MỤC LỤC
Trang
MỤC LỤC . i
DANH MỤC CÁC HÌNH . iii
THUẬT NGỮVÀ TỪVIẾT TẮT . iv
LỜI MỞ ĐẦU . 1
CHƯƠNG 1: TỔNG QUAN CÁC CÔNG NGHỆNỐI MẠNG VÔ TUYẾN . 3
1.1. CÁC CÔNG NGHỆNỐI MẠNG SỐLIỆU CHUYỂN MẠCH KÊNH VÀ
CHUYỂN MẠCH GÓI . 3
1.2. SỐLIỆU GÓI CDMA2000 . 5
1.2.1. Kiến trúc hệthống sốliệu gói cdma2000 . 5
1.2.2. Triển vọng MS . 8
1.2.3. Các mức di động của cdma2000. 10
1.2.4. AAA di động cdma2000 . 11
1.3. NỐI MẠNG SỐLIỆU GÓI: GPRS VÀ MIỀN UMTS PS . 14
1.3.1. Các phần tửGPRS . 14
1.3.2. Các phần tửUMTS . 15
1.3.3. Kiến trúc hệthống GPRS và miền UMTS PS . 16
1.3.4. Các khảnăng dịch vụcủa GPRS và miền UMTS PS . 19
1.3.5. Đầu cuối GPRS và miền UMTS PS . 20
1.4. KẾT LUẬN .21
CHƯƠNG 2: TỔNG QUAN MVPN . 22
2.1. ĐỊNH NGHĨA VPN . 22
2.2. CÁC KHÁI NIỆM CHUNG NHẦM LẪN VỀCÁC MẠNG RIÊNG . 23
2.2.1. Các mạng riêng đảm bảo an ninh . 23
2.2.2. Các mạng riêng luôn luôn tin cậy . 24
2.3. CÁC KHỐI CƠBẢN CỦA VPN . 25
2.3.1. Điều khiển truy nhập . 25
2.3.2. Nhận thực . 27
2.3.3. An ninh . 28
2.3.4. Truyền tunnel là nền tảng VPN . 28
2.3.5. Các thỏa thuận mức dịch vụSLA (Service Level Agreement) . 32
2.4. PHÂN LOẠI CÔNG NGHỆVPN . 33
2.4.1. Phân loại theo phương pháp truyền tunnel . 34
2.4.2. Phân loại theo kiến trúc: Site-to-Site VPN và truy nhập từxa . 39
2.5. CHUYỂN TỪHỮU TUYẾN SANG VÔ TUYẾN VÀ DI ĐỘNG . 43
2.5.1. Tầm quan trọng của VPN trong môi trường sốliệu gói vô tuyến . 43
2.5.2. MVPN tựý . 45
2.5.3. MNPN bắt buộc . 46
2.6. KẾT LUẬN .47
CHƯƠNG 3: GIẢI PHÁP MVPN CHO GPRS/UMTS VÀ CDMA2000 . 48
3.1. GIẢI PHÁP VPN CHO GPRS VÀ UMTS . 48
3.1.1. Các giải pháp công nghệsốliệu gói . 48
3.1.2. Kiểu IP PDP . 51
3.1.3. Kiểu PPP PDP . 56
3.1.4. Các thỏa thuận mức dịch vụ, SLA . 60
3.1.5. Tính cước . 61
3.1.6. Chuyển mạng . 62
3.2. GIẢI PHÁP MVPN CHO CDMA2000 . 65
3.2.1. Tổng quan mạng riêng cdma2000 . 65
3.2.2. IP đơn giản (Simple IP) . 67
3.2.3. VPN dựa trên MIP . 70
3.2.4. Cấp phát HA trong mạng . 77
3.2.5. Quản lý địa chỉIP đơn giản trong cdma2000 . 81
3.2.6. Nhận thực, trao quyền và thanh toán cho dịch vụMVPN . 83
KẾT LUẬN . 88
TÀI LIỆU THAM KHẢO . 89
99 trang |
Chia sẻ: lethao | Lượt xem: 2058 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Đồ án Công nghệ nối mạng riêng ảo di động MVPN cho 3G, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
hiệp. Ngoài ra sự xuất hiện mạng dựa trên IPv6 và sự chuyển đổi dần
sang IPv6 Internet trong tương lai sẽ giải quyết vấn đề thiếu hụt địa chỉ.
Một nhược điểm khác của VPN tự ý xuất phát từ bản chất của truyền tunnel đầu
cuối-đầu cuối có đảm bảo an ninh. Trong phương pháp này, nội dung của các gói
truyền tunnel được đóng bao và vì thế không thể kiểm tra tại các nút trên tuyến tunnel
trừ các điểm cuối tunnel. Vì thế QoS, CoS (Class of Service) và các cơ chế tạo dạng
Đồ án tốt nghiệp đại học Chương II: Tổng quan MVPN
Đoàn Hồng Huệ - Lớp D01VT 36
lưu lượng đòi hỏi kiểm tra gói tại nhiều điểm là không thể thực hiện được. Giám sát
thiết bị và các chức năng tường lửa cũng không làm việc tốt.
