Luận văn Nghiên cứu và đề xuất giải pháp an ninh đầu cuối cho NGN

1 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Phạm Quý Phương NGHIÊN CỨU VÀ ĐỀ XUẤT GIẢI PHÁP AN NINH ĐẦU CUỐI CHO NGN LUẬN VĂN THẠC SĨ Hà Nội - 2010 2 LỜI MỞ ĐẦU Những năm qua với sự phát triển nhanh chóng của Công nghệ thông tin và truyền thông, nhu cầu và yêu cầu về chất lượng dịch vụ của người dùng ngày càng cao trên các loại hình dịch vụ như: thoại, truyền số liệu, gửi nhận Fax, các dịch vụ giá trị gia tăng mang tính chất tích hợp, đa dạng và tiện lợi. Các dịch vụ cung cấp qua nhiều kênh phân phối, nhiều chủng loại thiết bị đầu cuối khác nhau: truyền hình, điện thoại cố định, điện thoại di động, máy tính, thiết bị cá nhân, các điểm truy cập dịch vụ…Các dịch vụ phải có thể sử dụng và truy cập được tại bất kỳ đâu, không phụ thuộc vào không gian, thời gian. Trong môi trường kinh doanh năng động và đầy cạnh trang như hiện nay các doanh nghiệp rất cần các giải pháp và dịch vụ truyền thông chuyên nghiệp, hiện đại để giúp họ thu hút và chăm sóc được khách hàng  Khẳ năng cung cấp các kênh truyền thông để tự động phân phối thông tin về sản phẩm, dịch vụ doanh nghiệp đến với khách hàng nhanh chóng và tiện lợi, cho phép các doanh nghiệp nhận được các phản hồi từ khách hàng không hạn chế về thời gian và không gian.  Cung cấp các giải pháp và giao diện mở cho phép doanh nghiệp có thể dễ dàng triển khai, tích hợp với hệ thống của các nhà cung cấp hạ tầng truyền thông, tài chính ngân hàng và với các doanh nghiệp khác.  Tiết kiệm chi phí đầu tư để phát triển hệ thống, đội ngũ kỹ thuật, cơ sở hạn tầng, ít rủi ro, lợi nhuận cao và nhanh chóng thu hồi lại vốn. Yêu cầu của nhà cung cấp dịch vụ Viễn thông  Thu hút được nhiều khách hàng qua đó khai thác tối đa cơ sở hạ tầng truyền thông, tài chính và mang lại nhiều doanh thu.  Đáp ứng yêu cầu ngày càng cao về chất lượng và lọại hình dịch vụ vủa khách hàng. Khi cơ sở hạ tầng mạng Viễn thông đã ổn định và bão hoà thì dịch vụ sẽ trở thành nguồn doanh thu chính của các doanh nghiệp Viễn thông. Sự phong phú về dịch vụ sẽ là một trong các yếu tố thu hút khách hàng. Các nhà khai thác mạng Viễn thông rất cần việc quản lý mạng một cách tập trung qua đó có thể giám sát mạng và chất lượng một cách tốt nhất để cung cấp cho các khách hàng của mình với dịch vụ tốt nhất. Cấu trúc mạng Viễn thông hiện tại quá phức tạp Mạng Viễn thông thế hệ cũ đã tồn tại và phát triển gần 100 năm, trong 100 năm đó ít có sự thay đổi mang tính cách mạng và khoảng cách giữa các mốc chuyển đổi công nghệ cũng rất xa nhau (từ chuyển mạch cơ sang mạch điệ tử analog rồi đến chuyển mạch số, chuyển mạch gói,..). Các nhà cung cấp công nghệ Viễn thông khác nhau đã tạo ra các mạng lõi cung cấp các dịch vụ Viễn thông tồn tại dưới dạng những ”ốc đảo” như mạng chuyển mạch PSTN, mạng X25, mạng di động.. Khái niệm “ốc đảo” ở đây không những chỉ bởi sự ngăn cách về mặt công nghệ, sự cô lập về dịch vụ giữa các mạng (ví dụ: các dịch vụ trên mạng cố định và di động). Các rào cản cho việc hợp nhất các mạng này là chưa có một công nghệ được chuẩn hoá nào bao trùm được tất cả các công nghệ khác. 3 Cấu trúc mạng đóng tạo ra sự độc quyền của các nhà cung cấp hệ thống Thời gian trước đây do công nghệ chưa phát triển, các thiết bị Viễn thông là độc quyền của các công ty Viễn thông lớn. Các công nghệ (phần cứng/phần mềm) chuyên dụng được sử dụng trong các thiết bị này thường là bí mật công nghệ của các hãng và không được công bố rộng rãi. Do vậy, khi mua thiết bị chuyển mạch cơ sở của một hãng nào đó thì các thiết bị cấu thành khác như: Các trạm lắp đặt thuê bao ở xa, các bộ tập trung, các module chuyển mạch vệ tinh.. cũng phải chọn của chính hãng đó. Rất nhiều công ty dùng chính những hạn chề này để ép khách hàng. Cũng vì cấu trúc của các hệ thống chuyển mạch rất đóng nên các hãng sản xuất các phần cứng Viễn thông nhỏ lẻ cũng không có cơ hội tồn tại vì không có khả năng tương thích với các thiết bị của các hãng lớn khác. Việc cung cấp dịch vụ mới chậm và có nhiều bất cập Do kiến trúc ốc đảo trong mạng Viễn thông hiện tại nên các dịch vụ cũng chỉ giới hạn trong các ốc đảo này vì các công nghệ của các mạng đó quá khác nhau. Các dịch vụ bởi vậy cũng nghèo nàn và khó có cơ hội phát triển. Mặt khác, các dịch vụ mạng hiện tại thường do nhà khai thác Viễn thông cung cấp, được tích hợp luôn vào các thiết bị Viễn thông của nhà khai thác (ví dụ: các dịch vụ mạng thông minh hay di động). Quản lý mạng khó khăn Các nhà khai thác mạng Viễn thông trong quá trình số hoá mạng Viễn thông trong những năm qua đã cố gắng trang bị cơ sở hạ tầng Viễn thông số hiện đại và cố gắng tránh tình huống bị ép giá bằng cách trang bị các tổng đài của nhiều hãng khác nhau. Điều này nảy sinh sự phức tạp trong kiến trúc mạng, sự tương thích của các chủng loại thiết bị và sự phức tạp trong quản lý. Mạng NGN ra đời Các yếu tố trên đây đưa mạng Viễn thông phát triển đến một giai đoạn bước ngoặt mới có tính cách mạng đó là mạng Viễn thông thế hệ mới (NGN-Next Generation Network). Mạng NGN là vấn đề đang thu hút sự quan tâm của nhiều tổ chức Viễn thông lớn nhằm cho ra đời một mô hình cấu trúc mạng mới dựa trên nền tảng công nghệ hiện đại, đầu tư hiệu quả và đáp ứng nhu cầu phong phú về dịch vụ. Các tổ chức có thể kể đến như: ITU-T (Các nhóm SG16, SG11…)[1], IETF (Internet Engineering Task Force) [2], MSF (Multiservice Switching Forum)[3], ETSI[4].. 4 An ninh cho mạng NGN Với sự phát triển của các dịch vụ trên NGN hiện tại và tương lai, việc xây dựng mạng cung cấp dịch vụ cần đi kèm với việc thực hiện đảm bảo an toàn cho mạng. Đó chính là điểm khác biệt tạo nên tính cạnh tranh giữa các nhà cung cấp dịch vụ. Hiện tại có thể nói các chuẩn công nghệ về an ninh trong NGN đang thu hút nhiều sự quan tâm của nhiều tổ chức nghiên cứu, song đa số vẫn đang còn nằm ở dưới dạng bản thảo nghiên cứu. Việc áp dụng trực tiếp các chuẩn công nghệ để xây dựng nên giải pháp an ninh là khá khó khăn. Vì vậy việc nghiên cứu tìm hiểu lựa chọn các chuẩn công nghệ để có thể áp dụng làm framework trong việc xây dựng giải pháp an ninh cho kiến trúc mạng NGN hiện tại cũng như trong tương lai là một vấn đè quan trọng cần được thực hiện. Với mục đích đảm bảo an ninh cho mạng nói chung và mạng viễn thông nói riêng, có rất nhiều các giải pháp đã được đưa ra nhưng nhìn nhận một cách khách quan là các phương án đó thường không đầy đủ và chưa được xây dựng trên một nền tảng lý luận vững chắc về bảo đảm an ninh đặc bịêt là cho NGN. Trong bối cảnh đó, một khung làm việc liên quan đến đảm bảo an ninh cần phải được nghiên cứu đó là X.805 được ITU đề xuất. Bản thân X.805 không chỉ ra cách thức đảm bảo an ninh cho một đối tượng cụ thể (mạng, thiết bị) mà phân rã các nguy cơ, biện pháp và cơ chể an ninh tổng quát cho mọi loại hình mạng từ nhiều góc độ, lớp và mặt cắt khác nhau rất thuận tiện để phân tích cặn kẽ các vấn đề an ninh cho bất kỳ hệ thống nào không ngoại trừ NGN. Mục đích của luận văn Luận văn này được Học viên đề xuất trên cơ sở nghiên cứu về mạng NGN cũng như phát triển thử nghiệm các thực thể NGN trong một năm nghiên cứu về an ninh mạng NGN tại Trung tâm Công nghệ Thông tin (thuộc Học viện Công nghệ Bưu chính Viễn thông) – CDiT (Center for Development of Information Technology). Qua luận văn này Học viên mong muốn giới thiệu các vấn đề công nghệ sau  Mạng thế hệ mới (Next Generation Network - NGN) o Xu hướng của các dịch vụ Viễn thông o Mô hình tham chiếu NGN o Công nghệ truyền tải mạng NGN o Các phương thức truy nhập NGN o Mô hình mạng NGN điển hình  Mạng đô thị (Metro Arear Network - MAN) o Những yếu tố thúc đẩy sự phát triển mạng MAN o Xu hướng phát triển công nghệ Ethernet trên MAN o Kiến trúc mạng MAN của Cisco o Khuyến nghị TR-101 o Mô hình mạng MAN điển hình o Cung cấp dịch vụ VPN L2 và HSI qua MANE 5  An ninh trong NGN o Xây dựng một quy trình đảm bảo an ninh dựa trên việc tổng hợp các ưu điểm của khuyến nghị X.805. o Phân tích các kịch bản tấn công từ phía khách hàng đối với các thiết bị mạng của nhà cung cấp dịch vụ Viễn thông cho hai loại hình dịch vụ là VPN L2 và HSI. o Bước đầu áp dụng để đưa ra phương án đảm bảo an ninh cho một hệ thống NGN điển hình với các dịch vụ VPN L2 và HSI. Kết quả nghiên cứu cũng đồng thời là khuyến nghị cho các nhà khai thác Viễn thông ở Việt Nam trong quá trình triển khai NGN. Cấu trúc của luận văn  Chương 1: MẠNG THẾ HỆ MỚI o Chương này trình bày các vấn đề liên quan đến công nghệ và giải pháp mạng NGN như đã nêu trong phần mục đích của luận văn.  Chương 2: MẠNG ĐÔ THỊ o Chương này trình bày các vấn đề liên quan đến công nghệ và giải pháp mạng MAN, cách thức cung cấp dịch vụ VPN L2 và HSI qua mạng MAN như đã nêu trong phần mục đích của luận văn.  Chương 3: PHÂN TÍCH KIẾN TRÚC VÀ CÁC THÀNH PHẦN AN NINH X.805 DO ITU-T ĐỀ XUẤT o Chương này phân tích cách tiếp cận của X.805 về an ninh mạng theo các mặt phẳng và lớp an ninh, đồng thời chỉ ra các nguy cơ có thể xảy ra đối với thực thể mạng và các biện pháp phòng chống tương ứng.  Chương 4: PHÂN TÍCH ÁP DỤNG KHUYẾN NGHỊ X.805 CHO THIẾT KẾ AN NINH MẠNG NGN o Chương này trình bày về quy trình áp dụng X.805 vào thiết kế giải pháp an ninh mạng NGN do học viên và nhóm nghiên cứu tại CDiT đề xuất.  Chương 5. KẾT QUẢ ÁP DỤNG X.805 CHO MẠNG NGN o Chương này trình bày các kết quả áp dụng X.805 đối với các thiết bị trong mạng NGN đối với các dịch vụ VPN L2 (E-LINE, E-LAN) và dịch vụ HSI.  Chương 6. ĐÁNH GIÁ KẾT QUẢ ĐẠT ĐƯỢC VÀ KHUYẾN NGHỊ o Chương này đánh giá các kết quả đạt được của luận văn, các khuyến nghị về an ninh đầu cuối cho NGN đối với các nhà cung cấp dịch vụ Viễn thông  Phụ Lục. GIẢI PHÁP CHỐNG DoS CỦA ARBOR o Phần này giới thiệu giải pháp an ninh mạng băng rộng của Arbor. Chương 1. MẠNG THẾ HỆ MỚI 6 1.1 Tóm tắt chương Chương này trình bày những vấn đề liên quan đến mạng thế mới (NGN) gồm: mô hình tham chiếu NGN theo ITU-T, một số công nghệ chủ đạo cho truyền tải và truy nhập NGN. Quan trọng nhất là việc đề xuất một mô hình NGN điển hình có thể áp dụng với các nhà khai thác và cung cấp dịch vụ Viễn thông, đặc biệt là ở Việt Nam. 1.2 Xu hướng của các dịch vụ Viễn thông • Lưu lượng thoại truyền thống suy giảm, chuyển dịch sang các dịch vụ di động và VoIP. • Sự phát triển nhanh chóng của các phương thức truy nhập băng rộng càng gia tốc thêm sự suy giảm của các dịch vụ truyền thống. • Các dịch vụ băng rộng chiếm tài nguyên mạng hơn rất nhiều so với các dịch vụ truyền thống. • Tuy nhiên, trong tương lai gần 80% lợi nhuận của các nhà khai thác viễn thông vẫn đến từ các dịch vụ truyền thống: TDM voice, Leased-line… 1.2.1 Các thách thức với các nhà cung cấp dịch vụ viễn thông  Duy trì “sự trung thành” của các khách hàng hiện có.  Tăng tỉ lệ ARPU bằng cách giới thiệu các gói dịch vụ, các loại hình dịch vụ mới, đa dạng tới các đối tượng khách hàng khác nhau.  Giảm chi phí đầu từ (CAPEX) và chi phí vận hành (OPEX) nhiều hơn so với các đối thủ cạnh tranh.  Xây dựng một cơ sở hạ tầng mạng thống nhất, vững chắc và đáp ứng sẵn sàng các yêu cầu của các dịch vụ phát triển trong tương lai .  Xu hướng tiến lên NGN là xu hướng tất yếu của các nhà cung cấp dịch vụ viễn thông 1.2.2 Những hạn chế của mạng hiện tại và nhu cầu phát triển NGN  Cứng nhắc trong việc phân bổ băng thông. Hình 1.1 Xu hướng của các dịch vụ Viễn thông 7  Khó khăn trong việc tổ hợp mạng.  Khó khăn trong việc cung cấp dịch vụ mới.  Đầu tư cho mạng PSTN lớn.  Giới hạn trong phát triển mạng.  