Hệ thống mạng của BTC đƣợc thiết kế theo cấu trúc phân cấp với 3 lớp chính: miền, tỉnh, lớp truy cập vào tỉnh. Các đơn vị kết nối vào hệ thống mạng BTC đều tuân theo quy định:
Kết nối vật lý
Các router CCT tại các quận huyện sẽ có 2 kết nối, 1 kết nối chính chạy ADSL về router CT và một kết nối dự phòng chạy ADSL về thẳng router TTT-2. Tại router CT và router TTT-2, đƣờng kết nối vật lý sẽ là G.SHDSL có băng thông bằng tổng băng thông của tất cả các kênh truyền CCT công lại, đảm bảo không nghẽn trong thời gian cao điểm. Các kết nối này thực hiện qua kênh MPLS VPN của VNPT.
Các kết nối từ router CT về router TTT, cũng nhƣ từ các router CCT về router CT & TTT đều thực hiện qua kênh GRE tunnel. Điều này nhằm 2 mục đích:
Chủ động việc định tuyến cho mạng của TCT khi sử dụng kênh truyền MPLS L3 của nhà cung cấp dịch vụ công cộng.
Tăng cƣờng khả năng bảo mật cho mạng của TCT khi dữ liệu cũng đã đƣợc mã hóa bằng các tunnel GRE khi đi qua mạng của nhà cung cấp dịch vụ.
Hình 3-2 Mô hình kết nối cho Cục thuế mỗi tỉnh
Hình 3-3 Mô hình kết nối tổng quát GRE Tunnel
OSPF là giao thức định tuyến đƣợc sử dụng trong mô hình này. Tuy nhiên, chỉ có default gateway 0/0 là đƣợc quảng bá xuống cho các CCT router, CC router để đơn giản hóa việc định tuyến và giảm tải tính toán, tăng sự ổn định trên toàn mạng. Tính năng cân bằng tải cũng đƣợc thiết lập trên các kết nối để tăng khả năng tận dụng đƣờng truyền.Với mô hình này, các kết nối truy xuất cơ sở dữ liệu trực tuyến tại Cục thuế sẽ đi đƣờng ngắn nhất sử dụng giao thức OSPF. Trong trƣờng hợp mạng bị ngắt, thì hệ thống sẽ tự động hội tụ sau thời gian time-out của giao thức.
Các dịch vụ trên mạng
Trên đƣờng truyền kết nối của ngành Thuế đang sử dụng các dịch vụ sau:
Trao đổi mã số thuế.
Quản lý thuế.
Trao đổi thông tin hệ thống: email, ftp, update virus, hỗ trợ từ xa về ứng dụng, xử lý sự cố, chỉnh sửa web.
Portal tại tổng cục.
Quản lý hóa đơn trên mạng.
Hệ thống Active Directory, chat room, communication.
3.2 Đề suất cải tiến về chất lượng dịch vụ trên đường truyền ngành Tài
chính
Hiện nay Hạ tầng truyền thông ngành Tài chính chƣa có hệ thống tính cƣớc sử dụng kết nối WAN đối với các ngành có sử dụng cơ sở hạ tầng truyền thông BTC, điều này dẫn tới sự bất bình đẳng giữa các ngành trong việc sử dụng một cơ sở hạ tầng chung, không có thống kê tổng thể về lƣu lƣợng sử dụng hệ thống để qua đó có các dự báo chính xác về nhu cầu sử dụng dịch vụ trong tƣơng lai. Kết quả dẫn đến chất lƣợng dịch vụ kết nối bị giảm.
Vì đây là một hệ thống lớn, nhiều thiết bị phân phối trên cả nƣớc, do đó các chính sách QoS đƣa ra cần có tính tổng thể, khả năng mở rộng cao. Do đó sử dụng mô hình DiffServ với nguyên tắc sau:
Với việc đánh dấu độ ƣu tiên các gói tin tại các thiết bị biên, gần nơi phát, cụ thể tại các PE Router thuộc TTT, TTM.
Áp dụng các chính sách QoS nhƣ Queuing, giới hạn băng thông, chống nghẽn mạch, ... trên tất cả các kết nối WAN và có thể trên cả các kết nối LAN khi cần thiết.