Khi các MVPN được thực hiện trong một môi trường thông tin di động, truyền
tunnel sẽ dẫn đến một lớp đóng bao bổ sung ở trên đoạn truyền vô tuyến chặng cuối
cùng. Điều này sẽ tiêu tốn hơn các tài nguyên vô tuyến đắt tiền và quí hiếm. Ngoài ra
mật mã hóa và các giải thuật an ninh phức tạp có thể không phù hợp cho việc áp dụng
trong các thiết bị vô tuyến nhỏ do khả năng xử lý và nguồn acqui có hạn của chúng.
Hơn nữa các điều kiện vô tuyến dễ thay đổi và môi trường vô tuyến gây tổn hao không
thuận lợi cho việc thiết lập và bảo tồn các IPSec tunnel. Điều này có thể gây ra thời
gian thiết lập tunnel lâu hay trong các trường hợp cực đoan dẫn đến sự cố hoàn toàn và
dẫn đến phải chuyển đến vùng phủ sóng tốt hơn. Lưu ý rằng điều này không chỉ ảnh
hưởng lên các hệ thông thông tin di động mà còn ảnh hưởng lên các mạng truy nhập
dựa trên WLAN.
Vì các lý do trên, nên mặc dù truyền tunnel tự ý đảm bảo giải pháp đầu cuối-đầu
cuối an ninh và trong suốt để truy nhập đến các mạng riêng, nhưng hiệu suất cao hơn
của VPN và các dịch vụ duy nhất lại chỉ có thể đạt được với sự tham ra của các nhà
cung cấp dịch vụ dẫn đến việc đưa ra một kiểu VPN khác.
2.4.1.2. VPN bắt buộc
Nhà cung cấp dịch vụ có thể cung cấp dịch vụ VPN bắt buộc bằng cách móc nối
nhiều tunnel hay cung cấp một tunnel duy nhất cho một đoạn của tuyến số liệu giữa
hai điểm cuối tham dự. Chẳng hạn, VPN bắt buộc có thể được xây dựng trên một
tunnel được tạo lập giữa mạng riêng và nhà cung cấp dịch vụ mà không kéo dài trên
toàn tuyến số liệu đến người sử dụng ở xa sử dụng dịch vụ này. Vì thế với dịch vụ
VPN bắt buộc, người sử dụng ở xa không cần tham dự vào quá trình thiết lập VPN mà
bị "buộc" sử dụng dịch vụ được cung cấp trước mỗi khi cần truy nhập đến mạng và
đây cũng là tên của phương pháp này.
Kiểu VPN này cho rằng cơ sở hạ tầng mạng của nhà khai thác có tính năng thông
minh và các chức năng cần thiết để hỗ trợ các dịch vụ VPN dựa trên tunnel hay các tập
tunnel được trang bị giữa mạng riêng và các mạng của nhà cung cấp dịch vụ và tunnel
không tồn tại trên toàn tuyến đến tận người sử dụng đầu cuối. Trong cả hai trường hợp,
hãng (hay xí nghiệp) phải thiết lập một SLA chi tiết với nhà cung cấp dịch vụ chịu
trách nhiệm về dịch vụ VPN và phải tin tưởng nhà cung cấp dịch vụ trong việc xử lý
số liệu giá trị với trách nhiệm và bí mật cần thiết. Nhà cung cấp dịch vụ thường tham
dự vào điều khiển truy nhập mạng và hãng phải tin tưởng nhà cung cấp này trong việc
từ chối truy nhập đối với các người sử dụng trái phép theo chính sách truy nhập mạng
do nhà quản lý mạng hãng quy định. Hình 2.5 cho thấy thí dụ kịch bản áp dụng VPN
bắt buộc trong cdma2000. Trong hình này số liệu của người sử dụng chỉ được đóng
Đồ án tốt nghiệp đại học Chương II: Tổng quan MVPN
Đoàn Hồng Huệ - Lớp D01VT 37
bao vào MIP tunnel giữa PDSN của cdma2000 của nhà cung cấp dịch vụ và HA thuộc
sở của hãng.
