Công nghệ nối mạng riêng ảo di động MVPN cho 3G.doc

Công nghệ nối mạng riêng ảo di động MVPN cho 3G

CHƯƠNG 1: TỔNG QUAN CÁC CÔNG NGHỆ NỐI MẠNG VÔ TUYẾN 3

1.1 CÁC CÔNG NGHỆ NỐI MẠNG SỐ LIỆU CHUYỂN MẠCH KÊNH VÀ CHUYỂN MẠCH GÓI 3

1.2 SỐ LIỆU GÓI CDMA2000 5

1.2.1 Kiến trúc hệ thống số liệu gói cdma2000 5

1.3.3 Kiến trúc hệ thống GPRS và miền UMTS PS 16

1.3.4 Các khả năng dịch vụ của GPRS và miền UMTS PS 19

1.3.5 Đầu cuối GPRS và miền UMTS PS 20

1.4 KẾT LUẬN 21

CHƯƠNG 2: TỔNG QUAN MVPN 22

2.1 ĐỊNH NGHĨA VPN 22

2.2 CÁC KHÁI NIỆM CHUNG NHẦM LẪN VỀ CÁC MẠNG RIÊNG 23

2.2.1 Các mạng riêng đảm bảo an ninh 23

2.2.2 Các mạng riêng luôn luôn tin cậy 24

2.3 CÁC KHỐI CƠ BẢN CỦA VPN 25

2.3.1 Điều khiển truy nhập 25

2.3.2 Nhận thực 27

2.3.3 An ninh 28

2.3.4 Truyền tunnel là nền tảng VPN 28

2.3.5 Các thỏa thuận mức dịch vụ SLA (Service Level Agreement) 32

2.4 PHÂN LOẠI CÔNG NGHỆ VPN 33

2.4.1 Phân loại theo phương pháp truyền tunnel 34

2.4.2 Phân loại theo kiến trúc: Site-to-Site VPN và truy nhập từ xa 39

2.5 CHUYỂN TỪ HỮU TUYẾN SANG VÔ TUYẾN VÀ DI ĐỘNG 43

2.5.1 Tầm quan trọng của VPN trong môi trường số liệu gói vô tuyến 43

2.5.2 MVPN tự ý 45

2.5.3 MNPN bắt buộc 46

2.6 KẾT LUẬN 47

CHƯƠNG 3: GIẢI PHÁP MVPN CHO GPRS/UMTS VÀ CDMA2000 48

3.1 GIẢI PHÁP VPN CHO GPRS VÀ UMTS 48

3.1.3 Kiểu PPP PDP 56

3.1.4 Các thỏa thuận mức dịch vụ, SLA 60

3.1.5 Tính cước 61

3.1.6 Chuyển mạng 62

3.2 GIẢI PHÁP MVPN CHO CDMA2000 65

3.2.1 Tổng quan mạng riêng cdma2000 65

3.2.2 IP đơn giản (Simple IP) 67

3.2.3 VPN dựa trên MIP 70

3.2.4 Cấp phát HA trong mạng 77

3.2.5 Quản lý địa chỉ IP đơn giản trong cdma2000 81

3.2.6 Nhận thực, trao quyền và thanh toán cho dịch vụ MVPN 83

KẾT LUẬN 88

TÀI LIỆU THAM KHẢO 89

Hình 1.1 Cơ chế truyền tunnel số liệu gói vô tuyến 4

Hình 1.2 Thí dụ kiến trúc số liệu gói cdma2000 6

Hình 1.3 Thí dụ các ngăn xếp giao thức của dịch vụ gói cdma2000 7

Hình 1.4 Phân cấp di động cdma2000 10

Hình 1.5 Mạng lõi cdma2000 điển hình cùng với các hệ thống AAA 12

Hình 1.6 Kiến trúc GPRS 14

Hình 1.7 Kiến trúc UMTS 15

Hình 1.8 Kiến trúc ngăn xếp giao thức mặt phẳng người sử dụng GPRS và UMTS 17

Hình 2.1 Truyền tunnel trong nối mạng riêng ảo 29

Hình 2.2 Che đậy địa chỉ IP bằng tunnel 30

Hình 2.4 VPN tự ý trên mạng TTDĐ 2G 35

Hình 2.5 VPN bắt buộc 37

Hình 2.6 Một số tùy chọn VPN móc nối (trong môi trường GPRS) 38

Hình 2.7 Extranet VPN động 41

Hình 2.8 Truy nhập từ xa hữu tuyến sử dụng phương tiện hãng khác 42

Hình 2.9 VPN trong các môi trường vô tuyến 44

Hình 3.8 Chuyển mạng GPRS với GGSN trong mạng khách 65

Hình 3.12 Mô hình kiến trúc của IP VPN đơn giản 68

Hình 3.13 Mô hình tham khảo giao thức IP VPN đơn giản 69

Hình 3.14 Thiết lập kết nối IP VPN đơn giản 70

Hình 3.15 Các phương pháp MIP VPN 71

Hình 3.16 Kiến trúc HA VPN công cộng 72

Hình 3.17 Ngăn xếp giao thức HA VPN công cộng 73

Hình 3.18 Kiến trúc HA VPN riêng và ngăn xếp 75

Hình 3.19 Thiết lập HA động 80

Hình 3.20 Kiến trúc AAA dựa trên cdma2000 RADIUS và mô hình tham khảo giao thức 84

AAA Authentication, Authorization and Accounting Nhận thực, trao quyền và thanh toán

ANSI American National Standard Institute Viện nghiên cứu tiêu chuẩn quốc gia Mỹ

ARQ Automatic Repeat Request Yêu cầu phát lại tự động

ASN Abract Syntaxe Notation Ký hiệu cú pháp trừu tợng

ASP Application Service Provider Nhà cung cấp dịch vụ ứng dụng

ATM Asynchronous Transfer Mode Chế độ truyền di bộ

BSSGP BSS GPRS Protocol Giao thức BSS GPRS C

CAMEL Customized Application for Mobile Network Enhanced Logic ứng dụng khách hàng hóa cho logic đợc mạng di động tăng cờng

CCoA Collocated Care of Address Chăm sóc địa chỉ đợc đồng vị trí

CDMA Code Division Multiple Access Đa truy nhập phân chia theo mã

CGF Charging Gateway Function Chức năng cổng tính cớc

CHAP Challenge Handshake Authentication Protocol Giao thức nhận thực bắt tay khẩu lệnh

COPS Common Open Policy Service Dịch vụ chính sách mở chung

CSCF Call Session Control Function Chức năng điều khiển phiên cuộc gọi

DHCP Dynamic Host Configuration Protocol Giao thức lập cấu hình máy trạm động

DIAMETER Giao thức RADIUS cải tiến nhằm định nghĩa quan hệ đồng cấp của các thực thể đồng cấp

DiffSrv Differentiated Services Các dịch vụ đợc phân loại

DLCI Data Link Connection Identifier Nhận dạng kết nối liên kết số liệu

DSCP Differentiated Service Code Point Điểm mã dịch vụ đợc phân loại

DSLAM DSL Access Multiplex Ghép kênh DSL

EAP Extensible Authentication Protocol Giao thức nhận thực mở rộng đợc

EHF Extension Header Flag Cờ chỉ thị sự tồn tại của trờng tiêu đề mở rộng tiếp theo

ESP Encapsulating Security Payload Tải tin đóng bao an ninh f

FEC Forwarding Equivalence Class Loại tơng đơng định tuyến

FQDN Full Qualified Domain Name Tên miền đợc hoàn toàn phân loại

GERAN GSM EDGE RAN Mạng truy nhập vô tuyến GSM EDGE

GGSN Gateway GPRS Support Node Node hỗ trợ GPRS cổng

GMM GPRS Mobility Management Quản lý di động GPRS

GPRS General Packet Radio Service Dịch vụ vô tuyến gói chung

GRE Generic Routing Encapsulation Đóng bao định tuyến chung

GSM Global System For Mobile Telecommunications Hệ thống thông tin di động toàn cầu

GTP GPRS Tunneling Protocol Giao thức truyền tunnel GPRS

GTP-C GTP- Control Plane Giao thức GTP mặt phẳng điều khiển

GTP-U GTP-User Plane Giao thức GTP mặt phẳng ngời sử dụng

HAAA Home AAA AAA nhà (xem AAA)

HLR Home Location Register Bộ ghi dịnh vụ thờng trú

IBGP Internet Border Gateway Protocol Giao thức cổng biên internet

IMSI International Mobile Station Identifier Nhận dạng thuê bao duy nhất toàn cầu

IPCP IP Configuration Protocol Giao thức lập cấu hình IP

ISP Internet Service Provider Nhà cung cấp dịch vụ Internet

L2TP L2 Tunneling Protocol Giao thức truyền tunnel lớp 2

LAC L2TP Access Concentrator Bộ tập trung truy nhập L2TP

LCP Link Control Protocol Giao thức điều khiển liên kết

LDAP Lightweight Directory Access Protocol Giao thức truy nhập danh mục trọng lợng nhẹ

LLC Logical Link Control Điều khiển liên kết logic

MPLS Multi-Protocol Label Switching Chuyển mạch nhãn đa giao thức

MSC Mobile Services Switched Center Trung tâm chuyển mạch các dịch vụ di động

NAI Network Access Identifier Nhận dạng truy nhập mạng

NAT Network Address Translation Biên dịch địa chỉ mạng

NCP Network Control Protocol Giao thức điều khiển mạng o

OA&M Operation Administration and Maintenance Center Khai thác, quản trị và bảo dỡng

OSA Open Services Architecture Kiến trúc các dịch vụ mở p

PAD Packet Assembler and Deassembler Đóng và tháo bao gói

PAP Password Authentication Protocol Giao thức nhận thực mật khẩu

PCF Packet Control Function Chức năng điều khiển gói

PCO Protocol Configuration Options Các tùy chọn cấu hình

PDCP Packet Data Convergence Protocol Giao thức hội tụ số liệu gói

PDSN Packet Data Serving Node Node phục vụ số liệu gói

PIN Personal Identitification Number Số nhận dạng cá nhân

PKI Public Key Infrastructure Cơ sở hạ tầng khoá công cộng

PLMN Public Land Mobile Network Mạng di động mặt đất công cộng

PMM Packet Mobility Management Quản lý di động gói

RADIUS Remote Authentication Dial-in User Service Dịch vụ nhận thực ngời dùng quay số từ xa

RANAP Radio Access Application Part Phần ứng dụng truy nhập vô tuyến

RP RADIUS Proxy Đại diện RADIUS

SAAL-NNI Signaling ATM Adaptation Layer Network-to-Network Interface Giao diện mạng đến mạng lớp thích ứng ATM của báo hiệu SAD Security Association Database Cơ sở dữ liệu liên kết an ninh

SCCP Signaling Connection Control Part Phần điều khiển kết nối báo hiệu

SCF Service Charging Function Chức năng tính cớc dịch vụ

SCTP Stream Control Transmission Protocol Giao thức truyền dẫn điều khiển luồng

SGSN Serving GPRS Support Node Nút hỗ trợ GPRS phục vụ

SIM Subscriber Identity Module Modul nhận dạng thuê bao

SMS Short Message Service Dịch vụ bản tin ngắn hay nhắn tin

SNDCP Subnetwork Dependent Convergence Protocol Giao thức hội tụ phụ thuộc mạng con

SPD Security Policy Database Cơ sở dữ liệu chính sách an ninh t

TDMA Time Division Multiple Access Đa truy nhập phân chia theo thời gian

TEID Tunnel Endpoint Identifier Số nhận dạng đầu cuối tunnel

TLS Transport Layer Security An ninh lớp truyền tải u

UMTS Universal Mobile Telecommunications System Hệ thống thông tin di động toàn cầu

USIM UMTS Subscriber Identity Module Modul nhận dạng thuê bao UMTS

UTRAN UMTS Terrestrial Radio Access Network Mạng truy nhập mặt đất của UMTS v

VLR Visitor Location Register Bộ ghi định vị tạm trú

VPLMN Visited PLMN PLMN kh¸ch

WAP Wireless Application Protocol Giao thøc øng dông v« tuyÕn

LỜI MỞ ĐẦU

Ngày nay, thông tin di động đã trở thành một ngành công nghiệp viễn thông phát triển nhanh nhất và phục vụ những yêu cầu trao đổi thông tin hữu hiệu nhất Để đáp ứng các nhu cầu về chất lượng và dịch vụ ngày càng nâng cao, mạng thông tin di động ngày càng được cải tiến, cụ thể là xu hướng chuyển đổi từ hệ thống thông tin di động thế hệ hai sang thế hệ ba.

Mặc dù thông tin di động thế hệ hai (2G) đã sử dụng công nghệ số nhưng vì là hệ thống băng hẹp và xây dựng trên cơ chế chuyển mạch kênh nên không thể đáp ứng được các kiểu dịch vụ mới như truyền số liệu tốc độ bit thấp và cao, truy nhập Internet tốc độ cao, đa phương tiện, truyền video và các dịch vụ yêu cầu băng thông lớn khác, vậy nên sự ra đời và phát triển mạnh mẽ của các hệ thống thông tin di động thế hệ ba (UMTS và CDMA2000) là một điều tất yếu.

Song song với sự phát triển mạnh mẽ của các mạng thông tin di động là sự phát triển liên tục của mạng Internet, mạng truyền số liệu lớn nhất và phổ biến nhất trên toàn thế giới Từ khi ra đời đến nay, mạng Internet đã tạo ra những thay đổi cơ bản phong cách làm việc, khai thác thông tin và giải trí của con người.

