người sử dụng tránh không được
biết bởi người không mong muốn.
Cơ chế phổ biến để thực hiện biện pháp này đó là: mật mã
3.5.5 Đảm bảo an toàn trong quá trình truyền dữ liệu (Communication)
Phương pháp này nhằm đảm bảo dòng thông tin chỉ đi từ nguồn đến đích mong muốn, các
điểm trung gian không muốn được biết thông tin không thể truy nhập vào dòng thông tin.
Một số cơ chế phổ biến để thực hiện biện pháp này đó là: sử dụng VPN thông qua MPLS hay
một số giao thức như là L2P,..
3.5.6 Đảm bảo toàn vẹn dữ liệu (Data Integrity)
Phương pháp này nhằm đảm bảo rằng dữ liệu nhận được và được phục hồi là giống với dữ liệu
đã được gửi đi từ nguồn.
Một số cơ chế phổ biến để thực hiện biện pháp này là: sử dụng thuật toán băm MD5, sử dụng
chữ ký số, sử dụng phần mềm chống Virus.
65
3.5.7 Đảm bảo tịnh khả dụng (Avaiability)
Phương pháp này nhằm đảm bảo cho người sử dụng hợp lệ luôn có thể sử dụng các phần tử
mạng, các dịch vụ và các ứng dụng.
Một số cơ chế phổ biến để thực hiện biện pháp này là: sử dụng hệ thống phát hiện / ngăn ngừa
truy nhập trái phép (IDS / IPS), sử dụng cơ chế dự phòng (Reduntdance).
3.5.8 Đảm bảo tính riêng tư cho người sử dụng (Privacy)
Phương pháp này nhằm đảm bảo tính riêng tư cho nhận dạng và việc sử dụng mạng của người
sử dụng.
Một số cơ chế phổ biến để thực hiện biện pháp này là: sử dụng NAT, sử dụng mật mã.
3.6 Quan hệ giữa các nguy cơ và các giải pháp an ninh
Phần giao giữa lớp an ninh với mặt phẳng an ninh thể hiện một khía cạnh an ninh (module dịch vụ an
ninh), tại đó các biện pháp an ninh được áp dụng để chống lại các nguy cơ an ninh. Bảng 3.1 đưa ra
mối quan hệ giữa các biện pháp an ninh và nguy cơ an ninh. Quan hệ này có thể áp dụng cho mỗi khía
cạnh an ninh.
Chữ “Y” trong mỗi ô thể hiện việc nguy cơ an ninh ở cột tương ứng sẽ bị ngăn chặn bởi biện pháp an
ninh tại hạ tầng tương ứng. Đây là một bảng rất quan trọng, dựa vào đó có thể tìm ra các loại giải
pháp có thể đối với một loại nguy cơ.
Bảng 3.1 Mối quan hệ giữa các nguy cơ và biện pháp an ninh
66
3.7 Kết luận chương
Có thể thấy bảng phân loại các nguy cơ và giải pháp an ninh của ITU-T X.805 là một gợi ý rất quan
trọng dù không đưa ra các giải pháp cụ thể. Dựa trên các đặc điểm này, trong các chương sau Học viên
sẽ đưa ra đề xuẩt về cách thức áp dụng ITU-T X.805 để giải quyết bài toán an ninh mạng NGN.
67
Chương 4. PHÂN TÍCH ÁP DỤNG KHUYẾN NGHỊ X.805 CHO THIẾT
KẾ AN NINH MẠNG NGN
4.1 Tóm tắt chương
Chương này trình bày cách tiếp cận và những bổ sung cần thiết cho X.805 do nhóm nghiên cứu và học
viên tại CDiT đề xuất. Kết quả của chương này là đưa ra được một quy trình có độ tin cậy cao làm sở
cữ khoa học vững chắc cho việc đề xuất giải pháp và những khuyến nghị đảm bảo an ninh cho các
thiết bị mạng trong NGN của SP.