Không đáp ứng được sự tăng trưởng nhanh của các dịch vụ dữ liệu. 1.3 Tổng quan về NGN 1.3.1 Định nghĩa NGN của ITU-T Y.2001 Mạng NGN là một mạng dựa trên chuyển mạch gói có khả năng cung cấp các dịch vụ Viễn thông và sử dụng các công nghệ chuyển tải băng rộng, hỗ trợ QoS; (và trong đó) việc cung cấp các dịch vụ độc lập với các công nghệ liên quan đến chuyển tải. Hỗ trợ người sử dụng lựa chọn dịch vụ mà không phụ thuộc với mạng và với nhà cung cấp dịch vụ. NGN hỗ trợ khả năng di động và tạo điều kiện cung cấp dịch vụ ở mọi lúc, mọi nơi. Hình 1.2 Sự hội tụ giữa thoại và số liệu, cố định và di động trong NGN 8 PCS IS-95A IS-95B CDMA2000 1X 1X EV-DO 1X EV-DV WCDMA IEEE802.11 IEEE802.11b IEEE802.11a IEEE802.11g PSTN Modem ISDN ADSL VDSL FTTH Mạng hội tụ băng rộng Toàn IP Mạng không dây Mạng di động Mạng cố định Trước đây Hiện tại Tương lai Hình 1.3 Xu hướng hội tụ các công nghệ mạng (theo 3GPP) SMS Tải nhạc chuông Di động Người-Người Người-Máy Môi trường hội tụ DAB/DVB Thoại thấy hình TV di động VOD Video streaming Dịch vụ theo vị trí Dịch vụ định vị Điều khiển từ xa Dịch vụ biểu cảm Hội nghị truyền hình Hướng thoại H ư ớ ng th oạ i Dữ liệu tốc độ thấp Multimedia Multimedia nhanh, băng rộng Th ôn g m in h H ư ớ ng th oạ i Th ôn g m in h Hình 1.4 Xu hướng hội tụ các dịch vụ viễn thông (theo 3GPP) 9 1.3.2 Các đặc điểm của NGN Nền tảng là hệ thống mạng mở  Các khối chức năng của tổng đài truyền thống được chia thành các phần tử mạng độc lập, các phần tử phân theo chức năng và phát triển một cách độc lập.  Giao diện và giao thức giữa các bộ phận phải dựa trên các tiêu chuẩn tương ứng. Là mạng dịch vụ thúc đẩy  Chia tách dịch vụ với điều khiển cuộc gọi.  Chia tách cuộc gọi với truyền tải. Là mạng chuyển mạch gói, giao thức thống nhất  Các mạng thông tin tích hợp trong một mạng thống nhất dựa trên nền gói.  IP trở thành giao thức vạn năng, làm cơ sở cho các mạng đa dịch vụ.  NGN là nền tảng cho cơ sở hạ tầng thông tin quốc gia (NII). Là mạng có dung lượng và tính thích ứng cao, đủ năng lực để đáp ứng nhu cầu  Có khả năng cung cấp nhiều loại hình dịch vụ đa phương tiện băng thông cao.  Có khả năng thích ứng với các mạng đã tồn tại để tận dụng cơ sở hạ tầng mạng, dịch vụ và khách hàng sẵn có. 1.3.3 Một số nguyên tắc tổ chức mạng NGN  Mạng có cấu trúc đơn giản.  Đáp ứng nhu cầu cung cấp các loại hình dịch vụ viễn thông phong phú và đa dạng.  Nâng cao hiệu quả sử dụng, chất lượng mạng lưới và giảm chi phí khai thác, bảo dưỡng.  Dễ dàng tăng dung lượng, phát triển dịch vụ mới.  Có độ linh hoạt và tính sẵn sàng cao, năng lực tồn tại mạnh.  Tổ chức mạng dựa trên số lượng thuê bao theo vùng địa lý và nhu cầu phát triển dịch vụ, không theo địa bàn hành chính mà theo vùng mạng hoặc vùng lưu lượng. 10 1.4 Mô hình tham chiếu NGN 1.4.1 Mô hình tham chiếu NGN của ITU Mô hình tham chiếu về mạng NGN của ITU như hình 1.5 Phần dưới đây sẽ trình bày cấu trúc chức năng của mạng NGN của ITU-T. Các chức năng người sử dụng nối tới NGN theo giao diện UNI (User Network Interface), trong khi các mạng được kết nối thông qua giao diện NNI. Giao diện API là kết nối giữa NGN với các nhà cung cấp dịch vụ Viễn thông thứ ba. 1.4.1.1 Các chức năng tại tầng chuyển tải  Tầng chuyển tải thực hiện các chức năng kết nối các thành phần trong mạng gồm các thiết bị (thường nằm trong các Server trong mạng) và các thiết bị của người sử dụng. IP hiện đang được coi là phương tiện chuyển tảihứa hẹn nhất cho NGN. Tầng chuyển tải phải có khả năng cung cấp QoS toàn trình.  Tầng chuyển tải được chia thành mạng lõi và mạng truy nhập. Các thành phần chức năng của tầng chuyển tải được miêu tả ngắn gọn dưới đây. SERRVICE STRATUM TRANSPORT STRATUM APPLICATIONs M AN AG EM EN T O TH ER N E TW O R K NNI ANI EN D U SE R UNI Application/service support functions Service control functions Service user profile Transport function Transport control function NACF RACF Transport user profile Beare r Control Manageme nt Hình 1.5 Mô hình tham chiếu về mạng NGN của ITU-T 11 Chức năng truy nhập (Access Functions - AF)  Đây là khối chức năng quản lý truy nhập của thuê bao tới mạng. Hoạt động của nó phụ thuộc vào công nghệ truy nhập, ví dụ: xDSL, Ethernet, quang, vô tuyến.. Chức năng chuyển tải truy nhập (Access Transport Functions - ATF)  Khối chức năng này thực hiện chuyển tải thông tin qua mạng truy nhập. Nó có các kỹ thuật điều khiển QoS cho lưu lượng của người sử dụng gồm: quản lý bộ đệm, xếp hàng và lập lịch, lọc gói, phân loại lưu lượng, đánh dấu và thiết lập chính sách. Chức năng biên (Edge Functions - EF)  Khối chức năng này xử lý lưu lượng khi lưu lượng từ phần truy nhập được nhập vào mạng lõi. Chức năng chuyển tải lõi (Core Transport Functions - CTF)  Khối chức năng này đảm bảo chuyển tải thông tin qua mạng lõi. Nó cung cấp các phương pháp phân biệt chất lượng chuyển tảitrên mạng, dựa vào mối tương tác với các chức năng điều khiển chuyển tải (Transport Control Function). Nó cũng cung cấp các kỹ thuật QoS, xử lý trực tiếp lưu lượng người sử dụng gồm: quản lý bộ đệm, xếp hàng và đặt lịch, lọc gói, phân loại lưu lượng, đánh dấu và thiết lập chính sách, điều khiển cổng và firewall. Chức năng điều khiển gắn kết mạng (Network Attachment Control Functions - NACF)  Khối chức năng này cung cấp hoạt động đăng ký tại lớp truy nhập và khởi tạo các chức năng người dử dụng cuối để truy nhập các dịch vụ NGN, cụ thể là: đinh danh/xác thực tại lớp mạng, quản lý không gian địa chỉ IP của mạng truy nhập, xác thực phiên truy nhập. Chức năng điều khiển tài nguyên và nhận vào (Resource and Admission Control Functions - RACF)  Khối chức năng này cung cấp chức năng điều khiển nhận vào và điều khiển cổng. Điều khiển nhận vào gồm kiểm tra xác thực dựa vào profile về người dùng thông qua chức năng NACF và cấp phép có tính đếm năng lực tài nguyên. RACF tương tác với chức năng lớp chuyển tải để điều khiển một số chức năng sau: lọc gói, phân loại lưu lượng, đánh dấu và định chính sách, dành trước và cấp phát băng thông, chống giả mạo địa chỉ, NAPT, tính cước sử dụng… Chức năng quản lý User Profile lớp chuyển tải (Transport User Profile Functions - TUPF)  Khối chức năng này xử lý thông tin và các hoạt động của người sử dụng liên quan đến tầng chuyển tải, và lưu trữ trong “user profile”. Chức năng cổng (Gateway Functions)  Khối chức năng này tạo khả năng tương tác với các mạng khác như PSTN/ISDN, Internet hoặc mạng NGN của các nhà cung cấp Viễn thông khác. Giao diện NNI có cả ở lớp điều khiển 12 và chuyển tải. Tương tác giữa lớp điều khiển và chuyển tải có thể thực hiện trực tiếp hoặc thông qua các chức năng điều khiển chuyển tải. Chức năng quản lý Media (Media Handling Functions)  Cung cấp các dịch vụ như tạo các tín hiệu âm tone, chuyển mã, làm cầu nối cho các dịch vụ hội nghị truyền hình (Conferencing). 1.4.1.2 Các chức năng tại tầng dịch vụ  Các chức năng này cung cấp dịch vụ có phiên, dịch vụ không phiên, và toàn bộ các dịch vụ PSTN/ISDN hiện thời. Chức năng điều khiển dịch vụ (Service and Control Functions)  Gồm các chức năng điều khiển phiên, chức năng đăng ký, xác thực và cấp phép tại mức dịch vụ. Chúng có thể bao gồm các chức năng điều khiển tài nguyên Media. Chức năng quản lý User Profile dịch vụ (Service User Profile Functions)  Khối chức năng này xử lý thông tin và các hoạt động của người sử dụng liên quan đến tầng dịch vụ, và lưu trữ trong “user profile”. 1.4.1.3 Chức năng ứng dụng (Application Functions)  NGN hỗ trợ các giao diện API mở, cho phép các nhà cung cấp dịch vụ thứ ba sử dụng năng lực mạng NGN để kiến tạo và phát triển các dịch vụ mới cho người sử dụng. 1.4.1.4 Các chức năng quản lý  Hỗ trợ quản lý mạng là nguyên tắc cơ bản cho các hoạt động của mạng NGN. Các chức năng quản lý cho phép các nhà điều hành NGN quản lý mạng và cung cấp các dịch vụ NGN với chất lượng, mức độ tin cậy và tính an toàn theo mong muốn  Các chức năng này được phân tán vào mỗi phần tử chức năng (FE). Chúng tương tác với các phần tử chức năng quản lý phần tử mạng (NE), quản lý mạng và quản lý dịch vụ  Các chức năng quản lý còn gồm việc tính cước và thanh toán. Các chức năng này hỗ trợ cả tính cước off-line (tính cước trả sau) và tương tác với các ứng dụng cho dịch vụ trả trước (online charging) 1.4.1.5 Các chức năng người sử dụng Giao diện với người sử dụng đầu cuối bao gồm cả giao diện vật lý và giao diện điều khiển. Không có hạn chế về giao diện từ lớp truy nhập với khách hàng hoặc mạng của khách hàng. Tất cả các loại thiết bị đầu cuối được hỗ trợ trong NGN từ điện thoại truyền thống tới các mạng phức tạp. Thiết bị người sử dụng có thể là di động hoặc cố định 13 1.4.2. Kiến trúc NGN theo ETSI Hình 1.6 Mô hình tiến tới NGN từ các mạng hiện có theo ITU-T M¹ ng truyÒn t¶i lâ i Multimedia kh¸ c Streaming services IMS Ph©n hÖ m« pháng PSTN/ISDN Ph©n hÖ m¹ ng g¾n vµo Ph©n hÖ ®iÒu khiÓn tµi nguyª n M¹ ng truyÒn t¶i Truy nhËp 3GPP IP-CAN C¸ c øng dông C ¸c m ¹n g kh ¸c (v Ý d ô PS TN ) IP Hình 1.7 Kiến trúc NGN theo ETSI 14 Các đặc điểm chính  Phân hệ IMS nằm giữa và liên kết các lớp chuyển tải(mạng truy nhập thông qua phân hệ điều khiển tài nguyên và mạng lõi) và lớp dịch vụ.  Kế thừa từ các mạng hiện có như PSTN, ISDN, Internet, ..  Xây dựng thêm các phân hệ và giao thức mới để bổ sung các loại hình dịch vụ, cung cấp dịch vụ đa phương tiện và hội tụ mạng.  Mạng chuyển tảiđược gói hóa hoàn toàn với công nghệ IP.  Các mạng riêng rẽ trước đây được kết hợp thành một mạng chung duy nhất, cho phép nhà cung cấp có thể cung cấp tất cả các loại hình dịch vụ. 1.5. Kiến trúc mạng NGN mục tiêu 1.5.1 Lớp ứng dụng và dịch vụ • Thiết lập một lớp ứng dụng thống nhất, đồng bộ, cung cấp dịch vụ cho toàn bộ mạng. • Kết hợp với lớp điều khiển qua các giao diện chuẩn, cho phép nhà cung cấp ứng dụng độc lập tích hợp và triển khai các dịch vụ giá trị gia tăng (GTGT). Application Server HSS IMS + Softswitch P PE PE PE IP/MPLS backbone P Wimax MAN Ethernet in provinces CES CES CES: Carrier Ethernet Switch PSTN/PLMN PSTN/PLMN SIP DSLAM SIP H248/ SIP Ethernet Switch MGCP/H.248 MGCP/H.248 MSAN Hình 1.8 Kiến trúc mạng NGN mục tiêu 15 1.5.2 Lớp điều khiển • Một lớp điều khiển thống nhất điều khiển toàn bộ các dịch vụ. • Có các giao diện chuẩn tới hệ thống quản lý. 1.5.3 Lớp truyền tải • Bao gồm 2 thành phần: Mạng trục và các mạng thu gom lưu lượng tại các Tỉnh/Thành phố (Provice). • Chuyển tải lưu lượng IP, có khả năng cung cấp VPN L2 / VPN L3 kết nối các phần tử mạng NGN • Đảm bảo chất lượng dịch vụ đầu cuối (end-to-end QoS). 1.5.4. Lớp truy nhập  Đa dạng hóa loại hình truy nhập, sẵn sàng phát triển các dịch vụ mới 1.5.5 Các dịch vụ được cung cấp Các dịch vụ trên mạng NGN có thể phân thành một số nhóm dịch vụ chính  Các dịch vụ VPN hay dịch vụ kết nối (VPN L2, VPN L3)  Các dịch vụ ứng dụng Triple-Play (VoIP, IPTV, HSI) cùng các dịch vụ gia tăng trên nền các dịch vụ ứng dụng này  Các dịch vụ Hosting (Data, Web, ..) Hình 1.9 Topology mạng NGN mục tiêu 16 1.5.6 Tổ chức mạng 1.5.6.1 Vùng phủ Mỗi dịch vụ trong số các dịch vụ trên về nguyên tắc là triển khai toàn mạng VNPT nghĩa là đến các khách hàng trên cả nước 1.5.6.2 Mạng truyền tải và truy nhập băng rộng Mạng chuyển tảivà truy nhập băng rộng của mạng NGN , các khách hàng giao tiếp với mạng qua giao diện UNI, NNI là giao diện của mạng NGN với các mạng khác. Phần mạng của nhà cung cấp dịch vụ sẽ gồm một số phân đoạn: Mạng lõi (core), mạng gom lưu lượng (Aggregation hay mạng Metro), mạng truy nhập (access). Hình 1.10 Vùng phủ của dịch vụ mạng NGN CPE(P) Access Node Edge Node Aggregation network Core network UNI NNI ServerService device Other networks Inter - connect Users Access network In-house cabling I Ph?n m?ng truy nh?p và gom lưu lưu lư?ng phân tán trên các T?nh Khách hàng phân tán trên c? nư?c Ph?n m?ng lõi liên k?t các T?nh v?i nhau 17 1.5.6.2.1 Mạng truy nhập khách hàng Về nguyên tắc, mỗi dịch vụ có phần thiết bị truy nhập riêng, địa điểm, dung lượng, chủng loại thiết bị truy nhập này phục thuộc dịch vụ cụ thể. Tuy nhiên trong trường hợp của SP cung cấp đa dịch vụ và phần thiết bị truy nhập nhiều loại được sử dụng chung cho các dịch vụ (ví dụ MSAN, DSLAM). 