Tính tại thời điểm gần đây số thuê bao sử dụng các dịch vụ vô tuyến trên toàn thế giới là vào khoảng hơn một tỷ người Bên cạnh đó số lượng các máy chủ Internet cũng vào khoảng hơn 200 triệu host Và theo những nghiên cứu gần đây, 80% người sử dụng Internet thì cũng là các thuê bao sử dụng các dịch vụ di động, và 40% trong số họ là những người sử dụng với các mục đích kinh doanh.

Như vậy không có gì ngạc nhiên khi ngày càng có nhiều người quan tâm hơn đến dịch vụ truyền số liệu vô tuyến, gồm cả các ứng dụng thương mại và trao đổi thông thường Một trong những xu hướng phát triển hứa hẹn gần đây trong lĩnh vực thương mại đó là việc sử dụng công nghệ nối mạng riêng ảo VPN trong các hệ thống truyền thông số liệu để đảm bảo an ninh cho các kết nối tới các mạng riêng từ xa qua các hạ tầng dùng chung không tin cậy, mà ở đây chính là mạng Internet.

Mạng riêng ảo VPN được định nghĩa không chặt chẽ là một mạng trong đó kết nối khách hàng giữa các site được triển khai trên một hạ tầng cơ sở chia sẻ với cùng các chính sách truy nhập và an ninh như một mạng riêng Với việc phát hiện gần đây về các hoạt động tiếp thị xung quanh thuật ngữ VPN, từ các công nghệ mới hỗ trợ VPN, các sản phẩm và dịch vụ được cung cấp bởi VPN khiến cho chúng ta có suy nghĩ rằng VPN là một công nghệ mới Tuy nhiên VPN là khái niệm về công nghệ đã có hơn 10 năm và được sử dụng rất phổ biến trong thị trường công nghiệp viễn thông

Một trong những ứng dụng mới nhất của VPN là MVPN, nghĩa là đưa công nghệ VPN vào môi trường vô tuyến Các mạng riêng ảo di động (MVPNs) cho phép truyền thông riêng tư đảm bảo truyền thông an ninh qua các mạng di động dùng chung được cung cấp bởi các nhà khai thác vô tuyến và các nhà cung cấp dịch vụ Internet không dây Nói cách khác, MVPN là sự phỏng tạo của các mạng số liệu di động an ninh riêng dựa trên các phương tiện vô tuyến và di động an ninh dùng chung.

Ý nghĩa của các mạng MVPN đối với các khách hàng như sau:

 Đảm bảo an ninh khi truy nhập mạng với các hiệu năng dự kiến được

 Đảm bảo chỉ có những thành viên được phép mới được truy nhập tới các mạng này.

Ở Việt Nam, hệ thống GSM đã được đưa vào từ năm 1993 và đang hoạt động rất hiệu quả Tuy nhiên theo xu thế chung, việc nâng cấp lên mạng 3G là tất yếu trong bối cảnh cạnh tranh trên thị trường mạng thông tin di động Internet cũng chỉ mới phổ biến vài năm gần đây và hiện nay cơ sở hạ tầng còn rất hạn chế Tuy nhiên việc mở rộng thị trường viễn thông và tin học cộng với nhu cầu sử dụng ngày càng tăng chắc chắn sẽ thúc đẩy Internet Việt Nam phát triển ngang tầm với các nước trong khu vực và trên thế giới Việc cung cấp tính năng di động có hiệu quả cho mạng Internet do đó chỉ còn là vấn đề thời gian

Chính vì vậy, trong đồ án tốt nghiệp của mình tôi đã lựa chọn đề tài “Công nghệ nối mạng riêng ảo di động MVPN cho 3G” nhằm tìm hiểu các giải pháp kĩ thuật, công nghệ MVPN cho các hệ thống thông tin di động GPRS/UMTS và cdma2000 Hy vọng rằng trong thời gian tới khi mạng thông tin di động thế hệ ba đã được triển khai rộng rãi ở nước ta thì đồ án sẽ là một tài liệu hữu ích cho tất cả những ai quan tâm tới vấn đề này.

Về nội dung đồ án được chia ra làm ba chương:

 Chương I: Trình bày tổng quan về các công nghệ nối mạng vô tuyến, bao gồm các công nghệ chuyển mạch kênh và các công nghệ chuyển mạch gói trong các hệ thống 2G và 3G, chủ yếu đi sâu thêm về nối mạng số liệu gói trong cdma2000 và GPRS/UMTS PS

 Chương II: Trình bày về tổng quan VPN và MVPN Phân loại công nghệ VPN và chuyển từ hữu tuyến sang vô tuyến.

 Chương III: Là phần chính trong đó nêu ra các giải pháp MVPN cho các hệ thống GPRS/UMTS và cdma2000.

 Kết luận: Tóm tắt lại những kiến thức đã thu được và một số hướng phát triển trong tương lai.

Cuối cùng em xin bày tỏ lòng biết ơn chân thành nhất đối với Tiến sĩ Nguyễn Phạm Anh Dũng - Phó khoa Viễn Thông I, Học viện Công nghệ Bưu chính Viễn thông, người thầy đã tận tình hướng dẫn em trong quá trình học tập, nghiên cứu để hoàn thành đồ án tốt nghiệp này.

Em xin chân thành cảm ơn các anh chị trong Công ty Dịch Vụ Viễn Thông GPC đã tạo điều kiện và giúp đỡ em trong quá trình thực tập, nghiên cứu và hoàn thành đồ án.

Em cũng xin chân thành cảm ơn sự ủng hộ và giúp đỡ về mọi mặt của các thầy các cô khoa Viễn Thông I- Học viện Công nghệ Bưu chính Viễn thông đã tạo mọi điều kiện giúp đỡ em hoàn thành nhiệm vụ học tập của mình.

Cuối cùng con xin chân thành cảm ơn ba mẹ, cảm ơn các bạn trong lớp D2001VT và những người thân trong gia đình đã giúp đỡ, động viên con trong suốt 5 năm học tập vừa qua.

CHƯƠNG 1: TỔNG QUAN CÁC CÔNG NGHỆ NỐI MẠNG VÔTUYẾN

1.1 CÁC CÔNG NGHỆ NỐI MẠNG SỐ LIỆU CHUYỂN MẠCH KÊNHVÀ CHUYỂN MẠCH GÓI

Với nối mạng số liệu vô tuyến CS, các kênh dành riêng được ấn định cho các thuê bao dù họ có sử dụng hay không Về mặt lý thuyết, điều này cung cấp băng thông hiệu dụng lớn hơn cho các người sử dụng bằng cách dành riêng toàn bộ kênh cho từng người sử dụng Dịch vụ số liệu được cung cấp thông qua mô hình quay số vô tuyến giống như truy nhập từ xa bằng quay số ở hữu tuyến Người sử dụng quay một số điện thoại liên kết với một NAS (Network Access Server) dùng cho một dịch vụ số liệu vô tuyến đặc thù Khi kết nối vật lý (kênh) đã được thiết lập giữa MS và NAS, PPP được sử dụng để cung cấp dịch vụ liên kết đầu cuối-đầu cuối Có thể kết cuối dễ dàng phiên PPP của người sử dụng bằng cách sử dụng các kỹ thuật quay số đơn giản dựa trên các ngân hàng modem hay RAS (Remote Access Server) bao gồm chức năng IWF (InterWorking Function) với cập nhật phần mềm để nó phù hợp với môi trường vô tuyến Thông thường IWF cần kết cuối các giao thức truy nhập vô tuyến (RLP) và tương tác với PSTN khi cần thiết Trong một số trường hợp, IWF cũng có thể chuyển PPP đến một mạng riêng sử dụng L2TP.

Khác với CS, các công nghệ nối mạng số liệu PS vô tuyến dựa trên hỗ trợ mạng truy nhập vô tuyến để ghép kênh thống kê các phiên người sử dụng trên giao diện vô tuyến Các tài nguyên mạng số liệu gói chỉ được dùng trong thời gian truyền số liệu và không được dùng trong các thời gian rỗi, vì thế hệ thống hiệu quả hơn vì mọi nguồn lưu lượng có thể sử dụng các tài nguyên khi các tài nguyên này không bị nguồn khác sử dụng Ghép kênh thống kê là một tính chất quan trọng của tất cả các hệ thống nối mạng số liệu gói Ghép kênh thống kê làm cho các hệ thống nối mạng số liệu gói trở nên hiệu quả hơn các hệ thống dựa trên CS, vì các hệ thống CS cung cấp kênh riêng cho từng người sử dụng nên chúng không thể sử dụng hoàn toàn khi các mẫu truyền dẫn số liệu có dạng cụm Tuy nhiên điều này cũng có nghĩa là các người sử dụng dùng chung các mạng phương tiện phải tranh chấp cho băng thông khả dụng, nên đôi khi dẫn đến nghẽn, trễ và hiệu suất thông lượng trên một người sử dụng thấp hơn.

Tranh chấp truy nhập cho các tài nguyên dùng chung là vấn đề điển hình không chỉ đối với các môi trường gói thông tin di động (TTDĐ) mà cả với WLAN Trong các hệ thống TTDĐ hỗ trợ truy nhập chế độ gói, để sử dụng hiệu quả các tài nguyên, các kênh mang truy nhập vô tuyến chỉ được cấp phát tạm thời cho một người sử dụng Sau một khoảng thời gian không tích cực, MS chuyển vào chế độ rỗi (chẳng hạn trong GPRS) hay chế độ ngủ (trong cdma2000) Chế độ này cho phép MS luôn có thể được kết nối bằng cách gửi báo hiệu và số liệu đến địa chỉ lớp mạng của nó bằng cách sử

dụng các thủ tục cập nhật vị trí và tìm gọi, trong khi không tài nguyên dành riêng nào tích cực để cho phép MS gửi và nhận số liệu Khi cần nhận số liệu, MS được tìm gọi, nó "tỉnh giấc" và phát đi yêu cầu thiết lập kênh mang vô tuyến để được phép thu số liệu MS cũng phát đi yêu cầu như vậy khi nó cần phát số liệu và khi không có kênh mang vô tuyến được thiết lập.

Hỗ trợ nối mạng di động số liệu gói về mặt khái niệm giống nhau đối với các hệ thống nối mạng số liệu vô tuyến khác Nó dựa trên các cơ chế truyền tunnel khác nhau như MIP (sử dụng trong cdma2000) và GTP (sử dụng trong GSM và UMTS), cả hai cơ chế này sẽ được phân tích sau trong chương này Mô hình truyền tunnel số liệu gói chung này được cho ở hình 1.1 Các tunnel trên hình vẽ (được biểu thị bằng các đường ngắt quãng đậm nét (cho các tunnel quá khứ) và các đường liên tục (cho các tunnel hiện thời, tích cực) được thiết lập động giữa điểm nhập mạng vô tuyến hiện thời của MS và một "điểm neo" tunnel hay mạng nhà, đóng vai trò như một cổng cho mạng số liệu di động mà từ đó người sử dụng nhận được dịch vụ truy nhập Vì MS thay đổi động vị trí trong mạng (chẳng hạn di chuyển qua vùng địa lý nào đó từ một MSC này đến một MSC khác hay đang ở biên MSC) các tunnel được thiết lập động giữa mạng nhà của MS và mạng truy nhập vô tuyến khách.

Tunnel được lập trước đâyTunnel được lập hiện thời

Kết nối vật lýMạng nhà

Hình 1.1 Cơ chế truyền tunnel số liệu gói vô tuyến

Phần lớn các người sử dụng số liệu trước đây quen thuộc với truy nhập từ xa quay số hữu tuyến đều không gặp khó khăn gì khi làm quen với các dịch vụ số liệu chuyển mạch kênh vô tuyến Điều này cho phép tốc độ tiếp nhận số liệu CS khá cao, mặc dù băng thông nhỏ và các giới hạn khác của nó làm hạn chế mong muốn thường xuyên sử dụng dịch vụ này và sử dụng nó trong thời gian dài Tất cả các tính năng truy nhập quay số hữu tuyến quen thuộc đều có trong nối mạng số liệu CS vô tuyến: Chuỗi mật khẩu đăng nhập quen thuộc, khả năng truy nhập mạng hãng đơn giản bằng cách quay các số điện thoại đặc thù, các thủ tục lập cấu hình tương tự trên các thiết bị client của người sử dụng như máy tính xách tay.

1.2 SỐ LIỆU GÓI CDMA2000

Trong phần này chúng ta sẽ trình bầy kiến trúc số liệu gói liên kết với giao diện vô tuyến cdma2000 Kiến trúc này cho phép các nhà cung cấp dịch vụ vô tuyến di động cung cấp các dịch vụ gói hai chiều sử dụng IP Để cung cấp chức năng này, cdma2000 sử dụng hai phương pháp: Simple IP (IP đơn giản) và MIP (Mobile IP: IP di động).

Trong IP đơn giản, nhà cung cấp phải ấn định cho người sử dụng một địa chỉ IP động Địa chỉ này giữ nguyên không đổi khi người sử dụng duy trì kết nối với cùng một mạng IP trong miền của nhà khai thác di động, nghĩa là cho đến khi người sử dụng này không ra ngoài vùng phủ của một PDSN (Packet Data Serving Node: Nút phục vụ số liệu gói) Tuy nhiên một địa chỉ IP mới phải nhận được khi người sử dụng nhập vào một mạng IP khác, nghĩa là vào một vùng phủ của một PDSN khác Dịch vụ IP đơn giản không cho phép chứa bất kỳ sơ đồ truyền tunnel nào để cung cấp di động trên lớp mạng như đã trình bầy trong phần đầu của chương này và chỉ hỗ trợ di động trong các biên giới địa lý nhất định.

Lưu ý một trong các ưu điểm đáng kể của IP đơn giản và không giống như MIP, nó không đòi hỏi phần mềm đặc biệt cài đặt trong trạm di động Toàn bộ nhu cầu của MS là các khả năng đầu cuối và ngăn xếp PPP giống như ngăn xếp được sử dụng để thiết lập phiên quay số hữu tuyến, thường được kết hợp với các hệ điều hành hiện đại nhất như PocketPC2002 và Windows XP.

