3.1.1 Giới thiệu
Hạ tầng truyền thông ngành Tài chính đƣợc tổ chức theo mô hình sau [1]:
Hình 3-1 Mô hình hạ tầng truyền thông ngành Tài chính
Kết nối logic
Hạ tầng truyền thông ngành Tài chính bao gồm các kết nối:
Kết nối ngang với các ngành trực thuộc nhƣ Thuế, Kho bạc nhà nƣớc, Hải quan, Chứng khoán, Dự trữ quốc gia, Ban vật giá Chính phủ, Học viện tài chính.
Kết nối mạng Tài chính với các đơn vị khác: Văn phòng chính phủ, UBND
các địa phƣơng.
Kết nối Internet cho Bộ tài chính , Website nội bộ, email
Hệ thống mạng của BTC đƣợc thiết kế theo cấu trúc phân cấp với 3 lớp chính: miền, tỉnh, lớp truy cập vào tỉnh. Các đơn vị kết nối vào hệ thống mạng BTC đều tuân theo quy định:
Trung ƣơng sẽ kết nối vào TTM.
Các đơn vị trực thuộc tỉnh sẽ kết nối tới TTT của tỉnh đó.
Mỗi miền có một TTM đƣợc đặt tại 2 đầu là Hà Nội và thành phố HCM. TTM Bắc sẽ đặt ngay tại Trụ sở BTC ở Hà Nội, TTM Nam sẽ đặt tại Văn phòng BTC khu vực phía Nam ở thành phố HCM. Các trụ sở của các đơn vị khác nhƣ: Tổng Cục Thuế, Tổng Cục Hải Quan, Kho bạc Nhà Nƣớc, Dự trữ quốc gia, Ủy ban chứng khoán, Ban Vật giá chính phủ, Học viện Tài chính sẽ kết nối vào TTM tức BTC ở Hà Nội, các văn phòng của các đơn vị này phía Nam sẽ kết nối vào TTM phía Nam.
Tại mỗi tỉnh có một TTT, TTT này sẽ kết nối về TTM và kết nối xuống các TTH trực thuộc tỉnh đó. Các đơn vị cấp tỉnh thuộc các ngành nhƣ Cục thuế tỉnh, Cục Hải Quan, Kho bạc tỉnh, Sở Tài chính, Chi nhánh Dự trữ quốc gia, Chi nhánh học viện tài chính, … trực thuộc tỉnh nào sẽ kết nối vào TTT của tỉnh đó.
Ngoài kết nối bên trong các đơn vị trực thuộc Bộ Tài Chính, HTTT BTC còn kết nối tới các cơ quan khác của chính phủ, quốc hội, UBND các cấp và các tổ chức khác nhƣ các Ngân hàng, công ty Xổ số, công ty Bảo hiểm, …
Kết nối vật lý
Hạ tầng truyền thông BTC có kiến trúc 3 cấp mạng: Lớp lõi, Lớp tập trung và lớp Truy cập biên [2].
Lớp lõi đảm nhiệm chức năng chuyển tiếp gói đến từ một giao tiếp này đến
giao tiếp khác một cách càng nhanh càng tốt. Do đó, thiết kế lớp lõi càng đơn giản thì càng hiệu quả nhất là trong việc nâng cấp thiết bị trong tƣơng lai để tránh việc ảnh hƣởng đến toàn bộ kiến trúc mạng.
Lớp tập trung có chức năng giống nhƣ tên gọi của nó đó là tập trung các luồng lƣu lƣợng từ các lớp truy cập khác nhau, sau đó sẽ chuyển tiếp đến lớp lõi để xử lý tiếp. Việc tách biệt giữa lớp tập trung và lớp lõi sẽ giúp ích cho việc vận hành mạng một cách hiệu quả và đơn giản hơn. Thực tế, lớp lõi sẽ chỉ tập trung vào công việc chuyển tiếp gói càng nhanh càng tốt để tăng thông lƣợng của mạng.
