CHƯƠNG 3 ỨNG DỤNG MÔ HÌNH DIFFSERV TRONG VIỆC ĐẢM BẢO CHẤT LƢỢNG DỊCH VỤ MẠNG MPLS
3.1 Hạ tầng truyền thông ngành Tài chính
3.1.1 Giới thiệu
Hạ tầng truyền thông ngành Tài chính đƣợc tổ chức theo mô hình sau [1]:
Hình 3-1 Mô hình hạ tầng truyền thông ngành Tài chính
Kết nối logic
Hạ tầng truyền thông ngành Tài chính bao gồm các kết nối:
Kết nối dọc ngành Tài chính các cấp Trung ƣơng, Tỉnh, Huyện.
Kết nối ngang với các ngành trực thuộc như Thuế, Kho bạc nhà nước, Hải quan, Chứng khoán, Dự trữ quốc gia, Ban vật giá Chính phủ, Học viện tài chính.
Kết nối mạng Tài chính với các đơn vị khác: Văn phòng chính phủ, UBND các địa phương.
Kết nối Internet cho Bộ tài chính , Website nội bộ, email
Hệ thống mạng của BTC đƣợc thiết kế theo cấu trúc phân cấp với 3 lớp chính:
miền, tỉnh, lớp truy cập vào tỉnh. Các đơn vị kết nối vào hệ thống mạng BTC đều tuân theo quy định:
Trung ƣơng sẽ kết nối vào TTM.
Các đơn vị trực thuộc tỉnh sẽ kết nối tới TTT của tỉnh đó.
Mỗi miền có một TTM đƣợc đặt tại 2 đầu là Hà Nội và thành phố HCM. TTM Bắc sẽ đặt ngay tại Trụ sở BTC ở Hà Nội, TTM Nam sẽ đặt tại Văn phòng BTC khu vực phía Nam ở thành phố HCM. Các trụ sở của các đơn vị khác nhƣ: Tổng Cục Thuế, Tổng Cục Hải Quan, Kho bạc Nhà Nước, Dự trữ quốc gia, Ủy ban chứng khoán, Ban Vật giá chính phủ, Học viện Tài chính sẽ kết nối vào TTM tức BTC ở Hà Nội, các văn phòng của các đơn vị này phía Nam sẽ kết nối vào TTM phía Nam.
Tại mỗi tỉnh có một TTT, TTT này sẽ kết nối về TTM và kết nối xuống các TTH trực thuộc tỉnh đó. Các đơn vị cấp tỉnh thuộc các ngành nhƣ Cục thuế tỉnh, Cục Hải Quan, Kho bạc tỉnh, Sở Tài chính, Chi nhánh Dự trữ quốc gia, Chi nhánh học viện tài chính, … trực thuộc tỉnh nào sẽ kết nối vào TTT của tỉnh đó.
Ngoài kết nối bên trong các đơn vị trực thuộc Bộ Tài Chính, HTTT BTC còn kết nối tới các cơ quan khác của chính phủ, quốc hội, UBND các cấp và các tổ chức khác nhƣ các Ngân hàng, công ty Xổ số, công ty Bảo hiểm, …
Kết nối vật lý
Hạ tầng truyền thông BTC có kiến trúc 3 cấp mạng: Lớp lõi, Lớp tập trung và lớp Truy cập biên [2].
Lớp lõi đảm nhiệm chức năng chuyển tiếp gói đến từ một giao tiếp này đến giao tiếp khác một cách càng nhanh càng tốt. Do đó, thiết kế lớp lõi càng đơn giản thì càng hiệu quả nhất là trong việc nâng cấp thiết bị trong tương lai để tránh việc ảnh hưởng đến toàn bộ kiến trúc mạng.
Lớp tập trung có chức năng giống nhƣ tên gọi của nó đó là tập trung các luồng lưu lượng từ các lớp truy cập khác nhau, sau đó sẽ chuyển tiếp đến lớp lõi để xử lý tiếp. Việc tách biệt giữa lớp tập trung và lớp lõi sẽ giúp ích cho việc vận hành mạng một cách hiệu quả và đơn giản hơn. Thực tế, lớp lõi sẽ chỉ tập trung vào công việc chuyển tiếp gói càng nhanh càng tốt để tăng thông lƣợng của mạng.
Lớp truy cập biên là lớp cung cấp kết nối trực tiếp tới các thiết bị và người dùng cuối. Lớp truy cập biên là lớp tập trung rất nhiều đến xứ lý an ninh, chính sách người sử dụng, phân lọai lưu lượng và phục vụ kết nối tốc độ thấp.
3.1.2 Thiết Kế Truy Cập Cho Tổng Cục Thuế
Hệ thống mạng của BTC đƣợc thiết kế theo cấu trúc phân cấp với 3 lớp chính:
miền, tỉnh, lớp truy cập vào tỉnh. Các đơn vị kết nối vào hệ thống mạng BTC đều tuân theo quy định:
Kết nối vật lý
Các router CCT tại các quận huyện sẽ có 2 kết nối, 1 kết nối chính chạy ADSL về router CT và một kết nối dự phòng chạy ADSL về thẳng router TTT-2. Tại router CT và router TTT-2, đường kết nối vật lý sẽ là G.SHDSL có băng thông bằng tổng băng thông của tất cả các kênh truyền CCT công lại, đảm bảo không nghẽn trong thời gian cao điểm. Các kết nối này thực hiện qua kênh MPLS VPN của VNPT.
Các kết nối từ router CT về router TTT, cũng nhƣ từ các router CCT về router CT & TTT đều thực hiện qua kênh GRE tunnel. Điều này nhằm 2 mục đích:
Chủ động việc định tuyến cho mạng của TCT khi sử dụng kênh truyền MPLS L3 của nhà cung cấp dịch vụ công cộng.
Tăng cường khả năng bảo mật cho mạng của TCT khi dữ liệu cũng đã được mã hóa bằng các tunnel GRE khi đi qua mạng của nhà cung cấp dịch vụ.
Hình 3-2 Mô hình kết nối cho Cục thuế mỗi tỉnh
Hình 3-3 Mô hình kết nối tổng quát GRE Tunnel
OSPF là giao thức định tuyến đƣợc sử dụng trong mô hình này. Tuy nhiên, chỉ có default gateway 0/0 là đƣợc quảng bá xuống cho các CCT router, CC router để đơn giản hóa việc định tuyến và giảm tải tính toán, tăng sự ổn định trên toàn mạng. Tính năng cân bằng tải cũng đƣợc thiết lập trên các kết nối để tăng khả năng tận dụng đường truyền.Với mô hình này, các kết nối truy xuất cơ sở dữ liệu trực tuyến tại Cục thuế sẽ đi đường ngắn nhất sử dụng giao thức OSPF. Trong trường hợp mạng bị ngắt, thì hệ thống sẽ tự động hội tụ sau thời gian time-out của giao thức.
Các dịch vụ trên mạng
Trên đường truyền kết nối của ngành Thuế đang sử dụng các dịch vụ sau:
Trao đổi mã số thuế.
Quản lý thuế.
Trao đổi thông tin hệ thống: email, ftp, update virus, hỗ trợ từ xa về ứng dụng, xử lý sự cố, chỉnh sửa web.
Portal tại tổng cục.
Quản lý hóa đơn trên mạng.
Hệ thống Active Directory, chat room, communication.
3.2 Đề suất cải tiến về chất lượng dịch vụ trên đường truyền ngành Tài chính
Hiện nay Hạ tầng truyền thông ngành Tài chính chưa có hệ thống tính cước sử dụng kết nối WAN đối với các ngành có sử dụng cơ sở hạ tầng truyền thông BTC, điều này dẫn tới sự bất bình đẳng giữa các ngành trong việc sử dụng một cơ sở hạ tầng chung, không có thống kê tổng thể về lưu lượng sử dụng hệ thống để qua đó có các dự báo chính xác về nhu cầu sử dụng dịch vụ trong tương lai. Kết quả dẫn đến chất lượng dịch vụ kết nối bị giảm.
Vì đây là một hệ thống lớn, nhiều thiết bị phân phối trên cả nước, do đó các chính sách QoS đƣa ra cần có tính tổng thể, khả năng mở rộng cao. Do đó sử dụng mô hình DiffServ với nguyên tắc sau:
Với việc đánh dấu độ ƣu tiên các gói tin tại các thiết bị biên, gần nơi phát, cụ thể tại các PE Router thuộc TTT, TTM.
Áp dụng các chính sách QoS nhƣ Queuing, giới hạn băng thông, chống nghẽn mạch, ... trên tất cả các kết nối WAN và có thể trên cả các kết nối LAN khi cần thiết.
