c. Protocol Independant Multicast (PIM)
3.7.2 Vấn đề chuẩn hóa
Trước tiên, IP truyền tải trên mạng quang phải được chuẩn hoá tức là cần xác định các yêu cầu cho giao diện IP quang, trao đổi thông tin trên giao diện này và kỹ thuật lưu lượng.
Một khu vực cần chuẩn hoá đó là phần điều khiển dựa trên MPLS cho mạng quang gồm nhiều mạng con nối kết, vấn đề này bao gồm thiết lập động và khôi phục nhanh xuyên suốt các mạng quang con cũng như giao thức định tuyến và báo hiệu. Một số vấn đề đang được thực hiện đó là cơ chế đánh địa chỉ toàn cầu cho các điểm luồng quang, sự lan truyền thông tin xuyên qua các mạng con, thiết lập luồng đầu cuối sử dụng các báo hiệu chuẩn, các hỗ trợ chính sách (tính cước, bảo mật...) và hỗ trợ cho thiết lập mạng con riêng biệt và các thuật toán khôi phục trong một mạng con. Vấn đề nổi cộm hiện nay là thiết lập luồng quang tự động sử dụng báo hiệu, khôi phục topo tự động, các thuật toán tối ưu dung lượng bảo vệ các luồng để thiết lập dọc theo mỗi đoạn và khôi phục luồng đầu cuối sử dụng bảo vệ dùng chung.
Về vấn đề nhận biết topo cục bộ đã có một danh sách các yêu cầu về điều khiển. Những vấn đề này ít được giải quyết và bao gồm xác định thông tin nào phải được trao đổi, thông tin nào là cần thiết, các tham số tuyến, cổng nào cần được định nghĩa và giao thức nào cho nhận biết tự động topo cục bộ.
Các nhà kỹ thuật làm việc theo nhóm, mỗi nhóm giải quyết một lĩnh vực. Nhóm giải quyết lĩnh vực IP/WDM thuộc IETF nghiên cứu các vấn đề sau: MPLS/MPlS (Chuyển mạch bước sóng đa giao thức)/ GMPLS (Generalized MPLS). Chức năng lớp 2 và lớp 3 trong mạng quang. Các tiêu chuẩn kết nối mạng NNI quang (Network to Network Interface). Nhóm giải quyết lĩnh vực IP/WDM thuộc ITU-T nghiên cứu các vấn đề: Đặc điểm lớp 1 trong mô hình OSI, Kiến trúc và các giao thức mạng quang thế hệ sau (OTN), Kiến trúc của mạng quang chuyển mạch tự động. Với các ưu điểm của mạng quang, ngày 20/04/1998, Cisco Systems và Ciena Corporation đưa ra diễn đàn kết nối mạng quang (Optical
Internetworking Forum - OIF). Đây là diễn đàn mở, quan tâm đến việc thúc đẩy nhanh việc triển khai mạng Internet quang.
OIF là nơi gặp gỡ của các nhà sản xuất thiết bị, người sử dụng, người cung cấp dịch vụ cùng nhau đưa ra các giải pháp và các vấn đề khác để đảm bảo sự cùng hoạt động của các mạng quang. Hiện tại, có năm nhóm làm việc trong OIF: Kiến trúc (Architecture), truyền dẫn (Carrier), khai thác, bảo dưỡng (OAM&P), lớp vật lý và kết nối (Physical and link layer), báo hiệu (Signalling). OIF đang triển khai các công việc thuộc lĩnh vực: Giao diện quang với người sử dụng (Optical UNI - User to Network Interface), Giao diện quang giữa các mạng (Optical NNI - Network to Network Interface).
Trong các tổ chức chuẩn hoá, thì OIF đã đưa ra sớm nhất về giao diện UNI. IETF cũng có nhóm đặc biệt về IP Over Optic đang phát triển chuẩn về kiến trúc mạng. Cả hai nhóm này cũng tích cực hợp tác để đưa ra chi tiết về báo hiệu IP/Optic. nghiên cứu ở IETF dưới cái tên GMPLS (chuyển mạch nhãn đa giao thức tổng quát).
Một vài xu hướng nổi lên trong quá trình chuẩn hoá. Thiết lập luồng quang sẽ tái sử dụng cấu trúc công nghệ lưu lượng MPLS và sẽ sử dụng giao thức CR- LDP/RSVP cho báo hiệu thiết lập và huỷ bỏ luồng quang. Nhận biết topo tự động đang chuyển hướng sang giao thức quản lý tuyến LMP về thông tin trạng thái và thuộc tính của tuyến/cổng. Ngoài ra các giao thức định tuyến mới mở rộng khả năng TE cho nhận biết topo đang được phát triển. Gần đây OSPF đang được xem xét cho mục đích này. Các giao thức này với mở rộng TE có thể được sử dụng để quảng cáo thông tin phụ về trạng thái tuyến bao gồm khả năng của tài nguyên và phân tập của tuyến vật lý.
Giao thức LMP để nhận biết các nút bên cạnh có thể được sử dụng giữa hai chuyển mạch quang cạnh nhau. Điều này cho phép nhận biết tự động OXC, ID cổng tương ứng, tốc độ và kiểu của tuyến và trạng thái của kênh /cổng. LMP sẽ sử dụng các byte mào đầu của SONET/SDH để thực hiện.
