ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ VŨ SƠN HỒN TÌM HIỂU CƠNG NGHỆ, NGHIÊN CỨU CẤU HÌNH VÀ CHẤT LƢỢNG DỊCH VỤ CỦA MẠNG VOICE OVER IP ÁP DỤNG CHO HỆ THỐNG MẠNG CỦA NGÂN HÀNG VPB Ngành: Công nghệ Điện Tử - Viễn thông Chuyên ngành: Kỹ thuật Điện tử Mã số: 60 52 70 LUẬN VĂN THẠC SĨ NGƢỜI HƢỚNG DẪN KHOA HỌC: PGS.TS VƢƠNG ĐẠO VY Hà nội 2009 TIEU LUAN MOI download : skknchat@gmail.com -3- MỤC LỤC LỜI CAM ĐOAN MỤC LỤC DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT DANH MỤC CÁC BẢNG 12 DANH MỤC CÁC HÌNH VẼ 13 MỞ ĐẦU 15 Chương – TỔNG QUAN VỀ CÔNG NGHỆ VOIP 18 1.1 Ưu xu hướng phát triển dịch vụ thoại qua internet 18 1.1.1 Lịch sử ưu dịch vụ thoại qua đường truyền internet 18 1.1.2 Sự phát triển dịch vụ thoại internet 20 1.1.3 Thị trường với mạng internet 22 1.1.4 Xu hướng tương lai thị trường thoại qua internet 23 1.2 Công nghệ thoại sở cho VoIP 24 1.2.1 Kênh âm 24 1.2.2 Các thông số ảnh hưởng 36 1.2.3 Tổng quan IP 39 Chương - GIAO THỨC BÁO HIỆU TRONG VOIP 53 2.1 H.323 53 2.1.1 Giới thiệu H.323 53 2.1.2 Các thành phần hệ thống 54 2.1.3 Các kênh điều khiển 59 2.2 SIP (Session Initiation Protocol) 62 2.2.1 Các thành phần SIP 63 2.2.2 Thông điệp SIP (SIP Message) 63 2.2.3 Hoạt động SIP 64 TIEU LUAN MOI download : skknchat@gmail.com -4- 2.3 MGCP 66 2.3.1 Các thành phần báo hiệu SGCP 66 2.3.2 Các thủ tục thiết lập xóa bỏ kết nối 67 2.4 IAX 69 2.5 Cisco SCCP 70 Chương – VẤN ĐỀ AN NINH MẠNG TRONG VIỆC TRUYỀN TIẾNG NÓI QUA INTERNET 70 3.1 Đặt vấn đề 70 3.2 Vấn đề an minh mạng với giao thức báo hiệu 71 3.3 Đề xuất an ninh với VoIP 75 3.3.1 Những yêu cầu an ninh cho VoIP 75 3.3.2 Các ràng buộc an ninh với VoIP 76 3.3.3 Giải pháp đảm bảo an ninh cho VoIP 77 3.4 Kết luận 78 Chương – TRIỂN KHAI DỊCH VỤ VOIP Ổ VPBANK 78 4.1 Giới thiệu dịch vụ VoIP cho doanh nghiệp 78 4.1.1 Giới thiệu giải pháp 79 4.1.2 Ưu nhược điểm giải pháp VoIP thoại truyền thống 80 4.2 Yêu cầu đặt với VPBank 80 4.2.1 Yêu cầu đặt 81 4.2.2 Giả thiết đặt 81 4.3 Thiết kế hệ thống 81 4.3.1 Mơ hình tổng quan 81 4.3.2 Sơ đồ chi nhánh 82 4.3.3 Các phương án ưu nhược điểm 83 a Tổng đài IP-PABX 83 b Sử dụng Gateway IP kết hợp với thẻ nhà cung cấp dịch vụ c SIP Server TIEU LUAN MOI download : skknchat@gmail.com -5- 4.3.4 Kết luận 84 4.4 Giải pháp SIP server VPBank 85 4.4.1 SIP server 85 4.4.2 Thiết kế hệ thống 89 4.4.3 Sơ kết nối thoại chi nhánh 89 4.4.4 Danh sách thiết bị 89 4.4.5 Mơ hình thiết bị 90 4.4.6 Đặc điểm gọi 91 4.5 Giải pháp bảo mật cho hệ thống mạng VPN VPBank 91 4.5.1 Phân tích giải pháp cho ngành ngân hàng 91 4.5.2 Cài đặt triển khai hệ thống Brekeke Sip Server 92 4.6 Vấn đề bảo mật cho mạng VPN 96 4.6.1 Giới thiệu 97 4.6.2 IPsec VPN: VPN lớp mạng 97 4.6.3 SSL VPN gì? 97 4.6.4 SSL VPN hay IPsec VPN? 98 4.6.5 Xu hướng 101 4.6.6 Kết luận 102 KẾT LUẬN 103 TÀI LIỆU THAM KHẢO 104 TIEU LUAN MOI download : skknchat@gmail.com -6- DANH MỤC CÁC KÍ HIỆU, CHỮ VIẾT TẮT Viết tắt AF PHB Tiếng Anh Algebraic Code Exited Linear Prediction Access Control Field Admission Confirmation Absolute Category Rating Analog to Digital Converter Adaptive Differential Pulse Code Modulation Asymmetric Digital Subscriber Line Assured Forward PHB AMR-WB Adaptive Multirate Wideband ARJ ARQ ARQ ATM BA BAS BB BR BRJ BRQ CAC CBQ Asmission Reject Acknowledgement Request Admission Request Asynchronous Transfer Mode Bahavious Aggregate Bit rate Allocation Signal Bandwith Broker Bandwidth Change Confirmation Best Effort Bidirectional-Logical Channel Signalling Entity Border Router Bandwidth Change Reject Bandwidth Change Request Call Admission Control Class - based Queing CELP Code Excited Linear Prediction ACELP ACF ACF ACR ADC ADPCM ADSL BCF BE B-LCSE CESE CIC CLCSE CNG CR CSACELP DAC DID DRQ Capability Exchange Signalling Entity Cicuit Identification Code Close Logical Channel Signalling Entity Comfort Noise Generator Core Router Conjugate Structure Algebraic CELP (Speech CODEC) Digital to Analog Convertor Direct Inward Dialling DiseBìnhge Request Tiếng Việt Mã hóa kích thích tiên đốn tuyến tính theo mã Trường điều khiển truy nhập Xác định yêu