Hình 3-4 Mô hình kết hợp DiffServ vào trong mạng MPLS
3.2.1 Xác định mức độ ƣu tiên gói tin IP Precedence, MPLS exp
Giá trị IP Precedence đƣợc xác định trên các Router tại biên (đồng thời la PE router trên hệ thống mạng trục MPLS của Bộ tài chính), tại PE router, độ ƣu tiên gói tin IP precedence sẽ được sao chép sang trường MPLS Exp trên MPLS header, và trên lớp lõi các thiết bị sẽ dựa vào 3 bit của trường MPLS Exp này để thực hiện các chính sách về QoS.
Trong một số trường hợp, tùy thuộc vào thỏa thuận dịch vụ, Bộ Tài chính có thể chọn cách cho phép router CE của các ngành đƣợc quyền thiết lập IP Precedence. Nhờ kiểm soát các thiết lập IP Precedence, khi CE Router đƣợc quản lý bởi Bộ tài chính, việc thiết lập IP Precedence và phân loại lưu lượng có thể đƣợc thực hiện tại biên để nâng cao hiệu xuất hoạt động xử lý ở các PE.
3.2.2 Các lớp dịch vụ tương ứng với IP Precedence:
Bộ Tài chính có thể định nghĩa các lớp dịch vụ khác nhau là bạch kim, vàng, bạc và đồng. Bảng sau định nghĩa từng loại dịch vụ và ánh xạ tương ứng với các bit IP Precedence.
Cấp chất
lƣợng Đặc tính Các bit IP Precedence
tương ứng
Đồng Nỗ lực tốt nhất (truy cập Web) 0,1
Bạc Đảm bảo chuyển giao (Guaranteed Delivery) (ứng dụng Client/Server)
2,3 Vàng Các ứng dụng rất quan trọng.
Đảm bảo độ trể thấp
4 Bạch kim Cấp chất lƣợng “Vàng” kèm với việc đảm bảo
băng thông. (Voice) 5
Các lớp dịch vụ và IP Precedence trong Bộ TC.
Sử dụng cơ chế loại bỏ các gói tin theo độ ƣu tiên để tránh bị nghẽn mạch.
Chẳng hạn, lớp dịch vụ bạc đảm bảo 30% băng thông tối thiểu trên một mạch OC-3. Nhƣng đến lúc sự nghẽn mạch chuẩn bị xảy ra, các gói tin lớp bạc với IP Precedence 2 sẽ bị loại bỏ trước các gói tin lớp bạc có IP Precedence 3.
Cũng cần lưu ý rằng, trong thời điểm đó, các gói tin với IP Precedence 0 và 1 đã bắt đầu bị loại bỏ từ trước.
Dịch vụ bạch kim có quyền ƣu tiên cao nhất, và sẽ ít có khả năng bị loại bỏ nhất trong các trường hợp nghẽn mạch. Dịch vụ này thông thường sẽ được dùng để chuyển tải lưu lượng thoại trên hệ thống mạng trục. Khách hàng có thể không thuê bao dịch vụ Bạch kim, nhƣng họ sẽ nhận đƣợc lớp dịch vụ này khi lưu lượng thoại của họ đi qua lớp mạng lõi IP.
3.2.3 Giới hạn băng thông
Cho phép router lớp biên xác định và phân loại các gói tin khách hàng, và theo tuỳ chọn, có thể giới hạn định mức lưu lượng đầu vào. Các lưu lượng trên đường truyền kể cả các lưu lượng quá tải của giao thức cũng được tính vào giới hạn định mức đầu vào.
Khả năng giới hạn băng thông cho phép thiết lập các chính sách về lưu lượng cho các đơn vị kết nối. Thiết bị tại biên có thể phân loại và áp đặt chính sách lưu lượng trên một giao diện ngõ vào, và thiết lập các chính sách khác để xử lý lưu lượng vượt quá mức độ băng thông định trước. Việc giới hạn băng thông này cũng cần có thêm khả năng thiết lập IP Precedence dựa theo phân loại danh sách truy cập mở rộng và phần lưu lượng vượt quá ngưỡng cho phép.
Điều này khiến việc gán các IP Precedence trở nên linh hoạt hơn, chẳng hạn phân bố theo ứng dụng, theo cổng, hoặc theo các địa chỉ nguồn/đích, theo lưu lượng, v.v…. Việc giới hạn băng thông định mức đã được thiết lập trước trên các PE router này nhằm giảm nhẹ tình trạng nghẽn mạch ở trên lớp lõi MPLS.
Việc giới hạn băng thông đòi hỏi nhiều xử lý ở CPU trên router, do đó, một cách lý tưởng nhưng không phải bắt buộc là thực hiện chức năng này trên các CE router đƣợc Bộ Tài chính quản lý tập trung.
