Đồ án Tìm hiểu công nghệ MPLS – VPN – QoS

g bảo mật khi truyền dữ liệu giữa hai đầu cuối. Có rất nhiều các giao thức khác nhau được sử dụng cho các mạng VPN này như: GRE, PPTP, L2TP, và IPSec. Chúng đều dựa trên hoạt động tạo đường truyền dẫn riêng và sử dụng các thuật toán mã hóa dữ liệu. Phổ biến nhất vẫn là IPSec, hạn chế đầu tiên và cũng là dễ nhận thấy nhất ở IPSec đó là làm giảm hiệu năng của mạng. Trong một môi trường mạng không có VPN thì gói tin sẽ được truyền ngay. Tuy nhiên, với giao thức IPSec, Router gởi phải thực hiện một số thao tác trước khi gửi gói tin đi. đầu tiên, gói tin được mã hóa, sau đó đóng gói vào các gói IP, hoạt động này tiêu tốn thời gian và gây trễ cho gói tin. Tiếp theo gói tin sẽ được đưa vào trong mạng của nhà cung cấp dịch vụ. Lúc này, nếu gói tin mới được tạo thành có kích thước lớn hơn kích thước tối đa cho phép truyền (MTU-Maximum Transmission Unit thì gói tin sẽ cần phải được phân mảnh thành hai hay nhiều gói tin nhỏ hơn. Sau đó được chuyển đến đích. Khi đến đích nó sẽ được mở gói và giải mã, hai hoạt động này tiếp tục làm trễ gói tin trong mạng. Thời gian trễ trong mạng sẽ phụ thuộc vào độ phức tạp và tốc độ xử lý của các Router. Các thiết bị chất lượng thấp thường phải thực hiện hầu hết các chức năng IPSec bằng phần mềm khiến trễ trong mạng lớn. Các thiết bị với khả năng thực hiện các chức năng IPSec bằng phần cứng có thể tăng tốc độ xử lý gói tin lên rất nhiều nhưng chi phí cho các thiết bị này là rất đắt. điều này dẫn đến chi phí triển khai một mạng IPSec VPN là rất tốn kém.  Các mạng IPSec VPN là mạng lớp trên của mạng IP và sự trao đổi thông tin trong mạng được thực hiện bằng cách thiết lập các đường hầm giữa các site. điều này sẽ tạo nên những cấu hình mạng không tối ưu. để rõ hơn về vấn đề này, ta sẽ xét hai cấu hình mạng, cấu hình hình sao và cấu hình mạng full mesh. Một điểm chúng ta cần phải cân nhắc khi triển khai các mạng VPN đó là các thiết bị phải tương thích với nhau và đều cần hỗ trợ tunneling. Khai thác và bảo dưỡng cũng là một vấn đề nữa của các mạng IPSec VPN vì mỗi một đường hầm IPSec đều phải được thiết lập bằng tay. Cấu hình cho một đường hầm IPSec đơn lẻ không phải là vấn đề thế nhưng thời gian để thiết lập và duy trì một mạng VPN với nhiều site sẽ tăng lên đáng kể khi kích thước mạng được mở rộng. Vấn đề bảo mật cũng cần được quan tâm trong các mạng VPN. Mỗi CPE có thể truy nhập vào mạng Internet công cộng nhưng tin tức vẫn cần được bảo mật trong quá trình truyền giữa các site. Hình 33. Mô hình mã hóa thông thường MPLS VPN Không giống như các mạng VPN truyền thống, các mạng MPLS VPN không sử dụng hoạt động đóng gói và mã hóa gói tin để đạt được mức độ bảo mật cao. MPLS VPN sử dụng bảng chuyển tiếp và các nhãn “tags” để tạo nên tính bảo mật cho mạng VPN. Kiến trúc mạng loại này sử dụng các tuyến mạng xác định để phân phối các dịch vụ VPN, và các cơ chế xử lý thông minh của MPLS VPN lúc này nằm hoàn toàn trong phần lõi của mạng. Mỗi site chỉ có thể kết hợp với một và chỉ một VRF. Các VRF của site khách hàng mang toàn bộ thông tin về các “tuyến” có sẵn từ site tới VPN mà nó là thành viên. Đối