Đồ án Hệ thống thông tin di động ứng dụng triển khai MVPN

ức đường hầm) là một giao thức được sử dụng để hỗ trợ cho việc di động của các MS trong GPRS và UMTS khi MS di chuyển giữa các vùng địa lý được phục vụ bởi các nút hổ trợ phục vụ GPRS khác nhau (Serving GPRS Support Nodes - SGSN). Mạng nhà của MS được thể hiện bởi các nút hỗ trợ cổng GPRS (Gateway GPRS Support Nodes - GGSN). Các GGSN nối đến các SGSN qua GTP. Khác với MIP, GTP không được hỗ trợ trong MS. Đây chỉ là giao thức áp dụng trong mạng và GTP hoạt động với các giao thức khác để tương tác với MS và theo dõi vị trí hiện thời của MS. Có hai phiên bản GTP: phiên bản V0 được sử dụng cho GSM và phiên bản v1 áp dụng cho cả GPRS và UMTS. 3GPP quyết định định nghĩa phiên bản v1 không tương thích với phiên bản v0, vì họ muốn phân tách giao thức ở mặt phẳng người sử dụng (GTP-U) và giao thức ở mặt phẳng điều khiển (GTP-C). Hình 2.6 cho thấy sự khác nhau giữa cấu trúc tiêu đề GTPv1 và GTPv0. Hình 2.6: Các tiêu đề GTPv0 và GTPv1 Các bản tin GTP-C bao gồm: Các bản tin quản lý tunnel để phát hiện các sự cố, tổn thất kết nối và khởi động lại nút đồng cấp. Các quản lý phiên để thiết lập các tunnel giữa GGSN và SGSN, và cập nhật các thay đổi các thông số tunnel cho từng nút như:QoS, các địa chỉ IP của mặt phẳng người sử dụng mới và mặt phẳng điều khiển của SGSN mới mà MS vừa chuyển đến Các bản tin quản lý vị trí để thực hiện các thủ tục thiết lập phiên GTP do mạng khởi xướng. Các bản tin quản lý di động để truyền thông tin ngữ cảnh (context) MS và ngữ cảnh phiên tại thời điểm chuyển giao. GTP-U chỉ đơn giản được sử dụng để đóng gói các gói của người sử dụng, nhưng nó cũng có thể giám sát sự cố tuyến truyền dẫn bằng cách sử dụng các bản tin quản lý tunnel. GTP-U được sử dụng giữa các SGSN, giữa các GGSN và các SGSN, giữa UMTS SGSN và UMTS RNC. Sau khi phiên được thiết lập, GTP có thể truyền số liệu liên quan MS bằng cánh sử dụng phần tử thông tin IE (Information Element) của “các tùy chọn cấu hình giao thức” cũng như một số thông tin như: thuê bao có quyền truy nhập không (thông qua đăng ký thuê bao) đến điểm truy nhập AP (Acess Point) mạng nơi tunnel sẽ được tạo lập. Quá trình này được thực hiện thông qua IE chế độ chọn. IE truyền đến GGSN thông tin về: người sử dụng có đăng ký AP hay không hay chỉ được chọn mà không có đăng ký. Thông tin này được SGSN chèn trong GTP. SGSN gửi IMSI nhận dạng thuê bao duy nhất toàn cầu)và MSISDN (số điện thoại) đến GGSN bằng GTP-C và GGSN có thể chuyển tiếp nó đến các server ngoài và các server này có thể áp dụng các chính sách dựa trên nhận dạng người sử dụng. Ngoài ra GTP được sử dụng giữa các SGSN để truyền thông tin liên quan MS khi chuyển giao. Nó cũng đựơc sử dụng khi MS nhập đến một SGSN mới và SGSN mới này cần thu nhập thông tin nhận dạng thuê bao từ SGSN trước đó nối với MS (trước khi MS rời SGSN cũ). GTP có thể được sử dụng như:PPP, IPv4, IPv6. Cũng cần nhắc lại rằng bản thân GTP không đảm bảo an ninh và cần IPSec để tăng cường bảo vệ toàn vẹn và bí mật. 2.1.6. Vấn đề an ninh IP là một giao thức không đảm bảo an ninh và Internet công cộng dễ bị các kiểu tấn công từ những