Hình 2.5. VPN bắt buộc
Việc phải có một đoạn tuyến số liệu riêng không được bảo vệ, phải tin vào nhà
cung cấp dịch vụ và thiết lập các SLA và các thỏa thuận bảo mật số liệu phức tạp là
một số các nhược điểm của VPN bắt buộc. Trong môi trường di động, các vấn đề an
ninh thậm chí quan trọng hơn, vì lưu lượng được phát trên các kênh vô tuyến khó đảm
bảo an ninh. Khi chuyển mạng số liệu gói, lưu lượng không được bảo vệ đến và đi từ
máy di động phải đi qua mạng khách (mạng có thể không thiết lập SLA với hãng ở
mạng nhà) trước khi được truyền tunnel đến mạng khởi xướng. Nếu có các đoạn
truyền không an ninh trong mạng này, đặc biệt là các đoạn không được mật mã hóa
trong đường trục, có thể xẩy ra các vấn đề an ninh nghiêm trọng. Rất khó xử lý các
vấn đề này trừ phi nhà cung cấp cài đặt dịch vụ một cách cẩn thận. Ví dụ các IPSec
tunnel cổng-cổng tại các điểm quan trọng của mạng có thể giải quyết vấn đề này.
Ưu điểm của phương pháp bắt buộc đó là sử dụng tốt hơn giao diện vô tuyến nhờ
không cần chi phí cho đóng bao trên giao diện vô tuyến, điều này đặc biệt có lợi cho
các hệ thống thông tin di động và nhờ đó đơn giản hóa thiết bị của người sử dụng. Khi
sử dụng VPN bắt buộc, thiết bị người sử dụng đầu cuối không phải hỗ trợ bất kỳ một
VPN client nào hoặc phải truyền tunnel hoặc phải có khả năng an ninh vì các client
này đòi hỏi CPU xử lý mạnh và tiêu thụ nguồn. Ngoài ra người sử dụng không tham
gia vào việc tạo lập VPN và chỉ cần yêu cầu dịch vụ khi truy nhập mạng của nhà cung
cấp dịch vụ.
VPN bắt buộc có nhiều ưu điểm giá trị khác đối với các nhà cung cấp dịch vụ.
Chào hàng và tiếp thị VPN bắt buộc như là một tính năng có thể sẽ cho phép các mô
hình dịch vụ mới và cung cấp các dịch vụ kênh mang mới. Với phương pháp tự ý, các
nhà cung cấp dịch vụ không tham dự vào quá trình cung cấp thậm chí nhiều khi cũng
không biết về sự tồn tại lưu lượng được đóng gói và được mật mã hóa, nếu như họ
không cung cấp các điểm truy nhập đến Internet liên quan đến các địa chỉ IP có khả
năng định tuyến công cộng hay các thiết bị nối ngang NAT. Trái lại, cung cấp truy
nhập VPN bắt buộc có thể được các nhà cung cấp dịch vụ mang tiếp thị ở các dạng
khác nhau cho các hãng (xí nghiệp) riêng và các ISP quan tâm đến việc phát đi các
chức năng truy nhập xa của họ. Điều này sẽ đem lại các lợi nhuận mới và khả năng
phân biệt lớn hơn giữa các chào hàng dịch vụ cạnh tranh.
Đồ án tốt nghiệp đại học Chương II: Tổng quan MVPN
Đoàn Hồng Huệ - Lớp D01VT 38
Một lợi ích khác của VPN bắt buộc đối với các nhà cung cấp dịch vụ là có thể kiểm
soát lớn hơn đối với người sử dụng. Trong mô hình bắt buộc, nhà cung cấp dịch vụ
thường tham dự vào nhận thực và ấn định địa chỉ IP, như vậy họ có thể kiểm soát phần
lớn việc cung cấp cho người sử dụng. Các địa chỉ IP thường được ấn định đến người
sử dụng ở xa từ không gian địa chỉ riêng của mạng khách hàng vì thế tiết kiệm được sự
sử dụng các địa chỉ IP định tuyến công cộng từ phía nhà cung cấp.
2.4.1.3. VPN tunnel móc nối
Kiểu VPN thứ ba không thể coi là VPN bắt buộc hay tự ý mà được gọi là VPN
tunnel móc nối (Chainned Tunnel VPN). VPN này bao gồm một tập các tunnel móc
nối để kéo dài toàn bộ đường truyền đến thiết bị đầu cuối. VPN tunnel móc nối có thể
có nhiều dạng như thấy trên hình 2.6. Hình này cho thấy một số cách móc nối tunnel
trong mạng GPRS.
Giống như phương pháp tự ý, VPN tunnel móc nối đảm bảo bảo vệ số liệu đầu
cuối-đầu cuối của người sử dụng và người sử dụng tham gia vào khởi đầu tunnel.
Giống như VPN bắt buộc, nhà cung cấp dịch vụ tham dự vào cung cấp và cấu trúc
VPN tunnel móc nối và có thể dễ dàng áp dụng QoS và tạo dạng lưu lượng tại các
điểm móc nối tunnel. Tuy nhiên sự tham gia này không cần SLA và các thỏa thuận xử
lý số liệu.