Lớp truy cập biên là lớp cung cấp kết nối trực tiếp tới các thiết bị và ngƣời
dùng cuối. Lớp truy cập biên là lớp tập trung rất nhiều đến xứ lý an ninh, chính sách ngƣời sử dụng, phân lọai lƣu lƣợng và phục vụ kết nối tốc độ thấp.
3.1.2 Thiết Kế Truy Cập Cho Tổng Cục Thuế
Hệ thống mạng của BTC đƣợc thiết kế theo cấu trúc phân cấp với 3 lớp chính: miền, tỉnh, lớp truy cập vào tỉnh. Các đơn vị kết nối vào hệ thống mạng BTC đều tuân theo quy định:
Kết nối vật lý
Các router CCT tại các quận huyện sẽ có 2 kết nối, 1 kết nối chính chạy ADSL về router CT và một kết nối dự phòng chạy ADSL về thẳng router TTT-2. Tại router CT và router TTT-2, đƣờng kết nối vật lý sẽ là G.SHDSL có băng thông bằng tổng băng thông của tất cả các kênh truyền CCT công lại, đảm bảo không nghẽn trong thời gian cao điểm. Các kết nối này thực hiện qua kênh MPLS VPN của VNPT.
Các kết nối từ router CT về router TTT, cũng nhƣ từ các router CCT về router CT & TTT đều thực hiện qua kênh GRE tunnel. Điều này nhằm 2 mục đích:
Chủ động việc định tuyến cho mạng của TCT khi sử dụng kênh truyền MPLS
L3 của nhà cung cấp dịch vụ công cộng.
Tăng cƣờng khả năng bảo mật cho mạng của TCT khi dữ liệu cũng đã đƣợc mã
Hình 3-2 Mô hình kết nối cho Cục thuế mỗi tỉnh
Hình 3-3 Mô hình kết nối tổng quát GRE Tunnel
OSPF là giao thức định tuyến đƣợc sử dụng trong mô hình này. Tuy nhiên, chỉ có default gateway 0/0 là đƣợc quảng bá xuống cho các CCT router, CC router để đơn giản hóa việc định tuyến và giảm tải tính toán, tăng sự ổn định trên toàn mạng. Tính năng cân bằng tải cũng đƣợc thiết lập trên các kết nối để tăng khả năng tận dụng đƣờng truyền.Với mô hình này, các kết nối truy xuất cơ sở dữ liệu trực tuyến tại Cục thuế sẽ đi đƣờng ngắn nhất sử dụng giao thức OSPF. Trong trƣờng hợp mạng bị ngắt, thì hệ thống sẽ tự động hội tụ sau thời gian time-out của giao thức.
Các dịch vụ trên mạng
Trên đƣờng truyền kết nối của ngành Thuế đang sử dụng các dịch vụ sau:
Trao đổi mã số thuế.
Quản lý thuế.
Trao đổi thông tin hệ thống: email, ftp, update virus, hỗ trợ từ xa về ứng dụng,
xử lý sự cố, chỉnh sửa web.
Portal tại tổng cục.
Quản lý hóa đơn trên mạng.
Hệ thống Active Directory, chat room, communication.
3.2 Đề suất cải tiến về chất lượng dịch vụ trên đường truyền ngành Tài chính
Hiện nay Hạ tầng truyền thông ngành Tài chính chƣa có hệ thống tính cƣớc sử dụng kết nối WAN đối với các ngành có sử dụng cơ sở hạ tầng truyền thông BTC, điều này dẫn tới sự bất bình đẳng giữa các ngành trong việc sử dụng một cơ sở hạ tầng chung, không có thống kê tổng thể về lƣu lƣợng sử dụng hệ thống để qua đó có các dự báo chính xác về nhu cầu sử dụng dịch vụ trong tƣơng lai. Kết quả dẫn đến chất lƣợng dịch vụ kết nối bị giảm.
Vì đây là một hệ thống lớn, nhiều thiết bị phân phối trên cả nƣớc, do đó các chính sách QoS đƣa ra cần có tính tổng thể, khả năng mở rộng cao. Do đó sử dụng mô hình DiffServ với nguyên tắc sau:
Với việc đánh dấu độ ƣu tiên các gói tin tại các thiết bị biên, gần nơi phát, cụ
thể tại các PE Router thuộc TTT, TTM.
