b. Bảo mật
2.1.2Kiến trúc IntServ
Intserv có 4 thành phần, thành phần điều khiển việc chấp nhận luồng mới, thành phần phân loại, lập lịch gói (3 thành phần này cung cấp việc điều khiển lưu lượng) và giao thức dành trước tài nguyên.
Hình 2.1 : Mô hình dịch vụ tích hợp IntServ 2.1.2.1 Điều khiển chấp nhận
Xử lí hai nhiệm vụ cơ bản là chấp nhận hay từ chối các yêu cầu dành trước tài nguyên và giám sát việc sử dụng tài nguyên. Việc dành trước tài nguyên cho một yêu cầu mới sẽ không thể được chấp nhận nếu không có sẵn tài nguyên theo yêu cầu. Có
hai hướng tiếp cận để giải quyết xem tài nguyên nào là sẵn sàng đó là dựa theo đo đạc và dựa theo tham số.
− Trong hướng tiếp cận dựa theo tham số, điều khiển chấp nhận sẽ tính toán các nguồn tài nguyên khả dụng dựa trên các chỉ tiêu kỹ thuật và yêu cầu dành trước tài nguyên hiện tại.
− Trong hướng tiếp cận theo đo đạc, điều khiển chấp nhận đo lưu lượng thực sự trong mạng và sử dụng các phương pháp thống kê để quyết định xem tài nguyên nào khả dụng. Hướng tiếp cận này có ưu điểm là tối ưu hoá việc sử dụng mạng, mặc dù không đảm bảo chặt chẽ các cam kết tài nguyên.
2.1.2.2 Nhận dạng luồng
RSVP sử dụng 5 trường trong tiêu đề trong gói tin IP để nhận dạng gói tin thuộc về các luồng dành trước tài nguyên trong nút. Các trường này bao gồm địa chỉ IP nguồn, địa chỉ IP đích, định danh giao thức, cổng nguồn và đích.
2.1.2.3 Lập lịch gói
Là bước cuối cùng trong việc dành trước tài nguyên. Bộ lập lịch gói tin thực hiện việc cấp phát tài nguyên. Nó quyết định gói tin nào sẽ gửi kế tiếp khi tuyến kết nối đi đã sẵn sàng. Do đó nó tác động đến trễ mà gói tin phải chịu trong bộ định tuyến và bộ định tuyến không trực tiếp loại bỏ gói tin.
2.1.2.4 Các dịch vụ của IntServ
Mô hình dịch vụ IntServ có thể sử dụng giao thức báo hiệu RSVP cung cấp nhiều loại hình dịch vụ khác nhau.
− Guaranteed Rate Service: loại hình này cho phép dành sẵn độ rộng băng thông để phù hợp với những yêu cầu của chúng. Ví dụ ứng dụng VoIP có thể dành 32 Mbps từ đầu cuối đến đầu cuối sử dụng loại hình dịch vụ này. QoS sử dụng xếp hàng cân bằng trọng số (WFQ) kết hợp với giao thức dành sẵn tài nguyên (RSVP) để cung cấp loại hình dịch vụ này.
− Controlled Load Service: loại hình này cho phép các ứng dụng có độ trễ thấp và tốc độ lưu lượng cao thậm trí ngay cả khi tắc nghẽn. Ví dụ các ứng dụng không nhạy cảm với thời gian thực như khi phát lại băng ghi âm cuộc hội thoại có thể sử dụng loại hình dịch vụ này. QoS sử dụng RSVP kết hợp với Weighted Random early Detect (WRED) cung cấp loại hình dịch vụ này.
2.1.3 Giao thức dành trước tài nguyên - RSVP 2.1.3.1 Tổng quan 2.1.3.1 Tổng quan
RSVP được định nghĩa trong chuẩn RFC 2205. RSVP là một giao thức thiết lập dành riêng cho IP QoS. Nó hỗ trợ cả IPv4 và IPv6 và thích hợp cho cả multicast và unicast IP. Trong RSVP, tài nguyên được dành riêng cho mỗi một định hướng cụ thể.