Hình 3-4 Mô hình kết hợp DiffServ vào trong mạng MPLS
3.2.1 Xác định mức độ ƣu tiên gói tin IP Precedence, MPLS exp
Giá trị IP Precedence đƣợc xác định trên các Router tại biên (đồng thời la PE router trên hệ thống mạng trục MPLS của Bộ tài chính), tại PE router, độ ƣu tiên gói tin IP precedence sẽ đƣợc sao chép sang trƣờng MPLS Exp trên MPLS header, và trên lớp lõi các thiết bị sẽ dựa vào 3 bit của trƣờng MPLS Exp này để thực hiện các chính sách về QoS.
Trong một số trƣờng hợp, tùy thuộc vào thỏa thuận dịch vụ, Bộ Tài chính có thể chọn cách cho phép router CE của các ngành đƣợc quyền thiết lập IP Precedence. Nhờ kiểm soát các thiết lập IP Precedence, khi CE Router đƣợc quản lý bởi Bộ tài chính, việc thiết lập IP Precedence và phân loại lƣu lƣợng có thể đƣợc thực hiện tại biên để nâng cao hiệu xuất hoạt động xử lý ở các PE.
3.2.2 Các lớp dịch vụ tƣơng ứng với IP Precedence:
Bộ Tài chính có thể định nghĩa các lớp dịch vụ khác nhau là bạch kim, vàng, bạc và đồng. Bảng sau định nghĩa từng loại dịch vụ và ánh xạ tƣơng ứng với các bit IP Precedence. Cấp chất lƣợng Đặc tính Các bit IP Precedence tƣơng ứng Đồng Nỗ lực tốt nhất (truy cập Web) 0,1 Bạc Đảm bảo chuyển giao (Guaranteed Delivery)
(ứng dụng Client/Server)
2,3
Vàng Các ứng dụng rất quan trọng. Đảm bảo độ trể thấp
4
Bạch kim Cấp chất lƣợng “Vàng” kèm với việc đảm bảo băng thông. (Voice)
Các lớp dịch vụ và IP Precedence trong Bộ TC.
Sử dụng cơ chế loại bỏ các gói tin theo độ ƣu tiên để tránh bị nghẽn mạch. Chẳng hạn, lớp dịch vụ bạc đảm bảo 30% băng thông tối thiểu trên một mạch OC-3. Nhƣng đến lúc sự nghẽn mạch chuẩn bị xảy ra, các gói tin lớp bạc với IP Precedence 2 sẽ bị loại bỏ trƣớc các gói tin lớp bạc có IP Precedence 3. Cũng cần lƣu ý rằng, trong thời điểm đó, các gói tin với IP Precedence 0 và 1 đã bắt đầu bị loại bỏ từ trƣớc.
Dịch vụ bạch kim có quyền ƣu tiên cao nhất, và sẽ ít có khả năng bị loại bỏ nhất trong các trƣờng hợp nghẽn mạch. Dịch vụ này thông thƣờng sẽ đƣợc dùng để chuyển tải lƣu lƣợng thoại trên hệ thống mạng trục. Khách hàng có thể không thuê bao dịch vụ Bạch kim, nhƣng họ sẽ nhận đƣợc lớp dịch vụ này khi lƣu lƣợng thoại của họ đi qua lớp mạng lõi IP.
3.2.3 Giới hạn băng thông
Cho phép router lớp biên xác định và phân loại các gói tin khách hàng, và theo tuỳ chọn, có thể giới hạn định mức lƣu lƣợng đầu vào. Các lƣu lƣợng trên đƣờng truyền kể cả các lƣu lƣợng quá tải của giao thức cũng đƣợc tính vào giới hạn định mức đầu vào.