Phương pháp truy nhập MIP phần lớn dựa trên [RFC2002], nay thay bằng [RFC3220] Trước hết trạm di động được nhập vào một PDSN phục vụ có hỗ trợ chức năng FA và được ấn định địa chỉ IP bởi HA của nó MIP cho phép MS duy trì địa chỉ IP của mình trong thời gian phiên trong khi di chuyển trong mạng cdma2000 hay sang mạng khác hỗ trợ MIP.

Đối với các MS tương thích với tiêu chuẩn TIA/EIA [IS-2000] được nối vào một mạng cdma2000-1x, có thể thay đổi số liệu khả dụng giữa tốc độ số liệu cơ bản 9,6kbps và các tốc độ cụm sau: 19,2kbps; 38,4kbps; 76,8kbps và 153,6kbps.

Các cụm tốc độ cao hơn này được ấn định bởi cơ sở hạ tầng dựa trên nhu cầu của người sử dụng và tính khả dụng của tài nguyên (cả băng thông vô tuyến lẫn các phần tử hạ tầng) Các cụm dành cho một MS thường là đoạn thời gian ngắn từ 1 đến 2 giây Khi này tài nguyên và tình trạng di động được đánh giá lại Cấp phát cụm được thực hiện độc lập với nhau trên đường lên và đường xuống.

1.2.1 Kiến trúc hệ thống số liệu gói cdma2000

Kiến trúc hệ thống số liệu gói cdma2000 được cho như hình 1.2 Kiến trúc trên hình 1.2 bao gồm các phần tử sau:

+ MS có dạng máy cầm tay, PDA hay PCMCIA card trong máy tính sách tay/cầm tay hỗ trợ Simple IP hay MIP client hay cả hai.

+ Cdma2000-1x RAN (Mạng truy nhập gói cdma2000-1x).

Hình 1.2 Thí dụ kiến trúc số liệu gói cdma2000

+ PCF (Packet Control Function: Chức năng điều khiển gói) + PDSN hỗ trợ chức năng FA trong trường hợp MIP.

+ HA (cho phương pháp truy nhập MIP).

Khi MS kết nối đến cdma2000 BTS, trước hết nó thiết lập kết nối đến một PDSN Trong trường hợp MIP, sau đó MS được kết nối đến HA phục vụ của mình bằng một tunnel giữa PDSN/FA và HA được thiết lập bằng cách sử dụng MIP Địa chỉ IP của MS được ấn định từ không gian địa chỉ của HA của nó hoặc được cung cấp tĩnh hoặc được ấn định động tại đầu mỗi phiên Tại MIP mức cao, nhận thực và trao quyền thường được thực hiện tại cả PDSN và HA bằng cách yêu cầu hạ tầng AAA Trong trường hợp Simple IP, địa chỉ phải được ấn định cho MS bởi PDSN và không được cung cấp cố định trong MS Nhận thực cho phương pháp truy nhập này chỉ dựa trên PDSN.

Kết nối giữa MS và PDSN phục vụ của nó đòi hỏi thiết lập một lớp kết nối thứ hai cho thông tin IP Kết nối này được đảm bảo bởi giao thức PPP được định nghĩa bởi [RFC1661] và hỗ trợ IPCP, LCP, PAP và CHAP PPP được khởi đầu bởi MS trong quá trình đàm phán kết nối và kết cuối bởi PDSN Giữa mạng vô tuyến cdma2000 và PDSN, lưu lượng PPP được đóng bao vào giao diện R-P (Radio-Packet) Thí dụ ngăn xếp giao thức cdma2000 cho cả trường hợp Simple IP và MIP được cho ở hình 1.3.

PCF được cho trên hình vẽ là phần tử của mạng cdma2000 RAN chịu trách nhiệm thiết lập giao diện R-P và xử lý Nó thường được thực hiện như một phần tử của cdma2000 MSC (Ngoại trừ kiến trúc cdma2000-1xEVDO không dựa trên MSC) PCF có thể được thực hiện ở đây như là một bộ phận của 1xEVDO RNC (RNC: Radio Network Controller: Bộ điều khiển mạng hay BSC, tùy thuộc vào nhà cung cấp) Cũng có thể có thực hiện PCF riêng Sau khi kết nối lớp liên kết được thiết lập, PCF chỉ đơn giản chuyển tiếp các khung PPP giữa thiết bị di động và PDSN Một chức năng quan trọng khác của PCF là hỗ trợ di động vi mô được thực hiện bằng cách cho phép MS

thay đổi PCF trong khi vẫn giữ MS gắn với cùng một PDSN và nhớ đệm số liệu của người sử dụng khi đoạn nối vô tuyến ngủ được kết nối lại ý nghĩa của tính năng này sẽ được giải thích sau trong chương này.

Hình 1.3 Thí dụ các ngăn xếp giao thức của dịch vụ gói cdma2000

Vai trò chính của PDSN trong kiến trúc cdma2000 là kết cuối các phiên PPP khởi xướng từ MS và cung cấp chức năng FA (trong trường hợp dịch vụ MIP được yêu cầu) hay truyền các gói IP đến chặng tiếp theo khi IP đơn giản được sử dụng PDSN cũng có nhiệm vụ nhận thực các người sử dụng và trao quyền cho họ đối với các dịch vụ được yêu cầu Cuối cùng PDSN chịu trách nhiệm thiết lập, duy trì và kết cuối kết nối liên kết dựa trên PPP đến MS Một cách tùy chọn, PDSN phải hỗ trợ tunnel ngược an ninh đến HA.

Đối với dịch vụ Internet cơ sở sử dụng phương pháp truy nhập IP đơn giản, PDSN ấn định một địa chỉ IP động cho MS, kết cuối liên kết PPP của người sử dụng và chuyển các gói trực tiếp đến Internet thông qua router cổng mặc định trên mạng IP đường trục của nhà cung cấp dịch vụ Các bộ định thời PPP thông thường được sử dụng và các gói từ MS có thể được kiểm tra để đảm bảo rằng MS đang sử dụng địa chỉ IP mà PDSN ấn định cho nó (ngoài ra còn có các quy tắc lọc và các chính sách khác mà PDSN có thể áp dụng trong chế độ IP đơn giản).

Đối với các phương pháp truy nhập MIP, PDSN thiết lập kết nối giao thức MIP đến mạng nhà của MS (được thể hiện bởi HA chịu trách nhiệm để ấn định địa chỉ IP) PDSN phải hỗ trợ một chức năng AAA client để hỗ trợ một phần nhận thực MS bởi

AAA server địa phương Theo [IS835], PDSN cũng được yêu cầu hỗ trợ nén tiêu đề TCP/TP Van Jacobson và ba giải thuật nén PPP: Stac LZS [RFC1974], MPPC [RFC2118] và Deflate[RFC2394], giải thuật sau cùng được sử dụng nhiều nhất bởi các MS dựa trên Linux và UNIX.

Giao diện R-P kết nối PCF và PDSN (còn được định bởi TIA/EIA là A10/A11) là một giao diện mở dựa trên giao thức truyền tunnel GRE và được sử dụng để kết nối mạng vô tuyến và PDSN Giao thức giao diện R-P thực chất giống như MIP trong đó PCF hoạt động như FA và PDSN hoạt động như HA (giao diện R-P sử dụng các GRE tunnel cho mặt phẳng lưu lượng và các bản tin RRQ/RRP: Registration Request/Registration Response cho báo hiệu) Có một số lý do để đưa ra giao diện R-P hay nói một cách khác "tách riêng" các chức năng PCF và PDSN Bằng cách hỗ trợ giao diện R-P, các thiết bị di động dựa trên IP có thể đi qua các biên giới MSC mà không ảnh hưởng lên tính liên tục của các phiên người sử dụng Nói một cách khác, nếu người sử dụng chuyển dịch vào một vùng phủ MSC, phiên người sử dụng không bị cắt và người này không buộc phải kết nối lại đến MSC mới và nhận một địa chỉ IP mới Điều này được thực hiện bằng các chuyển giao PCF (PCF transfers) trong khi vẫn giữ MS nối vào (neo vào) cùng một PDSN Tuy nhiên điều này đòi hỏi rằng tất cả các PCF phục vụ có kết nối mạng đến cùng một tập PDSN Một mục đích khác để tách PDSN ra khỏi PCF là để cho phép nhà cung cấp dịch vụ chọn các PDSN từ các nhà cung cấp thứ ba khác với các nhà cung cấp các cơ sở hạ tầng cho họ như các MSC và PCF Vì thế R-P cho phép các hãng vô tuyến đưa ra các giải pháp PDSN đa nhà cung cấp vào mạng của họ Vì thế không ngạc nhiên là cộng đồng nhà khai thác hầu như tán thành quá trình tiêu chuẩn hóa R-P này

1.2.2 Triển vọng MS

Các cdma2000 MS có thể nhận thực cùng với HLR của nhà cung cấp dịch vụ cho truy nhập vô tuyến và nhận thực với PDSN và HA bằng cách sử dụng các phương pháp truy nhập IP đơn giản hay MIP cho truy nhập mạng số liệu Các MS phải hỗ trợ giao thức nối mạng PPP tiêu chuẩn và có khả năng hỗ trợ nhận thực dựa trên CHAP trong giai đoạn nhận thực PPP cho dịch vụ IP đơn giản Đối với dịch vụ MIP, MS cũng phải hỗ trợ MIP client như mô tả trong [IS-835] Trong chế độ này MS trao đổi thông tin với HA qua PDSN phục vụ trong mạng khách Nếu MS hỗ trợ một hay nhiều tùy chọn thuật toán giải nén như MPPC hay Stac LZS hay Deflate, thì việc nén PPP có thể đàm phán trong giai đoạn kết nối với PDSN, do vậy sẽ tối ưu hóa việc sử dụng tài nguyên vô tuyến và tăng cường hiệu quả sử dụng thông qua tốc độ số liệu cao hơn.

1.2.2.1 Trạng thái ngủ

"Trạng thái ngủ" của MS trên đường truyền vô tuyến (theo định nghĩa của TIA [IS-707A1]) cho phép hoặc MS hoặc MSC tạm ngưng kết nối đường truyền vô tuyến tích cực sau một khoảng thời gian không tích cực để giải phóng giao diện vô tuyến và các

tài nguyên BTS đang phục vụ Nếu hoặc MS hoặc PCF liên kết có các gói cần phát trong khi ngủ, kết nối được tích cực trở lại và truyền dẫn lại tiếp tục Các MS ngủ được định nghĩa là các MS không có kết nối lớp liên kết tích cực đến PCF Tất cả các MS (tích cực hay ngủ) đều được đăng ký sử dụng phương pháp truy nhập MIP, có mặt trong danh sách máy khách của PDSN và một ràng buộc với HA tương ứng Cần chú ý rằng trạng thái ngủ chỉ ảnh hưởng kết nối đường vô tuyến, trong khi đó thì các MS vẫn còn giữ kết nối PPP với PDSN, và PDSN sẽ không quan tâm tới trạng thái của MN.

PDSN phục vụ các người sử dụng tại mạng khách hoạt động như một router mặc định cho tất cả các người sử dụng di động được đăng ký (tích cực và ngủ) và duy trì các tuyến máy trạm đến họ Đối với chế độ MIP, PDSN/FA theo dõi thời gian còn lại của khoảng thời gian đăng ký có hiệu lực (Registration Lifetime) cho từng MS trong bảng định tuyến của nó và MS chịu trách nhiệm làm mới lại thời hạn của nó với HA Nếu MS không đăng ký lại trước khi hết hạn đăng ký, PDSN sẽ chấm dứt liên kết với PCF phục vụ MS này và kết cuối phiên MS (và HA cũng làm tương tự nếu MS không đăng ký lại qua một PDSN khác) Sau khi thời hạn đang ký của MS đã hết, PDSN/FA sẽ dừng định tuyến các gói đến nó Để nhận và gửi các gói, các MS ngủ phải chuyển sang trạng thái tích cực Giả sử bất kỳ một MS nào cũng có thể ở kiểu trạng thái ngủ hoặc tích cực, PDSN nói chung không yêu cầu chỉ thị trạng thái của các liên kết PPP tới MS ngoại trừ giá trị định thời trạng thái ngủ hiện thời đối với mỗi kết nối cụ thể Lưu lượng có thể hướng đến một liên kết ngủ tại bất kỳ thời điểm nào, buộc MS liên quan phải chuyển sang trạng thái tích cực Đối với các liên kết PPP tích cực mang lưu lượng, PDSN kết cuối phiên PPP với MS và chuyển tiếp lưu lượng IP được đóng bao đến MS từ HA hay từ MS đến HA qua truyền tunnel ngược Tồn tại một tunnel riêng cho mỗi HA dùng cho tất cả các người sử dụng đã đăng ký.

1.2.2.2 Các kiểu MS

Tồn tại hai kiểu cấu hình MS cơ bản: Mô hình chuyển tiếp và mô hình mạng.

Trong các MS mô hình chuyển tiếp (Relay Model), đầu cuối di động cdma2000 được

kết nối đến một đầu cuối số liệu cầm tay khác như máy tính xách tay, thiết bị tính toán cầm tay hay đầu cuối số liệu đặt trong thiết bị nào đó khác Máy thoại mô hình chuyển tiếp không kết cuối bất kỳ lớp giao thức nào trừ lớp vật lý của cdma2000 (giao diện vô tuyến) và các lớp RLP Thiết bị đầu cuối số liệu đi kèm phải kết cuối tất cả các giao thức lớp cao hơn (PPP, IP, TCP/UDP…).

