c. SIP Server
4.4.Giải phỏp SIP server tại VPBank
4.4.1. SIP server
4.4.1.1.Cỏc loại Server
SIP Server
Nhỡn chung Server là thiết bị trờn mạng nhận yờu cầu từ cỏc client và trả lời một hoặc nhiều yờu cầu từ Client. SIP server cũng khụng phải ngoại lệ.
SIP được định nghĩa làm 4 loại Server khỏc nhau trong mạng bao gồm: Redirect, Proxy, Registrar và User Agent.
Redirect: Trả lại thụng tin địa chỉ cho Clients Proxy: Tạo cỏc yờu cầu thay mặt cho cỏc Clients Registrar: Quản lý cỏc thụng tin xỏc nhận vị trớ
User Agent server là độc nhất trong SIP gửi và nhận thụng tin đa phương tiện. Nú hoạt động như một server nếu nú được tiếp nhận yờu cầu từ Client và cung cấp cõu trả lời cho Client.
Nhưng khi núi đến SIP Server thỡ nhỡn chung chỳng ta chỉ đề cập đến: Redirect, Proxy hoặc Registrar; Những Server này khụng gửi và nhận thụng tin nhưng bao gồm cung cấp luụn cỏc chức năng của User Agent.
Tờn Server hỗ trợ phản ỏnh vựng của User được hỗ trợ như tờn cụng ty TRA triển khai dịch trờn mạng cú thể cú tờn là SIP: tra.com
SIP sử dụng DNS để tỡm, xỏc nhận Server trong mạng.
SIP Server hoạt động ở hai chế độ: Chế độ Redirect và Proxy
Hỡnh 4.3: Nguyờn tắc hoạt động của Redirect server
Ở chế độ Proxy tương tự vớ dụ trờn khỏc ở chỗ là SIP Server sau khi nhận được thụng tin xỏc định vị trớ của Jdoe rồi SIP Server lại forward thụng tin mời gọi từ student cho Jdoe. Khi Jdoe chấp nhận lại gửi thụng tin OK đến SIP Server rồi lại forward đến cho Student cứ như vậy với ACK. Rồi Student và Jdoe kết nối và truyền thụng với nhau thụng qua sự giỏm sỏt và quản lý của SIP Server. SIP Server hoàn toàn khụng biết thụng tin truyền qua giữa hai bờn. Nú là phần từ trung gian dẫn đường cỏc yờu cầu từ UA Client đến UA Server và Trả lời trả lời cỏc yờu cần phản hồi lại từ UA Client.
Nú quyết định đường đi, chuyển tiếp thụng tin tới UA đớch. Nú cú thể sửa thụng tin yờu cầu trước khi chuyển tiếp, dựa trờn nội dung yờu cầu và cấu hỡnh Proxy. Nhiều Proxy cú thể được định sẵn trong đường từ UA Client đến AU Server.
Một Proxy cú thể vận hành ở hai dạng trạng thỏi: Stateless và Stateful mode. Với Statusless proxy chỉ chuyển tiếp cỏc yờu cầu và phản hồi theo cỏch là gạp bỏ sau khi chuyển tiếp, chuyển tiếp thành phần đơn (khụng hỗ trợ multi kết nối) cú thể sử dụng giao thức truyền TCP cho độ tin cậy cao. Với Stateful proxy lưu thụng tin về trạng thỏi giao dịch khởi tạo bởi yờu cầu từ bờn ngoài vào theo cỏch là “Transaction Stateful” tức là Proxy sẽ giữa lại, chỉ ra cỏc trạng thỏi từ mỗi yờu cầu đến khi kết thỳc phản hồi nhận được, “Call Stateful” tức Proxy giữa lại tất cả trạng thỏi của cuộc gọi như là giải quyết nhiều yờu cầu, giao dịch. Stateful mode cho phộp bắt giữa cỏc thụng tin hỗ trợ tớnh cước, tớnh toỏn, bảo mật và quản lý.