Máy di
động
SGSN
SGSN CN
GGSN
Internet/
PLMN khác
Máy
trạm
GTP/IPSec (Gp) MPLS IPSec
GTP (Gn) PPTP
GTP (Gp) L2TP/IPSec L2TP
Hình 2.6. Một số tùy chọn VPN móc nối (trong môi trường GPRS).
Các dạng VPN nói trên đều có các ưu và nhược và sẽ đồng thời tồn tại trong các
mạng riêng tương lai. Các nhà cung cấp dịch vụ có thể cung cấp chúng tùy thuộc vào
công nghệ khả dụng, khả năng phù hợp với nhiệm vụ và môi trường kinh doanh
Đồ án tốt nghiệp đại học Chương II: Tổng quan MVPN
Đoàn Hồng Huệ - Lớp D01VT 39
2.4.2. Phân loại theo kiến trúc: Site-to-Site VPN và truy nhập từ xa
Trong phần này, chúng ta sẽ xem xét việc phân loại VPN từ quan điểm kiến trúc
chứ không phải từ quan điểm truyền tunnel. Chúng ta cũng phân tích phân loại IP VPN
hữu tuyến và khả năng ứng dụng nó cho môi trường di động. Các kiến trúc IP VPN có
thể được phân loại thành hai kiểu chính: các Site-to-Site VPN (còn được gọi là LAN
đến LAN hay POP đến POP ) và các VPN truy nhập từ xa. Các Site-to-Site VPN bao
gồm các các phương án như: Extranet VPN và Intranet VPN, các phương án này đều
có chung các thuộc tính nhưng được thiết kế để giải quyết tập các vấn đề khác nhau.
VPN truy nhập từ xa bao gồm các phương pháp truy nhập quay số và truy nhập gói
trực tiếp, các phương pháp này cũng sẽ được đề cập ở dạng khung kiến trúc chính. Tất
cả các kiểu VPN này đều có thể được áp dụng (ít nhất là lý thuyết) trên các mạng
thông tin di động, tuy nhiên nghiên cứu sẽ tập trung lên các vấn đề liên quan đến các
MVPN đối với kiểu truy nhập từ xa, vì thông thường mạng vô tuyến nối một máy trạm
ở xa đến một mạng mà nó muốn truy nhập.
2.4.2.1. Site-to-site VPN
Site-to-Site VPN được sử dụng để nối các site của các hãng phân tán về mặt địa lý,
trong đó mỗi site có các địa chỉ mạng riêng được quản lý sao cho bình thường không
xẩy ra sự va chạm. Trong cách nối mạng thông thường, các văn phòng hãng ở xa có
thể kết nối với nhau bằng các mạng cấu hình lưới trên cơ sở các đường thuê riêng
T1/E1 hay các kênh lớp liên kết như các PVC ATM hay chuyển tiếp khung trong nối
mạng của nhà cung cấp dịch vụ. Một cách khác là sử dụng mạng định tuyến riêng hay
các tuyến chuyển mạch theo nhãn MPLS. Các mạng định tuyến riêng đòi hỏi các
router có khả năng phân biệt lưu lượng từ các Intranet khác dựa trên các bảng định
tuyến dẫn đến các vấn đề về khả năng định lại cỡ. Cấu trúc này được gọi là intranet.
Cũng có thể đạt được các kết quả tương tự bằng cách cung cấp các IP VPN tunnel
an ninh trên mạng internet công cộng hay các mạng IP của nhà cung cấp dịch vụ. IP
VPN có các ưu điểm lớn về giá cả và sự đơn giản. Giá thành thông tin giảm vì khách
hàng chỉ phải trả cho truy nhập vào mạng IP của mạng nhà cung cấp dịch vụ hay truy
nhập internet. Các văn phòng ở xa được nối với nhau qua các tunnel được cung cấp
trên mạng IP dùng chung, chẳng hạn internet hay mạng IP thương mại dùng chung
được các nhà cung cấp dịch vụ cung cấp như WorldCom hay AT&T. Cùng với truy
nhập mạng IP công cộng, áp dụng VPN đòi hỏi CPE ở dạng các cổng VPN có khả
năng hỗ trợ số lượng khá lớn các đoạn tunnel riêng tại từng site.
