Công nghệ nối mạng riêng ảo di động MVPN cho 3G
Trang 1MỤC LỤC i
DANH MỤC CÁC HÌNH iii
THUẬT NGỮ VÀ TỪ VIẾT TẮT iv
LỜI MỞ ĐẦU 1
CHƯƠNG 1: TỔNG QUAN CÁC CÔNG NGHỆ NỐI MẠNG VÔ TUYẾN 3
1.1 CÁC CÔNG NGHỆ NỐI MẠNG SỐ LIỆU CHUYỂN MẠCH KÊNH VÀ CHUYỂN MẠCH GÓI 3
1.2 SỐ LIỆU GÓI CDMA2000 5
1.2.1 Kiến trúc hệ thống số liệu gói cdma2000 5
1.2.2 Triển vọng MS 8
1.2.3 Các mức di động của cdma2000 10
1.2.4 AAA di động cdma2000 11
1.3 NỐI MẠNG SỐ LIỆU GÓI: GPRS VÀ MIỀN UMTS PS 14
1.3.1 Các phần tử GPRS 14
1.3.2 Các phần tử UMTS 15
1.3.3 Kiến trúc hệ thống GPRS và miền UMTS PS 16
1.3.4 Các khả năng dịch vụ của GPRS và miền UMTS PS 19
1.3.5 Đầu cuối GPRS và miền UMTS PS 20
1.4 KẾT LUẬN 21
CHƯƠNG 2: TỔNG QUAN MVPN 22
2.1 ĐỊNH NGHĨA VPN 22
2.2 CÁC KHÁI NIỆM CHUNG NHẦM LẪN VỀ CÁC MẠNG RIÊNG 23
2.2.1 Các mạng riêng đảm bảo an ninh 23
2.2.2 Các mạng riêng luôn luôn tin cậy 24
2.3 CÁC KHỐI CƠ BẢN CỦA VPN 25
2.3.1 Điều khiển truy nhập 25
2.3.2 Nhận thực 27
2.3.3 An ninh 28
2.3.4 Truyền tunnel là nền tảng VPN 28
2.3.5 Các thỏa thuận mức dịch vụ SLA (Service Level Agreement) 32
2.4 PHÂN LOẠI CÔNG NGHỆ VPN 33
2.4.1 Phân loại theo phương pháp truyền tunnel 34
2.4.2 Phân loại theo kiến trúc: Site-to-Site VPN và truy nhập từ xa 39
2.5 CHUYỂN TỪ HỮU TUYẾN SANG VÔ TUYẾN VÀ DI ĐỘNG 43
2.5.1 Tầm quan trọng của VPN trong môi trường số liệu gói vô tuyến 43
2.5.2 MVPN tự ý 45
2.5.3 MNPN bắt buộc 46
2.6 KẾT LUẬN 47
CHƯƠNG 3: GIẢI PHÁP MVPN CHO GPRS/UMTS VÀ CDMA2000 48
3.1 GIẢI PHÁP VPN CHO GPRS VÀ UMTS 48
Trang 23.1.3 Kiểu PPP PDP 56
3.1.4 Các thỏa thuận mức dịch vụ, SLA 60
3.1.5 Tính cước 61
3.1.6 Chuyển mạng 62
3.2 GIẢI PHÁP MVPN CHO CDMA2000 65
3.2.1 Tổng quan mạng riêng cdma2000 65
3.2.2 IP đơn giản (Simple IP) 67
3.2.3 VPN dựa trên MIP 70
3.2.4 Cấp phát HA trong mạng 77
3.2.5 Quản lý địa chỉ IP đơn giản trong cdma2000 81
3.2.6 Nhận thực, trao quyền và thanh toán cho dịch vụ MVPN 83
KẾT LUẬN 88
TÀI LIỆU THAM KHẢO 89
Trang 3Hình 1.1 Cơ chế truyền tunnel số liệu gói vô tuyến 4
Hình 1.2 Thí dụ kiến trúc số liệu gói cdma2000 6
Hình 1.3 Thí dụ các ngăn xếp giao thức của dịch vụ gói cdma2000 7
Hình 1.4 Phân cấp di động cdma2000 10
Hình 1.5 Mạng lõi cdma2000 điển hình cùng với các hệ thống AAA 12
Hình 1.6 Kiến trúc GPRS 14
Hình 1.7 Kiến trúc UMTS 15
Hình 1.8 Kiến trúc ngăn xếp giao thức mặt phẳng người sử dụng GPRS và UMTS 17
Hình 2.1 Truyền tunnel trong nối mạng riêng ảo 29
Hình 2.2 Che đậy địa chỉ IP bằng tunnel 30
Hình 2.4 VPN tự ý trên mạng TTDĐ 2G 35
Hình 2.5 VPN bắt buộc 37
Hình 2.6 Một số tùy chọn VPN móc nối (trong môi trường GPRS) 38
Hình 2.7 Extranet VPN động 41
Hình 2.8 Truy nhập từ xa hữu tuyến sử dụng phương tiện hãng khác 42
Hình 2.9 VPN trong các môi trường vô tuyến 44
Hình 2.10 Cây phả hệ VPN 47
Hình 3.2 Kiến trúc IP với chế độ truy nhập dựa trên PCO 53
Hình 3.3 DHCPv4 trong các hệ thống GPRS 55
Hình 3.4 PPP Relay sử dụng L2TP 58
Hình 3.5 PPP kết cuối tại GGSN 59
Hình 3.6 Kiến trúc hệ thống trả trước theo CAMEL giai đoạn 3 62
Hình 3.7 Kiến trúc chuyển mạng GPRS 63
Hình 3.8 Chuyển mạng GPRS với GGSN trong mạng khách 65
Hình 3.12 Mô hình kiến trúc của IP VPN đơn giản 68
Hình 3.13 Mô hình tham khảo giao thức IP VPN đơn giản 69
Hình 3.14 Thiết lập kết nối IP VPN đơn giản 70
Hình 3.15 Các phương pháp MIP VPN 71
Hình 3.16 Kiến trúc HA VPN công cộng 72
Hình 3.17 Ngăn xếp giao thức HA VPN công cộng 73
Hình 3.18 Kiến trúc HA VPN riêng và ngăn xếp 75
Hình 3.19 Thiết lập HA động 80
Hình 3.20 Kiến trúc AAA dựa trên cdma2000 RADIUS và mô hình tham khảo giao thức 84
Trang 4AAA Authentication, Authorization and Accounting Nhận thực, trao quyền và thanh toán
ANSI American National Standard Institute Viện nghiên cứu tiêu chuẩn quốc gia Mỹ
ARQ Automatic Repeat Request Yêu cầu phát lại tự động
ASN Abract Syntaxe Notation Ký hiệu cú pháp trừu tợng
ASP Application Service Provider Nhà cung cấp dịch vụ ứng dụng
ATM Asynchronous Transfer Mode Chế độ truyền di bộ
b
BSSGP BSS GPRS Protocol Giao thức BSS GPRS
C
CAMEL Customized Application for Mobile Network Enhanced Logic ứng dụng khách hàng hóa cho logic đợc mạng di động tăng cờng
CCoA Collocated Care of Address Chăm sóc địa chỉ đợc đồng vị trí
CDMA Code Division Multiple Access Đa truy nhập phân chia theo mã
CGF Charging Gateway Function Chức năng cổng tính cớc
CHAP Challenge Handshake Authentication Protocol Giao thức nhận thực bắt tay khẩu lệnh
COPS Common Open Policy Service Dịch vụ chính sách mở chung
Trang 5CSCF Call Session Control Function Chức năng điều khiển phiên cuộc gọi
d
DHCP Dynamic Host Configuration Protocol Giao thức lập cấu hình máy trạm động
DIAMETER Giao thức RADIUS cải tiến nhằm định nghĩa quan hệ đồng cấp của các thực thể
đồng cấp
DiffSrv Differentiated Services Các dịch vụ đợc phân loại
DLCI Data Link Connection Identifier Nhận dạng kết nối liên kết số liệu
DSCP Differentiated Service Code Point Điểm mã dịch vụ đợc phân loại
DSLAM DSL Access Multiplex Ghép kênh DSL
e
EAP Extensible Authentication Protocol Giao thức nhận thực mở rộng đợc
EHF Extension Header Flag Cờ chỉ thị sự tồn tại của trờng tiêu đề mở rộng tiếp theo
ESP Encapsulating Security Payload Tải tin đóng bao an ninh
f
FEC Forwarding Equivalence Class Loại tơng đơng định tuyến
FQDN Full Qualified Domain Name Tên miền đợc hoàn toàn phân loại
g
GERAN GSM EDGE RAN Mạng truy nhập vô tuyến GSM EDGE
GGSN Gateway GPRS Support Node Node hỗ trợ GPRS cổng
GMM GPRS Mobility Management Quản lý di động GPRS
GPRS General Packet Radio Service Dịch vụ vô tuyến gói chung
GRE Generic Routing Encapsulation Đóng bao định tuyến chung
GSM Global System For Mobile Telecommunications Hệ thống thông tin di động toàn cầu
GTP GPRS Tunneling Protocol Giao thức truyền tunnel GPRS
GTP-C GTP- Control Plane Giao thức GTP mặt phẳng điều khiển
GTP-U GTP-User Plane Giao thức GTP mặt phẳng ngời sử dụng
Trang 6HAAA Home AAA AAA nhà (xem AAA)
HLR Home Location Register Bộ ghi dịnh vụ thờng trú
i
IBGP Internet Border Gateway Protocol Giao thức cổng biên internet
IMSI International Mobile Station Identifier Nhận dạng thuê bao duy nhất toàn cầu
IPCP IP Configuration Protocol Giao thức lập cấu hình IP
ISP Internet Service Provider Nhà cung cấp dịch vụ Internet
l
L2TP L2 Tunneling Protocol Giao thức truyền tunnel lớp 2
LAC L2TP Access Concentrator Bộ tập trung truy nhập L2TP
LCP Link Control Protocol Giao thức điều khiển liên kết
LDAP Lightweight Directory Access Protocol Giao thức truy nhập danh mục trọng lợng nhẹ
LLC Logical Link Control Điều khiển liên kết logic
m
MPLS Multi-Protocol Label Switching Chuyển mạch nhãn đa giao thức
MSC Mobile Services Switched Center Trung tâm chuyển mạch các dịch vụ di động
Trang 7NAI Network Access Identifier Nhận dạng truy nhập mạng
NAT Network Address Translation Biên dịch địa chỉ mạng
NCP Network Control Protocol Giao thức điều khiển mạng
o
OA&M Operation Administration and Maintenance Center Khai thác, quản trị và bảo dỡng
OSA Open Services Architecture Kiến trúc các dịch vụ mở
p
PAD Packet Assembler and Deassembler Đóng và tháo bao gói
PAP Password Authentication Protocol Giao thức nhận thực mật khẩu
PCF Packet Control Function Chức năng điều khiển gói
PCO Protocol Configuration Options Các tùy chọn cấu hình
PDCP Packet Data Convergence Protocol Giao thức hội tụ số liệu gói
PDSN Packet Data Serving Node Node phục vụ số liệu gói
PIN Personal Identitification Number Số nhận dạng cá nhân
PKI Public Key Infrastructure Cơ sở hạ tầng khoá công cộng
PLMN Public Land Mobile Network Mạng di động mặt đất công cộng
PMM Packet Mobility Management Quản lý di động gói
q
r
RADIUS Remote Authentication Dial-in User Service Dịch vụ nhận thực ngời dùng quay số từ xa
RANAP Radio Access Application Part Phần ứng dụng truy nhập vô tuyến
Trang 8RP RADIUS Proxy Đại diện RADIUS
s
SAAL-NNI Signaling ATM Adaptation Layer Network-to-Network Interface Giao diện mạng đến mạng lớp thích ứng ATM của báo hiệuSAD Security Association Database Cơ sở dữ liệu liên kết an ninh
SCCP Signaling Connection Control Part Phần điều khiển kết nối báo hiệu
SCF Service Charging Function Chức năng tính cớc dịch vụ
SCTP Stream Control Transmission Protocol Giao thức truyền dẫn điều khiển luồng
SGSN Serving GPRS Support Node Nút hỗ trợ GPRS phục vụ
SIM Subscriber Identity Module Modul nhận dạng thuê bao
SMS Short Message Service Dịch vụ bản tin ngắn hay nhắn tin
SNDCP Subnetwork Dependent Convergence Protocol Giao thức hội tụ phụ thuộc mạng con
SPD Security Policy Database Cơ sở dữ liệu chính sách an ninh
t
TDMA Time Division Multiple Access Đa truy nhập phân chia theo thời gian
TEID Tunnel Endpoint Identifier Số nhận dạng đầu cuối tunnel
TLS Transport Layer Security An ninh lớp truyền tải
u
UMTS Universal Mobile Telecommunications System Hệ thống thông tin di động toàn cầu
USIM UMTS Subscriber Identity Module Modul nhận dạng thuê bao UMTS
UTRAN UMTS Terrestrial Radio Access Network Mạng truy nhập mặt đất của UMTSv
VLR Visitor Location Register Bộ ghi định vị tạm trú
Trang 9VPLMN Visited PLMN PLMN kh¸ch
w
WAP Wireless Application Protocol Giao thøc øng dông v« tuyÕn
Trang 10LỜI MỞ ĐẦU
Ngày nay, thông tin di động đã trở thành một ngành công nghiệp viễn thông pháttriển nhanh nhất và phục vụ những yêu cầu trao đổi thông tin hữu hiệu nhất Để đápứng các nhu cầu về chất lượng và dịch vụ ngày càng nâng cao, mạng thông tin di độngngày càng được cải tiến, cụ thể là xu hướng chuyển đổi từ hệ thống thông tin di độngthế hệ hai sang thế hệ ba
Mặc dù thông tin di động thế hệ hai (2G) đã sử dụng công nghệ số nhưng vì là hệthống băng hẹp và xây dựng trên cơ chế chuyển mạch kênh nên không thể đáp ứngđược các kiểu dịch vụ mới như truyền số liệu tốc độ bit thấp và cao, truy nhập Internettốc độ cao, đa phương tiện, truyền video và các dịch vụ yêu cầu băng thông lớn khác,vậy nên sự ra đời và phát triển mạnh mẽ của các hệ thống thông tin di động thế hệ ba(UMTS và CDMA2000) là một điều tất yếu
Song song với sự phát triển mạnh mẽ của các mạng thông tin di động là sự pháttriển liên tục của mạng Internet, mạng truyền số liệu lớn nhất và phổ biến nhất trêntoàn thế giới Từ khi ra đời đến nay, mạng Internet đã tạo ra những thay đổi cơ bảnphong cách làm việc, khai thác thông tin và giải trí của con người
Tính tại thời điểm gần đây số thuê bao sử dụng các dịch vụ vô tuyến trên toàn thếgiới là vào khoảng hơn một tỷ người Bên cạnh đó số lượng các máy chủ Internet cũngvào khoảng hơn 200 triệu host Và theo những nghiên cứu gần đây, 80% người sửdụng Internet thì cũng là các thuê bao sử dụng các dịch vụ di động, và 40% trong số họ