Các trạm nguồn và đích trao đổi bản tin RSVP để thành lập phân lớp dịch vụ và trạng thái chuyển tiếp tại mỗi nút. Nguồn khởi tạo yêu cầu dành riêng nhưng việc xác
định các tài nguyên sẵn sàng và sự dành riêng thực tế bắt đầu từ đầu cuối thu. Trạng thái của tài nguyên dành riêng tại các node RSVP không cố định và được thay đổi một cách định kỳ.
RSVP không phải là một giao thức định tuyến. Các bản tin RSVP có hướng giống với hướng các gói IP được xác định bởi các bảng định tuyến trong các router IP. RSVP cung cấp một vài kiểu dành riêng. RSVP là một giao thức phức tạp. Do mỗi một nút trên tuyến phải giữ trạng thái dành riêng, với các mạng lớn, RSVP trở thành không thực tế, bởi không có khả năng mở rộng tùy ý.
2.1.3.2 Hoạt động của RSVP
Một phiên RSVP thường được định nghĩa bởi ba tham số sau: − Địa chỉ đích
− Nhận dạng giao thức − Cổng đích
Hình 2.2 Hoạt động của RSVP
Hình trên chỉ ra hoạt động của RSVP. Phía trạm phát (Host nguồn) gửi đi một bản tin PATH tới trạm đích với một luồng hay một “phiên”. Bản tin PATH bao gồm một chỉ thị luồng xác định cho luồng đó Khi bản tin PATH đi qua các router trên một tuyến, các router đăng ký nhận dạng luồng và chỉ thị luồng này. Khi bản tin PATH đến trạm đích, nó sẽ gửi trở lại bản tin RESV mang thông tin về các tài nguyên được các router chấp nhận đặt trước. Các gói IP của luồng gửi đi theo hướng của bản tin PATH.
2.1.3.3 Các kiểu RSVP dành trước tài nguyên
Có ba loại kiểu dành riêng được định nghĩa trong chuẩn RFC 2205 như đã chỉ ra trong bảng dưới đây.
Sự dành riêng Lựa chọn người gửi
Riêng biệt Chia sẻ
Toàn bộ Bộ lọc cố định (FF) Chia sẻ rõ ràng (SE) Lựa chọn Không định nghĩa Bộ lọc kí tự đại diện(WF)
Điều khiển người gửi sẽ điều khiển lựa chọn những người gửi. Hai kiểu điều khiển người gửi đã được định nghĩa. Trong kiểu lựa chọn cụ thể, một dãy “cụ thể” tất cả những người gửi được lựa chọn được chỉ ra. Trong lựa chọn bất kỳ, tất cả những người gửi đến phiên đều được lựa chọn. Điều khiển chia sẻ điều khiển việc xử lý dành riêng cho những người gửi khác nhau trong cùng một phiên. Hai kiểu điều khiển chia sẻ được định nghĩa. Trong kiểu dành riêng riêng biệt, việc dành riêng được thực hiện cho mỗi đường lên của người gửi. Trong kiểu dành riêng được chia sẻ, tài nguyên dành riêng được chia sẻ bởi nhiều đường lên của các người gửi.
Hình 2.3 Các ống chia sẽ được dành riêng (adsbygoogle = window.adsbygoogle || []).push({});
Như đã chỉ ra trong bảng Các kiểu dành riêng của RSVP, có bốn sự kết hợp chia sẻ điều khiển và điều khiển lựa chọn người gửi có thể xảy ra. Tuy nhiên, một trong bốn sự kết hợp này chưa được định nghĩa. Ba kiểu còn lại là kiểu Fixed – Filter, kiểu Shared – Explicit (SE) và kiểu Wildcard – Filter (WF).
Hình Các ống chia sẽ được dành riêng chỉ ra một băng thông “pipe” được dành riêng được chia sẻ bởi nhiều người gửi.