Các Site-to-Site VPN vẫn có thể thực hiện trong môi trường di động, nhưng giá trị
của các mô hình này từ quan điểm thuê bao vô tuyến vẫn chưa rõ ràng và nó nằm
ngoài nghiên cứu của đề tài này. Tuy nhiên kiểu VPN này có thể được triển khai trong
các mạng lõi vô tuyến như GPRS PLMN và GRX, khi nhà cung cấp dịch vụ muốn
phát triển kết nối lựa chọn đến các đối tác chuyển mạng của nó. Ngoài ra, một điểm
Đồ án tốt nghiệp đại học Chương II: Tổng quan MVPN
Đoàn Hồng Huệ - Lớp D01VT 40
truy nhập GPRS đến một mạng hãng có thể được xem như là trường hợp Site-to-Site
VPN. Thực chất, một nhà cung cấp dịch vụ có thể đảm bảo kết nối đầy đủ đến tất cả
các site của hãng và thậm chí các gói của tuyến trực tiếp đến site khách hàng tương
ứng qua các IP tunnel nối chúng đến một điểm truy nhập.
Extranet VPN
Extranet (truyền thông giữa các hãng) là một thuật ngữ mới có trong nối mạng vô
tuyến. Nó thường được sử dụng khi một hãng cần tương tác không chỉ với các văn
phòng ở xa của mình mà cả với các site trực thuộc các khách hàng của nó, các nguồn
cung cấp và các thực thể khác liên quan đến các giao dịch hay trao đổi thông tin. Các
thực thể này thường được gọi là các mạng đối tác. Để hỗ trợ các loại truyền thông này,
các tunnel VPN có thể được thiết lập giữa các mạng riêng trực thuộc các thực thể riêng
khác nhau. Các chức năng VPN như điều khiển truy nhập, nhận thực và các dịch vụ an
ninh có thể được sử dụng để từ chối hay cho phép truy nhập đến các tài nguyên cần
thiết cho kinh doanh. Các vấn đề an ninh đối với extranet (bao gồm cả tuy nhập tài
nguyên trái phép) lớn hơn trong intranet, vì thế VPN và extranet phải được thiết kế cẩn
thận với các chính sách điều khiển truy nhập đa lớp và các sắp xếp an ninh duy nhất
giữa các thành viên extranet.
. Khả năng IP VPN cung cấp động các tunnel và các ưu tiên điều khiển truy nhập
trong vài phút, thậm chí vài giây và thường không cần thông báo cho nhà cung cấp
truy nhập (nếu các cho phép này là bộ phận của SLA trong trường hợp VPN bắt buộc)
là đặc biệt hữu ích trong môi trường extranet. Hiện nay, cung cấp động là tối quan khi
các nhu cầu và tình trạng kinh doanh có thể thay đổi nhanh chóng, đòi hỏi nhanh
chóng thiết lập lại các sắp đặt nối mạng mới. Khả năng này khắc phục các nhược điểm
của các công nghệ nối mạng: thời gian cung cấp khá lâu và các thủ tục cung cấp phức
tạp. Hình 2.7 cho thấy một hãng chính thiết lập quan hệ động với các nguồn cung cấp
và các đối tác kinh doanh khác
Lưu ý rằng sử dụng các mạng đối tác kết nối IP VPN chỉ có nghĩa khi cần trao đổi
một khối lượng lớn thông tin giữa các mạng. Khi tương tác giữa các đối tác có thể thực
hiện qua các ứng dụng dựa trên Web, tốt nhất là nên thiết lập các giao diện Web được
bảo vệ bởi TLS hay SSL cho các ứng dụng và các kho lưu thông tin. Hiện nay các
tương tác kinh doanh dựa trên các cổng chính của khách hàng và của nhà cung cấp
hàng cũng phổ biến.
Intranet VPN
Một hãng có thể quyết định thiết lập một VPN không chỉ để kết nối các site trực
thuộc hãng mà còn để định nghĩa các mạng ảo ngay trong miền quản lý của mình.
Không phải hầu hết thời gian đều cần đến điều này, vì có thể định nghĩa các vùng an
ninh bằng trang bị thích hợp lọc tường lửa và các chính sách điều khiển truy nhập tài
nguyên tại mức ứng dụng.
Đồ án tốt nghiệp đại học Chương II: Tổng quan MVPN
Đoàn Hồng Huệ - Lớp D01VT 41
Hình 2.7. Extranet VPN động
Tuy nhiên trong các môi trường công tác quan trọng, có thể các tổ chức (đặc biệt là
các tổ chức lớn) quyết định thi hành các biện pháp an ninh bằng cách cách ly lưu
lượng và các vùng mạng đặc biệt quan trọng thông qua các tunnel được mật mã hóa
IPSec và thi hành các chính sách nhận thực và điều khiển truy nhập bổ sung cho các
vùng này. Các công ty cần đảm bảo bảo mật cho số liệu như các bản ghi cá nhân của
nhân viên cũng như thông tin về các sự kiện sẽ xẩy ra chẳng hạn phát hành các sản
phẩm mới hay tổ chức lại. Mục đích chính của intranet VPN trong mạng hãng là thiết
lập và quản lý các mức khác nhau của truy nhập bên trong đến thông tin đặc thù. Với
khả năng này, Intranet VPN lại được sử dụng để tạo lập môi trường giống như phân
chia vật lý các nhóm người sử dụng vào các mạng con LAN khác nhau được kết nối
bởi các cầu hay các router.
