Dưới đây là sơđồ tổng thể cho hệ thống hạ tầng truyền thông Bộ tài chính. Mô tả chi tiết từng phân hệđược trình bày trong các phần dưới đây.
(Hình vẽ cụ thể trang cuối)
3.3.1 Đề xuất cải tiến để đảm bảo tính dự phòng và an ninh cho hệ thống
Thiết kế hệ thống truyền thông Bộ tài chính bao gồm cấu trúc khối theo như hình vẽ dưới đây:
Hình 3.7 Kiến trúc hệ thống truyền thông BTC
Và mô hình kết nối mạng trục Bộ tài chính được đề xuất như hình vẽ dưới đây, trong đó sẽ xây dựng thêm trung tâm miền Trung, tạo nên tam giác mạng trục dự phòng. Ví dụ, khi kết nối giữa 2 miền Nam-Bắc bị gián đoạn, lưu lượng sẽđược định
tuyến chạy vòng qua miền Trung, việc định tuyến này được thực hiện hoàn toàn tự động
Error!
Hình 3.8 Sơđồ kết nối mạng trục BTC
Ngoài việc dự phòng bằng việc xây dựng thêm một trung tâm miền Trung, kết nối WAN giữa 2 miền còn được đảm bảo bằng 3 kết nối khác nhau, hoạt động dự phòng, phân tải lẫn nhau ( xem hình vẽ dưới đây)
Kết nối chính, có băng thông lớn nhất là kết nối MPLS IP VPN.
Kết nối thứ hai là kết nối truyền thống TDM, frame-relay, hoặc có thể là ATM ( nếu có trong tương lai). Do giá thành cao, kết nối truyền thống này sẽ được duy trì ở mức thấp nhất, tạo kết nối dự phòng, phân tải cho kết nối chính là MPLS IP VPN.
Kết nối thứ ba là IPSec VPN, tận dụng cổng ra Internet sẵn có ở 3 trung tâm miền Bắc, trung, Nam. Kết nối này cũng chỉ mang tính dự phòng, phân tải cho kết nối chính MPLS IP VPN. Do chất lượng dịch vụ khi truyền qua Internet không được đảm bảo, do đó kết nối này không nên sử dụng cho các ứng dụng như thoại, video- conference.
Ở chế độ hoạt động bình thường, các lưu lượng của các loại hình ứng dụng khác nhau sẽđược thiết lập chạy trên các kết nối cụ thể trong 3 kết nối MPLS IP VPN, IPSec VPN, và kết nối truyền thống nói trên, trong trường hợp một trong 3 kết nối bị đứt, lưu lượng ứng dụng sẽđược định tuyến chuyển sang 2 kết nối còn lại, hoặc có thể đi vòng qua trung tâm miền thứ 3. Tất cả việc định tuyến này được thực hiện thông qua các giao thức định tuyến động.
Hình 3.9 Các kết nối WAN giữa hai trung tâm miền
Các kết nối từ trung tâm miền xuống các trung tâm tỉnh cũng được dự phòng, chia tải thông qua việc sử dụng 2 kết nối song song, kết nối chính có băng thông lớn là MPLS IP VPN, kết nối phụ là các dịch vụ truyền thống TDM, Frame-relay, và có thể la ATM nếu có trong tương lai. ( xem hình vẽ dưới đây)
Tại TTM, TTT, hệ thống Access-Server phục vụ truy cập từ xa qua dial-up, backup cũng được thiết kế dự phòng.
Hình 3.10 Sơđồ hệ thống mạng phân bố từ TTM xuống các TTT 3.3.2 Giải pháp thiết kế hệ thống
3.3.2.1 Kết nối Wan
Nhưđã trình bày ở trên, các công nghệ mới sẽđược sử dụng cho kết nối WAN ở cấp trung ương và cấp tỉnh bổ sung cho kết nối truyền thống là: MPLS IP VPN hiện tại cung cấp bởi VTN và CPT và có thể một số nhà cung cấp dịch vụ khác nữa trong tương lai. Kết nối truyền thống như Leased-lines, Frame-relay sẽ chỉ được duy trì ở mức độ thấp nhất mang tính chất dự phòng, phân tải và những nơi chưa thể sử dụng được các dịch vụ mới.