Áp dụng các chính sách QoS nhƣ Queuing, giới hạn băng thông, chống nghẽn
mạch, ... trên tất cả các kết nối WAN và có thể trên cả các kết nối LAN khi cần thiết.
Hình 3-4 Mô hình kết hợp DiffServ vào trong mạng MPLS
3.2.1 Xác định mức độ ƣu tiên gói tin IP Precedence, MPLS exp
Giá trị IP Precedence đƣợc xác định trên các Router tại biên (đồng thời la PE
router trên hệ thống mạng trục MPLS của Bộ tài chính), tại PE router, độ ƣu tiên gói tin IP precedence sẽ đƣợc sao chép sang trƣờng MPLS Exp trên MPLS header, và trên lớp lõi các thiết bị sẽ dựa vào 3 bit của trƣờng MPLS Exp này để thực hiện các chính sách về QoS.
Trong một số trƣờng hợp, tùy thuộc vào thỏa thuận dịch vụ, Bộ Tài chính có
thể chọn cách cho phép router CE của các ngành đƣợc quyền thiết lập IP Precedence. Nhờ kiểm soát các thiết lập IP Precedence, khi CE Router đƣợc quản lý bởi Bộ tài chính, việc thiết lập IP Precedence và phân loại lƣu lƣợng có thể đƣợc thực hiện tại biên để nâng cao hiệu xuất hoạt động xử lý ở các PE.
3.2.2 Các lớp dịch vụ tƣơng ứng với IP Precedence:
Bộ Tài chính có thể định nghĩa các lớp dịch vụ khác nhau là bạch kim, vàng, bạc và đồng. Bảng sau định nghĩa từng loại dịch vụ và ánh xạ tƣơng ứng với các bit IP Precedence. Cấp chất lƣợng Đặc tính Các bit IP Precedence tƣơng ứng Đồng Nỗ lực tốt nhất (truy cập Web) 0,1
Bạc Đảm bảo chuyển giao (Guaranteed Delivery)
(ứng dụng Client/Server)
2,3
Vàng Các ứng dụng rất quan trọng.
Đảm bảo độ trể thấp
4 Bạch kim Cấp chất lƣợng “Vàng” kèm với việc đảm bảo
băng thông. (Voice)
Các lớp dịch vụ và IP Precedence trong Bộ TC.
Sử dụng cơ chế loại bỏ các gói tin theo độ ƣu tiên để tránh bị nghẽn mạch.
Chẳng hạn, lớp dịch vụ bạc đảm bảo 30% băng thông tối thiểu trên một mạch OC-3. Nhƣng đến lúc sự nghẽn mạch chuẩn bị xảy ra, các gói tin lớp bạc với IP Precedence 2 sẽ bị loại bỏ trƣớc các gói tin lớp bạc có IP Precedence 3. Cũng cần lƣu ý rằng, trong thời điểm đó, các gói tin với IP Precedence 0 và 1 đã bắt đầu bị loại bỏ từ trƣớc.
Dịch vụ bạch kim có quyền ƣu tiên cao nhất, và sẽ ít có khả năng bị loại bỏ
nhất trong các trƣờng hợp nghẽn mạch. Dịch vụ này thông thƣờng sẽ đƣợc dùng để chuyển tải lƣu lƣợng thoại trên hệ thống mạng trục. Khách hàng có thể không thuê bao dịch vụ Bạch kim, nhƣng họ sẽ nhận đƣợc lớp dịch vụ này khi lƣu lƣợng thoại của họ đi qua lớp mạng lõi IP.
3.2.3 Giới hạn băng thông
Cho phép router lớp biên xác định và phân loại các gói tin khách hàng, và theo
tuỳ chọn, có thể giới hạn định mức lƣu lƣợng đầu vào. Các lƣu lƣợng trên đƣờng truyền kể cả các lƣu lƣợng quá tải của giao thức cũng đƣợc tính vào giới hạn định mức đầu vào.