là những người sử dụng với các mục đích kinh doanh
Như vậy không có gì ngạc nhiên khi ngày càng có nhiều người quan tâm hơn đếndịch vụ truyền số liệu vô tuyến, gồm cả các ứng dụng thương mại và trao đổi thôngthường Một trong những xu hướng phát triển hứa hẹn gần đây trong lĩnh vực thươngmại đó là việc sử dụng công nghệ nối mạng riêng ảo VPN trong các hệ thống truyềnthông số liệu để đảm bảo an ninh cho các kết nối tới các mạng riêng từ xa qua các hạtầng dùng chung không tin cậy, mà ở đây chính là mạng Internet
Mạng riêng ảo VPN được định nghĩa không chặt chẽ là một mạng trong đó kếtnối khách hàng giữa các site được triển khai trên một hạ tầng cơ sở chia sẻ với cùngcác chính sách truy nhập và an ninh như một mạng riêng Với việc phát hiện gần đây
về các hoạt động tiếp thị xung quanh thuật ngữ VPN, từ các công nghệ mới hỗ trợVPN, các sản phẩm và dịch vụ được cung cấp bởi VPN khiến cho chúng ta có suynghĩ rằng VPN là một công nghệ mới Tuy nhiên VPN là khái niệm về công nghệ đã
có hơn 10 năm và được sử dụng rất phổ biến trong thị trường công nghiệp viễn thông Một trong những ứng dụng mới nhất của VPN là MVPN, nghĩa là đưa công nghệVPN vào môi trường vô tuyến Các mạng riêng ảo di động (MVPNs) cho phép truyềnthông riêng tư đảm bảo truyền thông an ninh qua các mạng di động dùng chung đượccung cấp bởi các nhà khai thác vô tuyến và các nhà cung cấp dịch vụ Internet khôngdây Nói cách khác, MVPN là sự phỏng tạo của các mạng số liệu di động an ninh riêngdựa trên các phương tiện vô tuyến và di động an ninh dùng chung
Ý nghĩa của các mạng MVPN đối với các khách hàng như sau:
Đảm bảo an ninh khi truy nhập mạng với các hiệu năng dự kiến được
Đảm bảo chỉ có những thành viên được phép mới được truy nhập tới cácmạng này
Trang 11Ở Việt Nam, hệ thống GSM đã được đưa vào từ năm 1993 và đang hoạt động rấthiệu quả Tuy nhiên theo xu thế chung, việc nâng cấp lên mạng 3G là tất yếu trong bốicảnh cạnh tranh trên thị trường mạng thông tin di động Internet cũng chỉ mới phổ biếnvài năm gần đây và hiện nay cơ sở hạ tầng còn rất hạn chế Tuy nhiên việc mở rộng thịtrường viễn thông và tin học cộng với nhu cầu sử dụng ngày càng tăng chắc chắn sẽthúc đẩy Internet Việt Nam phát triển ngang tầm với các nước trong khu vực và trênthế giới Việc cung cấp tính năng di động có hiệu quả cho mạng Internet do đó chỉ còn
là vấn đề thời gian
Chính vì vậy, trong đồ án tốt nghiệp của mình tôi đã lựa chọn đề tài “Công nghệnối mạng riêng ảo di động MVPN cho 3G” nhằm tìm hiểu các giải pháp kĩ thuật, côngnghệ MVPN cho các hệ thống thông tin di động GPRS/UMTS và cdma2000 Hy vọngrằng trong thời gian tới khi mạng thông tin di động thế hệ ba đã được triển khai rộngrãi ở nước ta thì đồ án sẽ là một tài liệu hữu ích cho tất cả những ai quan tâm tới vấn
đề này
Về nội dung đồ án được chia ra làm ba chương:
Chương I: Trình bày tổng quan về các công nghệ nối mạng vô tuyến, bao gồmcác công nghệ chuyển mạch kênh và các công nghệ chuyển mạch gói trongcác hệ thống 2G và 3G, chủ yếu đi sâu thêm về nối mạng số liệu gói trongcdma2000 và GPRS/UMTS PS
Chương II: Trình bày về tổng quan VPN và MVPN Phân loại công nghệVPN và chuyển từ hữu tuyến sang vô tuyến
Chương III: Là phần chính trong đó nêu ra các giải pháp MVPN cho các hệthống GPRS/UMTS và cdma2000
Kết luận: Tóm tắt lại những kiến thức đã thu được và một số hướng phát triểntrong tương lai
Cuối cùng em xin bày tỏ lòng biết ơn chân thành nhất đối với Tiến sĩ NguyễnPhạm Anh Dũng - Phó khoa Viễn Thông I, Học viện Công nghệ Bưu chính Viễnthông, người thầy đã tận tình hướng dẫn em trong quá trình học tập, nghiên cứu đểhoàn thành đồ án tốt nghiệp này
Em xin chân thành cảm ơn các anh chị trong Công ty Dịch Vụ Viễn Thông GPC đãtạo điều kiện và giúp đỡ em trong quá trình thực tập, nghiên cứu và hoàn thành đồ án
Em cũng xin chân thành cảm ơn sự ủng hộ và giúp đỡ về mọi mặt của các thầy các
cô khoa Viễn Thông I- Học viện Công nghệ Bưu chính Viễn thông đã tạo mọi điềukiện giúp đỡ em hoàn thành nhiệm vụ học tập của mình
Cuối cùng con xin chân thành cảm ơn ba mẹ, cảm ơn các bạn trong lớp D2001VT
và những người thân trong gia đình đã giúp đỡ, động viên con trong suốt 5 năm họctập vừa qua
Trang 12CHƯƠNG 1: TỔNG QUAN CÁC CÔNG NGHỆ NỐI MẠNG VÔ
sử dụng để cung cấp dịch vụ liên kết đầu cuối-đầu cuối Có thể kết cuối dễ dàng phiênPPP của người sử dụng bằng cách sử dụng các kỹ thuật quay số đơn giản dựa trên cácngân hàng modem hay RAS (Remote Access Server) bao gồm chức năng IWF(InterWorking Function) với cập nhật phần mềm để nó phù hợp với môi trường vôtuyến Thông thường IWF cần kết cuối các giao thức truy nhập vô tuyến (RLP) vàtương tác với PSTN khi cần thiết Trong một số trường hợp, IWF cũng có thể chuyểnPPP đến một mạng riêng sử dụng L2TP
Khác với CS, các công nghệ nối mạng số liệu PS vô tuyến dựa trên hỗ trợ mạngtruy nhập vô tuyến để ghép kênh thống kê các phiên người sử dụng trên giao diện vôtuyến Các tài nguyên mạng số liệu gói chỉ được dùng trong thời gian truyền số liệu vàkhông được dùng trong các thời gian rỗi, vì thế hệ thống hiệu quả hơn vì mọi nguồnlưu lượng có thể sử dụng các tài nguyên khi các tài nguyên này không bị nguồn khác
sử dụng Ghép kênh thống kê là một tính chất quan trọng của tất cả các hệ thống nốimạng số liệu gói Ghép kênh thống kê làm cho các hệ thống nối mạng số liệu gói trởnên hiệu quả hơn các hệ thống dựa trên CS, vì các hệ thống CS cung cấp kênh riêngcho từng người sử dụng nên chúng không thể sử dụng hoàn toàn khi các mẫu truyềndẫn số liệu có dạng cụm Tuy nhiên điều này cũng có nghĩa là các người sử dụng dùngchung các mạng phương tiện phải tranh chấp cho băng thông khả dụng, nên đôi khidẫn đến nghẽn, trễ và hiệu suất thông lượng trên một người sử dụng thấp hơn
Tranh chấp truy nhập cho các tài nguyên dùng chung là vấn đề điển hình không chỉđối với các môi trường gói thông tin di động (TTDĐ) mà cả với WLAN Trong các hệthống TTDĐ hỗ trợ truy nhập chế độ gói, để sử dụng hiệu quả các tài nguyên, cáckênh mang truy nhập vô tuyến chỉ được cấp phát tạm thời cho một người sử dụng Saumột khoảng thời gian không tích cực, MS chuyển vào chế độ rỗi (chẳng hạn trongGPRS) hay chế độ ngủ (trong cdma2000) Chế độ này cho phép MS luôn có thể đượckết nối bằng cách gửi báo hiệu và số liệu đến địa chỉ lớp mạng của nó bằng cách sử
Trang 13dụng các thủ tục cập nhật vị trí và tìm gọi, trong khi không tài nguyên dành riêng nàotích cực để cho phép MS gửi và nhận số liệu Khi cần nhận số liệu, MS được tìm gọi,
nó "tỉnh giấc" và phát đi yêu cầu thiết lập kênh mang vô tuyến để được phép thu sốliệu MS cũng phát đi yêu cầu như vậy khi nó cần phát số liệu và khi không có kênhmang vô tuyến được thiết lập
Hỗ trợ nối mạng di động số liệu gói về mặt khái niệm giống nhau đối với các hệthống nối mạng số liệu vô tuyến khác Nó dựa trên các cơ chế truyền tunnel khác nhaunhư MIP (sử dụng trong cdma2000) và GTP (sử dụng trong GSM và UMTS), cả hai
cơ chế này sẽ được phân tích sau trong chương này Mô hình truyền tunnel số liệu góichung này được cho ở hình 1.1 Các tunnel trên hình vẽ (được biểu thị bằng các đườngngắt quãng đậm nét (cho các tunnel quá khứ) và các đường liên tục (cho các tunnelhiện thời, tích cực) được thiết lập động giữa điểm nhập mạng vô tuyến hiện thời của
MS và một "điểm neo" tunnel hay mạng nhà, đóng vai trò như một cổng cho mạng sốliệu di động mà từ đó người sử dụng nhận được dịch vụ truy nhập Vì MS thay đổiđộng vị trí trong mạng (chẳng hạn di chuyển qua vùng địa lý nào đó từ một MSC nàyđến một MSC khác hay đang ở biên MSC) các tunnel được thiết lập động giữa mạngnhà của MS và mạng truy nhập vô tuyến khách
Mạng khách 1
Mạng khách 2
Mạng khách 3
IP cá nhân
Tunnel được lập trước đây Tunnel được lập hiện thời Kết nối vật lý
Mạng nhà (cổng)
Hình 1.1 Cơ chế truyền tunnel số liệu gói vô tuyến
Phần lớn các người sử dụng số liệu trước đây quen thuộc với truy nhập từ xa quay
số hữu tuyến đều không gặp khó khăn gì khi làm quen với các dịch vụ số liệu chuyểnmạch kênh vô tuyến Điều này cho phép tốc độ tiếp nhận số liệu CS khá cao, mặc dùbăng thông nhỏ và các giới hạn khác của nó làm hạn chế mong muốn thường xuyên sửdụng dịch vụ này và sử dụng nó trong thời gian dài Tất cả các tính năng truy nhậpquay số hữu tuyến quen thuộc đều có trong nối mạng số liệu CS vô tuyến: Chuỗi mậtkhẩu đăng nhập quen thuộc, khả năng truy nhập mạng hãng đơn giản bằng cách quaycác số điện thoại đặc thù, các thủ tục lập cấu hình tương tự trên các thiết bị client củangười sử dụng như máy tính xách tay
Trang 141.2 SỐ LIỆU GÓI CDMA2000
Trong phần này chúng ta sẽ trình bầy kiến trúc số liệu gói liên kết với giao diện vôtuyến cdma2000 Kiến trúc này cho phép các nhà cung cấp dịch vụ vô tuyến di độngcung cấp các dịch vụ gói hai chiều sử dụng IP Để cung cấp chức năng này, cdma2000
sử dụng hai phương pháp: Simple IP (IP đơn giản) và MIP (Mobile IP: IP di động).Trong IP đơn giản, nhà cung cấp phải ấn định cho người sử dụng một địa chỉ IPđộng Địa chỉ này giữ nguyên không đổi khi người sử dụng duy trì kết nối với cùngmột mạng IP trong miền của nhà khai thác di động, nghĩa là cho đến khi người sửdụng này không ra ngoài vùng phủ của một PDSN (Packet Data Serving Node: Nútphục vụ số liệu gói) Tuy nhiên một địa chỉ IP mới phải nhận được khi người sử dụngnhập vào một mạng IP khác, nghĩa là vào một vùng phủ của một PDSN khác Dịch vụ
IP đơn giản không cho phép chứa bất kỳ sơ đồ truyền tunnel nào để cung cấp di độngtrên lớp mạng như đã trình bầy trong phần đầu của chương này và chỉ hỗ trợ di độngtrong các biên giới địa lý nhất định
Lưu ý một trong các ưu điểm đáng kể của IP đơn giản và không giống như MIP, nókhông đòi hỏi phần mềm đặc biệt cài đặt trong trạm di động Toàn bộ nhu cầu của MS
là các khả năng đầu cuối và ngăn xếp PPP giống như ngăn xếp được sử dụng để thiếtlập phiên quay số hữu tuyến, thường được kết hợp với các hệ điều hành hiện đại nhấtnhư PocketPC2002 và Windows XP
Phương pháp truy nhập MIP phần lớn dựa trên [RFC2002], nay thay bằng[RFC3220] Trước hết trạm di động được nhập vào một PDSN phục vụ có hỗ trợ chứcnăng FA và được ấn định địa chỉ IP bởi HA của nó MIP cho phép MS duy trì địa chỉ
IP của mình trong thời gian phiên trong khi di chuyển trong mạng cdma2000 hay sangmạng khác hỗ trợ MIP
Đối với các MS tương thích với tiêu chuẩn TIA/EIA [IS-2000] được nối vào mộtmạng cdma2000-1x, có thể thay đổi số liệu khả dụng giữa tốc độ số liệu cơ bản9,6kbps và các tốc độ cụm sau: 19,2kbps; 38,4kbps; 76,8kbps và 153,6kbps
Các cụm tốc độ cao hơn này được ấn định bởi cơ sở hạ tầng dựa trên nhu cầu củangười sử dụng và tính khả dụng của tài nguyên (cả băng thông vô tuyến lẫn các phần