cầu truy nhập Tỉ lệ tuyệt đối Chuyển đổi tương tự số Điều chế xung mã vi phân thích nghi Đường dây thuê bao bất đối xứng Chuyển tiếp đảm bảo PHB Bộ mã hóa băng rộng phát triển từ ACELP Từ chối truy nhập Xác nhận yêu cầu Yêu cầu truy nhập Chế độ chuyển giao không đồng Đồng tác động Tín hiệu phân chia tốc độ bit Phân bổ Băng thông Công nhận thay đổi độ rộng băng tần Cố gắng tối đa Báo hiệu kệnh logic hai chiều Bộ định tuyến Cổng Từ chối thay đổi độ rộng băng tần Yêu cầu thay đổi băng tần Điều khiển chấp nhận gọi Hàng đợi theo loại dịch vụ Mã hóa kích thích tiên đốn tuyến tính Báo hiệu khả trao đổi Nhận dạng mã chuyển mạch kênh Phần tử báo hiệu đóng kênh logic Bộ tạo ồn phù hợp Bộ định tuyến Lõi Cấu trúc mã kết hợp CELP Biến đổi số tương tự Quay số nội trực tiếp Yêu cầu giải phóng TIEU LUAN MOI download : skknchat@gmail.com -7- Viết tắt DTMF DTMF DTX Tiếng Anh Differentiated Services Code Point Dual Tone Multiple Frequency Dial Tone Multi Frequency Discontinuous Transmission ECS Encryption Control Signal EF PHB ER FAS FIFO FR FSI Expedited Forward PHB Edge Router Frame Alignment Signal Fist In Fist Out Frame relay Flow State Information FXO Foreign Exchange Office FXS Foreign Exchange Station DSCP G.SHDSL GCF GK GRJ GRQ GSTN GW IDD IETF IMS IMTC IN IP IPSEC IPv4 IPv6 IPX IRQ IRR ISDN ISP Symmetric high-speed digital subscriber line Gatekeeper Confirmation Gate Keeper Gatekeeper Reject Gatekeeper Request Internet Assigned Talephone Network Gateway Tiếng Việt Điểm mã dịch vụ phân biệt Mã đa tần Quay số đa tần La nguyen ly chuyen mach Tín hiệu điều khiển mã hóa bảo mật Chuyển tiếp tiến hành PHB Bộ định tuyến Biên Tín hiệu đồng khung Vào trước trước Chuyển mạch khung Thông tin trạng thái Luồng Đầu nhận tone (đầu máy đt, fax) Đầu cấp tone (đầu mà nhà cung cấp dịch vụ đưa đến) Là chuẩn DSL Xác nhận Gatekeeper Bộ Điều khiển Thoại IP Từ chối Gatekeeper Yêu cầu Gatekeeper Mạng điện thoại chuyển mạch kênh Thiết bị Cổng Dịch vụ gọi điện thoại quốc tế trực international direct dialing tiếp Nhóm nghiên cứu chuẩn kỹ thuật Internet Engineering Task Force cho Internet Một giải pháp truyền thông hệ IP Multimedia Subsystem sau International Multimedia Hiệp hội nhà Multimedia quốc Teleconferecing Consortium tế Intelligent Network Mạng thông minh Internet Protocol Giao thức sử dụng địa IP IP security Phương pháp bảo mật cho mạng IP Internet Protocol version Giao thức Internet phiên Internet Protocol version Giao thức Internet phiên Internetwork Protocol Exchange Chuyển đổi giao thức Internetwork Information Request Yêu cầu thông tin Information Request Response Đáp ứng u cầu thơng tin integrated services digital Mạng tích hợp dịch vụ thông network minh Internet Service Provider Nhà cung cấp dịch vụ TIEU LUAN MOI download : skknchat@gmail.com -8- Viết tắt ISUP MIPS Tiếng Anh Integrated Services User Part International Telecommunication Union interactive voice response joint photographic experts group Local Area Network Location Confirmation Logical Channel Number Logical Channel Signalling Entity Low Delay Code Excited Linear Prediction linear predictive coding Lowpass Filter Location Reject Location Request Link State Information Multipoint Controller Multipoint Communications System Multipoint Control Unit Media Gateway Control Protocol Million Instructions Per Second MOS Mean Opinion Score MP MPCMLQ MPE MPEG MPLS Multipoint processor Multipulse LPC with Maximum Likelihood Quantization Multi Pulse Excitation Moving picture Expert Group MultiPotocol Label Switching Master Slave Detemination Signalling Entity Multiple Subscriber Number Multivendor Intergration Protocol ITU IVR JPEG LAN LCF LCN LCSE LDCELP LPC LPF LRJ LRQ LSI MC MCS MCU MGCP MSDSE MSN MVIP NAT Network Address Translation NGN NIC Next Genaration Network Network Interface Card OPWA One Pass With Advertising PABX Private auto branch exchange Tiếng Việt Giao thức SS7 Liên minh Viễn thông Quốc tế Âm thoại tương tác Chuẩn nén ảnh JPEG Mạng cục Công nhận cấp phát Số kênh logic Báo hiệu kênh logic Mã hóa kích thích tiên đốn tuyến tính chậm Mã tiên