với mỗi VRF, thông tin sử dụng để chuyển tiếp các gói tin được lưu trong các bảng định tuyến IP và bảng CEF. Các bảng này được duy trì riêng rẽ cho từng VRF nên nó ngăn chặn được hiện tượng thông tin bị chuyển tiếp ra ngoài mạng VPN cũng như ngăn chặn các gói tin bên ngoài mạng VPN chuyển tiếp vào các router bên trong mạng VPN. đây chính là cơ chế bảo mật của MPLS VPN. Bên trong mỗi một MPLS VPN, có thể kết nối bất kỳ hai điểm nào với nhau và các site có thể gửi thông tin trực tiếp cho nhau mà không cần thông qua site trung tâm. Hình 34. Mô hình phân tách dựa vào VRF trong MPLS VPN Mô hình MPLS VPN Hình 35. Mô hình MPLS VPN Dựa trên ứng dụng của công nghệ MPLS các gói tin IP sẽ được nhãn hóa và được chuyển tiếp trong mạng của nhà cung cấp dịch vụ bằng các nhãn trên gói tin và mỗi mạng riêng ảo VPN cho một khách hàng được xây dựng một cách hợp lý và hiệu quả. Hơn nữa, các router P lúc này không cần phải có bảng định tuyến cho mỗi khách hàng hay BGP cũng không cần phải được sử dụng trên các router này. Tất cả vấn đề này được giải quyết bởi MPLS và quá trình thực hiện cũng chỉ diễn ra chủ yếu trên các router PE. Khi sử dụng MPLS, chỉ cần router PE có khả năng nhận biết các tuyến VPN và quá trình định tuyến chỉ thật sự diễn ra trên các router này, các router P chỉ làm nhiệm vụ chuyển tiếp trung gian gói tin đến đích. Giải pháp MPLS VPN thực sự rất hữu ích và hiệu quả. Hình 36. Đường đi từ Site 1 đến Site 2 Một số khái niệm trong MPLS VPN Router PE (Provider Edge router): router cung cấp dịch vụ biên, được sử dụng để tạo kết nối trực tiếp với các router CE của khách hàng tại lớp 3. Router P (Provider router): router cung cấp dịch vụ. Router của nhà cung cấp dịch vụ nhưng không tạo kết nối trực tiếp với khách hàng. Trong mạng MPLS VPN, cả router P và PE đều chạy MPLS. Điều này có nghĩa là chúng phải có khả năng phân phối nhãn và chuyển tiếp gói tin nhãn. Router CE (Customer Edge): router biên khách hàng, được sử dụng để tạo kết nối với router PE của nhà cung cấp dịch vụ. Vì router này tương tác với router PE tại lớp 3 nên cần phải có một giao thức định tuyến chạy giữa chúng mà không cần phải chạy MPLS. Đối với một site của khách hàng, thông thường chỉ cần có 1 router CE và 1 router PE peer với nó (chỉ đúng trong mô hình mạng riêng ảo ngang hàng peer-to-peer). Nếu router CE được kết nối multihomed, nó có thể có nhiều router PE peer. Kiến trúc và quá trình vận hành của VPN trong MPLS Để xây dựng được mô hình mạng riêng ảo MPLS VPN, chúng ta cần phải xây dựng một số thành phần hỗ trợ (gọi là building block) trên các router PE. Các thành phần này bao gồm: chuyển tiếp/định tuyến ảo VRF (Virtual Routing Forwarding), phân biệt tuyến RD (route distinguisher), mục tiêu tuyến RT (route target), phát tán tuyến thông qua MP-BGP (route propagation through MP-BGP), và quá trình chuyển tiếp các gói tin nhãn. Quá trình chuyển tiếp định tuyến ảo VRF Mỗi router PE có một cơ chế VRF riêng cho một mạng VPN. Quan sát ví dụ sau để thấy rằng router PE lưu giữ bảng định tuyến IP tổng thể (global IP routing tabel), nhưng cũng có một bảng định tuyến VRF cho một VPN được kết nối tới