Đại Học Quốc Gia Tp.Hồ Chí Minh TRƯỜNG ĐẠI HỌC BÁCH KHOA - TRƯƠNG QUANG DŨNG THIẾT KẾ MẠNG TRỤC ĐA DỊCH VỤ IP/MPLS ĐỘ TIN CẬY CAO Chuyên ngành: Kỹ thuật điện tử LUẬN VĂN THẠC SĨ TP.HỒ CHÍ MINH, tháng 06 năm 2011 CƠNG TRÌNH ĐƯỢC HỒN THÀNH TẠI TRƯỜNG ĐẠI HỌC BÁCH KHOA ĐẠI HỌC QUỐC GIA TP.HỒ CHÍ MINH Cán hướng dẫn khoa học: TS Lưu Thanh Trà Cán chấm nhận xét 1: TS Nguyễn Minh Hoàng Cán chấm nhận xét 2: PGS.TS Phạm Hồng Liên Luận văn thạc sĩ bảo vệ Trường Đại học Bách Khoa, ĐHQG Tp.HCM, ngày 12 tháng 07 năm 2011 Thành phần Hội đồng đánh giá luận văn Thạc sĩ gồm: TS Phan Hồng Phương PGS.TS Phạm Hồng Liên TS Nguyễn Minh Hoàng TS Lưu Thanh Trà TS Đỗ Hồng Tuấn Chủ tịch Hội đồng đánh giá LV Bộ môn quản lý chuyên ngành TRƯỜNG ĐH BÁCH KHOA TP.HCM CỘNG HOÀ XÃ HỘI CHỦ NGHIÃ VIỆT NAM PHÒNG ĐÀO TẠO SĐH Độc Lập - Tự Do - Hạnh Phúc _ Tp HCM, ngày tháng năm 2010 NHIỆM VỤ LUẬN VĂN THẠC SĨ Họ tên học viên: TRƯƠNG QUANG DŨNG Phái: Nam Ngày, tháng, năm sinh: 09/07/1983 Nơi sinh: Lâm Đồng Chuyên ngành: Kỹ thuật Điện tử MSHV: 01408366 1- TÊN ĐỀ TÀI: THIẾT KẾ MẠNG TRỤC ĐA DỊCH VỤ IP/MPLS ĐỘ TIN CẬY CAO 2- NHIỆM VỤ VÀ NỘI DUNG: − Khảo sát trạng khai thác mạng VNPT, nhu cầu phát triển dịch vụ giai đoạn 2010 -2015 Phân tích vấn đề tồn với trạng mạng VNPT đề phương hướng giải − Thiết kế hạ tầng mạng nhằm đáp ứng nhu cầu phát triển VNPT theo tiêu chí dung lượng, khả dự phòng, khả mở rộng − Thiết kế kiến trúc dịch vụ hạ tầng mạng mới, đáp ứng định hướng khai thác phát triển dịch vụ cho VNPT giai đoạn 2010-2015 − Xây dụng mơ hình thử nghiệm đánh giá giải pháp thiết kế Kết đánh giá làm sở thể mức độ đắn giải pháp − Xây dựng kế hoạch chuyển đổi dịch vụ khai thác từ mạng cũ sang mạng 3- NGÀY GIAO NHIỆM VỤ: 01/ 07/2010 4- NGÀY HOÀN THÀNH NHIỆM VỤ: 01/07/2011 5- CÁN BỘ HƯỚNG DẪN: TS LƯU THANH TRÀ CÁN BỘ HƯỚNG DẪN (Họ tên chữ ký) CN BỘ MÔN QL CHUYÊN NGÀNH (Họ tên chữ ký) KHOA QL CHUYÊN NGÀNH (Họ tên chữ ký) i LỜI CẢM ƠN Trước hết, tơi xin chân thành kính gửi đến q thầy ban giảng huấn chương trình Cao học Kỹ thuật Điện tử khóa 2009 Trường Đại học Bách khoa Tp.Hồ Chí Minh lời cảm ơn sâu sắc kiến thức q báu thầy truyền thụ cho thời gian học tập trường Lời tri ân trực tiếp xin kính gửi TS Lưu Thanh Trà tận tình định hướng dẫn dắt tơi hồn thành Luận văn tốt nghiệp Nhân đây, xin cảm ơn bạn bè thân thiết động viên nhiệt tình hỗ trợ tơi q trình theo học Đại học Bách khoa Tp.Hồ Chí Minh Và hết, xin tỏ lòng biết ơn gia đình hết lịng quan tâm giúp đỡ tinh thần cho suốt thời gian qua Xin chân thành cảm ơn Thành phố Hồ Chí Minh, tháng 06 năm 2011 TRƯƠNG QUANG DŨNG ii TÓM TẮT Năm 2003, VNPT xây dựng hệ thống mạng IP/MPLS để triển khai dịch vụ NGN Đến hạ tầng mạng VNPT gặp phải vấn đề khả nâng cấp, mở rộng dung lượng Việc VNPT trì hệ thống tồn song song dẫn đến vấn đề đầu tư chồng chéo, hiệu Bên cạnh đó, kiến trúc mạng hạn chế khả đa dạng hoá dịch vụ VNPT Đề tài “Thiết kế mạng trục đa dịch vụ IP/MPLS độ tin cậy cao” thực với mục tiêu xây dựng cho VNPT mơ hình mạng IP/MPLS khắc phục nhược điểm mơ hình Mạng IP/MPLS tảng hợp để thành viên VNPT khai thác giai đoạn 2010-2015 Kiến trúc mạng đề tài xây dựng để đáp ứng yêu cầu vận hành khai thác VNPT thoả mãn tiêu chí dung lượng, độ tin cậy cao, quan trọng đem lại kiến trúc mở cho loại hình dịch vụ NGN Những khuyến nghị sách an ninh mạng sách QoS đề tài phân tích nhằm nâng cao chất lượng phục vụ khách hàng VNPT Sau xây dựng kiến trúc mạng phù hợp, đề tài mơ mơ hình mạng IP/MPLS theo kiến trúc để đánh giá lại giải pháp đề xuất Cuối cùng, đề tài xây dựng phương án lộ trình khả thi đề chuyển tồn dịch vụ mà VNPT khai thác từ mạng cũ sang mạng iii ABSTRACT In 2003, VNPT built IP/MPLS networks for intergrating NGN applications Now, VNPT’s infrastructure has problems of the limitation in capacity and upgrade ability Due to maintenancing separate networks, VNPT’s business is facing to double investment issue Thesis named “Design reliable multiservices IP/MPLS core network” is introduced to proposing VNPT’s new IP/MPLS network architecture It should become the consolidate infrastructure which supplying transport service for NGN applications of VNPT in period of 2010-2015 The scopes of thesis are analysing current VNPT’s network issues and figuring out solution for problems New network architecture is also based on the requirements of network capacity, high-availability and services deployment mechanisim Thesis also designs security policy and QoS model for network A simple IP/MPLS network model is simulated for prove of concept (POC) purpose Subscribers and many type of traffic are also simulated to review the solutions of thesis Finally, a migration plan is designed to migrate all VNPT’s services from current network to new one iv THUẬT NGỮ VIẾT TẮT AAA Authentication, Authorization, and Accounting AS Autonomous System ASBR Autonomous System Border Router BGP-RR BGP Route-reflector BRAS Broadband Remote Access Server CE router Customer Edge router CIR Commit Information Rate CLI Command Line Interface DSLAM Digital Subscriber Line Access Multiplexer DWDM Dense Wavelength Division Multiplexing HA High Availability HMAC-MD5 Hash-based Message Authentication Code- MessageDigest algorithm 5) HSI High Speed Internet ICMP Internet Control Message Protocol IGMP Internet Group Management Protocol IPTV Internet Protocol TV IS-IS Intermediate System to Intermediate System ISP Internet Service Provider IXP Internet Exchange Provider LSA Link State Advertisement LDP Label Discovery Protocol LSP Label Switch Path MAC Media Access Control MAN-E Metro Area Network – Ethernet standard MPLS Multi Protocol Label Switch MVPN Multicast Virtual Private Network v NGEN MVPN Next-Generation MVPN NIX National Internet Exchange NTP Network Time Protocol P Provider router (Core router) PE Provider Edge router PIM Protocol Imdependent Multicast PIR Peak Information Rate POP Place Of Present PSTN Plain Old Telephone Network RADIUS Remote Authentication Dial In User Service RD Route Distinguisher RP Redezvous Point RPF Reverse-Path