Cung cấp dịch vụ vận chuyển giữa lớp mạng truy cập và lớp mạng biên, bao gồm cả các nút phân phối và tổng hợp kết nối trong mô hình vật lý khác nhau. Công nghệ truyền tải dựa trên MPLSIP. Lớp này đồng thời có chức năng làm lớp mạng thu gom, một số chức năng chính như sau: thực hiện các dịch vụ và các chính sách điều khiển quản lý của mạng bảo mật – xác thực, 802.1x và bảo mật dựa trên cổng. Ghép lưu lượng và quản lý tắc nghẽn: liên quan đến QoS như phân lớp, thiết lập chính sách, đánh dấu và xếp hàng, ánh xạ bit 802.1p.
Trang 11.1 Thiết kế tổng thể hệ thống mạng VSP
1.1.1 Lớp truy cập
Lớp này cung cấp truy cập băng rộng cho các dịch vụ doanh nghiệp và dân cư trong mô hình retail và wholesale, dựa trên DSL (ADSL, ADSL 2+, VDSL), các nút truy cập Ethernet ghép lưu lượng thuê bao trong 802.1q và 802.1ad Thiết bị với chức năng U-PE: điểm phân tách giữa khách hàng và mạng nhà cung cấp dịch vụ thông thường nó là thiết bị lớp 2 đặt tại lớp Access đặt tại CP nhưng được quản lý bởi nhà cung cấp dịch vụ Chức năng của
U-PE ban đầu là:
Tổng hợp nhiều đường khách hàng tại lớp truy nhập
Định nghĩa các dịch vụ Ethernet bằng cách cung cấp đặc điểm UNI phù hợp, ví dụ 802.1Q tunneling (Q-in-Q) và 802.1Q trunking
Cô lập lưu lượng khách hàng bằng cách gán giá trị VLAN IDs duy nhất của nhà cung cấp mỗi dịch vụ
Đảm bảo băng thông phù hợp SLA bằng cách phân loại lưu lượng, áp đặt chính sách, đánh dấu và xếp hàng
1.1.2 Lớp mạng lõi
Cung cấp dịch vụ vận chuyển giữa lớp mạng truy cập và lớp mạng biên, bao gồm cả các nút phân phối và tổng hợp kết nối trong mô hình vật lý khác nhau Công nghệ truyền tải dựa trên MPLS/IP Lớp này đồng thời có chức năng làm lớp mạng thu gom, một số chức năng chính như sau: thực hiện các dịch vụ và các chính sách điều khiển quản lý của mạng bảo mật – xác thực, 802.1x và bảo mật dựa trên cổng Ghép lưu lượng và quản lý tắc nghẽn: liên quan đến QoS như phân lớp, thiết lập chính sách, đánh dấu và xếp hàng, ánh
xạ bit 802.1p
Các dịch vụ mạng MEN được định nghĩa tại lớp này:
EMS, ERMS, EWS – L2PT, Tag Stacking (Q-in-Q)
L3VPN – VRF Lite, thẻ VLAN
Chức năng ánh xạ: “Ánh xạ VLAN” VLAN tới đường hầm EoMPLS, VRF Lite đến MPLS VPN
Trang 2 N-PE: MPLS, L2TPv3,VPWS, VPLS, L3VPN, truy cập internet, cổng dịch vụ, các dịch
vụ giá trị gia tăng (bảo mật, voice,…)
1.1.3 Lớp biên dịch vụ
Lớp biên dịch vụ, cung cấp:
Các giao diện quang mật độ cao
Chuyển mạch tốc độ cao
Quản lý tắc nghẽn và lưu lượng phức tạp
Cổng dịch vụ IP và MPLS: lớp định nghĩa dịch vụ VPLS và VPWS, cổng liên kết làm việc dịch vụ L2VPN, lớp dịch vụ L3VPN
Thiết bị ứng dụng dịch vụ lớp 3 dịch vụ nội dung, Firewall, phát hiện xâm nhập
1.2 Hệ thống mạng dành cho đối tác
1.2.1 Sơ đồ thiết kế
Hệ thống mạng dành cho đối tác:
- Đối tác khi kết nối vào hệ thống mạng VSP được xem như là các thuê bao, nhà cung cấp dịch vụ là VSP
- Thiết bị giao tiếp với mạng MEN ở phía thuê bao là các switch, router hay PC của khách hàng
- Thiết bị tập trung tại nhà cung cấp là DSLAM, các switch metro được trang bị mới
