Khóa luận tốt nghiệp An toàn thông tin: Nghiên cứu triển khai chức năng và chuỗi chức năng mạng ảo dựa trên NFV

Trong để tài này nhóm sẽ nghiên cứu sử dụng NEV và SFC kết hợp với mạng khả lập trình SDN đề thử nghiệm triển khai các chức năng và chuỗi địch vụ chức năng mạng ảo cho mạng doanh nghiệp

ĐẠI HỌC QUOC GIA TP HO CHÍ MINH

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA MẠNG MAY TÍNH & TRUYEN THONG

HUYNH DUC DUY NGUYEN THANH HUNG

KHOA LUAN TOT NGHIEP

NGHIEN CUU TRIEN KHAI CHUC NANG VA CHUOI

CHUC NANG MANG AO DUA TREN NFV

Research on NFV-based Virtual Network Function and Service

Function Chain

KY SU NGANH AN TOAN THONG TIN

TP HO CHi MINH, 2021

ĐẠI HỌC QUÓC GIA TP HÒ CHÍ MINH

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN

KHOA MẠNG MAY TÍNH & TRUYEN THONG

HUYNH ĐỨC DUY - 17520393 NGUYEN THANH HUNG - 17520546

KHOA LUAN TOT NGHIEP NGHIEN CUU TRIEN KHAI CHUC NANG VA CHUOI

CHỨC NANG MẠNG AO DỰA TREN NFV

Research on NFV-based Virtual Network Function and Service

Function Chain

KY SU NGANH AN TOAN THONG TIN

GIANG VIEN HUONG DAN

ThS TRAN THỊ DUNG

ThS DO HOANG HIEN

TP HO CHi MINH, 2021

THONG TIN HỘI DONG CHAM KHÓA LUẬN TOT NGHIỆP

Hội đồng chấm khóa luận tốt nghiệp, thành lập theo Quyết định sé 463/QD-DHCNTT

ngày 23 tháng 7 năm 2021 của Hiệu trưởng Trường Đại học Công nghệ Thông tin.

1 TS Phạm Văn Hậu Chủ tịch

2 ThS Lê Đức Thịnh Uỷ viên

3 ThS Phan Thế Duy Thư ký

LỜI CÁM ƠN

Lời đầu tiên nhóm xin cảm ơn Khoa Mạng Máy Tính & Truyền Thông

-Trường Đại học Công Nghệ Thông Tin đã tạo điều kiện dé nhóm có thể được thực hiện đề tài khoá luận này.

Tiếp đến nhóm xin cảm ơn Phòng thí nghiệm An Toàn Thông Tin (InSec Lab) thuộc Trường Đại học Công nghệ Thông tin - ĐHQG TP.HCM đã hỗ trợ về

về tài nguyên, máy ao để nhóm có thể thuận lợi thực hiện dé tài khoá luận cũng như các thầy cô trong Phòng thí nghiệm An Toàn Thông Tin đã góp một phần sức

giúp nhóm có thé thực hiện tốt hơn.

Sau cùng là nhóm xin cảm ơn ThS Trần Thị Dung và ThS Đỗ Hoàng Hiển

đã tận tâm hướng dẫn, chỉ bảo cho nhóm trong hơn bốn tháng thực hiện khoá luận.

Để có kết quả như hôm nay không chi là công sức và thành quả của nhóm, mà còn có công sức và tâm huyết của các thầy cô hướng dẫn Một lần nữa nhóm xin gửi lời cảm ơn đến ThS Trần Thị Dung và ThS Đỗ Hoàng Hiền.

Trong quá trình thực hiện đề tài không khó tránh khỏi những sai sót, mong thầy cô có thể thông cảm và đồng thời tiếp tục nhắc nhở, góp ý để nhóm hoàn

thiện dé tài hơn trong tương lai cũng như nâng cao kiến cho bản thân tốt hơn,

không chỉ ở phạm vi trường học mà còn trong việc làm và cuộc sống.

Xin chân thành cảm ơn!

MỤC LỤC

LOI CAM ON ¬aaỤỪŨ ” - 4

CHƯƠNG 1 MỞ ĐẦU 22222222222ESE2E22EE2223E22231E22211 221 crrrkrrrrrk 13 L.A Gidi thidu an 13

I0: 14 1.3 DGi tong nghién COU 8N" 14

1.4 Phạm vi nghiÊn CỨU ceceeeeescseseeeeececscseseeecscsesesesesesseseeseeeeaeee 15

1.5 Cầu trúc của khoá luận „l5 CHƯƠNG 2 TONG QUAN

2.1 Tinh hình nghiên cứu

2.2 Cơ sở lý thuyết và kiến thức nền tảng

2.2.1 Network Functions Virtualization (NFY) 18 2.3.2 Software Defined Networking (SDN) -.-cĂ cài 21

2.3.3 Mối liên hệ giữa NFV và SDN -22-©222zcc2cvrrrerrxrrerrrrrerrrree 23

2.3.4 Service Function Chain (SIEC) - c5: + * S2 + +eEeeeeeeesersezexee 23

CHƯƠNG 3 PHAN TÍCH VÀ THIET KE HE THÓNG - -:- + 25 3.1 Phương pháp thực hiện đề tài -2 22225++22+2£S+v2zxrvrrxrersrrsrsree 26 3.2 MO hinh tong NA " 27 CHUONG 4 HIEN THUC, TRIEN KHAI HE 'THÓNG 2¿©csz+ccs2 31

4.1 Mô hình triển khai - ccccc: chi 34

4.2 Triển khai OSM -.c+cEt HH 35

4.2.1 Cài đặt OSÌM ng ri 35

4.2.2 Tạo các template ảo hoá các chức năng mạng - «+ 36

4.3 Triển khai Openstack cccsscsssssssssecsssecsssesssecsssecsssecssscsssecsssccsseesssecsssecsseees 39

4.3.1 Cài đặt Openstack thông qua Devstack ¿5s cc+c+xscccrecsx 39

4.3.2 Tạo các image trên Opens(aCK -¿- «+ 11k ngư 40

4.4 Triển khai mang khả lập trình SDN 22-©25¿222E22EEcSvxerrrxesrrrcrrk 42

4.4.1 Cài đặt ONOS ControlÏer- -.- ¿5c + 32+ E32 ESE+vEersereeeeeerrrresre 42

4.4.2 Cài đặt Contain€rTet - - c1 c3 23112112111 1111111 11.11 xre 42

4.5 Liên kết mang khả lập trình SDN và Openstack - 2-52 4 4.5.1 Cầu hình Open vSwitch tại máy Openstack -sc©cccccs2 4

4.5.2 Cấu hình Open vSwitch tại máy SDN

CHƯƠNG 5 KÉT QUẢ THỬ NGHIỆM VÀ ĐÁNH GIÁ

5.1 Thực nghiệm triển khai mô hình 2 22sz++£EE#EESExeEEEerkesrxerrkrrke 45 5.2 Thực nghiệm tan công mô hình +-+z2++++2+z++tzv+zr+rzvrrez 59

5.3 Thực nghiệm kiểm tra chức năng cân bằng tải của Reverse Proxy 66

CHƯƠNG 6 TONG KET VÀ HƯỚNG PHAT TRIÊN :-::++2 69 6.1 Kết quả dat ƯỢC 122222 1212121 9 917121111 1017121111 110111 69

6.2 Thuận lợi và khó khăn khi thực hiện đề tài - 2¿222222ccc+rrrrx 69

TÀI LIEU THAM KHẢO - -22222222223222232222E223E22EEE2EEEEEEcErrrrrrrrrrree 71

DANH MỤC HÌNH ANH

Hình 2.1 Kiến trúc tham chiếu của NFV ¿-222+++22cvtt2EEEvrtrrrrrrrrrrrrrrer 21

Hình 2.2 Kiến trúc tổng quát của SDN .2 2+©22+zv2cvxrrecrvrrrrrrrrrrrrk 23

Hình 2.3 Service Function Chaining Requesi( - 5+ + +5+5sssc+c+s+>s+ 24

Hình 3.1 Mô hình tông quát các thành phần của hệ thống - - 27

Hình 3.2 Liên kết các máy mạng SDN và nền tảng điện toán đám mây 30

Hình 4.1 Mô hình triển khai chỉ tiết của hệ thống -c5zcz+ 33 Hình 4.2 Mô hình vật lý 34 Hình 4.3 Mô hình logic

