Nghiên cứu và đề xuất giải pháp an ninh đầu cuối cho ngn

  • 122 trang
  • file .pdf
i
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
ĐẠI HỌC QUỐC GIA HÀ NỘI
Phạm Quý Phương
NGHIÊN CỨU VÀ ĐỀ XUẤT GIẢI PHÁP
AN NINH ĐẦU CUỐI CHO NGN
LUẬN VĂN THẠC SĨ
Hà Nội - 2010
ii
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Phạm Quý Phương
NGHIÊN CỨU VÀ ĐỀ XUẤT GIẢI PHÁP
AN NINH ĐẦU CUỐI CHO NGN
Ngành : Công nghệ thông tin
Chuyên ngành : Truyền dữ liệu và mạng máy tính
Mã số : 60.48.15
LUẬN VĂN THẠC SĨ
NGƯỜI HƯỚNG DẪN KHOA HỌC: GS.TSKH Huỳnh Hữu Tuệ
Hà Nội - 2010
1
MỤC LỤC
Trang
Chương 1. MẠNG THẾ HỆ MỚI 5
1.1 Tóm tắt chương 5
1.2 Xu hướng của các dịch vụ Viễn thông 5
1.2.1 Các thách thức với các nhà cung cấp dịch vụ viễn thông 5
1.2.2 Những hạn chế của mạng hiện tại và nhu cầu phát triển NGN 6
1.3 Tổng quan về NGN 6
1.3.1 Định nghĩa NGN của ITU-T Y.2001 6
1.3.2 Các đặc điểm của NGN 6
1.3.3 Một số nguyên tắc tổ chức mạng NGN 6
1.4 Mô hình tham chiếu NGN 9
1.4.1 Mô hình tham chiếu NGN của ITU 9
1.4.1.1 Các chức năng tại tầng chuyển tải 9
1.4.1.2 Các chức năng tại tầng dịch vụ 11
1.4.1.3 Chức năng ứng dụng 11
1.4.1.4 Các chức năng quản lý 11
1.4.1.5 Các chức năng người sử dụng 12
1.4.2. Kiến trúc NGN theo ETSI 12
1.5. Kiến trúc mạng NGN mục tiêu 31
1.5.1 Lớp ứng dụng và dịch vụ 13
1.5.2 Lớp điều khiển 14
1.5.3 Lớp truyền tải 14
1.5.4. Lớp truy nhập 14
1.5.5 Các dịch vụ được cung cấp 14
1.5.6 Tổ chức mạng 15
2
1.5.6.1 Vùng phủ 15
1.5. 6.2 Mạng truyền tải và truy nhập khách hàng 16
1.6 Công nghệ truyền tải mạng NGN 17
1.6.1 Công nghệ IP over WDM 17
1.6.1.1 Nguyên lý cơ bản của hệ thống thông tin quang WDM 17
1.6.1.2 Các ưu điểm của IP over WDM 18
1.6.1.3 Ba giải pháp chính của IP over WDM 18
1.6.1.4 Kiến trúc IP/SDH/WDM 19
1.6.2 Công nghệ SDH 20
1.6.2.1 Đặc điểm chung của công nghệ SDH 20
1.6.2.2 Ưu điểm của công nghệ SDH 21
1.6.2.3 Nhược điểm của công nghệ SDH 21
1.6.3 Công nghệ NG-SDH 22
1.6.4 Công nghệ RRR 27
1.6.4.1 Động lực thúc đẩy phát triển công nghệ 28
1.6.4.2 Vòng RPR 28
1.6.4.3 Ưu điểm của RPR 29
1.6.4.4 Chức năng tái sử dụng băng thông 29
1.6.4.4 Chức năng chia sẻ băng thông công bằng 29
1.6.4.5 Chức năng bảo vệ phục hồi 30
1.7. Các phương thức truy nhập NGN 31
1.7.1 Xu hướng chuyển đổi của mạng truy nhập 31
1.7.2 Phương thức truy nhập xDSL 32
1.7.3 Phương thức truy nhập FTTx 34
1.7.4 Phương thức nhập không dây WiMAX 34
1.7.5 Triển khai các thiết bị IP DSLAM và MSAN cung cấp dịch vụ 35
1.7.5.1 Thiết bị truy nhập MSAN 35
3
1.7.5.2 Thiết bị truy nhập IPDSLAM 36
1.7.6 Các phương thức truy nhập khác 38
1.8 Tổ chức lớp điều khiển và dịch vụ trên mạng NGN 39