Vấn để về nhiều Proxy server cũng được SIP giải quyết tương tự như phương thức hoạt động của DNS[12].
Hỡnh 4.4: Mụ hỡnh nhiều server
4.4.1.2.Registration
SIP Registration: Là thụng tin gắn vào để xỏc nhận user trong cuộc goi SIP. Thụng tin này cú dạng chuẩn là URI (Uniform Resource Identifier). Nú được chia làm hai phần: tờn và tờn miền hoặc địa chỉ IP. Vớ dụ: room@la.marriott.com, Jdoe@123.45.67.89. Thụng tin này được lưu dưới dạng cơ sở dữ liệu nờn cú thể hết hạn nờn cần phải được cập nhật. Cú thể cú nhiều địa chỉ xỏc nhận cho một user. Thụng tin đăng ký bao gồm: mức độ chấp nhõn ưu tiờn, Giao thức kết nối và thụng thin kết nối hỗ trợ (Thụng tin được nộn theo chuẩn nào?).
Registration: Registration được ỏnh xạ vào bản ghi địa chỉ user (vớ dụ: jdoe@tra.com). Một bản ghi user cú thể cú nhiều địa chỉ liờn lạc ỏnh xạ vào. UA cung cấp cho SIP Registrar Server cựng với thụng tin sử dụng yờu cầu SIP Register. Registrar lưu trữ và cập nhật ỏnh xạ qua dịch vụ xỏc nhận. Vựng của Registrar Server phự hợp với vựng của địa chỉ bản ghi User.
Dịch vụ xỏc nhận vị trớ (location Service): Cơ sở dữ liệu lưu giữ kết nối bản ghi user với vị trớ lạc. Chức năng xỏc nhận vị trớ cú thể cựng với chức năng Proxy và Redirect trờn cựng một SIP server. Giao diện từ SIP server đến dịch vụ xỏc định vị trớ khụng được ủy thỏc cú thể sử dụng một số phương thức truy nhập LDAP, SQL…Dịch vụ xỏc định vị trớ cú thể được cập nhật bởi một số Registrar, Proxy và Redirect server hỗ trợ User và tờn miền tương ứng.
Registration Request: Đầu tiờn phải nối đến trường Header nú rất quan trọng bởi vỡ nú phõn biệt địa chỉ liờn lạc và yờu cầu từ đõu. Đầu tiờn trường header là một yờu cầu URI và phõn biệt miền của dịch vụ xỏc định vị trớ đú là Hosting.
Nội dung cơ bản của Register Request: Địa chỉ liờn lạc ỏnh xạ trờn miền của user. Vớ dụ: Địa chỉ Jdoe.@tra.com muốn cập nhật thụng tin vị trớ thỡ phải sử dụng tờn miền là tra.com để xỏc định user thuộc vựng nào. Bản tin bao gồm địa chỉ bản ghi user đến và địa chỉ bản ghi của user yờu cầu. Cú thể cú nhiều địa chỉ tới trong một bản ghi yờu cầu. Mỗi địa chỉ cú thể cú cỏc tham số phức tạp như độ ưu tiờn, thời gian quỏ hạn.
Thụng tin địa chỉ liờn lạc cú thể được cập nhật, làm tươi nhưng khụng thể thay đổi địa chỉ. Vớ dụ địa chỉ liờn lạc: <sip:jdoe@la.marruott.com>; q=0.4; expires=7200, <sip:jdoe@12.10.47.111>; q=0.7; exprires=86400
4.4.1.3.Locating SIP Server
Trong cỏc phần trờn đó núi về cỏc loại SIP server redirect, proxy, registrar. Trong phần này sẽ thảo luận về locating server làm thế nào để xỏc định vị trớ UA.