Hình 4.4 OSM được cài đặt hoàn tat

Hình 4.5 Một VNF Package mẫu trong kho lưu trữ của OSM 35 36

37

Hình 4.6 Một NS Package mẫu trong kho lưu trữ của OSM 37

Hình 4.7 Openstack được cai đặt hoàn MAb ese VN Nẽ" 40

Hình 4.8 Các image với các phần mềm đã được tạo trên Openstack 41

Hình 4.9 ONOS Controller sau khi cài đặt - ¿+ 2+ +5+*+£++x+eseeseeeeeesss 42 Hình 4.10 Containernet khi chạy mô hình thử nghiệm - 4

Hình 4.11 Cau hình Open vSwitch tại Openstack .-: :s+52sz+cssz+rx 4 Hình 4.12 Cau hình Open vSwitch tại máy SDN -¿:©2++cssz++x 4 Hình 4.13 Ping từ host hl đến lớp mang Public trong OpenStack - 44

Hình 5.1 Mô hình triển khai 1 - Mô hình cơ bản - 2¿-©222c5c2sccsc+x 46 Hình 5.2 Các máy ảo đã được triển khai trên Openstack theo mô hình I 47

Hình 5.3 Thời gian bắt đầu triển khai firewall mô hình I - 47

Hình 5.4 Thời gian kết thúc triển khai firewall mô hình I . - 47

Hình 5.5 Thời gian bắt đầu triển khai reverse proxy mô hình l - 4

Hình 5.6 Thời gian kết thúc triển khai reverse proxy mô hình I - 48

Hình 5.7 Thời gian bắt đầu triển khai server 1 mô hình I . + 48

Hình 5.8 Thời gian kết thúc triển khai server 1 mô hình 1 - - 48

Hình 5.9 Thời gian bắt đầu triển khai server 2 mô hình I -.: - 48

Hình 5.10 Thời gian kết thúc triển khai server 2 mô hình I -. 48

Hình 5.11 CPU tổng trong khoảng thời gian triển khai mô hình I 49

Hình 5.12 Mô hình triển khai 2 - Mô hình cơ bản -:::-555cccccz+ccxes 49 Hình 5.13 Các máy ảo đã được triển khai trên Openstack theo mô hình 2 50

Hình 5.14 Thời gian bắt đầu triển khai firewall mô hình 2 - -+ 51

Hình 5.15 Thời gian kết thúc triển khai firewall mô hình 2 -: 51

Hình 5.16 Thời gian bắt đầu triển khai reverse proxy mô hình 2 - 51

Hình 5.17 Thời gian kết thúc triển khai reverse proxy mô hình 2 - 51

Hình 5.18 Thời gian bắt đầu triển khai server 1 mô hình 2 - 51

Hình 5.19 Thời gian kết thúc triển khai server 1 mô hình 2 - -: 51

Hình 5.20 Thời gian bat dau triển khai server 2 mô hình 2 - 52

Hình 5.21 Thời gian kết thúc trién khai server 2 mô hình 2 - 52

Hình 5.22 CPU tổng trong khoảng thời gian triển khai mô hình 2 52

Hình 5.23 Mô hình triển khai 3 - Mô hình nâng cao bảo mật Hình 5.24 Các máy ảo đã được triển khai trên Openstack theo mô hình 3

Hình 5.25 Thời gian bắt đầu triển khai firewall mô hình 3 55

Hình 5.26 Thời gian kết thúc triển khai firewall mô hình 3 55 Hình 5.27 Thời gian bat đầu triển khai IPS mô hình 3 „55

Hình 5.28 Thời gian kết thúc triển khai IPS mô hình 3 -¿ 55

Hình 5.29 Thời gian bắt đầu triển khai reverse proxy mô hình 3 - 55

Hình 5.30 Thời gian kết thúc triển khai reverse proxy mô hình 3 55

Hình 5.31 Thời gian bắt đầu triển khai server 1 mô hình 3 . - 55

Hình 5.32 Thời gian kết thúc triển khai server 1 mô hình 3 : - 56

Hình 5.33 Thời gian bắt đầu triển khai server 2 mô hình 3 - 56

Hình 5.34 Thời gian kết thúc triển khai server 2 mô hình 3 - 56

Hình 5 35 CPU tổng trong khoảng thời gian triển khai mô hình 3 56

Hình 5.36 Mô hình triển khai 4 - Mô hình kết hợp với mạng SDN 57 Hình 5.37 Triển khai hai server tại mang SDN ¿+ c«ccstssteekrrkey 58

Hình 5.38 Hai server đã ping tới được Reverse PrOX - «5c sec 58 Hình 5.39 Hai webserver đã hoạt đông - - ¿+ + ty 59

Hình 5.40.

Hình 5.41.

Hình 5.42.

Hình 5.43.

Hình 5.44.

Hình 5.45.

Hình 5.46.

Hình 5.47.

Hình 5.48.

Hình 5.49.

Hình 5.50.

Hình 5.51

Hình 5.52.

Hình 5.53.

Hình 5.54.

Hình 5.55.

Hình 5.56.

Hình 5.57.

Hình 5.58.

Hình 5.59.

Hình 5.60.

Hình 5.61.

Hình 5.62.

Hình 5.63.

Hình 5.64.

Hình 5.65.

Reverse Proxy đã nhận hai web server - 6c St sseeesrree 59

Mô hình mô tả host trong SDN tắn công 2-2¿©2zz+c5c+2 60

CPU reverse proxy trước khi bị tn công -¿22ccc+cvxee 61

Firewall chưa được thiết lập rule chống tan công DOS - 61

Các rule cảnh báo tấn công được thiết lập trên IPS - 61

Host đang tân công ICMP flood vào reverse proxy - 61

CPU của reverse proxy tăng cao khi bị tan công ICMP flood 62

IPS ghi log cảnh báo tắn công ICMP flood -: -c-c55s+ 62 Host tấn công ICMP flood thành công ¿-©2zc5ss+ 62 Host đang tan công SYN flood vào reverse proxy . - 62

CPU của reverse proxy tăng cao khi bị tan công SYN flood 63

.IPS ghi lại rất nhiều log khi bị tắn công SYN flood 63

Host tấn công SYN flood thành công 63

Các rule được thiết lập dé chống tan công DOS 64

Host đang tan công ICMP flood vào reverse proxy

CPU của reverse proxy vẫn ồn định

IPS không ghi nhận thêm log cảnh báo của IP tan công -.64

Host thực hiện tan công ICMP flood thất bại -. 5:- 55+: 65 Host dang tan công SYN flood vào reverse prOXY : : 65

CPU của reverse proxy vẫn ôn định .-¿-+©cs++22+z+cvzcsrscez 65 IPS không ghi nhận thêm log cảnh báo của IP tấn công 65

Host thực hiện tấn công SYN flood thất bại

Mô hình mô tả host trong SDN kiểm tra kết nói đến các server

Nội dung trang web của server Ì - 6 «chiến 67

Nội dung trang web của server 2 c1 ngư 67 Host thực hiện lệnh curl đến Reverse PTOXY choi 68

DANH MỤC TU VIET TAT

API Application Programming Interface

DPI Deep Packet Inspection

SFC Service Function Chain

SDN Software Defined Networking

NF Network Function

NFV Network Function Virtualization

NFV-VITAL Virtualization Impact on Throughput and Load

NFVI Network Functions Virtualization Infrastructure NFVO NFV Orchestrator

NFV M&O NFV Manage and Orchestrate

VNF Virtual Network Function

VNFD Virtualized Network Function Descriptor

VIM Virtualized Infrastructure Manager

IOT Internet Of Things

IDS Intrusion Detection System

IPS Intrusion Prevention System

LB Load Balancer

OSM Open-Source Management and Orchesstration

TOM TAT KHÓA LUẬN

Ao hoá chức năng mang (Network Functions Virtualization - NFV) là việc tách

các chức năng khỏi các phần cứng chuyên dung và chạy chúng trên môi trường áo hoá Nghiên cứu ứng dụng công nghệ ảo hóa vào hạ tầng mạng tại các trung tâm dữ

liệu, các điểm chuyền mạch lớn trên đường truyền hoặc tại các doanh nghiệp bằng công nghệ Ảo hóa Chức năng Mạng (Network Function Virtualization - NFV) là giải

pháp dé khắc phục những hạn chế của mạng truyền thống.

