Khóa luận tốt nghiệp An toàn thông tin: Chuỗi chức năng dịch vụ bảo mật cho mạng khám chữa bệnh từ xa trong đại dịch được hỗ trợ bởi SDN

Trong nghiên cứu này, nhóm sẽ giải thích về các khái niệm, so sánh SDN vàNFV, đồng thời chi ra cách thức và lý do tại sao các khả năng bổ sung của chúngnên là một phần trong chiến lược m

ĐẠI HỌC QUOC GIA TP HO CHÍ MINH TRUONG DAI HOC CONG NGHE THONG TIN

KHOA MANG MAY TINH VA TRUYEN THONG

NGUYEN ĐỨC CHÍNH

NGUYEN TRAN QUOC BAO

KHOA LUAN TOT NGHIEP

CHUOI CHỨC NANG DỊCH VỤ BAO MAT CHO

MẠNG KHÁM CHỮA BỆNH TU XA TRONG DAI

DICH ĐƯỢC HO TRỢ BOI SDN

Security Service Function Chaining for SDN-assisted

Telehealth Network during pandemic

KY SU/ CU NHAN NGANH AN TOAN THONG TIN

TP HO CHÍ MINH, 2021

ĐẠI HỌC QUỐC GIA TP HÒ CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN

KHOA MẠNG MAY TÍNH VÀ TRUYEN THONG

NGUYEN ĐỨC CHÍNH - 18520533

NGUYÊN TRÀN QUÓC BẢO - 18520493

KHÓA LUẬN TÓT NGHIỆP

CHUOI CHỨC NANG DỊCH VỤ BAO MAT CHO

MẠNG KHAM CHỮA BỆNH TU XA TRONG ĐẠI

DỊCH ĐƯỢC HỖ TRỢ BỞI SDN

Security Service Function Chaining for SDN-assisted

Telehealth Network during pandemic

KY SU/ CU NHAN NGANH AN TOAN THONG TIN

GIANG VIEN HUONG DAN

TS PHAM VAN HAU Th.S PHAN THE DUY

TP HO CHÍ MINH, 2021

THONG TIN HOI DONG CHAM KHÓA LUẬN TOT NGHIỆP

Hội đồng chấm khóa luận tốt nghiệp, thành lập theo Quyết định số

"— e cece eeeeeeeaeeenees ngày của Hiệu trưởng Trường Dai hoc Công nghệ Thông tin.

LỜI CẢM ƠN

Lời đầu tiên nhóm xin cảm ơn Khoa Mạng Máy Tính & Truyền Thông của Trường Đại học Công Nghệ Thông Tin đã tạo điều kiện dé nhóm có thé được thực hiện đề tài khoá luận này.

Tiếp theo, nhóm xin cảm ơn Phòng thí nghiệm An Toàn Thông Tin (InSecLab) đã hỗ trợ về về mặt tài nguyên, máy ảo cũng như tài liệu để nhóm

có thể thực hiện đề tài khoá luận thành công cũng như các thầy cô, các anh

chị thuộc Phòng thí nghiệm An Toàn Thông Tin đã nhiệt tình giúp đỡ nhóm

có thể thực hiện đề tài này.

Sau cùng là nhóm xin cảm ơn TS Phạm Văn Hậu, ThS Phan Thế Duy

và ThS Đỗ Hoàng Hiển đã tận tâm trực tiếp theo từng bước hướng dẫn, chi

bảo cho nhóm trong hơn bến tháng thực hiện khoá luận.

Để có kết quả như hôm nay không chỉ là công sức và thành quả của nhóm, mà còn có công của các thầy cô hướng dẫn Một lần nữa nhóm xin gửi

lời cảm ơn chân thành nhất đến các thầy cô.

Trong quá trình thực hiện dé tài không khó tránh khỏi những sai sót, mong thầy cô có thé thông cảm và đồng thời tiếp tục nhắc nhở, góp ý dé nhóm hoàn thiện đề tài hơn trong tương lai cũng như nâng cao kiến cho bản thân

tốt hơn, không chỉ ở phạm vi trường học mà còn trong việc làm và cuộc sống.

Nhóm xin chân thành cảm ơn!

MỤC LỤC

Chương 1 MỞ ĐẦU -52ceeeeeeeerererrrrerrrrsrrrrseeev 13

1.1 Giới thiệu về đề tài eererrirrroe LS

u¿ ¿na on

1.3 Đối tượng nghiên cứu sstseeeeereereersresreeeeeeeeee L3

1.4 Phạm vi nghiên cứu -c ccceeseseerrreerrrrrrrrrrrrrrrrree LA

Chương 2 TONG QUAN 5 sssteterreretrrerrrrrrererreeeeev T5

2.1 Tình hình nghiên cứu -+ ++++++++t+t.tttttttrtrrrrrrrrrrrrrrrrrrrrrrrrree LD

2.2 Cơ sở lý thuyết và kiến thức nền tảng e ee-e 20

2.2.1 Network Functions Virtualization (NFEV) 2

2.2.2 _ Software Defined Networking (SDN) va SD WAN wc dL

2.2.3 Network Virtualization va Network Function Chaining (NFC),

Service Function Chain (SFC), Network Service Chaining (NSC)

2.2.4 Mối liên hệ giữa NFV va SDN-SDWAN !9

Chương 3 PHAN TÍCH VÀ THIẾT KẾ HỆ THONG

3.1 Phương pháp thực hiện đề tài -ererrrrrereri.DÓ)

3.2 Mô hình tổng thể của hệ thống -eerereeeerereree-.Ô)

3.2.1 Mô hình SDN seo Ï

3.2⁄2 MO hình SFC/NFEC eo.

3.2.3 Mạng khả lập trình SDN se 63

3.2.4 Nguyên lý triển khai, thay thế các SEC Ó

Chương 4 HIEN THỰC VÀ TRIỂN KHAI HỆ THỐNG 6Ö

4.1 Mô hình triển khai eeeeeereeerrrirrrrrrrrrerrroeeee.

4.1.1 Mô hình chỉ tiết eeeeeeesereeereererreeeeroesooou.ÔO

4.1.2 Triển khai Openstack / Microstack - -esssses

4.1.3 Triển khai OSM/ Charmed OSM ssessesrree

4.1.4 Triển khai mô hình mạng SDN -cs es

4.1.5 _ Kết nối mô hình SDN -.essscsreereererreree

Chương 5 KET QUA THU NGHIỆM VÀ DANH GIÁ

5.2 Đánh giá hiệu năng bằng khả năng chịu tải: -<

5.4 Đánh giá hiệu năng của chuỗi

Chương 6 TONG KẾT VÀ HƯỚNG PHAT TRIỂN -e2

6.1 Kết quả đạt được 66272 TT h tọa: sseseccercorcssssessesereeorssses

6.2 Thuận lợi và khó khăn -+++++++++tttttrtttttrrrtriririrrrrre

DANH MỤC HÌNH

Hình 2.1 Bệnh viện E triển khai hệ thống khám chữa bệnh từ xa 16

Hình 2.2 Yêu cầu cấp thiết trong phát triển Telehealth của chính phủ 17

Hình 2.3 Hệ thống Cisco Telehealth and Collaboration -:- 17

Hình 2.4 Các yêu cầu của hệ thống theo đõi chăm sóc sức khoẻ 20

Hình 2.5 Các nhược điểm của hệ thống mạng truyền thống m 21

Hình 2.6 Ưu điểm của NFV so với cách làm truyền thống - 22

Hình 2.7 So sánh mô hình kiến trúc mạng truyền thống va mô hình NEV 23

Hình 2.8 Các thành phan mạng có thé ảo hoá trong NFV - 26

Hình 2.9 Lịch sử phát triển của SDN-SDWAN ccccireeeeeerrrrrreerree 33 Hình 2.10 So sánh kiến trúc mạng truyền thống với kiến trúc SDN 35

Hình 2.11 Các loại hình chuỗi phố biến -2 -e52ixeeesreeveerreverreeee 43 Hình 2.12 Ví dụ về Dynamic SFC - :+cc22trrcvEvrrrerrrrrrrrrrtrrrrrerrre 46 Hình 2.13 Sơ đồ kiến trúc Extended ETSI NFV :-ccceerrcccerrre 51 Hình 2.14 Sơ đồ triển khai và vận hành kiến trúc Extended ETSI NEV 54