router PE. Hình 37. Mô tả các bảng định tuyến ảo trong PE Vì quá trình định tuyến là tách biệt cho mỗi mạng riêng ảo VPN của khách hàng trên một router PE, nên mỗi mạng VPN phải có bảng định tuyến của riêng nó. Bảng định tuyến riêng biệt này gọi là bảng định tuyến VRF. Các interface trên router PE nối đến router CE có thể chỉ thuộc vào một VRF. Vì thế, tất cả các gói tin IP nhận được trên một interface VRF không thật sự xác định được là nó có thuộc vào VRF đó hay không. Vì mỗi VPN có một bảng định tuyến riêng biệt nên các router PE cũng sẽ có một bảng CEF riêng biệt được dùng để chuyển tiếp các gói tin trong một VPN. Bảng này gọi là bảng chuyển tiếp VRF CEF được rút ra từ bảng định tuyến VRF. Bảng định tuyến VRF thật sự không quá khác biệt so với bảng định tuyến thông thường, chỉ khác ở chỗ chúng chỉ được sử dụng cho một số site của một VPN và hoàn toàn tách biệt với các bảng định tuyến khác (bảng định tuyến tổng thể hay bảng định tuyến mặc định). Các khái niệm metric, khoảng cách, next-hop,... không thay đổi. Vì VRF được xây dựng kết hợp với các interface, nên chỉ những gói tin IP đi vào router PE thông qua các interface VRF mới được thực hiện chuyển tiếp dựa trên bảng VRF CEF. Route Distinguisher (RD) Các tiền tố VPN được phát tán trong mạng MPLS VPN bằng giao thức “định tuyến cổng nối biên đa giao thức” MP-BGP (Multiprotocol BGP). Khi BGP thực hiện mang các tiền tố Ipv4 qua mạng của nhà cung cấp dịch vụ, các tiền tố này phải là duy nhất. Nếu khách hàng sử dụng địa chỉ IP chồng lặp overlapping, quá trình định tuyến sẽ gặp sự cố và không diễn ra được. Để giải quyết vấn đề này, khái niệm RD được đưa ra để phân biệt các tiền tố Ipv4. Cơ chế làm việc của RD dựa trên ý tưởng cơ bản là mỗi tiền tố của một khách hàng sẽ được gán một chỉ số xác nhận duy nhất RD để phân biệt với các tiền tố tương tự của một khách hàng nào khác. Một tiền tố kết hợp giữa một tiền tố Ipv4 và một RD được gọi là tiền tố vpnv4. Lúc này, MP-BGP chỉ thực hiện chuyển tiếp dựa trên các tiền tố vpnv4 này giữa các router PE. Hình 38. Mô tả định dạng RD Chỉ số xác nhận duy nhất RD là một trường 64 bit dùng để tách biệt các tiền tố VRF trong MP-BGP nhưng không trực tiếp chỉ ra tiền tố đó thuộc vào VRF nào. Tính năng thật sự của RD không phải là một chỉ số xác nhận VPN vì trong một số trường hợp mạng VPN phức tạp một VPN có thể có nhiều RD. Mỗi trường hợp VRF trên router PE phải có một RD kết hợp với nó. Giá trị 64bit RD có thể có 2 khuôn dạng: ASN:nn hoặc IP-address:nn (nn là một số nào đó). Khuôn dạng được sử dụng thông thường là ASN:nn, ASN (Autonomous System number) là chỉ số xác nhận hệ thống tự trị được gán đến nhà cung cấp dịch vụ bởi IANA (internet Assigned Numbers Authority) và nn là chỉ số xác nhận VRF duy nhất của nhà cung cấp dịch vụ đó. Sự kết hợp RD với tiền tố Ipv4 cho chúng ta tiền tố vpnv4 dài 96bit. Nếu chúng ta có tiền tố IP là 10.1.1.0/24 và RD là 1:1 thì tiền tố vpnv4 sẽ là 1:1:10.1.1.0/24. Một khách hàng có thể sử dụng các RD khác nhau cho cùng một tuyến Ipv4. Khi một site VPN được kết nối đến 2 router PE, các tuyến từ các site VPN có thể có hai RD khác nhau, phụ thuộc