0
Tải bản đầy đủ (.doc) (102 trang)

Hệ thống truy cập khách hàng gián tiếp

Một phần của tài liệu NGHIÊN CỨU CÁC VẤN ĐỀ VỀ KỸ THUẬT, CÔNG NGHỆ CỦA ISP (Trang 43 -48 )

Vì đây là hệ thống khá quan trọng trong thành phần của một ISP tơng đối phù hợp tại Việt nam, liên quang tới hầu hết số khách hàng của một ISP, vì vậy cần có sự phân tích kỹ lỡng hơn.

Máy chủ truy cập từ xa (RAS) là máy tính và phần mềm kết hợp đợc thiết lập để cho phép ng- ời sử dụng đạt đợc truy cập vào mạng từ xa, Một máy truy cập chủ từ xa thờng bao gồm hoặc kết hợp với một máy chủ firewall để đảm bảo sự an toàn (security) và một router mà có thể gửi các yêu cầu đến các bộ phận khác của mạng. Một máy chủ truy cập từ xa cũng có thể đợc dùng nh một phần của mạng riêng ảo (VPN Virtual Private Network).

Có 3 loại kiến trúc cho phép remote access: dựa trên phần cứng, trên phần mềm, và dựa trên thiết bị mạng. Kiến trúc dựa trên phần cứng nh của Shiva LanRover của Shiva; Ascend. Giải pháp phần mềm đợc thiết kế tích hợp trực tiếp vào trong các hệ điều hành mạng nh Windows NT hay Novell NetWare.

Cả 2 giải pháp trên chỉ đáp ứng đợc cho các doanh nghiệp nhỏ, đối với các ISP đòi hỏi NAS phải là loại thiết bị mạng mới đáp ứng đợc yêu cầu. Lợi điểm lớn nhất của phơng pháp này là tính bảo mật dữ liệu và hiệu năng. Với sự phát triển của các công nghệ nh ISDN, xDSL, và cable modem, vấn đề tốc độ truy nhập phần nào đã đợc giải quyết. Có nhiều giải pháp đặc chủng và tiêu chuẩn hoá cung cấp tính bảo mật của dữ liệu trên mạng công cộng cho truy cập từ xa.

1- Thiết kế mạng truy cập từ xa

Thiết kế một giải pháp remote-access cho các ISP đòi hỏi phải có những hiểu biết nhất định về nhiều vấn đề khác nhau, bao gồm dự báo số lợng sử dụng, số lợng khách hàng, số khách hàng kết nối đồng thời, dự báo tần suất sử dụng trung bình... Quá trình nghiên cứu và lập kế hoạch để xây dựng hạ tầng là vấn đề cốt lõi. Không giống nh việc tính toán dung lợng mạng thoại đã phát triển nhiều năm, tính dung lợng mạng truy cập thờng không có những công thức cụ thể. Việc tính toán dung lợng cho cấu hình NAS căn cứ vào các yếu tố nh số lợng khách hàng trong giai đoạn đầu, số lợng khách hàng tăng trởng trong thời gian tiếp theo, mẫu sử dụng của khách hàng; mẫu dung l- ợng dữ liệu trung bình trên cổng....

Việc lựa chọn một hệ thống NAS cho các doanh nghiệp vừa và nhỏ khá dễ dàng, tuy nhiên, lựa chọn hệ thống phù hợp cho các tổ chức lớn, các ISP là điều không đơn giản. Có một số tham số quan trọng cần cân nhắc khi thiết kế một hệ thống truy cập mạng từ xa, bao gồm từ việc lựa chọn công nghệ tới thiết bị của nhà cung cấp:

Để có thể thiết kế hệ thống NAS đáp ứng đợc yêu cầu, cần xem xét các tham số nh sau: + Các dịch vụ mà hệ thống sẽ cung cấp (ví dụ Dial-in Internet Access: analog, ISDN...). + Số Dial-POP site ISP sẽ quản lý, từ đó xây dựng cấu hình hệ thống có tính phân tải, đảm bảo độ an toàn, sẵn có và dự phòng cao.