Hình 2.15 Mô hình bảo mật được dé xuất -.-.-.eercereerrerrerree 55 Hình 3.1 Mô hình tổng quan của hệ thống -cceirrececcrrrrrrceeverr 59 Hình 3.2 Mô hình logic của hệ thống -2++e2ttzevtrerztrrrzrrrrrrt 60 Hình 3.3 Mô hình của hệ thống SDN +-ccetrrccvetrrrerrrrrrrrrrrre 61 Hình 3.4 Mô hình của các lớp trong hệ thống 22.+ccstrcesrrcee+ 62 Hình 3.5 Sự khác nhau về cau trúc giữa VM và Container 65

Hình 3.6 Sơ đồ quy trình triển khai và hoạt động hệ thống - 67

Hình 4.1 Sơ đồ tổng quát của hệ thống . :+cecccerrirreceverrrrrrrrrerrre 69 Hình 4.2 Cài đặt microstack sử dung Snap package -cccsrerre-e 71 Hình 4.3 Triển khai microstack đưới mô hình control node 71

Hình 4.4 Giao diện đăng nhập của Openstack -csescrceerereerrrree 72 Hình 4.5 Giao diện Overview của OpenstaCK ««c-reeeeerierrriirrrrrrrrrree 73

Hình 4.6 Deploy thử nghiệm với image ITTOS « s«+ssere+eeereeererreee 74

Hình 4.7 Sơ đồ hệ thống network topolOgy -:ccecccerrrrreceverrrrrrreeerrre 74

Hình 4.8 Kiểm tra metwork list cccccccscssssssssscssccsccsssssssssssssssssssssssssssccsccssessesesseseseeeeeeeseessessees 75 Hình 4.9 Kiểm tra floating IPs -ccccsiirccevSvEEEtrrervvrtrrrrerrrrrrrrrrrerrrre 75

Hình 4.10 Kiểm tra flavor list ecceeieriririirriiriiiriiiriiriririirrrre 76

Hình 4.11 Kiểm tra image list s2i+2eS2trecEEtrevEtrrrrvrrrrrtrrrrrrrrrrte 76 Hình 4.12 Kiểm tra key đã upload -: ccccccrrrrreevvrerrrrereeerrrrrrrrrerrre 77

Hình 4.13 Kết nối SSH đến các Instance -. -+ceceerireeverrrreererrreerrrre 77 Hình 4.14 Mô hình chuỗi hoàn chỉnh -+++++eeceevvvvvvrrrrrrrrrerevee 78

Hình 4.15 Giao diện đăng nhập của OSM Charmed . -cc-«, 80

Hình 4.16 Giao diện khởi chạy ban đầu của OSM Charmed - 80

Hình 4.17 Ví dụ một template ảo hoá mạng -e-eerxerrrrsrrrrrrrrrre 81 Hình 4.18 Giao diện sau khi tạo các Instance từ network template 82

Hình 4.19 Hệ thống mang đã triển khai sử dung template - 82

Hình 4.20 Tạo SDN topology sử dụng COnfainern€I ‹« c-s«ccserercseeee 84 Hình 4.21 Package trong mang SDN quản lý bởi Ryu controller 85

Hình 4.22 Cau hình trên OVS trước khi thêm bridge s - 86

Hình 4.23 Cau hình sau khi thêm bridge trỏ tới hạ tang chuỗi SFC 86

Hình 5.1 Thời gian triển khai chuỗi theo số lượng Instances - 88

Hình 5.2 Một số rule iptables được áp dụng cho Firewall Instance 89

Hình 5.3 Một số thông tin về các instance đã được triển khai 90

Hình 5.4 Tài nguyên máy Openstack trước khi triển khai các Instances 90

Hình 5.5 Tài nguyên máy Openstack sau khi triển khai các Instances 91

Hình 5.6 Trường hợp 50 host kết nối cùng lúc trong mô hình SDN 92

Hình 5.7 Triển khai hệ thống mạng thử nghiệm hiệu năng chứa 50 hosts 93

Hình 5.8 Ping tới máy Webserver trong chuỗi c ci+irrecccccce 93 Hình 5.9 Tài nguyên của máy HA Proxy trước thử nghiệm 94

Hình 5.10 Tài nguyên của máy HAProxy trong thử nghiệm - 94

Hình 5.11 Máy Dummy server bị crash do nhận quá nhiều gói ping 95

Hình 5.12 Tài nguyên của máy HAProxy khi không được bảo vệ 97

Hình 5.13 Tan công hping3 bị ngăn chặn -.ccccetrirreeeverrrrrrrseeerre 97

Hình 5.14 Tài nguyên của máy HAProxy khi được Firewall - IDS bảo vệ 98

Hình 5.15 Một số trường hợp độ trễ cao của host -ee 99

Hình 5.16 Tuy chọn tao flavor thủ cÔng ‹e crxeeceerxeerrrrrrrrrrrree 100

DANH MỤC BANG

Bảng 5.1 Cau hình hệ thống sử dụng cho mô hình thử nghiệm 87

Bang 5.2 Thời gian triển khai lần lượt cho mỗi loại image 88

Bảng 5.3 Thời gian triển khai lần lượt cho mỗi loại image 89

Bang 5.4 Tài nguyên của instance HA trong quá trình thử nghiệm 93

Bảng 5.5 Kết quả từng trường hop thử nghiệm s+.+ccssre 95 Bảng 5.6 Kết quả trước và sau khi có rule bảo vệ -ss-. sss 97 Bảng 5.7 Tong hợp độ trễ RTT (trung bình) trên từng host (đơn vị ms) 98

Bảng 5.8 Tổng hop thời gian cài đặt từng thành phan trong hệ thống 99

10

DANH MỤC TỪ VIET TAT

SDN Software-defined networking

NFV Network function virtualization

SFC Service function chaining

VNF Virtualized Network Function

VNFD Virtualized Network Function Descriptor

OSM Open Source MANO

MANO Management and Orchestration

VIM Virtualized Infrastructure Manager

NFC Network Function Chaining

NSC Network Service Chaining

CAPEX/ OPEX Capital expenditures/ Operating expenses

CDN Content delivery network

TaaS Infrastructure as a Service

CSP/ASP/ISP Cloud/Application/Internet Service Provider

DPI Deep Packet Inspection

11

TOM TAT KHÓA LUẬN

Ảo hóa cho phép các kiến trúc sư mạng thiết kế, triển khai và quản lý các

dịch vụ mạng hiệu quả hơn bao giờ hết Mạng do phần mềm xác định (SDN) vàcông nghệ ảo hóa các chức năng mạng (NFV) là hai trong số những công nghệ

chính thúc đây sự chuyền đổi này

Với những yêu cầu về xây dựng mô hình có khả năng đáp ứng khám chữabệnh từ xa đang tăng trong thời điểm đại dịch Covid bùng phát, việc tìm ra một

mô hình mạng phù hợp dé đáp ứng được nhu cau đó là điều rất cần thiết

Trong nghiên cứu này, nhóm sẽ giải thích về các khái niệm, so sánh SDN vàNFV, đồng thời chi ra cách thức và lý do tại sao các khả năng bổ sung của chúngnên là một phần trong chiến lược mạng mới trong hoàn cảnh đại dịch hết sức đặc

biệt hiện nay, cũng như tại sao hai công nghệ mạng này sẽ là tương lai của các

hệ thống y tế, Telehealth và Telemedicine

Ngoài ra, nhóm cũng đã tiễn hành đề xuất và trién khai một mô hình mang sửdụng kết hợp hai công nghệ nôi bật trên, kiểm tra độ hiệu quả của hệ thong da déxuất và đi đến những đánh giá, nhận xét về về kết quả đã đạt được trong mô hình

nghiên cứu nay.