cá nhân và các nhóm, từ các thanh niên nghịch ngợm tấn công máy tính vào Internet đến các tội phạm sử dụng Internet để phá hoại các cơ quan công sở hay đột nhập ngân hàng. Không an ninh là một điểm yếu được thừa nhận của công nghệ IP. Tính toàn vẹn số liệu, chứng thực nguồn gốc số liệu và bảo mật cần được đảm bảo bằng cách: Bổ sung các cơ chế an ninh cho các ứng dụng và các thiết bị sử dụng IP (như các dịch vụ dựa trên web, thương mại điện tử, ngân hàng điện tử hay truy nhập hộp thư của hãng qua các giao diện web). Đảm bảo an ninh cho chính giao thức IP bằng một số mở rộng và giao thức do IETF định nghĩa. Các mở rộng giao thức này đảm bảo mức độ an ninh thích hợp và được gọi là IPSec. IPSec là tên của nhóm công tác IETF đã phát triển lên Kiến trúc an ninh Internet [RFC204] và các mở rộng cho giao thức IP chứa kiến trúc này. Có hai phương pháp: an ninh lớp mạng được đảm bảo bởi IPsec và an ninh lớp ứng dụng được đảm bảo bởi an ninh lớp truyền tải (TLS: Transport Layer Security) mới thế chỗ cho lớp SSL: Secure Socket Layer. 2.1.6.1. IPSEC Kiến trúc IPSec định nghĩa các phần tử cần thiết để đảm bảo an ninh thông tin giữa các thực thể đồng cấp giao thức IP bằng hai tiêu đề mở rộng: tiêu đề đóng gói tải tin an toàn (IPESP: IP Encapsulating Security Payload) được định nghĩa bởi [RFC2506] và tiêu đề chứng thực (AH: Authentication Header) được định nghĩa bởi [RFC2402]. 2.1.6.2. AH AH đảm bảo chứng thực số liệu và chống phát lại. Nhiệm vụ trước tiên của AH là chứng thực nguồn gốc và kiểm tra xem số liệu có phải là của người phát không. AH không đảm bảo bất kỳ mã hóa nào. Chức năng này cũng ngăn được cướp phiên. 2.1.6.3. ESP ESP đảm bảo nhận số liệu, mã hóa và chống phát lại. Nhiệm vụ trước hết của ESP là đưa số liệu từ nguồn đến nơi nhận một cách an ninh bằng cách kiểm tra số liệu không bị thay đổi và phiên không bị chiếm. Cũng có thể sử dụng chính ESP để chứng thực phía phát hay bằng cách kết hợp với AH, ESP có thể được lập cấu hình để mã hóa toàn bộ gói số liệu hay chỉ phần tải tin của gói. Cần lưu ý, ESP chỉ chứng thực tải tin, còn AH chứng thực tiêu đề IP. Cả hai tiêu đề này, được sử dụng hoặc để đóng gói IP vào một gói IP khác (ở chế độ IPSec tunnel) hoặc để đóng gói phần tải tin các gói IP (ở chế độ truyền tải IPSec). Hình 2.7: Kiểu truyền tunnel và kiểu truyền tải có AH và ESP Có thể triển khai IPSec theo: máy đến máy, máy đến bộ định tuyến (router) hay router đến router. Một router thực hiện IPSec và áp dụng các chính sách an ninh cho lưu lượng IP thường được gọi là cổng IPSec (GW: Gateway). Hình 2.8, thí dụ về các trường hợp máy đến router và router đến router. Đây là những trường hợp được quan tâm đặc biệt khi cung cấp các dịch vụ VPN. Hình 2.8: Thí dụ kiến trúc IPSec (các cổng và các máy) Khi IPSec được sử dụng cho các site-to-site VPN (các VPN được xây dựng bằng cách kết nối các site khác nhau của một hãng với sử dụng hạ tầng IP chung), nên sử dụng chế độ IPSec tunnel. Vì giá thành cao khi sử dụng IPSec, VPN có thể được lập cấu hình để chọn là có hay không có IPSec. Chẳng hạn, khách hàng có thể đảm bảo an ninh cho thư điện tử bằng IPSec nhưng không sử dụng nó