+ Phát triển khách hàng dự tính (tại thời điểm ban đầu, sau 3 tháng, sau 1 năm..). + Xác định tham số User/line vào thời điểm bận nhất của mạng (có thể là 10:1).

+ Xác định mức độ đảm bảo của ISP đối với khách hàng, ví dụ nh đảm bảo thời gian hoạt động liên tục, bảo đảm chất lợng dịch vụ QoS...

+ Kết hợp với thiết kế hệ thống AAA và NMS.

+ Xây dựng kế hoạch về IP Subnet và đánh địa chỉ mạng. Các ISP cần lựa chọn thiết bị theo một số khía cạnh nh sau:

+ Dung lợng, khả năng mở rộng: Vấn đề đầu tiên cần so sánh giữa các sản phẩm là dung lợng của chúng; các đặc tính quan trọng cần lu ý là dung lợng cổng, chi phí tính theo cổng, xung nhịp và tốc độ của các giao diện, hỗ trợ đa dịch vụ, tính sẵn có, số cuộc kết nối đồng thời cho phép.

+ Các kết nối WAN và LAN: Các kết nối WAN và LAN cần đợc cân nhắc khi lựa chọn thiết bị, bao gồm số cổng, loại kết nối, tiêu chuẩn và báo hiệu...

+ Hỗ trợ các giao thức phổ biến, đa giao thức. + Các lựa chọn về quản lý băng thông:

. Hỗ trợ Bandwith on-demand, Dial on-demand. . Có các giải thuật hàng đợi để quản lý lu lợng. . Các bộ lọc lu thông

. Có khả năng cấu hình các dialer profile...

+ Hỗ trợ bảo mật: Bất cứ hệ thống NAS nào cũng cần hỗ trợ các giao thức nhận dạng và xác thực nh PAP, CHAP; hỗ trợ các AAA nh RADIUS hay TACACS, TACACS+; Công nghệ mạng riêng ảo VPN đòi hỏi hỗ trợ các giao thức tunneling nh L2TP, mã hoá, xác thực và kiến trúc IPSec. Tính năng Callback cũng khá quan trọng để có thể cung cấp dịch vụ an toàn cao cho một nhóm các khách hàng.

+ Quản lý: xem xét các khả năng quản lý hệ thống, các khả năng ghi nhật ký (logging) cho những công cụ quan trắc và thống kê hỗ trợ SNMP dựa trên MIB.

+ Hỗ trợ phần mềm của máy khách.

2- Các đặc điểm hệ thống NAS của ISP.

a. Hoạt động

Chức năng của NAS nh là một cổng nối (gateway) giữa 2 mạng khác nhau: Mạng chuyển mạch kênh (ví dụ mạng PSTN) và Mạng chuyển mạch dữ liệu (ví dụ Internet). Nó chuyển mạch các tín hiệu TDM thành các gói dữ liệu và ngợc lại giữa 2 mạng.

. Các kênh DS0 –64Kbps từ mạng chuyển mạch PSTN thông qua các Bus TDM tới các modem trong của NAS.

. Các NAS modem giải điều chế luồng dữ liệu thành các băng thông dữ liệu tiếng nói, các giao diện RS-232 ảo (virtual RS-232 interface) kết nối các modem (DCE) tới các cổng TTY.

. Các cổng TTY đợc ghép tham chiếu tới các giao diện không đồng bộ thông qua Router/Switch.

. Các gói dữ liệu đợc chuyển sang mạng IP.

b. Kiến trúc hệ thống

Kiến trúc Modular của NAS cho phép các ISP bắt đầu với một cấu hình nhỏ nhất và phát triển mở rộng hệ thống một cách dễ dàng.

NAS cần có khả năng đáp ứng dung lợng vài trăm cổng cho các ISP nhỏ, mới triển khai cho tới vài ngàn cổng cho các ISP lớn hoặc khi khách hàng phát triển nhanh.

NAS phải hỗ trợ các giao diện kết nối nh T1/E1 cho tới T3; các tiêu chuẩn T hay E tuỳ thuộc vào chuẩn mỗi quốc gia sử dụng. Đây là yêu cầu bắt buộc trong môi trờng các ISP.