Hỡnh 4.5: Mụ hỡnh server xỏc định vị trớ
Khi UA cú địa chỉ rsmith@itsp.com gửi thụng tin mời gọi AU cú chỉ jdoe@tra.com đến outbound proxy server (proxy.itsp.com) nú sẽ phõn tớch được tờn miền của UA đớch là tra.com và gửi tiếp thụng tin mời gọi đến inbound proxy server (proxy.tra.com) đang quản lý UA cú địa chỉ jdoe@tra.com. Để proxy.itsp.com tỡm được proxy.tra.com qua phõn giả tờn miền trờn mạng (DNS) như với giao thức HTTP trờn mạng internet.
Ta phõn tớch một mụ hỡnh cụ thể như sau:
Hỡnh 4.6: Mụ hỡnh cụ thể server xỏc định vị trớ
UA cú địa chỉ jdoe@tra.com sử dụng laptop di động kết nối với một mạng Visited network và được DHCP của mạng này cấp cho một địa chỉ IP. (2) UA sẽ đăng ký với proxy.vis.com với liờn lạc jdoe@tra.com. Thụng qua phõn giải địa chỉ tờn miền DNS mà proxy.vis.com tỡm được proxy.tra.com và gửi thụng tin đăng ký của jdoe@tra.com đến proxy.tra.com. (3) Khi UA cú địa chỉ rsmith@itsp.com thiết lập (adsbygoogle = window.adsbygoogle || []).push({});
cuộc gọi với AU jdoe@tra.com đầu tiờn nú gửi yờu cầu mời gọi jdoe đến proxy.itsp.com. proxy.itsp.com sẽ phõn tớch tờn miền của AU jdoe thụng qua hệ thống DNS mà nú tỡm và gửi đến proxy.tra.com. Proxy.tra.com sẽ gửi thụng tin mời gọi đến UA jdoe bởi vỡ nú chứa thụng tin về UA jdoe và biết được vị trớ của UA jdoe[12].
4.4.2. Thiết kế hệ thống
Tại trụ sở chớnh (HO): Bổ xung thờm một mỏy chủ cài đặt phần mềm quản lý hệ thống thoại IP (SIP Server chạy mode Proxy-Statusfull) vào hệ thống mạng tại phũng server.
Nhõn viờn ngõn hàng cú thể kết nối vào hệ thống để nhận và thực hiện cuộc gọi nội bộ cũng như ra bờn ngoài bằng điện thoại IP hoặc softphone qua mạng internet. Tại trụ sở chớnh và cỏc chi nhỏnh, phũng giao dịch liờn kết thụng qua hệ thống mạng WAN.
Mỗi chi nhỏnh khi thực hiện cuộc gọi quốc tế sẽ thụng qua cỏc nhà cung cấp dịch vụ điện thoại Internet quốc tế (ITSP).
Cỏc chi nhỏnh phũng giao dịch được kết nối với nhau bằng hệ thống VPN, tại cỏc chi nhỏnh lớn cú sử dụng thờm đường ADSL.
4.4.3. Sơ đồ kết nối thoại chi nhỏnh
Sơ kết nối mạng thoại của hệ thống và ra quốc tế:
4.4.4. Danh sỏch thiết bị
Bảng 4.1: Danh sỏch thiết bị VoIP
STT Tờn thiết bị Đơn vị Ghi chỳ
1 Điện thoại analog Cỏi Sử dụng lại cơ sở vật chất cũ.
2 SIP server Bộ PC cài đặt phần mềm SIP server.
3
Gateway 2/4/6/8 FXO or Gateway 2/4/6/8 FXO,
FXS
Cỏi
Là thiết bị để cắm dõy line của telco (FXO) cắm điện thoại analog FXS. Số cổng FXO, FXS tựy thuộc vào chi nhỏnh lớn nhỏ và nhu cầu sử dụng.
4 Điện thoại IP Cỏi Tựy thuộc nhu cầu sử dụng.
5 Soft phone Cài đặt trờn mỏy tớnh (Mic và tai
nghe).