tử hạ tầng) Các cụm dành cho một MS thường là đoạn thời gian ngắn từ 1 đến 2 giây.Khi này tài nguyên và tình trạng di động được đánh giá lại Cấp phát cụm được thựchiện độc lập với nhau trên đường lên và đường xuống
1.2.1 Kiến trúc hệ thống số liệu gói cdma2000
Kiến trúc hệ thống số liệu gói cdma2000 được cho như hình 1.2
Kiến trúc trên hình 1.2 bao gồm các phần tử sau:
+ MS có dạng máy cầm tay, PDA hay PCMCIA card trong máy tính sách tay/cầmtay hỗ trợ Simple IP hay MIP client hay cả hai
+ Cdma2000-1x RAN (Mạng truy nhập gói cdma2000-1x)
Trang 15AAA server
AAA server
MIP tunnel
Chuyển mạch thoại
PCF MSC
BSC BTS
Hình 1.2 Thí dụ kiến trúc số liệu gói cdma2000
+ PCF (Packet Control Function: Chức năng điều khiển gói)
+ PDSN hỗ trợ chức năng FA trong trường hợp MIP
+ HA (cho phương pháp truy nhập MIP)
Khi MS kết nối đến cdma2000 BTS, trước hết nó thiết lập kết nối đến một PDSN.Trong trường hợp MIP, sau đó MS được kết nối đến HA phục vụ của mình bằng mộttunnel giữa PDSN/FA và HA được thiết lập bằng cách sử dụng MIP Địa chỉ IP của
MS được ấn định từ không gian địa chỉ của HA của nó hoặc được cung cấp tĩnh hoặcđược ấn định động tại đầu mỗi phiên Tại MIP mức cao, nhận thực và trao quyềnthường được thực hiện tại cả PDSN và HA bằng cách yêu cầu hạ tầng AAA Trongtrường hợp Simple IP, địa chỉ phải được ấn định cho MS bởi PDSN và không đượccung cấp cố định trong MS Nhận thực cho phương pháp truy nhập này chỉ dựa trênPDSN
Kết nối giữa MS và PDSN phục vụ của nó đòi hỏi thiết lập một lớp kết nối thứ haicho thông tin IP Kết nối này được đảm bảo bởi giao thức PPP được định nghĩa bởi[RFC1661] và hỗ trợ IPCP, LCP, PAP và CHAP PPP được khởi đầu bởi MS trongquá trình đàm phán kết nối và kết cuối bởi PDSN Giữa mạng vô tuyến cdma2000 vàPDSN, lưu lượng PPP được đóng bao vào giao diện R-P (Radio-Packet) Thí dụ ngănxếp giao thức cdma2000 cho cả trường hợp Simple IP và MIP được cho ở hình 1.3.PCF được cho trên hình vẽ là phần tử của mạng cdma2000 RAN chịu trách nhiệmthiết lập giao diện R-P và xử lý Nó thường được thực hiện như một phần tử củacdma2000 MSC (Ngoại trừ kiến trúc cdma2000-1xEVDO không dựa trên MSC) PCF
có thể được thực hiện ở đây như là một bộ phận của 1xEVDO RNC (RNC: RadioNetwork Controller: Bộ điều khiển mạng hay BSC, tùy thuộc vào nhà cung cấp) Cũng
có thể có thực hiện PCF riêng Sau khi kết nối lớp liên kết được thiết lập, PCF chỉ đơngiản chuyển tiếp các khung PPP giữa thiết bị di động và PDSN Một chức năng quantrọng khác của PCF là hỗ trợ di động vi mô được thực hiện bằng cách cho phép MS
Trang 16thay đổi PCF trong khi vẫn giữ MS gắn với cùng một PDSN và nhớ đệm số liệu củangười sử dụng khi đoạn nối vô tuyến ngủ được kết nối lại ý nghĩa của tính năng này
sẽ được giải thích sau trong chương này
IP PPP GRE IP
IP/
MIP PPP GRE IP
HA Intranet
AL: Adaptation Layer= lớp thích ứng được sử dụng để nhớ đệm thông tin khi một đường ngủ được kết nối lại
L1: Lớp vật lý
L2: Lớp liên kết
Simple IP
MIP
Hình 1.3 Thí dụ các ngăn xếp giao thức của dịch vụ gói cdma2000
Vai trò chính của PDSN trong kiến trúc cdma2000 là kết cuối các phiên PPP khởixướng từ MS và cung cấp chức năng FA (trong trường hợp dịch vụ MIP được yêu cầu)hay truyền các gói IP đến chặng tiếp theo khi IP đơn giản được sử dụng PDSN cũng
có nhiệm vụ nhận thực các người sử dụng và trao quyền cho họ đối với các dịch vụđược yêu cầu Cuối cùng PDSN chịu trách nhiệm thiết lập, duy trì và kết cuối kết nốiliên kết dựa trên PPP đến MS Một cách tùy chọn, PDSN phải hỗ trợ tunnel ngược anninh đến HA
Đối với dịch vụ Internet cơ sở sử dụng phương pháp truy nhập IP đơn giản, PDSN
ấn định một địa chỉ IP động cho MS, kết cuối liên kết PPP của người sử dụng vàchuyển các gói trực tiếp đến Internet thông qua router cổng mặc định trên mạng IPđường trục của nhà cung cấp dịch vụ Các bộ định thời PPP thông thường được sửdụng và các gói từ MS có thể được kiểm tra để đảm bảo rằng MS đang sử dụng địa chỉ
IP mà PDSN ấn định cho nó (ngoài ra còn có các quy tắc lọc và các chính sách khác
mà PDSN có thể áp dụng trong chế độ IP đơn giản)
Đối với các phương pháp truy nhập MIP, PDSN thiết lập kết nối giao thức MIP đếnmạng nhà của MS (được thể hiện bởi HA chịu trách nhiệm để ấn định địa chỉ IP).PDSN phải hỗ trợ một chức năng AAA client để hỗ trợ một phần nhận thực MS bởi
Trang 17AAA server địa phương Theo [IS835], PDSN cũng được yêu cầu hỗ trợ nén tiêu đềTCP/TP Van Jacobson và ba giải thuật nén PPP: Stac LZS [RFC1974], MPPC[RFC2118] và Deflate[RFC2394], giải thuật sau cùng được sử dụng nhiều nhất bởi các
MS dựa trên Linux và UNIX
Giao diện R-P kết nối PCF và PDSN (còn được định bởi TIA/EIA là A10/A11) làmột giao diện mở dựa trên giao thức truyền tunnel GRE và được sử dụng để kết nốimạng vô tuyến và PDSN Giao thức giao diện R-P thực chất giống như MIP trong đóPCF hoạt động như FA và PDSN hoạt động như HA (giao diện R-P sử dụng các GREtunnel cho mặt phẳng lưu lượng và các bản tin RRQ/RRP: RegistrationRequest/Registration Response cho báo hiệu) Có một số lý do để đưa ra giao diện R-Phay nói một cách khác "tách riêng" các chức năng PCF và PDSN Bằng cách hỗ trợgiao diện R-P, các thiết bị di động dựa trên IP có thể đi qua các biên giới MSC màkhông ảnh hưởng lên tính liên tục của các phiên người sử dụng Nói một cách khác,nếu người sử dụng chuyển dịch vào một vùng phủ MSC, phiên người sử dụng không
bị cắt và người này không buộc phải kết nối lại đến MSC mới và nhận một địa chỉ IPmới Điều này được thực hiện bằng các chuyển giao PCF (PCF transfers) trong khi vẫngiữ MS nối vào (neo vào) cùng một PDSN Tuy nhiên điều này đòi hỏi rằng tất cả cácPCF phục vụ có kết nối mạng đến cùng một tập PDSN Một mục đích khác để táchPDSN ra khỏi PCF là để cho phép nhà cung cấp dịch vụ chọn các PDSN từ các nhàcung cấp thứ ba khác với các nhà cung cấp các cơ sở hạ tầng cho họ như các MSC vàPCF Vì thế R-P cho phép các hãng vô tuyến đưa ra các giải pháp PDSN đa nhà cungcấp vào mạng của họ Vì thế không ngạc nhiên là cộng đồng nhà khai thác hầu như tánthành quá trình tiêu chuẩn hóa R-P này
1.2.2 Triển vọng MS
Các cdma2000 MS có thể nhận thực cùng với HLR của nhà cung cấp dịch vụ chotruy nhập vô tuyến và nhận thực với PDSN và HA bằng cách sử dụng các phươngpháp truy nhập IP đơn giản hay MIP cho truy nhập mạng số liệu Các MS phải hỗ trợgiao thức nối mạng PPP tiêu chuẩn và có khả năng hỗ trợ nhận thực dựa trên CHAPtrong giai đoạn nhận thực PPP cho dịch vụ IP đơn giản Đối với dịch vụ MIP, MScũng phải hỗ trợ MIP client như mô tả trong [IS-835] Trong chế độ này MS trao đổithông tin với HA qua PDSN phục vụ trong mạng khách Nếu MS hỗ trợ một hay nhiềutùy chọn thuật toán giải nén như MPPC hay Stac LZS hay Deflate, thì việc nén PPP cóthể đàm phán trong giai đoạn kết nối với PDSN, do vậy sẽ tối ưu hóa việc sử dụng tàinguyên vô tuyến và tăng cường hiệu quả sử dụng thông qua tốc độ số liệu cao hơn
1.2.2.1 Trạng thái ngủ
"Trạng thái ngủ" của MS trên đường truyền vô tuyến (theo định nghĩa của TIA 707A1]) cho phép hoặc MS hoặc MSC tạm ngưng kết nối đường truyền vô tuyến tíchcực sau một khoảng thời gian không tích cực để giải phóng giao diện vô tuyến và các
Trang 18[IS-tài nguyên BTS đang phục vụ Nếu hoặc MS hoặc PCF liên kết có các gói cần pháttrong khi ngủ, kết nối được tích cực trở lại và truyền dẫn lại tiếp tục Các MS ngủđược định nghĩa là các MS không có kết nối lớp liên kết tích cực đến PCF Tất cả các
MS (tích cực hay ngủ) đều được đăng ký sử dụng phương pháp truy nhập MIP, có mặttrong danh sách máy khách của PDSN và một ràng buộc với HA tương ứng Cần chú ýrằng trạng thái ngủ chỉ ảnh hưởng kết nối đường vô tuyến, trong khi đó thì các MS vẫncòn giữ kết nối PPP với PDSN, và PDSN sẽ không quan tâm tới trạng thái của MN.PDSN phục vụ các người sử dụng tại mạng khách hoạt động như một router mặcđịnh cho tất cả các người sử dụng di động được đăng ký (tích cực và ngủ) và duy trìcác tuyến máy trạm đến họ Đối với chế độ MIP, PDSN/FA theo dõi thời gian còn lạicủa khoảng thời gian đăng ký có hiệu lực (Registration Lifetime) cho từng MS trongbảng định tuyến của nó và MS chịu trách nhiệm làm mới lại thời hạn của nó với HA.Nếu MS không đăng ký lại trước khi hết hạn đăng ký, PDSN sẽ chấm dứt liên kết vớiPCF phục vụ MS này và kết cuối phiên MS (và HA cũng làm tương tự nếu MS khôngđăng ký lại qua một PDSN khác) Sau khi thời hạn đang ký của MS đã hết, PDSN/FA
sẽ dừng định tuyến các gói đến nó Để nhận và gửi các gói, các MS ngủ phải chuyểnsang trạng thái tích cực Giả sử bất kỳ một MS nào cũng có thể ở kiểu trạng thái ngủhoặc tích cực, PDSN nói chung không yêu cầu chỉ thị trạng thái của các liên kết PPPtới MS ngoại trừ giá trị định thời trạng thái ngủ hiện thời đối với mỗi kết nối cụ thể.Lưu lượng có thể hướng đến một liên kết ngủ tại bất kỳ thời điểm nào, buộc MS liênquan phải chuyển sang trạng thái tích cực Đối với các liên kết PPP tích cực mang lưulượng, PDSN kết cuối phiên PPP với MS và chuyển tiếp lưu lượng IP được đóng baođến MS từ HA hay từ MS đến HA qua truyền tunnel ngược Tồn tại một tunnel riêngcho mỗi HA dùng cho tất cả các người sử dụng đã đăng ký
1.2.2.2 Các kiểu MS
Tồn tại hai kiểu cấu hình MS cơ bản: Mô hình chuyển tiếp và mô hình mạng
Trong các MS mô hình chuyển tiếp (Relay Model), đầu cuối di động cdma2000 được
kết nối đến một đầu cuối số liệu cầm tay khác như máy tính xách tay, thiết bị tính toáncầm tay hay đầu cuối số liệu đặt trong thiết bị nào đó khác Máy thoại mô hình chuyểntiếp không kết cuối bất kỳ lớp giao thức nào trừ lớp vật lý của cdma2000 (giao diện vôtuyến) và các lớp RLP Thiết bị đầu cuối số liệu đi kèm phải kết cuối tất cả các giaothức lớp cao hơn (PPP, IP, TCP/UDP…)
MS mô hình mạng, ngoài giao diện vô tuyến, kết cuối tất cả các giao thức cần thiết
và không cần bất cứ thiết bị đầu cuối bổ sung nào Bản thân máy thoại di động cungcấp tất cả các khả năng hiển thị và đầu vào của người sử dụng cùng với các ứng dụng
để sử dụng mạng số liệu gói Thí dụ về loại điện thoại này gồm cả "điện thoại thôngminh" và điện thoại "trình duyệt" Các thiết bị này thường có ứng dụng trình duyệt haydịch vụ tin học bên trong cùng với một màn hiện thị thông tin thu được từ Internet
Trang 19server Các loại đầu cuối này có thể cung cấp khả năng kết nối tới một máy tính xáchtay kết cuối tới mạng số liệu thông qua một phiên PPP Trong cấu hình này, chiếc điệnthoại có thể hỗ trợ các trình ứng dụng như trình duyệt nhỏ, đồng thời cũng cho sử dụngvới mục đích thông thường qua một điểm đầu cuối số liệu bên ngoài.