đốn tuyến tính Lọc thơng thấp Từ chối cấp phát Yêu cầu cấp phát Thông tin trạng thái Liên kết Bộ điều khiển đa điểm Hệ thống liên lạc đa điểm Khối điều khiển đa điểm Giao thức điều khiển gateway đa phương tiện Đơn vị đo mức độ phức tạp Đơn vị đo chất lượng dịch vụ mạng qua ý kiến khách hàng Bộ xử lí điều khiển đa điểm Mã hóa sử dụng G.723.1 với tốc độ mã hóa 6.3 kbit/s Phương pháp kích thích đa xung Chuẩn nén video Chuyển mạch nhãn Đa giao thức Phần tử báo hiệu xác định Master/Slave Số chung cho nhiều thuê bao Giao thức giao dịch nhà đầu tư Phương pháp bảo mật cách chuyển đổi địa IP Mạng hệ sau Card giao diện mạng Thơng tin đặc tính giữ trước tài nguyên nút Tổng đài TIEU LUAN MOI download : skknchat@gmail.com -9- Viết tắt PC PCM PHB POP PPP RCF Tiếng Anh Personal Computer Pulse Code Modulation Per Hop Behavious Point Of Present Point to Point Protocol Public Switched Telephone Network QoS Customer Server QoS Network Server Quality of Service Registration - Admission – Status Registration Confirmation RED Random Early Detection RFC RPE RPI RRQ Rspec Request For Comment Regular Pulse Excitation Routing Path Information Registration Request Reservation Specificaiton Resources Reservation Setup Protocol PSTN QCS QNS QoS RAS RSVP RSVPE2E RTCP RTP RTSP SACP SBE SBM SCM SCN SCSA SDH SDP SGCP RSVP for end-to-end-per-flow Real Time Control Protocol Real-Time Transport Protocol Real Time Stream Protocol Simple Network Management Protocol Single Byte Extension Subnet bandwidth Manager Selected Communications Mode Switched Circuit Network Signal Computing System Architecture Synchronous Digital Hierarchy Session Description Protocol Simple Gateway Control Protocol SID Shared Information and Data SIP SLA SMTP Session Initiation Protocol Service Level Agreement Simple Mail Transfer Protocol Tiếng Việt Máy tính cá nhân Điều chế biên độ xung mã Tác động chặng Điểm Truy nhập Dịch vụ Giao thức điểm - điểm Dịch vụ điện thoại công cộng Máy chủ QoS khách hàng Máy chủ QoS mạng Chất lượng dịch vụ Trạng thái điều khiển đa kênh độc lập Công nhận đăng kí Phát sớm, bỏ gói tin ngẫu nhiên Yêu cầu cho ý kiến Phương pháp kích thích xung Thơng tin Đường định tuyến u cầu đăng kí Đặc tính giữ trước tài nguyên Giao thức giữ trước tài nguyên RSVP cho luồng lưu lượng từ đầu cuối tới đầu cuối Giao thức điều khiển thời gian thực Giao thực truyền dẫn thời gian thực Giao thức dòng thời gian thực Giao thức điều khiển chấp nhận đơn giản Byte mở rộng Quản lí dải tần Lựa chọn phương thức giao tiếp Mạng chuyển mạch kênh Cấu trúc hệ thống Truyền dẫn đồng Giao thức mô tả phiên Giao thức điều khiển gateway đơn giản khung thong tin du lieu su dung chung Giao thức khởi tạo phiên Bản thoả thuận chất lượng dịch vụ Giao thức vận chuyển mail TIEU LUAN MOI download : skknchat@gmail.com - 10 - Viết tắt SNMP Tiếng Anh Simple Network Management Protocol SPX Sequential Protocol Exchange SRP Scalable Reservation Protocols SSL TCA TCP TOS Tspec UA UCF UDP Secure Socket Layer Traffic Condition Agreement Transmission Control Protocol Type of Service Traffic Specification User agent Unregister Confirmation User Datagram Protocol Universal Mobile Telecommunications System Unregister Request Voice Activity Detection Voice Over Internet Protocol Virtual Private Network Wide Area Network Weight Fair Queuing Weighted RED ADSL, VDSL and other Digital Subcriber Line Techniques Differentiated Services UMTS URQ VAD VoIP VPN WAN WFQ WRED xDSL DS Tiếng Việt Giao thức Quản lí Mạng đơn giản Trao đổi giao thức thường xuyên/theo dãy Giao thức giữ trước tài nguyên theo bước Phương pháp bảo mật cho mạng IP Thoả thuận tình trạng lưu lượng Giao thức điều khiển truyền dẫn Loại dịch vụ Đặc tính lưu lượng Vùng người dùng Cơng nhận khơng đăng kí Giao thức liệu gói người dùng Mạng di động hệ u cầu khơng đăng kí Phát khoảng lặng Dịch vụ điện thoại internet Mạng riêng ảo Mạng rộng Hàng đợi theo trọng số Phát hiện, bỏ gói tin theo trọng số Họ cơng nghệ đường dây thuê bao số Các dịch vụ phân biệt TIEU LUAN MOI download : skknchat@gmail.com - 11 - DANH MỤC CÁC BẢNG Tên Bảng