cho lưu lượng Web. 2.1.6.4. Hạ tầng khóa công cộng, PKI Hạ tầng khóa công cộng (PKI: Public Key Infrastrureture) là một khái niệm an ninh quan trọng và cần được định nghĩa cẩn thận. Các khóa công cộng được sử dụng trong nối mạng số liệu để kiểm tra các chữ ký số, bản thân chúng không mang bất cứ thông tin nào về các thực thể cung cấp các chữ ký. Các chứng nhận được phát hành và được thi hành bởi một thẩm quyền chứng nhận CA (Certificate Authority). Thẩm quyền này, được phép cung cấp các dịch vụ này cho các thực thể được nhận dạng hợp lệ khi chúng yêu cầu. Để thực hiện chức năng của mình, một CA phải được tin tưởng bởi các thực thể (các thành viên của PKI) dựa trên các dịch vụ của nó. Một chứng nhận chứa thông tin sau: Tên của người phát hành chứng nhận. Thực thể mà chứng nhận được gửi đến (còn được gọi là đối tượng). Khóa công cộng của đối tượng. Nhãn thời gian (cần để xác định tuổi của chứng nhận và sự hợp lệ của nó). Tất cả các chứng nhận được ký bằng một khóa riêng của CA. Người sử dụng chứng nhận có thể xem kiểm tra thông tin của chứng nhận có hợp lệ không bằng cách giải mã chữ ký bằng một khóa kiểm tra công cộng và kiểm tra xem nó có phù hợp với tóm tắt bản tin (MD: Message Digest) của nội dung nhận được trong chứng nhận hay không. Nói một cách ngắn gọn, có thể định nghĩa PKI như một thực thể ảo kết hợp nhiều thực thể vật lý bởi một tập hợp các chính sách và các quy tắc ràng buộc các khóa chung với nhận dạng của các thực thể phát hành khóa thông qua việc sử dụng một CA. Ba chức năng chính của PKI gồm: Chứng nhận Công nhận hợp lệ Hủy Chứng nhận hay ràng buộc một khóa với một nhận dạng bằng một chữ ký được thực hiện bởi CA, còn công nhận có hợp lệ hay chuyên môn hơn, kiểm tra chứng thực chứng nhận được thực hiện bởi một thực thể PKI bất kỳ. Công nhận hợp lệ bao gồm việc kiểm tra chữ ký do CA phát hành đối chiếu với danh sách thu hồi chứng nhận CRL - Certificate Revocation List và khóa công cộng của CA. Hủy một chứng nhận hiện có trước khi hết hạn cũng được thực hiện bởi CA. Sau khi chứng nhận bị hủy, CA cập nhật CRL thông tin mới. PKI là một khái niệm nối mạng khá mới được định nghĩa bởi IETF, các tiêu chuẩn ITU và các dự thảo. Hiện nay, nó nhanh chóng được công nghệ nối mạng tiếp nhận kể cả nối mạng riêng ảo. Chứng thực và các dịch vụ quản lý khóa được PKI cung cấp thông qua sử dụng các chứng nhận là một cơ chế hoàn hảo hỗ trợ các yêu cầu an ninh VPN chặt chẽ. Để sử dụng các dịch vụ này, các VPN client và các cổng VPN phải hỗ trợ các chức năng PKI như tạo khóa, các yêu cầu chứng nhận và các quan hệ tin tưởng CA chung. 2.1.6.5. SSL và TSL Công nghệ lớp ổ cắm an ninh (SSL: Secure Sockets Layer) ban đầu được Netscape Communications Corporation phát triển ngày càng được coi là một cách cung cấp các dịch vụ kinh tế và dễ dàng giống như các dịch vụ được IP VPN cung cấp khi nhu cầu thông tin IP giữa các cặp máy trạm chỉ thỉnh thoảng xảy ra, phụ thuộc ứng dụng hay khi cần thiết mức an ninh tăng cường để bảo vệ các ứng dụng trao đổi số liệu. Cần nhấn mạnh rằng, công nghệ SSL không liên quan đến nối mạng riêng ảo. SSL có thể được sử dụng để đạt kết quả giống như VPN