vào router PE mà tuyến đó được nhận. Mỗi tuyến Ipv4 sẽ có hai RD khác nhau và hình thành hai tuyến vpnv4 hoàn toàn khác nhau. Điều này cho phép BGP xem chúng như là các tuyến khác nhau và thực hiện chính sách đối xử khác nhau trên từng tuyến. Route Target (RT) Quá trình truyền thông đơn giản nhất giữa các site trong cùng một công ty (cùng VPN) gọi là truyền thông VPN trong mạng (intranet VPN). Các quá trình truyền thông giữa các site này được điều khiển bởi một tính năng khác của MPLS VPN gọi là RTs RT là một cộng đồng BGP mở rộng (BGP extented community) dùng để chỉ ra tuyến nào phải được nhập vào VRF từ MP-BGP. RT có thể được nhập vào hay xuất ra một tuyến vpnv4 vào VRF. Xuất ra (exporting) một RT có nghĩa là tuyến vpnv4 được xuất ra (exported route) nhận một cộng đồng BGP mở rộng (một RT) được cấu hình dưới câu lệnh ip vrf trên router PE khi các tuyến được phân phối từ bảng định tuyến VRF vào MP-BGP. Nhập vào một RT có nghĩa là tuyến vpnv4 nhận được từ MP-BGP được kiểm tra sự phù hợp của cộng đồng mở rộng này (đây là các mục tiêu tuyến – route target) với một cộng đồng mở rộng nào khác được cấu hình. Nếu kết quả là phù hợp với nhau, tiền tố được thêm vào bảng định tuyến VRF như là một tuyến Ipv4. Nếu kết quả là không phù hợp, tiền tố đó sẽ bị từ chối. Hình 39. RT trong MPLS VPN Extranet Có thể nhận thấy một cách rõ ràng rằng Site A và Site B cùng một VRF cust-one có thể truyền thông với nhau. Điều tương tự cũng xảy ra với các site của VRF cust-two. VPN cust-one dùng RT 1:1, VPN cust-two dùng RT 1:2. Bây giờ tưởng tượng rằng Site A trên VRF cust-one muốn truyền thông với Site A của VRF cust-two. Điều này hoàn toàn có thể được thực hiện bằng cách cấu hình các RTs sao cho phù hợp. RT 100:1 được nhập vào và xuất ra cho Site A của vrf cust-one và vrf cust-two trên router PE1 và PE2 để đạt được điều này. Đây gọi là VPN extranet. Ví dụ sau cơ bản giống như ví dụ hình trên nhưng thêm vào các RTs để trình bày VPN extranet. Phân tán tuyến trong mạng MPLS VPN VRF được sử dụng để tách biệt các tuyến khách hàng trên các router PE, nhưng làm cách nào các tiền tố có thể được vận chuyển trong mạng của nhà cung cấp dịch vụ? Do có một số lượng rất lớn các tuyến (lên đến hàng trăm ngàn) có thể được vận chuyển nên BGP là giao thức lý tưởng được sử dụng vì nó là một giao thức ổn định và có thể mang nhiều tuyến. Và chúng ta cũng nhận thấy rằng BGP là giao thức định tuyến tiêu chuẩn được dùng để mang bảng định tuyến Internet hoàn chỉnh. Và vì các tuyến VPN của khách hàng là duy nhất khi chúng ta thêm RD vào mỗi tuyến Ipv4 (đổi thành vpnv4) nên tất cả các tuyến khách hàng có thể được vận chuyển một cách an toàn trên mạng MPLS VPN bằng BGP. Router PE nhận các tuyến Ipv4 từ router CE thông qua các giao thức định tuyến bên trong IGP hay eBGP (external BGP). Các tuyến Ipv4 từ các site VPN này được thêm vào bảng định tuyến VRF, và VRF nào được sử dụng phụ thuộc vào việc nó được cấu hình như thế nào trên các router PE nối đến router CE. Các tuyến này xuất hiện trong bảng VRF với RD đã được gắn vào. Vì thế, chúng đã trở thành các tuyến vpnv4 và sau đó được thêm vào MP-BGP. BGP