Khả năng giới hạn băng thông cho phép thiết lập các chính sách về lƣu lƣợng
cho các đơn vị kết nối. Thiết bị tại biên có thể phân loại và áp đặt chính sách lƣu lƣợng trên một giao diện ngõ vào, và thiết lập các chính sách khác để xử lý lƣu lƣợng vƣợt quá mức độ băng thông định trƣớc. Việc giới hạn băng thông này cũng cần có thêm khả năng thiết lập IP Precedence dựa theo phân loại danh sách truy cập mở rộng và phần lƣu lƣợng vƣợt quá ngƣỡng cho phép. Điều này khiến việc gán các IP Precedence trở nên linh hoạt hơn, chẳng hạn phân bố theo ứng dụng, theo cổng, hoặc theo các địa chỉ nguồn/đích, theo lƣu lƣợng, v.v…. Việc giới hạn băng thông định mức đã đƣợc thiết lập trƣớc trên các PE router này nhằm giảm nhẹ tình trạng nghẽn mạch ở trên lớp lõi MPLS.
Việc giới hạn băng thông đòi hỏi nhiều xử lý ở CPU trên router, do đó, một
cách lý tƣởng nhƣng không phải bắt buộc là thực hiện chức năng này trên các CE router đƣợc Bộ Tài chính quản lý tập trung.
3.2.4 Loại bỏ có chọn lọc các gói tin
Việc loại bỏ này giúp tránh đƣợc nghẽn mạch. Kỹ thuật này giám sát lƣu lƣợng
tải của mạng nhằm tính trƣớc và tránh nghẽn mạch ở các nút cổ chai mạng, điều này ngƣợc hẳn với kỹ thuật quản lý nghẽn mạch dùng để xử lý tình trạng nghẽn mạch khi nó xảy ra.
Đƣợc thiết kế để tránh nguy cơ nghẽn mạch trong mạng trƣớc khi nó hình
thành. Tận dụng khả năng giám sát luồng của lƣu lƣợng TCP. Loại bỏ có chọn lọc các gói tin sẽ giám sát lƣu lƣợng ở các điểm trên mạng và loại bỏ các gói tin nếu sự nghẽn mạng bắt đầu tăng lên. Kết quả là thiết bị nguồn sẽ phát hiện lƣu lƣợng bị loại bỏ, và giảm tốc độ truyền lại. Việc loại bỏ có chọn lọc các gói tin cần đƣợc thực hiện theo thứ tự từ các loại lƣu lƣợng có độ ƣu tiên thấp, nhằm bảo đảm rằng các lƣu lƣợng có độ ƣu tiên cao sẽ đƣợc cho qua.
3.2.5 Các cơ chế xếp hàng gói tin (Queueing):
Có khả năng gán các lớp Queue khác nhau cho các loại hình dịch vụ khác
nhau.
Qua việc gán các lớp Queue khác nhau, những tài nguyên ít đƣợc sử dụng sẽ
đƣợc chia sẻ giữa các lớp dịch vụ nhằm tối ƣu hoá hiệu quả của băng thông.
Có khả năng cho phép các lớp dịch vụ ứng dụng đƣợc ánh xạ đến một phần dải
thông trên hệ thống. Ví dụ, một Queue có thể đƣợc cấu hình để chiếm gần 35% đƣờng truyền OC3.
Hình dƣới thể hiện ba lớp dịch vụ khác nhau:
“Vàng ”, đảm bảo về chuyển giao và thời gian truyền
“Bạc ”, đảm bảo chuyển giao
“Đồng ”, nỗ lực dịch vụ tốt nhất
Bằng cách phân bố băng thông và lập bộ đệm tách biệt, Bộ tài chính có thể thiết kế các lớp dịch vụ riêng cho các loại hình ứng dụng của các đơn vị. Ví dụ nhƣ BTC có thể qui định dịch vụ vàng cho lƣu lƣợng video. Các chia sẻ trên phân bố một lƣợng lớn cho lớp dịch vụ vàng đồng nghĩa với việc đảm bảo dịch vụ tối thiểu. Nếu lớp dịch vụ vàng ít đƣợc sử dụng, băng thông này sẽ đƣợc chia sẻ cho các lớp còn lại theo tỷ lệ của chúng. Điều này sẽ đảm bảo hiệu quả tối đa và lƣu lƣợng khác sẽ đƣợc gửi đi nếu băng thông có sẵn.