MS mô hình mạng, ngoài giao diện vô tuyến, kết cuối tất cả các giao thức cần thiết

và không cần bất cứ thiết bị đầu cuối bổ sung nào Bản thân máy thoại di động cung cấp tất cả các khả năng hiển thị và đầu vào của người sử dụng cùng với các ứng dụng để sử dụng mạng số liệu gói Thí dụ về loại điện thoại này gồm cả "điện thoại thông minh" và điện thoại "trình duyệt" Các thiết bị này thường có ứng dụng trình duyệt hay dịch vụ tin học bên trong cùng với một màn hiện thị thông tin thu được từ Internet

server Các loại đầu cuối này có thể cung cấp khả năng kết nối tới một máy tính xách tay kết cuối tới mạng số liệu thông qua một phiên PPP Trong cấu hình này, chiếc điện thoại có thể hỗ trợ các trình ứng dụng như trình duyệt nhỏ, đồng thời cũng cho sử dụng với mục đích thông thường qua một điểm đầu cuối số liệu bên ngoài.

1.2.3 Các mức di động của cdma2000

Kiến trúc số liệu gói cdma2000 định nghĩa ba mức di động cho MS như mô tả ở hình 1.4 Mức thứ nhất được trình bầy tại lớp vật lý bởi chuyển giao mềm hay bán mềm giữa các BTS, trong khi MS neo giữ đến cùng một PCF Điều này được thực hiện bởi truy nhập vô tuyến cdma2000 và không nhìn thấy đối với cả PCF và PDSN.

Mức di dộng thứ hai được trình bầy bởi giao diện R-P trên lớp liên kết, mức này cho phép chuyển giao trong suốt từ PCF đến PCF trong khi vẫn duy trì phiên tại cùng một PDSN Trong trường hợp này, hai tuỳ chọn được trình bầy trước đây sẽ xẩy ra: Ngủ và tích cực Trong trạng thái tích cực khi người sử dụng đi qua biên giới PCF, chuyển giao xảy ra trong suốt đối với MS MS tham gia vào chuyển giao bán mềm đến BSC mới (hay MSC phụ thuộc vào nhà cung cấp), trong khi phiên số liệu vẫn neo đến PCF gốc trong thời gian cuộc gọi và MS nằm trong trạng thái tích cực Nói một cách khác khi MS trong trạng thái tích cực, không xẩy ra thay đổi PCF phục vụ.

Khi MS trong trạng thái ngủ đi qua biên giới của một vùng phủ PCF, MS sẽ khởi động tích cực lại tại một BSC (MSC) mới để thiết lập một kết nối PCF Điều này dẫn

đến thay đổi PCF nhưng không nhất thiết PDSN PCF mới sẽ tìm cách ấn định MS cho PDSN đang phục vụ, Nếu PCF mới có kết nối đến PDSN này, thì MS và PDSN hoàn toàn không bị tác động

Mức di dộng thứ ba (lớp mạng) là chuyển giao giữa các PDSN dựa trên sử dụng MIP Giả sử MS đã đăng ký với HA và PDSN (MS đã được nhận thực bởi hai phần tử này) để thiết lập IP tunnel cho lưu lượng cần truyền Mỗi khi MS chuyển đến vị trí được phục vụ bởi một PCF kết nối đến PDSN mới, MS nhận được một chỉ thị rằng cần đăng ký với PDSN này Đăng ký này cập nhật các bảng ràng buộc tại HA, vì thế tất cả lưu lượng tiếp theo cho MS này sẽ định tuyến đến PDSN mới Trong trường hợp này liên kết PPP của MS bị ảnh hưởng bởi sự thay đổi này trong khi lớp IP không thay đổi Và tính di động giữ nguyên không nhìn thấy đối với đối tác của MS.

Lưu ý rẳng kiểu chuyển giao cuối cùng không thể xẩy ra ở chế độ IP đơn giản IP đơn giản chỉ đảm bảo di động một phần thông qua hai mức đối với MS Một trong nhiệm vụ của giao diện R-P là đựa dịch vụ IP gần hơn đến hoạt động của dịch vụ MIP cùng với việc giải quyết các vấn đề khác Chẳng hạn nó giải quyết các tình trạng khi MS thay đổi điểm nhập mạng của mình quá thường xuyên dẫn đến việc thiết lập MIP tunnel gây ra quá nhiều thông tin bổ sung liên quan đến việc tăng các bản tin báo hiệu Một vấn đề khác thường được nhắc đến là trễ thiết lập tunnel mới dẫn đến các trễ và các khoảng trống trong đó không thể truyền số liệu Trễ này luôn có trong đường vòng gây ra bởi MIP, vì yêu cầu đăng ký được gửi đến HA và trả lời được gửi trở lại PDSN.

1.2.4 AAA di động cdma2000

Cdma2000 cũng như đa số các hệ thống thông tin di động khác, hỗ trợ khái niệm về các mạng nhà và các mạng khách Một thuê bao cdma2000 có một tài khoản (thanh toán) được thiết lập với một nhà khai thác vô tuyến, hãng cung cấp dịch vụ tiếng và số liệu cho người sử dụng Cũng hãng vô tuyến này có thể cung cấp mạng nhà cho thuê bao di động Mạng nhà lưu giữ lý lịch thuê bao và thông tin nhận thực Khi người sử dụng này chuyển mạng vào vùng lãnh thổ của nhà khai thác khác (mạng khách), nhà khai thác này phải nhận được thông tin nhận thực và lý lịch dịch vụ đối với người sử dụng này từ mạng nhà của thuê bao này.

Lý lịch phục vụ chỉ ra các tài nguyên vô tuyến nào người sử dụng được quyền sử dụng như: Băng thông cực đại hay mức ưu tiên truy nhập Trong cdma2000 các lý lịch người sử dụng được lưu tại HLR đặt tại mạng nhà, tạm thời được lấy ra và lưu tại VLR HLR và VLR đều là các cơ sở dữ liệu dựa trên các cơ sở tính toán có khả năng kháng lỗi Các thủ tục tương tự thực hiện nhận thực việc truy nhập của người sử dụng đến các mạng số liệu Kiến trúc số liệu gói cdma2000 được mô tả trên hình 1.5 Kiến trúc này dựa trên khái niệm các mạng số liệu nhà và mạng khách, được thể hiện bởi HA và PDSN và các server AAA mạng nhà và mạng ngoài như: RADIUS hay DIAMETER được định nghĩa trong [RFC3141].

Hình 1.5 Mạng lõi cdma2000 điển hình cùng với các hệ thống AAA

MS yêu cầu dịch vụ số liệu trong các hệ thống cdma2000 sẽ bị nhận thực hai lần: trên lớp vật lý và trên lớp liên kết Nhận thực lớp vật lý (hay truy nhập mạng và thiết bị đầu cuối người sử dụng) được thực hiện bởi hạ tầng HLR và VLR Quá trình này dựa trên IMSI được định nghĩa trong IS2000 Nhận thực trạm di động lớp liên kết cdma2000 hay truy nhập mạng số liệu gói, được thực hiện bởi các cơ sở hạ tầng của các server AAA và các client, trong đó các client được đặt trong các PDSN và các HA Quá trình này dựa trên NAI (Network Access Identifier) được định nghĩa bởi IETF trong [RFC2486] Đây là số nhận dạng có dạng user@homedomain (người sử dụng@miền nhà) cho phép mạng khách nhận dạng AAA server mạng nhà bằng cách chuyển nhãn "home-domain" (miền nhà) thành địa chỉ AAA IP Hô lệnh từ PDSN cũng cho phép bảo vệ khỏi các tấn công dựa trên cơ chế phát lại.

Ngoài ra, NAI cho phép phân phát liên kết an ninh MIP đặc thù để hỗ trợ nhận thực PDSN/HA trong thời gian đăng ký di động, ấn định HA và chuyển giao giữa các PDSN Lưu ý rằng AAA của mạng số liệu sẽ nhận thực người sử dụng, không như nhận thực lớp vật lý chỉ nhận thực MS Vì thế người sử dụng muốn truy nhập đến các mạng số liệu công cộng hay riêng phải thực hiện đăng nhập và mật khẩu giống như những người sử dụng truy nhập số liệu từ xa, ngoài ra việc nhận thực thiết bị di động xảy ra trong giai đoạn đăng ký Điều này dẫn đến tạm dừng khi khởi đầu điện thoại thường thấy ở hầu hết các người sử dụng máy thoại di động.

Hệ thống số liệu cdma2000 đảm bảo hai cơ chế nhận thực khi sử dụng các phương pháp truy nhập IP đơn giản và IP di động như định nghĩa trong [IS835] và [RFC3141].

Như đã nói, đối với chế độ truy nhập IP đơn giản, nhận thực dựa trên CHAP, đây là một bộ phận của đàm phán PPP Trong CHAP, PDSN ra lệnh cho MS bằng một giá trị ngẫu nhiên MS phải trả lời lại bằng một chữ ký dựa trên tóm tắt lệnh MD-5, một tên người sử dụng và một mật khẩu PDSN chuyển cặp câu lệnh/trả lời đến AAA server nhà để nhận thực người sử dụng.

Đối với IP di động, PDSN gửi đi một lệnh tương tự trong bản tin quảng cáo tác nhân tới MS Ngược lại, MS phải trả lời lệnh này bằng một chữ ký và NAI (được kiểm tra bởi mạng nhà), nhưng lần này trả lời từ MS được gửi đi khi yêu cầu đăng ký IP di động chứ không phải trong quá trình thiết lập phiên PPP Cả hai cơ chế này đều dựa trên các thông tin bí mật chung kết hợp với NAI được lưu tại mạng nhà và được hỗ trợ bởi cùng một hạ tầng AAA server Trong cả hai trường hợp, số liệu thanh toán được thu thập tại PDSN và được chuyển đến AAA server PDSN thu thập các con số thống kê mức độ sử dụng số liệu của từng người sử dụng, kết hợp với các bản ghi thanh toán truy nhập vô tuyến do PCF gửi đến và gửi chúng đến AAA server địa phương Lưu ý rằng thông tin thanh toán được thu thập bởi cả PCF và PDSN Đối với các người sử dụng chuyển mạng, AAA server có thể được lập cấu hình để gửi một bản sao của tất cả các bản tin thanh toán RADIUS đến AAA server mạng nhà, đồng thời cũng lưu giữ một bản tại AAA server khách.

Khi MS chuyển giao giữa hai PDSN, PDSN được giải phóng gửi đi bản tin Accouting Stop (dừng thanh toán) đến AAA server, và PDSN mà MS kết nối đến sẽ gửi đi bản tin Accouting Start (bắt đầu thanh toán) đến AAA server Accounting Stop từ PDSN giải phóng đôi khi có thể đến sau Accounting Start từ PDSN mới (PDSN có thể không biết rằng MS đã rời đi, nhưng vẫn đợi thời hạn đăng ký hay tạm ngưng không tích cực PPP để kết thúc phiên) Điều này có nghĩa là server tính cước phải tiếp nhận nhiều chuỗi dừng/khởi từ các PDSN khác nhau và xử lý chúng như một phiên duy nhất, theo [IS 835] Khi một bộ định thời không tích cực PPP hay thời hạn MIP đã hết hay MS kết thúc phiên, liên kết R-P được giải phóng và một Accounting Stop được gửi đến AAA server.

Lưu ý rằng cũng có tập các tốc độ cụm được định nghĩa trong các tiêu chuẩn liên kết vô tuyến dựa nhiều trên 14,4kbps thay vì 9,6kbps Tuy nhiên các tốc độ này thường không được áp dụng do tốc độ đỉnh tổng hợp 23,04kbps không có vùng phủ không gian tốt cho hầu hết các môi trường vô tuyến dẫn đến họ tập tốc độ này không hấp dẫn trong các mạng thương mại so với họ 9,6kbps.

Bên cạnh đó, hỗ trợ CHAP không cần cho MIP và chỉ là một lựa chọn cho các phương pháp truy nhập IP đơn giản.

Cho đến nay ta đã xét chi tiết các dịch vụ số liệu gói trong cdma2000, trong phần sau ta sẽ trình bầy chi tiết như vậy đối với các hệ thống UMTS và GPRS.

1.3 NỐI MẠNG SỐ LIỆU GÓI: GPRS VÀ MIỀN UMTS PS

Trong phần này ta sẽ xét các hệ thống GPRS và miền UMTS PS và các dịch vụ cung cấp cho MS Ta sẽ xem xét các cách thức mà một MS có thể truy nhập vào các mạng liệu gói, ví dụ như các giao thức được sử dụng và cách thức thực hiện nhận thực người sử dụng Ngoài ra ta cũng xem xét tình hình thị trường hiện nay liên quan đến một số khả năng được coi rằng sẽ gia tăng giá trị cho các nhà cung cấp nhưng chưa được cung cấp rộng rãi bởi các nhà sản xuất thiết bị mạng Cuối cùng ta kết thúc phần này bằng việc thảo luận các khả năng dịch vụ của hai hệ thống.

1.3.1 Các phần tử GPRS

Hệ thống GPRS là một mở rộng nối mạng số liệu gói của hệ thống GSM trước đây được thiết kế cho các dịch vụ chuyển mạch kênh GPRS cho phép hỗ trợ truyền dẫn số liệu bằng gói trên giao diện vô tuyến và khả năng di động số liệu gói trong mạng lõi Triển khai GPRS chỉ đòi hỏi cập nhật phần mềm BSS để ghép các dịch vụ số liệu lên các khe thời gian không bị chiếm bởi các dịch vụ CS, cơ chế điều khiển luồng và các cơ chế phát lại cần thiết để truyền số liệu gói trên công nghệ truyền dẫn vô tuyến (GSM) Nó cũng yêu cầu cập nhật phần mềm HLR và cài đặt một số node mới trong mạng lõi như: SGSN và GGSN DNS, hệ thống quản lý địa chỉ, hệ thống AAA, tính cước và mạng thông minh là các phần tử bổ sung, là các bộ phận của các dịch vụ GPRS tiên tiến Kiến trúc GPRS và các đặc tả của nó được ETSI định nghĩa và bây giờ được duy trì bởi 3GPP Kiến trúc GPRS được trình bầy trên hình 1.6.