Trang Bảng 1.1: Giá thành dịch thoại truyền thống IDD VoIP tính theo phút 18 Bảng 1.2: Sự phát triển thoại qua IP 20 Bảng 1.3: Một số kỹ thuật nén thoại ứng dụng VoIP 28 Bảng 1.4: Sự phân bố bit tham số thuật toán CS-ACELP tốc độ kbit/s (khung 10 ms) 32 Bảng 1.5: Các tham số mã giải mã CS-ACELP 36 Bảng 2.1: Các thông điệp báo hiệu gọi Q931 60 Bảng 4.1: Danh sách thiết bị VoIP 92 Bảng 4.2: Các đặc điểm gọi 93 Bảng 4.3: So sánh IPSec VPN SSL VPN theo quan điểm kiểu kết nối 99 Bảng 4.4: So sánh đặc trưng VPN hai giải pháp IPSec SSL 101 TIEU LUAN MOI download : skknchat@gmail.com - 92 - 4.4.6 Đặc điểm gọi Bảng 4.2: Các đặc điểm gọi Dịch vụ gọi Giá trị kinh tế Cuộc gọi máy lẻ chi nhánh Không tiền Cuộc gọi VOIP chi nhánh với Không tiền Cuộc gọi từ Internet vào điện thoại Không tiền VOIP VPBank Cuộc từ điện thoại VoIP VPBank Tính cước nội hạt đến số điện thoại cố định tỉnh thành có chi nhánh VPBank Cuộc gọi quốc tế Gọi mạng Viettel, Vina, Mobile, Tính cước bình thường Sfone, Vietnammobile, EVNtelecom, theo giá điện thoại cố Gtelmobile, Gọi đến điện thoại cố định định PSTN tỉnh khơng có chi nhánh STT Giá rẻ (Phụ thuộc vào nhà cung cấp dịch vụ VoIP quốc tế) 4.5 Giải pháp bảo mật cho hệ thống mạng VPN VPBank 4.5.1 Phân tích giải pháp cho ngành ngân hàng Giới thiệu Brekeke Software, Inc Là công ty chuyên sản phẩm điện thoại VoIP theo chuẩn SIP, Brekeke Software, Inc sáng lập vào năm 2002 San Mateo, California Tập trung vào việc phát triển phần mềm điện thoại chất lượng cao cài đặt hệ thống VoIP nhiều công ty với quy mô khác nhau, Brekeke trở thành công ty dẫn đầu thị trường IP-PBX phần mềm máy chủ SIP Các sản phẩm họ, OnDO PBX OnDO SIP Server chạy hệ Microsoft® Windows® 2000/XP, Red Hat® Linux® 8.x/9.x Brekeke SIP Server - SIP Proxy, Registrar Server Phần mềm dựa giao thức SIP (Session Initiation Protocol) Brekeke SIP Server cung cấp tảng kết nối tin cậy, an toàn nấc cho doanh nghiệp nhà cung cấp dịch vụ Nó xác định SIP với đặc tả RFC 3261, Brekeke SIP Server cung cấp chức SIP Registrar Server, SIP Redirect Server SIP Proxy Server TIEU LUAN MOI download : skknchat@gmail.com - 93 - Nó SIP Server đầy đủ vận hành cách tối ưu hóa q trình xử lý, điều khiển gọi Brekeke SIP Server hệ điều hành Window, Linux, Solaris, Linux[13] Hình 4.9: Mơ hình kết nối LAN qua internet Hình 4.10: Mơ hình kết nối LAN qua VPN 4.5.2 Cài đặt triển khai hệ thống Brekeke SIP Server SIP server sử dụng báo cáo Brekeke SIP server Version 2.3.7.4 Bạn tải từ địa chỉ: http://www.brekeke.com đính kèm Product ID qua địa email bạn đăng ký Trước cài đặt phần mềm này, bạn cần phải cài đặt Java Virtual Machine tải miễn phí trang web: http://www.java.sun.com Giả sử mơ hình kết nối PC (1 PC làm SIP server đặt HO, PC cài Softphone X-lite đặt HO, PC cài Softphone X-lite đặt phòng giao dịch, router kết nối HO, chi nhánh cấp phịng giao dịch) Mơ hình kết nối vẽ đây: TIEU LUAN MOI download : skknchat@gmail.com - 94 - Hình 4.11: Kết nối thiết bị với Router Cấu hình cho PC: Cài đặt phần mềm Brekeke SIP server cho PC Đặt địa cho PC: Đặt địa chỉ: 192.168.0.1; Subnet mask: 255.255.255.0; Default gateway: 192.168.0.3 Chạy ứng dụng Brekeke SIP server, chương trình địi hỏi bạn phải kết nối internet Sau chạy ứng dụng thành công xuất hình login qua web, user password mặc định “sa”[13] Hình 4.12: Màn hình đăng nhập Brekeke SIP server Sau đăng nhập thành công hiển thị hình SIP server Active: TIEU LUAN MOI download : skknchat@gmail.com - 95 - Hình 4.13: Màn hình trạng thái đăng nhập thành cơng Sau bạn tiến hành thao tác tùy biến SIP server sau: Màn hình tạo User: Hình 4.14: Màn hình tạo User Tương tự tạo user tiếp theo: User: 102; Name: TTTH_Hoatvs Softphone cài phần mềm X-lite PC đặt địa IP: 192.168.0.2; Subnet mask: 255.255.255.0; Default gateway: 192.168.0.3; Sau cài đặt ta vào phần Sip account setting/add điền thông tin giống đăng ký SIP server TIEU LUAN MOI download : skknchat@gmail.com - 96 - (user: TTTH_Hoanvs, password: hoanvs) Trong phần Domain đặt địa IP SIP server Sau chọn OK Tương tự đối softphone đặt phòng giao dịch: Đặt địa IP cho PC: 