2.4.2.2. VPN truy nhập từ xa
Nối mạng truy nhập từ xa ban đầu được coi là một cách đảm bảo các máy trạm ở
xa truy nhập các tài nguyên thông tin và các dịch vụ đặt trong mạng riêng. Truy nhập
từ xa hữu ích cho cả các người tiêu dùng và các nhân viên ở xa hoặc nhà kinh doanh
Đồ án tốt nghiệp đại học Chương II: Tổng quan MVPN
Đoàn Hồng Huệ - Lớp D01VT 42
hay các tổ chức khác. Các hãng và các thực thể khác từng phải duy trì các phương tiện
phù hợp, thông thường gồm các RAS (Remote Access Server: Server truy nhập từ xa)
và thiết bị an ninh tương ứng để duy trì mức khả dụng và tin cậy dịch vụ cho các người
sử dụng ở xa. Kết nối quay số từng được xem là riêng tư và phù hợp cho tất cả các ý
đồ và mục đích.
VPN truy nhập từ xa quay số
Truy nhập từ xa quay số đắt tiền và đòi hỏi sự hỗ trợ lớn từ các phòng IT của hãng.
Thông thường, người sử dụng từ xa ở cách xa các cơ quan đầu não của hãng hay các
trung tâm số liệu và đòi hỏi cuộc gọi đường dài. Cuộc gọi này trở nên rất đắt đối với
các chủ gọi quốc tế khi họ định kết nối lâu. Các hãng dựa trên công nghệ này thường
phải tạo ra (hay sử dụng phương tiện hãng khác) nhiều trung tâm số liệu vùng và duy
trì hỗ trợ tại chỗ để tránh cước đường dài cao. Truy nhập quay số cũng đòi hỏi các
thiết bị RAS đắt tiền, phức tạp và đôi khi cũng bị sự cố.
Các VPN truy nhập từ xa quay số có thể được xây dựng trên các phương pháp
truyền tunnel bắt buộc hay tự ý. Trong một kịch bản truy nhập quay số sử dụng
phương tiện của hãng khác (là bắt buộc), người sử dụng quay số đến các POP địa
phương của các nhà cung cấp dịch vụ Internet, thiết lập kết nối PPP. Sau khi người sử
dụng đã được nhận thực và liên kết PPP được thiết lập nhà cung cấp dịch vụ thiết lập
theo cách bắt buộc (nghĩa là trong suốt đối với người sử dụng) một tunnel đến một
cổng trong mạng riêng mà người sử dụng ở xa muốn truy nhập đến. Mạng riêng thực
hiện nhận thực người sử dụng lần cuối và thiết lập kết nối. Kiến trúc này được mô tả
trên hình 2.8.
IPSec Client
ISDN Modem
DSL
Chuyển mạch
DSLAM
PSTN
RAS
Cổng SS7 RADIUS
L2TP
(bắt
buộc
)
IPSec (tự ý)
LNS
ISP
Cổng IPSec
Hãng
DNS DHCP RADIUS ACCT
LNS: L2TP Network Server- Server mạng L2TP
L2TP: Layer Two Tunneling Protocol- Giao thức truyền tunnel lớp 2
RAS: Remote Access Server- Server truy nhập xa
DSLAM: DSL Access Multiplex- Ghép kênh truy nhập DSL
Internet
Hình 2.8. Truy nhập từ xa hữu tuyến sử dụng phương tiện hãng khác
Trong quay số trực tiếp truyền thống buộc người sử dụng phải quay số đến một
ngân hàng modem, một RAS hay một bộ tập trung đặt tại trung tâm số liệu của hãng.
Công nghệ truyền tunnel được lựa chọn cho VPN truy nhập quay số theo phương tiện
Đồ án tốt nghiệp đại học Chương II: Tổng quan MVPN
Đoàn Hồng Huệ - Lớp D01VT 43
của hãng khác là L2TP. Công nghệ này được tiếp nhận rộng rãi bởi cả các nhà cung
cấp dịch vụ hữu tuyến và các hãng. Để chọn lựa VPN này cho các nhân viên ở xa, các
hãng phải thiết lập các SLA chi tiết (chẳng hạn, phải lập cấu hình một danh sách các
LNS, các đặc điểm an ninh và các mức QoS), với một hay nhiều nhà cung cấp dịch vụ
sẽ chịu trách nhiệm cho các phương tiện kết cuối quay số địa phương.