1.2.3 Các mức di động của cdma2000
Kiến trúc số liệu gói cdma2000 định nghĩa ba mức di động cho MS như mô tả ởhình 1.4 Mức thứ nhất được trình bầy tại lớp vật lý bởi chuyển giao mềm hay bánmềm giữa các BTS, trong khi MS neo giữ đến cùng một PCF Điều này được thực hiệnbởi truy nhập vô tuyến cdma2000 và không nhìn thấy đối với cả PCF và PDSN
PDSN (FA)
PDSN (FA)
PDSN (FA)
Di động lớp mạng IP
Khi MS trong trạng thái ngủ đi qua biên giới của một vùng phủ PCF, MS sẽ khởiđộng tích cực lại tại một BSC (MSC) mới để thiết lập một kết nối PCF Điều này dẫn
Trang 20đến thay đổi PCF nhưng không nhất thiết PDSN PCF mới sẽ tìm cách ấn định MS choPDSN đang phục vụ, Nếu PCF mới có kết nối đến PDSN này, thì MS và PDSN hoàntoàn không bị tác động
Mức di dộng thứ ba (lớp mạng) là chuyển giao giữa các PDSN dựa trên sử dụngMIP Giả sử MS đã đăng ký với HA và PDSN (MS đã được nhận thực bởi hai phần tửnày) để thiết lập IP tunnel cho lưu lượng cần truyền Mỗi khi MS chuyển đến vị tríđược phục vụ bởi một PCF kết nối đến PDSN mới, MS nhận được một chỉ thị rằng cầnđăng ký với PDSN này Đăng ký này cập nhật các bảng ràng buộc tại HA, vì thế tất cảlưu lượng tiếp theo cho MS này sẽ định tuyến đến PDSN mới Trong trường hợp nàyliên kết PPP của MS bị ảnh hưởng bởi sự thay đổi này trong khi lớp IP không thay đổi
Và tính di động giữ nguyên không nhìn thấy đối với đối tác của MS
Lưu ý rẳng kiểu chuyển giao cuối cùng không thể xẩy ra ở chế độ IP đơn giản IPđơn giản chỉ đảm bảo di động một phần thông qua hai mức đối với MS Một trongnhiệm vụ của giao diện R-P là đựa dịch vụ IP gần hơn đến hoạt động của dịch vụ MIPcùng với việc giải quyết các vấn đề khác Chẳng hạn nó giải quyết các tình trạng khi
MS thay đổi điểm nhập mạng của mình quá thường xuyên dẫn đến việc thiết lập MIPtunnel gây ra quá nhiều thông tin bổ sung liên quan đến việc tăng các bản tin báo hiệu.Một vấn đề khác thường được nhắc đến là trễ thiết lập tunnel mới dẫn đến các trễ vàcác khoảng trống trong đó không thể truyền số liệu Trễ này luôn có trong đường vònggây ra bởi MIP, vì yêu cầu đăng ký được gửi đến HA và trả lời được gửi trở lại PDSN
1.2.4 AAA di động cdma2000
Cdma2000 cũng như đa số các hệ thống thông tin di động khác, hỗ trợ khái niệm
về các mạng nhà và các mạng khách Một thuê bao cdma2000 có một tài khoản (thanhtoán) được thiết lập với một nhà khai thác vô tuyến, hãng cung cấp dịch vụ tiếng và sốliệu cho người sử dụng Cũng hãng vô tuyến này có thể cung cấp mạng nhà cho thuêbao di động Mạng nhà lưu giữ lý lịch thuê bao và thông tin nhận thực Khi người sửdụng này chuyển mạng vào vùng lãnh thổ của nhà khai thác khác (mạng khách), nhàkhai thác này phải nhận được thông tin nhận thực và lý lịch dịch vụ đối với người sửdụng này từ mạng nhà của thuê bao này
Lý lịch phục vụ chỉ ra các tài nguyên vô tuyến nào người sử dụng được quyền sửdụng như: Băng thông cực đại hay mức ưu tiên truy nhập Trong cdma2000 các lý lịchngười sử dụng được lưu tại HLR đặt tại mạng nhà, tạm thời được lấy ra và lưu tạiVLR HLR và VLR đều là các cơ sở dữ liệu dựa trên các cơ sở tính toán có khả năngkháng lỗi Các thủ tục tương tự thực hiện nhận thực việc truy nhập của người sử dụngđến các mạng số liệu Kiến trúc số liệu gói cdma2000 được mô tả trên hình 1.5 Kiếntrúc này dựa trên khái niệm các mạng số liệu nhà và mạng khách, được thể hiện bởi
HA và PDSN và các server AAA mạng nhà và mạng ngoài như: RADIUS hayDIAMETER được định nghĩa trong [RFC3141]
Trang 21AAA nhà
HA
Mạng AAA
Internet
Máy trạm
Mạng nhà Mạng khách
MIP
IP đ ơ n g iả n
Hình 1.5 Mạng lõi cdma2000 điển hình cùng với các hệ thống AAA
MS yêu cầu dịch vụ số liệu trong các hệ thống cdma2000 sẽ bị nhận thực hai lần:trên lớp vật lý và trên lớp liên kết Nhận thực lớp vật lý (hay truy nhập mạng và thiết
bị đầu cuối người sử dụng) được thực hiện bởi hạ tầng HLR và VLR Quá trình nàydựa trên IMSI được định nghĩa trong IS2000 Nhận thực trạm di động lớp liên kếtcdma2000 hay truy nhập mạng số liệu gói, được thực hiện bởi các cơ sở hạ tầng củacác server AAA và các client, trong đó các client được đặt trong các PDSN và các HA.Quá trình này dựa trên NAI (Network Access Identifier) được định nghĩa bởi IETFtrong [RFC2486] Đây là số nhận dạng có dạng user@homedomain (người sửdụng@miền nhà) cho phép mạng khách nhận dạng AAA server mạng nhà bằng cáchchuyển nhãn "home-domain" (miền nhà) thành địa chỉ AAA IP Hô lệnh từ PDSNcũng cho phép bảo vệ khỏi các tấn công dựa trên cơ chế phát lại
Ngoài ra, NAI cho phép phân phát liên kết an ninh MIP đặc thù để hỗ trợ nhận thựcPDSN/HA trong thời gian đăng ký di động, ấn định HA và chuyển giao giữa cácPDSN Lưu ý rằng AAA của mạng số liệu sẽ nhận thực người sử dụng, không nhưnhận thực lớp vật lý chỉ nhận thực MS Vì thế người sử dụng muốn truy nhập đến cácmạng số liệu công cộng hay riêng phải thực hiện đăng nhập và mật khẩu giống nhưnhững người sử dụng truy nhập số liệu từ xa, ngoài ra việc nhận thực thiết bị di độngxảy ra trong giai đoạn đăng ký Điều này dẫn đến tạm dừng khi khởi đầu điện thoạithường thấy ở hầu hết các người sử dụng máy thoại di động
Hệ thống số liệu cdma2000 đảm bảo hai cơ chế nhận thực khi sử dụng các phươngpháp truy nhập IP đơn giản và IP di động như định nghĩa trong [IS835] và [RFC3141]
Trang 22Như đã nói, đối với chế độ truy nhập IP đơn giản, nhận thực dựa trên CHAP, đây làmột bộ phận của đàm phán PPP Trong CHAP, PDSN ra lệnh cho MS bằng một giá trịngẫu nhiên MS phải trả lời lại bằng một chữ ký dựa trên tóm tắt lệnh MD-5, một tênngười sử dụng và một mật khẩu PDSN chuyển cặp câu lệnh/trả lời đến AAA servernhà để nhận thực người sử dụng.
Đối với IP di động, PDSN gửi đi một lệnh tương tự trong bản tin quảng cáo tácnhân tới MS Ngược lại, MS phải trả lời lệnh này bằng một chữ ký và NAI (được kiểmtra bởi mạng nhà), nhưng lần này trả lời từ MS được gửi đi khi yêu cầu đăng ký IP diđộng chứ không phải trong quá trình thiết lập phiên PPP Cả hai cơ chế này đều dựatrên các thông tin bí mật chung kết hợp với NAI được lưu tại mạng nhà và được hỗ trợbởi cùng một hạ tầng AAA server Trong cả hai trường hợp, số liệu thanh toán đượcthu thập tại PDSN và được chuyển đến AAA server PDSN thu thập các con số thống
kê mức độ sử dụng số liệu của từng người sử dụng, kết hợp với các bản ghi thanh toántruy nhập vô tuyến do PCF gửi đến và gửi chúng đến AAA server địa phương Lưu ýrằng thông tin thanh toán được thu thập bởi cả PCF và PDSN Đối với các người sửdụng chuyển mạng, AAA server có thể được lập cấu hình để gửi một bản sao của tất
cả các bản tin thanh toán RADIUS đến AAA server mạng nhà, đồng thời cũng lưu giữmột bản tại AAA server khách
Khi MS chuyển giao giữa hai PDSN, PDSN được giải phóng gửi đi bản tinAccouting Stop (dừng thanh toán) đến AAA server, và PDSN mà MS kết nối đến sẽgửi đi bản tin Accouting Start (bắt đầu thanh toán) đến AAA server Accounting Stop
từ PDSN giải phóng đôi khi có thể đến sau Accounting Start từ PDSN mới (PDSN cóthể không biết rằng MS đã rời đi, nhưng vẫn đợi thời hạn đăng ký hay tạm ngưngkhông tích cực PPP để kết thúc phiên) Điều này có nghĩa là server tính cước phải tiếpnhận nhiều chuỗi dừng/khởi từ các PDSN khác nhau và xử lý chúng như một phiênduy nhất, theo [IS 835] Khi một bộ định thời không tích cực PPP hay thời hạn MIP đãhết hay MS kết thúc phiên, liên kết R-P được giải phóng và một Accounting Stop đượcgửi đến AAA server
Lưu ý rằng cũng có tập các tốc độ cụm được định nghĩa trong các tiêu chuẩn liênkết vô tuyến dựa nhiều trên 14,4kbps thay vì 9,6kbps Tuy nhiên các tốc độ nàythường không được áp dụng do tốc độ đỉnh tổng hợp 23,04kbps không có vùng phủkhông gian tốt cho hầu hết các môi trường vô tuyến dẫn đến họ tập tốc độ này khônghấp dẫn trong các mạng thương mại so với họ 9,6kbps
Bên cạnh đó, hỗ trợ CHAP không cần cho MIP và chỉ là một lựa chọn cho cácphương pháp truy nhập IP đơn giản
Cho đến nay ta đã xét chi tiết các dịch vụ số liệu gói trong cdma2000, trong phầnsau ta sẽ trình bầy chi tiết như vậy đối với các hệ thống UMTS và GPRS
Trang 231.3 NỐI MẠNG SỐ LIỆU GÓI: GPRS VÀ MIỀN UMTS PS
Trong phần này ta sẽ xét các hệ thống GPRS và miền UMTS PS và các dịch vụcung cấp cho MS Ta sẽ xem xét các cách thức mà một MS có thể truy nhập vào cácmạng liệu gói, ví dụ như các giao thức được sử dụng và cách thức thực hiện nhận thựcngười sử dụng Ngoài ra ta cũng xem xét tình hình thị trường hiện nay liên quan đếnmột số khả năng được coi rằng sẽ gia tăng giá trị cho các nhà cung cấp nhưng chưađược cung cấp rộng rãi bởi các nhà sản xuất thiết bị mạng Cuối cùng ta kết thúc phầnnày bằng việc thảo luận các khả năng dịch vụ của hai hệ thống
1.3.1 Các phần tử GPRS
Hệ thống GPRS là một mở rộng nối mạng số liệu gói của hệ thống GSM trước đâyđược thiết kế cho các dịch vụ chuyển mạch kênh GPRS cho phép hỗ trợ truyền dẫn sốliệu bằng gói trên giao diện vô tuyến và khả năng di động số liệu gói trong mạng lõi.Triển khai GPRS chỉ đòi hỏi cập nhật phần mềm BSS để ghép các dịch vụ số liệu lêncác khe thời gian không bị chiếm bởi các dịch vụ CS, cơ chế điều khiển luồng và các
cơ chế phát lại cần thiết để truyền số liệu gói trên công nghệ truyền dẫn vô tuyến(GSM) Nó cũng yêu cầu cập nhật phần mềm HLR và cài đặt một số node mới trongmạng lõi như: SGSN và GGSN DNS, hệ thống quản lý địa chỉ, hệ thống AAA, tínhcước và mạng thông minh là các phần tử bổ sung, là các bộ phận của các dịch vụGPRS tiên tiến Kiến trúc GPRS và các đặc tả của nó được ETSI định nghĩa và bây giờđược duy trì bởi 3GPP Kiến trúc GPRS được trình bầy trên hình 1.6
BSC BTS
Internet 2G
GGSN
CGF
HLR MSC/VLR
MT
Um
Gp PLMN khác Số liệu và báo hiệu
Báo hiệu R
Hình 1.6 Kiến trúc GPRS
SGSN trong GPRS (còn được gọi là 2G SGSN) cung cấp các dịch vụ nén lớpmạng, chức năng phân đoạn và lắp ráp lại, lập khung và ghép kênh lớp liên kết, mật
mã hóa cũng như xử lý báo hiệu MS và quản lý di động (trong BSS, giữa các SGSN)
và quản lý các GTP tunnel được thiết lập đến các GGSN SGSN cũng tương tác với
Trang 24HLR và mạng thông minh, MSC và SMS-SC (SMS Service Center: Trung tâm dịch vụcác bản tin ngắn).