Forwarding RSVP Resource Reservation Protocol RT Route Target SHA-1 Secure Hasing Algorithm -1 SNMP Simple Network Management Protocol SSH Sercure Shell STM Synchronous Transfer Mode TACACS+ Terminal Access Controller Access Control System Plus TE Traffic Engineering VLL Virtual Lease Line VoD Video on Demand VPLS Virtual Private Lan Service VPRN Virtual Private Router Network VRF Virtual Router and Forwarding vi DANH MỤC HÌNH VẼ Hình 1.1 Kiến trúc hình học mạng VNPT Hình 2.1 Cơ chế Dual-IP layer (Dual Stack) 15 Hình 2.2 Cơ chế Tunneling IPv6 qua mạng IPv4 16 Hình 2.3 Nhu cầu giao tiếp IPv4 IPv6 17 Hình 2.4 Cơ chế chuyển đổi giao thức NAT-PT 17 Hình 2.5 Kết nối vật lý mạng VN2 20 Hình 2.6 Single-PE đặt tỉnh thành 21 Hình 2.7 Dual-PE router đặt khu vực có dung lượng lớn 22 Hình 2.8 ASRR router đặt HNI, HCM, DNG 22 Hình 2.9 Dual-P router đặt HNI, HCM, DNG, CTO, HPG .23 Hình 2.10 Kiến trúc luận lý tổng thể mạng VN2 24 Hình 2.11 Cấu trúc mạng VNPT tương lai 25 Hình 2.12 Kiến trúc BGP-RR phân cấp .28 Hình 2.13 Dense-mode flooding 30 Hình 2.14 PIM Dense-mode pruning 31 Hình 2.15 PIM Sparse-mode share tree 32 Hình 2.16 PIM Sparse-mode short path tree 33 Hình 2.17 Hình thành multicast loop mạng 34 Hình 2.18 Tránh multicast loop dùng RPF 36 Hình 2.19 Kiến trúc MPLS đề nghị cho mạng VN2 36 Hình 2.20 Cơ chế LDP over RSVP tunnel 40 Hình 2.21 “LDP over RSVP tunnel” mặt phẳng 42 vii Hình 2.22 LDP over RSVP backup tunnel mặt phẳng 43 Hình 2.23 Quy trình thực QoS .45 Hình 2.24 QoS từ PE sang P router .53 Hình 2.25 QoS vùng P router .54 Hình 2.26 Network QoS policy 54 Hình 2.27 Minh hoạ sách lọc gói tin 63 Hình 2.28 Xác thực giao thức định tuyến .65 Hình 2.29 Mã hố password/key 66 Hình 3.1 Kiến trúc tổng thể VNPT 68 Hình 3.2 Mơ hình dịch vụ MPLS 71 Hình 3.3 Giải pháp truy nhập cho thuê bao băng rộng 71 Hình 3.4 Cơ chế định tuyến IP Pool dành cho thuê bao Internet 72 Hình 3.5 Đường lưu lượng Internet 74 Hình 3.6 Chính sách điều khiển lưu lượng Internet .74 Hình 3.7 Thơng tin BGP route tối ưu 76 Hình 3.8 Đường ngắn đến router sở hữu BGP route 76 Hình 3.9 Quảng bá Internet route qua iBGP session 77 Hình 3.10 Lưu lượng từ VN2 Internet .78 Hình 3.11 Cân lưu lượng hướng dùng virtual next-hop 79 Hình 3.12 Điều khiển lưu lượng ISP/IXP 80 Hình 3.13 Truy nhập vào mạng VN2 thơng qua MAN-E 81 Hình 3.14 Mơ hình kết nối dịch vụ VPRN 82 Hình 3.15 Mơ hình kết nối dịch vụ VLL .85 GVHD: TS Lưu Thanh Trà interface ge-1/1/0.23; interface ge-1/0/0.26; } ldp { interface lo0.2; } pim { rp { static { address 4.4.4.4; } } interface all { mode sparse; } } } {master} p2@VTN2_M20_RE1:P2> HVTH: Trương Quang Dũng - 147 - GVHD: TS Lưu Thanh Trà - 148 - Phụ lục Cấu hình Router P3 mơ hình VN2 p3@VTN2_M20_RE1:P3> show configuration interfaces { ge-1/0/0 { unit 23 { description "P3 < -> P2"; vlan-id 23; family inet { address 23.0.0.3/24; } family iso; family inet6 { address 3ffe::0023:0003/112; } family mpls; } } ge-1/1/0 { unit 13 { description "P3 < -> P1"; vlan-id 13; family inet { address 