VPN tự ý là một công nghệ truy nhập độc lập, vì thế nó có thể dễ dàng được hỗ trợ
trên mọi kết nối quay số kể cả vô tuyến. Tất cả các người sử dụng đầu cuối phải thiết
lập một kết nối quay số đến ISP theo lựa chọn của họ và sau đó thông qua một VPN
client thiết lập một tunnel lớp mạng đảm bảo an ninh đến một mạng riêng cụ thể. Có
các ISP toàn cầu cung cấp khả năng này trong nối mạng số liệu hữu tuyến. VPN tự ý
dựa trên truyền tunnel đầu cuối- đầu cuối đòi hỏi đóng bao bổ sung trên đoạn truyền
của chặng vô tuyến cuối cùng vì thế làm giảm hơn nữa thông lượng vốn dĩ đã thấp và
làm cho chọn lựa này thích hợp cho các ứng dụng đặc biệt chứ không để triển khai
hàng loạt.
Truy nhập từ xa trực tiếp
Trong thập niên vừa qua, các công nghệ truy nhập mới như ISDN, DSL (Digital
Subsscriber Line) và cáp đã trở nên khả dụng cho các người làm việc ở xa là lưu động
có truyền thống sử dụng truy nhập quay số. Cả các nhà cung cấp dịch vụ và các hãng
đã có một tùy chọn công nghệ truy nhập từ xa cho phép sử dụng hiệu quả hơn cả VPN
bắt buộc lẫn tự ý để truy nhập mạng riêng an ninh. Các hệ thống số liệu gói vô tuyến
được thiết kế sát hơn với các dịch vụ số liệu tốc độ cao như DSL và cáp vì thế cung
cấp cùng mức độ tiện lợi cho các người sử dụng như các khả năng luôn nối mạng tự
động, các tùy chon tính cước và loại bỏ đăng nhập thường xuyên.
2.5. CHUYỂN TỪ HỮU TUYẾN SANG VÔ TUYẾN VÀ DI ĐỘNG
Bây giờ ta đã có thể áp dụng các phương pháp của công nghệ VPN cho môi trường
vô tuyến di động. Trong phần trước, ta đã bàn về các thuộc tính và các phương pháp
thiết kế VPN sử dụng trong các môi trường quay số khác nhau, bao gồm cả các hệ
thống số liệu vô tuyến chuyển mạch kênh. Phần còn lại của chương này sẽ tập trung
lên hỗ trợ VPN trên các mạng số liệu gói vô tuyến di động như các mạng có trong các
hệ thống 2,5G và 3G.
2.5.1. Tầm quan trọng của VPN trong môi trường số liệu gói vô tuyến
Nhắc lại rằng công nghệ số liệu gói thông tin di động dựa trên khái niệm truyền
tunnel động, trong đó các tunnel liên tiếp được tạo lập và rỡ bỏ giữa các mạng ngoài
mà MS làm khách và mạng nhà. Tính phức tạp của công việc này khi cung cấp dịch vụ
VPN trong môi trường này là ở cách kết hợp kỹ thuật với cấu hình tunnel cố định hay
"tựa cố định" cần thiết ở phía mạng hữu tuyến để cho phép các người sử dụng di động
có thể truy nhập mạng riêng an ninh. Nhiệm vụ này trở nên đặc biệt phức tạp khi cần
Đồ án tốt nghiệp đại học Chương II: Tổng quan MVPN
Đoàn Hồng Huệ - Lớp D01VT 44
dịch vụ VPN bắt buộc. Trong trường hợp này, nhà khai thác phải có thiết bị có khả
năng không chỉ hỗ trợ truyền tunnel động mà cả chuyển mạch tunnel động giữa các
phần cố định và di động trong hạ tầng của họ. Hình 2.9 cho thấy kiến trúc minh họa
yêu cầu này. Trong trường hợp VPN tự ý, nhiệm vụ này được đơn giản hơn một chút,
vì địa chỉ IP của điểm cuối giữ cố định. Các sơ đồ di động số liệu sử dụng trong GPRS
và cdma2000 phải giải quyết yêu cầu này.
Hình 2.9. VPN trong các môi trường vô tuyến
Trước hết phải phân tích tại sao cần MVPN trong các hệ thống số liệu gói. Hỗ trợ
MVPN đòi hỏi các nút mạng có khả năng chuyển mạch các tunnel phức tạp và các
thiết bị di động. Trong số liệu gói vô tuyến, các cơ chế lớp mạng cho phép các MS
thay đổi vị trí và điểm nối mạng của chúng trong khi vẫn duy trì kết nối đến mạng nhà.