Hình 3.11 Cấu trúc mạng trục với WAN truyền thống và MPLS VPN
Khi sử dụng kết nối MPLS VPN của nhà cung cấp dịch vụ, mô hình kết nối WAN sẽ như hình vẽ dưới đây:
Hình 3.12 Mô hình kết nối sử dụng dịch vụ MPLS IP VPN
Hình vẽ dưới đây mô tả khả năng khác biệt giữa đường đi của gói tin giữa dịch vụ MPLS IP VPN và các dịch vụ truyền thống TDM, frame-relay. Cụ thể, gói tin đi từ trung tâm tỉnh thuộc khu vực phía Bắc tới trung tâm tỉnh thuộc khu vực phía nam sẽ không cần phải đi qua các trung tâm miền mà có thểđi thẳng trên hệ thống hạ tầng của nhà cung cấp dịch vụ. Tương tự, gói tin giữa 2 trung tâm tỉnh của cùng một miền sẽ không phải đi qua trung tâm Miền.
Hình 3.13 Khả năng định tuyến gói tin trong MPLS IP VPN
Sự khác biệt này khiến cho tải trên router tại trung tâm miền sẽ giảm đi. Tuy nhiên, để không phá vỡ tính cấu trúc phân cấp của hệ thống toàn bộ hệ thống sẽ sử dụng các VPN khác nhau cho các vùng mạng khác nhau:
VPN cho vùng mạng trục nối 3 miền Bắc, Trung, Nam
VPN cho vùng mạng phân phối từ TTM xuống cấp tỉnh miền Bắc VPN cho vùng mạng phân phối từ TTM xuống cấp tỉnh miền Trung VPN cho vùng mạng phân phối từ TTM xuống cấp tỉnh miền Nam VPN cho vùng mạng phân phối từ TTT tới các đơn vị trực thuộc tỉnh.
Bên cạnh việc sử dụng công nghệ mới MPLS IP VPN, sẽ tận dụng kết nối lên Internet sẵn có tại các Internet Gateway, tạo thêm kết nối IPSec VPN qua Internet với mục đích tăng thêm tính dự phòng của hệ thống cũng như băng thông kết nối giữa 3 miền. Ngược với dịch vụ MPLS IP VPN là trong suốt đối với khía cạnh Bộ tài chính, IPsec VPN lại trong suốt đối với nhà cung cấp dịch vụ.
Hình 3.15 Mô hình kết nối sử dụng IP Sec VPN thông qua Internet
3.3.2.2 Xây dựng Hệ thống MPLS cung cấp dịch vụ MPLS VPN riêng ngành tài (adsbygoogle = window.adsbygoogle || []).push({});
chính
3.3.2.2.1 Lớp mạng trục
Lớp mạng trục cung cấp hạ tầng MPLS cho các đơn vị thuộc Bộ tài chính. Giải pháp dựa trên các yêu cầu tiên quyết nhưđộ sẵn sàng cao, tính dự phòng cao, khả năng mở rộng lớn, năng lực chuyển mạch của các thiết bị phải lớn để có thể phục vụ các ứng dụng đa dạng cho toàn ngành Tài chính trong tương lai.