12

Chương 1 MỞ ĐẦU

1.1 Giới thiệu về đề tài

Nhận thây các khuyêt điêm của hạ tâng mạng truyên thông và các ưu

điêm của việc ứng dụng của NFV va SFC vào hệ thong mang, cùng với đó là sự yêu câu mạng bùng nô của hoàn cảnh đại dịch, nhóm sẽ thực hiện đê tài "Hệ

thống mạng y tế hỗ trợ bởi SDN"

Trong dé tài này, nhóm sẽ tập trung nghiên cứu về cách ảo hoá các chứcnăng mạng như Firewall, IDS, Reverse Proxy sau đó kết nối các chức năngnày thành các chuỗi dịch vụ mạng ảo có thể mang vào sử dụng trong thực tiễn,thực hiện tính thời gian triển khai của các chức năng, thực hiện tính thời gian

thay đôi kiến trúc, thử nghiệm dùng các host trong mạng SDN kết nối đến chuỗi

và thử nghiệm độ bảo mật của chuỗi dịch vụ đã tạo dé kiểm tra các chức năng đã

được ảo hoá.

1.2 Mục tiêu

Tận dụng các tính năng đột phá của mô hình mạng SDN để xây dựng một

mô hình mạng với mục đích hỗ trợ điều phối, quản lý các dữ liệu như: thông tinbệnh nhân, dữ liệu y tế, dữ liệu theo dõi thời gian thực, dữ liệu trao đôi trong quá

trình điều trị, trong mạng lưới chăm sóc sức khỏe từ xa, áp dụng trong hoàn

cảnh đại dịch hiện nay.

Tiến hành ứng dụng công nghệ ảo hóa mạng NFV dé tạo ra chuỗi các

dịch vụ đê đảm bao cả về QoS và bảo mật cho hệ thông mạng vừa dé xuat.

Tiến hành kiểm tra cả về tính năng lẫn hiệu năng của giải pháp đã đề ra.

1.3 Đối tượng nghiên cứu

Hệ thống mạng SDN, điểm mạnh, điểm yếu cũng như ứng dụng của hệthông mạng mới mẻ này trong việc hỗ trợ cho y tế

13

Các giải pháp kết hợp SDN, NFV và IoT trong ngữ cảnh hệ thống chăm

sóc sức khỏe thông minh.

Kỹ thuật Clustering, Load balancing, kỹ thuật đảm bảo QoS, trong ngữ

cảnh y tế từ xa Telehealth, Telemedicine

Ki thuật ảo hóa các chức năng mạng NFV.

Phương pháp tạo chuỗi chức năng ảo NCS/SFC.

1.4 Phạm vi nghiên cứu

Hệ thống mạng SDN và cách ứng dụng của nó trong việc hỗ trợ điềuphối, quản lý kết nối và trao đôi đữ liệu trong hệ thống y tế từ xa (telehealth)

Cac kĩ thuật trong Network Function Virtualization (NFV) như Network

Service Chaining (NSC), Service Function Chaining (SFC) dé tạo thành chuỗi

dich vu mang, chang han như các dịch vụ L4-7 như tường lửa, NAT, IDS/IPS.,

để đảm bảo giải pháp đã đề xuất hoạt động tốt với hiệu năng cao nhất và đảm

bảo các tiêu chí vê bảo mật.

14

Chương 2 TONG QUAN

2.1 Tinh hình nghiên cứu

Đại dịch COVID-19 đến nay đã lan rộng ra toàn cầu và hiện chưa tìm rathuốc chữa Nhiều nước đã gọi đây là thảm họa và mỗi nước có những giải phápriêng để phòng, chống dịch bệnh và sẽ có những bài học riêng Tại Việt Namtính đến thời điểm này, cuộc chiến chống dịch COVID-19 đã dan thu được kếtquả tích cực, tuy vậy hàng triệu người từ trên toàn thế giới đã bị ảnh hưởng bởi

vi rút trong một khoảng thời gian rất ngắn, và ngay cả các nước phát trién nhất

các nước như Mỹ, Anh, Pháp, Y, v.v cũng ảnh hưởng nặng nề nhất mặc dù họ

có hệ thông y tê vô cùng tiên tiên.

Do đó, các hoạt động sản xuât và kinh tê xã hội doi hỏi sự can thiệp của con người đã và đang có xu hướng chuyên sang hoạt động từ xa; điêu này tạo

nên sự bùng phát nhu câu về sử dụng mạng trên toàn câu.

Những cảnh báo đỏ được đặt ra trước mắt chúng ta: sẽ còn có những đạidịch khác sẽ xảy ra và có những trường hợp mà con người chưa đủ khả năng déchuẩn bị cho chúng Trong công cuộc phòng chống đại dịch trong thời đại mới,không chỉ ở COVID-19 mà bat cứ đại dịch nào sắp tới, sẽ không chi đòi hỏi tiến

bộ về y té ma con yéu cau su chuan bi rất lớn về hệ thong mang phuc vu cho y

tế, làm nền tang cho dap ứng nhu cầu khám chữa bệnh bị day lên rất cao

Một xu hướng khác cũng đang xuất hiện đó là Telehealth vaTelemedicine Dai dịch đã làm thay đôi cách hoạt động và làm việc của mỗi

chúng ta, mọi thứ đều theo xu hướng từ xa và hạn chế tránh tiếp xúc, và khám

chữa bệnh tại nhà là một nhu cầu hoàn toàn tất yếu.

Bệnh án điện tử, dữ liệu số hoá, chân bệnh từ xa không còn lạ lẫm gì,

khi hệ thống y tế từ xa bước vào đời sống xã hội trong những ngày đầu thập kỷ

1970 với nhiều rào cản to lớn như: chỉ phí cao, vấn đề pháp lý, hệ thống băng

tân Với sức mạnh công nghệ hiện nay, y học từ xa có những bước tiên rõ rệt.

15

Ở Mỹ, theo thống kê, nhờ có khâu Chăm sóc đặc biệt viễn thông mà các

bệnh nhân giảm được 35% thời gian nhập viện và giảm 30% tỉ lệ tử vong Ước

tính, khoảng 1.000 người đã được cứu sống nhờ y tế từ xa Hiệp hội y tế từ xa

Mỹ ước tính trong năm qua, có 15 triệu người ít nhiều sử dụng loại hình chữa trị

này Và dự đoán, con số này sẽ tăng thêm 30% theo hằng năm

Việc áp dụng xu hướng hoạt động y tế từ xa đang là xu thế mới, với rấtnhiều mô hình đã được triển khai cả trong và ngoài nước Một số tiêu biểu cóthé ké đến như: hệ thống hỗ trợ y tế miễn phí từ xa “Giúp Tôi!”, ứng dụng đặt

lịch khám chữa bệnh Edoctor, ứng dụng UMC của Bệnh viện Đại học Y dược

TPHCM; các ứng dụng quản lý di chuyền, ứng dụng quản lý tiêm vắc xin, và

ngoài nước có thể nói tới như: Telehealth by SimplePractice, Hệ thống tri liệu từ

xa Betterhelp.com, Lemonaid,

= ‘yal TRUONG

yé THONG TELEHEAL TH

nuộc DUAN KHAM, CHÚA BỆNH TU XA J VIEN E.

GIAI DOAN 2020-2025

: 14 tháng ? năm 2020 iy h

*

Hình 2.1 Bệnh viện E triển khai hệ thong khám chữa bệnh từ xa

Bộ Y tế cho biết, ngày 29/7/2021, Bộ trưởng Bộ Y tế ban hành Quyếtđịnh số 3616/QD-BYT phê duyệt Dé án "Tăng cường năng lực cấp cứu, hồi sứctích cực cho các bệnh viện điều trị người bệnh COVID-19 nang"

Trong quá trình đi kiểm tra công tác điều trị COVID-19 tại một số địaphương, cho thấy một số bệnh viện chưa tích cực triển khai áp dụng Telehealthtrong điều trị COVID-19

16

ING DI

¬

_ HàNội, ngày 08 tháng 8năn?

Hình 2.2 Yêu cầu cấp thiết trong phát triển Telehealth của chính phủ

Customer Stories — Solutions

Reimagine the healthcare workplace

experience for patients virtual care, and secure remote work efficiencies and support safety.