Công nghệ NFV mang lại lợi ích về giảm vốn đầu tư thiết bị và chi phí cho việc

vận hành Hơn nữa, các chức năng mạng có thể được đặt ở bất cứ đâu theo nhu cầu,

thay vì đặt ở những nơi cố định và sử dụng phần cứng chuyên dụng để triển khai như trường hợp của mạng truyền thống Sử dụng kết hợp với mạng khả lập trình Software

Defined Networking (SDN) và NFV cho phép cung cấp chức năng dich vụ tự động cho người quản trị, người vận hành, người dùng cuối một cách dễ dàng hơn Các chức

năng mạng ảo kết hợp với nhau tạo thành một mô hình dịch vụ gọi là Service Function

Chain (SFC) dé tối ưu hoá cho việc sử dụng NFV giúp cho người dùng có thé nhanh

chóng đưa vào sử dụng.

Trong để tài này nhóm sẽ nghiên cứu sử dụng NEV và SFC kết hợp với mạng khả

lập trình SDN đề thử nghiệm triển khai các chức năng và chuỗi địch vụ chức năng mạng ảo

cho mạng doanh nghiệp vừa và nhỏ.

12

CHƯƠNG 1 MỞ ĐẦU

1.1 Giới thiệu về đề tài

Trong thời đại hiện nay, hàng loạt các công nghệ mới đang lần lượt ra đời và

phát triển như mạng di động 5G, Internet của vạn vật (Internet of Things), điện toán đám mây (Cloud Computing), thực tế ảo (Virtual Reality) Sự phát triển vượt bậc của Internet khiến cho các nhà cung cấp dịch vụ mạng phải luôn không ngừng mở

rộng qui mô cũng như nâng cao chất lượng dịch vụ truyền dẫn Đa phần những hệ thống mạng hiện tại đều sử dụng thiết bị chuyên dụng của các hãng như Cisco,

Juniper, Sophos Tuy nhiên, những hệ thống này lại có các khuyết điểm như: giá

thành thiết bị dat đỏ, thiết bị của những hãng khác nhau sẽ khó tương thích dé hoạt động chung và khó quản lý tập, tốc độ cập nhật phần mềm chậm, giấy phép sử dụng

phần mềm thường ngắn và có chỉ phí cao.

Thông thường, quy trình khởi tạo một dich vụ mạng hiện nay gồm những bước

sau: xác định nhu cầu, thiết kế, lắp đặt thiết bị mạng, đấu nối dây, cấu hình dịch vụ,

kiểm thử và cuối cùng mới là đưa vào vận hành Với mỗi một quy trình như vậy có thé cần tới vài ngày, vài tuần hoặc lâu hơn dé đưa hệ thống mới vào hoạt động Trong

khi đó, mỗi một dự án lại có các yêu cầu riêng, đòi hỏi những loại thiết bị chuyên

dụng khác nhau Đặc biệt, có những dự án có thời gian sử dụng ngắn trong khoảng vài tháng hoặc chỉ trong vài ngày thì việc triển khai dịch vụ theo mô hình truyền

thống là vô cùng lãng phí thời gian và không phù hợp.

Những van đề trên là những khuyết điểm cần được khắc phục trong môi trường công nghệ thông tin hiện nay bởi nhu cầu của từng khách hàng hiện tại là rất đa dạng

và đặc thù Với những van dé tồn đọng đã nêu ra ở trên, hạ tang mạng và cách thực

hiện triển khai truyền thống được dự báo sẽ không thé đáp ứng kịp nhu cầu của thị trường cũng như đảm bảo lợi ích của các chủ thể bao gồm doanh nghiệp, nhà cung

cấp dịch vụ và người dùng cuối.

Giải pháp ở đây chính là ứng dụng công nghệ ảo hóa vào hạ tầng mạng tại các trung tâm dữ liệu, các điểm chuyền mạch lớn trên đường truyền hoặc tại các doanh nghiệp bằng công nghệ Ảo hóa Chức năng Mang (Network Function Virtualization -

13

NFV) Ảo hoá chức năng mang (Network Functions Virtualization - NFV) là việc tách các chức năng khỏi các phần cứng chuyên dụng và chạy chúng trên môi trường

ảo hoá Sử dung công nghệ NFV sẽ giúp giải quyết các van đề tồn đọng của mô hình

mạng truyền thống về phần cứng, chi phi, nơi triển khai và thời gian hoàn thành hệ thống Bên cạnh đó, các chức năng mạng ảo hoá có thé kết nối thành một chuỗi dịch

vụ mạng, giúp người dùng đưa vào sử dụng một cách nhanh chóng hơn so với khi sử

Reverse Proxy, IDS sau đó kết nối các chức năng này thành các chuỗi dịch vụ mạng

ảo có thể mang vào sử dụng trong thực tiễn, thực hiện tính thời gian triển khai của

các chức năng, thử nghiệm dùng các host trong mạng SDN kết nối và tắn công DOS

vào các chuỗi dịch vụ đã tạo dé kiểm tra các chức năng đã được ảo hoá.

1.2 Mục tiêu

- Để xuất giải pháp triển khai SFC gồm nhiều VNFs cho phép ta tách biệt các chức

năng mạng (Network Function - NF) như: Router, Firewall, Intrusion Detection

khỏi các thiết bị vat lý chuyên dụng bằng hình thức phan mém chạy trong môi trường

ảo hóa trên các thiết bị phần cứng phổ thông, tạo thành một chuỗi được sắp xếp có

thứ tự các VNFs kết nối với nhau cho phép các nhà cung cấp dịch vụ sử dung cơ sở

hạ tầng ảo hóa.

- Cho phép dùng mạng khả lập trình SDN quản lí và điều phối hệ thống.

- Linh hoạt hơn trong việc mở rộng hệ thống.

- Nghiên cứu và triển khai các giải pháp bảo mật dựa trên VNFs và SFC trong mang

khả lập trình SDN.

- Cho phép xây dựng mô hình ảo hoá có khả năng ứng dụng vào thực tiễn.

1.3 Đối tượng nghiên cứu

- Công nghệ Ảo hóa Chức năng Mạng (Network Function Virtualization - NFV).

14

- Virtual Network Function (VNE).

- Service Function Chaining (SFC).

- Mang kha lap trinh SDN.

- Nền tang phan mềm tự do nguồn mở điện toán dam mây Openstack.

- Open-Source Management and Orchesstration (MANO) - OSM.

1.4 Pham vi nghiên cứu

Nghiên cứu này hướng tới đề xuất giải pháp cho phép triển khai và quản lý chức

năng mạng ảo trong môi trường mạng doanh nghiệp vừa và nhỏ (dưới 10 thiết bị), có thể hỗ trợ thay thế các thiết bị mạng sử dụng phần cứng bằng các chức năng mạng ảo

trong môi trường giả lập mạng SDN bằng Mininet và ảo hóa các chức năng mạng

bằng nền tảng phần mềm tự do nguồn mở điện toán đám mây Openstack và

Open-Source Management and Orchesstration (MANO) - OSM.

1.5 Cấu trúc của khoá luận

Khóa luận được bồ cục thành 6 chương như sau:

Chương 1 - Mở đầu

Giới thiệu đề tài, trình bày sơ lược về mục tiêu, đối tượng nghiên cứu, phạm vi

nghiên cứu.

Chương 2 - Tình hình nghiên cứu và kiến thức nền tảng

Trinh bày và giải thích các cơ sở lý thuyết, kiến thức liên quan đến đề tài NFV Bên cạnh đó, trình bày về tình hình nghiên cứu của NFV trong và ngoài nước.

Chương 3 - Phân tích và thiết kế hệ thống

Trình bày phương pháp thực hiện, cách tiếp cận của đề tài Tiến hành phân tích

và thiết kế sơ đồ hệ thống.

Chương 4 - Hiện thực, triển khai hệ thống

Trình bày các công nghệ triển khai dựa trên sơ đồ hệ thống đã thiết kế ở chương

3 Trình bày các thông tin phần cứng của hệ thống Thực hiện cài đặt, cấu hình, kết nối các thành phan của hệ thống Tiến hành ảo hoá các chức năng mạng dựa trên các

mô hình đã được đề ra.