NAS cần có khả năng xếp chồng (Cascade, Stackable...) để có thể mở rộng dung lợng.

Một số công nghệ Universal port nh kiểu ASAP của Cisco (Cisco Any Services Any Port) hoặc các hãng tơng đơng cho phép truy cập đồng thời Voice, Data, Fax.. trên cùng một DSP. Đây là

tính năng quan trọng cho các ISP cung cấp dịch vụ tới khách hàng với hiệu suất cao nhất, chi phí ít nhất. Hình vẽ dới đây cho thấy phân bố tải dial-up trong 1 ngày.

c. Tính sẵn có, độ tin cậy

Hệ thống NAS cho các ISP phải đợc thiết kế để đảm bảo độ tin cậy cao, tính sẵn có cao trong môi trờng của nhà cung cấp dịch vụ (carrier-class); các tính năng d thừa (redundancy), tráo nóng (hot-swap) và tự quản lý (self-management)... là các yêu cầu bắt buộc và phải đảm bảo khả năng hoạt động tới 99,99%.

Để đảm bảo đợc các yêu cầu trên, các nhà cung cấp đều thiết kế sản phẩm có các tính năng trên trong hầu hết các thành phần quan trọng nh card chức năng, card modem, nguồn nuôi, hệ thống làm mát, cảm biến nhiệt...

Ví dụ xem xét họ sản phẩm Cisco 58xx:

+ Tính năng Hot-Swap trên tất cả các card và module: Bất kỳ card, module nào cũng đều có thể thay thế trong quá trình hoạt động, chỉ những cuộc gọi trên card/module đó bị ảnh hởng.

Các module nguồn nuôi, quạt mát có tính năng redundancy N+1.

+ Tính sẵn có cao trong card Router/Switch Controller (RSC): RSC cung cấp 2 giao tiếp có thể kết nối tới cùng thiết bị hay các thiết bị khác nhau.

+ Redundant Data Path.

d. Hỗ trợ giao thức

NAS nói chung hỗ trợ giao thức phổ biến nhất là IP, giao thức truy cập PPP, Multilink PPP, hỗ trợ công nghệ VPN nh L2TP, PPTP, hỗ trợ nhiều giao thức định tuyến IP, đa dạng kết nối WAN và LAN; hỗ trợ các chuẩn Wireless nh V.110, MNP10EC và PIAFS

Để có khả năng cho phép các dịch vụ Voice trên nền hạ tầng mạng IP; các dịch vụ này bao gồm Toll bypass, PC phone PSTN, voicemail, fax mail, real-time fax... Vì vậy, các NAS phải hỗ trợ các chuẩn H.323 version 2 và tơng tác với nhiều sản phẩm voice gateway khác.

e. Quản lý bảo mật

Tính năng bảo mật của hệ thống bao gồm: Multilevel password protection, xác thực user thông qua các giao thức nh PAP, CHAP, hay ACL, bắt buộc hỗ trợ chuẩn xác thực AAA phổ biến nhất là RADIUS từ các nhà cung cấp khác nhau, hỗ trợ TACACS+.

f. Báo hiệu

NAS cần hỗ trợ các giao thức báo hiệu nh R2, SS7... để giao tiếp với tổng đài PSTN

* Báo hiệu R2

Báo hiệu R2 đợc định nghĩa trong khuyến nghị của ITU-T Q.400-Q.490 cho các cuộc gọi trên các trung kế E1 sử dụng kênh báo hiệu CAS, hỗ trợ nhận diện số bị gọi trên các cuộc gọi vào và gọi ra.

* Báo hiệu SS7

Các NAS hiện nay đều có nhu cầu kết nối với mạng điện thoại bằng các đờng trung kế số nh T1/E1/PRI; do vậy mạng chuyển mạch điện thoại phải đợc nâng cấp để hỗ trợ các giao tiếp PRI, việc nâng cấp này rất đắt tiền.

Mô hình mạng báo hiệu SS7 bao gồm nhiều node mạng gọi là điểm báo hiệu SP (Signaling Points). Các SP sử dụng bảng định tuyến để lựa chọn đờng dẫn báo hiệu tơng ứng cho mỗi message. Có 3 loại điểm báo hiệu trong mạng báo hiệu SS7: SSP (Service Switching Point), STP (Signal Transfer Point), SCP (Service Control Point).