Cuối cùng, các giao thức báo hiệu dựa trên cả CR-LDP và RSVP đã được đề nghị. Các đề nghị này cho phép ánh xạ phân cấp mạng vật lý vào cấu trúc nhãn và định ra các TLV cho các tham số TE của luồng quang. Hiện nay cũng đang được mở rộng RSVP/CR-LDP để trang bị khôi phục động từng phần cũng như tạo ra tương tác có điều khiển giữa Router IP và chuyển mạch quang.
3.7.3. Bảo mật
Định tuyến IP truyền thống kiểm tra nội dung header của gói nhận để xác định trạm kế tiếp. Bước này mất thời gian nhưng cho phép thiết lập được firewall, vì các thông tin cần thiết trong tiêu đề gói như địa chỉ đích, địa chỉ nguồn là không đổi trong cả quá trình. Ngược lại, các nhãn MPLS/GMPLS được sử dụng để thúc đẩy quá trình phát chuyển và chỉ có giá trị trong nội bộ, chẳng hạn, nhãn được hiểu và sử dụng chỉ trong các thiết bị GMPLS. Những nhãn này không thể được dùng để điều khiển truy nhập hoặc cho mục đích bảo mật mạng. Chỉ có một cách để thiết lập bảo mật mạng GMPLS là bắt buộc bảo mật truy nhập trong thời gian thiết lập kết nối, như các mạng hướng kết nối khác.
Các vấn đề bảo mật tổng quan bao gồm: Nhân thực các thông tin trao đổi giữa các thực thể, ví vụ báo hiệu, định tuyến, quản lý liên kết thông qua mặt phẳng điều khiển. Đảm bảo toàn vẹn thông tin được trao đổi thông qua các giao diện. Bảo vệ khỏi sự xâm phạm và các cách thức khác từ các đối tượng bên ngoài
Bởi vì các kết nối quang có thể mang khối lượng lưu lượng lớn và các kĩ thuật chung được yêu cầu bảo mật chống lại sự xâm phạm bất hợp pháp các mạng quang tương đối tốn kém. Hơn nữa phương diện bảo mật liên quan đến mặt phẳng điều khiển, mặt phẳng dữ liệu cũng cần được bảo vệ khỏi sự tấn công từ bên ngoài Một khía cạnh quan trọng trong mạng quang là sự tách biệt của mặt phẳng dữ liệu và mặt phẳng điều khiển tách biệt nhau. Sự tách biệt này chỉ ra rằng trạng thái của các kênh mang mạng lưu lượng người dùng không thể được suy ra trạng thái của các kênh điều khiển. Cũng tương tự như vậy trạng thái của kênh điều khiển không thể suy ra trạng thái của kênh dữ liệu. khả năng bảo mật được chỉ ở đây nên được tính vào giao thức điều khiển thích hợp trong mạng IP/quang
Vấn đề khác trong mạng IP/quang cần quan tâm thực tế là các phần tử mạng quang cơ bản có thể không tồn tại trong các node IP client, đặc biệt trong mô hình chồng lấn. Điều này có nghĩa rằng các công cụ IP truyền thống như router không thể được sử dụng ở các node IP client để loại trừ trừ tấn công trong miền quang
Trong một miền tin cậy, có một nhà quản trị riêng các phương thức bảo mật nên được thiết lập để ngăn chặn sự xậm phạm trái phép. Cần nhấn mạnh rằng trong một miền tin cậy node bị phá hoại có thể gửi bản tin điều khiển thỏa hiệp với toàn mạng
Truyền thông nói chung thường yêu cầu hai kĩ thuật bảo mật chính: Nhận thực, xác thực nguồn gốc và toàn vẹn dữ liệu vì vậy sự xâm phạm trái phép có thể bị loại trừ hoặc gỉam. Kĩ thuật nhận thực đảm bảo dữ liệu được kiểm tra nguồn
dịch vụ denial of service liên quan đến một số các kết nối thừa được yêu cầu tạo ra qua giao diện UNI. Vấn đề quan trọng khác của bảo mật là cần loại trừ các gói được điều khiển lại. khả năng này có thể tăng cường việc chống lại một số dạng của tấn công denial of service. Có thể thực hiện kết hợp với các kĩ thuật nhận thực.
Sự tin cậy của các bản tin báo hiệu là một điều cần thiết nhất là trong trường hợp bản tin trao đổi giữa các thực thể cần tính thận trọng hay là các thông tin cá nhân, ví dụ các phiên thanh toán, cần đưa các giấy chứng nhận. Trường hợp yêu cầu các kết nối quang từ các mạng client, cũng phải lọc và sử dụng các chính sách thích hợp để bảo vệ những sự xâm phạm và sử dụng tài nguyên vượt quá. Hơn nữa, có thể cần sự tin cẩn trong SRLG trong một số trường hợp. Mạng quang có thể cũng là một đối tượng để thực hiện các kiểu tấn công denial of service một cách tinh vi. Ví dụ yêu cầu một kết nối quang sử dụng định tuyến hiện mà dẫn đến blocking ở mức cao ngay sau yêu cầu. Điều này có thể thể hiện yêu cầu có sự kết hợp toàn cụa hoặc cấp phát tài nguyên.
Một dạng khác liên quan đến kiểu tấn công denial of servicecó thể xảy ra khi các tuyến quang không chắc có thực được yêu cầu như các tuyến mà tài nguyên dự trữ không cung cấp đủ. Với những yêu cầu cho các tuyến không thực này, có thể sử dụng các cổng trên các phần tử chuyển mạch quang dẫn đến denial of service đến ngay sau các yêu cầu kết nối