Chương 5 - Kết quả thứ nghiệm và đánh giá

15

Xây dựng các mô hình chuỗi dich vụ dé tiến hành triển khai và thử nghiệm Thử nghiệm các tấn công DOS vào mô hình đã tạo bằng cách sử dụng hping3 theo dạng ICMP flood, SYN flood.

Tién hành đo thời gian tạo các chức năng ảo hoá, xem xét nguồn tài nguyên khi

thực hiện triển khai chuỗi dịch vụ và tài nguyên khi thử nghiệm kịch bản tan công Kết hợp với kết quả thử nghiệm đề đánh giá mô hình đã triển khai.

Chương 6 - Tổng kết và hướng phát triển

Tổng kết các nội dung đã nghiên cứu trong đề tài, các thuận lợi và khó khăn trong quá trình thực hiện Từ đó đề xuất các hướng phát triển của đề tài có thể tiếp

tục thực hiện trong tương lai.

16

* Cao và cộng sự [1] đã đề xuất một framework, NFV-VITAL (Virtualization

Impact on Throughput and Load), để mô tả đặc tính của hiệu suất VNF dựa trên sở thích của người dùng và các tài nguyên có sẵn Khả năng mở rộng cao của các cá thé

bảo mật ảo cho phép giảm xác suất rơi các gói tin trong quá trình phân tích mạng Do

đó, đảm bảo tỉ lệ phát hiện mối đe doa cao, độc lập với các biến thể lưu lượng Tính linh hoạt này cũng có thể được tăng cường nhờ sự điều phối tiên tiến của nền tang IoT dựa trên MANO, và có thé cân bằng tải các VNF bảo mật qua các nút biên phân

tán.

» Để giải quyết những thách thức về bảo mật IoT, Choi và cộng sự [2] đã đề

xuất the SDIoT security framework cho cấu hình của môi trường IoT được xác định bang phần mềm (software-defined IoT environments) Phương pháp tiếp cận kết hợp

các tính năng SDN với phân tích bảo mật Big Data đề cung cấp một loạt các cơ chế

bảo vệ cho các thiết bị IoT Bên cạnh đó, một Reactive security framework dựa trên

SDN và Chuỗi chức năng dich vụ (SFC) đã được thiết kế đặc biệt cho các khu công

nghiệp điện gió Sau khi phát hiện các mối đe dọa bảo mật tiềm ẩn, giải pháp được

đề xuất có thể thực hiện cấu hình lại lưu lượng mạng tự động, điều khiển lưu lượng độc hại hướng tới các cơ chế bảo mật cụ thể, chẳng hạn như các honeypots SCADA,

và được điều chỉnh cho phù hợp với hoạt động của khu công nghiệp điện gió.

+ Một kiến trúc dé điều phối SDN, NFV và các cơ chế bảo mật IoT thông dụng

đã được đề xuất trong dự án EU H2020 ANASTACIA [3] [4] Đặc biệt, mặt phẳng Điều phối Bảo mật nhằm mục đích thực thi việc triển khai và câu hình các trình kích

hoạt bảo mật vật lý / ảo theo cách tự động Bằng cách tận dụng các kết quả đầu ra của

các thành phần Giám sát (Monitoring) và Phản ứng (Reaction), mặt phẳng Điều phối

17

Bao mật (Security Orchestation plane) có thé xác định các sai lệch tiềm 4n so với cácchính sách bảo mật được yêu cầu và thực thi động các biện pháp đối phó thích hợp.

2.2 Cơ sở lý thuyết và kiến thức nền tảng

2.2.1 Network Functions Virtualization (NFV)

Ao hóa Chức năng mang (Network Function Virtualization — NFV) [14] ápdụng công nghệ ao hóa (Virtualization) [14] vào các máy chu, thiết bị chuyên mạch

và thiết bị lưu trữ pho thông nhằm tạo ra một môi trường dé triển khai các hàm chức

năng mạng ảo hóa (Virtualized Network Function — VNE) [14] có chức năng tương

tự như trên các thiết bị mạng chuyên dụng

Công nghệ NFV cho phép ta tách biệt các hàm chức năng mang (Network Function - NF) như: Load Balancer (LB), Firewall, Intrusion Detection System(IDS) khỏi các thiết bị vật lý chuyên biệt và triển khai các NF này dưới hình thứcphần mềm có thê chạy trong môi trường ảo hóa trên các thiết bị phần cứng phổ thông.Các thiết bị vật lý lúc này không còn là các phần cứng độc quyên của các hãng nữa,

mà có thé là các máy chủ, thiết bị chuyên mạch và thiết bị lưu trữ dữ liệu phô thông

2.2.1.1 Lợi ích

Sử dụng hạ tầng ảo hóa trên các thiết bị phần cứng phô thông sẽ tiết kiệm rấtnhiều chi phí đầu tư ban đầu Đồng thời, việc bảo dưỡng, mở rộng, thu hồi hay kếtthúc dịch vụ cũng dễ dàng và kinh tế hơn Bên cạnh đó, nhà cung cấp dịch vụ hoàntoàn có thê chủ động được mã nguồn các phần mềm chức năng mạng của mình, giảmbớt sự phụ thuộc vào chỉ phí bản quyền trên các thiết bị phần cứng mạng chuyên dụngtrước kia Thêm vào đó triển khai các dịch vụ mạng một cách nhanh chóng là một

trong những ưu điểm quan trọng nhất của NFV Nhờ tận dụng công nghệ ảo hóa và

điện toán đám mây, các kỹ sư có thể cài đặt, thử nghiệm và triển khai các dịch vụ

mạng với thời gian được rút ngắn đi rất nhiều so với trước

Ngoài ra thông qua các ham API, các tập tin cau hình mẫu được dựng sẵn, các

đoạn script tự động dé quan tri vién hé thống có thê triển khai dịch vụ, kiểm soátluồng dữ liệu, tài nguyên hệ thống một cách dé dàng, linh động, tập trung và tránh

được nhiều sai sót từ con người Cuối cùng là có thể linh hoạt trong việc đáp ứng nhu

18

cầu khách hàng Hệ thống có thể nhanh chóng khởi tạo thêm, thu hẹp lại hay thay đổicác dịch vụ dé đáp ứng nhu cầu đột biến từ khách hàng như khi đột ngột ứng phó với

luồng dữ liệu lớn hoặc có sự cô Xảy Ta.

2.2.1.2 Quá trình phát triển

Định nghĩa về NFV bắt nguồn từ các nhà cung cấp dịch vụ mạng Họ là nhữngngười luôn tìm kiếm giải pháp dé thúc day việc triển khai các dịch vụ mang mới được

nhanh hơn, tốt hơn từ đó thu về lợi nhuận cao hơn Những hạn chế của các thiết bị

phần cứng đòi hỏi họ phải áp dụng công nghệ ảo hóa vào hệ thống mạng của họ Vì

chung mục đích như vậy, nhiều nhà cung cấp dịch vụ đã hợp tác với nhau và thànhlập nên nhóm ETSI ISG NFV (ETSI Industry Specification Group for Network

Functions Virtualization) [12] thuộc ETSI vào tháng 11 năm 2012 Day là nhóm có

nhiệm vụ phát triển các yêu cầu và kiến trúc dé áp dụng ảo hóa cho các chức năngtrong hệ thống mạng viễn thông ETSI ISG NEV gồm có sự tham gia của bảy nhàmạng viễn thông hang đầu là: AT&T, BT, Deutsche Telekom, Orange, Telecom

Italia, Telefonica va Verizon.