trong một số trường hợp và vì thế thường bị nhầm lẫn coi như là một kiểu của VPN hay có thể thay thế cho VPN trong tương lai bởi nhiều người trong cộng đồng nối mạng dữ liệu. Công nghệ SSL được áp dụng trong ứng dụng OSI (Open System Interconnection) và lớp phiên nằm trên lớp truyền tải và lớp mạng. Một phiên thông tin SSL được thực hiện giữa SSL Client kết hợp với phần mềm trình duyệt và SSL Server trong một mạng riêng bằng cách tạo lập một kết nối điểm - điểm của lớp phiên cho các ứng dụng dựa trên TCP/IP. Một kết nối SSL đơn chỉ hỗ trợ một ứng dụng Client/server, vì thế các client thực hiện nhiều ứng dụng phải thiết lập một kết nối trên một ứng dụng. Gần đây, SSL được thay thế bởi an ninh lớp truyền tải (TLS: Transport Layer Sercurity) được định nghĩa bởi [RFC2246] như là tiêu chuẩn an ninh lớp ứng dụng / phiên. TLS làm việc bằng cách đưa phần mềm TLS client vào ứng dụng người sử dụng để giao diện với một đồng cấp đặt tại ứng dụng server. 2.1.7. Kỹ thuật truyền theo đánh nhãn bằng MPLS MPLS là một trong thí dụ nổi tiếng nhất về công nghệ truyền theo nhãn. Các công nghệ truyền theo nhãn rất giống với các công nghệ truyền theo tunnel. Với truyền theo tunnel, các gói được truyền từ điểm vào tunnel đến điểm ra tunnel bằng các router. Các router này thực hiện chức năng xem xét tiêu đề bọc ngoài các gói IP. Với MPLS, các gói được truyền tải từ một điểm vào ở tuyến chuyển mạch theo nhãn (LSP: Label Switched Path) đến điểm ra bằng cách xem xét nhãn gán cho nó tại mỗi chặng. Truyền theo tunnel và theo nhãn có một số điểm khác biệt được chỉ ra ở hình 2.9 như sau: Nhãn có ý nghĩa từng chặng. LSP đòi hỏi thiết lập cơ sở thông tin nhãn với thông tin tương ứng tại mỗi chặng (mặc dù chặng đầu và chặng cuối có thể được lập cấu hình cố định bằng thông tin nhãn). Hình 2.9: So sánh truyền theo nhãn với truyền tunnel Chẳng hạn, tại router B thì đòi hỏi phải có quy định chuyển đổi nhãn đầu vào Label1 thành nhãn đầu ra Label2 và cần có giao thức báo hiệu để thiết lập thông tin tại mỗi nút. Trái lại, một tunnel có thể được thiết lập bởi OA&M (Operation, Administration and Maintenance) tại biên của mạng và không có giao thức báo hiệu nào tác động lên các router trung gian trên đường truyền tunnel bằng việc truyền các gói từ điểm vào đến điểm ra. Ngoài ra, có thể thiết lập các LSP theo mọi đường truyền tường minh và vì thế mà có thể thiết kê lưu lượng. Nói cách khác, có thể chọn tuyến truyền trên cơ sở các tiêu chí thiết kế lưu lượng chứ không phải chỉ định tuyến trên cơ sở nơi nhận tối ưu. LSP (A, B, C, D) trong hình 2.9 được định nghĩa để cân bằng mức độ sử dụng các liên kết từ A đến B. Mặc dù, truyền theo nhãn và truyền theo tunnel thực hiện các mục tiêu giống nhau nhưng chúng lại có tập các ứng dụng khác nhau (đôi khi chồng lấn nhau). Vì mỗi chặng trên tuyến truyền bị tác động bởi báo hiệu của MPLS và phải duy trì trạng thái MPLS nên không thể sử dụng MPLS các tính chất của các công nghệ truyền tunnel. Nghĩa là thông thường một LSP gộp chung nhiều dòng IP hơn một tunnel. Trong thực tế, một tunnel được thiết lập giữa hai máy và chỉ dành cho các máy này (chẳng hạn, một VPN client