4.2 Một số thuật ngữ khái niệm cần thống nhất
4.2.1 Phần tử mạng (NE: Network Element)
Là một thành phần cấu thành mạng, thông thường đó là một thiết bị mạng (IP DSLAM, MSAN, UPE,
PEAGG, BRAS…)
4.2.2 Yêu cầu an ninh (SR: Security Requirement)
Để đảm bảo an ninh, mạng nói chung và các NE cần đảm bảo các SR (có khả năng chống tràn bảng
CAM, chống giả mạo MAC hay VLAN,…). Các SR được chia làm 3 cấp độ theo thứ tự tăng dần của
độ bắt buộc bao gồm:
- NÊN (SHOULD)
- CÓ THỂ (MAY)
- PHẢI hoặc BẮT BUỘC (MUST)
hoặc ở dạng phủ định như:
- KHÔNG NÊN (SHOULD NOT)
- CÓ THỂ KHÔNG (MAY NOT)
- KHÔNG ĐƯỢC (MUST NOT)
4.2.3 Phần tử an ninh (NSE: Security Element)
NSE là một NE đặc biệt, nó chỉ thực hiện chức năng an ninh. Mục đích của NSE là đảm bảo an ninh
cho các NE khác trong mạng. Trong các giải pháp an ninh cho mạng, ngoài Yêu cầu về an ninh cho
các NE của mạng, đối với các mạng bản thân các NE tự thân không thể đảm bảo được an ninh từ các
nguy cơ bên ngoài thì cần có sự trợ giúp của các NSE. Ví dụ điển hình của NSE có thể kể đến như
Firewall, IPS, IDS, SBG,….
4.2.4 Miền an ninh (SD: Security Domain)
SD là một khái niệm logic, nó có thể là một phân đoạn mạng, một thiết bị, hay đơn thuần chỉ là một
phân lớp (theo mô hình OSI) hay một giao thức,… Một SD là một đối tượng cần đảm bảo an ninh và
có những yêu cầu an ninh đặc thù. Đây là khái niệm do CDiT đề xuất và sử dụng xuyên suốt báo cáo
68
này. Mạng NGN trước khi áp dụng X.805 để xây dựng giải pháp an ninh cần được phân rã ra các SD
phù hợp.
4.3 Hiện trạng nghiên cứu về an ninh NGN của các tổ chức chuẩn hoá
Tại Việt Nam, các công việc nghiên cứu liên quan đến lý thuyết cũng như các liên quan đến xây dựng
phương án thực tế nhằm đảm bảo an toàn cho mạng NGN còn rất hạn chế.
Trên thế giới, vấn đề an ninh NGN trở thành tâm điểm và thu hút rất nhiều sự quan tâm của cả các tổ
chức chuẩn hoá cũng như các nhà sản xuất thiết bị viễn thông.
Sau những nỗ lực chuẩn hoá về kiến trúc mạng cũng như những vấn đề xung quanh các tổ chức chuẩn
hoá lớn như ITU, ETSI, 3GPP… đã tập trung khá nhiều vào việc nghiên cứu an ninh cho NGN, các
chủ đề nghiên cứu trong an ninh cho NGN được thực hiện khá đa dạng, tuy nhiên hiện các chuẩn công
nghệ hoàn chỉnh giải quyết đến những vấn đề cụ thể trong an ninh NGN thì gần như chưa có.
Các nhà sản xuất thiệt bị lớn như Alcatel, Cisco, Huawei… bên cạnh giải pháp NGN mà họ đưa ra thì
đều cũng giới thiệu giải pháp an ninh cho mạng NGN. Gần như tất cả các hãng đều nhận ra tầm quan
trọng của vấn đề an ninh cho NGN khi được triển khai trên quy mô rộng, họ cho đó là điều bắt buộc
cần phải triển khai chứ không còn là sự tuỳ chọn, tuy nhiên qua các tài liệu mà học viên nghiên cứu
được thì các hãng chỉ đưa ra những vấn đề chung mang tính chất nguyên tắc và gợi mở còn chi tiết và
cách thức thực hiện giải pháp luôn là bí mật của từng hãng và không được công bố rộng rãi.
4.3.1 Lựa chọn framework an ninh
Trước hết chúng ta xem xét các công việc mà các tổ chức chuẩn hóa đã thực hiện liên quan đến vấn đề
an ninh cho NGN.