2.2.1.3 Kién tricETSI đã dé ra một mô hình kiến trúc tông quan cho một hệ thống NFV Hình 2.1[13]

Mô hình này được số đông cộng đồng phát trién chấp nhận và tuân thủ Theo ETSI,một nền tảng NEV sẽ gồm có ba khối chính như hình là:

* Các hàm chức năng mang đã được ảo hóa (Virtualized Network Function —VNEF): VNF là các phần mềm đảm nhiệm các chức năng mang (Network Function)

đã được ao hóa, chạy trên ha tầng mạng được ảo hóa (Network FunctionsVirtualisation Infrastructure - NFVI), được quan lý bởi khối điều phối va quản lý(MANO) Nói một cach đơn giản thì VNF là một máy ảo được cai đặt các chức năngmạng ảo Điều này giúp việc triển khai, quản lý và điều phối các VNE trở nên linhhoạt và dé dàng hơn Mỗi một VNF sẽ có những thông tin cấu hình cũng như cáchthức hoạt động, chức năng cụ thể Các thông tin này của từng VNF sé được mô tatrong các tập tin gọi là Virtualized Network Function Descriptor (VNFD) VNEFD bao

19

gồm các mô tả về cau hình của một VNF như: số vCPU, memory, image, thông tin

về các kết nối va các interfaces

* Khối hạ tang ảo hóa chức năng mạng (Network Functions Virtualisation

Infrastructure — NFVI): là tập hợp các phần cứng và phần mềm dùng dé khởi tạo môitrường cho các VNE hoạt động bên trên Về phần cứng, NFVI bao gồm các tài nguyêntính toán, lưu trữ, các thiết bị định tuyến, chuyên mạch mạng Về phần mềm bao gồm

lớp ảo hóa hypervisor, các trình điều khiển driver tương tác với các thiết bị vật lý, các

trình điều khiến thiết bị mạng (OpenFlow, firmware) Do là một kiến trúc mở đã đượcđịnh nghĩa và tiêu chuẩn hóa bởi ETSI nên ta có thé lựa chọn nhiều công nghệ khácnhau dé đảm trách vai trò NFVI mà không phụ thuộc vào bất kỳ một hãng nào cả.Một mô hình triển khai NFV có thể gồm nhiều công nghệ NFVI nhưng vẫn tương tácđược với nhau Một số giải pháp NFVI phô biến là OpenStack, CloudStack, VMwarevSphere

* Khối điều phối và quan lý (NFV Manage and Orchestrate - NFV M&O) haythường gọi tắt là MANO: đảm nhiệm việc điều phối và quản lý vòng đời của các tàinguyên vật lý, quản lý các phần mềm hỗ trợ ảo hóa, quản lý vòng đời của các VNE.NFV MANO có thê tương tác với nhiều hệ thống NFVI khác nhau do các interfacegiao tiếp đã được ETSI thống nhất Điều này giúp tăng tính linh hoạt cho giải phápNFV Các nhà phát triển hệ thống NFV giờ đây không cần phải tập trung xây dựngmột giải pháp NFV đầy đủ bao gồm cả khối NEVI, MANO và các VNF mà chỉ cầntập trung vào một thành phan MANO Trong khối MANO, ta có các khối con: NFVOrchestrator đảm nhiệm quản lý dịch vụ mạng (Network Services) hay có thé hiểu là

quản lý chức năng của VNF và các gói VNF, quản lý vòng đời của dich vụ mạng, tài

nguyên toàn hệ thống, chứng thực, cấp quyền sử dụng tài nguyên cho NFVI (Network

Functions Virtualization Infrastructure) VNF Manager đảm nhiệm quản lý vòng đờicủa các thực thé VNE (VNF Instances) hay có thé hiểu là quản lý cho từng VNF.Virtualized Infrastructure Manager (VIM) đảm nhiệm quản lý và điều phối các tài

nguyên về compute, storage và network của NFVI hay có thể hiểu là quản lý NFVI

Hiện tại OpenStack là VIM lý tưởng nhất, do đã có quá trình phát triển lâu dài

20

Ngoài ra còn có các thành phần khác:

* OSS/BSS: Operation/Bussiness Support System là hệ thống quản lý việc vậnhành hệ thống, tương tác với người vận hành, khách hàng

» Service, VNF & Infrastructure Description: chính là các tập tin đặc ta, template

để khởi tạo các dịch vụ mạng, các VNF hay kết nối với các hạ tầng ảo hóa một cáchnhanh chóng Tuy có thé tách biệt nhưng thành phan này thường được các nhà pháttriển khối MANO bao gồm cả vào trong sản phẩm của mình Khi được lưu trữ trong

hệ thống, các tập tin này thường được lưu lại dưới dang catalog bao gồm nhiều cácđối tượng cùng loại

Operations/business support

systems: an operator's back-end systems that together manage networks, services, customers,

NFV orchestrator: manages the lifecycle of network services built

up of multiple VNFs (by talking to

products and orders In NFV both the VNFM and VIM)

world, will talk to the NFV

MANO.

OSS/BSS NFV MANO

Data-set providing

information regarding Service, infrastructure & NFVP

the VNF deployment VNF description

template, VNF

forwarding graph, Ae VNF manager:

service-related manages the

information, and NFVI | lifecycle of VNF information models :

VNEM instances

VNE (instantiate,

Element scale,

management system: | update/upgrade,

manages the NFVI terminate)

functions of VNF

instances (faults, Virtual Virtual Virtual

configuration, compute memory network Virtualised

be 1:1 VNF:EMS EMS Physical Physical _ Physical and collects

could even be a VNF compute memory _ network performance

itself measurements

Hình 2.1 Kiến trúc tham chiếu của NFV

2.3.2 Software Defined Networking (SDN)

Theo Open Networking Foundation (ONF): SDN là một mô hình kiến trúcmạng mới với những đặc tính như: linh động, dé dàng quan lý, tiết kiệm chi phí, khả

năng tương thích cao Đây chính là những đặc tính khiến cho SDN trở thành một mô

21

hình lý tưởng cho các ứng dụng tiêu tốn nhiều băng thông và thay đổi liên tục trong

thời đại hiện nay”.

Kiến trúc SDN phân tách rõ rệt giữa hai chức năng: điều khiển mạng (controlplane) và chuyên mạch (data plane) Từ đó mở ra khả năng phân tách giữa hạ tầngmạng bên dưới và các dịch vụ, ứng dụng mạng chạy bên trên Đồng thời, cho phépngười quản trị có thé trực tiếp lập trình, điều khiển đường di trong mạng

Một kiến trúc SDN gồm có những thành phần như Hình 2.2 [8]:

* Controller: bộ não của hệ thống, Controller cung cấp một cái nhìn toàn cảnh

về hệ thống mạng cho người quản trị Toàn bộ việc điều chỉnh các luồng traffic đềuđược thực hiện tại đây Trong Hình 2.2, chính là lớp điều khiển (Control Layer)

* Northbound API: là các API dùng để tương tác với các ứng dung của ngườidùng ở trên Các API này hỗ trợ người quản trị lập trình và điều khiển các dịch vụ

mạng Trong Hình 2.2, chính là các API ở giữa lớp điều khiển (Control Layer) và lớpứng dụng (Application Layer).

* Southbound API: đây là những API dùng dé truyền tải lệnh điều khiến từController xuống cho các switch và router vật lý ở dưới Trong Hình 2.2, chính là cácAPI ở giữa lớp điều khiển (Control Layer) va lớp hạ tang (Infrastructure Layer) Daidiện cho các API này là OpenFlow Day cũng chính là thuật toán phổ biến nhất hiệnnay dùng dé tương tác với các thiết bị mạng Giao thức OpenFlow chính là nền tảngcho các giải pháp SDN.

22

Hình 2.2 Kiến trúc tổng quát của SDN

2.3.3 Mối liên hệ giữa NFV va SDN

Mục tiêu chung của cả SDN và NFV là điều khiển ha tang mạng dễ dàng hon,tiết kiệm chi phí đầu tư va hạn chế việc tương tác trực tiếp với các thiết bi phần cứng

Như vậy, ta có thé thay rang hai công nghệ này không hé đối nhau mà còn lại bố sung,

hoàn thiện lẫn nhau, tạo nên một giải pháp hoàn chỉnh hơn.

Việc quản lý tập trung của SDN kết hợp với khả năng ảo hóa các thiết bị mạngcủa NFV sẽ đem lại những lợi ích vô cùng lớn với hạ tầng mạng Điền hình về sự kết

hợp NFV/SDN đang được quan tâm đến hiện nay chính là nghiên cứu về mạng 5G

[11].