2.2 Mô hình DifServ (Differentiated Service)
Việc đưa ra mô hình IntServ có vẻ như giải quyết được nhiều vấn đề liên quan đến QoS trong mạng IP. Tuy nhiên trong thực tế mô hình này đã không đảm bảo được QoS xuyên suốt (end to end), do tính khả mở (Scalability) kém. Đã có nhiều cố gắng nhằm thay đổi điều này nhằm đạt một mức QoS cao hơn cho mạng IP, và một trong những cố gắng đó là sự ra đời của DiffServ (xem mô hình Differentiated Service)
Phần này trình bày các vấn đề sau:
− Kiến trúc các dịch vụ phân biệt (DiffServ) − Đánh dấu gói trong mô hình DiffServ
− Các điểm mã DiffServ (DSCP’s) − Thực hiện theo từng chặng (PBH)
2.2.1 Tổng quan
Ở DiffServ, các luồng lưu lượng riêng biệt không được tách biệt mà được tổ hợp lại thành một số lớp lưu lượng. Trong DiffServ, băng thông và các tài nguyên mạng khác được cấp phát cho các lớp lưu lượng mà không dành cho các luồng riêng biệt. Trọng tâm chính của DiffServ là dựa trên miền DS mà không phải là các đường đi end to end của gói tin.
Thuật ngữ “DiffServ” mô tả toàn bộ việc xử lý lưu lượng của khách hàng cùng với một mạng của nhà cung cấp dịch vụ và định nghĩa dịch vụ mà khách hàng có thể trông đợi từ nhà cung cấp dịch vụ, ví dụ một nhà cung cấp Internet – ISP (Internet Service Provider). Một dịch vụ DiffServ được định nghĩa dựa theo thỏa thuận mức dịch vụ - SLA (Service Level Agreement) giữa một khách hàng (ví dụ, một ứng dụng khách hàng có thể là VoIP, TCP, vv…) và một mạng của nhà cung cấp dịch vụ DiffServ.
Hình 2.4 Các bước của DiffServ
Một DiffServ được định nghĩa bằng thuật ngữ của các tham số mà khách hàng hiểu như thỏa thuận điều kiện lưu lượng -TCA (Traffic Condition Ageement), các hồ sơ lưu lượng (ví dụ, các tham số gáo rò – Licky Bucket), thông số hiệu năng (ví dụ thông lượng, trễ, ưu tiên loại bỏ), bằng cách đó các gói không được cấu hình sẽ bị xử lý, và thêm vào đánh dấu và định dạng của lưu lượng.
Hình 2.4 chỉ ra các bước cơ bản trong việc cung cấp các dịch vụ DiffServ. Các gói khách hàng đến tại router có đánh dấu (hoặc không) DSCP. Router kiểm tra DSCP của các gói và phân lớp các gói bằng phương thức kết hợp hành vi – BA (Behavior Aggregation).
2.2.2 Cấu trúc DiffServ
Nhìn chung, một miền trong mạng IP thường tương ứng với một khu vực địa lý có ranh giới xung quanh và có một chính sách nhất định hoặc khả năng có thể thực hiện được. Một miền IP là một mạng IP chịu sự điều khiển của một nhà quản lý có thẩm quyền. Một miền IP có thể bao gồm một vài mạng, có thể phân tán về mặt địa lý nhưng cùng được quản lý bởi một nhà quản trị.
Hình 2.5 Miền IP
Hình 2.6 Một miền DS và các mạng con
Một mạng IP có thể coi là một DS, nếu nó có khả năng cung cấp dịch vụ DiffServ. Một miền IP có thể có một phần là DS và một phần không phải DS. Một miền DS là một phần có chức năng DS của miền IP. Hình 2.5 minh họa một miền IP mà bao gồm cả miền DS và không phải miền DS
Hình 2.7 Miền DiffServ
Hình 2.8 Vùng DS
Hình 2.7 chỉ ra một miền DS và các phần tử chính của nó. Miền DS gồm các nút ở biên và các nút bên trong. Các nút ở biên lại bao gồm các “Node vào” và các “Node ra”. Các nút ở biên thực hiện chức năng giám sát lưu lượng đưa vào miền DS... Thuật ngữ khóa được sử dụng trong việc mô tả cấu trúc DS đã được định nghĩa trong chuẩn RFC 2457. Một node IP hay thiết bị được gọi là “DS–compliant” nếu nó hỗ trợ DifServ.
Hình 2.8 chỉ ra một vùng DS, bao gồm một hoặc nhiều hơn các miền DS tiếp giáp phụ thuộc các quyền hạn hành chính khác. Vì thế, một vùng DS có thể cung cấp DiffServ qua các tuyến IP mở rộng qua các mạng dưới nhiều quyền hạn.
Nhìn chung, các miền DS riêng biệt hoạt động với chính sự giám sát của chúng và PHB, mỗi miền DS có thể sử dụng DSCP của riêng nó. Để cung cấp DiffServ qua một số vùng DS, các miền DS phải thiết lập một SLA tại giao diện giữa các miền DS này.
2.2.3 Đánh dấu gói DiffServ
DiffServ sử dụng trường Kiểu dịch vụ (ToS) của tiêu đề Ipv4 và trường lớp lưu lượng (TC) của tiêu đề IPv6 cho đánh dấu các gói. Khi các router IPv4 và IPv6 hoạt động theo phương thức thông thường và không nhận ra các thông tin DiffServ trong phần tiêu đề gói tin, các trường ToS và TC được sử dụng như đối với các gói tin bình thường khác.
Bảng 2.2 IPv4 Header 24 byte
2.2.3.1. Đánh dấu gói trong các router thông thường.
Bảng 2.2 là cấu trúc gói tin IPv4, trong đó có thể thấy trường ToS 8 bit có thể được sử dụng cho các thông tin DiffServ. Trong một router thông thường (router không hỗ trợ DiffServ) 8 bit của trường ToS được định nghĩa theo chuẩn RFC 791. Ba bit đầu tiên (bit 0, 1, 2) được dành cho việc xác lập mức ưu tiên của gói tin IP, như mô tả trên Bảng 2.5. Thí dụ RFC 791 chỉ rõ rằng gói tin điều khiển mạng, với 3 bit đầu của trường ToS bằng 111 chỉ được sử dụng với một mạng riêng; và gói tin với 3 bit đầu của trường ToS bằng 110 chỉ được thiết lập bởi người quản trị gateway.
Precedence D T R 0 0
3 bit 1 bit 1 bit 1 bit 1 bit 1 bit (adsbygoogle = window.adsbygoogle || []).push({});
Bảng 2.3 Trường TOS trong IPv4 header
Ba bit tiếp theo (bit 3, 4, 5) được mô tả trên Bảng 2.6, định nghĩa các đặc điểm liên quan đến hiệu năng và QoS. Bảng 2.6 chỉ ra cách thiết lập D-bit, T-bit, và R-bit của trường ToS và các ý nghĩa tương ứng. Hai bit cuối cùng (bit 6 và 7) của trường ToS được dành cho tương lai.
Các bit IP Precedence Kiểu lưu lượng
111 Điều khiển mạng
110 Điểu khiển kết nối liên mạng 101 Khẩn cấp 100 Ghi đè Flash 011 Flash 010 Trung bình 001 Ưu tiên 000 Thông thwờng Bảng 2.5 Các bit IP precedence
Thiết lập Bit Bit D Bit T Bit R
0 Trễ thường Lưu lượng thường Độ tin cậy thường 1 Trễ nhỏ Lưu lượng cao Độ tin cậyc cao
Bảng 2.6 Các chỉ thị về hiệu năng
Hình 2.9 Trường DS
Bảng 2.4 mô tả tiêu đề gói tin IPv6. Nó bao gồm 8 trường, trong đó trường lớp lưu lượng - TC (Traffic Class) dài 8 bit, trường nhãn luồng FL (Flow Label) dài 20 bit. Cả hai trường này đều thích hợp cho việc thực hiện đảm bảo QoS. Tuy nhiên, cho đến thời điểm hiện nay, không có các ứng dụng quan trọng nào trên Internet sử dụng trường FL. Còn trường TC cung cấp khả năng tương tự như trường ToS của tiêu đề gói tin IPv4.