và cổng) và tunnel đó chỉ chuyển tải lưu lượng cho hai máy trên. Nhưng kỹ thuật của MPLS chỉ như một bộ định tuyến, vì cốt lõi của một LSP là liên kết với một số phiên của người sử dụng. MPLS được sinh ra từ pha trộn của rất nhiều đề xuất của các nhà cung cấp thiết bị như: Cisco System, Ascend Communications và IBM. Các đề xuất này định nghĩa các khái niệm cơ bản và kiến trúc cho các mạng sử dụng MPLS. Mục đích của đề xuất này là tăng tốc độ định tuyến bằng cách thay thế cho việc tra cứu tiêu đề IP bằng tra cứu nhãn và tăng cường IP bằng các khả năng của ATM như QoS, thiết kế lưu lượng và các loại dịch vụ khác. Kiến trúc MPLS dựa trên hai cấp router có hỗ trợ MPLS: LER (Label Edge Router: router biên nhãn) và LSR (Label Switching Router: router chuyển mạch nhãn). Các LER được đặt tại biên của miền MPLS và thực hiện phân loại các gói đi vào miền thành các mức chuyển tiếp tương đương FEC - Forwarding Equivalence Class. Khái niệm chuyển mạch nhãn có thể được tổng quát hóa trong mọi môi trường. Chẳng hạn, một nhãn có thể biểu diễn bằng một bước sóng trong một tuyến truyền dẫn DWDM ghép kênh theo mật độ bước sóng (Dense Wavelength Division Multiplexer). Đã có các đề xuất sử dụng MPLS ở dạng MPlS, nghĩa là thay khái niệm các nhãn thành các l hay các bước sóng. Ngoài ra, nếu ta mở rộng miền ứng dụng MPLS vào các khe thời gian, các luồng nhánh trong đẳng cấp digital và các kênh của các công nghệ truyền dẫn khác hay các nhận dạng luồng tổng, ta sẽ có một giao thức báo hiệu tổng quát sử dụng để điều khiển thiết bị chuyển mạch cho bất kỳ loại nào (MPLS tổng quát hóa). 2.2. CHẤT LƯỢNG DỊCH VỤ VÀ VPN Cung cấp chất lượng dịch vụ trong mạng IP đã trở thành một đề tài sôi động trong nửa cuối thập niên 1990, do hiện tượng bùng nổ cung cấp dịch vụ IP trong công nghiệp viễn thông xảy ra sau khi giao thức WWW (World Wide Web) được giới thiệu. 2.2.1. Các kiểu chuyển tiếp theo chặng, PHB DiffServ (Differentiated Services) dựa trên phân loại gói tại từng chặng (nghĩa là tại từng nút trên tuyến đầu cuối-đầu cuối) dựa trên tra cứu đơn giản một trường đặc biệt trong Tiêu đề IP được gọi là điểm mã dịch vụ được phân loại (DSCP: Differrentiated Service Code Point). Sau khi các gói được phân loại, một nút theo chuẩn DiffServ sẽ cung cấp một PHB (Per Hop Behavior) tiêu chuẩn. Mỗi nút phải có khả năng lập cấu hình để liên kết một PHB với một giá trị của trường DSCP. Đến nay, IETF đã định nghĩa một số các PHB tiêu chuẩn: PHB mặc định, còn được gọi là nỗ lực nhất (Best Effort), cung cấp xử lý gói thông thường như Internet, được định nghĩa trong [RFC2474]. PHB của bộ chọn loại (Class Selector) định nghĩa đến tám đặc tính có thể lập cấu hình được, gồm cả PHB mặc định. PHB này định nghĩa một sơ đồ thích ứng ngược với cơ chế loại ưu tiên[RFC791] được trình bày trong[RFC2474]. PHB định tuyến đảm bảo (AF PHB:Assured Forwarding PHB [RFC2597]) định nghĩa bốn loại dịch vụ với ba mức ưu tiên - loại bỏ cho mỗi loại để phân biệt các loại lưu lượng khác nhau và thay đổi các giá trị về hiệu năng tổn thất và trễ trong từng loại dựa trên không gian nhớ đệm, quản lý đệm, chính sách lập biểu và băng thông ấn định