2.3.4 Service Function Chain (SEC)

SFC được định nghĩa là một chuỗi có thứ tự của các VNEs và điều khiển các

luồng tiếp theo qua chúng để cung cấp các dịch vụ đầu cuối Chuỗi chức năng dịch

vụ (SFC) cho phép kết nối thích hợp giữa các chức năng ảo (hoặc các chức năng dịch

vụ) trải rộng trên nhiêu nên tảng điện toán đám mây khác nhau.

23

Ưu điểm dễ nhận thấy nhất của cách làm này là do các hàm chức năng nàychạy trên môi trường ảo hóa nên tính sẵn sàng và độ linh hoạt rất cao Người quản trị

có thê triển khai, mở rộng, thu hồi hay phục hồi khi có sự cố các VNE một cách nhanh

chóng Bên cạnh đó, người quản trị cũng có thé dé dàng thay đổi đường đi của luồng

dữ liệu qua các hàm chức năng này một cách tự động, linh hoạt và tập trung Hình2.3 [8] dưới đây mô tả một chuỗi dich vụ gồm ba VNFs có các chức năng là Firewall,Deep Packet Inspection (DPD, Proxy.

inspection

ẽ VNFs © end nodes ——»communication links

Hinh 2.3 Service Function Chaining Request

24

CHUONG 3 PHAN TÍCH VÀ THIẾT KE HE THONG

Sự phát triển vượt bậc của Internet ngày càng khiến cho các nhà cung cấp dịch

vụ mạng phải luôn không ngừng mở rộng qui mô cũng như nâng cao chất lượng dịch

vụ truyền dan Da phần những hệ thống mạng hiện tại đều sử dụng thiết bị chuyên

dụng của các hãng như Cisco, Juniper, Sophos Tuy nhiên, những hệ thống này lại

có các khuyết điểm như: giá thành thiết bị dat đỏ, thiết bi của những hãng khác nhau

sẽ khó tương thích dé hoạt động chung và khó quan lý tập, tốc độ cập nhật phan mềmchậm, giấy phép sử dụng phần mềm thường ngắn và có chỉ phí cao

Bên cạnh đó đó, mỗi một dự án lại có các yêu cầu riêng, đòi hỏi những loại thiết

bị chuyên dụng khác nhau Đặc biệt, có những dự án có thời gian sử dụng ngắn trongkhoảng vài tháng hoặc chỉ trong vài ngày thì việc triển khai dịch vụ theo mô hìnhtruyền thống là vô cùng lãng phí thời gian, chi phi đầu tư và không phù hợp với mục

đích, nhu cầu sử dụng trong thời gian ngắn

Các van đề trên là những khuyết điểm cần được khắc phục trong môi trườngcông nghệ thông tin hiện nay bởi vì nhu cầu của các khách hàng hiện tại là rất đa dạng

và đặc thù Với những vấn đề tồn đọng đã nêu ra ở trên, hạ tầng mạng và cách thựchiện triển khai truyền thống được dự báo sẽ không thể đáp ứng kịp nhu cầu của thịtrường cũng như đảm bảo lợi ích của các chủ thể bao gồm doanh nghiệp, nhà cungcấp dịch vụ và người dùng cuối

Giải pháp ở đây chính là ứng dụng công nghệ ảo hóa vào hạ tầng mạng tại các

trung tâm dữ liệu, các điểm chuyển mạch lớn trên đường truyền hoặc tại các doanh

nghiệp bằng công nghệ Ảo hóa Chức năng Mạng (Network Function Virtualization NEV) Ảo hoá chức năng mang (Network Functions Virtualization - NFV) là việctách các chức năng khỏi các phần cứng chuyên dụng va chạy chúng trên môi trường

-ảo hoá Các chức năng mạng -ảo kết hợp với nhau tạo thành một mô hình dịch vụ gọi

là Service Function Chain (SFC) dé tối ưu hoá cho việc sử dụng NFV giúp cho ngườidùng có thé nhanh chóng đưa vào sử dụng

Sử dụng công nghệ NFV sẽ giúp giải quyết các vấn đề tồn đọng của mô hìnhmạng truyền thống về phần cứng, chỉ phí, nơi triển khai và thời gian hoàn thành hệ

25

thống Bên cạnh đó, các chức năng mạng ảo hoá có thé kết nối thành một chuỗi dịch

vụ mạng, giúp người dùng đưa vao sử dụng một cách nhanh chong hơn so với khi sử

dụng mạng truyền thống.

Nhận thay các khuyết điểm của hạ tang mạng truyền thống và các ưu điểm củaviệc ứng dụng của NFV và SFC vào hệ thống mạng, trong đề tài này, nhóm sẽ tậptrung nghiên cứu về cách ảo hoá các chức năng mạng như Firewall, Reverse Proxy,IDS sau đó kết néi các chức năng này thành các chuỗi dich vụ mạng ảo có thé mang

vào sử dụng trong thực tiễn, thực hiện tính thời gian triển khai của các chức năng, thử

nghiệm dùng các hosts trong mang SDN kết nối và tan công DOS vào các chuỗi dịch

vụ đã tạo dé kiểm tra các chức năng đã được ảo hoá Đề thực hiện đề tài này, nhómnghiên cứu đề ra phương pháp thực hiện như bên dưới

3.1 Phương pháp thực hiện đề tài

Dé có thé sử dụng công nghệ NFV ảo hoá các chức năng mạng và tạo thànhcác chuỗi dịch vụ mạng trong đề tài này, nhóm sẽ thực hiện thiết hệ thống tổng quátdựa trên kiến trúc NFV Kiến trúc NEV gồm ba khối chính là VNF, NFVI, NEV

MANO, trong đó MANO chịu trách nhiệm điều phối và quản lý toàn bộ vòng đời của

tài nguyên phan cứng và các chức năng mạng ảo (VNF) Do đó thành phan đầu tiêncủa hệ thống là khối MANO Trong khối MANO gồm có NEV Orchestrator, VNFManager, Virtualized Infrastructure Manager (VIM) Thành phần thứ hai là CloudComputing, cung cấp nền tảng ảo hoá thực hiện ảo hoá các chức năng mang và kếtdịch vụ, với mục tiêu giả lập các host, các server và mục tiêu quan trọng nhất là dễdàng triển khai mở rộng hệ thống Mạng khả lập trình SDN là lựa chọn hoàn hảo cho

mục đích trên Dùng mạng khả lập trình SDN kết nối vào các chuỗi dịch thử nghiệm

nối chuỗi dịch vụ Sau khi ảo hoá và kết nối chuỗi Thành phần cuối cùng của hệ

thong là khối SDN Khối SDN cung cấp các OpenFlow Switch và các host thông quaOpenFlow switch cầu mạng khả lập trình SDN và OpenFlow switch của nền tảng

điện toán đám mây giúp các host tại mạng kha lập trình SDN và các máy ao nền tangđiện toán đám mây có thê giao tiếp được với nhau tạo nên một hệ thống có khả linh

hoạt hơn dé mở rộng hơn Tổng quát hệ thống sẽ gồm 3 thành phan là nền tảng ảo

26

hoá chức năng mạng NFV cụ thé là khối MANO trong kiến trúc của NFV Nền tảngđiện toán đám mây dùng dé cung cấp môi trường ảo hoá Cuối cùng là mạng khả lập

trình SDN dùng dé kết nối mở rộng, kiểm nghiệm chuỗi dịch vụ.