1.5.6.2.2 Mạng truyền tải Mạng băng rộng là cơ sở hạ tầng chuyển tảichung cho các dịch vụ kết nối cũng như ứng dụng, phần mạng này được định nghĩa là phần mạng giới hạn bởi các điểm mạng có khả năng cung cấp các dịch vụ VPL lớp 2 (từ CE switch đến CE switch). Hình 1.11 Cấu trúc mạng truy nhập khách hàng MAN/ Aggreation FTTX ONT OLT UNI Access Node CES K H Á C H H À N G FE/GE FE/GE MSAN / DSLAM xDSL POTS POTS/ xDSL, FE/GE FE/GE CPE Wireless FE/GE M?ng truy nh?p L2 Switch CES CES M?ng truy?n t?i băng r?ng IP/MPLS Backbone Metro Core Metro Access Metro Access Metro Access Metro Access Metro Core Provice A Provice B Hình 1.12 Mạng chuyển tải băng rộng 18 1.6 Công nghệ truyền tải mạng NGN 1.6.1 Công nghệ IP over WDM Ngày nay, với sự xuất hiện của công nghệ ghép kênh quang theo bước sóng (WDM) thì dung lượng, tốc độ, băng thông,… của hệ thống thông tin quang ngày càng nâng cao. Công nghệ WDM tận dụng băng tần của sợi quang bằng cách truyền nhiều kênh bước sóng quang độc lập và riêng rẽ trên cùng một sợi quang. Mỗi bước sóng biểu thị cho một kênh quang trong sợi. Công nghệ WDM đáp ứng được yêu cầu băng thông rộng của các dịch vụ sử dụng giao thức Internet vì lẽ đó IP và WDM là các công nghệ quan trọng được sử dụng trong mạng lưới viễn thông ngày nay và trong tương lai. 1.6.1.1 Nguyên lý cơ bản của hệ thống thông tin quang WDM  Các tín hiệu quang có bước sóng khác nhau ở đầu phát được ghép kênh và truyền trên cùng 1 sợi quang. Ở đầu thu, tín hiệu gồm nhiều bước sóng đến từ sợi quang đó được tách kênh để thực hiện xử lý theo yêu cầu của từng bước sóng.  WDM có nghĩa là độ rộng băng quang của các kênh được ghép kênh ở các vùng phổ cố định, không chồng lấn trong băng thông truyền dẫn của sợi quang. Mỗi vùng tương ứng với một kênh có bước sóng i. Các kênh khác nhau thì độc lập với nhau và truyền với các tốc độ xác định.  ITU đã đưa ra tiêu chuẩn cho việc thiết lập bước sóng sử dụng cho các mạng WDM, điều này là rất cần thiết để đảm bảo tính tương thích giữa các hệ thống của các hãng thiết bị khác nhau. ITU-T đưa khuyến nghị chuẩn G.692 “Các giao diện quang đối với các hệ thống sử dụng các bộ khuyếch đại quang đa kênh” định nghĩa rõ các thông số cho các hệ thống DWDM sử dụng cho các mạng liên văn phòng và các ứng dụng cự ly dài. Chuẩn G.692 còn quy định rõ giới hạn các hệ thống quang với dung lượng kênh tối đa là 4, 8, 16, 32 hoặc nhiều bước sóng nữa sử dụng cho các tín hiệu trong STM-4, STM-16, STM-64 sử dụng truyền dẫn quang đơn hướng hoặc song hướng. Trong khuyến nghị chuẩn G.692 có thể dung nhiều bước sóng khác nhau để truyền tín hiệu quang trong giải 1528,77 nm đến 1560,61 nm. 1.6.1.2 Các ưu điểm của IP over WDM ?1 ?2 ?3 ?4 E/O E/O E/O E/O M U X RM1S1 RM4S4 RM3S3 RM2S2 D E M U X ?1 ?2 ?3 ?4 SD1 SD4 SD3 SD2 O/E O/E O/E O/E R1 R4 R3 R2 OFA OFA ?1 ?2 ?3 ?4 Hình 1.13 Nguyên lý cơ bản của hệ thống thông tin quang WDM 19  IP/WDM thừa kế tất cả sự mềm dẻo và khả năng tương thích của giao thức điều khiển IP.  IP/WDM thay đổi băng thông động theo yêu cầu trong mạng cáp quang (Cung cấp các dịch vụ đáp ứng thời gian thực).  Cùng với sự hỗ trợ giao thức IP, IP/WDM sẽ đáp ứng được sự cùng hoạt động, cung cấp dịch vụ của các nhà cung cấp thiết bị, dịch vụ.  IP/WDM có thể thực hiện khôi phục động bằng kỹ thuật điều khiển phân bố trong mạng.  Đứng trên quan điểm dịch vụ, mạng IP/WDM có các ưu điểm về quản lý chất lượng, các chính sách và các kỹ thuật dự kiến sẽ sử dụng và phát triển trong mạng IP. 1.6.1.3 Ba giải pháp chính của IP over WDM Mạng IP/WDM được thiết kế truyền lưu lượng IP trong mạng cáp quang để khai thác tối đa ưu điểm về khả năng đấu nối đa năng đối với mạng IP và dung lượng băng thông rộng của mạng WDM. Hình 2 mô tả 03 giải pháp IP over WDM. Giải pháp truyền IP trên ATM (IP over ATM), sau đó trên SONET/SDH và mạng quang WDM Đối với giải pháp này, WDM được sử dụng như công nghệ truyền song song trên lớp vật lý. Ưu điểm của giải pháp này là sử dụng ATM có khả năng truyền nhiều loại tín hiệu khác nhau trong cùng đường truyền với yêu cầu chất lượng dịch vụ khác nhau. Một ưu điểm khác khi sử dụng ATM là tính mềm dẻo khi cung cấp dịch vụ mạng. Tuy nhiên giải pháp này rất phức tạp, quản lý và điều khiển IP over ATM phức tạp hơn so với quản lý và điều khiển IP qua mạng thuê riêng (IP - Leased line). Giải pháp 2 truyền IP/MPLS over SONET/SDH và WDM SONET/SDH có một số ưu điểm sau  SONET/SDH có cấu trúc tách ghép tín hiệu quang tiêu chuẩn, nhờ đó tín hiệu tốc độ thấp có thể ghép, tách thành tín hiệu có tốc độ cao.  SONET/SDH cung cấp khung truyền chuẩn.  Mạng SONET/SDH có khả năng bảo vệ, khôi phục, nhờ đó tín hiệu được truyền trong suốt tới lớp cao hơn. Mạng SONET/SDH thường sử dụng cấu hình mạng vòng (Ring). Một số cấu hình bảo vệ có thể sử dụng là  Cấu hình 1+1 có nghĩa là số liệu được truyền trên hai đường trong hai hướng ngược nhau, tín hiệu có chất lượng tốt hơn sẽ được chọn ở đích. Hình 1.14 Ba giải pháp chính của IP over WDM 20  Cấu hình 1:1 có nghĩa là đường dự phòng tách biệt đối với đường hoạt động.  Cấu hình n:1 có nghĩa là n đường hoạt động sử dụng chung một đường dự phòng. Khai thác, quản lý, bảo dưỡng OAM&P là tính năng nổi bật của mạng SONET/SDH để truyền cảnh báo, điều khiển, các thông tin về chất lượng ở cả mức hệ thống và mức mạng. Tuy nhiên SONET/SDH mang số lượng thông tin mào đầu đáng kể, thông tin mào đầu này được mã hoá ở nhiều mức. Mào đầu đoạn POH được truyền từ đầu cuối tới đầu cuối. Mào đầu đường LOH được sử dụng cho tín hiệu giữa các thiết bị đầu cuối như các bộ tách ghép kênh OC-n (STM-n). Mào đầu phân đoạn SOH được sử dụng để thông tin giữa các phần tử mạng lân cận như các bộ lặp. Đối với tín hiệu OC-1 có tốc độ truyền 51.84Mb/s, tải của nó là đường truyền DS-3 chỉ có tốc độ 44.736Mb/s. 1.6.1.4 Kiến trúc IP/SDH/WDM Có thể thực hiện một cách đơn giản để truyền dẫn khung SDH có đóng gói các qua mạng WDM nhờ sử dụng các Transponder (bộ thích ứng bước sóng). Cũng có thể truyền dẫn các khung SDH mang thông tin của các gói dữ liệu IP trên mạng truyền tải SDH đồng thời với các loại lưu lượng dịch vụ khác. Nhưng cùng với sự phát triển của cơ sở hạ tầng mạng truyền tải quang (OTN) thì truyền dẫn trên mạng WDM là tất yếu và có nhiều ưu điểm hơn. Với hệ thống SDH hiện nay, ta có thể thực hiện chuyển mạch bảo vệ cho các liên kết lưu lượng IP khi cáp đứt nhờ các chuyển mạch bảo vệ tự động (APS), quá trình thực hiện tại tầng quang. 1.6.1.4.1 Kiến trúc IP/PPP/HDLC/SDH Hình 15.1 là phiên bản IP/SDH có sử dụng đóng gói PPP và các khung HDLC. Trong trường hợp này, các card đường dây trong các bộ định tuyến IP sẽ thực hiện đóng khung PPP/HDLC. Sau đó, tín hiệu quang được định dạng cho phù hợp với truyền dẫn trên sợi quang qua các phần tử SDH, các bộ định tuyến IP giáp ranh hay qua các bộ thích ứng bước sóng WDM để truyền dẫn ở cự ly xa. Các luồng VC-4 hay VC-4-Xc Cung cấp một băng thông tổng mà không có sự phân biệt nào cho từng loại dịch vụ IP trong trường hợp chúng xuất hiện đồng thời trong một luồng các gói tin. Các giao diện kênh Tại đây các đầu ra STM-16 quang có thể gồm 16 luồng VC-4 riêng biệt, trong đó mỗi luồng VC-4 tương ứng với một loại dịch vụ. Sau đó, các luồng VC-4 riêng biệt có thể được định tuyến qua mạng SDH để đến các bộ định tuyến đích khác nhau (điều này có thể thực hiện nhờ khả năng tách xen một luồng bất kỳ ở một vị trí bất kỳ của hệ thống SDH). IP PPP HDLC5 SDH WDM Sợi quang IP LAPS SDH WDM Sợi quang 21 Sắp xếp khung SDH Các khung HDLC được sắp xếp vào tải của các VC-4 hay VC-4-Xc có sự đồng bộ ranh giới của các byte trong khung HDLC với ranh giới của các byte trong VC-4 (VC-4-Xc). Giống như sắp xếp ATM/SDH cần phải thực hiện ngẫu nhiên hoá trước khi sắp xếp vào các khung VC-4 (VC-4-Xc) nhằm hạn chế một cách thấp nhất rủi ro do sai lỗi gây ra. Giải pháp thứ ba IP/WDM sử dụng IP/MPLS trực tiếp trên WDM Đây là giải pháp hiệu quả nhất trong ba giải pháp. Tuy nhiên nó yêu cầu lớp IP phải kiểm tra đường bảo vệ và khôi phục. Nó cũng cần dạng khung đơn giản để xử lý lỗi đường truyền. Có nhiều dạng khung IP over WDM. Một số công ty đã phát triển tiêu chuẩn khung mới như Slim SONET/SDH. Dạng khung này có chức năng tương tự như SONET/SDH nhưng với kỹ thuật mới hơn khi thay thế mào đầu và tương thích kích thước khung với kích thước gói. Một ví dụ khác là thực hiện dạng khung Gigabit Ethernet. 10 Gigabit Ethernet được thiết kế đặc biệt cho hệ thống ghép bước sóng quang mật độ cao DWDM. Sử dụng dạng khung Ethernet, kết nối Ethernet không cần thiết phải ghép tín hiệu sang dạng giao thức khác (như ATM) để truyền dẫn. Mạng IP truyền thống sử dụng báo hiệu trong kênh (In of band), trong phương thức báo hiệu này tín hiệu số liệu và tín hiệu điều khiển được truyền cùng nhau trong cùng đường nối. Mạng quang WDM có mạng truyền số liệu riêng cho tín hiệu điều khiển. Vì vậy, nó sử dụng báo hiệu ngoài kênh (Out of band). 1.6.2 Công nghệ SDH 1.6.2.1 Đặc điểm chung của công nghệ SDH • Công nghệ truyền tải theo phương thức TDM dựa trên cấu trúc ghép kênh phân cấp đồng bộ. • Cung cấp các kết nối băng thông cố định có tốc độ từ vài Mbit/s tới hàng chục Gbit/s. • Truyền tải thông tin trên kết nối có độ tin cậy cao do sử dụng cơ chế phục hồi bảo/vệ. • Được thiết kế tối ưu cho truyền tải dịch vụ TDM. 1.6.2.2 Ưu điểm của công nghệ SDH  Chất lượng truyền tải thông tin trên kết nối cao, trễ truyền tải nhỏ.  Độ tin cậy kết nối cao.  Công nghệ đã được chuẩn hóa. 22  Thuận tiện sử dụng cho mô hình kết nối điểm – điểm.  Thiết bị được triển khai rộng rãi trên mạng, tương thích với nhiều chủng loại thiết bị mạng.  Quản lý dễ dàng. 1.6.2.3 Nhược điểm của công nghệ SDH Do SDH được thiết kế tối ưu cho phương thức truyền tải TDM, do vậy có những nhược điểm khi triển khai SDH cho mạng truyền tải dữ liệu gói  Kết nối cứng, lãng phí tài nguyên băng thông khi kết nối truyền tải lưu lượng gói.  Không tối ưu và lãng phí tài nguyên băng thông khi truyền tải lưu lượng gói trên cấu trúc tô- pô ring.  Tài nguyên mạng dành cho phục hồi và bảo vệ mạng lớn.  Không tối ưu trong việc triển khai các dịch vụ quảng bá (Multicast).  Hiệu quả sử dụng băng thông thấp khi ghép dữ liệu gói vào tải tin SDH.  Cấu trúc ghép kênh qua nhiều cấp, số lượng thiết bị mạng lớn khi phải phân chia nhiều loại giao diện khách hàng.  Các giao diện mạng không tương thích với các giao diện của thiết bị Ethernet.  Chi phí nâng cấp mở rộng tốn kém.  Thời gian cung ứng dịch vụ cho khách hàng lâu. Ethenet SDH Tốc độ truyền Hiệu suất sử dụng băng thông 10Mbps VC-3 48,4Mbps 21% 100Mbps VC-4 150Mbps 67% 1Gbps VC-4-16c 2,4Gbps 42% 1.6.3 Công nghệ NG-SDH Hiện nay trên thế giới công nghệ NG-SDH đã và đang được triển khai, cho phép các nhà khai thác cung cấp nhiều hơn nữa các dịch vụ truyền tải và đồng thời tăng hiệu suất của hạ tầng mạng SDH đã có. Ưu điểm của NG-SDH là không cần phải lắp đặt một mạng truyền dẫn mới hay thay đổi tất cả các thiết bị nút mạng hay các tuyến cáp quang, nhờ vậy sẽ giảm được chi phí và thu hút được các khách hàng mới trong khi vẫn duy trì được các dịch vụ đã có. NG-SDH tạo ra phương thức truyền tải các dịch vụ khách hàng có tốc độ cố định (như PDH) và các dịch vụ có tốc độ biến đổi như Ethernet, VPN, DVB, SAN... qua các thiết bị và mạng SDH hiện có bằng cách bổ xung một số thiết bị phần cứng và các thủ tục cũng như giao thức mới. Các thủ tục và giao thức này được phân thành các lớp là: Bảng 1.1 Hiệu suất sử dụng băng thông khi truyền dịch vụ Ethernet qua mạng SDH 23 thủ tục định dạng khung GFP, kết nối ảo VCAT và giao thức điều chỉnh dung lượng tuyến LCAS...Các chức năng này được thực hiện trên các nút biên của mạng. Công nghệ NG-SDH được cải tiến từ công nghệ SDH nhằm khắc phục một số nhược điểm của công nghệ SDH  Cho phép hỗ trợ truyền tải các dịch vụ truyền tải TDM và dịch vụ truyền tải gói.  Tạo các giao thức cải thiện hiệu quả sử dụng băng thông khi truyền tải dịch vụ dữ liệu.  Cung cấp các giao diện ghép nối chuẩn với thiết bị mạng Ethernet.  Cải thiện hiệu năng thiết bị tăng hiệu quả truyền tải dữ liệu với kiến trúc tô – pô ring.  Cải thiện cơ chế kiến tạo kết nối, giảm thiểu thời gian cung ứng dịch vụ tới khách hàng. 1.6.3.1 Các tiêu chuẩn liên quan công nghệ NG-SDH ITU-T đã có một số các khuyến nghị liên quan đến thủ tục tạo khung GFP, giao thức sửa đổi dung lượng tuyến LCAS, kết nối ảo VCAT cho thiết bị NG-SDH. 1.6.3.1.1 ITU-T Rec. G.7041/Y.1303 Quy định giao thức tạo khung chung GFP, bao gồm  Quy định các đặc điểm chung đối với GFP sắp xếp theo khung: tải tin MAC Ethernet, tải tin HDLC/PPP, tải tin kênh quang qua FC-BBW_SONET, điều khiển lỗi trong GFP sắp xếp theo khung, sắp xếp trực tiếp MPLS vào GFP –F.  