Các SSP là các chuyển mạch khởi đầu, kết thúc hoặc chuyển tiếp cuộc gọi. SSP gửi các thông điệp báo hiệu tới các SSP khác để thiết lập, quản lý và giải phóng cuộc mạch cần thiết để hoàn thành một cuộc gọi. SSP cũng có thể gửi một thông điệp truy vấn tới một CSDL trung tâm (SCP)

để xác định cách thức định tuyến một cuộc gọi. SCP gửi trả lời tới SSP các thông tin về các số định tuyến liên kết với số bị gọi.

Lu lợng mạng giữa các điểm báo hiệu có thể đợc định tuyến qua chuyển mạch gói gọi là STP. STP định tuyến các bản tin nhận đợc tới đờng báo hiệu ra dựa vào thông tin định tuyến trong các SS7 message. Do nó hoạt động nh một hub mạng, STP làm cải thiện tài nguyên mạng SS7 do không cần các kết nối trực tiếp giữa các điểm báo hiệu.

Do mạng báo hiệu SS7 rất quan trọng cho việc xử lý cuộc gọi, các SCP và STPs thờng đợc cấu hình có tính d thừa; SS7 protocol cung cấp cả 2 chức năng sửa lỗi và truyền lại để cho phép dịch vụ liên tục khi có một đờng kết nối bị lỗi.

Việc sử dụng báo hiệu SS7 trong các NAS mang lại những đặc điểm sau:

+ Tích hợp trực tiếp với mạng PSTN: cho phép NAS có đợc tất cả những đặc điểm của mạng thoại thông minh, cho phép định tuyến và điều khiển cả 2 lu thông voice và data.

+ Giảm bớt tín hiệu bận (Busy signal): + Giảm chi phí tổng đài thoại trên mỗi cổng

Trong trờng hợp không sử dụng báo hiệu SS7, các tổng đài điện thoại thờng phải có các card giao diện PRI để giao tiếp với NAS; làm tăng chi phí và mất nhiều thời gian cài đặt. Với việc kết nối báo hiệu SS7, các NAS đợc tích hợp trực tiếp vào trong mạng SS7 và không cần thiết có các card PRI ở các tổng đài điện thoại.

+ Giảm chi phí khi triển khai vị trí mới (Virtual POP):

Các ISP có kế hoạch mở rộng dịch vụ truy cập Internet ra nhiều vị trí mới có thể sử dụng SS7 để cài đặt các POP ảo

+ Giảm nghẽn mạng điện thoại khi bận

Khi không có báo hiệu SS7, mạng điện thoại chỉ phát hiện ra một thiết bị truy cập tập trung đang bận chỉ sau khi nó đã định tuyến cuộc gọi và sử dụng tài nguyên mạng. Mạng SS7 có khả năng xem xét mạng và tìm ra định tuyến cuộc gọi tốt nhất để kết nối cuộc gọi. Sử dụng SS7, mạng Telephone biết đợc những đờng trung kế đang bận và sẽ không thử kết nối cuộc gọi trên các trung kế đó nữa.

g. Backhaul Interface

Backhaul Interface dùng để chỉ các giao diện kế nối WAN của NAS; các NAS thờng hỗ trợ rất nhiều loại giao diện, bao gồm Ethernet, FastEthernet, TokenRing, FDDI, T1/E1 Serial, ATM..., một số sản phẩm mới đã có giao diện hỗ trợ Gigabit Ethernet.

h. Hỗ trợ VPN

Khả năng hỗ trợ VPN phụ thuộc vào phần mềm điều khiển NAS, phần mềm NAS phải hỗ trợ các giải pháp mạng VPN nh L2F, L2TP và IPSec.

i. Hỗ trợ Modem

Các DSP card đợc thiết kế để hỗ trợ nhiều dạng ứng dụng truyền thông khác nhau, phụ thuộc vào phần mềm nạp vào:

+ Tiêu thụ ít điện năng, Tích hợp mật độ cao trên mỗi card. + Có thể nâng cấp phần mềm.