SGSN trong GPRS (còn được gọi là 2G SGSN) cung cấp các dịch vụ nén lớp mạng, chức năng phân đoạn và lắp ráp lại, lập khung và ghép kênh lớp liên kết, mật mã hóa cũng như xử lý báo hiệu MS và quản lý di động (trong BSS, giữa các SGSN) và quản lý các GTP tunnel được thiết lập đến các GGSN SGSN cũng tương tác với

HLR và mạng thông minh, MSC và SMS-SC (SMS Service Center: Trung tâm dịch vụ các bản tin ngắn).

GGSN "neo giữ" các phiên truyền số liệu và cung cấp truy nhập đến các mạng số liệu gói bằng cách hỗ trợ kết cuối các GTP tunnel từ SGSN mà MS hiện thời đang nối đến Các GGSN cũng được sử dụng trong các mạng IP để cung cấp nền tảng và cổng đến các dịch vụ số liệu gói tiên tiến như trình duyệt Web, WAP, các mạng riêng ở xa bao gồm các mạng được sử dụng để cung cấp hỗ trợ di động cho các người sử dụng không chuyển mạng (mạng bên trong PLMN), chuyển mạng (GRX: GPRS Roaming Exchange: Tổng đài chuyển mạng GPRS) và các chức năng phần tử mạng GPRS

1.3.2 Các phần tử UMTS

UMTS cung cấp các dịch vụ số liệu gói qua vùng PS của nó (xem phần sau) Kiến trúc UMTS được cho trên hình 1.7 tương tự như kiến trúc GPRS Cũng các nút mạng như vậy tham gia vào mạng lõi, nhưng giao thức GTP được sử dụng trong UMTS (GTPv1) không tương thích với các phiên bản giao thức GTP được sử dụng cho GPRS (GTPv0) Các điểm khác biệt khác là các khả năng dịch vụ (chẳng hạn UMTS hỗ trợ QoS cùng với truyền thông đa phương tiện nhiều hơn) Ngoài ra, UMTS SGSN (3G SGSN) không kết cuối bất cứ giao thức lớp liên kết nào cũng như không cung cấp nén lớp mạng hay mật mã Nó chỉ đơn giản chuyển tiếp các gói giữa các GGSN và các RNC (Radio Network Controller: Bộ điều khiển mạng vô tuyến) trên các GTP tunnel (trong đó các RNC đóng vai trò như các BSC trong GSM) Trong UMTS, chức năng RNC là quản lý tính di động của các MS giữa các nút B (NB: Node B, các UMTS BTS) Theo một trong các nguyên tắc cơ sở của UMTS, các hoạt động của RAN phải được dấu kín (không nhìn thấy) đối với mạng lõi Đây là một trong các lý do mà tất cả các chức năng lớp liên kết UMTS được chuyển từ SGSN đến RNC.

Đặc tả hệ thống cho cả GPRS và miền UMTS PS cho Release 99 và các Release sau này được đưa ra trong cùng một tài liệu [3GPP TS 21.060] Đặc tả này định nghĩa tất cả các khía cạnh ở mức độ hệ thống từ 3GPP R99 trở đi và nó chỉ ra các điểm khác nhau giữa hai hệ thống Các điểm khác nhau này thường là rất ít và chủ yếu liên quan đến xử lý quản lý tính di động đầu cuối và giao tiếp với RAN Trong các Release trước R99, kiến trúc GPRS được tả bởi [GSM TS 01.60].

1.3.3 Kiến trúc hệ thống GPRS và miền UMTS PS

Hệ thống GPRS chủ yếu định nghĩa hai phần tử: BSS và đường trục PLMN GPRS BSS là GSM BSS được bổ sung PCU để hỗ trợ các dịch vụ gói Đường trục PLMN bao gồm hai nút mới được nói từ trước là: SGSN và GGSN GGSN và SGSN được nối với nhau qua một mạng IP và tương tác với nhau qua giao diện Gn dựa trên giao thức GTP.

Khi một người sử dụng chuyển mạng, người này nối đến một SGSN trong mạng khách và một GGSN trong mạng nhà hoặc mạng khách Nếu GGSN nằm trong mạng nhà, mạng IP được sử dụng để nối SGSN khách đến GGSN nhà và được gọi là mạng đường trục giữa các PLMN (Inter-PLMN Backbone Network) Mạng đường trục giữa các PLMN thường được các nhà cung cấp dịch vụ dưới tên GRX (GPRS Roaming Exchange – Tổng đài chuyển mạng GPRS) do Liên đoàn GSM định nghĩa Các ứng cử vận hành mạng GRX phải tuân thủ các yêu cầu do Liên đoàn GSM quy định Một nét đặc biệt của của GPRS liên quan đến GRX là SGSN trong mạng khách và GGSN trong mạng nhà tương tác với nhau trên mạng GRX qua giao diện được gọi là Gp, giao diện này hoàn toàn giống giao thức Gn Tuy nhiên vì các nhà cung cấp mạng vô tuyến có thể quyết định cung cấp thêm các cơ chế an ninh để bảo vệ lưu lượng giữa các PLMN – sẽ thực hiện bắt đầu từ phát hành 3GPP R5 – nên đã đưa ra tên mới cho giao diện này mặc dù cơ chế an ninh nói trên vẫn chưa được chuẩn hóa.

Hệ thống UMTS ngay từ đầu đã tính đến việc hỗ trợ cả mạng lõi chuyển mạch gói và mạng lõi chuyển mạch kênh Một trong các nguyên tắc để đặc tả mạng truy nhập 3G là sự độc lập mạng lõi với giao diện vô tuyến và hỗ trợ đa mạng lõi 3GPP đã định nghĩa miền CS cho các dịch vụ chuyển mạch kênh và miền PS cho các dịch vụ chuyển mạch gói Vì tính di động trong UTRAN (UMTS Terrestrial Radio Access Network) phải trong suốt đối với mạng lõi UMTS, nghĩa là mạng lõi không biết rằng MS sẽ ở trong BTS nào Để nhấn mạnh yêu cầu này, 3GPP quyết định RAN sẽ được đặc tả là một mạng được cấu trúc từ các RNC và các Node B, không sử dụng thuật ngữ BSC và BTS như trong hệ thống GSM Ngoài ra các mô hình và đề án nghiên cứu ban đầu đã đưa ra khái niệm các ANO (Access Network Operator: Nhà khai thác mạng truy nhập) và các CNO (Core Network Operator: Nhà khai thác mạng lõi) Các khái niệm này không được sử dụng trong thuật ngữ chính thức và các nỗ lực chuẩn hóa không tìm cách hỗ trợ chúng như các thực thể được công nhận chính thức.

Mạng lõi miền UMTS PS giống như mạng lõi GPRS Thực tế, bắt đầu từ R99, cả hai đặc tả hệ thống không có các khác biệt kỹ thuật liên quan đến mạng lõi Tuy nhiên cần lưu ý rằng có một số điểm khác nhau đáng kể giữa các dịch vụ khả dụng trong GPRS R98 và GPRS/UMTS R99 sẽ được ta nói đến trong phần còn lại của chương này Sở dĩ cần nói đến các khác biệt này giữa hai hệ thống vì thông thường GPRS được định nghĩa theo R98 do phần lớn các mạng sẽ hỗ trợ UMTS chỉ bắt đầu từ R99 trở đi (trừ một số nhà khai thác muốn sử dụng phổ tần hiện có vì không được cấp phép phổ tần của UMTS)

Các đặc tả GPRS định nghĩa các lớp giao thức mới trong BSS, là RLC (Radio Link Protocol: Giao thức liên kết vô tuyến) và MAC (Medium Access Control: Điều khiển truy nhập môi trường), để cho phép sử dụng cấu trúc lập khung của GSM cho GPRS Đặc tả hệ thống GSM cho phép sử dụng một đến tám khe thời gian cho cả đường lên và đường xuống Các đặc tả tiêu chuẩn này định nghĩa cách thích ứng các giao thức khác nhau đối với dịch vụ liên kết logic do hệ thống này cung cấp, sử dụng giao thức SNDCP (SubNetwork Dependent Convergence Protocol), bằng cách chuyển tiếp các khung LLC (Logical Link Control: Điều khiển liên kết logic) giữa MS và SGSN Chức năng chuyển tiếp này được đảm bảo bởi PCU, PCU cho phép tăng cường các GSM BSS để được BSS có khả năng phục vụ GPRS.

GSM RAN với chức năng PCU tăng cường được nối đến mạng lõi GPRS qua giao diện Gb, Gb định nghĩa dịch vụ mạng dựa trên chuyển tiếp khung (Frame Relay) và trên nó là giao thức BSSGP (BSS GPRS Protocol) (hình 1.8)

BSSGP được sử dụng để hỗ trợ các kênh logic bên trên dịch vụ mạng chuyển tiếp khung Các kênh logic này được sử dụng để thực hiện định tuyến các khung giao thức LLC giữa BSS và mạng lõi, vì thế BSC+PCU có thể định tuyến các khung LLC đến cell cần thiết Trên đường lên, BSSGP mang thông tin nhận dạng cell và mọi khung LLC được truyền tải trên giao thức LLC có thể cung cấp thông tin vị trí Thông thường MS cập nhật vị trí (cập nhật cell) khi nó có một phiên tích cực (phát và thu số liệu) bằng cách phát đi một khung LLC

SNDCP, LLC và BSSGP cũng như dịch vụ mạng dựa trên Frame Relay được kết cuối tại 2G SGSN Vì cả lưu lượng của người sử dụng lẫn thông tin điều khiển đều được truyền trên các giao thức này, và các dịch vụ lớp liên kết cho MS được kết cuối tại 2G SGSN, nên 2G SGSN đặc biệt phức tạp Tính phức tạp này dẫn đến các giới hạn nghiêm trọng về khả năng mở rộng Để giải quyết vấn đề này, trong khi phát triển các tiêu chuẩn UMTS, người ta quyết định không kết cuối các lớp liên kết tại SGSN, vì thế giảm bớt sự phức tạp của các phần tử này và cho phép nó mở rộng để hỗ trợ nhiều thuê bao hơn và vùng phủ rộng hơn Định cỡ một SGSN để phủ diện tích rộng hơn rất quan trọng Nó cho phép giảm thiểu báo hiệu quản lý di động liên quan đến chuyển giao và chuyển giao trên vùng phủ trở nên dễ dàng hơn Trong UMTS, 3GPP định nghĩa một giao diện rõ ràng hơn giữa RAN và mạng lõi miền PS gọi là giao diện Iu-PS Giao diện này dựa trên phương thức truyền tải IP over ATM đối với mặt phẳng người sử dụng (lớp liên kết có thể dựa trên mọi công nghệ kể từ các phát hành sau R99 như R4 và R5), và trên giao thức RANAP (Radio Access Aplication Part) RANAP là một ứng dụng người sử dụng SCCP được mang trên SS7 băng rộng (MTP3-B được trình bầy trong [Q2210]) sử dụng dịch vụ SAAL-NNI (Signalling ATM Adaptation Layer Network-to-Network Interface) [Q2100] hay truyền tải IP dựa trên các giao thức SIGTRAN: M3UA và SCCP.

Các gói của người sử dụng được truyền trên Iu-PS sử dụng giao thức truyền tải GTP/UDP/IP, sau đó được chuyển tiếp bởi RNC đến MS sử dụng các giao thức liên kết vô tuyến (PDCP, RLC/MAC) Chức năng PDCP (Packet Data Convergence Protocol: Giao thức hội tụ số liệu gói) trong UMTS giống như SNDCP trong GPRS Nó cũng hỗ trợ các giao thức nén tiêu đề để giảm phần overhead cho các ứng dụng thời gian thực, đặc biệt đối với các ứng dụng VoIP (Voice over IP) tương lai VoIP sẽ là sự tiến hóa của hệ thống UMTS khi ta chuyển sang R5 Các lớp RLC và MAC được sử dụng để thực hiện lớp liên kết vô tuyến Các lớp này thực hiện các kênh liên kết logic trên lớp vật lý giao diện vô tuyến W-CDMA Hình 1.8 trình bầy tổng kết về các ngăn xếp giao thức đối với mặt phẳng người sử dụng cho cả hai hệ thống GPRS và UMTS.

Đầu cuối di động truyền thông tin điều khiển đến mạng lõi GPRS hay UMTS sử dụng giao thức RIL3 (Radio Interface Layer 3: Lớp 3 giao diện vô tuyến) được đặc tả trong [3GPP TS 21.008] Giao thức này gồm GMM (GPRS Mobility Management:

Quản lý di động GPRS) và SM (Session Management: Quản lý phiên) Trong GPRS, RIL3 được mang trên kênh LLC NULL và nó được xử lý bởi SGSN tại phía mạng lõi Trong UMTS, giao thức này được truyền tải sử dụng thủ tục truyền trực tiếp trên giao thức RANAP SGSN xử lý thông tin từ đầu cuối, kết quả là nó có thể tương tác với các phần tử khác trong mạng Chẳng hạn nó có thể mở các hội thoại MAP với HLR cho các thủ tục an ninh, nhận thông tin về thuê bao hay cho các mục đích định vị Nó cũng có thể tương tác với mạng thông minh qua giao diện CAMEL [3GPP TS21.078] chẳng hạn cho các dịch vụ trả tiền trước đối với các người sử dụng GPRS.