Quy định các đặc điểm chung đối với GFP sắp xếp theo ký tự: các khía cạnh chung của GFP - T, cực tính trong mã 64B/65B, lỗi tín hiệu đối với từng đối tượng sử dụng, sắp xếp toàn bộ tốc độ số liệu của đối tượng sử dụng có mã 8B/10B thành GFP. 1.6.3.1.2 ITU-T Rec. G.707/Y.1322 Quy định các tín hiệu STM-N tại giao diện nút mạng SDH, bao hàm cả B-ISDN. Trong khuyến nghị này, hai điểm quan trọng cần chú ý  Sắp xếp các tín hiệu nhánh vào các VC-n: các tín hiệu loại G.702, các tế bào ATM, các tín hiệu định dạng khung HDLC, DQDB vào VC-4, FDDI tốc độ 125 000 kbit/s vào VC-4 và sắp xếp các khung GFP.  Liên kết các VC: liên kết nối tiếp X VC-4s (VC-4-Xc, X = 4, 16, 64, 256), liên kết ảo X VC- 3/4s (VC-3/4-Xv, X = 1 ... 256), liên kết nối tiếp X VC-2s trong một VC-3 (VC-2-Xc, X = 1 … 7), liên kết ảo X VC-2/1s. 1.6.3.1.3 ITU-T Rec. G.7042/Y.1305 Quy định giao thức điều chỉnh dung lượng tuyến được sử dụng để chuyển tải dung lượng của container qua mạng SDH hay OTN nhanh hơn thông qua liên kết ảo. Ngoài ra, giao thức này có khả năng hồi phục, tự động giảm dung lượng khi một thành phần mạng bị hỏng và tăng dung lượng trở lại khi sự cố mạng đã được khắc phục. 24 Quy định các trạng thái tại phía nguồn và đích của tuyến cũng như thông tin điều khiển được trao đổi giữa hai phía nguồn và đích để cho phép thay đổi linh hoạt tín hiệu dung lượng container ảo. 1.6.3.1.4 Các thành phần của NG-SDH • VCAT: Ghép ảo (Virtual Concatenation) • GFP: Thủ tục khung chung (Generic Framing Procedure) • LCAS: Cơ chế điều chỉnh dung lượng tuyến (Link Capacity Adjustment Scheme) • L2 Switching: Chuyển mạch lớp 2 Hình 1.16 Các thành phần của NG-SDH 25 1.6.3.1.5Các giao thức chính được bổ sung trong NG-SDH Các giao thức chính được bổ sung trong NG-SDH • Thủ tục định dạng khung chung (GFP): Thủ tục sắp xếp gói số liệu của bất kỳ dịch vụ tuyến số liệu (data link) nào như Ethernet, quảng bá video số (DVB), lưu trữ cục bộ (SAN). So với các thủ tục định dạng khung khác như Packet over SDH hay X.86, GFP có tỉ lệ mào đầu thấp nên không đòi hỏi nhiều quá trình phân tích xử lý. • Liên kết ảo (VCAT): Thủ tục tạo ra một “ống ảo” với kích thước phù hợp cho lưu lượng, độ linh hoạt và khả năng tương thích cao với các kỹ thuật SDH hiện có. • Giao thức điều chỉnh dung lượng tuyến (LCAS): thủ tục báo hiệu thực hiện phân định hay huỷ bỏ các đơn vị băng thông để phù hợp với yêu cầu truyền tải số liệu. 1.6.3.1.5.1 Giao thức ghép khung tổng quát • Được chuẩn hóa trong ITU-T G.7041. • Là giao thức đóng gói cần thiết thích ứng với tính bùng phát của lưu lượng dạng gói. • Hiện tại có hai thủ tục ghép khung thích ứng với tín hiệu khách hàng là o Ghép theo khung (GFP-F) : Toàn bộ một khung (gói) dữ liệu data được ánh xạ vào một khung GFP (dịch vụ được ánh xạ theo khung), thích hợp cho ghép lưu lượng khung MAC Ethernet, các gói PPP/IP và các PDU được đóng khung HDLC …Độ dài khung GFP thay đổi. o Ghép theo trong suốt (GFP-T): GFP ghép theo ký tự được dùng để truyền tốc độ bit liên tục (dịch vụ được ánh xạ theo byte), dữ liệu đối tượng sử dụng mã hoá khối 8B/10B và thông tin điều khiển được chuyển tải trong mạng kênh quang (Fiber Channel), ESCON, FICON và Ethernet Gigabit, tốt với các dịch vụ nhạy cảm về trễ . Độ dài khung cố định, giảm thiểu trễ và truyền dữ liệu hiệu quả. • Kiểu sử dụng tùy thuộc vào dịch vụ Hình 1.17 Sơ đồ kết nối của 2 node NG-SDH 26 o GFP-F: Thích hợp với truyền tín hiệu Ethernet o GFP-T: Có thể ánh xạ bất kỳ tín hiệu dữ liệu nào Cấu trúc ghép khung tổng quát Khung GFP gồm 4 trường:  Mào đầu khung: Xác định độ dài khung GFP, phát hiện lỗi CRC.  Mào đầu tải tin: Xác định loại thông tin được truyền (các khung quản lý, khung khách hàng).  Thông tin tải khách hàng: Tải thực truyền.  Tùy chọn: Phát hiện lỗi FCS. Hình 1.18 Cấu trúc ghép khung tổng quát 27 1.6.3.1.5.2 Liên kết ảo (VCAT) • Được chuẩn hóa trong ITU-T G.7042 • Là giải pháp tăng hiệu suất truyền tải của băng thông có trong các cấp VC của cấu trúc ghép SDH. • Có 2 phương pháp ghép kênh thông dụng để truyền tải các lưu lượng gói dữ liệu qua mạng SDH: Ghép liên tục và Ghép ảo . • Ghép “liên tục” (ITU-T G.707) o Các gói tin lân cận được ghép liên tục với nhau (Continuous concatenation), truyền qua mạng NG SDH như một container. o Các nút mạng tham gia vào đường truyền phải có khả năng nhận dạng và xử lý được container ghép. o Truyền tải một số loại Data không hiệu quả vì thiếu các mức thay đổi băng thông. • Ghép “ảo” (ITU-T G.707) o Ánh xạ từng gói tin vào một liên kết ghép ảo (Virtual concatenation VCAT) gồm nhiều container cơ sở tạo thành. o Ghép một số lượng container bất kỳ, tạo ra nhiều mức băng thông linh động hơn so với ghép liên tục. o Điều chỉnh hiệu quả hơn dung lượng truyền tải theo yêu cầu dịch vụ • Nút mạng khởi tạo và kết cuối o Nhận dạng và xử lý cấu trúc ghép ảo. STM-n 314 Cổng 1 Cổng 2 Cổng n Cổng 1 Cổng 2 Cổng n Hàng đợi Rx Hàng đợi Tx Hệ thống ghép phụ Khung STM Kênh định danh Sắp xếp GFP Giải sắp xếp GFP Đóng gói Sắp xếp Ghép kênh TRUYỀN Phân kênh Giải sắp xếp Giải đóng gói Ethernet MSPP SDH EthernetMSPP Hình 1.19 Quá trình ghép và chuyển tải các khung GFP vào VC container trong các khung STM 28 o Các container cơ sở có thể đi theo các đường khác nhau  có sự lệch pha giữa các container khi đi tới kết cuối  nút kết cuối phải có các bộ đệm trễ, và các cơ chế tái tạo lại VCAT như tại điểm đầu. • Các nút trung gian xử lý các container như các container chuẩn. • Ví dụ truyền kênh dữ liệu 1Gbps o Nếu dùng ghép kênh liên tục (truyền thống): phải sử dụng 1 kênh STM-16 2.5G vơi container VC-4-16c  hiệu suất sử dụng băng thông: 42%. o Sử dụng VCAT (VCG): VC-4-7v - VC-4 là mức cơ bản (150Mbps). - Số phần tử cơ bản của nhóm là 7. - 7 * 150M = 1050M  hiệu suất sử dụng băng thông là 95%. 1.6.3.1.5.3 Cơ chế điều chỉnh dung lượng tuyến (LCAS) • Được định nghĩa trong chuẩn G.7402. • LCAS có thể tự động điều chỉnh và xác định băng thông tương thích cho VCAT. • Hoạt động giữa 2 NE, nối giao tiếp khách hàng với mạng SDH truyền thống. • Cho phép thiết bị đầu phát thay đổi linh hoạt số container của nhóm ghép phù hợp với thay đổi yêu cầu băng thông, theo thời gian thực. • Byte H4/K4: Truyền tải gói điều khiển, là thông tin về VC và các thông số của giao thức LCAS (Link Capacity Adjusment Scheme). 1.6.4 Công nghệ RRR RPR sử dụng vòng song hướng gồm hai sợi quang truyền ngược chiều nhau, cả hai vòng đồng thời được sử dụng để truyền gói dữ liệu và điều khiển. RPR cho phép nhà cung cấp dịch vụ giảm chi phí thiết bị phần cứng cũng như thời gian và chi phí của việc giám sát mạng. Bằng cách tính toán khả năng mạng và dự báo yêu cầu lưu lượng, RPR ghép thống kê và phân phối công bằng băng thông (fairness) cho các node trên vòng để tránh tắc nghẽn có thể mang lại lợi ích hơn nhiều so với vòng SDH/SONET dựa trên ghép kênh phân chia theo thời gian. RPR là giao thức lớp MAC vận hành ở lớp 2 của mô hình OSI, nó không nhận biết lớp 1 nên độc lập với truyền dẫn nên có thể làm việc với WDM, SDH hay truyền dẫn dựa trên Ethernet (sử dụng GBIC - Gigabit Interface Converter). Ngoài ra, RPR đi từ thiết bị đa lớp đến dịch vụ mạng thông minh lớp 3 như MPLS. MPLS kết hợp thiết bị biên mạng IP lớp 3 với thiết bị lớp 2 như ATM, Frame Relay. Sự kết hợp độ tin cậy và khả năng phục hồi của RPR với ưu điểm quản lý lưu lượng và khả năng mở rộng của MPLS VPN và MPLS TE được xem là giải pháp xây dựng MAN trên thế giới hiện nay. 29 1.6.4.1 Động lực thúc đẩy phát triển công nghệ Khi triển khai mạng Metro với các công nghệ chủ yếu là SDH và Ethernet, tồn tại một số vấn đề  Phần lớn hệ thống cáp tại các đô thị được tổ chức theo cấu trúc tô pô ring.  Sử dụng SDH là tiện ích truyền tải lưu lượng sẽ lãng phí băng thông.  Triển khai cấu trúc HUB cho mạng Ethernet lãng phí dung lượng hệ thống.  Cơ chế hoạt động của Ethernet không có cơ chế hỗ trợ truyền tải cấu trúc ring.  Cần tìm ra giải pháp công nghệ phù hợp để giải quyết vấn đề trên. 1.6.4.2 Vòng RPR RPR sử dụng vòng song hướng gồm 2 sợi quang truyền ngược chiều đối xứng nhau. Một vòng được gọi là vòng ngoài (Outer ring), vòng kia được gọi là vòng trong (Inner ring) gọi chung là ringlet. Hai ringlet có thể đồng thời sử dụng để truyền gói dữ liệu và điều khiển. Một node gửi gói dữ liệu trên hướng downstream và gửi gói điều khiển trên hướng ngược lại upstream trên ringlet kia. Hình 1.20 Cấu trúc mạng và khả năng cung cấp dịch vụ RPR 30 1.6.4.3 Ưu điểm của RPR • RPR tận dụng khả năng phục hồi nhanh sự cố tuyến và sự cố nút của công nghệ SDH (<50ms). • RPR tận dụng ưu điểm về giá thành của thiết bị mạng Ethernet. • Tối ưu hóa truyền lưu lượng Ethernet trên mạng ring (đảm bảo tương thích cơ chế hoạt động của Ethernet và duy trì hiệu suất sử dung băng thông hệ thống). • Có khả năng hỗ trợ các mức ưu tiên truyền tải lưu lượng. • Có khả năng phân chia băng thông công bằng trong mạng. • Có khả năng tự phát hiện cấu hình (chức năng Plugin). • Tương thích hoàn toàn với các giao thức truyền tải hiện có. 1.6.4.4 Chức năng tái sử dụng băng thông (spatial reuse) • Trong trường hợp nút mạng RPR thu một khung dữ liệu, nó gỡ bỏ khung dữ liệu trên ring xuống nút mạng thay vì copy khung dữ liệu. • Khung dữ liệu trống quay trở lại nơi gửi theo chiều vòng ring • Băng thông trống khung dữ liệu để lại cho các nút khác sử dụng 1.6.4.4 Chức năng chia sẻ băng thông công bằng • Khi xuất hiện tắc nghẽn tại nút mạng nào đó, nó sẽ truyền một cảnh báo với một giá trị băng thông đề xuất nào đó theo hướng ring ngược lại. • Nút mạng hướng truyền lên sẽ điều chỉnh tốc độ truyền sao cho không vượt quá giá trị băng thông đề xuất. • Các nút mạng chuyển tiếp cảnh báo tới các nút mạng kế tiếp trên hướng lên. • Nếu nút mạng nhận cảnh báo vẫn bị tắc nghẽn nó truyền dữ liệu ở mức tối thiểu và tiếp tục gửi cảnh báo và giá trị băng thông sử dụng của nó tới các nút mạng kế tiếp. Hình 1.21 Vòng RPR 31 1.6.4.5 Chức năng bảo vệ phục hồi • Wrapping: Nếu sự cố hỏng được phát hiện lưu lượng sẽ được loop vòng lại đầu ra nút mạng gần nhất với nơi có sự cố hỏng. Theo đó lưu lượng sẽ được truyền theo chiều ngược lại của ring. • Steering: Nếu sự cố hỏng được phát hiện, các nút mạng kế cận nơi có sự cố hỏng thực hiện chuyển mạch chọn tín hiệu để chuyển lưu lượng sang ring dự phòng. 1.6.4.5.1 Kĩ thuật Wrapping  Một vòng RPR gồm hai vòng sợi quang truyền ngược chiều nhau. Nếu một thiết bị hay sợi quang bị phát hiện có lỗi, lưu lượng đang đi đến và từ hướng bị lỗi sẽ bị wrap ngược về theo hướng đối nghịch trên vòng quang kia. Wrap xảy ra trên node kế cận với lỗi, dưới sự điều khiển của giao thức chuyển mạch bảo vệ.  Một ví dụ đường truyền dữ liệu trước khi xảy ra lỗi như hình 20. Trước khi sợi quang đứt Node 4 gửi lưu lượng đến Node 1 qua con đường Node 46Node 56Node 66Node 1.  Có một lỗi đứt sợi giữa Node 5 và Node 6, Node 5 và Node 6 sẽ wrap lưu luợng vòng Inner qua vòng Outer. Sau khi quá trình Wrap được khởi động, lưu lượng từ Node 4 đến Node 1 sẽ khởi động đi qua con đường Node 46Node 56Node 46Node 36Node 26Node 16Node 66Node 1. 1.6.4.5.2 Kĩ thuật Steering  Đối với bảo vệ Steer, một node sẽ không wrap đoạn bị lỗi trong khi lỗi được phát hiện. Một bản tin yêu cầu sự bảo vệ được gửi đến mỗi node để xác định có lỗi đứt sợi giống như bảo vệ kiểu Wrap. Khi node nhận bản tin yêu cầu xác định lỗi, topology sẽ được cập nhật tương ứng. Nó sẽ nhận trách nhiệm của node lưu lượng nguồn để đổi hướng lưu lượng của vòng Inner hay Outer để tránh đoạn bị lỗi. Hình 1.22 Đường đi của dữ liệu sau khi wrap 32 1.7. Các phương thức truy nhập NGN 1.7.1 Xu hướng chuyển đổi của mạng truy nhập  Hợp nhất các mạng truy nhập trên một hạ tầng thống nhất o Dễ dàng triển khai các dịch vụ truyền thống cũng như các dịch vụ mới. o Giảm đáng kể CAPEX và OPEX.  Các dịch vụ băng rộng (Broadband) là tương lai của mạng cố định.  Các dịch vụ truy nhập không dây băng rộng sẽ phát triển nhanh chóng.  Các dịch vụ truyền thống vẫn đem lại các nguồn doanh thu, lợi nhuận chính cho các nhà cung cấp dịch vụ trong tương lai gần.  