Khả năng giới hạn băng thông cho phép thiết lập các chính sách về lƣu lƣợng cho các đơn vị kết nối. Thiết bị tại biên có thể phân loại và áp đặt chính sách lƣu lƣợng trên một giao diện ngõ vào, và thiết lập các chính sách khác để xử lý lƣu lƣợng vƣợt quá mức độ băng thông định trƣớc. Việc giới hạn băng thông này cũng cần có thêm khả năng thiết lập IP Precedence dựa theo phân loại danh sách truy cập mở rộng và phần lƣu lƣợng vƣợt quá ngƣỡng cho phép. Điều này khiến việc gán các IP Precedence trở nên linh hoạt hơn, chẳng hạn phân bố theo ứng dụng, theo cổng, hoặc theo các địa chỉ nguồn/đích, theo lƣu lƣợng, v.v…. Việc giới hạn băng thông định mức đã đƣợc thiết lập trƣớc trên các PE router này nhằm giảm nhẹ tình trạng nghẽn mạch ở trên lớp lõi MPLS.
Việc giới hạn băng thông đòi hỏi nhiều xử lý ở CPU trên router, do đó, một cách lý tƣởng nhƣng không phải bắt buộc là thực hiện chức năng này trên các CE router đƣợc Bộ Tài chính quản lý tập trung.
3.2.4 Loại bỏ có chọn lọc các gói tin
Việc loại bỏ này giúp tránh đƣợc nghẽn mạch. Kỹ thuật này giám sát lƣu lƣợng tải của mạng nhằm tính trƣớc và tránh nghẽn mạch ở các nút cổ chai mạng, điều này ngƣợc hẳn với kỹ thuật quản lý nghẽn mạch dùng để xử lý tình trạng nghẽn mạch khi nó xảy ra.
Đƣợc thiết kế để tránh nguy cơ nghẽn mạch trong mạng trƣớc khi nó hình thành. Tận dụng khả năng giám sát luồng của lƣu lƣợng TCP. Loại bỏ có chọn lọc các gói tin sẽ giám sát lƣu lƣợng ở các điểm trên mạng và loại bỏ các gói tin nếu sự nghẽn mạng bắt đầu tăng lên. Kết quả là thiết bị nguồn sẽ phát hiện lƣu lƣợng bị loại bỏ, và giảm tốc độ truyền lại. Việc loại bỏ có chọn lọc các gói tin cần đƣợc thực hiện theo thứ tự từ các loại lƣu lƣợng có độ ƣu tiên thấp, nhằm bảo đảm rằng các lƣu lƣợng có độ ƣu tiên cao sẽ đƣợc cho qua.
3.2.5 Các cơ chế xếp hàng gói tin (Queueing):
Có khả năng gán các lớp Queue khác nhau cho các loại hình dịch vụ khác nhau.
Qua việc gán các lớp Queue khác nhau, những tài nguyên ít đƣợc sử dụng sẽ đƣợc chia sẻ giữa các lớp dịch vụ nhằm tối ƣu hoá hiệu quả của băng thông.
Có khả năng cho phép các lớp dịch vụ ứng dụng đƣợc ánh xạ đến một phần dải thông trên hệ thống. Ví dụ, một Queue có thể đƣợc cấu hình để chiếm gần 35% đƣờng truyền OC3.
Hình dƣới thể hiện ba lớp dịch vụ khác nhau:
“Vàng ”, đảm bảo về chuyển giao và thời gian truyền
“Bạc ”, đảm bảo chuyển giao
“Đồng ”, nỗ lực dịch vụ tốt nhất
Bằng cách phân bố băng thông và lập bộ đệm tách biệt, Bộ tài chính có thể thiết kế các lớp dịch vụ riêng cho các loại hình ứng dụng của các đơn vị. Ví dụ nhƣ BTC có thể qui định dịch vụ vàng cho lƣu lƣợng video. Các chia sẻ trên phân bố một lƣợng lớn cho lớp dịch vụ vàng đồng nghĩa với việc đảm bảo dịch vụ tối thiểu. Nếu lớp dịch vụ vàng ít đƣợc sử dụng, băng thông này sẽ đƣợc chia sẻ cho các lớp còn lại theo tỷ lệ của chúng. Điều này sẽ đảm bảo hiệu quả tối đa và lƣu lƣợng khác sẽ đƣợc gửi đi nếu băng thông có sẵn.
Có thể sử dụng nhiều dịch vụ tuỳ theo yêu cầu của mình. Chẳng hạn, có thể dùng dịch vụ có độ trễ thấp cho các ứng dụng hội nghị video và các dịch vụ có độ trễ cao hơn cho thông lƣợng e-mail.