HA TANG AO HOA

NEN TANG ĐIỆN TOÁN BAM MAY

Hình 3.1 Mô hình tổng quát các thành phan của hệ thống

Các thành phần trong hệ thống được thiết kế như Hình 3.1:

+ Nền tảng ảo hoá chức năng mạng (NFV): là công cụ dùng để triển khai chácchức năng mạng được ảo và kết nối chuỗi dịch vụ Kiến trúc NFV gồm ba khối chính

là VNE, NFVI, NFV MANO Trong đó khối MANO chịu trách nhiệm điều phối vaquản lý toàn bộ vòng đời của tài nguyên phần cứng và các chức năng mang ảo (VNF)

Khối MANO bao gồm các thành phần: NFV Orchestrator (NFVO) đảm nhiệm quản

lý dịch vụ mạng (Network Services) hay có thể hiểu là quản lý chức năng của VNF

27

và các gói VNE, quản lý vòng đời của dịch vụ mạng, tài nguyên toàn hệ thống, chứngthực, cấp quyền sử dụng tài nguyên cho NFVI (Network Functions Virtualization

Infrastructure) VNE Manager (VNFM) đảm nhiệm quản lý vòng đời của các thực

thể VNF (VNE Instances) hay có thể hiểu là quản lý cho từng VNE VirtualizedInfrastructure Manager (VIM) đảm nhiệm quản lý và điều phối các tài nguyên vềcompute, storage va network của NFVI hay có thé hiéu là quản lý NFVI Do đó không

cần thiết phải triển khai toàn bộ kiến trac NFV mà thay vào đó chỉ cần tập trung vào

khối MANO Khối MANO là công cụ triển khai các chức năng mạng ảo nhưng khôngphải là nền tảng dùng đề ảo hoá chúng Nền tảng điện toán đám mây (Cloud) đáp ứngđược yêu cầu làm nền tảng triển khai các chức năng mạng và liên kết chúng thành

các chuỗi chức năng Kết hợp khối MANO và nền tảng điện toán dam mây giúp cóthể ảo hoá và tạo nên chuỗi các chức năng mạng hoàn chỉnh

+ Nền tảng điện toán đám mây (Cloud): Nền tảng điện toán đám mây cung cấp

hạ tầng dé trién khai các chức năng mạng Hai thành phan chính trong nên tảng điệntoán đám mây là hạ tầng quản lý mạng và hạ tầng ảo hoá Hạ tầng ảo hoá có chứcnăng cung tính toán quản lý và cung cấp tài nguyên cho các máy ảo, bao gồmCompute quản lý, cung cấp máy ảo, tài nguyên cho máy ảo (CPU, Memory, disk ),tài nguyên cho Compute có thê truy cập thông qua API cho các nhà phát triển xây

dựng các ứng dụng dam mây và thông qua giao diện web dành cho các quản tri viên

và người dùng Storage lưu trữ các image (virtual machine images), lưu trữ ảnh vacác snapshots của virtual machine Đối với các image, các nền tảng điện toán đámmây cho phép người dùng có thé tạo thêm, xoá, hay chỉnh sửa các image như Debian,

Ubuntu, Centos Cac image nay khi được tao ra là các bản image hoàn toàn mới,

chưa được update hay cài đặt các phần mềm, công cụ cần thiết Vì thế, dé tạo thuận

tiện trong việc triển khai các chức năng mạng ảo và giảm thiểu thời gian triển khai

khai, các bản image này sẽ được cài đặt các phần mềm, công cụ cần thiết Sau đó

snapshot các máy ảo và tạo thành một image mới từ các bản snapshot với các phần

mềm, công cụ cần thiết đã được cài đặt sẵn Nếu như hạ tầng ảo hoá có chức năng

tính toán và cung cấp tài nguyên phần cứng cho các máy ảo thì hạ tầng quản lý mạng

28

có chức đăng điều phối cung cấp và quản lý mạng cho các máy ảo gồm OpenFlowSwitch và Controller Controller giúp điều phối và quản lý mạng cho toàn bộ hệthống, cho phép mô phỏng các lớp mạng ảo, cung cấp các giao thức mạng hỗ trợ địnhtuyến Kết hợp Controller với OpenFlow Switch là một thành phần không thé thiếutrong nên tảng điện toán đám mây OpenFlow Switch cung cấp các tính năng giúpliên kết các host bên ngoài của mạng khả lập trình và nền tảng điện toán đám mây cóchức năng ảo hoá và triển khai chu SDN Kết hợp OpenFlow Switch và Controller

tạo nên một hạ tầng quản lý mạng hoàn chỉnh cho nền tảng điện toán đám mây Trong

khối MANO gồm có NFV Orchestrator, VNF Manager, Virtualized InfrastructureManager (VIM) Trong đó Virtualized Infrastructure Manager (VIM) đảm nhiệm

quản ly và điều phối các tài nguyên về compute, storage va network, cung cấp môi

trường cho MANO ảo hoá Do đó nén tảng điện toán đám mây dùng dé tương tác vớiVIM cung cấp các tài nguyên về Compute, Storage và Network cho MANO thực hiện

ảo hoá Khối MANO và nền tảng điện toán đám mây có chức năng ảo hoá và triển

khai các chức năng mạng nhưng không linh hoạt trong việc mở rộng hệ thống Nhiệm

vụ mở rộng hệ thông sẽ do mạng khả lập trình SDN đảm nhiệm Mạng SDN có khảnăng ảo hoá mô hình mạng và quản lý tập trung một cách nhanh chóng và tiết kiệm

* Mạng khả lập trình SDN: mạng khả lập trình SDN tách biệt phần điều khiển

và phần xử lý dữ liệu Phần điều khiển gọi là SDN controller cho phép lập trình điềuphối và quản lý các thiết bị mạng thông qua phần mén từ đó biến phần điều khiển trởnên mén dẻo linh hoạt và đơn giản hoá việc quản trị Nền tang ảo hoá trong giúpchúng ta xây dựng mô hình mạng ảo, một vNetwork (overlay) trên hạ tầng physicalnetwork, nhưng không còn thụ thuộc vào physical network, từ đó giúp chúng ta có

thể mở rộng hệ thống một cách dễ dàng linh hoạt hơn Mạng khả lập trình SDN là

một bước tiến, một cách mạng về công nghệ mạng trong tương lai Từ những lợi íchcủa mạng khả lập trình SDN việc kết hợp SDN và NFV không những không đối choi

nhau mà còn bé xung tích cực cho nhau giúp điều khiển hạ tang mạng một cách dễ

dàng tiết kiệm chi phí và hạn chế tương tác với các thiết bị phần cứng Việc quan lýtập trung của mạng khả lập trình SDN và ảo hoá các thiết bi mang của NFV mang lại

29

những lợi ích to lớn cho các hạ tầng mạng viễn thông Mạng khả lập trình SDN baogồm 2 thành phan chính SDN Controller và khối OpenFlow Switch liên kết các host

và các server SDN Controller có nhiệm vụ điều phố va quản lý tập trung cách host

và các OpenFlow Switch trong toàn bộ mạng khả lập trình SDN Ngoài SDNController cung các chức năng quản lý mạng quản lý luồn dữ liệu, định tuyến gói tin

OpenFlow Switch và các host tạo nên một mô hình mạng ảo có khả năng mở rộng dễ

dàng Mục tiêu sử dụng mạng khả lập trình SDN để mở rộng mô hình mạng tạo liên

kết giữ các host trong mạng khả lập trình SDN và các máy ảo trong nền tản điện toán

đám mây OpenFlow Switch cung cấp day đủ tính năng dé làm điều này OpenFlowSwitch hỗ trợ giao thức OpenFlow làm cho việc liên kết hai OpenFlow Switch được

sử dụng trên mạng khả lập trình SDN và nền tảng điện toán mây một cách dễ dàng

Các host bên trong bên trong mạng khả lập trình SDN giao tiếp với các máy ảo trong

nền tảng điện toán đám mây bang cách tạo card bridge dùng dé liên kết OpenFlowSwitch chạy trên mạng khả lập trình SDN và OpenFlow Switch chạy trên nền tảngđiện toán đám mây Các host trong mạng khả lập trình SDN và nền tảng điện toánđám mây được liên kết như Hình 3.2

OPENFLOW

SWITCH OPENFLOW SWITCH

điện toán đám mây

Hình 3.2 Liên kết các máy mạng SDN và nền tảng điện toán đám mây

30

CHUONG 4 HIỆN THUC, TRIEN KHAI HỆ THONG

Sau khi thiết kế mô hình tông quát gồm 3 thành phan nêu trên, hiện thực hoácác thành phần trong sơ đồ tổng quát đã đề ra Lựa chọn các công nghệ phù hợp với

các chức năng, mục tiêu của các thành phần Sau khi đã có một hệ thống hoàn chỉnh,

tiền hành ảo hoá các chức năng mạng theo các mô hình chuỗi dich vụ đã đề ra Khi

các chuỗi dịch vụ đã được triển khai hoàn tắt, tiến hành kiểm tra, thử nghiệm với cáctiêu chí: mô hình có thể kết nối mạng Internet, chống được tan công DOS theo dang

ICMP flood và SYN flood từ các host trong mạng SDN truyền đến Cuối cùng đánh

giá bằng cách tính thời gian triển khai của các chức năng, xem xét tài nguyên củaMANO khi triển khai các mô hình chuỗi dịch vụ và tài nguyên của các chức năng khithực hiện thử nghiệm.