Hình 2.3 Hệ thống Cisco Telehealth and Collaboration

Hệ thống mạng khả lập trình (Software Defined Network — SDN) là một

cách tiếp cận theo hướng điện toán đám mây, tức là tập trung hóa việc quản trịthiết bị mạng, giảm thiểu công việc riêng lẻ, tốn nhiều thời gian trên từng thiết bị

cụ thể, tạo điều kiện thuận lợi cho việc quản lý mạng và cho phép cấu hình mạng

hiệu quả bằng các chương trình được lập trình sẵn dé cải thiện hiệu suất và tăng

cường khả năng giám sát mạng SDN nhằm mục tiêu giải quyết vấn đề kiến trúc

tĩnh, phi tập trung, phức tạp của các mạng truyền thống không phù hợp với yêu

cầu về tính linh hoạt và xử lý sự có dễ dàng của các hệ thong mang hién tai.Cùng với SDN, công nghệ vạn vật kết nói (IoT) có thé được coi là giải pháp khathi để đảm bảo tính linh hoạt và hiệu quả của mạng

17

Ngoài ra, SDN đã góp phần vào sự xuất hiện của công nghệ Mạng diệnrộng được định nghĩa bằng phần mềm (SD-WAN) SD-WAN sử dụng khía cạnhlớp phủ ảo (virtual overlay) của công nghệ SDN, nhằm trừu tượng hóa các kếtnối của một tô chức trong toàn bộ mạng LAN và tạo ra một mạng ảo có thể sử

dụng bat kỳ kết nối nào mà bộ điều khiển thấy phù hợp dé gửi nhận lưu lượng

SDN-SDWAN là những công nghệ không mới, nó đã được sử dụng rộng

rãi trong những năm gần đây trên khắp thế giới với các nhà cung cấp lớn như

Viptela, Cisco, KDDI, AU, Verizon, Singtel, và chứng minh được độ hiệu qua

cao của nó Hiện nay các nhà cung cấp mang ở Việt Nam cũng đã bat đầu ápdụng SDN-SDWAN vào thực tiễn, tuy nhiên chúng lại khá hạn chế và chủ yếu là

thuê lại dịch vụ và chỉ đóng vai là bên cung cấp local access cho các công ty

SDWAN lớn Vì vậy tiềm năng phát triển SDN-SDWAN ở nước ta là rất lớn và

là mảnh đất chưa được khai phá ở Việt Nam

Việc có thể xây dựng một mạng lưới lớn và tập trung như vậy mang lạilợi ích rất lớn cho y tế Tuy nhiên những hệ thống mạng lớn như vậy tạo ra mộtlượng dir liệu rất lớn, số lượng và chủng loại thiết bi phần cứng chuyên dụng củacác nhà cung cấp thiết bị càng ngày càng nhiều Dé triển khai một dịch vụ mớithông thường phải tuân thủ theo các bước như trang bị thêm thiết bị, chuẩn bị cơ

sở hạ tang, nguon điện dé lắp đặt các thiết bi này Công việc chuẩn bị cơ sở hạtầng, tích hợp hệ thống, triển khai các thiết bị trên mạng lưới ngày càng khó

khăn Thêm vào đó, vòng đời các thiết bị phần cứng chuyên dụng thường kết

thúc nhanh chóng Vòng đời phần cứng càng trở nên ngắn hơn khi các cải tiễnđược áp dụng dẫn tới làm giảm lợi tức đầu tư khi triển khai dịch vụ Từ đó kèm

theo sự ra đời của công nghệ ảo hóa mang NFV (Network Functions

Virtualization) Bằng cách ảo hoá các chức năng mạng, việc quản lý trở nên dễdàng và ít tốn kém trong vận hành

Ở thời điểm hiện tại, số lượng các nhà cung cấp NFV của nước ta khá

khiêm tốn, chủ yếu hoạt động ở nước ngoài như Vmware ETSI, Huawel, SK

18

Telecom, Samsung vì vậy đây cũng là mảnh đất thứ hai đầy màu mỡ cho

nghiên cứu và áp dụng ở Việt Nam.

Tuy nhiên, xây dựng mạng luôn đi kèm với bài toán vận hành mạng và

bảo mật mạng, nhất là với tình huống y tế, là nơi đòi hỏi độ trễ cực kỳ thấp va ditliệu trên mạng đều là những dữ liệu cá nhân nhạy cảm Điều này thử thách khảnăng tiếp nhận và xử lý thông tin mà không phải hệ thống nào cũng có thé dam

nhiệm được, kèm theo đó là các yêu cầu bảo mật và quyền riêng tư trên dit liệu

sức khỏe của người dùng.

Hơn cả thế, không chỉ trong thực tiễn mà Telehealth and Telemedicinecũng đang là chủ đề nghiên cứu rất được quan tâm gần đây với rất nhiều giảithưởng, điển hình như trong IEEE thường niên năm 2020, các dự án đạt giảithưởng cao nhất đều có liên quan đến chủ đề này và 2021 sắp tới cũng sẽ dự báo

có những kết quả tương tự

Một số nghiên cứu tiêu biểu có thé ké đến như: Ezedin Barka [1] và cộng

sự đã đề xuất một đề xuất một mô hình Healthcare Monitoring sử dụng lợi thế

của Blockchain Trong khi đó, Mohamad Khayat [2] và cộng sự đã áp dụng công

nghệ SDN vào hệ thống chăm sóc bệnh nhân từ xa Anichur Rahman và nhómnghiên cứu của ông đã kết hợp cả SDN và IoT dé tạo ra một framework hiệu qua

để tạo ra một hệ thống vừa đáp ứng yêu cau của thời đại 4.0 lẫn trong hoàn cảnhđại dịch, và xác định rằng cơ sở hạ tầng mạng truyền thống không thê xử lý khảnăng mở rộng việc tích hợp IoT vào hệ thống, thay vào đó SDN sẽ trở thànhphần không thể thiếu trong quá trình phát triển của IoT Farag Sallabi [3], đã đềxuất mô hình mang SDN kết hợp ứng dụng IoT và Mạng WBAN (Wireless

Body Area Network), phân loại traffic cho các dịch vụ chăm sóc sức khỏe, sử

dụng chức năng trợ giúp số cá nhân (Personal digital assistant — PDA)

Tất cả nghiên cứu trên đều hướng đến xây dựng một hệ thống mạng đạtđược các tiêu chuẩn cả về hiệu năng lẫn bảo mật đề phục vụ mô hình mạng dịch

vụ điên hình này.

19

Ở mặt khác, Mohsin Kamal, Abdulah Aljohani và Eisa Alanazi [3] đãđánh giá, phân tích điểm mạnh, điểm yếu, cơ hội và mối đe dọa mà một mô hình

mạng cần đạt được và đưa ra một vài nhận xét đáng chú ý như: “Yêu cầu

server/fusion center tập trung”, “Yêu cầu băng thông cao” và “Bảo mật và bảo

vệ quyền riêng tư là mối quan tâm lớn” Những tiêu chí này đều có thé được giải

Hình 2.4 Các yêu cầu của hệ thống theo déi chăm sóc sức khoẻ

Vì vậy một giải pháp cân có đê ứng dụng tât cả ưu điêm của các công nghệ ở trên và đảm bảo tôt nhât vê đáp ứng và bảo mật Nhóm nghiên cứu chúng

em sẽ cô gắng tìm ra một đáp án cho bài toán này

2.2 Cơ sở lý thuyết và kiến thức nền tảng

2.2.1 Network Functions Virtualization (NFV)

2.2.1.1 Lợi ích/ Ứng dung

Nhu cầu phải luôn không ngừng cải thiện hạ tang mạng là một nhu cầu

thiết yếu không chi ở thế giới mà còn ở Việt Nam trong sự phát triển vũ bão của

20

Internet vào thời đại Cách Mạng Công Nghiệp 4.0 đã và đang diễn ra Điều nàyđặt ra cho các nhà cung cấp dịch vụ mạng áp lực phải luôn không ngừng mở

rộng quy mô cũng như nâng cao chất lượng dịch vụ của mình Cách làm phổ

biến hiện tại của các nhà cung cấp dịch vụ hiện tại đa phần là mua sắm thêm các

thiết bị phần cứng chuyên dụng mạnh mẽ hơn cho mỗi một dịch vụ mạng mới

Cách tiếp cận này hiện đang bộc lộ nhiều vấn đề Ta có thể nhận thấy

rằng đa phần những hệ thống mạng hiện tại đều sử dụng thiết bị chuyên dụngcủa các hãng như Cisco, Juniper, Huawei, Tuy nhiên, những hệ thống này lại

có các khuyết điểm như: giá thành thiết bị đắt đỏ, khó quản lý tập trung, kém

tương thích với các hệ thống của hãng khác, tốc độ cập nhật phần mềm chậm,bản quyền phần mềm thường ngắn Với những thiết bị mạng truyền thống củacác hãng này thì việc triển khai một dịch vụ mới, một chức năng mới hay nângcấp dịch vụ đang có tốn kém rất nhiều cả về thời gian lẫn tiền bạc Thông

thường, với mỗi một quy trình như vậy có thê phải cần tới vài ngày hay vài tuần

dé đưa hệ thống mới vào hoạt động Trong khi đó, mỗi một dự án lại có các yêucầu riêng, doi hỏi những loại thiết bị chuyên dụng khác nhau, như vậy sẽ làmlãng phí rất nhiều thời gian và nhân lực