GGSN "neo giữ" các phiên truyền số liệu và cung cấp truy nhập đến các mạng sốliệu gói bằng cách hỗ trợ kết cuối các GTP tunnel từ SGSN mà MS hiện thời đang nốiđến Các GGSN cũng được sử dụng trong các mạng IP để cung cấp nền tảng và cổngđến các dịch vụ số liệu gói tiên tiến như trình duyệt Web, WAP, các mạng riêng ở xabao gồm các mạng được sử dụng để cung cấp hỗ trợ di động cho các người sử dụngkhông chuyển mạng (mạng bên trong PLMN), chuyển mạng (GRX: GPRS RoamingExchange: Tổng đài chuyển mạng GPRS) và các chức năng phần tử mạng GPRS
1.3.2 Các phần tử UMTS
UMTS cung cấp các dịch vụ số liệu gói qua vùng PS của nó (xem phần sau) Kiếntrúc UMTS được cho trên hình 1.7 tương tự như kiến trúc GPRS Cũng các nút mạngnhư vậy tham gia vào mạng lõi, nhưng giao thức GTP được sử dụng trong UMTS(GTPv1) không tương thích với các phiên bản giao thức GTP được sử dụng cho GPRS(GTPv0) Các điểm khác biệt khác là các khả năng dịch vụ (chẳng hạn UMTS hỗ trợQoS cùng với truyền thông đa phương tiện nhiều hơn) Ngoài ra, UMTS SGSN (3GSGSN) không kết cuối bất cứ giao thức lớp liên kết nào cũng như không cung cấp nénlớp mạng hay mật mã Nó chỉ đơn giản chuyển tiếp các gói giữa các GGSN và cácRNC (Radio Network Controller: Bộ điều khiển mạng vô tuyến) trên các GTP tunnel(trong đó các RNC đóng vai trò như các BSC trong GSM) Trong UMTS, chức năngRNC là quản lý tính di động của các MS giữa các nút B (NB: Node B, các UMTSBTS) Theo một trong các nguyên tắc cơ sở của UMTS, các hoạt động của RAN phảiđược dấu kín (không nhìn thấy) đối với mạng lõi Đây là một trong các lý do mà tất cảcác chức năng lớp liên kết UMTS được chuyển từ SGSN đến RNC
RNC
Internet 3G
GGSN
CGF
HLR MSC/VLR
MT
Uu
Gp PLMN khác Số liệu và báo hiệu
Báo hiệu
NB R
Hình 1.7 Kiến trúc UMTS
Trang 25Đặc tả hệ thống cho cả GPRS và miền UMTS PS cho Release 99 và các Releasesau này được đưa ra trong cùng một tài liệu [3GPP TS 21.060] Đặc tả này định nghĩatất cả các khía cạnh ở mức độ hệ thống từ 3GPP R99 trở đi và nó chỉ ra các điểm khácnhau giữa hai hệ thống Các điểm khác nhau này thường là rất ít và chủ yếu liên quanđến xử lý quản lý tính di động đầu cuối và giao tiếp với RAN Trong các Release trướcR99, kiến trúc GPRS được tả bởi [GSM TS 01.60].
1.3.3 Kiến trúc hệ thống GPRS và miền UMTS PS
Hệ thống GPRS chủ yếu định nghĩa hai phần tử: BSS và đường trục PLMN GPRSBSS là GSM BSS được bổ sung PCU để hỗ trợ các dịch vụ gói Đường trục PLMNbao gồm hai nút mới được nói từ trước là: SGSN và GGSN GGSN và SGSN được nốivới nhau qua một mạng IP và tương tác với nhau qua giao diện Gn dựa trên giao thứcGTP
Khi một người sử dụng chuyển mạng, người này nối đến một SGSN trong mạngkhách và một GGSN trong mạng nhà hoặc mạng khách Nếu GGSN nằm trong mạngnhà, mạng IP được sử dụng để nối SGSN khách đến GGSN nhà và được gọi là mạngđường trục giữa các PLMN (Inter-PLMN Backbone Network) Mạng đường trục giữacác PLMN thường được các nhà cung cấp dịch vụ dưới tên GRX (GPRS RoamingExchange – Tổng đài chuyển mạng GPRS) do Liên đoàn GSM định nghĩa Các ứng cửvận hành mạng GRX phải tuân thủ các yêu cầu do Liên đoàn GSM quy định Một nétđặc biệt của của GPRS liên quan đến GRX là SGSN trong mạng khách và GGSNtrong mạng nhà tương tác với nhau trên mạng GRX qua giao diện được gọi là Gp, giaodiện này hoàn toàn giống giao thức Gn Tuy nhiên vì các nhà cung cấp mạng vô tuyến
có thể quyết định cung cấp thêm các cơ chế an ninh để bảo vệ lưu lượng giữa cácPLMN – sẽ thực hiện bắt đầu từ phát hành 3GPP R5 – nên đã đưa ra tên mới cho giaodiện này mặc dù cơ chế an ninh nói trên vẫn chưa được chuẩn hóa
Hệ thống UMTS ngay từ đầu đã tính đến việc hỗ trợ cả mạng lõi chuyển mạch gói
và mạng lõi chuyển mạch kênh Một trong các nguyên tắc để đặc tả mạng truy nhập3G là sự độc lập mạng lõi với giao diện vô tuyến và hỗ trợ đa mạng lõi 3GPP đã địnhnghĩa miền CS cho các dịch vụ chuyển mạch kênh và miền PS cho các dịch vụ chuyểnmạch gói Vì tính di động trong UTRAN (UMTS Terrestrial Radio Access Network)phải trong suốt đối với mạng lõi UMTS, nghĩa là mạng lõi không biết rằng MS sẽ ởtrong BTS nào Để nhấn mạnh yêu cầu này, 3GPP quyết định RAN sẽ được đặc tả làmột mạng được cấu trúc từ các RNC và các Node B, không sử dụng thuật ngữ BSC vàBTS như trong hệ thống GSM Ngoài ra các mô hình và đề án nghiên cứu ban đầu đãđưa ra khái niệm các ANO (Access Network Operator: Nhà khai thác mạng truy nhập)
và các CNO (Core Network Operator: Nhà khai thác mạng lõi) Các khái niệm nàykhông được sử dụng trong thuật ngữ chính thức và các nỗ lực chuẩn hóa không tìmcách hỗ trợ chúng như các thực thể được công nhận chính thức
Trang 26Mạng lõi miền UMTS PS giống như mạng lõi GPRS Thực tế, bắt đầu từ R99, cảhai đặc tả hệ thống không có các khác biệt kỹ thuật liên quan đến mạng lõi Tuy nhiêncần lưu ý rằng có một số điểm khác nhau đáng kể giữa các dịch vụ khả dụng trongGPRS R98 và GPRS/UMTS R99 sẽ được ta nói đến trong phần còn lại của chươngnày Sở dĩ cần nói đến các khác biệt này giữa hai hệ thống vì thông thường GPRSđược định nghĩa theo R98 do phần lớn các mạng sẽ hỗ trợ UMTS chỉ bắt đầu từ R99trở đi (trừ một số nhà khai thác muốn sử dụng phổ tần hiện có vì không được cấp phépphổ tần của UMTS)
Các đặc tả GPRS định nghĩa các lớp giao thức mới trong BSS, là RLC (Radio LinkProtocol: Giao thức liên kết vô tuyến) và MAC (Medium Access Control: Điều khiểntruy nhập môi trường), để cho phép sử dụng cấu trúc lập khung của GSM cho GPRS.Đặc tả hệ thống GSM cho phép sử dụng một đến tám khe thời gian cho cả đường lên
và đường xuống Các đặc tả tiêu chuẩn này định nghĩa cách thích ứng các giao thứckhác nhau đối với dịch vụ liên kết logic do hệ thống này cung cấp, sử dụng giao thứcSNDCP (SubNetwork Dependent Convergence Protocol), bằng cách chuyển tiếp cáckhung LLC (Logical Link Control: Điều khiển liên kết logic) giữa MS và SGSN Chứcnăng chuyển tiếp này được đảm bảo bởi PCU, PCU cho phép tăng cường các GSMBSS để được BSS có khả năng phục vụ GPRS
GSM RAN với chức năng PCU tăng cường được nối đến mạng lõi GPRS qua giaodiện Gb, Gb định nghĩa dịch vụ mạng dựa trên chuyển tiếp khung (Frame Relay) vàtrên nó là giao thức BSSGP (BSS GPRS Protocol) (hình 1.8)
BSSGP
BSSGP LLC SNDCP Relay
L1
UDP/IP L2 GTP
IP
GTP
UDP/IP L2 L1
GTP-U UDP/IP AAL5
AAL5 UDP/IP
GTP-U GTP-U UDP/IP L2 L1
Relay
IP GTP-U UDP/IP L2 L1
Hình 1.8 Kiến trúc ngăn xếp giao thức mặt phẳng người sử dụng GPRS và
UMTS
Trang 27BSSGP được sử dụng để hỗ trợ các kênh logic bên trên dịch vụ mạng chuyển tiếpkhung Các kênh logic này được sử dụng để thực hiện định tuyến các khung giao thứcLLC giữa BSS và mạng lõi, vì thế BSC+PCU có thể định tuyến các khung LLC đếncell cần thiết Trên đường lên, BSSGP mang thông tin nhận dạng cell và mọi khungLLC được truyền tải trên giao thức LLC có thể cung cấp thông tin vị trí Thông thường
MS cập nhật vị trí (cập nhật cell) khi nó có một phiên tích cực (phát và thu số liệu)bằng cách phát đi một khung LLC
SNDCP, LLC và BSSGP cũng như dịch vụ mạng dựa trên Frame Relay được kếtcuối tại 2G SGSN Vì cả lưu lượng của người sử dụng lẫn thông tin điều khiển đềuđược truyền trên các giao thức này, và các dịch vụ lớp liên kết cho MS được kết cuốitại 2G SGSN, nên 2G SGSN đặc biệt phức tạp Tính phức tạp này dẫn đến các giới hạnnghiêm trọng về khả năng mở rộng Để giải quyết vấn đề này, trong khi phát triển cáctiêu chuẩn UMTS, người ta quyết định không kết cuối các lớp liên kết tại SGSN, vì thếgiảm bớt sự phức tạp của các phần tử này và cho phép nó mở rộng để hỗ trợ nhiều thuêbao hơn và vùng phủ rộng hơn Định cỡ một SGSN để phủ diện tích rộng hơn rất quantrọng Nó cho phép giảm thiểu báo hiệu quản lý di động liên quan đến chuyển giao vàchuyển giao trên vùng phủ trở nên dễ dàng hơn Trong UMTS, 3GPP định nghĩa mộtgiao diện rõ ràng hơn giữa RAN và mạng lõi miền PS gọi là giao diện Iu-PS Giaodiện này dựa trên phương thức truyền tải IP over ATM đối với mặt phẳng người sửdụng (lớp liên kết có thể dựa trên mọi công nghệ kể từ các phát hành sau R99 như R4
và R5), và trên giao thức RANAP (Radio Access Aplication Part) RANAP là một ứngdụng người sử dụng SCCP được mang trên SS7 băng rộng (MTP3-B được trình bầytrong [Q2210]) sử dụng dịch vụ SAAL-NNI (Signalling ATM Adaptation LayerNetwork-to-Network Interface) [Q2100] hay truyền tải IP dựa trên các giao thứcSIGTRAN: M3UA và SCCP
Các gói của người sử dụng được truyền trên Iu-PS sử dụng giao thức truyền tảiGTP/UDP/IP, sau đó được chuyển tiếp bởi RNC đến MS sử dụng các giao thức liênkết vô tuyến (PDCP, RLC/MAC) Chức năng PDCP (Packet Data ConvergenceProtocol: Giao thức hội tụ số liệu gói) trong UMTS giống như SNDCP trong GPRS
Nó cũng hỗ trợ các giao thức nén tiêu đề để giảm phần overhead cho các ứng dụngthời gian thực, đặc biệt đối với các ứng dụng VoIP (Voice over IP) tương lai VoIP sẽ
là sự tiến hóa của hệ thống UMTS khi ta chuyển sang R5 Các lớp RLC và MAC được
sử dụng để thực hiện lớp liên kết vô tuyến Các lớp này thực hiện các kênh liên kếtlogic trên lớp vật lý giao diện vô tuyến W-CDMA Hình 1.8 trình bầy tổng kết về cácngăn xếp giao thức đối với mặt phẳng người sử dụng cho cả hai hệ thống GPRS vàUMTS
Đầu cuối di động truyền thông tin điều khiển đến mạng lõi GPRS hay UMTS sửdụng giao thức RIL3 (Radio Interface Layer 3: Lớp 3 giao diện vô tuyến) được đặc tảtrong [3GPP TS 21.008] Giao thức này gồm GMM (GPRS Mobility Management:
Trang 28Quản lý di động GPRS) và SM (Session Management: Quản lý phiên) Trong GPRS,RIL3 được mang trên kênh LLC NULL và nó được xử lý bởi SGSN tại phía mạng lõi.Trong UMTS, giao thức này được truyền tải sử dụng thủ tục truyền trực tiếp trên giaothức RANAP SGSN xử lý thông tin từ đầu cuối, kết quả là nó có thể tương tác với cácphần tử khác trong mạng Chẳng hạn nó có thể mở các hội thoại MAP với HLR chocác thủ tục an ninh, nhận thông tin về thuê bao hay cho các mục đích định vị Nó cũng