sẽ chịu trách nhiệm phân phối các tuyến vpnv4 này đến tất cả các router PE trong mạng MPLS VPN. Trên các router PE, các tuyến vpnv4 được gỡ bỏ RD và đưa vào bảng định tuyến VRF như là các tuyến Ipv4. Việc gỡ bỏ RD trong tuyến vpnv4 để đưa vào VRF có xảy ra hay không là phụ thuộc vào việc RT có được nhập vào VRF hay không. Các tuyến Ipv4 này sau đó được quảng cáo đến router CE thông qua IGP hay eBGP. Ví dụ hình sau mô tả các bước phát tán tuyến từ router CE ở site A đến router CE ở site B trong mạng MPLS VPN. Hình 40.Các bước phân tán tuyến từ router CE ở site A đến site B Các nhà cung cấp dịch vụ MPLS VPN sử dụng iBGP để thực hiện định tuyến giữa các router PE trong cùng hệ thống tự trị của họ. Quá trình phát tán từ eBGP (chạy giữa các router PE và CE) đến MP-iBGP trong mạng MPLS VPN và ngược lại được thực hiện tự động và không cần cấu hình gì thêm. Tuy nhiên, quá trình phân phối MP-iBGP vào IGP chạy giữa các router PE và CE thì không phải tự động. Chúng ta phải thực hiện cấu hình giữa MP-iBGP và IGP. Chuyển tiếp gói tin trong mạng MPLS VPN Làm thế nào để router ePE biết gói tin thuộc vào VRF nào? Thông tin này không nằm trong header gói tin IP và nó cũng không thể nhận được từ nhãn, vì nó được sử dụng duy nhất để chuyển tiếp gói tin qua mạng cung cấp dịch vụ. Giải pháp cho vấn đề này là thêm vào một nhãn khác trong ngăn xếp nhãn MPLS. Nhãn này chỉ định gói tin đó thuộc vào VRF nào. Vì thế, tất cả các gói tin khách hàng được chuyển tiếp với hai nhãn: nhãn IGP làm nhãn đỉnh và nhãn VPN làm nhãn đáy. Nhãn VPN phải được thêm vào tại router iPE để chỉ cho router ePE biết gói tin đó thuộc vào VRF nào. Vậy thì làm thế nào router ePE báo hiệu cho router iPE biết nhãn nào được sử dụng cho tiền tố VRF cụ thể nào đó? Vì MP-BGP được sử dụng để quảng cáo tiền tố vpnv4 nên nó cũng được sử dụng để báo hiệu nhãn VPN (còn gọi là nhãn BGP) được sử dụng kết hợp với tiền tố vpnv4 đó. Trong thực tế cách thức sử dụng một nhãn VPN để chỉ ra gói tin thuộc vào VRF nào là không thực sự chính xác. Điều này có thể đúng trong một số trường hợp, nhưng sai trong hầu hết các trường hợp. Một nhãn VPN thường chỉ ra next-hop mà gói tin phải được thực hiện chuyển tiếp đến để gởi đến router PE. Vì thế, trong hầu hết các trường hợp, mục đích chính của nhãn VPN là chỉ ra router CE nào đó là next-hop của gói tin. Lưu lượng VRF-to-VRF trong mạng MPLS VPN có hai nhãn. Nhãn đỉnh là nhãn IGP được phân phối bởi LDP hay RSVP (cho TE) giữa tất cả các router P và PE qua từng hop (hop by hop). Nhãn đáy là nhãn VPN được quảng cáo bởi MP-iBGP từ PE đến PE. Các router P sử dụng nhãn IGP để chuyển tiếp gói tin đến chính xác router ePE. Router ePE sử dụng nhãn VPN để chuyển tiếp gói IP đến chính xác router CE. Hình 41. Quá trình chuyển tiếp gói tin trong mạng MPLS VPN QoS trong mạng MPLS Mở đầu Trước đây, khi mà internet chủ yếu là truyền data thì người ta không cần quan tâm đến việc phân biệt và ưu tiên cho các gói tin bởi vì lúc này băng thông mạng và các tài nguyên khác đủ để cung cấp cho các ứng dụng trong mạng, vì vậy các ISPs sẽ cung cấp cho khách hàng của họ dịch vụ Best – Effort (BE) khi đó tất