- Thiết bị thu gom dịch vụ thực hiện chức năng: Quản lý tắc nghẽn lưu lượng, là cổng dịch vụ IP và MPLS, lớp định nghĩa dịch vụ VPLS, cổng liên kết làm việc dịch vụ L2VPN, lớp dịch vụ L3VPN Thiết bị ứng dụng dịch vụ lớp 3 dịch vụ nội dung, Firewall, phát hiện xâm nhập
Trang 31.3 Chức năng thiết bị trong mạng
1.3.1 Mô hình chức năng thiết bị trong mạng
Trang 41.3.2 Thiết bị MEN Core
Thiết bị MEN Core thực hiện 2 chức năng: vừa là thiết bị thu gom biên của nhà cung cấp (Provider Edge Aggregation PEAGG) và vừa là thiết bị lõi nhà cung cấp (Provider Core -P)
Với vai trò là PE-AGG, thiết bị này có nhiệm vụ cung cấp kết nối mạng giữa các thiết bị truy cập ở các vùng với thiết bị biên dịch vụ (Provider Edge) Chức năng chính của PE-AGG là:
Thu gom lưu lượng
Kết hợp lưu lượng và quản lý tắc nghẽn
Chuyển mạch cục bộ cho các dịch vụ Ethernet
Với vai trò là P router, thiết bị core thực hiện chức năng chuyển mạch nhãn MPLS, và:
Cung cấp các kết nối đường trục tin cậy
Liên kết nối các thiết bị biên sử dụng các giao thức điều khiển trên nền MPLS
Cung cấp các kỹ thuật quản lý lưu lượng phức tạp
Cân bằng tải giữ các đường đồng giá
Đối với mạng người dùng, thiết bị MEN core thực hiện chức năng là thiết bị lớp core, có nhiệm vụ kết nối các module lại với nhau (module mạng người dùng, module Datacenter, module Internet, module dịch vụ) Đồng thời, thực hiện các chức năng định tuyến, phân phối tối ưu lưu lượng giữa các thành phần
Lựa chọn
1.3.3 Thiết bị MEN-Access
Các thiết bị MEN-Access thực hiện chức năng là điểm truy cập giữa khách hàng và mạng nhà cung cấp dịch vụ, nên có tên gọi là thiết bị biên nhà cung cấp với người dùng (User Provider Edge – U-PE) Thông thường, đây là các thiết bị lớp 2 của nhà cung cấp dịch vụ,
và được quản lý bởi nhà cung cấp dịch vụ U-PE thực hiện các chức năng chính như sau:
Thu gom các khách hàng ở lớp truy cập
Định nghĩa các dịch vụ Ethernet bằng cách cung cấp các đặc tính của giao tiếp mạng người dùng (UNI), ví dụ như 802.1Q tunneling (Q-in-Q) hay 802.1Q trunking
Phân biệt lưu lượng khách hàng bằng cách sử dụng các VLAN ID xác định trên mỗi dịch vụ
Giúp đảm bảo băng thông thỏa các yêu cầu dịch vụ (SLA) bằng cách sử dụng các công cụ phân loại, đánh dấu, hạn chế, và xếp hàng lưu lượng (classification, marking, policing & queuing)
Cung cấp quản lý tắt nghẽn và kết hợp lưu lượng
Đối với hệ thống mạng nội bộ, thiết bị lớp MEN-Access tương đương với thiết bị lớp Distribute, thiết bị này có chức năng:
Tạo, duy trì và quản lý thông tin VLAN
Thực hiện chức năng lớp 3, trao đổi thông tin định tuyến và chuyển tiếp gói tin người dùng vào các vùng chức năng
Trang 51.3.4 Thiết bị Service Edge
Thiết bị biên mạng nhà cung cấp (Network Provider Edge – N-PE) là điểm phân cách giữa các dịch vụ lớp 2 trong vùng truy cập Ethernet (Ethernet access domain – EAD) và vùng lớp 3 (mạng dịch vụ)
Chức năng chính của N-PE là:
Cổng dịch vụ MPLS và IP
Đầu cuối dịch vụ VPLS
Cổng liên kết nối dịch vụ VPN lớp 2
Thực hiện dịch vụ VPN lớp 3