Thời gian triển

khai lâu &

Khó mở rộng/thu

A hep dich vu

bà Điều khiển luồng

Quản trị khó khăn dữ liệu phức tạp

Hình 2.5 Các nhược điểm của hệ thống mạng truyền thống.

21

Những khuyết điểm này có thé được giải quyết bằng việc ứng dụng côngnghệ ảo hóa (Virtualization) vào ha tầng mạng tại các trung tâm dữ liệu

(Datacenter), các điểm chuyển mạch lớn (Network Node) trên đường truyền

hoặc tại nơi người dùng cuối bằng công nghệ Ao hóa Chức năng Mạng

(Network Function Virtualization — hay gọi tắt là NEV)

Hình 2.6 Ưu điểm của NEV so với cách làm truyền thống

Network Functions Virtualization (NFV) chính là việc ảo hóa các chức

năng mạng như firewall, NAT, load balancer, etc dé đạt được tinh linh động cao

cũng như thúc đầy việc triển khai các dịch vụ mới trong lĩnh vực cung cấp dịch

vụ mạng.

Trong hệ thống mạng truyền thống, nếu nhà cung cấp dịch vụ muốn mởrộng phạm vi khách hàng, hay triển khai, mở rộng hệ thong mang tai vi tri mới,diéu nay kéo theo một loạt các yêu cầu cần thiết về thiết bị cuối (end-userdevice) như router hay CED device Ngoài ra, một số thiết bị khác cũng cần phảiđược lắp đặt hay triển khai nếu như nhà cung cấp dịch vụ muốn monitor hay

troubleshoot đường truyền cũng như traffic trong mạng

22

Tuy dựa vào các kỹ thuật ảo hóa máy tính đang sử dụng rộng rãi nhưng

NFV có sự khác biệt Một chức năng mạng đã được ảo hóa (VNF) có thé baogồm một hoặc nhiều máy ao (Virtual machine) chạy các phan mềm khác nhau vatheo những quy trình cũng khác nhau Thay thế cho các thiết bị phần cứng

truyền thống tương ứng với mỗi chức năng mạng là những máy ảo chạy trên nền

những máy tính, chuyên mạch, bộ nhớ công nghiệp hang đầu, có dung lượnglớn, thậm chí trên hạ tầng điện toán đám mây Chang hạn như chức năng điềukhiển ranh giới vùng được ảo hóa sẽ thực hiện bảo vệ mạng mà không cần đầu

tư lớn và lắp đặt thiết bị thông thường

Traditional With NFV

Public iP ¿be để Public IP Private ỊP

services seis services oe

Core Router (ESB Router in vu

(EE) contro! / Orchestration

ne Data Plane Control Plane ——= Data Plane ======Control Plane

Hình 2.7 So sánh mô hình kiến trúc mạng truyền thống và mô hình NFV

NEV ra đời giúp các nhà cung cấp dịch vụ mạng giải quyết các vấn décủa hệ thống mạng truyền thống băng cách ảo hóa các chức năng mạng vàotrong các ứng dụng phần mềm chạy trên các máy ảo đang hoạt động trên x86server Với NFV, người dùng hay nhà cung cấp có thé quản lý mang của họ Kếtnối mạng bây giờ sẽ được chuyên từ việc sử dụng toàn bộ các thiết bị phần cứng

sang việc sử dụng một số lượng nhỏ cần thiết các thiết bị phần cứng (e.g Home

GW), các chức năng còn lại sẽ được ảo hóa và quản lý thông qua phần mềm

23

Một số lợi ích của NEV:

e NFV đem lại lợi ích vô cùng to lớn: Giảm chi phí đầu tu và khai thác

(Capex và Opex) của nhà khai thác do giảm được chi phí đầu tư thiết

bị, công trình lắp đặt máy và giảm lượng tiêu hao năng lượng so vớitriển khai từng thiết bị một

e Rút ngắn thời gian cung cấp khi triển khai các dịch vụ mới

e Nâng cao hệ số hoàn vốn đầu tư từ các dịch vụ mới

e Tạo lập tính linh hoạt cao dé nâng cấp từng bước hoặc tháo bỏ từng

phần hoặc làm tương tự đối với các dịch vụ

e Tạo cơ hội cho thị trường các thiết bị ảo và gia tăng ứng dung các

2.2.1.2 Quá trình phát triển

Quá trình phát trién sản phâm trong ngành viễn thông thường phải tuântheo các tiêu chuẩn khắt khe về độ ồn định, giao thức và chất lượng Các môhình mạng hiện tại tuy tốt nhưng chu kỳ phát triển sản phẩm lâu, tốc độ pháttriển chậm và phụ thuộc vào các phần cứng độc quyền Dẫn đến chậm trễ khitiếp cận các dịch vụ mới, đặt ra nhiều thách thức về khả năng tương thích, nhu

cầu đảm bảo cơ sở hạ tầng mạng và dịch vụ mạng Ngoài ra với sự gia tăng cạnh

tranh đáng ké trong dịch vụ cung cấp truyền thông mạng đã thúc day các nhacung cấp dịch vụ tìm kiếm những cách thức mới để tạo đột phá và tăng doanh

thu.

Cuối năm 2012, NFV ra đời với mục tiêu là thay thế các thiết bị vật lý vớicác phiên bản lưu trữ đám mây Do đó, NFV là sáng kiến về mạng đầu tiên áp

24

dụng mô hình phần mềm, kết hợp chức năng phần mềm (các VNF), ảo hoá vàgom nhóm tài nguyên phan cứng (NFVi).

e Ao hóa hạ tầng mạng Mobile Core Network, IMS và Mobile Base

Station kết hợp với công nghệ SDN: triển khai, quản lý các dịch vụviễn thông di động dé dàng, nhanh chóng, linh hoạt và tối ưu hơn trênnên hạ tang phần cứng COTS (Commercial off the Shell)

e Fixed Access Network Functions Virtualisation: Tối ưu hóa việc

truyền dan cũng như cắt giảm chi phí nếu có thé chia sé tài nguyên về

hạ tầng kết nối với nhau

e Virtualisation of Home Environment: quản lý tốt hơn dich vụ Internet,

Thoại, Truyền hình Internet đến người dùng Cắt giảm chi phí triểnkhai, bảo trì, sửa chữa, đào tạo con người cho các thiết bị ở tại nhà

khách hàng.

Các công ty kinh doanh nội dung số đa phương tiện như VNG, FilmPlus,

K+:

e CDN: tối ưu việc xây dựng hạ tầng CDN cho dịch vụ của mình

e Su dụng VNF as a Service như: Load balance, FIrewall,

Đối với các công ty cung cấp hosting/public cloud như: Vinahost,

Vinadata, CMC, vHost:

e NEV IaaS hoặc Virtual Network Platform as a Service: xây dựng

cloud dé cho các nhà cung cấp dịch vụ sử dụng dé họ tự xây dựng dịch

vụ mạng của riêng mình.

25

e VNF as a Service: cung cấp dịch vụ mạng như: Load balance,

Firewall, cho các doanh nghiệp khác.