Về nền tang ảo hoá, các nhà phát triển hệ thống NEV đã thống nhất không cầnphải tập trung xây dựng một giải pháp NFV day đủ bao gồm cả khối NFVI, MANO

và các VNF mà chỉ can tập trung vào một thành phan MANO Vì thế nền tang ảo hoáphải là một công cụ triển khai bao hàm toàn bộ khối MANO trong kiến trúc NFV.Open Source MANO (OSM) của ETSI có thé dam nhận được việc đó Open Source

MANO (OSM) của ETSI là một dự án mã nguồn mở được chính tổ chức ETSI hỗ trợ

nhằm thúc day tạo ra các sản pham MANO chat lượng cao dành cho công nghệ NFV,tương thích với nhiều loại sản phẩm khác nhau, dễ dàng tiếp cận và phù hợp với mọiloại VNF OSM bao hàm toàn bộ khối MANO gồm NEV Orchestrator đảm nhiệm

quản lý dịch vụ mạng (Network Services) hay có thể hiểu là quản lý chức năng của

VNE và các gói VNF, quản lý vòng đời của dịch vụ mạng, tài nguyên toàn hệ thống,chứng thực, cấp quyền sử dụng tài nguyên cho NFVI (Network FunctionsVirtualization Infrastructure) VNF Manager đảm nhiệm quản lý vòng đời của các

thực thể VNF (VNE Instances) hay có thê hiểu là quản lý cho từng VNE Virtualized

Infrastructure Manager (VIM) đảm nhiệm quản lý và điều phối các tài nguyên vềcompute, storage và network của NEVI hay có thể hiểu là quản lý NEVI Ngoài ra,OSM còn cung cấp những công cụ để người dùng tự phát triển các tính năng của riêngmình cũng như một giao diện GUI để người điều khiển giám sát hoạt động của hệ

31

thống Với kiến trúc mở hướng tới việc hỗ trợ nhiều loại hình VIM và SDN Controller

khác nhau, OSM sẽ dé dàng phù hợp với nhiều mô hình Vì thé Open Source MANO(OSM) của ETSI là lựa chọn phù hợp dùng làm công cụ để triển khai ảo hoá

Về nền tảng điện toán đám mây dùng dé tương tác với thành phan VIM trongMANO, cần dùng nén tang phát triển lâu năm, đã được các nhà cung cấp dịch vụ sửdụng triển khai với kiến trúc NFV và cuối cùng phải được hỗ trợ có thé tương tác vớithành phần VIM của OSM Xét về OSM thì OSM hỗ trợ nhiều loại hình VIM trong

đó có Openstack Openstack hiện đang được nhiều doanh nghiệp và nhà cung cấp

dịch vụ viễn thông khác nhau đã triển khai môi trường NEV của: AT&T, ChinaMobile, SK Telecom, Ericsson, Deutsche Telekom, Comcast, Bloomberg Neutron

là thành phan quản lý các networks cho các máy ảo, quan lý các địa chi IP tĩnh va

DHCP Nova là module quản lý và cung cấp máy ảo, cung cấp các chức năng nhưtạo, điều khiển, xóa các máy ảo, quản lý các tài nguyên máy ảo (CPU, storage,memory, ) Swift dùng đề lưu trữ các virtual machine images Cinder lưu trữ cácsnapshot của các máy ảo và kết nối với Nova đề cho phép tính toán, lưu trữ mở rộng

Do đó Openstack là một lựa chọn tốt nhất dé kết hợp cùng với OSM triển khai NFV

Về mạng khả lập trình SDN, ONOS (Open Network Operating System) là mộtSDN controller mã nguồn mở hàng đầu được sử dụng để xây dựng các giải phápNFV/SDN trong tương lai ONOS được thiết kế để xây dựng các dich vụ mạng đông(Dynamic network service) một cách linh hoạt với giao diện được đơn giản hoá.ONOS cung cấp một nền tang và các ứng dụng hoạt động như các mô đun có thé mởrộng như một SDN controller phân tán, đơn giản hoá việc cấu hình triển khai phầnmén, phần cứng và các dịch vụ mới Ngoài ra ONOS còn có khả năng phục hồi va

mở rộng quy mô mạng dé đáp ứng được sư phát triển của các công nghệ mạng tương

lai Với nền tảng áo hoá trong mạng khả lập trình SDN Containernet là một nhánhnhỏ của trình giả lap mạng nỗi tiếng Mininet sử dụng các vùng chứa Docker (Docker

container) như các hosts trong kiến trúc mạng giả lập Điều này cho phép xây dựng

hệ thống mạng và hệ thống cloud thử nghiệm một cách dễ dàng và tiết kiệm.Containernet được các cộng đông nghiên cứu sử dụng đê thử nghiêm các lĩnh vực

32

điện toán đám mây (cloud computing) và điện toán sương mù (fog computing) Điểnhình là dự án SONATA-NFV là một phần của Open Source MANO (OSM) sử dụngContainernet làm nền tang ảo hoá trong kiến trúc NFV multi-PoP.

Về Open vSwitch là một giao thức mã nguồn mở hỗ trợ giao thức Openflow.Open vSwitch hỗ trợ các tính năng như VLAN tagging và chuan 802.1q trunking hỗtrợ các giao thức đường ham (GRE, VXLAN, IPSEC tunnelling) ngoài những tínhnăng trên Open vSwitch được sử dụng với các hypervisors dùng dé liên kết máy ảo ở

host vật lý này với máy ảo trên host vật lý khác Open vSwitch cũng là thành phan

không thể thiếu của mang khả lập trình SDN cũng như nền tảng điện toán mâyOpenStack Với những tính năng trên Open vSwitch là một công cụ hữu hiệu để tíchhợp mạng khả lập trình SDN và nền tảng điện toán đám mây OpenStack thông qua

giao thức OpenFlow và đường ham vận chuyên VXLAN

Các công nghệ đã nêu trên sau khi áp dụng vào cho hệ thông tổng quát sẽ được một

4.1 Mô hình triển khai

10.102.196.112 10.102.196.141 10.102.196.199

Hình 4.2 Mô hình vật lý

Hệ thống được triển khai gồm 3 máy:

» Máy ảo 1 (Server 1): cai đặt Open Source MANO có địa chi IP là 10.102.196.112

và các thông số: RAM 8G, HDD 40GB, 4 CPU(s), hệ điều hành Ubuntu Desktop18.04.

* Máy ảo 2 (Server 2): cài đặt Openstack có địa chỉ IP là 10.102.196 141 và các thông

số: RAM 12GB, HDD 64GB, 6 CPU(s), hệ điều hành Ubuntu Server 18.04

» Máy ảo 3 (Server 3): cài đặt SDN, ONOS Controller, và trình ảo hoá mạng

Containernet có địa chi IP là 10.102.196.199 và các thông số: RAM 8GB, HDD

64GB, 2 CPU(s), hệ điều hành Ubuntu Desktop 18.04

Với các thông tin và các công nghệ được cài đặt, nhóm có mô hình logic như Hình 4.3

34

4.2 Trién khai OSM

4.2.1 Cai dat OSM

Các bước chính nhóm đã thực hiện dé cai dat OSM:

Open Source MANO

Login

osm ‘Open Source MANO.

Hình 4.4 OSM được cài đặt hoàn tat

Sau khi OSM được cài đặt, nhóm thực hiện thêm Openstack vào VIM, tiếp đến tiễn

hành tạo các template dùng dé ảo hoá

4.2.2 Tạo các template ảo hoá các chức năng mạng

Các template dùng dé ảo hoá các chức năng mạng được viết theo Yaml format gồm

VNE Packages va NS Packages.

Thông tin về các tham số của VNF Packages va NS Packages nhóm dựa trên OSMRelease EIGHT Information Model [6].

OSM cung cấp cho người dùng các template được thiết kế sẵn giúp người dùng dựa

theo đó dé thiết kế theo mục đích sử dụng Người dùng có thé sử dụng các template

tại kho lưu trữ của OSM [6] Hình mô tả một VNF Package mẫu và hình mô tả một

NS Package mẫu.

36