cho từng mức. Định tuyến nhanh PHB(Expedited Forwarding PHB) đảm bảo giới hạn thay đổi trễ tại từng chặng để dịch vụ thích hợp với các ứng dụng như mô phỏng kênh trên IP. 2.2.2. QoS và tunnel Khi một gói IP được truyền theo tunnel, nó có thể qua nhiều miền DiffServ, trong một miền DiffServ hay thậm chi quá giang qua các miền không phải DiffServ. [RFC2983] mô tả hai mô hình cơ bản: Trong mô hình “gói bọc trong suốt” (Transparent wrapper), tunnel đơn giản chỉ là một bao gói xét từ quan điểm DuffServ, trong đó trường DSCP của gói trong được sao chép đến trường DSCP của tiêu đề gói ngoài tại điểm vào của tunnel. Giá trị của trường DSCP của tiêu đề IP đầu ra lại được copy vào trường DSCP của tiêu đề gói IP bên trong tại đầu ra tunnel. Trong mô hình “ống” (pipe), tunnel được coi là dịch vụ mạng với lý lịch QoS cho trước và trường DSCP của tiêu đề gói IP được phát trên vật mang này không được copy vào tiêu đề IP ngoài khi gửi đi (tương tự trường tiêu đề DSCP của tiêu đề IP ngoài không được copy vào trường DSCP của tiêu đề IP trong tại đầu ra tunnel). Vì thế, có thể coi mô hình ống như một kênh (ảo) được đặc trưng bởi lý lịch dịch vụ xác định theo loại các dịch vụ phân loại của tiêu đề ngoài. Hình 2.10 mô tả các mô hình nói trên. Để thỏa mãn các yêu cầu QoS cho tất cả các luồng IP được truyền trên một mạng hình ống, loại các dịch vụ được phân biệt theo thỏa thuận với nhà cung cấp dịch vụ phải đáp ứng các yêu cầu QoS chặt chẽ của tất cả các dòng chảy IP truyền trên ống. Điều này, có thể quá tốn kém, nếu lưu lượng truyền tải chủ yếu là nổ lực nhất và chỉ có một phần nhỏ đòi hỏi mức QoS cao. Trong trường hợp này, có thể nên sử dụng một mạng dùng bó các ống tunnel thay cho kết nối giữa các vị trí bằng chỉ một tunnel. Giải pháp này gần giống với giải pháp gói bọc trong suốt. Hình 2.10: Mô hình gói bọc trong suốt (Transparent wrapper) Hình 2.11: Mô hình ống (Pipe) 2.2.3. QoS và MPLS Có thể phân loại QoS trong một mạng sử dụng MPLS theo hai cách. Sử dụng trường thực nghiệm (Exp) trong ngăn xếp nhãn cho phép phân loại đến tám loại lưu lượng trong một LSP. Trong phương pháp E-LSP này (ESP-inferred packet scheduling class LSP: LSP loại lập biệu gói theo EXP), cặp giá trị EXP- giá trị nhãn cho các gói vào tại giao diện đầu vào của LSR sẽ xác định đặc điểm của chặng. Phương pháp khác, dựa trên liên kết PHB với giá trị nhãn MPLS. Chế độ này, được gọi là L-LSP (Label – only – inferred packet scheduling class LSP: LSP loại lập biểu gói chỉ theo nhãn). Lưu ý rằng, trong nhiều trường hợp chẳng hạn các chuyển mạch ATM được điều khiển qua báo hiệu MPLS, có thể tái sử dụng các tính năng như bit ưu tiên mất tế bào (CLP: Cell Loss Priority) để phân loại lưu lượng với các thuộc tính ưu tiên loại bỏ khác nhau trong MPLS LSP. Về mặt ý nghĩa, có thể coi đây là trường hợp đặc biệt của phương pháp E-LSP, mặc dù về mặt thuật ngữ chưa phải thích hợp nhất. 2.3. NHẬN THỰC, TRAO QUYỀN VÀ THANH TOÁN Cung cấp mọi kiểu dịch vụ cho các khách hàng đòi hỏi ba phần tử cơ bản để nhà cung cấp dịch vụ có thể tính cước mức độ sử dụng dịch vụ và để từ chối dịch vụ đối với các khách hàng không hợp lệ. Các thành phần