có thể tương tác với mạng thông minh qua giao diện CAMEL [3GPP TS21.078] chẳnghạn cho các dịch vụ trả tiền trước đối với các người sử dụng GPRS
Các phiên số liệu gói trong GPRS và UMTS được thiết lập bằng cách thiết lập vàduy trì các GTP tunnel đến các GGSN Một GTP tunnel là một quá trình đóng bao cácgói người dùng giữa GGSN và SGSN trong GTP/UDP/IP Thực ra, đóng bao cũngđược định nghĩa là GTP/TCP/IP, nhưng từ R99 trở đi có sự nhất trí chung rằng dạngtunnel này không cần nữa, vì nó chỉ cần để truyền X.25 một cách tin cậy trên đườngtrục PLMN Rõ ràng X.25 không phải là phương thức nối mạng số liệu tương lai, cácnhà khai thác vô tuyến sẽ không cung cấp dịch vụ X.25 và các nhà cung cấp thiết bịnối mạng cũng không hỗ trợ nó
Một chức năng khác của SGSN là thu thập các số liệu tính cước và truyền nó đếnCGF (Charging Gateway Function: Chức năng cổng tính cước) trên giao diện Ga (xemhình 1.7) Giao diện Ga được xây dựng trên giao thức GTP [3GPP TS 32.015] SGSNcũng có thể hỗ trợ các dịch vụ SMS thông qua giao diện Gd đến SMS-GMSC và tươngtác với MSC/VLR qua gia diện Gs để điều phối nhắn tin và cập nhật vị trí
1.3.4 Các khả năng dịch vụ của GPRS và miền UMTS PS
Các hệ thống GPRS và miền UMTS PS về mặt nguyên tắc là đa giao thức và trunglập đối với lớp mạng hay các lớp liên kết của lưu lượng người sử dụng Các giao thứcngười sử dụng còn được gọi là PDP (Packet Data Protocol: Giao thức số liệu gói).Kiểu của giao thức này được nhận dạng theo thuật ngữ "kiểu PDP" Lúc đầu hệ thốngGPRS hỗ trợ nhiều kiểu PDP hơn là đã thực hiện và triển khai trong thực tế Chẳnghạn 3GPP đã khuyến nghị kiểu PDP hỗ trợ X.25 dựa trên cơ chế truyền TCP/IP tin cậycho các gói X.25 được đóng bao GTP trên đường trục GPRS Sau đó kiểu PDP này bịloại bỏ khỏi các đặc tả từ R99 trở đi và cũng không chắc rằng chúng sẽ có trong triểnkhai thực tế của các Release ban đầu Một thí dụ khác là IHOSS (Internet Host OctetStream Protocol: Giao thức luồng byte máy trạm internet) để hỗ trợ luồng các bit trongsuốt giữa GGSN và MS Kiểu PDP này cũng đã bị loại bỏ từ các đặc tả R99
GPRS đảm bảo hỗ trợ cho cả IPv4 và IPv6, nhưng IPv6 không được triển khaitrước năm 2004 Nó hỗ trợ PDP kiểu PPP từ R98, tuy nhiên tiếc rằng các nhà cung cấpđầu cuối vẫn chưa hào hứng thực hiện hỗ trợ kiểu PDP này và hiện nay ta vẫn chưathấy hỗ trợ thực sự cho kiểu PDP này Trong thực tế, chúng ta đang chứng kiến rấtnhiều các tranh luận không mong muốn về kiểu PDP này Một số nhà cung cấp tìm
Trang 29cách loại bỏ nó khỏi tiêu chuẩn, cho dù kiểu PDP này tỏ ra hữu ích trong việc cung cấpcác dịch vụ số liệu tiên tiến như truy nhập các mạng riêng.
Các hệ thống GPRS và miền UMTS PS cung cấp kênh truyền tải không tin cậy từGGSN đến MS Kênh này có thể được đặc trưng bởi một số các thông số QoS Cácthông số này khác nhau đối với các phát hành trước R99 và từ R99 trở đi Trong cácphát hành R99 và trở về sau, có thể phân biệt cách xử lý các gói khác nhau thuộc cùngmột phiên của người sử dụng Sở dĩ có sự phân biệt này là do khi thiết lập các kênhmang (PDP contexts: Các ngữ cảnh PDP) các loại lưu lượng khác nhau và lý lịch QoSđược liên kết trong cùng một phiên, và việc truyền các gói trên các kênh mang tươngứng dựa trên một số quy tắc phân loại khác nhau đã được thiết lập tại GGSN và MS.Khả năng này được đưa ra do yêu cầu cần phải cung cấp các khả năng đa phương tiệncho hệ thống UMTS Trong R98, chỉ có một mức QoS (và chỉ một PDP context có thểliên kết với một phiên)
1.3.5 Đầu cuối GPRS và miền UMTS PS
Có ba loại GPRS MS khác nhau:
+Loại A Loại này cho phép hỗ trợ đồng thời các dịch vụ GSM và GPRS.
+Loại B Trong loại này, MS giám sát các kênh tìm gọi của cả GSM và GPRS,
Một đầu cuối di động có khả năng truy nhập UMTS PS hay GPRS có thể hoặc là:+ Một thiết bị tích hợp cung cấp tính toán và truy nhập số liệu vô tuyến chỉ trongmột khối vật lý
+ Thiết bị có hai thành phần: một để truy nhập vô tuyến và một có khả năng hỗ trợcác ứng dụng số liệu
Cấu hình thứ hai giống như các máy tính xách tay hiện nay được trang bị các cardmodem PCMCIA hay kết nối nối tiếp đến modem Thực tế, các tiêu chuẩn 3GPP[3GPP TS29.061], [3GPP TS27.060] định nghĩa sự tồn tại của hai phần tử logic của
Trang 30MS: TE (Terminal Equipment: Thiết bị đầu cuối) và MT (Mobile Termination: Kếtcuối di động) TE là phần có khả năng tính toán của MS MT là phần để hỗ trợ các khảnăng truy nhập số liệu vô tuyến Khi TE và MT hoạt động như các phần tử độc lập,chúng có thể được kết nối với nhau bởi nhiều công nghệ (nối tiếp, hồng ngoại,Bluetooth…) với lớp liên kết dựa trên giao thức PPP hay một giao diện riêng khác.Hình 1.6 và 1.8 cho thấy hai thành phần của MS được phân cách với nhau bởi giaodiện R Giao diện này có thể là giao diện bên trong giữa hai phần tử của một thiết bịduy nhất hoặc giao diện giữa các thực thể vật lý khác nhau.
Khi giao diện PPP được sử dụng giữa TE và MT, vẫn có thể sử dụng kiểu IP PDP,nhưng thông tin nhận thực và cấu hình không sử dụng PPP để truyền tải giữa GGSN
và MT Ngoài ra, nó được đóng bao trong PCO IE (Protocol Configuration OptionsInformation Element), được chuyển tiếp trong suốt giữa RIL3 và GTP bởi SGSN.Bằng cách này, PPP tồn tại giữa TE và MT chứ không phải giữa MT và GGSN Chế
độ truy nhập này được gọi là truy nhập IP không trong suốt
Các đầu cuối di động cũng thường là đầu cuối có khả năng song mode GPRS/GSM
và UMTS, vì nhiều nhà khai thác sẽ triển khai UMTS tại các vùng mật độ dân cư cao,lưu lượng lớn và dựa trên GPRS để xử lý các người sử dụng trong các vùng đã có phủsóng 2G Thực tế, đây sẽ là một trong số các tính năng đầu cuối được yêu cầu phổ biếnnhất trong những ngày đầu của UMTS
1.4 KẾT LUẬN
Trong chương này chúng ta đã nghiên cứu nối mạng số liệu CS và PS trong các hệthống vô tuyến tổ ong Ta đã đề cập cả các khía cạnh đầu cuối và mạng lõi Các kiếnthức của chương này sẽ là cơ sở để nghiên cứu MVPN trong các chương sau
Trang 31CHƯƠNG 2: TỔNG QUAN MVPN
Trong chương này chúng ta sẽ nghiên cứu các khái niệm MPVN và phân tích côngnghệ của nó qua việc xem xét các kiến trúc và phân loại các mạng VPN số liệu truyềnthống, sau đó sẽ bổ sung khả năng di động để có được một bức tranh tổng thể Đầutiên ta định nghĩa VPN và phân tích các quy trình nối mạng riêng Tiếp theo sẽ thảoluận về các công nghệ mà mạng VPN hỗ trợ và phân loại VPN Cuối chương sẽ phântích mối quan hệ giữa các thuật ngữ vô tuyến (wireless) với di động (mobile) và giớithiệu VPN trong môi trường di động
ảo không cần quan tâm đến cấu hình thực tế của mạng vật lý mà chỉ cần biết cấu hìnhcủa mạng ảo Một mạng ảo có thể được quản lý bởi một thực thể quản trị duy nhất.Còn các mạng riêng thường được định nghĩa là các phương tiện nối mạng khôngchia sẻ kết hợp các máy trạm (host) và máy khách (client) trực thuộc một thực thểquản trị duy nhất Ví dụ điển hình của mạng riêng đó là mạng Intranet của một hãng.Mạng này chỉ được một số cá nhân có quyền quản trị thuộc hãng đó sử dụng
Vậy có thể định nghĩa nối mạng riêng ảo (Virtual Private Networking - VPN) là
mô phỏng của các mạng số liệu riêng để đảm bảo an ninh trên các phương tiện viễnthông công cộng chung không đảm bảo an ninh Các thuộc tính của VPN bao gồm các
cơ chế để bảo vệ số liệu, thiết lập sự tin tưởng giữa các máy trạm trong mạng ảo cũngnhư sự kết hợp giữa các phương pháp khác nhau để đảm bảo các thỏa thuận mức dịch
vụ (SLA: Service Level Agreement) và chất lượng dịch vụ (QoS: Quality of Service)cho các thực thể tạo nên mạng VPN
Có thể định nghĩa VPN từ nhiều góc độ Định nghĩa nói trên nhìn VPN từ quanđiểm nối mạng
Trong một vài năm trước, có một số quan điểm đưa ra một định nghĩa VPN rộnghơn để nó bao hàm cả các công nghệ lớp ứng dụng như TLS (Transport LayerSecurity: An ninh lớp truyền tải) Hiện nay các nhà cung cấp và các cộng đồng côngnghệ thông tin đã quan niệm quá đơn giản về vấn đề này và biến toàn bộ khái niệmVPN thành một thuật ngữ nối mạng chung đang được sử dụng rộng rãi cho các mụcđích tiếp thị Để thống nhất hai quan điểm này, chúng ta cần có một định nghĩa chungcho nối mạng số liệu VPN để chuyển đến các khía cạnh thực tế khi thực hiện nó
Trang 322.2 CÁC KHÁI NIỆM CHUNG NHẦM LẪN VỀ CÁC MẠNG RIÊNG
Các mạng số liệu riêng vẫn được xem như là công nghệ truyền tải cao hơn so với
IP VPN, hay thậm chí các mạng ATM và chuyển tiếp khung Điều này bắt nguồn từviệc cung cấp các dịch vụ viễn thông của các nhà khai thác dựa trên tính an ninh vàvững chắc của các tuyến cáp đồng và cáp quang của mạng truyền dẫn, nhưng quanđiểm nay là hoàn toàn vô căn cứ Thí dụ điển hình nhất của của các mạng riêng nhưvậy là PSTN, các đường thuê số liệu riêng và các mạng quay số ở cả hữu tuyến và vôtuyến Dưới đây ta sẽ cho thấy rằng các mạng dựa trên các phương tiện riêng dànhriêng cũng chịu chung các vấn đề khai thác như các mạng riêng ảo được cung cấp trêncác cơ sở hạ tầng nối mạng chung
2.2.1 Các mạng riêng đảm bảo an ninh
Người ta thường nói rằng một hệ thống đảm bảo được an ninh ngay cả khi đườngtruyền ở mức độ yếu kém Từ cách nhìn này, các phương tiện nối mạng riêng của nhàcung cấp dịch vụ chỉ được đảm bảo an ninh ở dạng phần tử riêng của nó, chẳng hạncáp đồng hoặc cáp quang, các kênh được thiết lập trên đường truyền vô tuyến (trongtrường hợp thông tin vô tuyến) và các phần tử chuyển mạch, định tuyến trên đườngtruyền số liệu Đoạn truyền yếu nhất của một mạng thường là môi trường vật lý, thôngthường môi trường này không được đảm bảo tính riêng tư và an ninh