192.168.3.2; Subnet mask: 255.255.255.0; Default gateway: 192.168.3.1; Cấu hình cho softphone: với User: TTTH_hoatvs, Password: hoatvs Cấu hình cho Router: Router A: Gán địa interface Ethernet 0/0: 192.168.0.3 Subnet mask: 255.255.255.0 Gán địa interface Serial 0/0: 192.168.1.1 Subnet mask: 255.255.255.0 Sử dụng giao thức định tuyến Rip chi tiết: RA(config-if)# interface fastEthernet 0/0 RA(config-if)# ip address 192.168.0.3 255.255.255.0 RA(config-if)# no shutdown RA(config)# interface Serial 0/0 RA(config-if)# ip address 192.168.1.1 255.255.255.0 RA(config-if)# clock rate 64000 RA(config-if)# no shutdown RA(config)# router rip RA(config-router)# network 192.168.1.0 RA(config-router)# network 192.168.0.0 RA(config-router)# end Router B: Gán địa interface Serial 0/0: 192.168.1.2 Subnet mask: 255.255.255.0 Gán địa interface Serial 0/1: 192.168.2.1 Subnet mask: 255.255.255.0 Sử dụng giao thức định tuyến Rip sau: RB(config)# interface Serial 0/0 RB(config-if)# ip address 192.168.1.2 255.255.255.0 RB(config-if)# clock rate 64000 RB(config-if)# no shutdown RB(config)# interface Serial 0/1 RB(config-if)# ip address 192.168.2.1 255.255.255.0 TIEU LUAN MOI download : skknchat@gmail.com - 97 - RB(config-if)# clock rate 64000 RB(config-if)# no shutdown RB(config)# router rip RB(config-router)# network 192.168.1.0 RB(config-router)# network 192.168.2.0 RB(config-router)# end Router C: Gán địa interface Ethernet 0/0: 192.168.3.1 Subnet mask: 255.255.255.0 Gán địa interface Serial 0/0: 192.168.2.2 Subnet mask: 255.255.255.0 Sử dụng giao thức định tuyến Rip sau: RC(config-if)# interface fastEthernet 0/0 RC(config-if)# ip address 192.168.3.1 255.255.255.0 RC(config-if)# no shutdown RC(config)# interface Serial 0/0 RC(config-if)# ip address 192.168.2.2 255.255.255.0 RC(config-if)# clock rate 64000 RC(config-if)# no shutdown RC(config)# router rip RC(config-router)# network 192.168.2.0 RC(config-router)# network 192.168.3.0 RC(config-router)# end Thực gọi: Sau softphone đăng ký với SIP server, ta thực gọi Ví dụ Softphone ta nhập: TTTH_Hoanvs@192.168.0.2 gọi softphone1 (user: TTTH_Hoanvs) nhận chng báo ta thực gọi bình thường Trường hợp từ softphone gọi điện thoại PSTN ta phải có Gateway kết nối với mạng PSTN cấu hình cho SIP server vào phần “Dial plan” đặt chọn để gọi PSTN Đây chương trình demo cho dự án! TIEU LUAN MOI download : skknchat@gmail.com - 98 - 4.6 Vấn đề bảo mật cho mạng VPN 4.6.1 Giới thiệu Ngày doanh nghiệp phát triển không tập chung mà có nhiều chi nhánh nhiều nơi khác với cầu trao đổi liệu chi nhánh trung tâm lại lớn Vấn đề kết nối chi nhánh với trung tâm qua đường đường line riêng phức tạp nhiều hạn chế Trong mạng internet lại phát triển mạnh nên nảy sinh mạng VPN để kết nối chi nhánh với rẻ ổn định cao Có nhiều cách phân loại VPN có hai cách phổ biến là: Phân loại theo kiến trúc dịch vụ (Remote Access VPN, Site to site VPN, Extranet VPN); Phân loại theo công nghệ (Peer to peer, Overlay, lớp 2, lớp 3) Trong đề tài ta quan tâm đến giải pháp VPN lớp Ipsec SSL 4.6.2 IPsec VPN: VPN lớp mạng IPSec (Internet Protocol Security) giao thức mạng bảo mật thường liên kết với VPN (tất nhiên dùng IPsec mạng cục LAN) IPSec cho phép việc truyền tải liệu mã hóa an tồn lớp mạng (Network Layer) theo mơ hình OSI thơng qua mạng cơng cộng Internet VPN lớp mạng đề cập đến thách thức việc dùng Internet môi trường truyền đưa lưu lượng đa giao thức nhạy cảm Hình 4.15: Giải pháp IPSec VPN Việc thiết lập đường hầm IPSec (IPsec tunnel) hai thực thể, trước tiên, phải thỏa thuận sách an ninh (security policy), giải thuật mã hóa (encryption algorithm), kiểu xác thực (authentication method) dùng để tạo kênh Trong IPSec tất nghi thức lớp lớp mạng (từ lớp 4) TCP, UDP, SNMP, HTTP, POP, SMTP,VoIP…đều mã hóa kênh IPSec thiết lập TIEU LUAN MOI download : skknchat@gmail.com - 99 - 4.6.3 SSL VPN gì? Thuật ngữ SSL VPN dùng để dòng sản phẩm VPN phát triển nhanh chóng dựa giao thức SSL Cũng cần nói rõ thân giao thức SSL khơng liên kết SSL với VPN mơ hình Dùng SSL VPN, kết nối người dùng từ xa tài nguyên mạng công ty thông qua kết