2.2.3.2.Trường DiffServ (DS)
Khi một router được sử dụng cho DiffServ như một nút DS, các trường 8 bit như trường ToS trong IPv4 và trường TC trong IPv6, được router ghi đè như trường
DiffServ (DS). Hình 2.9 mô tả việc ghi đè này. Trong 8 bit của trường DS, 6 bit được sử dụng cho việc đánh dấu các gói DiffServ và hai bit cuối hiện chưa được định nghĩa, để dành cho tương lai. 6 bit được sử dụng cho đánh dấu các gói DiffServ được gọi là điểm mã DS (DSCP – DS Code Point). Vì vậy, đánh dấu các gói trong DiffServ chính là việc thiết lập giá trị các bit thuộc DSCP.
Sáu bit trong trường DSCP có thể cung cấp 64 giá trị DSCP khác nhau. RFC 2474 phân chia 64 giá trị DSCP thành 3 nhóm như trong bảng 2.7.
Dải (nhóm) Không gian mã điểm Chính sách gán
1 xxxxx0 Hoạt động chuẩn 2 xxxx11 Thí nghiệm 3 xxxx01 Thí nghiệm
Bảng 2.7 Các khối giá trị DSCP
Bit cuối cùng (ví dụ , bit thứ 6) của nhóm DSCP thứ nhất được ấn định là bit 0. Năm bit khác của nhóm DSCP này có thể là bit 0 hoặc bit 1. Vì thế, nhóm 1 có 32 giá trị DSCP khác nhau. Nhóm DSCP thứ nhất yêu cầu các hoạt động theo tiêu chuẩn của IETF và được nhận dạng phổ biến. Nhóm DSCP 2 có 2 bít cuối được ấn định là “11”. 4 bit còn lại được phép nhận các giá trị khác nhau, như vậy tổng cộng có 16 giá trị DSCP thuộc nhóm 2. Nhóm DSCP 2 không yêu cầu các hoạt động tiêu chuẩn và được sử dụng cho thử nghiệm và các mục đích nội bộ. Các gói DiffServ được truyền trong một mạng nội bộ riêng có thể được đánh dấu bởi nhóm DSCP 2, các gói thuộc nhóm này không được nhận dạng bên ngoài mạng nội bộ.
Nhóm DSCP 3 luôn luôn kết thúc với “01”, nhóm này cũng có 16 giá trị DSCP khác nhau như nhóm 2. Nhóm này được dành cho việc thử nghiệm và sử dụng trong mạng nội bộ; tuy nhiên điểm khác biệt so với nhóm 2 là nhóm DSCP 3 có thể sử dụng cho các hoạt động tiêu chuẩn nếu cần thiết.
2.2.4 Hành vi theo từng chặng (PHB)
DiffServ sử dụng phương pháp phân loại kết hợp hành vi BA. Trong phương pháp phân loại này, các gói được phân loại chỉ dựa trên các giá trị DSCP và không có các tham số khác. Bằng việc các gói được xử lý tại mỗi router dẫn đến việc dễ dàng mở rộng mạng DS. Một PHB mô tả kỹ thuật bên trong một mạng và không tuân theo người sử dụng đầu cuối. Có hai kiểu PHB tiêu chuẩn: PHB chuyển tiếp nhanh (EF) và PHB có đảm bảo (AF).
2.2.4 .1 PHB chuyển tiếp nhanh (Expedited Forwarding)
PHB chuyển tiếp nhanh (EF) được xác định ban đầu bởi chuẩn RFC 2598, mà sau đó được thay thế bởi chuẩn RFC 3246. Giá trị DSCP được đề nghị cho PHB EF là “101110”. Với PHB EF, các gói được chuyển tiếp với tổn hao thấp, trễ thấp và jitter
thấp. PHB EF yêu cầu một số lượng cổng đầu ra kết nối băng thông đủ lớn để làm cho trễ thấp, tổn hao thấp và jitter thấp.
PHB EF có thể thực hiện được nếu cổng đầu ra kết nối băng thông đủ lớn cộng với kích cỡ bộ đệm nhỏ và các tài nguyên mạng khác được dành cho các gói EF cho phép