Các vấn đề cần quan tâm o Lựa chọn các loại công nghệ truy nhập khác nhau, các loại giao diện khác nhau. o Chi phí đầu tư cho mạng truy nhập chiếm hơn 60% tổng chi phí xây dựng mạng. o Chi phí vận hành mạng truy nhập chiếm 80% tổng chi phí vận hành. Hình 1.23 Đường đi của dữ liệu sau khi phát hiện topology mới 33 1.7.2 Phương thức truy nhập xDSL • Dịch vụ truy nhập xDSL đang chiếm lĩnh thị trường truy nhập băng rộng. Băng thông cung cấp của dịch vụ xDSL càng cao thì cự ly càng ngắn. • Cáp quang hiện đang là một xu hướng phát triển để cung cấp các kết nối tốc độ cao, cự ly truyền dẫn xa và độ ổn định cao tới khách hàng. • Các nhà cung cấp dịch vụ cần cân nhắc tới băng thông cung cấp, khoảng cách tới khách hàng, và chi phí đầu tư để lựa chọn công nghệ truy nhập Hình 1.24 Các phương thức truy nhập NGN Hình 1.25 Cấu trúc mạng truy nhập DSL dùng thiết bị Ethernet – TR-101 34 • ADSL 2+ hoàn toàn tương thích với ADSL tuy nhiên tốc độ cao hơn, và ít tốn nguồn cung cấp hơn (Seamless Rate Adaption - SRA) o Cung cự li: ADSL2+ tốc độ cao hơn. o Cùng tốc độ: ADSL2+ có cự li cung cấp xa hơn • ADSL2+ hiện đã được hoàn thiện và bắt đầu được triển khai thương mại rộng rãi. Trong khi đó, VDSL2 vẫn đang trong giai đoạn nghiên cứu, hoàn thiện. • Đối với cự li truyền dẫn 1.2km thì tốc độ truy nhập của ADSL2+ và VDSL2 là như nhau. Hình 1.26 Truy nhập mạng broadband cố định Hình 1.27 Truy nhập xDSL 35 1.7.3 Phương thức truy nhập FTTx (FTTC, FTTB, FTTH) • Point-to-Point: Cung cấp các kết nối Leased-line cho các khác hàng lớn. • Passive Optical Network-PON: Công nghệ mạng quang thụ động, dải thông được chia đều cho các thuê bao trên một sợi quang bằng thiết bị Splitter. 1.7.4 Phương thức nhập không dây WiMAX • Là công nghệ truy nhập broadband không dây hứa hẹn nhất hiện nay. • Đáp ứng đầy đủ yêu cầu cho các dịch vụ IP/NGN: Data, VoIP. • Khả năng di dộng, thu phát cự li xa, NLOS, thiết bị đầu cuối gọn nhỏ. • 802.16: sử dụng cho truyền dẫn không dây cố định sử dụng dải tẩn số 10–66Ghz. LOS và chỉ dùng cho các kết nối Point-to-Point. • 802.16c: phát triển sử dụng cho hệ thống mạng MAN không dây cố định: LOS, Point-to-Point backhaul, 10–66GHz. • 802.16a: phát triển cho dải tần 2-11GHz, NLOS, các ứng dụng Point-to-Mutilpoint. • 802.16d (802.16-2004): thay thế cho phiên bản trước (802.16a), sử dụng dải tần 2-6GHz, NLOS, ứng dụng cho hệ thống truy nhập không dây Point-to-Multipoint cố định (Fixed & Portable). • 802.16e: sử dụng dải tần 2-6GHz, NLOS, phát triển thêm các khả năng Roaming, truy nhập khi đang di chuyển với tốc độ cao. Ứng dụng cho các dịch vụ truy nhập không dây di động. Hình 1.28 Tuy nhập FTTx 36 1.7.5 Triển khai các thiết bị IP DSLAM và MSAN cung cấp dịch vụ 1.7.5.1 Thiết bị truy nhập MSAN  Cung cấp nhiều loại phương thức truy nhập đồng thời: băng rộng và băng hẹp.  Có các kết nối TDM tới hệ thống cũ để cung cấp dịch vụ băng hẹp.  Các kết nối IP : cung cấp các dịch vụ băng rộng và kết nối tới mạng NGN.  Sẵn sàng nâng cấp lên VoIP (H.248, SIP), và các tính năng QoS, Multicast… để chuyển đổi lên NGN. Cấu trúc thiết bị truy nhập MSAN  Bao gồm 2 bộ phận cơ bản: phần chuyển mạch TDM và phần chuyển mạch IP.  Kiến trúc Bus nội bộ cũng gồm 2 phần tương ứng: Bus TDM cho các dịch vụ băng hẹp (POTS, TDM Leased-line..) và Bus IP cho các dịch vụ băng rộng (xDSL, VoIP).  Giao diện kết nối thoại POTS: V5.2 TDM.  Giao diện kết nối thoại VoIP (H.248, SIP): là các giao diện IP (FE, GE…). Phương án sử dụng thiết bị truy nhập MSAN • MSAN phù hợp triển khai trong giai đoạn chuyển tiếp lên NGN: cơ sở hạ tầng IP chưa hoàn thiện, từng bước triển khai Softswitch. • Triển khai ở nhưng nơi vẫn còn nhu cầu phát triển dịch vụ thoại POTS. Kết nối V5.2 và sử dụng cơ sở hạ tầng có sẵn (truyền dẫn TDM và giao diện V5.2 trên tổng đài). • Kết nối tới hệ thống xDSL bằng TDM hoặc IP để cung cấp dịch vụ. • Chuyển đổi lên NGN o Vẫn dùng các thuê bao cũ để cung cấp dịch vụ voice cho khách hàng. Hình 1.29 Truy nhập qua MSAN 37 o Nâng cấp card Coder VoIP và Card điều khiển báo hiệu (H.248, SIP) để làm việc với Softswitch cung cấp dịch vụ VoIP. o Đấu nối phần uplink IP để cung cấp đông thời các dịch vụ BB và NB 1.7.5.2 Thiết bị truy nhập IPDSLAM  Cấu trúc của IPDSLAM tương đối đơn giản: thông thường gồm 1 Layer 2 Switch được tích hợp trong Card điều khiển làm nhiệm vụ chuyển mạch các gói tin và thực hiện các tính năng lớp 2: STP, Multicast, Q-in-Q…  Hiện nay có một số hãng sản xuất tích hợp phần VoIP vào IPDSLAM để cung cấp dịch vụ thoại NGN trong tương lai. Hình 1.30 Kết nối mạng thiết bị truy nhập MSAN Hình 1.31 Thiết bị truy nhập IPDSLAM 38 Phương án sử dụng thiết bị truy nhập IPDSLAM  IP DSLAM hiện đã được sử dụng tương đối phổ biến trong mạng truy nhập.  IPDSLAM được sử dụng để cung cấp dịch vụ truy nhập HSI.  Hiện nay các IPDSLAM đang được triển khai cung cấp HSI bằng giao thức PPPoE và theo mô hinh 1:1 VLAN  Với bản chất có 1 Layer 2 Switch tích hợp nên mô hình đấu nối của IPDSLAM rất linh động: Ring, Star, String…  Ngoài ra IPDSLAM còn sẵn sàng tính năng Multicast để cung cấp dịch vụ IPTV. Hình 1.32 Phương án sử dụng thiết bị truy nhập IP DSLAM Hình 1.33 Mô hình 1 Vlan cho IP DSLAM 39 1.7.6 Các phương thức truy nhập khác  Gigabit Ethernet: cung cấp bởi mạng MAN-E.  FTTx: Đang trong quá trình cung cấp thử nghiệm.  WiMAX: đã tiến hành thử nghiệm, hiện đang chờ quá trình tiêu chuẩn hóa và thương mại hóa sản phẩm của các nhà cung cấp thiết bị. Các thành phần chính của mạng FTTx  OLT: (Optical line termination) là một thiết bị chuyển mạch được sử dụng trong mạng PON để quản lý các kết nối phía sau Splitter.  LCP (Local Convergence point) Điểm phân phối sợi quang, có thể là những măng xông quang hay các Splitter tuỳ theo công nghệ mạng sử dụng.  NAP (Network Access Point) là điểm truy nhập mạng,NAP có thể chứa măng xông quang hay các Splitter tuỳ theo công nghệ sử dụng: Điểm - điểm hay PON.  ONU/ONT: Đơn vị mạng quang/ Kết cuối mạng quang Optical Network Unit (Optical Network ermination) cung cấp giao diện biến đổi quang điện.  Splitter còn được gọi là cút nối, là một thiết bị lượng tử ánh sáng thụ động, nó có thể chia ánh sáng từ một sợi quang thành 2 hoặc tối đa là 32 sợi quang; Có các loại Splitter sau: 1x4, 1x8, 1x16, 1x32.  Trong mạng FTTx có thể sử dụng các bộ Hub phân phối quang (FDH). Hình 1.34 Cấu hình mạng quang FTTx 40 1.8 Tổ chức lớp điều khiển và dịch vụ trên mạng NGN  Trước khi hướng đến hệ thống điều khiển chung trong tương lai xa (ví dụ như IMS) thì hiện tại cũng như trong vòng 5 năm tới các dịch vụ sẽ theo chiều hướng có các hệ thống điều khiển riêng. Chẳng hạn với dịch vụ VoIP có hệ thống Softswitch; dịch vụ IPTV có các hệ thống SHE, VHO, VSO; dịch vụ HSI có các hệ thống BRAS, AAA.. 1.9 Kết luận chương NGN ra đời là một tất yếu khách quan, việc lựa chọn kiến trúc và công nghệ truyền dẫn cho NGN đặt ra một thách thức lớn đối với các nhà khai thác và cung cấp dịch vụ Viễn thông đặc biệt là trong bối cảnh công nghệ này cũng chưa thật sự chín muồi. Trên thị trường đã có rất nhiều hãng đi tiên phong trong việc sản xuất thiết bị cũng như cung cấp các giải pháp cho NGN có thể kể đến như: Juniper, Cisco, Huawei, Alcatel Lucent,... Chương này đã khái quát được bức tranh chung về NGN mặc dù chưa rõ nét và đầy đủ, nhất là các vấn đề về cung cấp dịch vụ, điều khiển, vận hành và khai thác NGN. Chương 2 sẽ trình bày rõ hơn về việc cấp phát một số dịch vụ điển hình qua NGN đặc biệt là ở phần mạng đô thị. M ?n g tru y nh ?p D?ch v? HSI D?ch v? IPTV D?ch v? VoIP M?ng truy?n t?i băng r?ng K há ch h àn g D?ch v? VPN Giao di?n đi?u khi?n (logic) Giao di?n v?t lý UNI NNI Hình 1.35 Các hệ thống điều khiển riêng cho mỗi dịch vụ 41 Chương 2. MẠNG ĐÔ THỊ 2.1 Tóm tắt chương Chương này trình bày những vấn đề liên quan đến việc cấp dịch vụ VPN L2 và HSI qua mạng đô thị (MAN) ứng dụng công nghệ Ethernet. Đặc biệt là việc áp dụng chuẩn 802.1ad (QinQ) trong việc tách biệt lưu lượng các loại hình dịch vụ và khách hàng với nhau. Những vấn đề công nghệ của Cisco và Huawei đối với các loại hình dịch vụ này được thể hiện trong chương này. 2.2 Tổng quan về mạng MAN và xu hướng phát triển mạng 2.2.1 Những yếu tố thúc đẩy sự phát triển mạng MAN  Sự phát triển bùng nổ các tổ hợp văn phòng, khu công nhiệp, công nghệ cao, các khu chung cư. Sự bùng nổ về nhu cầu và loại hình trao đổi thông tin trong tất cả các lĩnh vực hoạt động của xã hội như kinh tế, văn hóa, giáo dục, khoa học lỹ thuật…  Các mạng nội bộ LAN đáp ứng được nhu cầu trao đổi thông tin với phạm vi địa lý rất hẹp. Hàng loạt các dự án phát triển thông tin của chính phủ, của các nhà cung cấp dịch vụ, các cơ quan, công ty, cơ sở đào tạo.  Định hướng chuyển từ lưu lượng định hướng kênh sang lưu lượng định hướng gói trong các mạng ngày nay. Công nghệ mạng truyền thống (TDM, PSTN) không đáp ứng được nhu cầu truyền tải băng rộng và đa dịch vụ.  Xu hướng công nghệ hướng tới truyền tải gói và truyền tải tích hợp đa dịch vụ (NGN). Các loại hình công nghệ truyền tải NGN (truyền dẫn, chuyển mạch, định tuyến) cho phép kiến tạo các giải pháp thực hiện mạng MAN theo yêu cầu.  Xu hướng tập trung đầu tư xây dựng các mạng nội vùng, chuyển đổi công nghệ, cung cấp đa dịch vụ, đưa dịch vụ tới gần người sử dụng, đạt mục đích cung cấp dịch vụ “mọi nơi, mọi lúc, mọi giao diện”. 2.2.2 Xu hướng phát triển công nghệ Ethernet trên MAN Kể từ khi được phát triển đầu những năm 1980, Ethernet đã trở thành giao thức mạng thống trị các mạng LAN trên Thế Giới với các ưu điểm • Tốc độ không ngừng được nâng cao: 10Mbps -> 10Gbps, 40Gbps. • Cự ly truyền dẫn ngày càng tăng: 10km, 40km, 70km… • Được hầu như tất cả các nhà cung cấp thiết bị trên Thế Giới hỗ trợ • Hiệu quả chi phí: Chi phí đầu tư và vận hành thấp. • Đơn giản o Đã được tiêu chuẩn hóa và không ngừng được phát triển. o Được ứng dụng rộng rãi trong tất cả các tổ chức, doanh nghiệp và thiết bị gia đình. • Độ linh động cao o Quản lý băng thông và mở rộng băng thông kết nối rất dễ dàng. o Hỗ trợ rất nhiều mô hình kết nối (topology) khác nhau. 42 o Tối ưu cho việc truyền tải thông tin dạng gói, đặc biệt là các gói tin IP. Với sự phát triển về mặt công nghệ (Gigabit Ethernet & Optical), các ưu điểm của mình, Ethernet hiện được lựa chọn rộng rãi để xây dựng mạng MAN nhằm đáp ứng nhu cầu ngày càng cao Trong những năm gần đây, với sự phát triển vượt bậc của các công nghệ truy nhập mới (xDSL, FTTx…) và các dịch vụ mới (VoIP, IPTV, VoD…), đặc biệt là xu hướng tiến lên NGN của ác nhà khai thác Viễn thông  Yêu cầu về băng thông kết nối tới các thiết bị truy nhập (IPDSLAM, MSAN) ngày càng cao.  Yêu cầu cơ sở hạ tầng truyền tải phải đáp ứng các công nghệ mới của IP để sẵn sàng cho các dịch vụ mới ngày càng tăng: multicast, end-to-end QoS, bandwitdh-on-demand…  Yêu cầu băng thông cung cấp trực tiếp cho khách hàng (FE, GE)… Tất cả các yêu cầu trên dẫn đến sự phát triển bùng nổ của mạng MAN trong các thành phố, đặc biệt là mạng MAN dựa trên công nghệ Ethernet để truyền tải lưu lượng IP. Tất cả các công nghệ sẽ đóng góp vào việc đạt được những mục đích chung của xây dựng mạng  Cắt giảm các chi phí.  Giảm thời gian cung cấp.  Đối phó với sự tăng nhanh chóng lưu lượng gói.  Tăng lợi nhuận từ các dịch vụ mới.  Đẩy mạnh hiệu suất khai thác mạng. Việc áp dụng công nghệ Ethernet vào mạng MAN mang lại nhiều lợi ích cho cả nhà cung cấp dịch vụ lẫn khách hàng. MAN là một giải pháp mạng có độ tin cậy, khả năng mở rộng và hiệu quả cao về chi phí đầu tư. Việc quản lý băng thông trong MAN cũng được thực hiện một cách dễ dàng. 2.3 Ưu nhược điểm của mạng MAN 2.3.1 Ưu điểm của mạng MAN Tính dễ sử dụng Dịch vụ Ethernet dựa trên một giao diện Ethernet chuẩn, dùng rộng rãi trong các hệ thống mạng cục bộ (LAN). Hầu như tất cả các thiết bị và máy chủ trong LAN đều kết nối dùng Ethernet, vì vậy việc sử dụng Ethernet để kết nối với nhau sẽ đơn giản hóa quá trình hoạt động và các chức năng quản trị, quản lí và cung cấp (OAM &P). Hiệu quả về chi phí Dịch vụ Ethernet làm giảm chi phí đầu tư (CAPEX-capital expense) và chi phí vận hành (OPEX- operation expense)  Sự phổ biến của Ethernet trong hầu hết tất cả các sản phẩm mạng  giao diện Ethernet có chi phí không đắt.  Giá thành thiết bị thấp, chi phí quản trị và vận hành thấp hơn  ít tốn kém hơn những dịch vụ cạnh tranh khác.  