Có thể sử dụng nhiều dịch vụ tuỳ theo yêu cầu của mình. Chẳng hạn, có thể
dùng dịch vụ có độ trễ thấp cho các ứng dụng hội nghị video và các dịch vụ có độ trễ cao hơn cho thông lƣợng e-mail.
Tính mở rộng là điều rất quan trọng đối với một kế hoạch đảm bảo dịch vụ
mạng hiệu quả. Việc áp dụng QoS trên cơ sở flow-by-flow là không thực tế, vì số lƣợng luồng lƣu lƣợng IP trong mạng của Bộ Tài Chính là rất lớn. Do vậy, trong các mạng có nhiều dịch vụ, băng thông đƣợc cấu hình theo lớp dịch vụ, chứ không theo kết nối.
Tất cả các gói tin phải đƣợc xử lý đồng đều dựa trên gia trọng, không có lớp
dịch vụ của gói tin nào có thể có đƣợc quyền ƣu tiên tuyệt đối. Điều này gây khó khăn cho lƣu lƣợng thoại, vốn không chấp nhận độ trễ lớn, đặc biệt là độ trễ không ổn định. Sự biến thiên độ trễ ở lƣu lƣợng thoại sẽ làm cho quá trình truyền dẫn không đều, gây ra hiệu ứng âm thanh bị ngắt quãng cho cuộc thoại.
Có cơ chế cho phép tạo các hàng đợi có độ ƣu tiên tuyệt đối, cho phép một
hàng đợi ƣu tiên tuyệt đối đƣợc ƣu tiên truyền tải trƣớc các hàng đợi khác.
3.3 Kết quả đo đạc thông lượng trên đường truyền MPLS ngành Thuế
Thời điểm tiến hành đo thông lƣợng trên đƣờng truyền ngành Thuế khi chƣa tiến hành cấu hình QoS trên các Router trong mạng Hạ tầng truyền thông BTC.
Để tiến hành đo đạc thông lƣợng trên mạng MPLS ngành thuế sử dụng thiết bị Packetshaper.
Đường quang từ 123 Lò Đúc đến DC Cầu Giấy Hào Nam Hạ Tầng Truyền Thông Bộ KHDT 2950G-48 Switch 10.64.16.105 (TCT_SW05) Cisco 4912 (TCT_SW11) TCT_SW03 zz TCT_SW02 10.64.16.5 TCT_SW01 10.64.16.1 Cisco 4503 (TCT_SW20) Internet VDC 100Mbps v
SW Access SW Access SW Access SW Access Access Layer SW_Area9 Server Vùng 9 SW_Area0 Server Vùng 0 Cisco Cisco Cisco HITC Cisco Datacenter FPT Cầu Giấy 123 Lò Đúc SW_Area8 Server Vùng 8 MGT 10
Vùng quản trị & ilo
PIX 525 – FW02 (TCT_FW_PIX-02) 10.64.10.1 Netscreen FW-02 (TCT-FW-NS02) 10.64.10.12 Internet mớiv SW_Area PIT Server Vùng 12 PIT TCT_SW04 Netscreen FW-01 (TCT-FW-NS01) 10.64.10.6 Packetshaper Outside Inside IPS/IDP Proventia G400 (Proventia G400) 10.64.254.206/26 Left G0/0
F0/21 Switch Trung Tâm F0/23 MPLS Chi Cục Thuế Router CCT F0/24 Modem CCT MPLS Chi Cục Thuế Cisco 2960 10.x.64.240/24 Internet Internet 1 7 2 .1 6 .2 5 4 .2 /2 4 2 5 6 Vlan4 TTT-KBNN Juniper 6300 Leased line 7 8 9 10 11 12 24 23 24 Cisco 2960 172.16.3.1/22