Chuyển mạch cục bộ cho các dịch vụ Ethernet
Học địa chỉ MAC đối với dịch vụ VPN đa điểm lớp 2
Quản lý tắc nghẽn và lưu lượng phức tạp
Cân bằng tải giữa các kết nối đồng giá
Cung cấp cơ chế dự phòng cho vùng Ethernet với hai hay nhiều N-PE
Thiết bị N-PE trong vùng Service Edge có chức năng BRAS đối với người dùng sử dụng dịch
vụ xDSL và cung cấp dịch vụ Internet tốc độ cao; đồng thời là điểm cung cấp các dịch vụ khác như: thoại, Multimedia, VoD, IP/TV, IP conferencing
1.3.5 Nguyên tắc hoạt động
1.3.5.1 Đối với người dùng nội bộ
Lưu lượng người dùng nội bộ truy cập các vùng chức năng được mô tả như sơ đồ sau:
Hệ thống mạng VSP cung cấp dịch vụ truyền tải cho phép người dùng truy cập trung tâm
dữ liệu và Internet, gói dữ liệu người dùng lần lượt được xử lý như sau:
Người dùng truy cập vào mạng thông qua các switch lớp access, mạng người dùng thuộc một VLAN xác định
Gói dữ liệu được định tuyến tại các thiết bị lớp Distribute (các switch Catalyst 4500 hiện tại), tại phân lớp này có thể thực hiện các kỹ thuật QoS, các cơ chế bảo mật Thiết bị lớp Distribute thực hiện định tuyến dựa trên bảng định tuyến toàn cục (global routing table)
Gói dữ liệu được chuyển tiếp đến lớp Core Tại phân lớp này cũng thực hiện định tuyến, tối ưu luồng dữ liệu dựa trên bảng định tuyến toàn cục trên mỗi thiết bị
Trang 6 Từ lớp core gói dữ liệu có thể được chuyển tiếp trực tiếp vào vùng chức năng (datacenter, internet) mà không thông qua thiết bị N-PE bằng các kết nối trực tiếp giữa lớp Core và lớp mạng dịch vụ
Vùng dịch vụ xử lý gói tin, cung cấp dịch vụ yêu cầu
1.3.5.2 Đối với khách hàng & đối tác
Lưu lượng khách hàng truy cập Internet được mô tả như hình sau:
Khách hàng kết nối vào router truy cập hoặc DSLAM ở lớp MAN Access bằng các kết nối Ethernet hay DSL Thiết bị lớp MAN Access, được cấu hình để gán mỗi khách hàng một kênh kênh ảo VC riêng biệt xuyên suốt đến thiết bị biên dịch vụ (N-PE) VC được xác định bằng cặp giá trị VLAN Id bên trong và bên ngoài; VLAN bên trong được gán bởi thiết bị MEN Access (U-PE), VLAN bên ngoài được gán bởi thiết bị MEN Core (PE-AGG) Như vậy, VLAN bên trong xác định người dùng, VLAN bên ngoài xác định thiết bị U-PE
Tại mạng MEN, PE-AGG được cấu hình ánh xạ tất cả VLAN truy cập Internet trên U-PE vào một EoMPLS EVC và kết nối EVC vào các thiết bị trong vùng Tại giao tiếp giữa PE-AGG với N-PE, các router PE-AGG ánh xạ EVC thành 802.1 QinQ chuyển đến thiết bị BRAS (N-PE) Đối với dịch vụ dữ liệu VPN, lưu lượng mạng người dùng truy cập mạng dịch vụ như sau:
Khách hàng kết nối vào lớp MEN Access có thể bằng kết nối Ethernet hoặc DSL, thiết bị
U-PE có nhiệm vụ phân tách khách hàng bằng các VRF, mỗi khách hàng ứng với từng VRF phân biệt U-PE duy trì từng bảng định tuyến riêng lẽ đối với mỗi khách hàng
Giao thức định tuyến của khách hàng được truyền qua mạng MEN Core bằng kỹ thuật MPLS-VPN Tại vùng biên dịch vụ, thiết bị N-PE có nhiệm vụ phân tách VRF, gỡ nhãn MPLS
từ gói tin IP/MPLS và truyền gói thuần IP đến vùng dịch vụ