2.2.1.4 Kiến trúc NFV

Hầu như tất cả các chức năng của mạng đều có thê ảo hóa Tuy nhiên, do

đang trong quá trình phát triển và hoàn thiện nên trên thị trường thế giới hiệnnay, NFV chủ yêu bao gồm:

e vSwitch: Các cổng vật lý được nói đến các công của các server ảo với

các router ảo sử dụng IPsec và các gateway SSL/VPN.

e Các thiết bị mang ảo hóa: Các chức năng mạng hiện nay yêu cầu có

các khối thiết bị khác nhau sẽ được thay thế băng các thiết bị ảo Như:firewall, IDPS, Web, tối ưu hóa và gia tốc cho IPS/ IDS, WAN

e Các dịch vụ mạng ảo (Virtual network services): Các ứng dụng dé

quan ly mang như phân tích lưu lượng, các công cụ giám sát mang,

cân bằng tai,

e Các ứng dung ảo: Các ứng dụng cua điện toán đám mây như các dich

vụ lưu trữ ảo, dịch vụ hosting ảo, dịch vụ tương tác ảo,

DNS VPN a? ‘ *% Switches Storage Servers - 3

Traditional Network Approach NFV Approach

Hình 2.8 Các thành phan mang có thé ảo hoá trong NFV

26

Kiến trúc NFV do Viện Tiêu chuẩn Viễn thông Châu Âu (ETSI) đề xuấtđang giúp xác định các tiêu chuẩn cho việc triển khai NFV Mỗi thành phần của

kiến trúc dựa trên các tiêu chuân này dé thúc day sự 6n định và khả năng tương

tác tốt hơn

Kiến trúc NEV bao gồm:

e_ Chức năng mạng ảo hóa (VNFs) là các ứng dụng phần mềm cung cap

các chức năng mạng như chia sẻ tệp, dịch vụ thư mục và cấu hình IP

e© Co sở hạ tang ảo hóa chức năng mạng (NFVi) bao gồm các thành

phần cơ sở hạ tầng như tính toán, lưu trữ, mạng trên nền tảng hỗ trợphần mềm, chăng hạn như siêu giám sát KVM hoặc nền tảng quản lý

vùng chứa, cần thiết dé chạy các ứng dụng mạng

e Quản lý, tự động hóa và điều phối mạng (MANO) cung cấp khuôn

khổ dé quan lý cơ sở hạ tang NFV và cung cấp các VNF mới

Alcatel-Lucent và China Mobile đang hợp tác giới thiệu truyền dẫn giọng

nói và video thông qua concept ảo hoá LTE RAN Baseband Unit (BBU) và lõi

27

gói phát triển ảo hóa (virtualized evolved packet core - vEPC) được NFV

platform CloudBand 2.0 của công tích hợp lên đám mây.

vEPC (virtualized evolved packet core) tự động hóa việc xác thực va

quản lý người đăng ký cũng như các dịch vụ mà họ truy cập, cũng như tạo kết

nối với các dịch vụ trong mạng của bên điều hành và Internet trên quy mô lớn

vEPC của Alcatel-Lucent sử dụng nền tảng phần mềm đã được chứng minhtrong mạng của các nhà khai thác mạng di động trên thế giới

vIMS (virtualized IP Multimedia Subsystem) là giải pháp hệ thống con đaphương tiện IP ảo hoá, để cung cấp dịch vụ đa phương tiện phong phú qua mạng

IP vIMS của Alcatel-Lucent tiếp nhận các công nghệ đám mây mở mới trongkhi vẫn giữ được hiệu suất cao nhờ hoạt động trên quy mô lớn trong các mạngtruyền thông lớn nhất với tính khả dụng 100%

vRAN (virtualized radio access network) bao gồm Bộ điều khiến mạng

vô tuyên 3G được ảo hóa (RNC) va bằng chứng ảo hoá khái niệm về LTE Cácthành phần LTE tận dụng phần mềm LTE của Alcatel-Lucent được triển khai tạitám trong số mười mạng di động hàng đầu và các thuật toán không dây nâng cao

từ Bell Labs.

b Cisco:

XNimIIF

CISCO

Cisco đã hợp tác với nhà cung câp phân mêm mã nguôn mở sô một cho

doanh nghiệp: Red Hat cùng với Intel để tạo ra một nền tảng hoàn toàn mở nhằmgiải quyết những thách thức công nghệ và kinh doanh lớn nhất của các nhà cung

cấp dịch vụ Giải pháp Cơ sở hạ tang NFV cua Cisco tuân thủ ETSI và được tích

28

hợp trước Nó cung cấp tính khả dụng, độ tin cậy cao và hiệu suất có thê dự đoánđược ở cấp độ nhà cung cấp dịch vụ dé đảm bảo SLA của khách hàng cấp cao.

Cisco NEV Platform cung cấp những lợi ích:

e Triển khai và hoạt động: Hỗ trợ trình cài đặt tự động với Cisco

Openstack, mang tính sẵn sàng cao và ghi log tập trung.

e Hiệu suất và bảo mật: cung cấp hiệu năng ôn định với việc triển khai

Cisco VPP, đảm bảo bảo mật Openstack nâng cao với tích hợp giới

hạn rate OpenStack API cũng nư cung cấp bộ công cụ cho các nhàkhai thác mạng dé tiến hành thử nghiệm và kiểm tra bảo mật đám

mây.

e Quản lý va kha năng bảo trì: Với Unified Management giúp quản lý

nhiều trung tâm dữ liệu hỗ trợ NFV tại một địa điểm duy nhất Tíchhợp và triển khai liên tục, sửa lỗi phan mềm cho OpenStack cũng nhưcho phép nâng cấp OpenStack lên các phiên bản ôn định hơn

Sản phẩm CloudCore bao gồm CloudIMS, CloudSDM, CloudSBC,CloudPCRE và CloudSPS Nó không chỉ hỗ trợ phần cứng chung của Huawei

FusionServer, hệ điều hành đám mây chung FusionSphere, mà còn hỗ trợ phần

cứng của nhiều nhà cung cấp (chăng hạn như HP, Cisco, v.v.) và Hệ điều hànhđám mây (chang hạn như VMware, Red Hat, v.v.)

chuẩn hóa để quản lý, giám sát và đánh giá tất cả các tài nguyên trong cơ sở hạ

tầng NFV

Các dự án OpenStack khác nhau như Tacker, Neutron, Nova, Astara,

Congress, Mistral, Senlin, v.v có khả năng quản lý các thành phần cơ sở hạ

tang ao hóa của môi trường NEV Ví du, Tacker được sử dụng dé xây dựng VNF

Manager chung (VNFM) và NFV Orchestrator (NFVO) giúp triển khai và vậnhành các VNF trong cơ sở hạ tang NFV Các tính năng nổi bật được cung cấp co

thé ké tới bao gồm các tính năng hiệu suất như CPU Pinning, cấu trúc liên kết

NUMA và SR-IOV; chuỗi chức năng dich vụ (SFC), phân chia mạng, khả năng

mở rộng, tính sẵn sàng cao và khả năng phục hồi.

30

Nhiều doanh nghiệp và nhà cung cấp dịch vụ viễn thông khác nhau đãtriển khai môi trường NFV của họ với OpenStack: AT&T, China Mobile, SK

Telecom, Ericsson, Deutsche Telekom, Comcast, Bloomberg, v.v.

Loi ich khi su dung OpenStack

Openstack không đơn thuan là một phân mém mã nguồn mở mà nó còn là

một hệ thông mã nguôn mở bao gôm nhiêu tính năng:

e Compute: quản lý và cung cấp máy ảo cho phép người điều khiển

bằng lệnh

e Glance: quan lý các image ảo

e Object Storage: quản lý các kho lưu trữ ảo chứa các thông tin, dữ

liệu.

e Identity Server: quản lý chương trình xác thực dành cho user và

projects.

e Open Network: quan ly network cho các máy ảo.

e Open dashboard: cung cấp giao diện đồ hoa cho người dùng

“Microstack 1s OpenStack for the edge, micro clouds and developers”

MicroStack đáp ứng nhu cầu của điện toán biên (edge computing), cung cấp

nền tảng đám mây an toàn, đáng tin cậy và có thể mở rộng và khả năng quản lý

vòng đời được đơn giản hóa.