3.2.4 Loại bỏ có chọn lọc các gói tin
Việc loại bỏ này giúp tránh được nghẽn mạch. Kỹ thuật này giám sát lưu lượng tải của mạng nhằm tính trước và tránh nghẽn mạch ở các nút cổ chai mạng, điều này ngƣợc hẳn với kỹ thuật quản lý nghẽn mạch dùng để xử lý tình trạng nghẽn mạch khi nó xảy ra.
Được thiết kế để tránh nguy cơ nghẽn mạch trong mạng trước khi nó hình thành. Tận dụng khả năng giám sát luồng của lưu lượng TCP. Loại bỏ có chọn lọc các gói tin sẽ giám sát lưu lượng ở các điểm trên mạng và loại bỏ các gói tin nếu sự nghẽn mạng bắt đầu tăng lên. Kết quả là thiết bị nguồn sẽ phát hiện lưu lượng bị loại bỏ, và giảm tốc độ truyền lại. Việc loại bỏ có chọn lọc các gói tin cần được thực hiện theo thứ tự từ các loại lưu lượng có độ ưu tiên thấp, nhằm bảo đảm rằng các lưu lượng có độ ưu tiên cao sẽ được cho qua.
3.2.5 Các cơ chế xếp hàng gói tin (Queueing):
Có khả năng gán các lớp Queue khác nhau cho các loại hình dịch vụ khác nhau.
Qua việc gán các lớp Queue khác nhau, những tài nguyên ít đƣợc sử dụng sẽ đƣợc chia sẻ giữa các lớp dịch vụ nhằm tối ƣu hoá hiệu quả của băng thông.
Có khả năng cho phép các lớp dịch vụ ứng dụng đƣợc ánh xạ đến một phần dải thông trên hệ thống. Ví dụ, một Queue có thể đƣợc cấu hình để chiếm gần 35%
đường truyền OC3.
Hình dưới thể hiện ba lớp dịch vụ khác nhau:
“Vàng ”, đảm bảo về chuyển giao và thời gian truyền
“Bạc ”, đảm bảo chuyển giao
“Đồng ”, nỗ lực dịch vụ tốt nhất
Hình 3-5 Các lớp dịch vụ khác nhau cùng chia sẻ băng thông
Bằng cách phân bố băng thông và lập bộ đệm tách biệt, Bộ tài chính có thể thiết kế các lớp dịch vụ riêng cho các loại hình ứng dụng của các đơn vị. Ví dụ như BTC có thể qui định dịch vụ vàng cho lưu lượng video. Các chia sẻ trên phân bố một lƣợng lớn cho lớp dịch vụ vàng đồng nghĩa với việc đảm bảo dịch vụ tối thiểu. Nếu lớp dịch vụ vàng ít đƣợc sử dụng, băng thông này sẽ đƣợc chia sẻ cho các lớp còn lại theo tỷ lệ của chúng. Điều này sẽ đảm bảo hiệu quả tối đa và lưu lượng khác sẽ được gửi đi nếu băng thông có sẵn.
Có thể sử dụng nhiều dịch vụ tuỳ theo yêu cầu của mình. Chẳng hạn, có thể dùng dịch vụ có độ trễ thấp cho các ứng dụng hội nghị video và các dịch vụ có độ trễ cao hơn cho thông lƣợng e-mail.
Tính mở rộng là điều rất quan trọng đối với một kế hoạch đảm bảo dịch vụ mạng hiệu quả. Việc áp dụng QoS trên cơ sở flow-by-flow là không thực tế, vì số lượng luồng lưu lượng IP trong mạng của Bộ Tài Chính là rất lớn. Do vậy, trong các mạng có nhiều dịch vụ, băng thông đƣợc cấu hình theo lớp dịch vụ, chứ không theo kết nối.
Tất cả các gói tin phải đƣợc xử lý đồng đều dựa trên gia trọng, không có lớp dịch vụ của gói tin nào có thể có đƣợc quyền ƣu tiên tuyệt đối. Điều này gây khó khăn cho lưu lượng thoại, vốn không chấp nhận độ trễ lớn, đặc biệt là độ trễ không ổn định. Sự biến thiên độ trễ ở lưu lượng thoại sẽ làm cho quá trình truyền dẫn không đều, gây ra hiệu ứng âm thanh bị ngắt quãng cho cuộc thoại.
Có cơ chế cho phép tạo các hàng đợi có độ ƣu tiên tuyệt đối, cho phép một hàng đợi ưu tiên tuyệt đối được ưu tiên truyền tải trước các hàng đợi khác.