1.9 Kết luận chương 39
Chương 2. MẠNG ĐÔ THỊ 40
2.1 Tóm tắt chương 40
2.2 Tổng quan về mạng MAN và xu hướng phát triển mạng 40
2.2.1 Những yếu tố thúc đẩy sự phát triển mạng MAN 40
2.2.2 Xu hướng phát triển công nghệ Ethernet trên MAN 50
2.3 Ưu nhược điểm của mạng MAN 41
2.3.1 Ưu điểm của mạng MAN 41
2.3.2 Nhược điểm của mạng MAN 42
2.4. Kiến trúc mạng MAN của Cisco 42
2.4.1 Lớp truy nhập 43
2.4.2 Lớp kết tập 43
2.4.3 Lớp biên 44
2.4.4 Lớp lõi 44
2.4.5 Lớp ứng dụng và dịch vụ 44
2.5 Khuyến nghị TR-101 44
2.5.1 Tổng quan về TR-101 44
2.5.1.1 ATM và những vấn đề liên quan 45
2.5.1.2 Mô hình tham chiếu TR-101 46
2.6 Công nghệ Ethernet quang 49
2.7 802.1ad (QinQ) 50
2.8 Mô hình mạng MANE đích 71
4
2.8.1 Các yêu cầu chung đối với mạng MANE 52
2.8.2 Một số khuyến nghị cho lớp truy nhập 53
2.9 Cung cấp dịch vụ qua MANE 53
2.9.1 Kết nối IP DSLAM, MSAN, Switch lớp 2 vào mạng MANE 53
2.9.2 Cấu hình thiết bị trong mạng MANE để cung cấp dịch vụ 54
2.9.2.1 Dịch vụ HSI 54
2.9.2.2 Dịch vụ VPN L2 58
2.10 Kết luận chương 59
Chương 3. PHÂN TÍCH KIẾN TRÚC VÀ CÁC THÀNH PHẦN AN NINH 60
X.805 DO ITU-T ĐỀ XUẤT
3.1 Tóm tắt chương 60
3.2. Phân tích các lớp an ninh trong X.805 60
3.2.1 Lớp an ninh cơ sở hạ tầng 61
3.2.2 Lớp an ninh các dịch vụ 61
3.2.3 Lớp an ninh các ứng dụng 61
3.3 Phân tích các mặt phẳng an ninh trong X.805 62
3.3.1 Mặt phẳng an ninh quản lý 62
3.3.2 Mặt phẳng an ninh điều khiển 62
3.3.3 Mặt phẳng an ninh người sử dụng 62
3.4 Phân tích các nguy cơ (threat) an ninh trong X.805 62
3.5 Phân tích các giải pháp (dimension) an ninh trong X.805 63
3.5.1 Điều khiển truy nhập 63
3.5.2 Nhận thực người sử dụng 63
3.5.3 Chứng minh tránh phủ nhận 63
3.5.4 Bảo mật dữ liệu 63
3.5.5 Đảm bảo an toàn trong quá trình truyền dữ liệu 63
5
3.5.6 Đảm bảo toàn vẹn dữ liệu 63
3.5.7 Đảm bảo tịnh khả dụng 64
3.5.8 Đảm bảo tính riêng tư cho người sử dụng 64
3.6 Quan hệ giữa các nguy cơ và các giải pháp an ninh 64
3.7 Kết luận chương 65
Chương 4. PHÂN TÍCH ÁP DỤNG KHUYẾN NGHỊ X.805 CHO THIẾT 66
KẾ AN NINH MẠNG NGN
4.1 Tóm tắt chương 66
4.2 Một số thuật ngữ khái niệm cần thống nhất 66
4.2.1 Phần tử mạng 66
4.2.2 Yêu cầu an ninh 66
4.2.3 Phần tử an ninh 66
4.2.4 Miền an ninh 66
4.3 Hiện trạng nghiên cứu về an ninh NGN của các tổ chức chuẩn hoá 67
4.3.1 Lựa chọn framework an ninh 67
4.3.2 Phân tích khuyến nghị X.805 68
4.3.2.1 Đánh giá ưu nhược điểm của X.805 68
4.3.2.2 Miền an ninh 68
4.4 Các bổ sung cho X.805 69
4.4.1 Bổ sung về phân loại nguy cơ 69
4.4.2 Bổ sung về phân loại giải pháp 70
4.5 Quy trình xây dựng giải pháp an ninh mạng NGN 70
4.5.1 Module tiền xử lý 71
4.5.2 Module X.805 72