Tất cả để đáp ứng yêu cầu khắt khe nhất trong viễn thông, công nghiệp, ô tô,

y tế và các lĩnh vực thị trường khác cần cơ sở hạ tang mạng cạnh tranh

2.2.2 Software Defined Networking (SDN) và SD WAN

2.2.2.1 Tổng quan

Hiện nay nhu câu về ứng dụng của các end-user đang ngày càng gia tăng,

kéo theo đó là nhu câu khác nhau của người dùng vê mạng kêt nôi Mạng cân

31

phải đáp ứng việc thay đôi nhanh chóng các thông số về độ trễ, băng thông, định

tuyên, bảo mật, theo các yêu câu của các ứng dụng.

Một mạng có thể lập trình sẽ đáp ứng được yêu cầu trên, mở ra nhiều

cánh cửa mới tới các ứng dụng Tổ chức phi lợi nhuận ONF (Open Networking

Foundation), được thành lập bởi các công ty Deutsche Telekom, Facebook,

Google, Microsoft, Verizon, và Yahoo!, đã định nghĩa công nghệ SDN như là

giải pháp để cung cấp một mạng như vậy SDN là một kiến trúc linh hoạt, dễ

quản lý, hiệu suất cao và thích nghi tốt, khiến công nghệ này lý tưởng cho cácứng dụng đòi hỏi băng thông cao và cần sự linh hoạt hiện nay Trong SDN, phần

điều khiến mạng được tách ra khỏi phần chuyền tiếp và có thé cho phép lập trìnhtrực tiếp được

e Campus network: SDN controller giúp cung cấp khả năng quan lý tập

trung và tự động quá cho mạng campus vốn yêu cầu nhiều sự quan tâm

trong việc thống nhất mạng Wifi và Ethernet, từ đó giúp cải thiện bảo mật

và chất lượng dịch vụ ở cấp độ ứng dụng trên toàn mạng

e Dịch vụ của ISP: SDN giúp các nhà cung cấp dịch vụ đơn giản hoá và tự

động hoá việc cung cấp mạng đề quản lý và kiểm soát dịch vụ end-to-end

e Bảo mật data center: SDN hỗ trợ bảo vệ tập trung va đơn giản hoá việc

quản trị firewall, tạo hệ thông firewall phân tấn với việc cài đặt các

firewall ảo, ngăn chặn xâm nhập giữa các máy ảo Bên cạnh đó cho phép

kiểm soát tập trung và tự động hoá SDN giúp admin có thể tập trung kiểm

soát hoạt động mạng.

32

2.2.2.3 Quá trình phát triển

ONF formed

Nicira Acquired

For 1.2 Billion Microsoft’s

OpenFlow OpenFlow SWAN

inception Campus Deployments

HP switches Facebookmakes

Google’s B4 :

Use OpenFlow 8 SDN switches

ONUG formed

Hình 2.9 Lịch sử phát triển của SDN-SDWAN

Ý tưởng ban đầu của SDN bắt nguồn với việc tách control plane và dataplane, lần đầu tiên được sử dụng trong mạng điện thoại chuyền mạch (switchedtelephone network) như cách dé đơn giản hoá việc cung cấp và quan lý

Những thử nghiệm ban đầu không thu được nhiều sự thu hút với nhiều

nguyên do như rủi ro trong việc tách control plane và data plane, nhất là khả

năng xảy ra lỗi trong control plane, hoặc lo ngại về việc tạo ra các API sẽ dẫn

đến gia tăng sự cạnh tranh giữa nhiều nhà phát triển

Việc sử dụng phần mềm mã nguồn mở trong kiến trúc phân tách control

plane/data plane đã tạo ra OpenFlow vào 2008, cùng năm đó hệ điều hành NOX

cũng được ra đời.

Niricia đã triển khai Onix controller cho OpenFlow vào năm 2010 Open

Networking Foundation được thành lập vào 2011 để thích day SDN và

OpenFlow.

33

2.2.2.4 Kiến trúc / Cách hoạt động

Software Defined Network (SDN) là một cấu trúc mới, được thiết kế chophép hệ thống mạng trở nên linh động và có hiệu quả chi phí hơn

SDN là một khái niệm mang tính lý thuyết, về mặt bản chất, SDN tách

riêng các control plane phân tán (distributed) từ các forwarding plane và đưa

(offload) các chức năng cua control plane vào trong control plane tập trung

(centralized) Control plane va forwarding plane là 2 dang tiến trình mà các thiết

bi mạng đều thực hiện Vi dụ, tại cấu trúc mang truyền thống, nếu ta truy cập

vào router, thực hiện các tác vụ như cấu hình các giao thức gateway, etc thì cáchoạt động này đều được thực hiện trên cùng một thiết bị (trên control plane và

forwarding plane của router), do đó các nút (node) trong network hoạt động một

cách độc lập dựa trên các cấu hình nội bộ tại chính các nút đó Điều đó có nghĩa,cho dù cấu trúc mạng có linh động, hiệu quả như thế nào thì kết quả của các tác

vụ hoạt động trong mạng phải phụ thuộc vào cấu hình của từng nút Nếu như sốlượng nút nhiều (1000, 10000 nodes) thì đồng nghĩa các nhà vận hành mạng phảiquản lý toàn bộ (1000, 10000) control plane ( process quản lý hầu như toàn bộhoạt động của thiết bị mạng)

Chính vì những khó khăn trên, SDN ra đời nhằm mục đích “chuyển” cấu

trúc control plane từ phân tán sang tập trung Control plane tập trung (SDN

controller) cho phép chuyên tiếp các quyết định về flow thông qua DNS domain

thay vì phải qua từng hop.

Kiến trúc của SDN gồm 3 lớp riêng biệt: Lớp ứng dụng, Lớp điều khién,

và Lớp cơ sở hạ tầng (Lớp chuyên tiếp)

Data Plane:

e_ Cung cấp SDN gateway với thiết bị IoT

e Chuyến sang các domain ứng dung dựa trên mạng chịu trách

nhiệm chuyên tiếp, sử dụng và trao đối các gói mạng

e Giao tiếp với SDN controller thông qua OpenFlow

34

e Tổng hợp các gói truyền dan data từ lớp cơ sở hạ tầng IoT dé tối

ưu, đưa vào môi trường công nghiệp.

Control Plane:

e_ Controller logic cung cấp dịch vụ kết nối mạng mở rộng

e Có thé ánh xạ giữa các lớp ứng dụng và forwarding

e Cung cấp protocol OpenFlow, ONOS, OpenDaylight

e Cung cấp độ ôn định, tin cậy, load balancing,

e Tăng cường bảo mật dữ liệu và cơ sở hạ tang

Application Plane:

e Chứa yếu tố va dịch vu của nền tảng công nghiệp

e© Lược đồ dựa trên SDN cam kết động một số lượng lớn các tùy

chọn đề cập nhật forwarding flow rule hiệu quả

e Tăng cường dịch vụ mạng qua các đối tượng chuyền tiếp vật lý

hoặc các đối tượng ảo giữa nền tảng điều khién và ứng dụng

e Tiết kiệm năng lượng, tự động hoá, load balancing, control unit

Switch kem nhiệm

vu forwarding Switch Controller cô nhiệm vu

\ dummy điều khiến forwarding

Liớp điệu khiến HN

ot fect fas

€CISCO.

#4 viptela

Software Defined WAN

Giải pháp mạng Cisco SD-WAN Viptela là giải pháp mạng SDWAN cấpdoanh nghiệp giúp thuận tiện trong việc chuyền đôi số, sử dung đám mây

Mạng triển khai linh hoạt; tính tự động hóa cao; triển khai nhanh vàkhông phụ thuộc mạng truyền dẫn

Mạng tích hợp đầy đủ việc định tuyến; xác thực thành phần tham gia

mạng: bảo mật đường truyền; chọn đường linh hoạt theo: ứng dụng, chất lượng

đường truyền hoặc tình trạng mạng.