Hình 3.16 Lớp mạng trục BTC
Theo sơđồ trên, các cặp Backbone Router đặt tại 3 miền sẽ làm nhiệm vụ kết nối các miền với nhau. Mỗi cặp Backbone Router bao gồm BB-1 và BB-2 có nhiệm vụ kết nối WAN và năng lực xử lý khác nhau, cụ thể:
Các cặp router tại 3 miền ( TTM-1, TTM-2) sẽ có trách nhiệm kết nối tới các Trung Tâm Tỉnh, đổng thời kết nối trực tiếp tới cơ quan đầu não các ngành ( Tổng cục thuế, Kho bạc NN, tổng cục Hải quan, ... ). Mỗi cặp TTM-1, TTM-2 có nhiệm vụ kết nối WAN và năng lực xử lý khác nhau, cụ thể:
Các router thuộc lớp mạng trục ( BB-1, BB-2, TTM-1, TTM-2) đóng vai trò là các P-router trên hệ thống mạng trục MPLS của Bộ Tài Chính, ngoài ra, trường hợp ngoại lệ, các router phân phối như TTM-1, TTM-2 còn đóng vai trò là PE-router trong hệ thống mạng trục MPLS khi kết nối trực tiếp tới các cơ quan đầu não các ngành ( Datacenter thuộc Bộ Tài chính, Tổng cục thuế, Kho bạc NN, Tổng cục Hải quan, ... ).
Hình vẽ dưới mô tả kết nối WAN từ các TTT lên TTM. Kết nối truyền thống (Leased-lines) TTT lên TTM ngoài nhiệm vụ dự phòng còn làm nhiệm vụ phân tải. Đối với các Tỉnh chưa có sẵn dịch vụ MPLS VPN, để có thể đáp ứng được nhu cầu sử dụng của các đơn vị, tạm thời sử dụng 2 kết nối Leased-lines đồng thời ( 1 giữa TTT-1 & TTM2, 1 giữa TTT-2 & TTM-2). Đến khi dịch vụ MPLS VPN sẵn sàng, sẽ giảm bớt kết nối leased-lines giữa TTT-1 & TTM-2 đi và thay thế bằng kết nối từ TTT-1 lên mạng MPLS VPN.
Hình 3.17 Kết nối từ TTT lên TTM
3.3.2.2.2 Lớp mạng phân phối
Các router thuộc lớp mạng phân phối bao gồm các cặp router tại các Trung tâm Tỉnh ( TTT-1, TTT-2). Theo sơ đồ dưới đây, các cặp Router đặt tại các Trung Tâm Tỉnh sẽ làm nhiệm vụ kết nối lên Trung Tâm Miền tương ứng (TTM-1, TTM-2) và phân phối tới các đơn vị trong phạm vi tỉnh ( bao gồm cả cấp huyện). Mỗi cặp Router tại Trung Tâm Tỉnh bao gồm có nhiệm vụ kết nối WAN và năng lực xử lý khác nhau.
Hình 3.18 Lớp mạng phân phối Bộ tài chính
Các router tại Trung Tâm Tỉnh này (TTT-1, TTT-2) đóng vai trò là các PE- router trên hệ thống mạng MPLS của Bộ Tài Chính kết nối trực tiếp tới các đơn vị trực thuộc tỉnh (bao gồm cả cấp huyện)
3.3.2.2.3 MPLS và hệ thống MPLS VPN
Công nghệ MPLS được áp dụng trên hạ tầng truyền thông BTC nhằm cung cấp các kết nối MPLS VPN cho các đơn vị trong ngành cũng như các đơn vị bên ngoài có nhu cầu kết nối vào hạ tầng truyền thông BTC.
Hình 3.19 Các phân lớp mạng
Cấu trúc toàn bộ hệ thống bao gồm các P-Router thuộc lớp mạng Trục, các PE- Router thuộc lớp mạng phân phối. Trên hệ thống mạng MPLS Bộ Tai Chính, sử dụng giao thức định tuyến IGP là OSPF đảm bảo kết nối IP giữa các MPLS Router trên hệ thống, Sử dụng giao thức LDP ( Label Distribution Protocol) cho việc phân phối Label trên hệ thống. Giao thức MP-BGP ( Multi-protocol BGP) được sử dụng bắt buộc trên tất cả các PE-Router để phân phối định tuyến cho dịch vụ MPLS VPN. Ngoài ra, giao thức định tuyên IGP OSPF còn được sử dụng trong việc cung cấp dịch vụ TE ( Traffic Engineering) trên hệ thống mạng MPLS BTC.