Chẳng hạn, các đoạn mạng riêng được xây lắp trong các ống dẫn dưới mặt đất ởthành phố hoặc nông thôn (thường được đánh dấu bằng các ký hiệu khác nhau để phânbiệt chúng) hay treo (cáp trên các cột điện thoại, mà mọi người đều có thể với đếnbằng một thiết bị phù hợp và chúng chỉ được bảo vệ bởi lớp vỏ nhựa bọc ngoài)thường không được canh giữ và dễ dàng bị truy nhập trái phép với các mục đích hình
sự Kết quả là số liệu truyền giữa hai điểm của một hãng có thể bị lấy ra từ cáp quangdưới mặt đất chỉ đơn giản bằng cách rạch vỏ cáp và bóc lớp bảo vệ, uốn cong nó vàthu ánh sáng lọt ra ngoài bằng một thiết bị rẻ tiền thường được các kỹ thuật viên bảodưỡng sử dụng Số liệu truyền dẫn trên các mạch vòng cáp đồng trong các vùng đô thị
có thể bị truy nhập dễ dàng bằng cách đặt các nhánh rẽ cầu vào các đường dẫn khôngđược bảo vệ hoặc đặt đường rẽ trực tiếp đến các đầu cuối kết nối cho các phương tiệnxuyên qua tầng hầm của tòa nhà trong thành phố Các mạng dựa trên công nghệ lớpliên kết như ATM và chuyển tiếp khung, ngoài việc bị dễ bị tổn hại lớp vật lý cònthường xuyên bị các tấn công lớp mạng như các xâm phạm dụng ý xấu hoặc bị nghetrộm
Ngoài việc dễ bị tấn công của các phương tiện truyền tải, số liệu truyền tải trên cácmạng riêng thường không được các nhà cung cấp dịch vụ lẫn các công ty mật mã hóa
Vì họ cho rằng không thể thâm nhập vào cáp và các ống dẫn đặt dưới mặt đất, nên cácnhà cung cấp dịch vụ không lo lắng đến việc áp dụng các sơ đồ mật mã hóa hay cácbiện pháp mã hóa và nhận thực khác Các phòng IT của các hãng lại tin vào các nhà
Trang 33cung cấp dịch vụ rằng lưu lượng được truyền trên các phương tiện riêng của họ (nghĩa
là được đảm bảo an ninh), vì thế cũng không cần thiết phải áp dụng các biện pháp anninh phức tạp đầu cuối-đầu cuối
Tình trạng này cũng không sáng sủa hơn trong thông tin LAN vô tuyến và thôngtin di động Việc truy nhập đến thông tin được truyền trên đường vô tuyến thậm chícòn dễ hơn nhiều so với truy nhập thông tin truyền trên cáp Các hệ thống tương tự banđầu không đảm bảo bất kỳ biện pháp bảo vệ số liệu nào thậm chí cả việc nhận thực cầnthiết nên thường bị xâm nhập bằng thiết bị quét và giải mã rẻ tiền Điều này dẫn đếnhiện tượng nhân bản hàng loạt điện thoại di động vào những năm 1980 và 1990
Nền công nghiệp viễn thông vô tuyến đã giải quyết các vấn đề này bằng các hệthống số mới có các sơ đồ mật mã hóa ở giao diện vô tuyến và SIM, USIM trong cácmáy thoại GSM, UMTS để nhận thực và mật mã hóa Mặc dù các biện pháp này giảiquyết thành công các vấn đề xâm phạm các thiết bị di động, nhưng vấn đề an toàn sốliệu vẫn chưa được giải quyết tương xứng Các sơ đồ mật mã hóa giao diện vô tuyếncủa các hệ thống thông tin di động số 2G và 3G để bảo vệ số liệu của người sử dụngthường yếu và đắt tiền khi áp dụng vào thực tế và thường không đảm bảo kết quảmong muốn của khách hàng Kết quả là những biên pháp này là không bắt buộc đốivới nhiều hệ thống Ví dụ như an ninh giao diện vô tuyến trong cdma2000 chỉ là mộttùy chọn của các tiêu chuẩn TIA và thường không được các nhà sản xuất thiết bị hỗtrợ, còn mật mã hóa trong GSM có thể không cần hoặc được update nếu có yêu cầu
2.2.2 Các mạng riêng luôn luôn tin cậy
Trái với sự tin tưởng của nhiều người, đôi khi việc thuê riêng một phương tiệnriêng có thể để lộ ra các phá vỡ dịch vụ nghiêm trọng và phục hồi chậm hơn các mạngdựa trên công nghệ VPN Các mạng riêng dựa trên các kênh riêng ít tin cậy hơn nhiều
so với các công nghệ dựa trên việc sử dụng các liên kết ảo (như các mạng ATM,chuyển tiếp khung hay MPLS) hay các giải pháp dựa trên datagram (như IP VPN), chophép tự động định tuyến lại các luồng số liệu trên các tuyến ảo khác nhau trong trườnghợp sự cố ở đoạn nối trung gian hay tại các node
Thông thường các mạng riêng trải dài trên các khoảng cách lớn với nhiều phươngtiện liên kết và có nhiều kiểu thiết bị số liệu như: Các chuyển mạch, các router, các bộnối chéo và các SONET ADM( Synchronous Optical Network Add/Drop Multiplexer).Trong trường hợp có sự cố kênh hay đường riêng được dành riêng không thể tự độngđịnh tuyến lại số liệu qua các tuyến khác và không thể giữ được thông tin cho đến khidịch vụ được phục hồi Đôi khi sử dụng các vòng ring SONET để giải quyết vấn đềnày, nhưng chỉ ở lớp vật lý (đoạn nối mạng yếu nhất của hệ thống) và thường không ởdạng đầu cuối-đầu cuối Không chỉ riêng công nghệ vật lý trong một mạng riêng để lộ
ra các vấn đề về khả năng tồn tại của tuyến đầu cuối-đầu cuối
Trang 342.3 CÁC KHỐI CƠ BẢN CỦA VPN
Trong chương này ta sẽ xét các khối cơ bản của VPN bao gồm:
Điều khiển truy nhập
2.3.1 Điều khiển truy nhập
Điều khiển truy nhập (AC: Access Control) trong nối mạng số liệu được định nghĩa
là tập các chính sách và kỹ thuật điều khiển việc truy nhập đến các tài nguyên nốimạng riêng cho các phía được trao quyền Các cơ chế AC hoạt động độc lập với nhậnthực và an ninh và cơ bản định nghĩa các tài nguyên nào khả dụng cho một người sửdụng cụ thể sau khi người này đã được nhận thực Trong VPN, các thực thể vật lý nhưcác máy trạm ở xa, tường lửa và các cổng VPN trong các mạng thuộc hãng tham dựvào các phiên thông tin thường chịu trách nhiệm hoặc tham gia đảm bảo trạng thái cáckết nối VPN
có thể được điều hành bởi một server tập trung hay thiết bị điều khiển VPN khác đượcđặt tại trung tâm số liệu của nhà cung cấp dịch vụ, hay nó có thể được quản lý cục bộbởi cổng VPN trong các mạng có liên quan đến truyền thông VPN
Tập các quy tắc và hành động quy định các quyền truy nhập đến các tài nguyên
mạng được gọi là chính sách điều khiển truy nhập Chính sách điều khiển truy nhập
đảm bảo mục đích kinh doanh Chẳng hạn, chính sách "Cho phép truy nhập cho cácthuê bao từ xa không vượt quá 60 giờ sử dụng" có thể được thực hiện bằng cách sửdụng nhận thực dựa trên RADIUS và sử dụng một bộ đếm thời gian mỗi khi người sử
Trang 35dụng truy nhập Về mặt lý thuyết (xem [RFC2882]) có thể sử dụng bản tin RADIUSDISCONNECT (ngắt kết nối radius) để ngắt phiên của người sử dụng khi vượt quá 60giờ, nhưng đôi khi chính sách này lại được áp dụng tại thời gian đăng nhập (Logon)(chứ không phải tại thời điểm truy nhập) do người sử dụng không thường xuyên ở tìnhtrạng đăng nhập, hay bằng cách đặt ra một giới hạn khoảng thời gian của một phiên.
Có thể thực hiện các chính sách tương tự bằng cách thay đổi giới hạn thời gian bằngmột giới hạn tín dụng liên quan đến tài khoản trả trước
2.3.1.1 Trang bị chính sách và buộc thi hành
Các thí dụ về cơ chế trang bị chính sách theo tiêu chuẩn và ép buộc thi hành gồm
có LDAP (Lightweight Directory Access Protocol), một chuẩn dùng để yêu cầu mộtdanh mục, được định nghĩa bởi [RFC2820], [RFC2829] và RADIUS Các định nghĩa
về dịch vụ và các lệnh truy nhập đặc thù cho cả hai cơ chế này được lưu trong các cơ
sở dữ liệu tập trung Các thiết bị có trách nhiệm với các quyết định điều khiển truynhập như các router IP, các cổng VPN và các thiết bị mạng thông minh đều có thể truynhập vào các cơ sở dữ liệu này Ưu điểm chính của các phương pháp này là đơn giản
và dễ quản lý cũng như cung cấp Với LDAP, các thay đổi chính sách có thể được thựchiện bởi cả nhà cung cấp dịch vụ lẫn nhà quản lý IT của hãng bằng cách truy nhập đếnmột server có chứa một cơ sở dữ liệu riêng thay vì cung cấp lại thông tin được lưu trênrất nhiều phần tử mạng
Việc sử dụng RADIUS sẽ liên kết quá trình nhận thực người sử dụng với điềukhiển truy nhập và chọn lựa chính sách dịch vụ Sau mỗi lần chọn lựa chính sách truynhập, việc ép buộc thực thi có thể thực hiện tại thiết bị bằng cách yêu cầu một kho lưuchính sách sử dụng LDAP Trong những năm gần đây một giao thức mới tên là COPS(Common Open Policy Service, [RFC2748]) đã được đề suất để thực hiện trang bị và
ra quyết định chính sách cho các thiết bị đơn giản Việc sử dụng giao thức thức nàyvẫn còn rất hạn chế Tuy nhiên nó đã được 3GPP R5 chấp nhận để nhận thực các phiêntruyền thông Đây chính là cơ chế điều khiển truy nhập cho các mạng (có thể là cácVPN), được sử dụng để cung cấp các dịch vụ đa phương tiện trên các hệ thống 3G
2.3.1.2 Cổng bắt giữ (Captive Portal)
Chức năng AC có thể được thi hành tại điểm kết cuối các giao thức truy nhập bằngcách chỉ cho phép truy nhập mạng sau khi nhận thực giao thức truy nhập thành công
Nói một cách khác có thể thi hành AC mạng thông qua phương pháp cổng bắt giữ.
Phương pháp này thường được sử dụng trong các mạng truy nhập dựa trên WLAN vàcác mạng truy nhập băng rộng Nó buộc các người sử dụng phải nhận thực bằng cáchđiền vào một mẫu biểu trên một trang Web, là nơi duy nhất họ có thể truy nhập sau khiđạt được kết nối IP Điều này có thể được thực hiện qua chức năng chuyển hướng TCPtrên các cổng 80, 8000 và 8080 thường được sử dụng cho HTTP (giao thức được sửdụng để truyền các trang Web)
Trang 36Chức năng chuyển hướng TCP, được cài đặt trên một thiết bị mạng hay một routerthông thường tại biên của VPN (hay một mạng IP bất kỳ), sẽ giám sát tất cả các gói IPchuyển lên lớp truyền tải Nếu giao thức là TCP và số cổng là HTTP, địa chỉ nơi nhậncủa mạng và tiêu đề HTTP được thay đổi để yêu cầu trang Web phù hợp với trangWeb đầu vào cổng chính Một phương pháp khác được sử dụng khi thiết bị mạngkhông được thiết kế để hoạt động tại mức ứng dụng, bản thân cổng chính có thể hiểuđược để luôn luôn đáp trả các yêu cầu HTTP đến từ các địa chỉ IP không đăng ký(không được phép) bằng các phát đi trang Web đăng ký thông qua HTTP Khi đã thuthập chứng nhận và nhận thực thành công người sử dụng, cổng chính thông báo chothiết bị mạng và thiết bị này đưa lên chức năng chuyển hướng TCP và để cho lưulượng người sử dụng qua tự do, tất nhiên chỉ đến khi xảy ra một sự kiện nào đó sauđây: bộ định thời người sử dụng không tích cực, thời gian sử dụng hay giới hạn lưulượng bị vượt quá, khoảng thời gian được phép trước khi nhận thực mới được yêu cầu,hay thậm chí việc chuyển hướng đến một trang quảng cáo nào đó không làm thay đổitrạng thái này.