Tính mở rộng là điều rất quan trọng đối với một kế hoạch đảm bảo dịch vụ mạng hiệu quả. Việc áp dụng QoS trên cơ sở flow-by-flow là không thực tế, vì số lƣợng luồng lƣu lƣợng IP trong mạng của Bộ Tài Chính là rất lớn. Do vậy, trong các mạng có nhiều dịch vụ, băng thông đƣợc cấu hình theo lớp dịch vụ, chứ không theo kết nối.
Tất cả các gói tin phải đƣợc xử lý đồng đều dựa trên gia trọng, không có lớp dịch vụ của gói tin nào có thể có đƣợc quyền ƣu tiên tuyệt đối. Điều này gây khó khăn cho lƣu lƣợng thoại, vốn không chấp nhận độ trễ lớn, đặc biệt là độ trễ không ổn định. Sự biến thiên độ trễ ở lƣu lƣợng thoại sẽ làm cho quá trình truyền dẫn không đều, gây ra hiệu ứng âm thanh bị ngắt quãng cho cuộc thoại.
Có cơ chế cho phép tạo các hàng đợi có độ ƣu tiên tuyệt đối, cho phép một hàng đợi ƣu tiên tuyệt đối đƣợc ƣu tiên truyền tải trƣớc các hàng đợi khác.
3.3 Kết quả đo đạc thông lượng trên đường truyền MPLS ngành Thuế
Thời điểm tiến hành đo thông lƣợng trên đƣờng truyền ngành Thuế khi chƣa tiến hành cấu hình QoS trên các Router trong mạng Hạ tầng truyền thông BTC.
Để tiến hành đo đạc thông lƣợng trên mạng MPLS ngành thuế sử dụng thiết bị Packetshaper.
Đường quang từ 123 Lò Đúc đến DC Cầu Giấy Hào Nam Hạ Tầng Truyền Thông Bộ KHDT 2950G-48 Switch 10.64.16.105 (TCT_SW05) Cisco 4912 (TCT_SW11) TCT_SW03 zz TCT_SW02 10.64.16.5 TCT_SW01 10.64.16.1 Cisco 4503 (TCT_SW20) Internet VDC 100Mbps v
SW Access SW Access SW Access SW Access Access Layer SW_Area9 Server Vùng 9 SW_Area0 Server Vùng 0 Cisco Cisco Cisco HITC Cisco Datacenter FPT Cầu Giấy 123 Lò Đúc SW_Area8 Server Vùng 8 MGT 10
Vùng quản trị & ilo
PIX 525 – FW02 (TCT_FW_PIX-02) 10.64.10.1 Netscreen FW-02 (TCT-FW-NS02) 10.64.10.12 Internet mớiv SW_Area PIT Server Vùng 12 PIT TCT_SW04 Netscreen FW-01 (TCT-FW-NS01) 10.64.10.6 Packetshaper Outside Inside IPS/IDP Proventia G400 (Proventia G400) 10.64.254.206/26 Left G0/0
F0/21 Switch Trung Tâm F0/23 MPLS Chi Cục Thuế Router CCT F0/24 Modem CCT MPLS Chi Cục Thuế Cisco 2960 10.x.64.240/24 Internet Internet 1 7 2 .1 6 .2 5 4 .2 /2 4 2 5 6 Vlan4 TTT-KBNN Juniper 6300 Leased line 7 8 9 10 11 12 24 23 24 Cisco 2960 172.16.3.1/22 Cisco 2960 172.16.3.2/22 SW04 SW05 eth1/6-7 b0 172.16.0.1/22 eth1/2 eth1/5 1 7 2 .1 6 .2 5 3 .1 /2 4 1 7 2 .1 6 .2 5 2 .1 /2 4 eth1/4 1 7 2 .1 6 .2 5 4 .1 /2 4 SW03 eth1/0 10.x.64.241/24 eth1/1 eth1/1.16 172.1.16.1/24 eth1/1.17 172.1.17.1/24 G0/24G0/23 G0/19 Cisco 3560 10.x.64.239/24 24 G0/20 G0/21 G0/22 Po1 WLAN Controller 17 13 24 G0/1 G0/1.4 172.19.y.74/29 G0/1.5 172.19.y.66/29 G0/1.6 172.19.y.82/29 G0/1.7 172.n.m.18/29 Cisco 2821 R01 G0/0 10.x.64.241/24 10.x.65.241/24 Cisco 3600 14 V la n 3 10.x.65.1/24 eth1/3 KBNN Cisco 3600 JUNIPER 6300 MPLS TTM MPLS TTM Inside Outside Mgt Packetshaper