Kiến trúc mạng Cisco SDWAN Viptela ngoài 2 phần chính là Control và

Data plane còn thêm phần Management plane (vManage) và Orchestration

(vBond)

e vManage: thực hiện chức năng quan lý thiết bị, quan lý cau hình và

giám sát tập trung bằng giao diện đồ họa trực quan

e vBond: thực hiện chức năng sắp xếp, làm trung tâm kết nối ban đầu dé

các thành phần gia nhập mạng sd-wan

e vSmart: đầu não của mạng sd-wan thực hiện chức năng điều khiến:

chọn đường, thực thi chính sách tập trung

e vEdge: là các router sd-wan, thực hiện chức năng truyền tai đữ liệu

giữa các router trên kênh truyén được mã hóa.

36

@ @ ®6®›

vSmart vEdge vBond vManage

Đây được xem là giải pháp thương mại lớn nhất và tiêu biểu nhất củacông nghệ mạng SDN, được rất nhiều ông lớn sử dụng như KDDI - Toyota,

Yamaha, Nissan, Thậm chí chính phủ các nước như Nhật Bản, Trung Quốc

Nó có sẵn dưới dạng sản phẩm on-prem và dịch vụ được quản lý trên đám mây.

Contrail Service Orchestration tương phản thiết kế, bảo mật, tự động hóa

và chạy toàn bộ vòng đời dịch vụ SD-WAN trên nền bảo vệ của NGFW SRX và

Nền tảng dịch vụ mạng NFX

Nó tích hợp và liên kết Cloud-Cloud để quản lý một cách liền mạch Nó

cũng là bộ điều phối dịch vụ cho vEirewall vSRX, có sẵn trên các nền tảng như

Amazon Web Services (AWS) và Microsoft Azure.

Contrail Networking cung cap chính sách và kiểm soát mang end-to-end

linh động cho bất ky đám mây nao, bat kỳ khối lượng công việc nào và bat kỳ

mô hình triên khai nào, từ một giao diện người dùng duy nhât Nó chuyên các

37

quy trình công việc trừu tượng thành các chính sách cụ thể, đơn giản hóa việcđiều phối hoạt động trên tất cả môi trường.

Khả năng kết nối mang SDN của Contrail Networking, dựa trên dự án ảohóa mạng nguồn mở Tungsten Fabric, cho phép triển khai khối lượng công việccủa mình một cách an toàn trong mọi môi trường Nó cung cấp trên bất kỳ côngnghệ máy tính nào từ máy chủ bare-metal truyền thống, máy ảo, đến cloud

service.

c VMware NSX:

Với sự phát triển, công nghệ ảo hóa ra đời đặc biệt là ảo hóa máy chủ đãđem tới những siêu lợi ích về đơn giản hóa cơ sở hạ tầng, tăng cao khả năng hoạtđộng cũng như tận dụng triệt dé nguồn tài nguyên và nhiều lợi ích khác Khôngđừng ở đó, VMware vừa cho ra đời sản phim VMware NSX giúp ảo hóa cả hạtầng network.Nếu đối với bộ sản phâm vSphere giúp thu gom các tài nguyên vật

lý máy chủ (Server Hypervisor) như CPU, RAM, NIC để cung cấp cho các

máy ảo (VM) thì nay với NSX với Network Hypervisor/Network Virtualization

Platform là 1 bộ chi tiết các thiết bị ảo như Switch, Router, Firewall,Balancer v v cung cấp dịch vụ mạng (thiết bị mạng) từ lớp 2 tới lớp 7

Với hơn 2.400 khách hàng, VMware NSX cung cấp mạng và bảo mật tậptrung vào ứng dụng độc lập với cơ sở hạ tầng cơ bản VMware NSX chovSphere là nền tảng ảo hóa mang cho các triển khai dựa trên vSphere

VMware NSX-T là một nền tảng ảo hóa mạng cho các khuôn khổ ứng

dụng và kiến trúc mới có các điểm kết thúc không đồng nhất VMware NSX là

38

nền tảng cho chiến lược của VMware dé thúc day quá trình chuyển đổi mạng

trong ngành.

Nền tảng ảo hóa mạng NSX là nền tảng của Kiến trúc Cross-Cloud của

VMware, và một thành phần quan trọng của VMware Cloud Foundation, Dịch

vụ Cross-Cloud và VMware Cloud trên AWS Hơn 11.000 chuyên gia đã tham

gia đào tạo VMware NSX và hơn 7.000 chuyên gia đã đạt chứng chỉ NSX cho đên nay.

2.2.2.6 Du án lựa chọn sử dung

a Mininet

MININET

Công nghệ SDN hứa hẹn mở ra một tương lai tươi sáng mới cho mạng IP.

Hiện nay, có rất nhiều nghiên cứu đang được tiễn hành Tuy nhiên, chỉ có một số

ít framework hỗ trợ sự giả lập và thực hiện dé đánh giá kết quả nghiên cứu.Trong số đó, Mininet là một trong những công cụ phố biến nhất bởi tính mở,

miễn phí và hỗ trợ đầy đủ giao thức Openflow phiên bản mới nhất Mặc định,

Mininet giúp tạo một mạng SDN điên hình chạy độc lập cùng với các máy tram

yếu chỉ có các chức năng cơ bản Trong bài báo này, chúng tôi đóng góp những

chức năng mở rộng của chức năng gia lập hình trạng mạng trong Mininet dựa

trên Virtualbox Những chức năng được mở rộng bao gồm: hỗ trợ kết nốiInternet, các máy trạm cài hệ điều hành độc lập với Mininet, bộ điều khiển địnhtuyến chuẩn và log quá trình xử lý luồng dữ liệu tự động Các chức năng bé sung

này sẽ mang đến sự đơn giản và thuận tiện cho các hoạt động nghiên cứu và đảotạo về công nghệ mạng SDN

39

Mininet là một công cụ giả lập mạng, bao gôm tập hợp các hosts đâu Cuôi, các switches, routers và các network link trên một Linux kernel Mininet sử

dụng công nghệ ảo hóa (ở mức đơn giản) đê tạo nên hệ thông mạng hoàn chỉnh,

chạy chung trên cùng một kernel, hệ thống và user code

Các host ảo, switch, liên kết và các controller trên mininet là các thực thể

thực sự, được giả lập dưới dang phần mềm thay vì phần cứng Một host mininet

có thé thực hiện ssh vào đó, chạy bất kỳ phần mềm nao đã cài trên hệ thống

linux (môi trường mà mininet đang chạy) Các phần mềm này có thể gửi gói tin

thông các ethernet interface của mininet với toc độ liên kết và độ trễ đặt trước.

Mininet cho phép tạo mô hình mạng nhanh chóng, tùy chỉnh được topo

mạng, chạy được các phần mềm thực sự như web servers, TCP monitoring,Wireshark; tùy chỉnh được việc chuyền tiếp gói tin Mininet cũng dé dang sửdụng và không yêu cau cau hình đặc biệt gì về phần cứng dé chạy: mininet có

thể cài trên laptop, server, VM, cloud (linux)

Mininet hỗ trợ tất cả các tác vụ thực tế cần cho hoạt động nghiên cứu,phát triển và học tập, nó sử dụng sự ảo hóa theo tiễn trình để cung cấp các tiễntrình độc lập cho các server, switch, bộ điều khién controller và các tạo liên kết

ảo Mininet hỗ trợ cài đặt dễ dàng toàn bộ thử nghiệm mạng trong môi trường ảo

hóa của các công cụ như VMWare hay Virtualbox cho hệ điều hành

Mac/Windows/Linux Tuy nhiên theo mặc định, bộ thư viện minh họa của

Mininet chỉ có các tệp tính năng riêng rẽ Vì vậy, rất khó cho người không

chuyên hiểu được và tùy chỉnh theo yêu cầu Mặt khác, các node yếu có thé

không đủ đáp ứng trong các trường hợp đòi hỏi nhiều tính năng

Ngoài ra, có hai công cụ đáng ké khác là EstiNet và ns - 3 Estinet là mộtphần mềm chuyên dụng giả lập và mô phỏng mạng SDN Nó cho phép người sửdụng không chi tạo các hình trạng mang bang tính năng kéo thả dé dang mà cònđánh giá hiệu năng mạng một cách có hệ thống thông qua giao diện đồ họa Tuynhiên, EstiNet là một sản phâm thương mại và hơn nữa là một ứng dụng không

hoàn toàn cung câp mã nguôn mở, nên khó khăn trong mở rộng các chức năng

40