Chúng ta sẽ không đi sâu vào các chi tiết không liên quan đến mục đích chính củachương này, nhưng có thể thấy rằng việc thực hiện điều khiển truy nhập AC nói trênngày càng trở nên phổ biến do sự chuyển dịch các công nghệ truy nhập vào các môitrường quảng bá như WLAN, và sự chia sẻ các tài nguyên mạng truy nhập có thể cầnmột giai đoạn lựa chọn nhà cung cấp trước khi bắt đầu sử dụng dịch vụ Ngoài ra khilựa chọn nhà cung cấp, người sử dụng có thể được nhắc nhở trên một trang Web thứhai (mang tính cá nhân) về lý lịch tài khoản của người này, các hoạt động quảng cáo
và các đường nối đến các đối tác cung cấp các dịch vụ hấp dẫn khác Chức năng này
có thể được đặt tại các VPN hay các mạng dịch vụ và không thể truy nhập được chừngnào giai đoạn AC dựa trên cổng bắt giữ (captive portal) chưa được tiến hành thànhcông
Một số nhà cung cấp dịch vụ thậm chí không sử dụng sự phức tạp của captiveportals dựa trên chuyển hướng TCP, có thể vì thiết bị của họ chỉ kiểm tra các gói ởmức lớp mạng và chỉ có thể được lập cấu hình để cho phép truy nhập đến một số nơinhận của lớp mạng Thay vào đó họ đảm bảo truy nhập cho các người sử dụng nếu họchỉ ra cho các bộ trình duyệt của mình về một URL được in trên card đăng ký hay cardtrả tiền trước mà họ nhận được Sau khi đã qua giai đoạn nhận thực, mạng cho phépngười sử dụng được nhận dạng bằng địa chỉ nguồn IP (hay cả nhận dạng MAC lớp 2)
và có thể truy nhập thành công đến tất cả các đích
2.3.2 Nhận thực
Một trong các chức năng quan trọng nhất được VPN hỗ trợ là nhận thực Trong nốimạng riêng ảo, mọi thực thể liên quan đến truyền thông tin phải có thể tự nhận dạngmình với các đối tác liên quan khác và ngược lai Nhận thực là một quá trình cho phép
Trang 37các thực thể truyền thông kiểm tra các nhận dạng như vậy Một trong các phương phápnhận thực phổ biến được sử dụng rộng rãi hiện này là hạ tầng khóa công cộng PKI(Public Key Infrastructure) Đây là phương pháp nhận thực dựa trên chứng nhận, vàcác bên tham dự truyền thông tin sẽ nhận thực lẫn nhau bằng cách trao đổi các chứngnhận của họ Các chứng nhận này được đảm bảo bởi quan hệ tin tưởng với một bộphận thẩm quyền chứng nhận.
Quá trình nhận thực cũng có thể liên quan đến cung cấp thông tin nhận thực dựatrên bí mật chia sẻ (Shared Secret) như: Mật khẩu hay cặp khẩu lệnh/trả lời của CHAPtới thực thể nhận thực, hay như NAS (Network Access Server) để tra cứu một file địaphương hay yêu cầu server RADIUS Về mặt này hoạt động của VPN gồm hai kiểunhận thực: Nhận thực client-gateway và gateway-gateway Thí dụ nhận thực client-gateway là nhận thực trong môi trường số liệu gói của GPRS là nhận thực dựa trênRADIUS khi người sử dụng truy nhập GGSN Chỉ khi thành công họ mới được phépvào IPSec tunnel nối đến cổng IPSec của mạng khách hàng Trường hợp thứ haithường gặp khi kết nối site-site được thiết lập hay khi các mạng quay số ảo được sửdụng và nhận thực thiết lập tunnel LTP2 được yêu cầu giữa LAC (L2TP AccessConcentrator) và LNS (L2TP Network Server)
2.3.3 An ninh
Theo định nghĩa ở trên, VPN được xây dựng trên các phương tiện công cộng dùngchung không an toàn, vì thế tính toàn vẹn và mật mã hóa là yêu cầu nhất thiết phải có
Có thể đảm bảo an ninh cho VPN bằng cách triển khai một trong các phương pháp mật
mã hóa đã có hay cơ chế mật mã hóa kết hợp với các hệ thống phân bố khóa an ninh.Tuy nhiên cần nhắc lại rằng an ninh không chỉ giới hạn bởi mật mã hóa lưu lượngVPN Nó cũng liên quan đến các thủ tục phức tạp của các nhà cung cấp và khai thác(chẳng hạn cung cấp các SIM card cùng với các giải thuật và kiểm tra khóa bí mật), vàkhi VPN dựa trên mạng (network-based VPN), cần thiết lập mối quan hệ tin tưởnggiữa nhà cung cấp dịch vụ và khách hàng VPN, yêu cầu thoả thuận và triển khai các cơchế an ninh tương ứng Chẳng hạn, chỉ có thể truy nhập server AAA trong hãng bằngcách đảm bảo an ninh các bản tin RADIUS thông qua IPSec khi chúng truyền trên hạtầng chung Ngoài ra AAA server có thể trực thuộc một mạng không ở trong VPN đểcách ly lưu lượng AAA với lưu lượng người sử dụng
2.3.4 Truyền tunnel là nền tảng VPN
Truyền tunnel là công nghệ quan trọng nhất để xây dựng các IP VPN Truyềntunnel bao gồm đóng bao (encapsulation) một số gói số liệu vào các gói khác theo mộttập quy tắc được áp dụng cho cả hai đầu cuối của tunnel Kết quả là nội dung đượcđóng bao trong tunnel không thể nhìn thấy đối với mạng công cộng không an ninh nơicác gói được truyền Cần lưu ý rằng một tunnel có thể có nhiều điểm cuối khi sử dụngđịa chỉ nhận đa phương (Multicast)
Trang 38IP Tunnel Một chặng Kết nối vật lý
Hình 2.1 Truyền tunnel trong nối mạng riêng ảo
Khái niệm truyền tunnel được áp dụng cho nối mạng riêng ảo được trình bầy trênhình 2.1 Trên hình này, các gói được gửi đi từ máy trạm A đến máy trạm Z phải quarất nhiều chuyển mạch và router Nếu router C đóng bao gói đến từ máy A và cổng Y
mở bao gói, thì các nút khác mà gói này đi qua sẽ không nhận biết được gói đóng bao
"bên ngoài" này và sẽ không thể biết được phần tải tin cũng như địa chỉ điểm nhậncuối cùng của nó Bằng cách này, tải tin của gói được gửi giữa C và Y sẽ chỉ đượcnhận biết bởi hai nút mạng này và các máy A, Z là nơi khởi đầu và kết cuối lưu lượng.Điều này tạo ra một cách hiệu quả một "tunnel" mà qua đó các gói được truyền tải vớimức an ninh mong muốn
Có thể định nghĩa tunnel bởi các điểm cuối của nó, các thực thể mạng nơi tháo bao
và giao thức đóng bao được sử dụng Các kỹ thuật truyền tunnel hỗ trợ các VPN nhưL2TP hay PPTP được sử dụng để đóng bao các khung lớp liên kết (PPP) Tương tự các
kỹ thuật truyền tunnel như IP trong IP và các chế độ IPSec được sử dụng để đóng baocác gói lớp mạng
Theo ngữ cảnh nối mạng riêng ảo, truyền tunnel có thể thực hiện ba nhiệm vụchính sau:
+ Đóng bao
+ Tính trong suốt đánh địa chỉ riêng
+ Toàn vẹn số liệu đầu cuối-đầu cuối và tính bảo mật
Tính trong suốt đánh địa chỉ riêng cho phép sử dụng các địa chỉ riêng trên hạ tầng
IP nơi cho phép đánh địa chỉ công cộng Vì các nội dung của gói được truyền tunnel
và các thuộc khác như các địa chỉ, chỉ có thể được hiểu từ bên ngoài các điểm đầu cuốitunnel, đánh địa chỉ IP riêng hoàn toàn được che đậy khỏi các mạng IP công cộng bằngcách sử dụng các địa chỉ hợp lệ (hình 2.2)
Trang 39Mạng riêng Internet Mạng riêng
Địa chỉ riêng Địa chỉ công cộng Địa chỉ riêng
Hình 2.2 Che đậy địa chỉ IP bằng tunnel
Các chức năng toàn vẹn và bảo mật đảm bảo rằng một kẻ không được phép khôngthể thay đổi các gói truyền tunnel của người sử dụng và nhờ vậy nội dung của góiđược bảo vệ chống truy nhập trái phép Ngoài ra theo tuỳ chọn, truyền tunnel có thểbảo đảm sự toàn vẹn của tiêu đề gói IP bên ngoài, vì thế sẽ đảm bảo nhận thực nguồngốc số liệu Chẳng hạn trong IP VPN có thể sử dụng tiêu đề IPSec AH (AuthenticationHeader) để bảo vệ các địa chỉ IP của các đầu cuối tunnel Tuy nhiên trong truyền thông
số liệu, những trường hợp này không được xem là vấn đề quan trọng và thực tế nhiềucổng VPN thậm chí không áp dụng AH Lí do là nếu gói truyền tunnel của người sửdụng được bảo vệ bởi ESP và gói này được mật mã hóa bằng cách sử dụng phân phốikhóa an ninh, các kỹ thuật quản lý cũng như các giải thuật không dễ bị phá vỡ như3DES (Triple Data Encryption Standard), thì mọi mục đích thay đổi địa chỉ IP để chặnhoặc để gửi lưu lượng đều thất bại Vì thế các điểm cuối được sử dụng với ý đồ xấu sẽkhông có cách nào tham dự vào liên kết an ninh dựa trên ESP IPSec (EncapsulationSecurity Payload) Do vậy, mặc dù việc biện pháp đảm bảo an ninh dễ dàng được nhận
ra nhưng khó có thể chuyển đổi được số liệu bị đánh cắp Đây là điều mà các kháchhàng VPN quan tâm và cũng là lý do việc sử dụng AH còn hạn chế
Lưu ý rằng AH vẫn hữu ích khi cần cung cấp thông tin điều khiển thiết lập tunnel
Ví dụ để bảo vệ các bản tin đăng ký MIP (Mobile IP) thì sử dụng AH là bắt buộc.Khi áp dụng truyền tunnel để tạo lập một Mobile VPN, bốn chức năng (đóng bao,trong suốt đánh địa chỉ riêng, toàn vẹn số liệu đầu cuối-đầu cuối và bảo mật) phải đikèm với một tập các cơ chế để đảm bảo chuyển mạch tunnel động hay thiết lập lạinhằm hỗ trợ tính di động của người sử dụng VPN Trong chương này chúng ta sẽ bànluận chi tiết về yêu cầu bổ sung này Các hệ thống số liệu gói dựa trên di động hiện đạinhư GPRS, UMTS và cdma 2000, sử dụng cơ chế truyền tunnel GTP hay MIP GTP
và MIP được thiết kế để hỗ trợ di động Tunnel di động dựa trên các công nghệ này cóthể được móc nối với các tunnel tĩnh tại biên của các mạng vô tuyến để cung cấp đadạng các kiến trúc MVPN
Đánh nhãn (MPLS) và VPN
MPLS cho phép định tuyến các gói IP qua đường trục IP dựa trên địa chỉ IP khôngphải của nơi nhận cuối cùng Một trong các ứng dụng của MPLS là kỹ thuật điều khiển
Trang 40lưu lượng - định tuyến các gói trên các tuyến được quyết định bởi tiêu chuẩn khác vớichỉ định tuyến IP tối ưu, dựa trên nhu cầu cung cấp một số mức QoS nào đó, hay chọncác liên kết chi phí tối thiểu (minimum-cost) hoặc định tuyến trên các liên kết ít được
sử dụng để chia sẻ tải Một ứng dụng quan trọng khác của MPLS là cung cấp các dịch
vụ VPN dựa trên mạng (network-based) giữa các mạng khách hàng có nhiều site haycòn gọi là các VPN đa site (xem hình 2.3) VPN dựa trên mạng là một dịch vụ do nhàcung cấp dịch vụ cung cấp qua PE (Provider Edge) đến các mạng khách hàng Cácrouter PE thường nối đến các site khách hàng qua các router CE (Customer Edge)bằng công nghệ lớp 2 hay truyền tunnel cũng như MPLS
Mạng nhà cung cấp dịch vụ Site khách
Các router CPE khác
CPE: Customer Premises Equipment- Thiết bị đặt tại khách hàng
PED: Provider Edge Device- Thiết bị biên nhà cung cấp
PCD: Provider Core Device- Thiết bị lõi nhà cung cung cấp
VC: Kênh ảo
Hình 2.3 VPN đa site dựa trên mạng của nhà cung cấp dịch vụ
Sử dụng MPLS để cung cấp các dịch vụ VPN liên quan đến khả năng điều khiểnthiết lập các LSP (Label switched Path) thông qua một giao thức phát hiện/phân phốithành viên của VPN site hiệu quả Có hai trường phái chính về việc sử dụng MPLS đểcung cấp các VPN Một trường phái cho rằng cần sử dụng một router PE hoàn toànđược điều khiển bởi nhà cung cấp và được trang bị nhiều bảng định tuyến, ta gọiphương pháp này là phương pháp router đơn thuần Trường phái thứ hai cho rằng PErouter phải hoạt động dựa trên các router ảo và rằng các khách hàng phải có khả năngđiều khiển chúng ở mức độ nào đó Ta sẽ không kết luận phương pháp nào là tốt nhất,
vì thực tế sẽ quyết định khi nào thì sử dụng phương pháp nào là hợp lý Tuy nhiên ta
sẽ phân tích ưu khuyết của từng phương pháp
Phương pháp router PE đơn thuần dựa trên khả năng của mỗi router hỗ trợ mộtbảng định tuyến cho một VPN site và mỗi bảng định tuyến này sẽ quảng cáo về cáctuyến trong nội miền (intradomain) giữa các site mạng khách hàng bằng cách sử dụnggiao thức IBGP (Internet Border Gateway Protocol) và các tuyến liên miền(Interdomain) bằng cách sử dụng BGP Trong trường hợp một tiền tố mạng thuộc mộtsite nào đó chồng lấn lên một tiền tố khác của một site khác được quảng cáo bởi cùngmột router PE, tuyến này sẽ đi kèm với phân biệt tuyến để tạo nên họ địa chỉ IPv4VPN Tuyến này có thể được liên kết tới hai thuộc tính BGP bổ sung: thuộc tính VPN