6 PBX Cỏi Sử dụng lại cơ sở vật chất cũ.
7 Đường truyền Line điện thoại PSTN, MegaWAN,
ADSL, Leaseline.
4.4.5. Mụ hỡnh thiết bị
4.4.6. Đặc điểm cuộc gọi
Bảng 4.2: Cỏc đặc điểm cuộc gọi
STT Dịch vụ cuộc gọi Giỏ trị kinh tế
1 Cuộc gọi cỏc mỏy lẻ tại chi nhỏnh. Khụng mất tiền.
2 Cuộc gọi VOIP giữa cỏc chi nhỏnh với (adsbygoogle = window.adsbygoogle || []).push({});
nhau.
Khụng mất tiền.
3 Cuộc gọi từ Internet vào điện thoại
VOIP của VPBank.
Khụng mất tiền.
4 Cuộc từ điện thoại VoIP của VPBank
đến cỏc số điện thoại cố định tại cỏc tỉnh thành cú chi nhỏnh của VPBank
Tớnh cước nội hạt.
5 Cuộc gọi ra quốc tế. Giỏ rẻ (Phụ thuộc vào nhà
cung cấp dịch vụ VoIP quốc tế)
6 Gọi ra cỏc mạng Viettel, Vina, Mobile,
Sfone, Vietnammobile, EVNtelecom, Gtelmobile, Gọi đến điện thoại cố định tại cỏc tỉnh khụng cú chi nhỏnh.
Tớnh cước bỡnh thường theo giỏ điện thoại cố định PSTN.
4.5. Giải phỏp bảo mật cho hệ thống mạng VPN của VPBank 4.5.1. Phõn tớch cỏc giải phỏp cho ngành ngõn hàng 4.5.1. Phõn tớch cỏc giải phỏp cho ngành ngõn hàng
Giới thiệu về Brekeke Software, Inc
Là cụng ty chuyờn về cỏc sản phẩm điện thoại VoIP theo chuẩn SIP, Brekeke Software, Inc. được sỏng lập vào năm 2002 ở San Mateo, California. Tập trung vào việc phỏt triển phần mềm điện thoại chất lượng cao và cài đặt cỏc hệ thống VoIP mới ở nhiều cụng ty với quy mụ khỏc nhau, Brekeke đang trở thành một cụng ty dẫn đầu trong thị trường IP-PBX và phần mềm mỏy chủ SIP. Cỏc sản phẩm chớnh của họ, OnDO PBX và OnDO SIP Server chạy trờn cỏc hệ nền Microsoftđ Windowsđ 2000/XP, Red Hatđ Linuxđ 8.x/9.x.
Brekeke SIP Server - SIP Proxy, Registrar Server
Phần mềm dựa trờn giao thức SIP (Session Initiation Protocol). Brekeke SIP Server cung cấp nền tảng kết nối tin cậy, an toàn và từng nấc cho doanh nghiệp và nhà cung cấp dịch vụ.
Nú được xỏc định trờn SIP cơ bản với đặc tả RFC 3261, Brekeke SIP Server cung cấp chức năng của SIP Registrar Server, SIP Redirect Server và SIP Proxy Server.
Nú là SIP Server đầy đủ vận hành bằng cỏch tối ưu húa quỏ trỡnh xử lý, điều khiển cuộc gọi. Brekeke SIP Server cỏc hệ điều hành Window, Linux, Solaris, Linux[13].
Hỡnh 4.9: Mụ hỡnh kết nối cỏc LAN qua internet
Hỡnh 4.10: Mụ hỡnh kết nối cỏc LAN qua VPN
4.5.2. Cài đặt và triển khai hệ thống Brekeke SIP Server
SIP server sử dụng trong bài bỏo cỏo này là Brekeke SIP server Version 2.3.7.4. Bạn cú thể tải về từ địa chỉ: http://www.brekeke.com đớnh kốm Product ID qua địa chỉ email khi bạn đăng ký. Trước khi cài đặt phần mềm này, bạn cần phải cài đặt Java Virtual Machine được tải miễn phớ trờn trang web: http://www.java.sun.com.