Nhiều nhà cung cấp dịch vụ Ethernet cho phép những thuê bao tăng thêm băng thông một cách khá mềm dẻo  cho phép thuê bao thêm băng thông khi cần thiết và họ chỉ trả cho những gì họ cần. 43 Tính linh hoạt Dịch vụ Ethernet cho phép những thuê bao thiết lập mạng của họ theo những cách hoặc là phức tạp hơn hoặc là không thể thực hiện với các dịch vụ truyền thống khác. Ví dụ: một công ty thuê một giao tiếp Ethernet đơn có thể kết nối nhiều mạng ở vị trí khác nhau để thành lập một Intranet VPN của họ, kết nối những đối tác kinh doanh thành Extranet VPN hoặc kết nối Internet tốc độ cao đến ISP. Với dịch vụ Ethenet, các thuê bao cũng có thể thêm vào hoặc thay đổi băng thông trong vài phút thay vì trong vài ngày ngày hoặc thậm chí vài tuần khi sử dụng những dịch vụ mạng truy nhập khác (Frame relay, ATM,…). Ngoài ra, những thay đổi này không đòi hỏi thuê bao phải mua thiết bị mới hay ISP cử cán bộ kỹ thuật đến kiểm tra, hỗ trợ tại chỗ. 2.3.2 Nhược điểm của mạng MAN  Để có thể hỗ trợ cho nhiều ứng dụng và yêu cầu của thuê bao  dịch vụ Ethernet cần có nhiều loại, nhiều thuộc tính dịch vụ khác nhau.  MEF đang tiếp tục định nghĩa và chuẩn hóa các loại dịch vụ và các thuộc tính này, cho phép các nhà cung cấp dịch vụ có khả năng trao đổi giải pháp của họ một cách rõ ràng, các thuê bao có thể hiểu và so sánh các dịch vụ 1 cách tốt hơn  Cập nhật và đào tạo về công nghệ mới, chuẩn mới. 2.4. Kiến trúc mạng MAN của Cisco Tổng quan về kiến trúc của MAN thường đặt trong mối quan hệ với các dịch vụ MAN được cung cấp bởi các nhà cung cấp khác nhau. Mỗi tổ chức lại có 1 cách xây dựng kiến trúc MAN khác nhau. Theo Cisco, kiến trúc MAN được chia thành 5 lớp  Lớp truy nhập (Access)  Lớp kết tập (Aggregation)  Lớp biên (Edge)  Lớp lõi (Core)  Lớp ứng dụng và dịch vụ (Service Application) 44 2.4.1 Lớp truy nhập  Cung cấp truy nhập băng rộng cho các khách hàng là doanh nghiệp và dân cư, dựa trên công nghệ xDSL (ADSL, ADSL 2+, VDSL).  Thiết bị với chức năng UPE (User-Provider Equipment): điểm phân tách giữa khách hàng và mạng nhà cung cấp dịch vụ. thông thường nó là thiết bị lớp 2 đặt tại lớp Access đặt tại CP nhưng được quản lý bởi nhà cung cấp dịch vụ. Chức năng của UPE ban đầu là o Tổng hợp nhiều tuyến nối từ phía khách hàng tại lớp truy nhập. o Định nghĩa các dịch vụ Ethernet bằng cách cung cấp đặc điểm UNI phù hợp, ví dụ 802.1Q tunneling (Q-in-Q) và 802.1Q trunking. o Cô lập lưu lượng khách hàng bằng cách gán giá trị VLAN IDs duy nhất của nhà cung cấp cho mỗi dịch vụ. o Đảm bảo SLA thích hợp bằng cách phân loại lưu lượng, áp đặt chính sách. 2.4.2 Lớp kết tập  Cung cấp dịch vụ vận chuyển giữa lớp mạng truy nhập và lớp mạng biên, bao gồm cả các nút phân phối và tổng hợp kết nối trong topo vật lý khác nhau.  Công nghệ Carrier Ethernet mạng tổng hợp dựa trên IP/MPLS và cho phép các tùy chọn vận chuyển lớp 2 và Lớp 3 ( P2P và MP) dựa trên các yêu cầu dịch vụ đặc biệt.  Thiết bị cho kết tập lưu lượng(Provier Equipment Aggreation - PEAGG): tổng hợp lưu lượng, quản lý tắc nghẽn, ghép dịch vụ, chuyển mạch cục bộ cho các dịch vụ Ethernet. Hình 2.1 Kiến trúc mạng MAN theo Cisco 45 2.4.3 Lớp biên  Dịch vụ và các chính sách điều khiển quản lý của mạng: bảo mật – xác thực 802.1x và bảo mật dựa trên cổng.  Ghép lưu lượng và quản lý tắc nghẽn: liên quan đến QoS như phân lớp, thiết lập chính sách, đánh dấu và xếp hàng, ánh xạ bit 802.1p.  Giao diện quang hoặc đồng. 2.4.4 Lớp lõi  Thực hiện chức năng chuyển tiếp gói tin nhanh (IP/MPLS), quản lý tắc nghẽn và kỹ thuật điều khiển lưu lượng phức tạp, giao diện quang tốc độ cao, sự hội tụ của xử lý gói tin và công nghệ quang. 2.4.5 Lớp ứng dụng và dịch vụ Lớp ứng dụng và dịch vụ cung cấp  Các giao diện quang mật độ cao  Chuyển mạch tốc độ cao  Quản lý tắc nghẽn và lưu lượng phức tạp  Cổng dịch vụ IP và MPLS: lớp định nghĩa dịch vụ VPLS và VPWS, cổng liên kết làm việc dịch vụ VPN L2, VPN L3  Thiết bị ứng dụng dịch vụ lớp 3: dịch vụ nội dung, Firewall, phát hiện xâm nhập,… 2.5 Khuyến nghị TR-101 2.5.1 Tổng quan về TR-101 Hiện nay, mạng xDSL của các nhà khai thác Viễn thông chủ yếu dựa trên kiến trúc ATM. Các mạng này được phát triển cách đây vài năm theo khuyến nghị TR-059 và TR-025 của diễn đàn DSL, tuy đáp ứng được nhu cầu sử dụng Internet tốc độ cao nhưng dần lộ rõ những nhược điểm cần khắc phục. Vì vậy, Diễn đàn DSL đã đưa ra khuyến nghị TR-101 về việc chuyển mạng xDSL từ kiến trúc dựa trên ATM sang kiến trúc dựa trên Ethernet. TR-101 đã định hướng phát triển cho mạng truy nhập DSL để hỗ trợ các công nghệ ADSL2+ và VDSL, QoS, IP Multicast bằng cách tận dụng các lợi điểm do công nghệ Metro Ethernet mang lại. Nội dung chính của TR-101 bao gồm những phần sau đây  Phần 1: Giới thiệu khái niệm tổng quan về mô hình TR-101 khuyến nghị tuân theo.  Phần 2: Các khuyến nghị cho Access node.  Phần 3: Các khuyến nghị cho Ethernet Aggregation node.  Phần 4: Các khuyến nghị cho BNG (BROADBAND NETWORK GATEWAY).  Phần 5: Các vấn đề về Multicast.  Phần 6: Các vấn đề về OAM.  Phần 7: Các vấn đề trong quản trị mạng. 46 Như vậy, TR-101 bao gồm những khuyến nghị với rất nhiều thành phần. Luận văn này giới thiệu những vấn đề chung nhất về TR-101 và một số vấn đề áp dụng trong mạng Viễn thông đối với SP. 2.5.1.1 ATM và những vấn đề liên quan Mạng DSL hiện nay dựa trên mô hình tham chiếu TR-025 hay mới hơn là dựa trên TR-059. Cả hai mô hình này đều dùng ATM để thu gom các mạng truy nhập vào mạng của nhà cung cấp dịch vụ băng thông rộng khu vực. Trong TR-025, BRAS được đặt ở mạng băng rộng khu vực hoặc ở nhà cung cấp dịch vụ, trong khi TR-059 mang BRAS đặt ở mạng băng rộng khu vực. Nhiệm vụ chính của BRAS trong TR-025 là kết cuối PPP (PPP termination), nhưng trong TR-059 được mở rộng thêm chức năng quản lý thuê bao, quản lý chất lượng dịch vụ QoS, quản lý lưu lượng nâng cao,…. Hình 2.2 Mô hình tham chiếu TR-205 Hình 2.3 Mô hình tham chiếu TR-059 47 2.5.1.2 Mô hình tham chiếu TR-101  Trong TR-101, khái niệm cổng mạng băng rộng BNG (Broadband Network Gateway) bao gồm cả chức năng BRAS được mô tả trong TR-092 và các chức năng khác, nhất là khi được sử dụng làm bộ định tuyến ngoại biên (Edge Router) được đưa ra.  Mạng thu gom được định nghĩa trong TR-101 là phần mạng kết nối từ Access Node đến BNG (BRAS trong TR-025 hay TR-059). Như vậy, trong TR-025 và TR-059, mạng kết tập đều dựa trên nền tảng ATM, còn trong TR-101 mạng kết tập là Ethernet. Hình trên mô tả kiến trúc mạng theo khuyến nghị TR-101. Sự thay đổi bao gồm các đặc điểm cơ bản sau  Giao diện V sử dụng Ethernet làm giao thức truyền tải, không sử dụng ATM  Mạng thu gom là Ethernet  Hỗ trợ sử dụng hai hay nhiều BNG  Cung cấp dịch vụ tốc độ cao hơn  Tính khả dụng cao hơn (high availability)  Giao diện U có thể hỗ trợ khung Ethernet trực tiếp trên DSL. Dưới đây là một số thông tin mô tả về các thành phần trong mô hình tham chiếu TR-101. Hình 2.4 Mô hình tham chiếu TR-101 48 2.5.1.2.1 Giao diện U Mô tả ngăn giao thức  Tùy chọn a đến d được mô tả trong TR-043 o Tùy chọn a: IPoEoATM o Tùy chọn b: PPPoEoATM o Tùy chọn c: IPoATM o Tùy chọn d: PPPoATM  Tùy chọn e, f được sử dụng trong trường hợp hỗ trợ khung Ethernet trực tiếp và được gọi là IPoE hay PPPoE. 2.5.1.2.2 Nút truy nhập (Access node) Access node là điểm thu gom đầu tiên của mạng truy nhập DSL, có khả năng:  Kết nối với lớp ATM  Có giao diện Ethernet ở hướng lên (uplink)  Khi cung cấp ATM ở giao diện U, access node có chức năng kết nối giữa ATM ở phía người dùng và Ethernet ở phía mạng, cung cấp chuyển đổi giao thức, xác định mạch vòng truy nhập (access loop), chất lượng dịch vụ (QoS), an ninh (security), bảo trì , bảo dưỡng, quản lý (OAM).  Hỗ trợ Native Ethernet framing.  Hỗ trợ Multicast.  Hỗ trợ tách biệt người dùng (user isolation). Hình 2.5 Chồng giao thức giao diện U 49 2.5.1.2.3 Giao diện V Giao diện V cung cấp các chức năng sau  Thu gom lưu lượng  Phân biệt lớp các dịch vụ (class of service)  Ngăn cách (isolation) và dò vết (traceability) người dùng Vì mạng kết tập là Ethernet nên cả Access Node và BNG đều trang bị giao diện Ethenet, do đó giao diện V là Ethernet. Cơ chế phân tách các mạng Ethernet thành các mạng LAN ảo (VLAN) sử dụng giao thức 802.1q và được bổ sung trong 802.1ad. Các thẻ VLAN (VLAN tag) cho phép nhóm các lưu lượng có chung tính chất, mức độ dịch vụ thành một VLAN có VID=x, các nhóm lưu lượng khác thành một VLAN có VID=y. Như vậy chúng ta đã đánh dấu được lớp các dịch vụ nhờ sử dụng trường ưu tiên gồm 3 bit (3-bit priority) và do đó phân biệt được các dịch vụ này. Ngoài ra, giao diện V còn cho phép lồng 2 thẻ VLAN (double tagging) để cung cấp một tổ hợp 16 triệu (224) VLAN khác nhau. Giao diện U có thể cung cấp thẻ VLAN gọi là C-VLAN tag bên trong (inner tag). Giao diện V cung cấp thẻ VLAN gọi là S-VLAN tag bao bên ngoài (outer tag). Hình 2.6 Chức năng kết nối ATM-Ethernet Hình 2.7 Chồng giao thức giao diện V 50 2.5.1.2.4 Mạng thu gom Ethernet Các mạng kết tập Ethernet cần phải cung cấp các tính năng mà mạng dựa trên ATM cung cấp, ngoài ra nó còn cung cấp các tính năng khác  Hỗ trợ ưu tiên lưu lượng (prioritize traffic) để điều kiển nghẽn  Hỗ trợ Multicast  Cung cấp tính năng khả dụng cao  Hỗ trợ kết nối 802.1ad  Ngăn tách người dùng Mạng thu gom phải hỗ trợ các mạng truy nhập đã triển khai và mạng Metro Ethernet. Đồng thời phải hỗ trợ các tính năng multicast. Dưới đây là một số mô hình mạng thu gom Ethernet 2.6 Công nghệ Ethernet quang (Gigabit Ethernet - GbE) Hiện nay, Ethernet chiếm tới 85% trong ứng dụng mạng LAN. Chuẩn Gigabit Ethernet có thể sử dụng để mở rộng dung lượng LAN tiến tới MAN và thậm chí cả đến WAN nhờ các card đường truyền Gigabit trong các bộ định tuyến IP. Những card này có giá thành rẻ hơn 5 lần so với card đường truyền cùng dung lượng sử dụng công nghệ SDH. Nhờ đó, Gigabit Ethernet trở nên hấp dẫn trong môi trường Metro để truyền tải lưu lượng IP qua các mạch vòng WDM hoặc thậm chí cho cả các tuyến WDM cự ly dài. Hơn thế nữa, các cổng Ethernet 10 Gbit/s đã được chuẩn hoá. Mạng Ethernet tốc độ bit thấp (ví dụ 10Base-T hoặc 100Base-T) sử dụng kiểu truyền hoàn toàn song công, ở đây băng tần truyền dẫn hiệu dụng được chia sẻ giữa tất cả người sử dụng và giữa hai hướng truyền dẫn. Để kiểm soát sự truy nhập vào băng tần chia sẻ có thể dử dụng công nghệ CSMA-CD. Điều này sẽ giảm giới hạn kích thước vật lý của mạng vì thời gian chuyển tiếp không vượt quá “khe thời gian” có độ dài khung nhỏ nhất (chẳng hạn 512 bit đối với 10 Base-T và 100 Base-T. Khi Gigabit Ethernet (1000 Base-X) sử dụng kiểu song công nó trở thành một phương pháp tạo khung và bao gói đơn giản và tính năng CSMA-CD không còn được sử dụng. Chuyển mạch Ethernet cũng được sử dụng để mở rộng tô-pô mạng thay thế cho các tuyến điểm-điểm. Hình 2.8 Mô hình mạng thu gom Ethernet 51 Độ dài cực đại của Gigabit Ethernet là 1500 byte nhưng có thể mở rộng tới 9000 byte (khung jumbo) trong tương lai. Tuy nhiên, kích thước tải lớn hơn sẽ khó tương hợp với các chuẩn Ethernet trước đây và hiện tại cũng chưa có chuẩn nào cho vấn đề này. Khung Ethernet được mã hoá trong sóng mang quang sử dụng mã 8B/10B. Trong 8B/10B mỗi byte mã hoá sử dụng 10 bit nhằm để đảm bảo mật độ chuyển tiếp phù hợp trong tín hiệu khôi phục đồng hồ. Do đó thông lượng đầu ra 1 Gbit/s thì tốc độ đường truyền là 1,25 Gbit/s. Việc mã hoá cũng phải đảm bảo chu kỳ trống được lấp đầy ký hiệu có mật độ chuyển tiếp phù hợp giữa trạng thái 0 và 1 khi các gói không được phát đi nhằm đảm bảo khả năng khôi phục đồng hồ. Gigabit Ethernet cung cấp một số CoS như định nghĩa trong tiêu chuẩn IEEE 802.1Q và 802.1P. Những tiêu chuẩn này dễ dàng cung cấp CoS qua Ethernet bằng cách gắn thêm thẻ cho các gói cùng chỉ thị ưu tiên hoặc mức dịch vụ mong muốn cho gói. Những thẻ này cho phép tạo những ứng dụng liên quan đến khả năng ưu tiên của gói cho các phần tử trong mạng. 2.7 802.1ad (Q inQ )  Công nghệ đóng gói VLAN (VLAN Stacking, VLAN Tunneling) dữ liệu khách hàng phân chia độc lập với những đối tượng dữ liệu khác.  802.1Q VLAN hạn chế số lượng VLAN (cho người dùng) do thẻ VLAN định nghĩa trong IEEE 802,1Q chỉ có 12 bit. (4096 VLAN).  Trong công nghệ QinQ (802.1ad), bên cạnh trường VLAN Tagging 12 bit truyền thống (802.1q), bổ sung thêm một trường Q in Q được thiết kế để mở rộng số VLAN xấp xỉ 16 triệu.  Trường CoS (3 bit) cho phép phân chia được 8 loại yêu cầu chất lượng dịch vụ khác nhau.  