Định tuyến
Giao thức định tuyến động IS-IS được sử dụng trong mạng như là một giao thức định tuyến IGP. Mạng MAN-E của tỉnh là một miền IS-IS độc lập với địa chỉ ID-Area khác nhau. Giữa các Router trong MAN-E được kết nối thông qua chính sách định tuyến tại IP Core nên các mạng là hoạt động độc lập nhau: UPE/PE-AGG không thể truy cập đến IP Core hay vùng MAN-E khác. Mô hình thiết kế IS-IS mô tả như hình sau:
Hình 1. 18: Mô hình thiết kế IS-IS trong mạng metro
Giao thức IS-IS được cấu hình trên các giao diện kết nối giữa các Node Router UPE/PE-AGG, kết nối giữa MAN-E với PE mạng Core VN2 và các giao diện gán địa chỉ Loopback. IS-IS có thể hỗ trợ nhiều Node định tuyến với độ hội tụ nhanh, thuận lợi cho kế hoạch mở rộng, nâng cấp MAN-E về sau.
Cấu trúc miền MPLS
MPLS lựa chọn của VNPT theo hướng phát triển mạng NGN. MPLS sử dụng các nhãn đóng gói và chuyển tiếp trong mạng MPLS trên cơ sở nhãn đó. Các miền MPLS LDP này cũng tách biệt với miền MPLS mạng Core VN2.
23
Hình 1. 19: Cấu hình miền MPLS trong mạng Metro
Các yếu tố đảm bảo độ sẵn sàng cao
Mạng Metro Ethernet là mạng truyền tải toàn bộ lưu lượng IP của tỉnh nên cần thiết kế có độ sẵn sàng cao trong quá trình hoạt động. Độ tin cậy của MAN-E được xét theo các yếu tố: tin cậy về thiết bị, thiết kế dự phòng, độ sẵn sàng các kết nối và cơ chế bảo vệ ở lớp giao thức và lớp địa chỉ.
Về mặt thiết bị, các Node UPE/PE-AGG hỗ trợ các Card dự phòng, cơ chế chuyển đổi nóng (hot-swapping), dự phòng 1:1 (active/standby) với các vị trí quan trọng như Card điều khiển, các giao tiếp… .
Để đảm bảo thiết kế dự phòng, độ sẵn sàng các kết nối và các cơ chế bảo vệ đảm bảo. Một số kỹ thuật được triển khai trên MAN-E gồm:
- Hội tụ nhanh IGP: hội tụ mạng nhanh tùy theo quy mô mạng
- BFD (Bi-Direction Fault Detection): khả năng phát hiện lỗi đường truyền, lỗi kết nối giữa các thiết bị trong mạng Metro Ethernet.
- VRRP (Virtual Router Redundancy Protocol): Dự phòng Default Gateway các hướng kết nối ở lớp 3 trong mạng Metro Ethernet.
- MPLS TE: triển khai các hướng kết nối chính, dự phòng ở mức dịch vụ trong mạng Metro Ethernet.
24
Hình 1. 20: Cơ chế đảm bảo độ sẵn sàng của mạng MAN-E
Kiến trúc QoS
QoS trong mạng Metro Ethernet là xử lý các yêu cầu cơ bản gồm băng thông (Banwidth), độ trễ (Delay), biến thiên trễ (jitter), mất gói (packet loss) đáp ứng yêu cầu dịch vụ kết nối end-to-end. Trễ end-to-end bị ảnh hưởng qua mạng Metro gồm trễ mã hóa, bộ đệm jitter, trễ truyền dẫn, trễ trong hàng đợi, lập lịch, chuyển mạch tại thiết bị. Để đảm bảo các yêu cầu QoS, mỗi vòng Metro được thiết kế không quá 5 Node. Mô hình Diffserv kiểu ống được áp dụng triển khai QoS trong Metro:
25
Với từng khách hàng sẽ thiết lập các chính sách khác nhau với từng dịch vụ. Các chính sách đó phân biệt theo các phân đoạn sử dụng 802.1q, Exp, QoS Queue, DSCP trong mô hình IP/MPLS Diffserv.
Bảo mật
Bảo mật luôn là vấn đề quan tâm trong giải pháp mạng của các nhà cung cấp dịch vụ. Mạng MAN-E của VNPT tỉnh/TP thiết kế giải quyết bài toán bảo mật theo 2 vấn đề:
- Bảo mật dịch vụ: với các dịch vụ khác nhau sẽ được phân biệt và cách ly lưu lượng. Đối với các dịch vụ VLL (Virtual Leased Line), các giao diện và đường hầm L2VPN được gắn với nhau duy nhất. Lưu lượng của các dịch vụ sẽ được truyền từ giao diện vào này đến giao diện ra của MAN trên một đường hầm L2VPN. Đối với các dịch vụ VPLS (Virtual Private LAN Service), QinQ và PW (presudowire) được sử dụng để truy nhập vào vùng VPLS.
- Bảo mật thiết bị: đối với mạng MAN được triển khai theo các hướng phân tích và lọc lưu lượng, bảo vệ tấn công lưu lượng, xác thực giao thức, hạn chế truy nhập sử dụng AccessList.
Hình 1. 22: Cơ chế bảo mật trong mạng Metro
Sau khi tìm hiểu tổng quan về mô hình cấu trúc, kiến trúc, nguyên tắc hoạt động, các cơ chế bảo mật của mạng Metro Ethernet. Phần cấu trúc mạng MAN-E Hưng yên sẽ được trình bày chi tiết ở phần tiếp theo
26