Giả sử một mụ hỡnh kết nối 3 PC (1 PC làm SIP server đặt tại HO, 1 PC cài Softphone X-lite đặt tại HO, 1 PC cài Softphone X-lite đặt tại phũng giao dịch, 3 router kết nối HO, chi nhỏnh cấp 1 và phũng giao dịch). Mụ hỡnh kết nối được vẽ dưới đõy:
Hỡnh 4.11: Kết nối thiết bị với Router
Cấu hỡnh cho PC:
Cài đặt phần mềm Brekeke SIP server cho PC 1. Đặt địa chỉ cho PC: Đặt địa chỉ: 192.168.0.1; Subnet mask: 255.255.255.0; Default gateway: 192.168.0.3. Chạy ứng dụng Brekeke SIP server, chương trỡnh đũi hỏi bạn phải kết nối internet. Sau khi chạy ứng dụng thành cụng sẽ xuất hiện màn hỡnh login qua web, user và password mặc định là “sa”[13].
Hỡnh 4.12: Màn hỡnh đăng nhập Brekeke SIP server
Sau khi đăng nhập thành cụng sẽ hiển thị màn hỡnh SIP server đó được Active: (adsbygoogle = window.adsbygoogle || []).push({});
Hỡnh 4.13: Màn hỡnh trạng thỏi đăng nhập thành cụng
Sau đú bạn tiến hành cỏc thao tỏc tựy biến trờn SIP server như sau: Màn hỡnh tạo User:
Hỡnh 4.14: Màn hỡnh tạo User
Tương tự tạo user tiếp theo: User: 102; Name: TTTH_Hoatvs.
Softphone 1 được cài phần mềm X-lite. PC được đặt địa chỉ IP: 192.168.0.2; Subnet mask: 255.255.255.0; Default gateway: 192.168.0.3; Sau khi cài đặt ta vào phần Sip account setting/add điền cỏc thụng tin giống như đó đăng ký trờn SIP server
(user: TTTH_Hoanvs, password: hoanvs). Trong phần Domain đặt địa chỉ IP của SIP server. Sau đú chọn OK.
Tương tự đối softphone 2 đặt tại phũng giao dịch: Đặt địa chỉ IP cho PC: 192.168.3.2; Subnet mask: 255.255.255.0; Default gateway: 192.168.3.1; Cấu hỡnh cho softphone: với User: TTTH_hoatvs, Password: hoatvs.
Cấu hỡnh cho Router: Router A:
Gỏn địa chỉ interface Ethernet 0/0: 192.168.0.3 Subnet mask: 255.255.255.0 Gỏn địa chỉ interface Serial 0/0: 192.168.1.1 Subnet mask: 255.255.255.0 Sử dụng giao thức định tuyến Rip chi tiết:
RA(config-if)# interface fastEthernet 0/0
RA(config-if)# ip address 192.168.0.3 255.255.255.0 RA(config-if)# no shutdown
RA(config)# interface Serial 0/0
RA(config-if)# ip address 192.168.1.1 255.255.255.0 RA(config-if)# clock rate 64000
RA(config-if)# no shutdown RA(config)# router rip
RA(config-router)# network 192.168.1.0 RA(config-router)# network 192.168.0.0 RA(config-router)# end
Router B:
Gỏn địa chỉ interface Serial 0/0: 192.168.1.2 Subnet mask: 255.255.255.0 Gỏn địa chỉ interface Serial 0/1: 192.168.2.1 Subnet mask: 255.255.255.0 Sử dụng giao thức định tuyến Rip như sau:
RB(config)# interface Serial 0/0
RB(config-if)# ip address 192.168.1.2 255.255.255.0 RB(config-if)# clock rate 64000
RB(config-if)# no shutdown RB(config)# interface Serial 0/1