Thường xuyên MS chuyển đến một mạng khác trực thuộc một nhà khai thác khác với
nhà khai thác ban đầu. Khi chuyển mạng, MS vẫn giữ kết nối đến mạng nhà thông qua
sử dụng các sơ đồ truyền tunnel để hỗ trợ di động như GPRS trong GSM và các hệ
thống UMTS hay MIP trong hệ thống cdma2000. Trong các môi trường này, không
thể thiết lập mọi kết nối kênh cố định kiểu quay số giữa MS và mạng riêng. Vì nó sẽ
làm hỏng mục đích chuyển từ môi trường chuyển mạch kênh sang chuyển mạch gói.
Công nghệ tốt nhất cho truy nhập mạng riêng trong môi trường này là MVPN, hoặc
bắt buộc hoặc tự ý dựa trên các giao thức truyền tunnel phù hợp di động ít nhất là trên
một đoạn của tuyến số liệu đầu cuối-đầu cuối. Vì thế, MVPN trong các hệ thống số
liệu gói không chỉ đơn giản là một tùy chọn truy nhập (như trong nối mạng hữu tuyến
cùng với các kiểu truy nhập khác như quay số trực tiếp, các đường thuê riêng, ATM và
chuyển tiếp khung) mà là cần thiết. Sau khi đã tổng kết tầm quan trọng của các
MVPN, bây giờ ta có thể xét chi tiết hơn các kiểu MVPN chính.
Đồ án tốt nghiệp đại học Chương II: Tổng quan MVPN
Đoàn Hồng Huệ - Lớp D01VT 45
2.5.2. MVPN tự ý
MVPN dựa trên truyền tunnel tự ý được áp dụng gần giống như VPN hữu tuyến.
Cũng như với VPN hữu tuyến, cần xét xem nhà cung cấp dịch vụ sử dụng sơ đồ đánh
địa chỉ IP riêng hay công cộng và cơ chế biên dịch địa chỉ IP nào (nếu cần) được sử
dụng. Một cách xem xét khác riêng cho môi trường vô tuyến là tính ổn định của địa
chỉ IP được ấn định cho thiết bị di động. Tổng quát, các giao thức truyền tunnel để hỗ
trợ di động trong các hệ thống số liệu gói hiện đại cho phép giữ nguyên các địa chỉ IP
ấn định cho một MS. Một số thậm chí còn cho phép cung cấp trước các địa chỉ IP cố
định cho các thiết bị của người sử dụng đầu cuối, đây là điều kiện tuyệt vời để các
tunnel đầu cuối-đầu cuối ổn định tạo thành nền tảng cho VPN tự ý ổn định.
Tuy nhiên trong một số hệ thống vô tuyến, một số chế độ truy nhập chỉ cung cấp di
động IP hạn chế. Các người sử dụng ở xa và các nhà quản lý IT cần lưu ý đến điều này
khi đặt hàng dịch vụ vô tuyến với ý định sử dụng nó cho VPN tự nguyện. Chẳng hạn
trong cdma2000, chế độ truy nhập IP đơn giản (Simple IP) chỉ đảm bảo di động trong
biên giới của cùng một PDSN/FA. Ở đây không thể duy trì các tunnel đầu cuối-đầu
cuối khi thay đổi PDSN phục vụ, vì kênh mang số liệu gói cần được thiết lập lại đến
PDSN mới và MS phải nhận được địa chỉ IP mới. Điều này cũng đòi hỏi MS client
phải khởi động lại phiên với địa chỉ IP mới. Điều này có thể không phải là vấn đề quan
trọng khi cho rằng một PDSN điển hình có thể phủ các diện tính đến hàng trăm cây số
vuông, nhưng đối với các người sử dụng di chuyển dọc biên giới thì đây sẽ là một
thách thức. Sử dụng công nghệ VPN bắt buộc với chế độ truy nhập IP đơn giản sẽ
không cải thiện hơn tình trạng này, vì kết nối đầu cuối-đầu cuối bị mất và cần phải
thiết lập lại truy nhập mạng từ xa mới mỗi khi MS chuyển vào PDSN mới. Điều này sẽ
thay đổi nếu sử dụng chế độ truy nhập dựa trên MIP. Chế độ truy nhập MIP có thể
được sử dụng theo hai cách. Cách thứ nhất cung cấp truy nhập trực tiếp đến mạng mà
người sử dung cần truy nhập nhưng vẫn đảm bảo di động. Cách thứ hai đơn giản
nhưng nhà khai thác có thể cung cấp truy nhập không gián đoạn, trong đó người sử
dụng có thể chọn để thiết lập tự ý một tunnel đầu cuối-đầu cuối bằng cách sử dụng một
VPN client chung.
Một điểm đáng quan tâm khác của truy nhập M
Các file đính kèm theo tài liệu này:
- Công nghệ nối mạng riêng ảo di động cho mạng 3G.pdf