nối HTTPS lớp ứng dụng thay tạo “đường hầm” lớp mạng giải pháp IPSec SSL VPN giải pháp VPN hướng ứng dụng (application based VPN)[17] Hình 4.16: Giải pháp SSL VPN 4.6.4 SSL VPN hay IPsec VPN? Trước tiên, cần phải khẳng định SSL VPN IPSec VPN hai công nghệ loại trừ lẫn Thường hai cơng nghệ đồng thời triển khai công ty Việc xem xét khía cạnh liên quan đến chi phí/lợi nhuận (cost/benefit) vấn đề cơng nghệ mà hai giải pháp SSL IPsec đề cập giúp cho việc lựa chọn triển khai VPN trở nên dễ dàng Chúng ta xem xét vấn đề mặt sau đây: Kiểu kết nối, kiểu truy cập: IPSec VPN phù hợp cho kết nối theo kiểu site-to-site Nó lựa chọn tốt cho mạng LAN từ xa kết nối với hay kết nối với mạng trung tâm Các kết nối yêu cầu băng thông rộng, hiệu suất cao, liệu lớn, kết nối liên tục (always on), cố định đối tượng cung cấp giải pháp IPsec VPN truyền thống Tuy nhiên, dùng cho mục đích truy cập tài nguyên tập trung từ vị trí phân bố rải rác khắp nơi, hay người dùng di động từ xa từ vị trí cơng cộng tin cậy sân bay, nhà ga, khách sạn, tiệm cà phê internet muốn truy cập vào tài nguyên công ty họ giải pháp IPSec VPN tỏ nhiều bất cập ưu điểm SSL VPN Có thể lấy ví dụ điển hình việc triển khai SSL VPN Công ty Bảo hiểm Việt Nam (Bảo Việt) trình bày hội thảo An ninh mạng Công ty Juniper Networks tổ chức TP Hồ Chí Minh ngày 30/11/2004 Giải pháp SSL VPN Juniper dựa dòng sản phẩm NetScreen phù hợp nhu cầu Bảo Việt Bảo Việt có hàng ngàn đại lý bảo hiểm rải khắp tỉnh thành nước, từ có hàng trăm kết nối di động đến Trung tâm liệu Bảo Việt Do giải pháp SSL VPN phù hợp Tuy nhiên, Bảo Việt dự tính xây dựng thêm trung tâm liệu thứ hai việc kết nối hai trung tâm (dạng site-to-site) qua môi trường Internet giải pháp IPSec cần xem xét TIEU LUAN MOI download : skknchat@gmail.com - 100 - Phần mềm khách (Client software): IPSec VPN yêu cầu cần phải có phần mềm client cài đặt máy tính để bàn máy tính xách tay Điều làm hạn chế tính linh động người dùng khơng thể kết nối VPN khơng có phần mềm IPSec client nạp Trong với giải pháp SSL VPN, cần hệ điều hành có tích hợp trình duyệt (browser) hỗ trợ SSL thực kết nối an tồn Sự có mặt khắp nơi trình duyệt tất thiết bị từ máy tính đến PDA, điện thoại thơng minh… làm công nghệ VPN dựa SSL dễ triển khai Vì cần phải cài phần mềm IPsec client thiết bị truy cập từ xa, nên điều làm tăng thêm chi phí quản trị, cấu hình Với cơng ty có hàng trăm, chí hàng ngàn người dùng từ xa việc cài đặt, quản lý, hỗ trợ người dùng giải pháp IPSec công việc tốn nhiều thời gian, công sức, tài nguyên tiền bạc công ty SSL VPN thật giải pháp hiệu trường hợp Độ tin cậy thiết bị truy nhập mạng từ xa: Với IPSec VPN, người dùng từ xa hay mạng LAN từ xa kết nối với trung tâm dễ dàng truy cập đến toàn tài nguyên mạng thể họ ngồi trung tâm Vì vậy, thiết bị hay mạng từ xa phải tin cậy (trusted), mặt khác thiết bị truy cập quản lý cài đặt cấu hình nên IPSec VPN đáp ứng nhu cầu Tuy nhiên, việc trở nên khó khăn cung cấp giải pháp cho người dùng từ xa khơng có độ tin cậy tương tự thiết bị truy cập đa dạng PDA, điện thoại thông minh (smart phone) không quản lý hay cài đặt cấu hình IPSec client (Bảng dưới) Bảng 4.3: So sánh IPSec VPN SSL VPN theo quan điểm kiểu kết nối Kiểm soát truy cập (Access Control): IPSec VPN thiết kế để mở rộng phạm vi mạng LAN Người dùng chi nhánh văn phịng muốn truy cập khơng hạn chế tài nguyên mạng cách hiệu quả, đòi hỏi sách an ninh mạng từ xa tương tự mạng trung tâm Do giải pháp IPSec TIEU LUAN MOI download : skknchat@gmail.com - 101 - áp dụng hiệu cho mơ hình site-to-site Sự việc khác cho phép nhân viên thường xuyên di chuyển, đại lý, nhà cung cấp, nhà thầu, đối tác thương mại kết nối vào mạng Và giải pháp SSL VPN lựa chọn hợp lý nhằm giảm thiểu nguy đến từ kết nối nhờ chế kiểm soát chi tiết (granular access control)[18] Độ bảo mật (security): Khi so sánh SSL VPN IPsec VPN thường có câu hỏi đặt “Giao thức an toàn hơn?” Thật ra, hai nghi thức bảo mật hoàn tất nhiệm vụ tương tự Chúng cung cấp phương pháp trao đổi khóa an tồn (secure key exchange) phương pháp mã hóa mạnh Mặc dù hai cơng nghệ khác nhau, tiến