RB(config-if)# clock rate 64000 RB(config-if)# no shutdown RB(config)# router rip
RB(config-router)# network 192.168.1.0 RB(config-router)# network 192.168.2.0 RB(config-router)# end
Router C:
Gỏn địa chỉ interface Ethernet 0/0: 192.168.3.1 Subnet mask: 255.255.255.0 Gỏn địa chỉ interface Serial 0/0: 192.168.2.2 Subnet mask: 255.255.255.0 Sử dụng giao thức định tuyến Rip như sau:
RC(config-if)# interface fastEthernet 0/0
RC(config-if)# ip address 192.168.3.1 255.255.255.0 RC(config-if)# no shutdown
RC(config)# interface Serial 0/0
RC(config-if)# ip address 192.168.2.2 255.255.255.0 RC(config-if)# clock rate 64000
RC(config-if)# no shutdown RC(config)# router rip
RC(config-router)# network 192.168.2.0 RC(config-router)# network 192.168.3.0 RC(config-router)# end (adsbygoogle = window.adsbygoogle || []).push({});
Thực hiện cuộc gọi: Sau khi 2 softphone đó đăng ký với SIP server, ta cú thể thực hiện cuộc gọi. Vớ dụ tại Softphone 2 ta nhập: TTTH_Hoanvs@192.168.0.2 và gọi thỡ tại softphone1 (user: TTTH_Hoanvs) sẽ nhận được chuụng bỏo và ta cú thể thực hiện cuộc gọi bỡnh thường.
Trường hợp từ softphone gọi ra điện thoại PSTN ta phải cú Gateway kết nối với mạng PSTN và cấu hỡnh cho SIP server vào phần “Dial plan” đặt chọn 0 là để gọi ra ngoài PSTN.
4.6. Vấn đề bảo mật cho mạng VPN 4.6.1. Giới thiệu 4.6.1. Giới thiệu
Ngày nay cỏc doanh nghiệp phỏt triển khụng tập chung mà cú nhiều chi nhỏnh ở nhiều nơi khỏc nhau với như cầu trao đổi dữ liệu giữa cỏc chi nhỏnh và trung tõm lại rất lớn. Vấn đề kết nối cỏc chi nhỏnh với trung tõm qua đường đường line riờng rất phức tạp và nhiều hạn chế. Trong khi mạng internet lại phỏt triển rất mạnh nờn nảy sinh ra mạng VPN để kết nối cỏc chi nhỏnh với nhau rẻ và ổn định cao.
Cú nhiều cỏch phõn loại VPN nhưng cú hai cỏch phổ biến là: Phõn loại theo kiến trỳc dịch vụ (Remote Access VPN, Site to site VPN, Extranet VPN); Phõn loại theo cụng nghệ (Peer to peer, Overlay, lớp 2, lớp 3).
Trong đề tài ta chỉ quan tõm đến 2 giải phỏp VPN ở lớp 3 là Ipsec và SSL.
4.6.2. IPsec VPN: VPN ở lớp mạng
IPSec (Internet Protocol Security) là giao thức mạng về bảo mật và thường được liờn kết với VPN (tất nhiờn cú thể dựng IPsec ở trong mạng cục bộ LAN). IPSec cho phộp việc truyền tải dữ liệu được mó húa an toàn ở lớp mạng (Network Layer) theo mụ hỡnh OSI thụng qua mạng cụng cộng như Internet. VPN lớp mạng đề cập đến những thỏch thức trong việc dựng Internet như là một mụi trường truyền đưa cỏc lưu lượng đa giao thức và nhạy cảm.
Hỡnh 4.15: Giải phỏp IPSec VPN
Việc thiết lập một đường hầm IPSec (IPsec tunnel) giữa hai thực thể, trước tiờn, phải thỏa thuận về chớnh sỏch an ninh (security policy), giải thuật mó húa