Các phiên số liệu gói trong GPRS và UMTS được thiết lập bằng cách thiết lập và duy trì các GTP tunnel đến các GGSN Một GTP tunnel là một quá trình đóng bao các gói người dùng giữa GGSN và SGSN trong GTP/UDP/IP Thực ra, đóng bao cũng được định nghĩa là GTP/TCP/IP, nhưng từ R99 trở đi có sự nhất trí chung rằng dạng tunnel này không cần nữa, vì nó chỉ cần để truyền X.25 một cách tin cậy trên đường trục PLMN Rõ ràng X.25 không phải là phương thức nối mạng số liệu tương lai, các nhà khai thác vô tuyến sẽ không cung cấp dịch vụ X.25 và các nhà cung cấp thiết bị nối mạng cũng không hỗ trợ nó.

Một chức năng khác của SGSN là thu thập các số liệu tính cước và truyền nó đến CGF (Charging Gateway Function: Chức năng cổng tính cước) trên giao diện Ga (xem hình 1.7) Giao diện Ga được xây dựng trên giao thức GTP [3GPP TS 32.015] SGSN cũng có thể hỗ trợ các dịch vụ SMS thông qua giao diện Gd đến SMS-GMSC và tương tác với MSC/VLR qua gia diện Gs để điều phối nhắn tin và cập nhật vị trí

1.3.4 Các khả năng dịch vụ của GPRS và miền UMTS PS

Các hệ thống GPRS và miền UMTS PS về mặt nguyên tắc là đa giao thức và trung lập đối với lớp mạng hay các lớp liên kết của lưu lượng người sử dụng Các giao thức người sử dụng còn được gọi là PDP (Packet Data Protocol: Giao thức số liệu gói) Kiểu của giao thức này được nhận dạng theo thuật ngữ "kiểu PDP" Lúc đầu hệ thống GPRS hỗ trợ nhiều kiểu PDP hơn là đã thực hiện và triển khai trong thực tế Chẳng hạn 3GPP đã khuyến nghị kiểu PDP hỗ trợ X.25 dựa trên cơ chế truyền TCP/IP tin cậy cho các gói X.25 được đóng bao GTP trên đường trục GPRS Sau đó kiểu PDP này bị loại bỏ khỏi các đặc tả từ R99 trở đi và cũng không chắc rằng chúng sẽ có trong triển khai thực tế của các Release ban đầu Một thí dụ khác là IHOSS (Internet Host Octet Stream Protocol: Giao thức luồng byte máy trạm internet) để hỗ trợ luồng các bit trong suốt giữa GGSN và MS Kiểu PDP này cũng đã bị loại bỏ từ các đặc tả R99.

GPRS đảm bảo hỗ trợ cho cả IPv4 và IPv6, nhưng IPv6 không được triển khai trước năm 2004 Nó hỗ trợ PDP kiểu PPP từ R98, tuy nhiên tiếc rằng các nhà cung cấp đầu cuối vẫn chưa hào hứng thực hiện hỗ trợ kiểu PDP này và hiện nay ta vẫn chưa thấy hỗ trợ thực sự cho kiểu PDP này Trong thực tế, chúng ta đang chứng kiến rất nhiều các tranh luận không mong muốn về kiểu PDP này Một số nhà cung cấp tìm

cách loại bỏ nó khỏi tiêu chuẩn, cho dù kiểu PDP này tỏ ra hữu ích trong việc cung cấp các dịch vụ số liệu tiên tiến như truy nhập các mạng riêng.

Các hệ thống GPRS và miền UMTS PS cung cấp kênh truyền tải không tin cậy từ GGSN đến MS Kênh này có thể được đặc trưng bởi một số các thông số QoS Các thông số này khác nhau đối với các phát hành trước R99 và từ R99 trở đi Trong các phát hành R99 và trở về sau, có thể phân biệt cách xử lý các gói khác nhau thuộc cùng một phiên của người sử dụng Sở dĩ có sự phân biệt này là do khi thiết lập các kênh mang (PDP contexts: Các ngữ cảnh PDP) các loại lưu lượng khác nhau và lý lịch QoS được liên kết trong cùng một phiên, và việc truyền các gói trên các kênh mang tương ứng dựa trên một số quy tắc phân loại khác nhau đã được thiết lập tại GGSN và MS Khả năng này được đưa ra do yêu cầu cần phải cung cấp các khả năng đa phương tiện cho hệ thống UMTS Trong R98, chỉ có một mức QoS (và chỉ một PDP context có thể liên kết với một phiên)

1.3.5 Đầu cuối GPRS và miền UMTS PS

Có ba loại GPRS MS khác nhau:

+Loại A Loại này cho phép hỗ trợ đồng thời các dịch vụ GSM và GPRS.

+Loại B Trong loại này, MS giám sát các kênh tìm gọi của cả GSM và GPRS,

nhưng mỗi lần chỉ có thể hỗ trợ một dịch vụ.

+Loại C Trong loại này MS chỉ hỗ trợ dịch vụ GPRS (là thiết bị chỉ dùng cho

truyền số liệu).

Các đầu cuối loại A đòi hỏi hai thiết bị phát thu GSM riêng biệt hoạt động trên các tần số khác nhau, với các dịch vụ PS và CS độc lập Do sự phức tạp của các thiết bị đầu cuối này mà trong R99, các nhà khai thác và các nhà sản xuất muốn tìm cách định nghĩa các đầu cuối hỗ trợ DTM (Dual Transfer Mode: Hai chế độ truyền) Về quan điểm dịch vụ, thiết bị này vẫn cung cấp đồng thời dịch vụ thoại GSM và dịch vụ số liệu GPRS giống như một đầu cuối A, nhưng từ quan điểm tìm gọi (paging) chúng giống thiết bị loại B hơn và chỉ đòi hỏi một máy thu phát Phương pháp này được thực hiện bằng cách nâng cấp BSS để định tuyến tìm gọi trên cùng kênh sử dụng cho GPRS khi MS đã nhập vào GPRS Lưu ý rằng điều này cho phép kết hợp tìm gọi trong BSS giống như trong các hệ thống UMTS.

Một đầu cuối di động có khả năng truy nhập UMTS PS hay GPRS có thể hoặc là: + Một thiết bị tích hợp cung cấp tính toán và truy nhập số liệu vô tuyến chỉ trong một khối vật lý.

+ Thiết bị có hai thành phần: một để truy nhập vô tuyến và một có khả năng hỗ trợ các ứng dụng số liệu.

Cấu hình thứ hai giống như các máy tính xách tay hiện nay được trang bị các card modem PCMCIA hay kết nối nối tiếp đến modem Thực tế, các tiêu chuẩn 3GPP [3GPP TS29.061], [3GPP TS27.060] định nghĩa sự tồn tại của hai phần tử logic của

MS: TE (Terminal Equipment: Thiết bị đầu cuối) và MT (Mobile Termination: Kết cuối di động) TE là phần có khả năng tính toán của MS MT là phần để hỗ trợ các khả năng truy nhập số liệu vô tuyến Khi TE và MT hoạt động như các phần tử độc lập, chúng có thể được kết nối với nhau bởi nhiều công nghệ (nối tiếp, hồng ngoại, Bluetooth…) với lớp liên kết dựa trên giao thức PPP hay một giao diện riêng khác Hình 1.6 và 1.8 cho thấy hai thành phần của MS được phân cách với nhau bởi giao diện R Giao diện này có thể là giao diện bên trong giữa hai phần tử của một thiết bị duy nhất hoặc giao diện giữa các thực thể vật lý khác nhau.

Khi giao diện PPP được sử dụng giữa TE và MT, vẫn có thể sử dụng kiểu IP PDP, nhưng thông tin nhận thực và cấu hình không sử dụng PPP để truyền tải giữa GGSN và MT Ngoài ra, nó được đóng bao trong PCO IE (Protocol Configuration Options Information Element), được chuyển tiếp trong suốt giữa RIL3 và GTP bởi SGSN Bằng cách này, PPP tồn tại giữa TE và MT chứ không phải giữa MT và GGSN Chế độ truy nhập này được gọi là truy nhập IP không trong suốt.

Các đầu cuối di động cũng thường là đầu cuối có khả năng song mode GPRS/GSM và UMTS, vì nhiều nhà khai thác sẽ triển khai UMTS tại các vùng mật độ dân cư cao, lưu lượng lớn và dựa trên GPRS để xử lý các người sử dụng trong các vùng đã có phủ sóng 2G Thực tế, đây sẽ là một trong số các tính năng đầu cuối được yêu cầu phổ biến nhất trong những ngày đầu của UMTS.

1.4 KẾT LUẬN

Trong chương này chúng ta đã nghiên cứu nối mạng số liệu CS và PS trong các hệ thống vô tuyến tổ ong Ta đã đề cập cả các khía cạnh đầu cuối và mạng lõi Các kiến thức của chương này sẽ là cơ sở để nghiên cứu MVPN trong các chương sau.

CHƯƠNG 2: TỔNG QUAN MVPN

Trong chương này chúng ta sẽ nghiên cứu các khái niệm MPVN và phân tích công nghệ của nó qua việc xem xét các kiến trúc và phân loại các mạng VPN số liệu truyền thống, sau đó sẽ bổ sung khả năng di động để có được một bức tranh tổng thể Đầu tiên ta định nghĩa VPN và phân tích các quy trình nối mạng riêng Tiếp theo sẽ thảo luận về các công nghệ mà mạng VPN hỗ trợ và phân loại VPN Cuối chương sẽ phân tích mối quan hệ giữa các thuật ngữ vô tuyến (wireless) với di động (mobile) và giới thiệu VPN trong môi trường di động.

2.1 ĐỊNH NGHĨA VPN

Thuật ngữ VPN bao gồm hai khái niệm: nối mạng ảo và nối mạng riêng Trong nối mạng ảo, các node ở xa được phân tán theo địa lý có thể tương tác với nhau theo cách mà chúng hoạt động trong một mạng mà tại đó chúng được sắp xếp thứ tự nhau Cấu hình mạng ảo không phụ thuộc vào cấu hình vật lý trong thực tế với các tính năng được sử dụng để hỗ trợ các dịch vụ cho người dùng Mỗi người sử dụng của một mạng ảo không cần quan tâm đến cấu hình thực tế của mạng vật lý mà chỉ cần biết cấu hình của mạng ảo Một mạng ảo có thể được quản lý bởi một thực thể quản trị duy nhất.

Còn các mạng riêng thường được định nghĩa là các phương tiện nối mạng không chia sẻ kết hợp các máy trạm (host) và máy khách (client) trực thuộc một thực thể quản trị duy nhất Ví dụ điển hình của mạng riêng đó là mạng Intranet của một hãng Mạng này chỉ được một số cá nhân có quyền quản trị thuộc hãng đó sử dụng.

Vậy có thể định nghĩa nối mạng riêng ảo (Virtual Private Networking - VPN) là mô phỏng của các mạng số liệu riêng để đảm bảo an ninh trên các phương tiện viễn thông công cộng chung không đảm bảo an ninh Các thuộc tính của VPN bao gồm các cơ chế để bảo vệ số liệu, thiết lập sự tin tưởng giữa các máy trạm trong mạng ảo cũng như sự kết hợp giữa các phương pháp khác nhau để đảm bảo các thỏa thuận mức dịch vụ (SLA: Service Level Agreement) và chất lượng dịch vụ (QoS: Quality of Service) cho các thực thể tạo nên mạng VPN.

Có thể định nghĩa VPN từ nhiều góc độ Định nghĩa nói trên nhìn VPN từ quan điểm nối mạng.

Trong một vài năm trước, có một số quan điểm đưa ra một định nghĩa VPN rộng hơn để nó bao hàm cả các công nghệ lớp ứng dụng như TLS (Transport Layer Security: An ninh lớp truyền tải) Hiện nay các nhà cung cấp và các cộng đồng công nghệ thông tin đã quan niệm quá đơn giản về vấn đề này và biến toàn bộ khái niệm VPN thành một thuật ngữ nối mạng chung đang được sử dụng rộng rãi cho các mục đích tiếp thị Để thống nhất hai quan điểm này, chúng ta cần có một định nghĩa chung cho nối mạng số liệu VPN để chuyển đến các khía cạnh thực tế khi thực hiện nó.

2.2 CÁC KHÁI NIỆM CHUNG NHẦM LẪN VỀ CÁC MẠNG RIÊNG

Các mạng số liệu riêng vẫn được xem như là công nghệ truyền tải cao hơn so với IP VPN, hay thậm chí các mạng ATM và chuyển tiếp khung Điều này bắt nguồn từ việc cung cấp các dịch vụ viễn thông của các nhà khai thác dựa trên tính an ninh và vững chắc của các tuyến cáp đồng và cáp quang của mạng truyền dẫn, nhưng quan điểm nay là hoàn toàn vô căn cứ Thí dụ điển hình nhất của của các mạng riêng như vậy là PSTN, các đường thuê số liệu riêng và các mạng quay số ở cả hữu tuyến và vô tuyến Dưới đây ta sẽ cho thấy rằng các mạng dựa trên các phương tiện riêng dành riêng cũng chịu chung các vấn đề khai thác như các mạng riêng ảo được cung cấp trên các cơ sở hạ tầng nối mạng chung.

2.2.1 Các mạng riêng đảm bảo an ninh

Người ta thường nói rằng một hệ thống đảm bảo được an ninh ngay cả khi đường truyền ở mức độ yếu kém Từ cách nhìn này, các phương tiện nối mạng riêng của nhà cung cấp dịch vụ chỉ được đảm bảo an ninh ở dạng phần tử riêng của nó, chẳng hạn cáp đồng hoặc cáp quang, các kênh được thiết lập trên đường truyền vô tuyến (trong trường hợp thông tin vô tuyến) và các phần tử chuyển mạch, định tuyến trên đường truyền số liệu Đoạn truyền yếu nhất của một mạng thường là môi trường vật lý, thông thường môi trường này không được đảm bảo tính riêng tư và an ninh.