3.3.2.2.4 Quan hệ giữa MPLS riêng ngành tài chính với MPLS công cộng
Từ khía cạnh hệ thống của Bộ Tài Chính, sẽ áp dụng đồng thời 2 dạng dịch vụ MPLS VPN khác nhau:
MPLS VPN của các nhà cung cấp dịch vụ công cộng (VNPT): Chỉ có vai trò là kết nối WAN tốc độ cao trên hạ tầng truyền thông Ngành Tài Chính.
MPLS VPN của Bộ Tài Chính: Đây là dich vụ riêng của Bộ Tài Chính được cung cấp bởi hạ tầng truyền thông MPLS nội bộ Ngành Tài Chính, cung cấp dịch vụ
MPLS VPN cho các đơn vị trực thuộc ( và có thể các truy cập công cộng từ bên ngoài).
Như vậy, vấn đề đặt ra là làm sao có thể triển khai được hệ thống MPLS VPN riêng ngành tài chính trên các kết nối MPLS VPN sử dụng của các nhà cung cấp dịch vụ công cộng
Sử dụng Tunnel: ở đây sẽ tạo các GRE Tunnel (có thể sử dụng các kiểu encapsulation để tạo IP tunnel khác, nhưng GRE được sử dụng phổ biến nhất) đi qua kết nối MPLS VPN của nhà cung cấp dịch vụ công cộng, các GRE Tunnel sẽ tạo nên các giao diện ảo ( Virtual Interface) kết nối trực tiếp với nhau đóng vai trò hoàn toàn như các giao diện vật lý sử dụng kết nối WAN truyền thống ( như leased-lines hiện tại). Phương án này hoàn toàn trong suốt với nhà cung cấp dịch vụ công cộng, không cần đạt được thỏa thuận kết nối đặc biệt gì với nhà cung cấp dịch vụ MPLS VPN công cộng.
Phương án này có nhược điểm là lãng phí một phần băng thông do phải gánh thêm phần header cho GRE Encapsulation, đồng thời cũng yêu cầu thiết bị Router kết nối dịch vụ MPLS VPN phải xử lý nhiều hơn. Tuy nhiên, phần băng thông lãng phí do GRE Encapsulation chỉ chiếm phần nhỏ, đồng thời, hiện vẫn phải sử dụng mã hóa IPSec đểđảm bảo tính bảo mật khi truyền số liệu qua hệ thống MPLS VPN công cộng, các công nghệ về phần cứng tiên tiến đã giúp tạo năng lực xử lý lớn trên các loại Router hiện có trên thị trường.
Hình 3.20 Virtual Interface với GRE Encapsulation thông qua mạng MPLS
VPN công cộng
Hình vẽ dưới đây mô tả các kết nối GRE trên toàn hê thống.
Hình 3.21 Các kết nối GRE trên hệ thống
Với việc thiết lập các kết nối GRE qua mạng MPLS VPN công cộng, các Router kết nối không cần phải quảng bá bảng định tuyến nội bộ BTC ra mạng MPLS VPN bên ngoài. Điều này được thực hiện bằng các giao thức định tuyến động qua kết nối GRE đã được thiết lập, hoàn toàn trong suốt đối với nhà cung cấp dịch vụ. Việc không quảng bá bảng định tuyến mạng nội bộ ra bên ngoài nhằm đảm bảo an ninh hệ thống. (adsbygoogle = window.adsbygoogle || []).push({});
3.3.2.3 Lớp mạng truy cập vào hệ thống MPLS VPN riêng của ngành tài chính
3.3.2.3.1 Kết nối mạng trung ương của các ngành vào hệ thống
Mạng Trung ương của các ngành được kết nối vào hệ thống tương tự như việc kết nối các TTT vào hệ thống mạng trục. Các cặp router tại 3 miền ( TTM-1, TTM-2) sẽ có trách nhiệm kết nối trực tiếp tới cơ quan đầu não các ngành ( Tổng cục thuế, Kho bạc NN, tổng cục Hải quan, ... ). Xem hình vẽ dưới đây.