Hình 3-7 Vị trí lắp đặt Packetshaper tại Cục thuế Phú Thọ
18 24 UPS Server 12 Internet Internet Vlan5 C2950 10.xx.yy.243/28 11 F0/0 F0/0.1 10.xx.yy.241/28 F0/0.2 172.19.x.y/29 F0/0.3 172.19.x.t/29 MPLS TTM MPLS Cục Thuế Modem CT Modem CCT CT KBNN MPLS TTM
Inside Packetshaper Outside
Mgt
13
SW01
SW02
10.26.66.231/24
3.3.1 Thông lƣợng truy cập vào TTDL
Hình 3-9 thông lƣợng truy cập vào TTDL. Ta nhận thấy thông lƣợng trong thời gian này đỉnh cao nhất là 44 Mbps còn tỷ lệ sử dụng trung bình là khoảng 11Mbps.
Hình 3-9 Thông lượng truy cập vào TTDL
Mƣời ứng dụng truy cập vào trong hệ thống mạng đó là:
3.3.2 Thông lƣợng vào ra Cục thuế Phú Thọ
Hình 3-11 thông lƣợng truy cập vào, ra từ Cục Thuế Phú Thọ trong thời gian một tuần. Trong khoảng thời gian này thông lƣợng truy cập ra cao nhất là 11.5M còn trung bình cao nhất là 4.8M.
Hình 3-11 Thông lượng ra vào Cục thuế Phú Thọ
Mƣời ứng dụng đứng đầu truy cập ra là:
3.3.3 Thông lƣợng xuất phát từ chi cục thuế Việt Trì
Thông lƣợng vào, ra của chi cục thuế Việt Trì trong khoảng thời gian một tuần là:
Hình 3-13 Thông lượng ra vào Chi cục Thuế Việt Trì
Trong khoảng thời gian này thông lƣợng cao nhất là 7.2M thông lƣợng trung bình cao nhất là 4.2M.
3.3.4 Nhận xét về thông lƣợng trên đƣờng truyền MPLS ngành Thuế:
Từ thực tế đo đạc thông lƣợng trên đƣờng truyền MPLS ngành Thuế nhận thấy rằng mặc dù BTC liên tục nâng cấp tốc độ đƣờng truyền cho kết nối từ TTT xuống các CT & CCT (hiện tại tốc độ 2 đƣờng MPLS là 2Mbps) nhƣng đƣờng truyền bƣớc đầu đã có hiện tƣợng nghẽn trên mạng do các ứng dụng ngành Thuế triển khai ngày càng tăng lên để đáp ứng cho công tác quản lý thuế mới.
Các ứng dụng không đƣợc phân bố tỷ lệ đƣờng truyền theo mức độ quan trọng của ứng dụng nhƣ các ứng dụng phục vụ cho quản lý thuế (sử dụng dịch vụ Oracle) chiếm tỷ lệ nhỏ so với với các ứng dụng giải trí (FlashVideo, MPEG-Audio).
3.4 Thực nghiệm kiểm chứng hiệu quả của việc áp dụng mô hình DiffServ
trên công cụ mô phỏng NS2
Việc kết hợp giữa MPLS và DiffServ đã khai thác các điểm mạnh của mỗi công nghệ và ngày càng nâng cao chất lƣợng dịch vụ QoS, đặc biệt là việc sử dụng phân bố băng thông khi trong mạng xảy ra tắc nghẽn. Trong phần thực nghiệm với việc sử dụng chƣơng trình mô phỏng Ns2 sẽ mô phỏng một số kịch bản để dẫn chứng cho việc