Các thiết bị NAS phải hỗ trợ các tiêu chuẩn modem nh sau:

+ Modem Support: V.90, K56flex, V.34bis, V.34, V.32bis, V.32, V.22bis, V.22A/B, V.23, V.21, Bell 212A and 103

+ Error correction: V.42, MNP2-4, MNP10 / MNP10-EC + Data compression: V.42bis and MNP5

+ V.110 support for GSM

Có một số chuẩn mới về modem đang chuẩn bị ra đời nh V.92 và V.44, cho phép ngời dùng truy kết nối nhanh hơn, thêm vào các tính năng nh call waiting.., vì vậy các NAS cần đảm bảo hỗ trợ tất cả các chuẩn modem mới nhất.

Chuẩn V.92 cho phép ngời sử dụng tạm ngắt phiên làm việc Internet nếu họ có dịch vụ call- waiting của công ty điện thoại, trả lời cuộc gọi và thực hiện tiếp phiên Internet mà không phải kết nối lại, V.92 cho phép kết nối nhanh hơn (khoảng 10s) so với chuẩn V.90 hiện tại (20s). Chuẩn nén dữ liệu V.44 thay thế chuẩn V.42 cho phép nén dữ liệu hiệu quả hơn với các nội dung là HTML, XML, cho phép tăng tốc độ uploads tới 48 kbit/s thay vì giới hạn khoảng 32 kbit/s so với chuẩn V.42 của modem 56-kbit/s.

k. Quản lý

Các NAS thờng có nhiều các công cụ điều khiển và quản lý SNMP.NAS có khả năng giám sát và giao tiếp với các modem trong quá trình của cuộc gọi.

Các thông tin về cuộc gọi (Call-tracker) đợc cung cấp từ MIB cho các thông tin quản lý rất chi tiết về các cuộc gọi đang hoạt động hoặc đã kết thúc; các bản tin cuộc gọi này cũng có thể lấy ra từ Syslog hoặc RADIUS; ví dụ các thông tin này bao gồm tốc độ kết nối, thời gian kết nối, mã ngắt kết nối, trễ, trạng thái đờng dây...

Chơng III Hệ thống xác thực, phân quyền, ghi cớc (AAA) I- Giới thiệu hệ thống AAA

RADIUS (Remote Authentication Dial-In User Servece) là một phơng pháp chuẩn hoá việc trao đổi thông tin giữa thiết bị cung cấp truy nhập mạng cho ngời dùng (Access Client) và thiết bị chứa các thông tin xác thực của ngời dùng đó (RADIUS server). RADIUS đã đợc coi là nền tảng của mọi cơ cấu an toàn của các mạng cung cấp dịch vụ, nó đợc chấp nhận rộng rãi và đóng vai trò quan trọng trong hầu nh tất cả các ISP.

+ Xác thực (Authentication): thực hiện việc xác minh và chứng thực định danh của một thực thể nh ngời dùng, máy trạm, máy chủ...

+ Phân quyền (Authorization): thực hiện việc phân quyền sử dụng tài nguyên nào đó. + Ghi cớc (Accounting): Ghi chép lại các thông tin liên quan về hoạt động của ngời dùng. Radius là một phơng pháp chuẩn hoá việc trao đổi thông tin giữa:

+ Radius Client: Là thiết bị cung cấp chức năng truy cập mạng của ngời dùng, có thể là các thành phần mạng nh NAS (hoặc Mail, Web...).

+ Radius Server: Thiết bị chứa các thông tin xác thực những ngời dùng đó.

Thông tin trao đổi giữa RADIUS client và RADIUS server gọi là các RADIUS packet. RADIUS packet đợc mô tả trong RFC 2138 và RFC 2139

Một môi trờng truy cập từ xa dựa vào RADIUS gồm có 3 thành phần: Access clients, Network access server, RADIUS server.


Một phần của tài liệu NGHIÊN CỨU CÁC VẤN ĐỀ VỀ KỸ THUẬT, CÔNG NGHỆ CỦA ISP (Trang 43 -48 )

×