cả các khách hàng sẽ được đối sử như nhau họ chỉ khác nhau ở loại kết nối. Đây là dịch vụ phố biến trên mạng Internet hay mạng IP nói chung. Các gói thông tin được truyền đi theo nguyên tắc “đến trước được phục vụ trước” mà không quan tâm đến đặc tính lưu lượng của dịch vụ là gì. Điều này dẫn đến rất khó hỗ trợ các dịch vụ đòi hỏi độ trễ thấp như các dịch vụ thời gian thực hay video. Cho đến thời điểm này, đa phần các dịch vụ được cung cấp bởi mạng Internet vẫn sử dụng nguyên tắc BE này. Nhưng khi internet càng ngày càng phát triển và phát triển thêm các dịch vụ HTTP, Voice, Video… thì điều này sẽ làm cho chất lượng của các dịch vụ này giảm đi rõ rệt vì delay lớn, độ jitter lớn và không đủ băng thông để truyền, phương án tăng băng thông của mạng cũng không giải quyết được vấn đề này mà lại còn rất tốn kém. Chính vì những lý do trên mà các ISP đã tập trung triển khai việc quản lý lưu lượng và các quá trình QoS. Định nghĩa QoS Chất lượng dịch vụ QoS là một tập hợp các tiêu chuẩn công nghiệp và các cơ chế để đảm bảo hiệu suất chất lượng cao cho các ứng dụng quan trọng. Bằng cách sử dụng các cơ chế QoS, các nhà quản trị mạng có thể sử dụng tài nguyên một cách hiệu quả và đảm bảo cấp độ dịch vụ đã yêu cầu mà không cần mở rộng hoặc cung cấp quá năng lực mạng của họ. Qos giúp xác định các vấn đề và sai sót trong các dịch vụ, cho phép các nhà cung cấp dịch vụ cải thiện các dịch vụ của họ. Một số khái niệm trong QoS Các tham số cơ bản Độ trễ Trễ là khoảng thời gian một bản tin chiếm khi truyền từ điểm này sang điểm khác trên mạng. Trễ bao gồm một số thành phần như thời gian tiêu tốn trong hàng đợi của bộ định tuyến-trễ xếp hàng, thời gian cần thiết để thực hiện quyết định trong bộ định tuyến-trễ chuyển tiếp, thời gian cần thiết để tuyến vật lý truyền dữ liệu-trễ lan truyền và thời gian sử dụng để đặt gói tin lên mạng-trễ nối tiếp hoá. Thành phần có thể được quản lý với QoS là trễ xếp hàng. Gói có ưu tiên cao hơn sẽ được đưa ra để truyền trước các gói có ưu tiên thấp hơn và các kĩ thuật quản lý hàng đợi như RED có thể được sử dụng. Biến thiên độ trễ Biến thiên độ trễ được định nghĩa như sự biến đổi trong các trễ chuyển tiếp đầu cuối- đầu cuối. Trong một số ứng dụng, như các ứng dụng thời gian thực không thể chấp nhận biến thiên độ trễ. Giao thức TCP cũng thực hiện rất kém dưới tác dụng của biến thiên độ trễ, vì nó cố gắng điều chỉnh tốc độ truyền dẫn của nó tương ứng. Băng thông Băng thông biểu thị tốc độ tryền dữ liệu cực đại có thể đạt được giữa hai điểm đầu cuối. Độ mất gói Độ mất gói là trường hợp khi gói tin không tới được đích của nó trước thời gian timeout của bộ thu. Trong mạng TCP/IP thì độ mất gói chủ yếu là do nghẽn, đây là nguyên nhân tạo ra sự tràn bộ nhớ hoặc loại bỏ gói tin bởi các phương tiện quản lý lưu lượng. Cấp độ dịch vụ GoS Khái niệm cấp độ dịch vụ GoS có nghĩa hẹp hơn QoS và chỉ ra một cách đơn giản rằng các dịch vụ có thể phân loại được trong các cấp độ khác nhau, có thể được cung cấp cho người sử dụng và được quản lý độc lập. Thỏa thuận mức độ dịch vụ SLA Thỏa thuận mức dịch vụ SLA là hợp đồng giữa khách hàng và nhà cung cấp dịch vụ SP, SLA định mức dịch vụ nào SP định cung cấp. Ý tưởng rất đơn giản: khách hàng nào báo cáo bao nhiêu lưu lượng họ sẽ gửi và trả tiền cho mức độ tối thiểu được đảm bảo trong lưu lượng đó. Các mô hình QoS Hai mô hình cung cấp chất lượng dịch vụ được sử dụng phổ biến ngày nay là: Dịch vụ tích hợp IntServ Dịch vụ phân biệt DiffServ Mô hình IntServ sử dụng khái niệm luồng cùng với giao thức báo hiệu dọc theo đường dẫn của gói tin. Giao thức báo hiệu đảm bảo các nguồn tài nguyên thỏa mãn yêu cầu dịch vụ được cung cấp tại mỗi nút cho các luồng lưu lượng trước khi nó được truyền trên mạng. Điều này gặp trở ngại lớn khi hoạt động trong môi trường không gian lớn như Internet, vì số lượng các router, switch, máy chủ rất lớn và đa dạng. Chính sự hạn chế bởi vấn đề mở rộng vì rất nhiều luồng lưu lượng cần phải quản lý, một tập tiêu chuẩn của mô hình phân biệt dịch vụ DiffServ được đưa ra như là một mô hình QoS thứ hai. Hình 42. Mô hình dịch vụ tích hợp IntServ Trong khi đó, ý tưởng của mô hình dịch vụ phân biệt DiffServ khá đơn giản: nó cung cấp các mức độ dịch vụ mạng khác nhau cho một gói tin, từ đó cho phép phân biệt các dịch vụ có khả năng mở rộng khác nhau mà không cần trạng thái mỗi luồng và báo hiệu tại mỗi hop. Các gói tin của một dịch vụ cụ thể thuộc về một lớp. Các lớp được phân loại nhờ việc đánh dấu gói tin và việc đối xử với mỗi gói tin là hoàn toàn độc lập. Điều này cho phép khả năng mở rộng tốt hơn mô hình IntServ, nhưng lại không cung cấp việc bảo đảm băng thông đối với các gói tin thuộc về một luồng, do đó không thể cung cấp việc kiểm soát truy nhập với các luồng mới. Hình 43. So sánh IntServ với DiffServ Mô hình dịch vụ phân biệt DiffServ Mục đích của việc đưa ra dịch vụ Diffserv để nhằm đạt được tính linh động. Diffserv trái ngược với Intserv là dựa trên từng luồng dữ liệu, nó phân loại các gói thành một số lượng không lớn các tập gọi là các lớp) và do đó đạt được hiệu quả cho các mạng lớn. Các chức năng đơn giản được thực hiện tại router lõi, trong khi các chức năng phức tạp được triển khai tại các router biên. Tính linh động rất là cần thiết vì dịch vụ mới có thể xuất hiện và một số dịch vụ trở lên lỗi thời. Do đó, Diffserv không cần thiết phải xác định dịch vụ như là Inserv, thay vào đó nó cung cấp các thành phần chức năng mà trên đó dịch vụ có thể được xây dựng. Việc thông tin giữa người dùng và dịch vụ sẽ nằm trong bản thỏa thuận mức dịch vụ SLA , việc đối xử luồng lưu lượng tương ứng với bản SLA. Việc xác định SLA sẽ được cung cấp bao nhiêu tài nguyên sẽ được cấu hình tay. Kiến trúc DiffServ Kiến trúc mô hình DiffServ bao gồm các thành phần chính được sử d ụng cùng nhau để cho phép độ trễ, biến thiên độ trễ, độ mất gói phân biệt từ đầu đến cuối có thể được hỗ trợ trong cùng một mạng hỗ trợ DiffServ. Các thành phần ấy gồm: Hình 44. Các thành phần trong kiến trúc DiffServ Phân loại và quy định lưu lượng: Tại lối vào miền DiffServ, lưu lượng của khách hàng được phân loại vào các lớp khác nhau, còn gọi là các tập hợp hành vi BA. Những tập hợp này được đối chiếu với bản thỏa thuận quy định lưu lượng TCA. Sau đó, các cơ chế QoS, chẳng hạn như policing