Các gói tin có thể được đánh dấu tùy theo dịch vụ hoặc tùy theo khách hàng. 52 2.8 Mô hình mạng MANE đích Trong giai đoạn hiện nay, mạng Metro Ethernet đang từng bước được triển khai. Mô hình chung của hệ thống mạng như sau  Các core switch kết nối vào mạng lõi của MANE thông qua các PE/BRAS. Dự kiến, khi xây dựng hoàn tất, mỗi mạng MAN sẽ kết nối vào mạng lõi của NGN qua 2 PE kết nối full-mesh với 2 core switch của MAN. Kết nối từ core switch đến PE thường là kết nối GE.  Phần truy nhập bao gồm các DSLAM, các thiết bị MSAN, và các thiết bị Carrier Ethernet khác (còn gọi là các access switch). o Các DSLAM kết nối dạng sao đến các access switch bằng các giao diện GE. o Kết nối giữa các access switch và các core switch có thể theo cấu trúc dạng vòng, dạng mesh hoặc dạng sao sử dụng các giao diện GE. Hình 2.9 Mô hình MANE đích 53 o 2.8.1 Các yêu cầu chung đối với mạng MANE  Cung cấp đa dạng dịch vụ: MANE cung cấp một cơ sở hạ tầng thống nhất sẵn sàng cho các loại hình dịch vụ đa dạng: HSI, VoIP, IPTV, Tripple-play, ELine, ELAN…  Hỗ trợ QoS: đảm bảo End-to-End QoS cho các kết nối, có các cơ chế điều khiển băng thông cho các kết nối, phân loại dịch vụ, điều khiển nghẽn…  Độ sẵn sàng cao: có các cơ chế tự động phục hồi kết nối khi có sự cố xảy ra (50ms), tránh sự cố tại một vài điểm có thể ảnh hưởng đến dịch vụ của toàn mạng.  Hiêu năng cao: băng thông lớn, trễ thông tin nhỏ…  An ninh, an toàn: có các cơ chế xác thực, áp dụng các chính sách an ninh mạng, phòng chống các hình thức tấn công.  Độ linh động cao, khả năng mở rộng dễ dàng.  Sử dụng các giao thức, phương thức đã được tiêu chuẩn hóa.  Khả năng quản lý tập trung, thiết lập các thông số dịch vụ dễ dàng.  Tối ưu hóa chi phí  Sử dụng các thiết bị Carrier Ethernet Switch (CES) tạo thành mạng MAN truyền tải IP/Ethernet.  Kiến trúc mạng: đấu vòng (Ring), sao (Star) hoặc nối tiếp trong các trường hợp bắt buộc.  Sử dụng các cổng kết nối nx1GE hoặc nx10GE qua cáp quang. Hình 2.10 Sơ đồ tóm tắt các công nghệ có thể được sử dụng cho MANE 54 2.8.2 Một số khuyến nghị cho lớp truy nhập (Access)  Bao gồm các CES lắp đặt tại các trạm Viễn thông, kết nối với nhau và kết nối tới ring core bằng cáp quang trực tiếp.  Tùy theo điều kiện, lớp truy nhập có thể sử dụng kết nối dạng hình sao, ring (trong một ring tối đa từ 4 - 6 thiết bị CES), hoặc đấu nối tiếp nhau (tối đa đấu nối tiếp từ 4 - 6 thiết bị CES). Để đảm bảo an toàn các vòng Ring Access sẽ được kết nối tới 2 thiết bị Core CES khác nhau. Vị trí lắp đặt các CES truy nhập thường đặt tại các điểm thuận tiện cho việc thu gom truyền dẫn kết nối đến các thiết bị truy nhập (như MSAN/IP-DSLAM,…)  Kết nối tới mạng Core IP/MPLS: Để đảm bảo mạng hoạt động ổn định cao, kết nối từ mạng MANE tới mạng trục IP/MPLS NGN sẽ thông qua 2 thiết bị core CES của mạng MANE (để dự phòng và phân tải lưu lượng). Các thiết bị MSAN / IP DSLAM cũng như các khách hàng lớn sử dụng thuê bao FE/GE sẽ chỉ được đấu và các Access CES (không đấu vào Core CES) để đảm bảo an toàn cho mạng 2.9 Cung cấp dịch vụ qua MANE 2.9.1 Kết nối IP DSLAM, MSAN, Switch lớp 2 vào mạng MANE Mạng MANE gồm các thiết bị: BRAS (kết cuối dịch vụ Internet), PEAGG (thiết bị MAN Core), UPE (thiết bị MAN Access). Thiết bị mạng truy nhập (IP DSLAM, MSAN, Switch lớp 2, thiết bị mạng truy nhập quang) sẽ đấu nối vào UPE của mạng MANE theo sơ đồ hình sao, chuỗi. Để đảm bảo chất lượng dịch vụ và đơn giản cho việc cấu hình, quản lý thiết bị, sơ đồ đấu nối thiết bị mạng truy nhập theo kiểu vòng sẽ không được sử dụng. Trong trường hợp cáp quang thường xuyên bị đứt, nhằm mục đích dự phòng, các IP DSLAM (MSAN, Switch lớp 2,…) có thể đấu nối theo kiểu vòng dự phòng “nguội”. Nghĩa là vòng IP DSLAM (MSAN, 55 Switch lớp 2,…) sẽ được cấu hình để lưu lượng các dịch vụ chạy về 1 hướng của vòng (hướng chính), hướng còn lại (hướng dự phòng) của vòng chỉ được nối cáp quang mà chưa được cấu hình để chạy dịch vụ. Chỉ khi hướng chính của vòng IP DSLAM (MSAN, Switch lớp 2,…) bị đứt thì mới bắt đầu cấu hình trên IP DSLAM (MSAN, Switch lớp 2,…) và UPE của mạng MANE để lưu lượng dịch vụ chạy theo hướng dự phòng. 2.9.2 Cấu hình thiết bị trong mạng MANE để cung cấp dịch vụ Khi cung cấp dịch vụ trong mạng MAN-E, các thiết bị trong mạng MAN-E và mạng truy nhập sẽ phân biệt dịch vụ qua chỉ số S-VLAN trên gói dữ liệu. Việc phân bổ dải địa chỉ S-VLAN và cấp phát S- VLAN được thực hiện trên thiết bị mạng MAN-E hay thiết bị mạng truy nhập sẽ tùy thuộc vào dịch vụ. 2.9.2.1 Dịch vụ HSI 2.9.2.1.1 Khách hàng là cá nhân Đối với dịch vụ High Speed Internet (HSI), mạng MANE của SP đóng vai trò là mạng truyền tải và BRAS là thiết bị kết cuối dịch vụ. Các thiết bị tham gia vào cung cấp dịch vụ HSI từ phía SP đến thuê bao bao gồm  BRAS  PEAGG ( Router Core của mạng MANE)  UPE (Router Access của mạng MANE)  IP DSLAM / MSAN / FTTx (các thiết bị thuộc mạng truy nhập)  Thiết bị truy nhập phía khách hàng (modem xDSL, router,…) 2.9.2.1.2 Khách hàng là SMB (Small/Medium Business)  Dịch vụ SMB là dịch vụ mà ngoài việc truy nhập Internet như các khách hàng cá nhân thông thường, ở phía mạng khách hàng còn có thể có các server (Ví dụ: mail server, web server, content server),… Dịch vụ SMB chia làm 2 loại o Khách hàng có router. o Khách hàng không có router (sử dụng switch). Hình 2.12 Sơ đồ tổng quan cơ chế hoạt động của dịch vụ HSI 56 Cơ chế hoạt động của dịch vụ SMB với khách hàng có router  SOHO (Small Office HOme) gateway gửi IpoE request.  Switch thu gom (Agg switch) đóng gói S-VLAN vào gói tin.  UPE thiết lập VPLS với PE-AGG.  PE-AGG kết cuối VPLS và gửi request lên router PE của IP Core.  Router PE cấp phát 1 địa chỉ IP public cho SOHO gateway.  Các server gửi DHCP request đến SOHO gateway.  SOHO gate way cấp phát địa chỉ cho NAT server và các server khác. 57 Cơ chế hoạt động của dịch vụ SMB với khách hàng không có router  Các server gửi IPoE request.  Switch thu gom đóng gói S-VLAN.  UPE thiết lập phiên VPLS với PEAGG.  PEAGG kết cuối phiên VPLS và gửi request đến PE của IP Core.  PE cấp phát cho mỗi server của doanh nghiệp 1 địa chỉ IP public. Hình 2.14 Dịch vụ SMB, khách hàng không có Gateway 58 Hình 2.15 Sơ đồ tổng thể dịch vụ HSI trên IP DSLAM / MSAN Hình 2.16 Sơ đồ tổng thể dịch vụ HSI trên Switch L2 59 2.9.2.2 Dịch vụ VPN L2 2.9.2.2.1 Dịch vụ E-LINE Dịch vụ E-LINE dành cho khách hàng doanh nghiệp có nhu cầu kết nối VPN L2 điểm-điểm. Cơ chế hoạt động của dịch vụ E-LINE  Đối với dịch vụ E-LINE nội tỉnh, UPE sẽ thiết lập VLL trực tiếp với nhau (mô hình bên trái trong hình 48).  Đối với dịch vụ E-LINE liên tỉnh, UPE thiết lập VLL với PEAGG, lưu lượng giữa các tỉnh được chuyển qua IP Core (mô hình bên phải hình 48).  Tag dot1Q được gán cho khách hàng, mỗi khách hàng khác nhau có VC-ID khác nhau. UPE và PEAGG không phải học địa chỉ MAC.  Với các khách hàng có nhu cầu truy nhập Internet, PE sẽ kết cuối VLAN. Hình 2.17 Dịch vụ E-LINE 60 2.9.2.2.2 Dịch vụ E-LAN Dịch vụ E-LAN dành cho khách hàng doanh nghiệp có nhu cầu kết nối VPN L2 đa điểm – đa điểm. Cơ chế hoạt động của dịch vụ E-LAN như sau  Đối với cả dịch vụ E-LAN nội tỉnh và liên tỉnh, UPE sẽ thiết lập VPLS với 2 PEAGG.  Khách hàng doanh nghiệp khác nhau được định nghĩa trong các VSI khác nhau, 1 khách hàng 1 VLAN.  PE-AGG không kích hoạt tính năng split horizon. Các PE-AGG không thiết lập VPLS peer với nhau để tránh lặp vòng (loop) với IP Core. Để bảo vệ link, tính năng MAC-withdraw được kích hoạt trên PEAGG.  Tag dot1Q được gán cho khách hàng tại UPE. Tính năng học địa chỉ MAC trên VSI được kích hoạt trên PEAGG, nhưng số lượng MAC học được cần phải bị giới hạn.  Các khách hàng nối đến cùng UPE có thể liên lạc nội bộ với nhau trên VSI. 2.10 Kết luận chương  Triển khai mạng MAN là một nhu cầu cấp bách nhằm đáp ứng nhu cầu cung cấp dịch vụ trao đổi, liên kết chia sẻ dữ liệu ngày càng gia tăng.  Mạng cần có khả năng tích hợp đa dịch vụ băng rộng trên cùng một cơ sở hạ tầng tạo điều kiện để quản lý thống nhất dễ dàng cho quản lý, mở rộng, nâng cấp, tiết kiệm chi phí đầu tư.  Mạng có năng lực truyền tải, phục vụ kết nối với các mạng khác, cung cấp đa giao diện, đa tốc độ. Hình 2.18 Dịch vụ E-LAN 61 Chương 3. PHÂN TÍCH KIẾN TRÚC VÀ CÁC THÀNH PHẦN AN NINH X.805 DO ITU-T ĐỀ XUẤT 3.1 Tóm tắt chương Nội dung chương này tập trung mô tả kiến trúc an ninh X.805 do ITU-T đề xuất 3.2. Phân tích các lớp (Layer) an ninh trong X.805 Để cung cấp giải pháp an ninh từ đầu cuối đến đầu cuối, các biện pháp an ninh phải được áp dụng cho từng thiết bị (hay thực thể chức năng), một thiết bị hay thực thể chức năng nào đó được phân lớp trừu tượng dưới dạng lớp hạ tầng, lớp dịch vụ và lớp ứng dụng - điều này tạo ra khái niệm lớp an ninh. Điều này tạo ra sự phân cấp trong việc bảo vệ các thiết bị hay thực thể chức năng, các thực thể dường như là được bảo vệ theo vòng. Việc phân lớp an ninh trong từng thiết bị hay thực thể chức năng tạo điều kiện thuận lợi cho việc xác định cách thức bảo vệ các phần tử mạng lớp cao dựa trên sự bảo vệ ở lớp dưới. Trong khuyến nghị này, có ba lớp an ninh được định nghĩa đó là  Lớp an ninh cơ sở hạ tầng  Lớp an ninh các dịch vụ  Lớp an ninh các ứng dụng Tất cả những lớp an ninh này xây dựng dựa vào nhau để tạo thành giải pháp an ninh tổng thể cho mạng. Cách thức xử lý theo mô hình phân lớp sẽ thực hiện như sau: Các lỗ hổng an ninh được xử lý tại lớp an ninh cơ sở hạ tầng, sau đó xử lý tại lớp dịch vụ, cuối cùng các lỗ hổng an ninh được xử lý tại mức ứng dụng. Hình 3.1 minh hoạ việc áp dụng các biện pháp an ninh vào các lớp an ninh để khắc phục các lỗ hổng an ninh và giảm thiểu nguy cơ tấn công. 3.2.1 Lớp an ninh cơ sở hạ tầng Hình 3.1 Áp dụng các biện pháp an ninh vào các lớp an ninh 62 Lớp an ninh cơ sở hạ tầng bao gồm tập hợp các phương tiện truyền dẫn cũng như các phần tử mạng được bảo vệ bằng các biện pháp an ninh. Lớp cơ sở hạ tầng là thành phần cơ bản xây dựng nên mạng, các dịch vụ mạng và các ứng dụng trên đó. Các thành phần thường thấy trong lớp cơ sở hạ tầng mạng đó là: router, switch và các server cũng như các tuyến truyền thông nối giữa các thiết bị đó. 3.2.2 Lớp an ninh các dịch vụ Lớp an ninh các dịch vụ giải quyết các vấn đề an ninh của các dịch vụ mà các nhà cung cấp đưa tới khách hàng. Những dịch vụ này bao gồm các dịch vụ truyền tải cơ bản cũng như các dịch vụ hỗ trợ dùng để hỗ trợ các dịch vụ khác (người sử dụng dùng trực tiếp dịch vụ này). Một số dịch vụ hỗ trợ thường thấy đó là: Dịch vụ hỗ trợ người dùng truy cập Internet (các dịch vụ AAA, dịch vụ DHCP, dịch vụ DNS,..), một số dịch vụ hỗ trợ giá trị gia tăng như là dịch vụ thông tin vị trí, dịch vụ chat,… Lớp an ninh dịch vụ được dùng để bảo vệ các nhà cung cấp dịch vụ và khách hàng của họ, cả hai đối tượng này là mục tiêu của các nguy cơ. Chẳng hạn, kẻ tấn công có thể nhằm vào nhà cung cấp dịch vụ để hạn chế khả năng cung cấp dịch vụ của họ hay làm gián đoạn dịch vụ cho một khách hàng nào đó (có thể là một tổng công ty) của nhà cung cấp dịch vụ. 3.2.3 Lớp an ninh các ứng dụng Lớp an ninh ứng dụng tập trung vào an ninh cho các ứng dụng chạy trên mạng được truy nhập bới khách hàng. Những ứng dụng này được thực thi nhờ sự hỗ trợ của các dịch vụ mạng và bao gồm một số ứng dụng điển hình như ứng dụng truyền file (FTP), ứng dụng duyệt Web (HTTP/HTTPS). Một số ứng dụng cơ bản như tra số điện thoại, ứng dụng thư điện tử và thư thoại, thương mại điện tử,… Các ứng dụng có thể được cung cấp bởi nhà cung cấp dịch vụ ứng dụng (ASP) thứ 3. 3.3 Phân tích các mặt phẳng (plane) an ninh trong X.805 Trong mạng, để tiện cho việc bảo vệ thông tin người ta phân biệt các hoạt động ra thành các loại hoạt động khác nhau. Mặt phẳng an ninh là kiểu hoạt động mạng nào đó được bảo vệ bằng các biện pháp an ninh. Trong khuyến nghị này luận văn chỉ đề cập đến 3 kiểu hoạt động cần được bảo vệ ứng với 3 mặt phẳng an ninh  Mặt phẳng an ninh quản lý  Mặt phẳng an ninh điều khiển  Mặt phẳng an ninh người sử dụng Những mặt phẳng an ninh này đề cập đến các nhu cầu về an ninh kết hợp với các hoạt động quản lý mạng, hoạt động báo hiệu và điều khiển mạng và hoạt động liên quan đến người sử dụng tương ứng. Các mạng nên được thiết kế theo cách để làm sao các sự kiện xảy ra đối với mặt phẳng an ninh này được cách ly hoàn toàn với các mặt phẳng an ninh khác. 63 3.3.1 Mặt phẳng an ninh quản lý Mặt phẳng an ninh quản lý liên quan đến việc bảo vệ các chức năng OAM&P của các phần tử mạng, các phương tiện truyền dẫn, các hệ thống hỗ trợ (các hệ thống hỗ trợ vận hành, hệ thống hỗ trợ kinh doanh, hệ thống hỗ trợ khách hàng,…) và các trung tâm dữ liệu. Mặt phẳng an ninh quản lý hỗ trợ các chức năng liên quan đến lỗi hệ thống, dung lượng hệ thống, quản trị hệ thống, độ khả dụng và an ninh hệ thống. 