này là chứng thực, trao quyền và thanh toán (Authentication, Authorization and Accounting) thường được viết chung bằng một ký hiệu là AAA. Chứng thực được định nghĩa là khả năng hay hành động của nhà cung cấp dịch vụ đòi hỏi người sử dụng dịch vụ cung cấp bằng chứng để nhận dạng. Phần tử dịch vụ này có thể có dạng khác nhau và các công nghệ khác nhau. Trao quyền là khả năng hay hành động của một nhà cung cấp dịch vụ thẩm tra một người sử dụng sau khi được chứng thực có quyền truy xuất dịch vụ. Thanh toán là thu nhập số liệu sử dụng cần thiết mà nhà cung cấp dịch vụ xử lý để phát hành hóa đơn hay giới hạn sử dụng dịch vụ. Lưu ý rằng, thực thể cung cấp dịch vụ có thể không nhất thiết là một mạng công cộng như ISP mà là hãng hoặc một cơ quan. Trong thực tế, các AAA công ty tư là một phần tử quan trọng trong việc cho phép các nhân viên truy nhập các mạng của hãng và bảo vệ không cho người sử dụng trái phép truy nhập mạng của hãng. Về mặt này, có thể coi các nhân viên là các khách hàng. Từ trình bày các phần tử AAA ở trên, ta thấy AAA không chỉ là một tập các chức năng mà một nhà cung cấp dịch vụ thường hỗ trợ mà còn là ba khối cơ bản để xây dựng một số logic dịch vụ như trả trước, các chính sách giảm giá và các chính sách truy nhập mạng. 2.3.1. Chứng thực và trao quyền người sử dụng Quá trình chứng thực và trao quyền người sử dụng bao gồm hai bước: Bước 1: Thu nhập tư liệu chứng thực và trao quyền từ người sử dụng (ta có thể gọi đây là quá trình đầu) Bước 2: Thẩm tra tư liệu (được gọi là quá trình sau). Thông thường, quá trình này là bộ phận các chức năng AAA của nhà cung cấp dịch vụ. Cơ chế của quá trình đầu phụ thuộc công nghệ và quá trình sau có xu hướng độc lập về công nghệ. 2.3.2. AAA và các dịch vụ truy nhập mạng Truy nhập quay số cũng như các ứng dụng của các dịch vụ truy nhập mạng khác, người ta nhận thấy rằng lưu giữ các file tại từng server truy nhập mạng là không thực tế và dẫn đến vấn đề an ninh cũng như về quản lý. Vì thế, IETF chọn một phương pháp dựa trên giao thức client/server để thực hiện các chức năng AAA. Tiêu chuẩn này, định nghĩa giao thức chứng thực và trao quyền cơ sở RADIUS (Remote Authentication Dial In User Service: Máy chủ người sử dụng quay số được chứng thực từ xa, [RFC2865] và các mở rộng của nócho thanh toán (RADIUS Accounting, [RFC2826]). 2.3.3. Các phương pháp chứng thực cho truy nhập mạng Trong công nghiệp nối mạng số liệu, AAA cho đến nay phần lớn dựa trên PPP, vì thế hầu hết các phương pháp truy nhập mạng đã được phát triển để hỗ trợ giai đoạn chứng thực PPP. Giai đoạn chứng thực xảy ra sau giai đoạn lập cấu hình liên kết PPP đã hoàn thiện và trước khi xảy ra giai đoạn lập cấu hình mạng, vì thế nếu giai đoạn chứng thực không thành công, sẽ không xảy ra giai đoạn lập cấu hình lớp mạng, liên kết bị loại bỏ và truy nhập mạng bị từ chối. Ba phương pháp phổ biến nhất: PAP, CHAP và EAP. 2.3.4. AAA và chuyển mạng: Số nhận dạng truy cập mạng Khi một thuê bao muốn sử dụng cùng một dịch vụ như mạng nhà, thậm chí cả khi chuyển mạng đến các mạng của nhà cung cấp dịch vụ khác (còn gọi là làm khác các mạng ngoài), mạng khác phục vụ và mạng