hoặc shaping, được sử dụng để đảm bảo rằng lưu lượng vào miền DiffServ phù hợp với TCA. Những lưu lượng nào không phù hợp sẽ bị trì hoãn, hủy bỏ hoặc đánh dấu lại là vượt khỏi quy định của TCA. Đánh dấu DSCP: các gói tin được đánh dấu trước bằng cách thay đổi giá trị DSCP thuộc trường DS trong phần IP header, hoặc được đánh dấu tại ngõ vào miền DiffServ để xác định gói tin thuộc về lớp hoặc BA nào. Vì vậy, các nút mạng tiếp theo trong miền DiffServ chỉ cần thực hiện việc phân loại đơn giản để xác định lớp của gói tin. Đối xử từng chặng PHB: sau khi áp dụng các quy định lưu lượng tại biên của miền DiffServ, bên trong miền DiffServ, mục tiêu là phải đảm bảo rằng SLA mỗi class phải được đáp ứng. PHB đại diện cho các mô tả về các đặc tính độ trễ, biến thiên độ trễ và tỷ lệ mất gói mà mỗi BA phải chịu khi đi qua một nút DiffServ. Một nhóm PHB có thể chứa một hoặc nhiều PHB liên quan được thực hiện đồng thời. Điểm mã dịch vụ phân biệt DSCP Các đặc tính kỹ thuật trước đây, IP đã dự trữ một số bit trong header cho việc hỗ trợ các chất lượng dịch vụ QoS. Đối với IPv4, octet thứ hai của header là octet ToS (Type of Service), còn đối với IPv6 thì đó là octet lớp lưu lượng (Traffic Class). Hình 45. Trường ToS trong IP header trước và sau khi có DiffServ Trong mô hình DiffServ, trường ToS trong IPv4 Header được định nghĩa lại, gọi là trường DS (Differentiated Service). Trường DS có cấu trúc như sau: Hình 46. Cấu trúc trường DS Trường ToS chứa 8 bit, 6 trong số chúng được sử dụng để biểu thị cho DSCP. Với 6 bit trường DS sẽ có 64 giá trị nhị phân tương ứng với 64 trạng thái chất lượng dịch vụ chứa trong 3 “bộ trữ”(pool). Trong đó sẽ có 2 bộ trữ với 32 giá trị được dự trữ cho thực nghiệm hay sử dụng cục bộ. Các đặc tính DiffServ hiện nay khuyến cáo sử dụng 21 giá trị trong bộ trữ thứ 3. Đối xử từng chặng PHB Kiến trúc DiffServ định nghĩa một PHB như là hành vi chuyển tiếp mà một nút áp dụng đối với một BA. PHB liên quan đến các đặc điểm về độ trễ, biến thiên độ trễ hay tỷ lệ mất gói mà một BA sẽ gặp khi đi qua một miền DiffServ. Một nhóm PHB chứa một hoặc nhiều PHB liên quan được thực thi đồng thời. Có các PHB được định nghĩa trong tài liệu đặc tả DiffServ như sau: PHB mặc định (Default PHB) Chuyển tiếp nhanh EF (Expetided Forwarding) Chuyển tiếp đảm bảo AF (Assured Forwarding) Bộ lựa chọn lớp CS (Class Selector) Ta có bảng ánh xạ các giá trị DSCP với hành vi PHB như sau: PHB DSCP (Decimal) DSCP (Binary) EF 46 101110 AF43 38 100110 AF42 36 100100 AF41 34 100010 AF33 30 111100 AF32 28 111000 AF31 26 110100 AF23 22 101100 AF22 20 101000 AF21 18 100100 AF13 14 111000 AF12 12 110000 AF11 10 101000 CS7 56 111000 CS6 48 110000 CS5 40 101000 CS4 32 100000 CS3 24 011000 CS2 16 010000 CS1 8 001000 Default 0 000000 Bảng 2. Bảng ánh xạ giá trị DSCP và PHB PHB mặc định PHB mặc định là một dịch vụ Best – Effort mà một miền DiffServ cung cấp. Miền DiffServ sẽ chuyển tiếp càng nhiều gói tin càng tốt, càng sớm càng tốt. Không có các đặc tính về độ trễ, biến thiên độ trễ và tỷ lệ mất gói. Việc thực hiện các hành vi PHB khác sẽ ngăn cản hoạt động của các ứng dụng của PHB mặc định.