Chẳng hạn, các đoạn mạng riêng được xây lắp trong các ống dẫn dưới mặt đất ở thành phố hoặc nông thôn (thường được đánh dấu bằng các ký hiệu khác nhau để phân biệt chúng) hay treo (cáp trên các cột điện thoại, mà mọi người đều có thể với đến bằng một thiết bị phù hợp và chúng chỉ được bảo vệ bởi lớp vỏ nhựa bọc ngoài) thường không được canh giữ và dễ dàng bị truy nhập trái phép với các mục đích hình sự Kết quả là số liệu truyền giữa hai điểm của một hãng có thể bị lấy ra từ cáp quang dưới mặt đất chỉ đơn giản bằng cách rạch vỏ cáp và bóc lớp bảo vệ, uốn cong nó và thu ánh sáng lọt ra ngoài bằng một thiết bị rẻ tiền thường được các kỹ thuật viên bảo dưỡng sử dụng Số liệu truyền dẫn trên các mạch vòng cáp đồng trong các vùng đô thị có thể bị truy nhập dễ dàng bằng cách đặt các nhánh rẽ cầu vào các đường dẫn không được bảo vệ hoặc đặt đường rẽ trực tiếp đến các đầu cuối kết nối cho các phương tiện xuyên qua tầng hầm của tòa nhà trong thành phố Các mạng dựa trên công nghệ lớp liên kết như ATM và chuyển tiếp khung, ngoài việc bị dễ bị tổn hại lớp vật lý còn thường xuyên bị các tấn công lớp mạng như các xâm phạm dụng ý xấu hoặc bị nghe trộm.

Ngoài việc dễ bị tấn công của các phương tiện truyền tải, số liệu truyền tải trên các mạng riêng thường không được các nhà cung cấp dịch vụ lẫn các công ty mật mã hóa Vì họ cho rằng không thể thâm nhập vào cáp và các ống dẫn đặt dưới mặt đất, nên các nhà cung cấp dịch vụ không lo lắng đến việc áp dụng các sơ đồ mật mã hóa hay các biện pháp mã hóa và nhận thực khác Các phòng IT của các hãng lại tin vào các nhà

cung cấp dịch vụ rằng lưu lượng được truyền trên các phương tiện riêng của họ (nghĩa là được đảm bảo an ninh), vì thế cũng không cần thiết phải áp dụng các biện pháp an ninh phức tạp đầu cuối-đầu cuối.

Tình trạng này cũng không sáng sủa hơn trong thông tin LAN vô tuyến và thông tin di động Việc truy nhập đến thông tin được truyền trên đường vô tuyến thậm chí còn dễ hơn nhiều so với truy nhập thông tin truyền trên cáp Các hệ thống tương tự ban đầu không đảm bảo bất kỳ biện pháp bảo vệ số liệu nào thậm chí cả việc nhận thực cần thiết nên thường bị xâm nhập bằng thiết bị quét và giải mã rẻ tiền Điều này dẫn đến hiện tượng nhân bản hàng loạt điện thoại di động vào những năm 1980 và 1990.

Nền công nghiệp viễn thông vô tuyến đã giải quyết các vấn đề này bằng các hệ thống số mới có các sơ đồ mật mã hóa ở giao diện vô tuyến và SIM, USIM trong các máy thoại GSM, UMTS để nhận thực và mật mã hóa Mặc dù các biện pháp này giải quyết thành công các vấn đề xâm phạm các thiết bị di động, nhưng vấn đề an toàn số liệu vẫn chưa được giải quyết tương xứng Các sơ đồ mật mã hóa giao diện vô tuyến của các hệ thống thông tin di động số 2G và 3G để bảo vệ số liệu của người sử dụng thường yếu và đắt tiền khi áp dụng vào thực tế và thường không đảm bảo kết quả mong muốn của khách hàng Kết quả là những biên pháp này là không bắt buộc đối với nhiều hệ thống Ví dụ như an ninh giao diện vô tuyến trong cdma2000 chỉ là một tùy chọn của các tiêu chuẩn TIA và thường không được các nhà sản xuất thiết bị hỗ trợ, còn mật mã hóa trong GSM có thể không cần hoặc được update nếu có yêu cầu.

2.2.2 Các mạng riêng luôn luôn tin cậy

Trái với sự tin tưởng của nhiều người, đôi khi việc thuê riêng một phương tiện riêng có thể để lộ ra các phá vỡ dịch vụ nghiêm trọng và phục hồi chậm hơn các mạng dựa trên công nghệ VPN Các mạng riêng dựa trên các kênh riêng ít tin cậy hơn nhiều so với các công nghệ dựa trên việc sử dụng các liên kết ảo (như các mạng ATM, chuyển tiếp khung hay MPLS) hay các giải pháp dựa trên datagram (như IP VPN), cho phép tự động định tuyến lại các luồng số liệu trên các tuyến ảo khác nhau trong trường hợp sự cố ở đoạn nối trung gian hay tại các node.

Thông thường các mạng riêng trải dài trên các khoảng cách lớn với nhiều phương tiện liên kết và có nhiều kiểu thiết bị số liệu như: Các chuyển mạch, các router, các bộ nối chéo và các SONET ADM( Synchronous Optical Network Add/Drop Multiplexer) Trong trường hợp có sự cố kênh hay đường riêng được dành riêng không thể tự động định tuyến lại số liệu qua các tuyến khác và không thể giữ được thông tin cho đến khi dịch vụ được phục hồi Đôi khi sử dụng các vòng ring SONET để giải quyết vấn đề này, nhưng chỉ ở lớp vật lý (đoạn nối mạng yếu nhất của hệ thống) và thường không ở dạng đầu cuối-đầu cuối Không chỉ riêng công nghệ vật lý trong một mạng riêng để lộ ra các vấn đề về khả năng tồn tại của tuyến đầu cuối-đầu cuối

2.3 CÁC KHỐI CƠ BẢN CỦA VPN

Trong chương này ta sẽ xét các khối cơ bản của VPN bao gồm:  Điều khiển truy nhập

2.3.1 Điều khiển truy nhập

Điều khiển truy nhập (AC: Access Control) trong nối mạng số liệu được định nghĩa là tập các chính sách và kỹ thuật điều khiển việc truy nhập đến các tài nguyên nối mạng riêng cho các phía được trao quyền Các cơ chế AC hoạt động độc lập với nhận thực và an ninh và cơ bản định nghĩa các tài nguyên nào khả dụng cho một người sử dụng cụ thể sau khi người này đã được nhận thực Trong VPN, các thực thể vật lý như các máy trạm ở xa, tường lửa và các cổng VPN trong các mạng thuộc hãng tham dự vào các phiên thông tin thường chịu trách nhiệm hoặc tham gia đảm bảo trạng thái các

Mục đích chính của VPN là cho phép truy nhập đảm bảo an ninh và có chọn lựa đến các tài nguyên nối mạng từ xa Nếu chỉ có an ninh và nhận thực mà không có AC, VPN chỉ bảo vệ tính toàn vẹn, bí mật của lưu lượng được truyền và ngăn cản những người sử dụng vô danh sử dụng mạng, nhưng không cho phép truy nhập các tài nguyên mạng AC thường phụ thuộc vào thông tin mà thực thể yêu cầu kết nối, như nhận dạng hay tín chỉ, cũng như các quy tắc định nghĩa quyết định AC Chẳng hạn một số VPN có thể được điều hành bởi một server tập trung hay thiết bị điều khiển VPN khác được đặt tại trung tâm số liệu của nhà cung cấp dịch vụ, hay nó có thể được quản lý cục bộ bởi cổng VPN trong các mạng có liên quan đến truyền thông VPN.

Tập các quy tắc và hành động quy định các quyền truy nhập đến các tài nguyên

mạng được gọi là chính sách điều khiển truy nhập Chính sách điều khiển truy nhập

đảm bảo mục đích kinh doanh Chẳng hạn, chính sách "Cho phép truy nhập cho các thuê bao từ xa không vượt quá 60 giờ sử dụng" có thể được thực hiện bằng cách sử dụng nhận thực dựa trên RADIUS và sử dụng một bộ đếm thời gian mỗi khi người sử

dụng truy nhập Về mặt lý thuyết (xem [RFC2882]) có thể sử dụng bản tin RADIUS DISCONNECT (ngắt kết nối radius) để ngắt phiên của người sử dụng khi vượt quá 60 giờ, nhưng đôi khi chính sách này lại được áp dụng tại thời gian đăng nhập (Logon) (chứ không phải tại thời điểm truy nhập) do người sử dụng không thường xuyên ở tình trạng đăng nhập, hay bằng cách đặt ra một giới hạn khoảng thời gian của một phiên Có thể thực hiện các chính sách tương tự bằng cách thay đổi giới hạn thời gian bằng một giới hạn tín dụng liên quan đến tài khoản trả trước.

2.3.1.1 Trang bị chính sách và buộc thi hành

Các thí dụ về cơ chế trang bị chính sách theo tiêu chuẩn và ép buộc thi hành gồm có LDAP (Lightweight Directory Access Protocol), một chuẩn dùng để yêu cầu một danh mục, được định nghĩa bởi [RFC2820], [RFC2829] và RADIUS Các định nghĩa về dịch vụ và các lệnh truy nhập đặc thù cho cả hai cơ chế này được lưu trong các cơ sở dữ liệu tập trung Các thiết bị có trách nhiệm với các quyết định điều khiển truy nhập như các router IP, các cổng VPN và các thiết bị mạng thông minh đều có thể truy nhập vào các cơ sở dữ liệu này Ưu điểm chính của các phương pháp này là đơn giản và dễ quản lý cũng như cung cấp Với LDAP, các thay đổi chính sách có thể được thực hiện bởi cả nhà cung cấp dịch vụ lẫn nhà quản lý IT của hãng bằng cách truy nhập đến một server có chứa một cơ sở dữ liệu riêng thay vì cung cấp lại thông tin được lưu trên rất nhiều phần tử mạng.

Việc sử dụng RADIUS sẽ liên kết quá trình nhận thực người sử dụng với điều khiển truy nhập và chọn lựa chính sách dịch vụ Sau mỗi lần chọn lựa chính sách truy nhập, việc ép buộc thực thi có thể thực hiện tại thiết bị bằng cách yêu cầu một kho lưu chính sách sử dụng LDAP Trong những năm gần đây một giao thức mới tên là COPS (Common Open Policy Service, [RFC2748]) đã được đề suất để thực hiện trang bị và ra quyết định chính sách cho các thiết bị đơn giản Việc sử dụng giao thức thức này vẫn còn rất hạn chế Tuy nhiên nó đã được 3GPP R5 chấp nhận để nhận thực các phiên truyền thông Đây chính là cơ chế điều khiển truy nhập cho các mạng (có thể là các VPN), được sử dụng để cung cấp các dịch vụ đa phương tiện trên các hệ thống 3G.

2.3.1.2 Cổng bắt giữ (Captive Portal)

Chức năng AC có thể được thi hành tại điểm kết cuối các giao thức truy nhập bằng cách chỉ cho phép truy nhập mạng sau khi nhận thực giao thức truy nhập thành công.

Nói một cách khác có thể thi hành AC mạng thông qua phương pháp cổng bắt giữ.

Phương pháp này thường được sử dụng trong các mạng truy nhập dựa trên WLAN và các mạng truy nhập băng rộng Nó buộc các người sử dụng phải nhận thực bằng cách điền vào một mẫu biểu trên một trang Web, là nơi duy nhất họ có thể truy nhập sau khi đạt được kết nối IP Điều này có thể được thực hiện qua chức năng chuyển hướng TCP trên các cổng 80, 8000 và 8080 thường được sử dụng cho HTTP (giao thức được sử dụng để truyền các trang Web).

Chức năng chuyển hướng TCP, được cài đặt trên một thiết bị mạng hay một router thông thường tại biên của VPN (hay một mạng IP bất kỳ), sẽ giám sát tất cả các gói IP chuyển lên lớp truyền tải Nếu giao thức là TCP và số cổng là HTTP, địa chỉ nơi nhận của mạng và tiêu đề HTTP được thay đổi để yêu cầu trang Web phù hợp với trang Web đầu vào cổng chính Một phương pháp khác được sử dụng khi thiết bị mạng không được thiết kế để hoạt động tại mức ứng dụng, bản thân cổng chính có thể hiểu được để luôn luôn đáp trả các yêu cầu HTTP đến từ các địa chỉ IP không đăng ký (không được phép) bằng các phát đi trang Web đăng ký thông qua HTTP Khi đã thu thập chứng nhận và nhận thực thành công người sử dụng, cổng chính thông báo cho thiết bị mạng và thiết bị này đưa lên chức năng chuyển hướng TCP và để cho lưu lượng người sử dụng qua tự do, tất nhiên chỉ đến khi xảy ra một sự kiện nào đó sau đây: bộ định thời người sử dụng không tích cực, thời gian sử dụng hay giới hạn lưu lượng bị vượt quá, khoảng thời gian được phép trước khi nhận thực mới được yêu cầu, hay thậm chí việc chuyển hướng đến một trang quảng cáo nào đó không làm thay đổi trạng thái này.