13.0.0.3/24; } family iso; family inet6 { address 3ffe::0013:0003/112; } family mpls; } unit 37 { description "P3 < -> BGP_RR"; vlan-id 37; family inet { address 37.0.0.3/24; } family iso; family inet6 { address 3ffe::0037:0003/112; } family mpls; } } lo0 { unit { family inet { address 3.3.3.3/32; } family iso { address 49.0084.0000.0030.0300.3003.00; } } } } protocols { HVTH: Trương Quang Dũng GVHD: TS Lưu Thanh Trà - 149 - igmp { interface all; } rsvp { interface ge-1/0/0.23; interface ge-1/1/0.13; interface ge-1/1/0.37; } mpls { path-mtu { rsvp mtu-signaling; } label-switched-path lsp-P3-P1 { to 1.1.1.1; ldp-tunneling; optimize-timer 14400; link-protection; } label-switched-path lsp-P3-P2 { to 2.2.2.2; ldp-tunneling; optimize-timer 14400; link-protection; } label-switched-path lsp-P3-BGP_RR { to 7.7.7.7; ldp-tunneling; optimize-timer 14400; link-protection; } interface ge-1/0/0.23; interface ge-1/1/0.13; interface ge-1/1/0.37; } ldp { interface lo0.3; } pim { rp { static { address 4.4.4.4; } } interface all { mode sparse; } } } {master} p3@VTN2_M20_RE1:P3> HVTH: Trương Quang Dũng GVHD: TS Lưu Thanh Trà - 150 - Phụ lục Cấu hình Router PE4 mơ hình VN2 dungtq@VTN2_M20_RE1 > show configuration interfaces { ge-1/1/0 { unit 14 { description "PE4 < -> P1"; vlan-id 14; family inet { address 14.0.0.4/24; } family iso; family inet6 { address 3ffe::0014:0004/112; } family mpls; } unit 44 { description "PE4 < > CE4"; vlan-id 44; family inet { address 10.0.4.1/30; } } } lo0 { unit 400 { family inet { address 44.44.44.44/32; } } unit { family inet { address 4.4.4.4/32; } family iso { address 49.0084.0000.0040.0400.4004.00; } } } ge-0/3/0 { unit 44 { description "PE4-VRF < -> Port 1/0/1 N2X"; vlan-id 44; family inet { address 10.44.44.1/24; } } unit { description "PE4 < -> Port 1/0/1 N2X"; vlan-id 4; family inet { address 10.4.4.1/24; } family iso; HVTH: Trương Quang Dũng GVHD: TS Lưu Thanh Trà - 151 - } } } routing-options { static { route 44.0.0.4/32 next-hop 10.0.4.2; } router-id 4.4.4.4; autonomous-system 45899; } protocols { igmp { interface all; } isis { interface interface interface interface lo0.0; ge-1/1/0.14; ge-1/1/0.12; ge-0/3/0.4; } rsvp { interface ge-1/1/0.14; } mpls { path-mtu { rsvp mtu-signaling; } label-switched-path lsp-PE4-P1 { to 1.1.1.1; ldp-tunneling; optimize-timer 14400; link-protection; } label-switched-path lsp-p2mp-PE4-PE5 { to 5.5.5.5; bandwidth 100; p2mp p2mp-mvpn; } label-switched-path lsp-p2mp-PE4-PE6 { to 6.6.6.6; bandwidth 100; p2mp p2mp-mvpn; } label-switched-path p2m-lsp-template { template; link-protection; p2mp; } label-switched-path lsp-PE4-PE5 { to 5.5.5.5; link-protection; } label-switched-path lsp-PE4-PE6 { to 6.6.6.6; link-protection; } interface ge-1/1/0.14; } HVTH: Trương Quang Dũng GVHD: TS Lưu Thanh Trà - 152 - bgp { group I_BGP { type internal; local-address 4.4.4.4; family inet { any; } family inet-vpn { any; } export to-RR; neighbor 7.7.7.7 { family inet { any; } family inet-vpn { any; } family inet-mvpn { signaling; } export to-RR; } } } ldp { interface lo0.4; interface lo0.0; } pim { rp { static { address 4.4.4.4; } } interface all { mode sparse; } } } policy-options { prefix-list redis-bgp { 10.0.4.0/30; 44.0.0.4/32; } policy-statement to-RR { term { from { prefix-list redis-bgp; } then { next-hop self; accept; } } } } routing-instances { HVTH: Trương Quang Dũng GVHD: TS Lưu Thanh Trà - 153 - VRF { instance-type vrf; interface ge-1/1/0.44; interface lo0.400; interface ge-0/3/0.44; route-distinguisher 45899:1004; provider-tunnel { rsvp-te { static-lsp p2mp-mvpn; } } vrf-target target:45899:1000; vrf-table-label; routing-options { static { route 44.0.0.4/32 next-hop 10.0.4.2; } auto-export; } protocols { pim { vpn-group-address 239.1.1.1; rp { static { address 55.0.0.5; } } interface all { mode sparse; } } mvpn { sender-site; route-target { import-target { unicast; } export-target { target target:4:5; } } } } } } } HVTH: Trương Quang Dũng GVHD: TS Lưu Thanh Trà - 154 - Phụ lục Cấu hình Router PE5 mơ hình VN2 pe5@VTN2_M20_RE1:PE5> show configuration interfaces { ge-1/0/0 { unit 25 { description "PE5 < -> P2"; vlan-id 25; family inet { address 25.0.0.5/24; } family iso; family inet6 { address 3ffe::0025:0005/112; } family mpls; } } ge-1/1/0 { unit 55 { description "PE5 < > CE5"; vlan-id 55; family inet { address 10.0.5.1/30; } } } ge-1/3/0 { unit { description "PE5 < -> Port 101/2 N2X"; vlan-id 5; family inet { address 10.5.5.1/24; } } } lo0 { unit { family inet { address 5.5.5.5/32; } family iso { address 49.0084.0000.0050.0500.5005.00; } } unit 500 { family inet { address 55.55.55.55/32; } } } } protocols { igmp { interface ge-1/3/0.5; HVTH: Trương Quang Dũng GVHD: TS Lưu Thanh Trà - 155 - } rsvp { interface ge-1/0/0.25; } mpls { path-mtu { rsvp mtu-signaling; } label-switched-path lsp-PE5-P2 { to 2.2.2.2; ldp-tunneling; optimize-timer 14400; link-protection; } label-switched-path lsp-PE5-PE4 { to 4.4.4.4; link-protection; } label-switched-path lsp-PE5-PE6 { to 6.6.6.6; link-protection; } interface ge-1/0/0.25; } bgp { group I_BGP { type internal; local-address 5.5.5.5; family inet { any; } family inet-vpn { any; } export to-RR; neighbor 7.7.7.7 { family inet { any; } family inet-vpn { any; } family inet-mvpn { signaling; } } } group E_BGP { type external; local-address 10.5.5.1; family inet { any; } local-as 45899; neighbor 10.5.5.2 { family inet { any; } HVTH: Trương Quang Dũng GVHD: TS Lưu Thanh Trà - 156 - peer-as 7643; } } } ldp { interface lo0.5; } pim { rp { static { address 4.4.4.4; } } interface all { mode sparse; } } } policy-options { prefix-list redis-bgp { 10.0.0.0/8; 10.0.5.0/30; 55.0.0.5/32; } policy-statement to-RR { term { from { prefix-list redis-bgp; } then { next-hop self; accept; } } term { from { protocol bgp; external; } then { next-hop self; accept; } } } } routing-instances { VRF { instance-type vrf; interface ge-1/1/0.55; interface lo0.500; route-distinguisher 45899:1005; vrf-target target:45899:1000; vrf-table-label; routing-options { static { route 55.0.0.5/32 next-hop 10.0.5.2; route 10.55.55.0/24 next-hop 10.0.5.2; HVTH: Trương Quang Dũng GVHD: TS Lưu Thanh Trà - 157 - } auto-export; } protocols { pim { vpn-group-address 239.1.1.1; rp { static { address 55.0.0.5; } } interface all { mode sparse; } } mvpn { route-target { import-target { unicast; } export-target { target target:4:5; } } } } } } routing-options { static { route 55.0.0.5/32 next-hop 10.0.5.2; } router-id 5.5.5.5; autonomous-system 45899; } {master} pe5@VTN2_M20_RE1:PE5> HVTH: Trương Quang Dũng GVHD: TS Lưu Thanh Trà - 158 - Phụ lục Cấu hình Router BGP_RR mơ hình VN2 bgp_rr@VTN2_M20_RE1:BGP_RR> show configuration interfaces { ge-1/0/0 { unit 37 { description "P3 < -> BGP_RR"; vlan-id 37; family inet { address 37.0.0.7/24; } family iso; family inet6 { address 3ffe::0037:0007/112; } family mpls; } } lo0 { unit { family inet { address 7.7.7.7/32; } family iso { address 49.0084.0000.0070.0700.7007.00; } } } } protocols { igmp { interface all; } rsvp { interface ge-1/0/0.37; } mpls { path-mtu { rsvp mtu-signaling; } label-switched-path lsp-BGP_RR-P3 { to 3.3.3.3; ldp-tunneling; optimize-timer 14400; link-protection; } interface ge-1/0/0.37; } bgp { group I_BGP { type internal; local-address 7.7.7.7; family inet { any; } HVTH: Trương Quang Dũng GVHD: TS Lưu Thanh Trà - 159 - family inet-vpn { any; } cluster 7.7.7.7; neighbor 4.4.4.4 { family inet { any; } family inet-vpn { any; } family inet-mvpn { signaling; } cluster 7.7.7.7; } neighbor 5.5.5.5 { family inet { any; } family inet-vpn { any; } family inet-mvpn { signaling; } cluster 7.7.7.7; } neighbor 6.6.6.6 { family inet { any; } family inet-vpn { any; } family inet-mvpn { signaling; } cluster 7.7.7.7; } } } ldp { interface lo0.7; } pim { rp { static { address 4.4.4.4; } } interface all { mode sparse; } } } routing-options { router-id 7.7.7.7; HVTH: Trương Quang Dũng GVHD: TS Lưu Thanh Trà autonomous-system 45899; } {master} bgp_rr@VTN2_M20_RE1:BGP_RR> HVTH: Trương Quang Dũng - 160 - LÝ LỊCH TRÍCH NGANG Họ tên: Trương Quang Dũng Ngày, tháng, năm sinh: 09/07/1983 Nơi sinh: Lâm Đồng Địa liên lạc: 226 chung cư Phường 3, Quận 4, Tp.HCM Quá trình đào tạo 09/2009 – nay: Đại học Bách khoa Tp.HCM Cao học Kỹ thuật Điện tử 08/2001 – 12/2005: Học viện Cơng nghệ Bưu Viễn thơng Tp.HCM Kỹ sư Điện tử Viễn thơng Q trình cơng tác 01/2006 – nay: Công ty Viễn thông Liên tỉnh ... mạng hạn chế khả đa dạng hoá dịch vụ VNPT Đề tài ? ?Thiết kế mạng trục đa dịch vụ IP/ MPLS độ tin cậy cao? ?? thực với mục tiêu xây dựng cho VNPT mô hình mạng IP/ MPLS khắc phục nhược điểm mơ hình Mạng. .. MSHV: 01408366 1- TÊN ĐỀ TÀI: THIẾT KẾ MẠNG TRỤC ĐA DỊCH VỤ IP/ MPLS ĐỘ TIN CẬY CAO 2- NHIỆM VỤ VÀ NỘI DUNG: − Khảo sát trạng khai thác mạng VNPT, nhu cầu phát triển dịch vụ giai đoạn 2010 -2015 Phân... Datagram IPv4 (phần tải gói tin IPv4 truyền hạ tầng mạng gói tin IPv6) đó, gói tin truyền qua IPv4 Hình 2.2 Cơ chế Tunneling IPv6 qua mạng IPv4 Trong mơ hình này, router làm nhiệm vụ đóng gói tin IPv6