ITU: Trước đây trong phần phụ lục của khuyến nghị Y.2012 (Functional requirements and
architecture of the NGN release 1) có nêu ra chức nnăg của phần tử SBC - Session/border
control (S/BC) và gần đây ban hành khuyến nghị chính thức Y.2701 (4/2007) về Yêu cầu an
ninh cho NGN. Ngoài ra các chuẩn liên quan đến an ninh NGN của ITU gần như không có.
Một tập các khuyến nghị liên quan đến vấn đề an ninh của ITU đó là tập X.8xx, trong đó đáng
chú ý là X805 (10/2003): Kiến trúc an ninh từ đầu cuối đến đầu cuối cho mạng chuyển mạch
gói nói chung.
IETF: Các chuẩn công nghệ giải quyết vấn đề an ninh cho phần mạng truyền tải IP, không
phải cho các ứng dụng trên đó.
3GPP: Kiến trúc an ninh cho mạng truy nhập di động với kiến trúc điều khiển theo lõi IMS
hướng đến mạng hội tụ, tuy nhiên cũng chưa rõ ràng.
ETSI: Tổ chức này đã đưa ra các chuẩn công nghệ liên quan đến một số vấn đề an ninh của
NGN như: Phân tích nguy cơ, Yêu cầu an ninh, và Kiến trúc an ninh cho NGN theo IMS
nhưng còn rất chung chung mang tính nguyên tắc chưa thể áp dụng được.
Nhìn chung có thể thấy là khuyến nghị X.805 của ITU về Kiến trúc an ninh từ đầu cuối đến
đầu cuối cho các hệ thống truyền thông là một trong những nền tảng cho việc nghiên cứu vấn
đề an ninh trong các mạng gói và cũng là nền tảng để xây dựng các khuyến nghị khác về an
ninh từ đầu cuối đến đầu cuối. Mặc dù chuẩn công nghệ này áp dụng một cách tương đối tổng
quát cho mọi công nghệ mạng bên dưới (không phải với mục đích sử dụng cho riêng mạng
NGN) và hiện tại vẫn chưa có một tài liệu nào công bố về việc áp dụng chuẩn này cho mạng
69
NGN. Qua quá trình nghiên cứu các tài liệu chuẩn về vấn đề an ninh của một số tổ chức đó,
học viên xác định sẽ sử dụng khuyến nghị này để xây dựng một cơ sở lý thuyết chính cho việc
xây dựng giải pháp an ninh đối vói mạng NGN. Do đó, trong phần này học viên sẽ đi sâu phân
tích nội dung của khuyến nghị X.805, làm rõ được qui trình cách thức áp dụng của chúng. Và
trong phần tiếp sau đó, toàn bộ kết quả của việc phân tích trong phần này sẽ được áp dụng trực
tiếp sang mạng NGN, được diễn tả dưới ngôn ngữ của các phần tử trong NGN.
Khuyến nghị X.805 nhằm xây dựng được một tập các phần tử kiến trúc (các thành phần
trong kiến trúc) liên quan đến việc thực hiện chức năng an ninh tổng quát để có thể cung cấp
cơ chế an ninh từ đầu cuối đến đầu cuối (end-to-end security).
4.3.2 Phân tích khuyến nghị X.805
4.3.2.1 Đánh giá ưu nhược điểm của X.805
Ưu điểm
Là một Framework rất rõ ràng và bài bản.
Đưa ra đầy đủ định nghĩa vễ các Nguy cơ và các Giải pháp tổng quát tương ứng rất thuận lợi
cho việc xây dựng các Giải pháp an ninh end-to-end cho một đối tượng.
Nhược điểm
Chưa chỉ rõ loại nguy cơ xuất phát từ bên trong hay từ các tương tác bên ngoài.
Chỉ áp dụng đảm bảo an ninh theo kiến trúc end-to-end nên có thể bỏ sót các đối tượng an
ninh trong nội bộ đối tượng. Như vậy X.805 chỉ có hiệu quả khi đối tượng đầu vào đư
Các file đính kèm theo tài liệu này:
- LUẬN VĂN- NGHIÊN CỨU VÀ ĐỀ XUẤT GIẢI PHÁP AN NINH ĐẦU CUỐI CHO NGN.pdf