nhà phải có khả năng trao đổi thông tin AAA. Cách giải quyết vấn đề này, là cho phép AAA server của mạng khách đối thoại với AAA server mạng nhà trong một cấu hình được gọi là RADIUS Proxy (đại diện RADIUS). Trong cấu hình này, AAA server mạng khách họat động như một AAA client của AAA mạng nhà. Điều này, đòi hỏi mạng khách phải có khả năng định tuyến các bản tin AAA đến AAA server nhà tương ứng. 2.4. CÁC DỊCH VỤ MẠNG Hoạt động của một nhà cung cấp hay mạng xí nghiệp (gồm cả các VPN) đòi hỏi giải quyết một số vấn đề về quản lý và cấu hình thông qua các công cụ, các giao thức và các thiết bị. 2.4.1. Quản lý địa chỉ Một trong những nhiệm vụ nặng nề của một quản trị mạng IT là đánh địa chỉ IP cho các máy trạm (host). Đánh địa chỉ có những ràng buộc liên quan đến giao thức, và những ràng buộc này càng thách thức hơn khi người sử dụng di động và không cố định trong một mạng. Ngoài ra, các nhà quản lý IT cũng phải quan tâm đến những xung đột giữa kế hoạch đánh địa chỉ mạng riêng và mạng công cộng, và giữa các địa chỉ công cộng dùng chung mà gần đây đã trở nên khan hiếm. Quản lý địa chỉ tĩnh không cho phép bảo tồn các địa chỉ IP, vì vậy cần sử dụng phương thức đánh địa chỉ động. Tuy nhiên, khi đánh địa chỉ IP động phải có cách để kiểm tra sao cho cùng một địa chỉ IP không được gán cho hơn một người trong cùng một thời điểm. Một vấn đề khác thường ảnh hưởng các nhà quản lý mạng là các mạng không trao đổi thông tin định tuyến như một mạng riêng và một mạng công cộng hay hai mạng riêng có thể sử dụng không gian địa chỉ tư chồng lấn nhau thỉnh thoảng vẫn cần trao đổi lưu lượng. Khi số IP máy trạm trong một mạng lên đến hàng trăm, sự phức tạp khi đánh IP động bằng nhân công vượt quá sức người, dẫn đến người ta định nghĩa giao thức cấu hình host động DHCP - Dynamic Host Configuration Protocol, đây là giao thức thường được sử dụng trong các mạng công ty và công sở để gán IP và cấu hình các máy trạm cùng với các thông tin cần thiết khác dùng trong các dịch vụ mạng IP. 2.4.2. Giao thức DHCP Giao thức DHCP được định nghĩa trong [RFC2131] là một giao thức client/server cho phép lập cấu hình các máy trạm IP với một địa chỉ IP và các thông tin khác như địa chỉ IP của DNS server và địa chỉ IP của cổng mặc định (Default Gateway). Như trình bày trong hình 2.12, DHCP client của máy trạm chỉ đơn thuần gửi đi một số các gói DHCP quảng bá để thông tin với một DHCP server bất kỳ trên đoạn nối nơi nút nhập mạng (các bản tin DHCP DISCOVER). Các DHCP server trả lời thông qua các bản tin DHCP OFFER (cung cấp DHCP), mỗi bản tin chứa số nhận dạng server. Client nhận các bản tin cung cấp DHCP này và chọn lựa một trong số chúng để sử dụng. Sau đó, client trả lời bằng một bản tin DHCP REQUEST quảng bá chứa Server Identifier (số nhận dạng server). Các server không có nhận dạng trong Server Identifier sẽ hủy bỏ giao dịch này, còn server được nhận dạng có thể phát đơn hướng (Unicast) một bản tin DHCP ACK ngược lại client tiếp nhận địa chỉ IP này hoắc gửi đi một DHCP NACK để báo client rằng thông tin cấu hình này đã cũ và cần khởi động một đề xuất một cấu hình mới. Một DHCP client cũng có thể giải phóng