Hình 3.22 Mạng trung ương các ngành truy cập vào mạng WAN BTC
3.3.2.3.2 Kết nối mạng của đơn vị vào hệ thống
Các đơn vị cấp tỉnh, huyện của các ngành trực thuộc sẽ kết nối thẳng tới TTT. TTT bao gồm 1 cặp router TTT-1 và TTT-2. Theo như đã nêu, mỗi Router này có nhiệm vụ kết nối WAN và năng lực xử lý khác nhau:
Do yêu cầu về tính sẵn sàng kết nối vào mạng trục BTC của các điểm kết nối trong địa bàn tỉnh không đồng đều nhau, do đó không nhất thiết phải sử dụng cả hai loại hình kết nối WAN là MPLS VPN và 1 loại kết nối truyền thống khác.
Hình vẽ dưới đây mô tả việc truy cập của các đơn vị thuộc 1 tỉnh vào hệ thống mạng Bộ Tài chính:
Hình 3.23 Lớp truy cập của các đơn vị vào mạng WAN bộ tài chính
Đối với các đơn vị như cục Thuế Tỉnh, Tổng cục thuế có yêu cầu khả năng dự phòng cao hơn nữa, Bộ tài chính có thể chọn lựa giải pháp sử 02 Router kết nối, một Router kết nối MPLS VPN, một router cho kết nối Leased-lines và backup như sơ đồ dưới đây:
3.3.2.4 Truy cập Internet tới MPLS VPN
Hình vẽ dưới đây mô tả quá trình người sử dụng ở bên ngoài Internet muốn truy cập vào hệ thống mạng MPLS VPN của Bộ tài chính, qua đó truy cập tới hệ thống mạng của đơn vị mình.
Hình 3.25 Truy cập IPSec VPN tới MPLS VPN bộ tài chính thông qua Internet
Trước hết, cần một thiết bị vừa đóng vai trò là PE-Router trên hệ thống mạng MPLS VPN riêng của Bộ tài chính, vừa đóng vai trò là IPSec VPN Server cho các kết nối từ các VPN client ngoài Internet. Sau khi người sử dụng xác thực thành công, PE- router đóng vai trò VPN Server này có khả năng ánh xạ IPSec Tunnel của người sử dụng này tới VRF tương ứng với MPLS VPN của đơn vị mình. Kết quả là người sử dụng thuộc một ngành sẽ chỉđược gán với một MPLS VPN thuộc ngành đó như khi ở tại văn phòng của mình.
Cụ thể, IPSec VPN Server ( xem hình vẽ) bao gồm 2 giao diện FastEthernet, một giao diện kết nối tới mạng trục MPLS VPN ( FastEthernet 0 trên hình vẽ), một giao diện kết nối ra cổng truy cập Internet ( FastEthernet 1). Giao diện FastEthernet 1
sẽ có 1 địa chỉ Public IP, là địa chỉ kết cuối của VPN Server cho các kết nối VPN ( VPN client, hoặc site-to-site) từ người sử dụng bên ngoài Internet.
3.3.2.5 Kết nối tới các mạng bên ngoài
Hệ thống hạ tầng truyền thông ngành Tài chính theo thiết kế đề xuất là một hệ thống mở, cho phép các đơn vị khác bên ngoài ngành Tài chính có thể truy cập vào các đơn vị thuộc Ngành Tài chính trong khi vẫn đảm bảo an ninh, chất lượng dịch vụ của toàn bộ hệ thống. Một số các kết nối từ bên ngoài vào hạ tầng Truyền thông ngành Tài chính như:
Kết nối của các Ngân hàng bên ngoài Kết nối Tới mạng MAN Hồ Chí Minh Kết nối VAN cho hải quan
Các kết nối phục vụ khai báo Thuế online. ....
Về nguyên tắc, tất cả các lưu lượng của các đơn vị bên ngoài khác nhau khi đi trên hạ tầng dùng chung ngành Tài chính sẽ được phân tách trên các MPLS VPN khác nhau của mạng MPLS VPN riêng BTC. Dưới đây là ví dụ kết nối cụ thể.
Mô hình khai báo Thuế online