hành thiết lập, triển khai hệ thống theo phương thức khác nhau, chúng chia sẻ chung số đặc trưng chế mã hóa mạnh, dùng khóa phiên (session key), khả xác thực sử dụng phương pháp, công nghệ như: Triple DES, 128-bit RC4, MD5, SHA1, RADIUS, Active Directory, LDAP, X.509 Tương thích Firewall, NAT: Việc kết nối IPSec thơng qua Firewall khó khăn IPSec dùng giao thức AH (Authenticated Header) hoặc/và ESP (Encapsulating Security Payload) Nếu Firewall ISP ngăn không cho hai nghi thức qua ngăn cổng UDP mà IKE (Internet Key Exchange) dùng để thương lượng thơng số bảo mật trước kết nối IPSec thực Một thách thức khác khơng tương thích IPSec với dịch địa mạng NAT (Network Address Translation) Trong đó, giải pháp SSL VPN tương thích hồn tồn với Firewall, NAT hay server proxy Ứng dụng: IPSec VPN hỗ trợ tất ứng dụng tảng IP Một kênh IPSec thiết lập, tất dịch vụ ứng dụng từ ứng dụng truyền thống web, thư điện tử, truyền tệp đến ứng dụng khác ICMP, VoIP, SQL, net, Citrix ICA, ứnh dụng đa dịch vụ… cho phép ngang qua kênh Đây ưu điểm IPSec VPN, IPSec VPN cung cấp kết nối an tồn cho ứng dụng khơng dựa Web (non Web-based applications) Vì vậy, máy khách (client) dùng IPSec thực kết nối VPN gọi fat-client khả cung ứng nhiều dịch vụ ứng dụng Trong đó, khả truy cập ứng dụng, dịch vụ giải pháp SSL VPN dường hạn chế SSL VPN cung cấp ứng dụng Web (Web-based application), ứng dụng e-mail (POP3/IMAP/SMTP) Các máy khách (client) cần dùng trình duyệt (browser) có hỗ trợ SSL thực kết nối VPN mà không cần cài đặt phần mềm client nên gọi clientless thin-client Đa số giải pháp SSL VPN không cung cấp ứng dụng dùng cổng TCP động FTP hay VoIP Hiện nay, người biết đến SSL VPN hỗ trợ ứng dụng Web Thật ra, SSL VPN hỗ trợ ứng dụng TCP sử dụng chương trình chuyển tiếp cổng (port forwarding applet) TIEU LUAN MOI download : skknchat@gmail.com - 102 - Terminal Services (RDP protocol) ứng dụng chia sẻ tệp CIFS (Common Internet File Service), Citrix ICA… (riêng dòng sản phẩm Cisco VPN 3000 Concentrator chưa hỗ trợ Citrix ICA, hãng Cisco dự định hỗ trợ ứng dụng phiên tới Sau bảng so sánh tóm tắt đặc tính hai giải pháp IPSec SSL VPN: Bảng Bảng 4.4: So sánh đặc trưng VPN hai giải pháp IPSec SSL 4.6.5 Xu hướng Hiện nay, với xu hướng thương mại điện tử, nhiều ứng dụng Web xây dựng Theo hãng Gartner điều tra: “Đến cuối năm 2004, 60 % cơng ty sử dụng thin-client VPN (SSL VPN) thay full, fat-client VPN (IPSec VPN)” Thêm vào đó, hãng Frost and Sullivan đánh giá đến năm 2009, doanh số giải pháp SSL VPN vượt qua 1.3 tỷ USD chi phí trung bình cho người dùng giải pháp SSL VPN từ 60 USD đến 200 USD so với 150 USD đến 300 USD dùng giải pháp IPSec VPN Nhìn vào số ấn tượng trên, có cảm tưởng tương lai thuộc SSL VPN Tuy nhiên theo nghiên cứu Infonetics Research (www.infonetics.com), giải pháp VPN Firewall phần cứng chiếm 82%, phần mềm VPN chiếm 12%, SSL VPN chiếm có 5% đến năm 2007 chiếm 14% thị TIEU LUAN MOI download : skknchat@gmail.com - 103 - phần VPN Firewall Vì vậy, tạm kết luận giải pháp IPSec VPN chiếm ưu thế, khuynh hướng dùng giải pháp SSL VPN gia tăng Hãng Juniper sau mua lại hãng chuyên sản phẩm bảo mật mạng NetScreen vào đầu năm 2004 dẫn đầu thị trường SSL VPN với 57 % Kế tiếp F5 (14%), Aventail (12%), Nokia (9%) Hãng khổng lồ Cisco chậm chân chơi Sản phẩm chuyên Firewall series 500 PIX hãng hỗ trợ IPSec Dòng sản phẩm chủ đạo VPN 3000 Concentrator hỗ trợ hai công nghệ IPSec SSL VPN Nhưng xét tổng thể giải pháp VPN Firewall Cisco System đứng đầu, Checkpoint Software Technologies, thứ ba Juniper Network 4.6.6 Kết luận Giải pháp VPN tốt cho kết nối từ xa? Điều phụ thuộc nhiều yếu tố phân tích IPSec VPN phù hợp cho kết nối thường trực site-tosite, nhằm đảm bảo an toàn cho tất dịch vụ IP từ Web, email, truyền tệp đến ứng dụng VoIP đa dịch vụ Trong đó, SSL VPN thích hợp cho ứng dụng Web, cho phép kết nối an toàn thiết bị hỗ trợ trình duyệt web Cả hai cơng nghệ an tồn hay có nguy an toàn giống Tùy trường hợp mà giải pháp ưu tiên thiết lập, thường tổ chức triển khai hai công nghệ VPN hạ tầng sở mạng họ Hiện ngân hàng Việt Nam chưa sử dụng phổ thông tài khoản toán, chuyển khoản tiền trực tuyến internet nên ngân hàng dùng phổ biến Ipsec VPN Nhưng toán mạng dịch vụ khác sử dụng mạng internet thơng qua web giải pháp SSL lợi tốt TIEU LUAN MOI download : skknchat@gmail.com - 104 - KẾT LUẬN Qua trình nghiên cứu tìm hiểu giúp đỡ nhiệt tình thầy hướng dẫn PGS.TS Vương Đạo Vy, hồn thành luận văn: “Tìm hiểu cơng nghệ, nghiên cứu cấu hình chất lượng dịch vụ mạng Voice over IP áp dụng cho hệ thống mạng ngân hàng VPB” Trong luận văn này, nghiên cứu cách khái quát tranh tổng thể vấn đề cốt lõi thành phần mạng IP, cách triển khai mạng VoIP cho doanh nghiệp vừa lớn Đi sâu vào khảo sát giao thức truyền tải thời gian thực ứng dụng VoIP, đặc biệt triển khai hệ thống thoại VoIP thông qua hệ thống SIP server sâu vào phân tích bảo mật cho mạng VoIP triển khai mạng VPN cho hệ thống ngân hàng Phân tích giải pháp truyền âm hệ thống mạng WAN đảm bảo đáp ứng tốt yêu cầu ngành ngân hàng Như tận dụng sở hạ tầng cũ, đảm bảo hệ thống Call center tồn từ trước ngân hàng Các ưu điểm mà dịch vụ thoại internet mang lại cho doanh nghiệp Yêu cầu chất lượng dịch vụ, độ ổn định dịch vụ Nhất yêu cầu độ an toàn vấn đề bảo mật mạng VPN mà cụ thể hệ thống mạng MegaWAN (của nhà cung cấp dịch vụ NGN sử dụng cơng nghệ MPLS), phân tích việc sử dụng công nghệ bảo mật cho mạng VPN IPSEC, SSL Trên toàn vấn triển khai công nghệ VoIP cho doanh nghiệp mà nghiên cứu thời gian qua Tuy cố gắng để hoàn thành luận văn chắn không tránh khỏi thiếu sót Tơi mong nhận ý kiến đóng góp thầy cô bạn bè đồng nghiệp để hồn thiện hệ thống VoIP tương lai doanh nghiệp TIEU LUAN MOI download : skknchat@gmail.com - 105 - TÀI LIỆU THAM KHẢO Tiếng Việt Đinh Văn Dũng (12/1998), Nghiên cứu công nghệ điện thoại Internet (Internet Telephony), Viện khoa học kỹ thuật bưu điện Đinh Văn Dũng (12/1999), Nghiên cứu triển khai thử nghiệm dịch vụ thoại mạng IP mạng mạch chuyển kênh, Viện khoa học kỹ thuật bưu điện Trần Đại Dũng (4/2004), “Đo kiểm chất lượng thoại VoIP hạ tầng NGN”, Tạp chí “Bưu viễn thơng” TS Lê Ngọc Giao (2002), Điện thoại IP, Nhà xuất Bưu điện, Hà Nội Lê Quốc Hùng, Đào Nguyên Trung (8/2001), “Chất lượng gọi mạng VoIP: vấn đề cần quan tâm”, Tạp chí “Bưu viễn thơng” Mai Linh (5/2005), “VoIP - cơng nghệ viễn thông tương lai”, Thời báo kinh tế Sài gòn Trần Anh Thư (5/2002), “Chất lượng dịch vụ thoại VoIP phương pháp đo thử”, Tạp chí “Bưu viễn thơng” Đàm Thuận Trinh, Trịnh Quang Khải (9/2001), “Nâng cao chất lượng dịch vụ VoIP”, Tạp chí “Bưu Viễn Thơng” Trần Minh Tuấn (2/1998), “Điện thoại IP- Cơ hội hay thách thức”, Tạp chí “Bưu Viễn Thơng” 10 Tham khảo diễn đàn: http://vntelecom.org/diendan/ 11 Tham khảo tạp chí: http://www.tapchibcvt.gov.vn/news/?s=1335041030 Tiếng anh 12 Tham khảo web site học trực tuyến Alcatel-lucent: http://training.alcatellucent.com 13 Tham khảo web site: http://www.brekeke.com/ 14 Tham khảo tài liệu Cisco : Cisco Press - Voice over IP Fundamentals - 2nd Edition - Jul 2006 15 Tài liệu hãng AWAYA 16 Tài liệu : Switching to VoIP, by Ted Wallingford, Copyright © 2005 O'Reilly Media, Inc All rights reserved TIEU LUAN MOI download : skknchat@gmail.com - 106 - 17 Giải pháp bảo mật SSL hàng Juniper: http://www.juniper.net/us/en/productsservices/security/sa-series/ 18 Giải pháp bảo mật IPSEC Cisco: http://www.cisco.com/en/US/products/ps6635/products_ios_protocol_group_home.ht ml 19 Tham khảo web wikipedia 20 Tham khảo số web diễn đàn mạng internet TIEU LUAN MOI download : skknchat@gmail.com ... cho ngành ngân, mức độ bảo mật từ đưa vào khai thác ứng dụng hệ thống VoIP cách hiệu Đó lý chúng tơi chọn đề tài: ? ?Tìm hiểu cơng nghệ, nghiên cứu cấu hình chất lượng dịch vụ mạng Voice over IP. .. công ty nghiên cứu mạng VoIP cho doanh nghiệp vừa lớn Nhưng chưa có đề tài nghiên cứu chất lượng thoại bảo mật cho mạng VoIP doanh nghiệp ngân hàng nhiều dịch vụ hỗ trợ cho ngân hàng Đề tài nghiên. .. yêu cầu mạng VoIP đặt với VPBank cho mạng VoIP phải đạt Cấu trúc kết nối mạng theo kiểu hình hệ thống ngân hàng Phân tích ưu nhược điểm giải pháp chọn giải pháp SIP cho ngân hàng Nghiên cứu cách