3.3.2 Mặt phẳng an ninh điều khiển Mặt phẳng an ninh điều khiển liên quan đến việc bảo vệ các hoạt động nhằm cho phép phân bổ thông tin, các dịch vụ và ứng dụng một cách hiệu quả trên mạng. Hoạt động trong mặt phẳng điều khiển thường bao gồm các dòng thông tin giữa các thiết bị trong mạng để xác định đường đi tốt nhất trong mạng. Kiểu thông tin này thường được gọi là thông tin điều khiển hay báo hiệu. Thành phần mạng dùng để vận chuyển những kiểu gói tin này có thể dùng chung hay tách rời khỏi lưu lượng người sử dụng của nhà cung cấp dịch vụ. 3.3.3 Mặt phẳng an ninh người sử dụng Mặt phẳng an ninh người sử dụng đề cập đến các vấn đề an ninh của việc truy nhập và sử dụng mạng của nhà cung cấp dịch vụ từ phía khách hàng. Mặt phẳng này liên quan đến dòng lưu lượng của người sử dụng. 3.4 Phân tích các nguy cơ (threat) an ninh trong X.805 Kiến trúc an ninh xác định nên một lược đồ và một tập các nguyên lý dùng để mô tả giải pháp an ninh từ đầu cuối đến đầu cuối. Kiến trúc này cũng chỉ ra các vấn đề an ninh cần phải được giải quyết để ngăn chặn các nguy cơ có chủ định cũng như các nguy cơ ngẫu nhiên. Các nguy cơ được nêu ra ở đây được mô tả trong ITU-T Rec.X.800 (1991) là  Phá huỷ thông tin hay các tài nguyên khác (Destruction of Information & Resource)  Sửa đổi thông tin (Information Corruption and Modification)  Đánh cắp thông tin hay các tài nguyên khác (Theft of Information)  Làm lộ thông tin (Disclosure of Information)  Làm gián đoạn các dịch vụ (Interruption of Service) 3.5 Phân tích các giải pháp (dimension) an ninh trong X.805 Đứng trước các nguy cơ an ninh hiện có, các biện pháp an ninh cần thiết phải được thực hiện một cách chặt chẽ cho hệ thống. Xem xét một cách có hệ thống, có thể thấy nhìn chung các biện pháp an ninh được phân chia thành một số biện pháp dưới đây. Mỗi biện pháp có thể được thực hiện bởi các cơ chế khác nhau, do đó ứng với mỗi biện pháp chúng ta cũng đề cập luôn đến phần cơ chế để thực hiện biện pháp đó. 64 3.5.1 Điều khiển truy nhập (Access Control)  Phương pháp này nhằm hạn chế và điều khiển việc truy nhập vào các phần tử mạng, các dịch vụ và các ứng dụng.  Một số cơ chế phổ biến để thực hiện biện pháp này đó là: Sử dụng mật khẩu, sử dụng danh sách điều khiển truy nhập (ACL), sử dụng Firewall. 3.5.2 Nhận thực người sử dụng (Authentication)  Phương pháp này sử dụng nhận dạng người sử dụng để kiểm tra tính đúng đắn của người sử dụng.  Một số cơ chế phổ biến để thực hiện biện pháp này: sử dụng khoá chia sẻ, sử dụng hạ tầng khoá công cộng, sử dụng chữ ký số, sử dụng chứng chỉ số. 3.5.3 Chứng minh tránh phủ nhận (Non-Reputation)  Phương pháp này nhằm ngăn chặn khả năng người sử dụng nào đó từ chối hành động mà họ đã thực hiện vào mạng.  Một số cơ chế phổ biến để thực hiện biện pháp này chúng ta thường thấy đó là: sử dụng cơ chế ghi lại sự kiện hệ thống, sử dụng chữ ký số. 3.5.4 Bảo mật dữ liệu (Confidentiality of Data)  Phương pháp này nhằm đảm bảo tính bí mật cho dữ liệu của người sử dụng tránh không được biết bởi người không mong muốn.  Cơ chế phổ biến để thực hiện biện pháp này đó là: mật mã 3.5.5 Đảm bảo an toàn trong quá trình truyền dữ liệu (Communication)  Phương pháp này nhằm đảm bảo dòng thông tin chỉ đi từ nguồn đến đích mong muốn, các điểm trung gian không muốn được biết thông tin không thể truy nhập vào dòng thông tin.  Một số cơ chế phổ biến để thực hiện biện pháp này đó là: sử dụng VPN thông qua MPLS hay một số giao thức như là L2P,.. 3.5.6 Đảm bảo toàn vẹn dữ liệu (Data Integrity)  Phương pháp này nhằm đảm bảo rằng dữ liệu nhận được và được phục hồi là giống với dữ liệu đã được gửi đi từ nguồn.  Một số cơ chế phổ biến để thực hiện biện pháp này là: sử dụng thuật toán băm MD5, sử dụng chữ ký số, sử dụng phần mềm chống Virus. 65 3.5.7 Đảm bảo tịnh khả dụng (Avaiability)  Phương pháp này nhằm đảm bảo cho người sử dụng hợp lệ luôn có thể sử dụng các phần tử mạng, các dịch vụ và các ứng dụng.  Một số cơ chế phổ biến để thực hiện biện pháp này là: sử dụng hệ thống phát hiện / ngăn ngừa truy nhập trái phép (IDS / IPS), sử dụng cơ chế dự phòng (Reduntdance). 3.5.8 Đảm bảo tính riêng tư cho người sử dụng (Privacy)  Phương pháp này nhằm đảm bảo tính riêng tư cho nhận dạng và việc sử dụng mạng của người sử dụng.  Một số cơ chế phổ biến để thực hiện biện pháp này là: sử dụng NAT, sử dụng mật mã. 3.6 Quan hệ giữa các nguy cơ và các giải pháp an ninh Phần giao giữa lớp an ninh với mặt phẳng an ninh thể hiện một khía cạnh an ninh (module dịch vụ an ninh), tại đó các biện pháp an ninh được áp dụng để chống lại các nguy cơ an ninh. Bảng 3.1 đưa ra mối quan hệ giữa các biện pháp an ninh và nguy cơ an ninh. Quan hệ này có thể áp dụng cho mỗi khía cạnh an ninh. Chữ “Y” trong mỗi ô thể hiện việc nguy cơ an ninh ở cột tương ứng sẽ bị ngăn chặn bởi biện pháp an ninh tại hạ tầng tương ứng. Đây là một bảng rất quan trọng, dựa vào đó có thể tìm ra các loại giải pháp có thể đối với một loại nguy cơ. Bảng 3.1 Mối quan hệ giữa các nguy cơ và biện pháp an ninh 66 3.7 Kết luận chương Có thể thấy bảng phân loại các nguy cơ và giải pháp an ninh của ITU-T X.805 là một gợi ý rất quan trọng dù không đưa ra các giải pháp cụ thể. Dựa trên các đặc điểm này, trong các chương sau Học viên sẽ đưa ra đề xuẩt về cách thức áp dụng ITU-T X.805 để giải quyết bài toán an ninh mạng NGN. 67 Chương 4. PHÂN TÍCH ÁP DỤNG KHUYẾN NGHỊ X.805 CHO THIẾT KẾ AN NINH MẠNG NGN 4.1 Tóm tắt chương Chương này trình bày cách tiếp cận và những bổ sung cần thiết cho X.805 do nhóm nghiên cứu và học viên tại CDiT đề xuất. Kết quả của chương này là đưa ra được một quy trình có độ tin cậy cao làm sở cữ khoa học vững chắc cho việc đề xuất giải pháp và những khuyến nghị đảm bảo an ninh cho các thiết bị mạng trong NGN của SP. 4.2 Một số thuật ngữ khái niệm cần thống nhất 4.2.1 Phần tử mạng (NE: Network Element) Là một thành phần cấu thành mạng, thông thường đó là một thiết bị mạng (IP DSLAM, MSAN, UPE, PEAGG, BRAS…) 4.2.2 Yêu cầu an ninh (SR: Security Requirement) Để đảm bảo an ninh, mạng nói chung và các NE cần đảm bảo các SR (có khả năng chống tràn bảng CAM, chống giả mạo MAC hay VLAN,…). Các SR được chia làm 3 cấp độ theo thứ tự tăng dần của độ bắt buộc bao gồm: - NÊN (SHOULD) - CÓ THỂ (MAY) - PHẢI hoặc BẮT BUỘC (MUST) hoặc ở dạng phủ định như: - KHÔNG NÊN (SHOULD NOT) - CÓ THỂ KHÔNG (MAY NOT) - KHÔNG ĐƯỢC (MUST NOT) 4.2.3 Phần tử an ninh (NSE: Security Element) NSE là một NE đặc biệt, nó chỉ thực hiện chức năng an ninh. Mục đích của NSE là đảm bảo an ninh cho các NE khác trong mạng. Trong các giải pháp an ninh cho mạng, ngoài Yêu cầu về an ninh cho các NE của mạng, đối với các mạng bản thân các NE tự thân không thể đảm bảo được an ninh từ các nguy cơ bên ngoài thì cần có sự trợ giúp của các NSE. Ví dụ điển hình của NSE có thể kể đến như Firewall, IPS, IDS, SBG,…. 4.2.4 Miền an ninh (SD: Security Domain) SD là một khái niệm logic, nó có thể là một phân đoạn mạng, một thiết bị, hay đơn thuần chỉ là một phân lớp (theo mô hình OSI) hay một giao thức,… Một SD là một đối tượng cần đảm bảo an ninh và có những yêu cầu an ninh đặc thù. Đây là khái niệm do CDiT đề xuất và sử dụng xuyên suốt báo cáo 68 này. Mạng NGN trước khi áp dụng X.805 để xây dựng giải pháp an ninh cần được phân rã ra các SD phù hợp. 4.3 Hiện trạng nghiên cứu về an ninh NGN của các tổ chức chuẩn hoá Tại Việt Nam, các công việc nghiên cứu liên quan đến lý thuyết cũng như các liên quan đến xây dựng phương án thực tế nhằm đảm bảo an toàn cho mạng NGN còn rất hạn chế. Trên thế giới, vấn đề an ninh NGN trở thành tâm điểm và thu hút rất nhiều sự quan tâm của cả các tổ chức chuẩn hoá cũng như các nhà sản xuất thiết bị viễn thông. Sau những nỗ lực chuẩn hoá về kiến trúc mạng cũng như những vấn đề xung quanh các tổ chức chuẩn hoá lớn như ITU, ETSI, 3GPP… đã tập trung khá nhiều vào việc nghiên cứu an ninh cho NGN, các chủ đề nghiên cứu trong an ninh cho NGN được thực hiện khá đa dạng, tuy nhiên hiện các chuẩn công nghệ hoàn chỉnh giải quyết đến những vấn đề cụ thể trong an ninh NGN thì gần như chưa có. Các nhà sản xuất thiệt bị lớn như Alcatel, Cisco, Huawei… bên cạnh giải pháp NGN mà họ đưa ra thì đều cũng giới thiệu giải pháp an ninh cho mạng NGN. Gần như tất cả các hãng đều nhận ra tầm quan trọng của vấn đề an ninh cho NGN khi được triển khai trên quy mô rộng, họ cho đó là điều bắt buộc cần phải triển khai chứ không còn là sự tuỳ chọn, tuy nhiên qua các tài liệu mà học viên nghiên cứu được thì các hãng chỉ đưa ra những vấn đề chung mang tính chất nguyên tắc và gợi mở còn chi tiết và cách thức thực hiện giải pháp luôn là bí mật của từng hãng và không được công bố rộng rãi. 4.3.1 Lựa chọn framework an ninh Trước hết chúng ta xem xét các công việc mà các tổ chức chuẩn hóa đã thực hiện liên quan đến vấn đề an ninh cho NGN.  ITU: Trước đây trong phần phụ lục của khuyến nghị Y.2012 (Functional requirements and architecture of the NGN release 1) có nêu ra chức nnăg của phần tử SBC - Session/border control (S/BC) và gần đây ban hành khuyến nghị chính thức Y.2701 (4/2007) về Yêu cầu an ninh cho NGN. Ngoài ra các chuẩn liên quan đến an ninh NGN của ITU gần như không có. Một tập các khuyến nghị liên quan đến vấn đề an ninh của ITU đó là tập X.8xx, trong đó đáng chú ý là X805 (10/2003): Kiến trúc an ninh từ đầu cuối đến đầu cuối cho mạng chuyển mạch gói nói chung.  IETF: Các chuẩn công nghệ giải quyết vấn đề an ninh cho phần mạng truyền tải IP, không phải cho các ứng dụng trên đó.  3GPP: Kiến trúc an ninh cho mạng truy nhập di động với kiến trúc điều khiển theo lõi IMS hướng đến mạng hội tụ, tuy nhiên cũng chưa rõ ràng.  ETSI: Tổ chức này đã đưa ra các chuẩn công nghệ liên quan đến một số vấn đề an ninh của NGN như: Phân tích nguy cơ, Yêu cầu an ninh, và Kiến trúc an ninh cho NGN theo IMS nhưng còn rất chung chung mang tính nguyên tắc chưa thể áp dụng được.  Nhìn chung có thể thấy là khuyến nghị X.805 của ITU về Kiến trúc an ninh từ đầu cuối đến đầu cuối cho các hệ thống truyền thông là một trong những nền tảng cho việc nghiên cứu vấn đề an ninh trong các mạng gói và cũng là nền tảng để xây dựng các khuyến nghị khác về an ninh từ đầu cuối đến đầu cuối. Mặc dù chuẩn công nghệ này áp dụng một cách tương đối tổng quát cho mọi công nghệ mạng bên dưới (không phải với mục đích sử dụng cho riêng mạng NGN) và hiện tại vẫn chưa có một tài liệu nào công bố về việc áp dụng chuẩn này cho mạng 69 NGN. Qua quá trình nghiên cứu các tài liệu chuẩn về vấn đề an ninh của một số tổ chức đó, học viên xác định sẽ sử dụng khuyến nghị này để xây dựng một cơ sở lý thuyết chính cho việc xây dựng giải pháp an ninh đối vói mạng NGN. Do đó, trong phần này học viên sẽ đi sâu phân tích nội dung của khuyến nghị X.805, làm rõ được qui trình cách thức áp dụng của chúng. Và trong phần tiếp sau đó, toàn bộ kết quả của việc phân tích trong phần này sẽ được áp dụng trực tiếp sang mạng NGN, được diễn tả dưới ngôn ngữ của các phần tử trong NGN.  Khuyến nghị X.805 nhằm xây dựng được một tập các phần tử kiến trúc (các thành phần trong kiến trúc) liên quan đến việc thực hiện chức năng an ninh tổng quát để có thể cung cấp cơ chế an ninh từ đầu cuối đến đầu cuối (end-to-end security). 4.3.2 Phân tích khuyến nghị X.805 4.3.2.1 Đánh giá ưu nhược điểm của X.805 Ưu điểm  Là một Framework rất rõ ràng và bài bản.  Đưa ra đầy đủ định nghĩa vễ các Nguy cơ và các Giải pháp tổng quát tương ứng rất thuận lợi cho việc xây dựng các Giải pháp an ninh end-to-end cho một đối tượng. Nhược điểm  Chưa chỉ rõ loại nguy cơ xuất phát từ bên trong hay từ các tương tác bên ngoài.  Chỉ áp dụng đảm bảo an ninh theo kiến trúc end-to-end nên có thể bỏ sót các đối tượng an ninh trong nội bộ đối tượng. Như vậy X.805 chỉ có hiệu quả khi đối tượng đầu vào đư