Chúng ta sẽ không đi sâu vào các chi tiết không liên quan đến mục đích chính của chương này, nhưng có thể thấy rằng việc thực hiện điều khiển truy nhập AC nói trên ngày càng trở nên phổ biến do sự chuyển dịch các công nghệ truy nhập vào các môi trường quảng bá như WLAN, và sự chia sẻ các tài nguyên mạng truy nhập có thể cần một giai đoạn lựa chọn nhà cung cấp trước khi bắt đầu sử dụng dịch vụ Ngoài ra khi lựa chọn nhà cung cấp, người sử dụng có thể được nhắc nhở trên một trang Web thứ hai (mang tính cá nhân) về lý lịch tài khoản của người này, các hoạt động quảng cáo và các đường nối đến các đối tác cung cấp các dịch vụ hấp dẫn khác Chức năng này có thể được đặt tại các VPN hay các mạng dịch vụ và không thể truy nhập được chừng nào giai đoạn AC dựa trên cổng bắt giữ (captive portal) chưa được tiến hành thành công.

Một số nhà cung cấp dịch vụ thậm chí không sử dụng sự phức tạp của captive portals dựa trên chuyển hướng TCP, có thể vì thiết bị của họ chỉ kiểm tra các gói ở mức lớp mạng và chỉ có thể được lập cấu hình để cho phép truy nhập đến một số nơi nhận của lớp mạng Thay vào đó họ đảm bảo truy nhập cho các người sử dụng nếu họ chỉ ra cho các bộ trình duyệt của mình về một URL được in trên card đăng ký hay card trả tiền trước mà họ nhận được Sau khi đã qua giai đoạn nhận thực, mạng cho phép người sử dụng được nhận dạng bằng địa chỉ nguồn IP (hay cả nhận dạng MAC lớp 2) và có thể truy nhập thành công đến tất cả các đích

2.3.2 Nhận thực

Một trong các chức năng quan trọng nhất được VPN hỗ trợ là nhận thực Trong nối mạng riêng ảo, mọi thực thể liên quan đến truyền thông tin phải có thể tự nhận dạng mình với các đối tác liên quan khác và ngược lai Nhận thực là một quá trình cho phép

các thực thể truyền thông kiểm tra các nhận dạng như vậy Một trong các phương pháp nhận thực phổ biến được sử dụng rộng rãi hiện này là hạ tầng khóa công cộng PKI (Public Key Infrastructure) Đây là phương pháp nhận thực dựa trên chứng nhận, và các bên tham dự truyền thông tin sẽ nhận thực lẫn nhau bằng cách trao đổi các chứng nhận của họ Các chứng nhận này được đảm bảo bởi quan hệ tin tưởng với một bộ phận thẩm quyền chứng nhận.

Quá trình nhận thực cũng có thể liên quan đến cung cấp thông tin nhận thực dựa trên bí mật chia sẻ (Shared Secret) như: Mật khẩu hay cặp khẩu lệnh/trả lời của CHAP tới thực thể nhận thực, hay như NAS (Network Access Server) để tra cứu một file địa phương hay yêu cầu server RADIUS Về mặt này hoạt động của VPN gồm hai kiểu nhận thực: Nhận thực gateway và gateway-gateway Thí dụ nhận thực client-gateway là nhận thực trong môi trường số liệu gói của GPRS là nhận thực dựa trên RADIUS khi người sử dụng truy nhập GGSN Chỉ khi thành công họ mới được phép vào IPSec tunnel nối đến cổng IPSec của mạng khách hàng Trường hợp thứ hai thường gặp khi kết nối site-site được thiết lập hay khi các mạng quay số ảo được sử dụng và nhận thực thiết lập tunnel LTP2 được yêu cầu giữa LAC (L2TP Access Concentrator) và LNS (L2TP Network Server).

2.3.3 An ninh

Theo định nghĩa ở trên, VPN được xây dựng trên các phương tiện công cộng dùng chung không an toàn, vì thế tính toàn vẹn và mật mã hóa là yêu cầu nhất thiết phải có Có thể đảm bảo an ninh cho VPN bằng cách triển khai một trong các phương pháp mật mã hóa đã có hay cơ chế mật mã hóa kết hợp với các hệ thống phân bố khóa an ninh Tuy nhiên cần nhắc lại rằng an ninh không chỉ giới hạn bởi mật mã hóa lưu lượng VPN Nó cũng liên quan đến các thủ tục phức tạp của các nhà cung cấp và khai thác (chẳng hạn cung cấp các SIM card cùng với các giải thuật và kiểm tra khóa bí mật), và khi VPN dựa trên mạng (network-based VPN), cần thiết lập mối quan hệ tin tưởng giữa nhà cung cấp dịch vụ và khách hàng VPN, yêu cầu thoả thuận và triển khai các cơ chế an ninh tương ứng Chẳng hạn, chỉ có thể truy nhập server AAA trong hãng bằng cách đảm bảo an ninh các bản tin RADIUS thông qua IPSec khi chúng truyền trên hạ tầng chung Ngoài ra AAA server có thể trực thuộc một mạng không ở trong VPN để cách ly lưu lượng AAA với lưu lượng người sử dụng.

2.3.4 Truyền tunnel là nền tảng VPN

Truyền tunnel là công nghệ quan trọng nhất để xây dựng các IP VPN Truyền tunnel bao gồm đóng bao (encapsulation) một số gói số liệu vào các gói khác theo một tập quy tắc được áp dụng cho cả hai đầu cuối của tunnel Kết quả là nội dung được đóng bao trong tunnel không thể nhìn thấy đối với mạng công cộng không an ninh nơi các gói được truyền Cần lưu ý rằng một tunnel có thể có nhiều điểm cuối khi sử dụng địa chỉ nhận đa phương (Multicast).

Hình 2.1 Truyền tunnel trong nối mạng riêng ảo

Khái niệm truyền tunnel được áp dụng cho nối mạng riêng ảo được trình bầy trên hình 2.1 Trên hình này, các gói được gửi đi từ máy trạm A đến máy trạm Z phải qua rất nhiều chuyển mạch và router Nếu router C đóng bao gói đến từ máy A và cổng Y mở bao gói, thì các nút khác mà gói này đi qua sẽ không nhận biết được gói đóng bao "bên ngoài" này và sẽ không thể biết được phần tải tin cũng như địa chỉ điểm nhận cuối cùng của nó Bằng cách này, tải tin của gói được gửi giữa C và Y sẽ chỉ được nhận biết bởi hai nút mạng này và các máy A, Z là nơi khởi đầu và kết cuối lưu lượng Điều này tạo ra một cách hiệu quả một "tunnel" mà qua đó các gói được truyền tải với mức an ninh mong muốn.

Có thể định nghĩa tunnel bởi các điểm cuối của nó, các thực thể mạng nơi tháo bao và giao thức đóng bao được sử dụng Các kỹ thuật truyền tunnel hỗ trợ các VPN như L2TP hay PPTP được sử dụng để đóng bao các khung lớp liên kết (PPP) Tương tự các kỹ thuật truyền tunnel như IP trong IP và các chế độ IPSec được sử dụng để đóng bao các gói lớp mạng

Theo ngữ cảnh nối mạng riêng ảo, truyền tunnel có thể thực hiện ba nhiệm vụ chính sau:

+ Đóng bao.

+ Tính trong suốt đánh địa chỉ riêng.

+ Toàn vẹn số liệu đầu cuối-đầu cuối và tính bảo mật.

Tính trong suốt đánh địa chỉ riêng cho phép sử dụng các địa chỉ riêng trên hạ tầng IP nơi cho phép đánh địa chỉ công cộng Vì các nội dung của gói được truyền tunnel và các thuộc khác như các địa chỉ, chỉ có thể được hiểu từ bên ngoài các điểm đầu cuối tunnel, đánh địa chỉ IP riêng hoàn toàn được che đậy khỏi các mạng IP công cộng bằng cách sử dụng các địa chỉ hợp lệ (hình 2.2).

Mạng riêng Internet Mạng riêng

Địa chỉ riêng Địa chỉ công cộng Địa chỉ riêng

Hình 2.2 Che đậy địa chỉ IP bằng tunnel

Các chức năng toàn vẹn và bảo mật đảm bảo rằng một kẻ không được phép không thể thay đổi các gói truyền tunnel của người sử dụng và nhờ vậy nội dung của gói được bảo vệ chống truy nhập trái phép Ngoài ra theo tuỳ chọn, truyền tunnel có thể bảo đảm sự toàn vẹn của tiêu đề gói IP bên ngoài, vì thế sẽ đảm bảo nhận thực nguồn gốc số liệu Chẳng hạn trong IP VPN có thể sử dụng tiêu đề IPSec AH (Authentication Header) để bảo vệ các địa chỉ IP của các đầu cuối tunnel Tuy nhiên trong truyền thông số liệu, những trường hợp này không được xem là vấn đề quan trọng và thực tế nhiều cổng VPN thậm chí không áp dụng AH Lí do là nếu gói truyền tunnel của người sử dụng được bảo vệ bởi ESP và gói này được mật mã hóa bằng cách sử dụng phân phối khóa an ninh, các kỹ thuật quản lý cũng như các giải thuật không dễ bị phá vỡ như 3DES (Triple Data Encryption Standard), thì mọi mục đích thay đổi địa chỉ IP để chặn hoặc để gửi lưu lượng đều thất bại Vì thế các điểm cuối được sử dụng với ý đồ xấu sẽ không có cách nào tham dự vào liên kết an ninh dựa trên ESP IPSec (Encapsulation Security Payload) Do vậy, mặc dù việc biện pháp đảm bảo an ninh dễ dàng được nhận ra nhưng khó có thể chuyển đổi được số liệu bị đánh cắp Đây là điều mà các khách hàng VPN quan tâm và cũng là lý do việc sử dụng AH còn hạn chế.

Lưu ý rằng AH vẫn hữu ích khi cần cung cấp thông tin điều khiển thiết lập tunnel Ví dụ để bảo vệ các bản tin đăng ký MIP (Mobile IP) thì sử dụng AH là bắt buộc.

Khi áp dụng truyền tunnel để tạo lập một Mobile VPN, bốn chức năng (đóng bao, trong suốt đánh địa chỉ riêng, toàn vẹn số liệu đầu cuối-đầu cuối và bảo mật) phải đi kèm với một tập các cơ chế để đảm bảo chuyển mạch tunnel động hay thiết lập lại nhằm hỗ trợ tính di động của người sử dụng VPN Trong chương này chúng ta sẽ bàn luận chi tiết về yêu cầu bổ sung này Các hệ thống số liệu gói dựa trên di động hiện đại như GPRS, UMTS và cdma 2000, sử dụng cơ chế truyền tunnel GTP hay MIP GTP và MIP được thiết kế để hỗ trợ di động Tunnel di động dựa trên các công nghệ này có thể được móc nối với các tunnel tĩnh tại biên của các mạng vô tuyến để cung cấp đa dạng các kiến trúc MVPN

Đánh nhãn (MPLS) và VPN

MPLS cho phép định tuyến các gói IP qua đường trục IP dựa trên địa chỉ IP không phải của nơi nhận cuối cùng Một trong các ứng dụng của MPLS là kỹ thuật điều khiển

lưu lượng - định tuyến các gói trên các tuyến được quyết định bởi tiêu chuẩn khác với chỉ định tuyến IP tối ưu, dựa trên nhu cầu cung cấp một số mức QoS nào đó, hay chọn các liên kết chi phí tối thiểu (minimum-cost) hoặc định tuyến trên các liên kết ít được sử dụng để chia sẻ tải Một ứng dụng quan trọng khác của MPLS là cung cấp các dịch vụ VPN dựa trên mạng (network-based) giữa các mạng khách hàng có nhiều site hay còn gọi là các VPN đa site (xem hình 2.3) VPN dựa trên mạng là một dịch vụ do nhà cung cấp dịch vụ cung cấp qua PE (Provider Edge) đến các mạng khách hàng Các router PE thường nối đến các site khách hàng qua các router CE (Customer Edge) bằng công nghệ lớp 2 hay truyền tunnel cũng như MPLS.

CPE: Customer Premises Equipment- Thiết bị đặt tại khách hàngPED: Provider Edge Device- Thiết bị biên nhà cung cấp

PCD: Provider Core Device- Thiết bị lõi nhà cung cung cấpVC: Kênh ảo

Hình 2.3 VPN đa site dựa trên mạng của nhà cung cấp dịch vụ

Sử dụng MPLS để cung cấp các dịch vụ VPN liên quan đến khả năng điều khiển thiết lập các LSP (Label switched Path) thông qua một giao thức phát hiện/phân phối thành viên của VPN site hiệu quả Có hai trường phái chính về việc sử dụng MPLS để cung cấp các VPN Một trường phái cho rằng cần sử dụng một router PE hoàn toàn được điều khiển bởi nhà cung cấp và được trang bị nhiều bảng định tuyến, ta gọi phương pháp này là phương pháp router đơn thuần Trường phái thứ hai cho rằng PE router phải hoạt động dựa trên các router ảo và rằng các khách hàng phải có khả năng điều khiển chúng ở mức độ nào đó Ta sẽ không kết luận phương pháp nào là tốt nhất, vì thực tế sẽ quyết định khi nào thì sử dụng phương pháp nào là hợp lý Tuy nhiên ta sẽ phân tích ưu khuyết của từng phương pháp.

Phương pháp router PE đơn thuần dựa trên khả năng của mỗi router hỗ trợ một bảng định tuyến cho một VPN site và mỗi bảng định tuyến này sẽ quảng cáo về các tuyến trong nội miền (intradomain) giữa các site mạng khách hàng bằng cách sử dụng giao thức IBGP (Internet Border Gateway Protocol) và các tuyến liên miền (Interdomain) bằng cách sử dụng BGP Trong trường hợp một tiền tố mạng thuộc một site nào đó chồng lấn lên một tiền tố khác của một site khác được quảng cáo bởi cùng một router PE, tuyến này sẽ đi kèm với phân biệt tuyến để tạo nên họ địa chỉ IPv4 VPN Tuyến này có thể được liên kết tới hai thuộc tính BGP bổ sung: thuộc tính VPN