4.5.3 Module Tối ưu hoá 76
4.5.4 Danh sách tiêu chí và thứ tự ưu tiên 77
6
4.6 Kết luận chương 77
Chương 5. KẾT QUẢ ÁP DỤNG X.805 CHO MẠNG NGN 78
5.1 Tóm tắt chương 78
5.2. Kết quả áp dụng X.805 cho dịch vụ E-LINE 78
5.2.1 Xác định cầu hình hệ thống cung cấp dịch vụ 78
5.2.2 Miền an ninh thiết bị Access 78
5.3. Kết quả áp dụng X.805 cho dịch vụ E-LAN 81
5.3.1 Xác định cầu hình hệ thống cung cấp dịch vụ 81
5.3.2 Miền an ninh thiết bị Access 82
5.3.3 Miền an ninh thiết bị MANE 82
5.3.4 Tổng hợp giải pháp cho dịch vụ 83
5.4. Kết quả áp dụng X.805 cho dịch vụ HSI 83
5.4.1 Khách hàng cá nhân 83
5.4.1.1 Xác định cấu hình dịch vụ 83
5.4.1.2 Miền an ninh thiết bị Access 84
5.4.1.3 Miền an ninh thiết bị IP Core và dành riêng 86
5.4.1.4 Tổng hợp giải pháp cho dịch vụ 91
5.4.2 Khách hàng SMB (Small Business) 91
5.5. Kết luận chương 91
Chương 6. KẾT LUẬN VÀ KHUYẾN NGHỊ 92
6.1 Kết luận 92
6.1.1 Các vấn đề đã giải quyết được 92
6.1.2 Các đề xuất và khuyến nghị 92
6.1.2.1 Khuyến nghị đối với các nhà phát triển giải pháp an ninh mạng 92
6.1.2.2 Khuyến nghị đối với các nhà khai thác NGN 92
6.1.2.3 Khuyến nghị đối với các cơ quan quản lý nhà nước 92
7
6.2 Hướng nghiên cứu tiếp theo 92
PHỤ LỤC. GIẢI PHÁP CHỐNG DoS CỦA ARBOR 94
TÀI LIỆU THAM KHẢO
101
8
Danh Mục Từ Viết Tắt
Từ viết tắt Từ gốc Nghĩa tiếng việt
AAA Authentication/Authorization/Accouting Máy chủ nhận thực/cho phép/kiểm
Server toán
ACL Access Control List Danh sách điều khiển truy nhập
ADSL Asymmetrical Digital Subscriber Loop Đường dây thuê bao số không đối
xứng
ADSL2+ Asymmetrical Digital Subscriber Loop Mạch vòng thuê bao số không đối
2 Plus xứng 2+
AF Access Function Chức năng truy nhập
API Application Program Interface Giao diện lập trình ứng dụng
ARP Address Resolution Protocol Giao thức phân giải địa chỉ
AS Application Server Máy chủ ứng dụng (dịch vụ)
ASBR Autonomous System Border Router Router biên của hệ thống tự trị
ASP Application Service Provider Nhà cung cấp dịch vụ ứng dụng
ATF Access Transport Function Chức năng chuyển tải truy nhập
ATM Asynchronous Transfer Mode Chế độ truyền dẫn không đồng bộ
BER Bit Error Rate Tỷ lệ lỗi bit
BGP Border Gateway Protocol Giao thức định tuyến cổng biên
B-ISDN Broadband-ISDN ISDN băng rộng
BNG Broadband Network Gateway Cổng mạng băng rộng
BPDU Bridge Protocol Data Unit Đơn vị dữ liệu giao thức cầu nối
BRAS Broadband Remote Access Server Máy chủ truy nhập từ xa băng rộng
CAC Connection Admission Control Điều khiển vào kết nối
CAM Content Address Memory Bộ nhớ quản lý địa chỉ MAC
CAPEX Capital Expense Chi phí đầu tư
CAR Committed Access Rate Tốc độ truy nhập cam kết
CDP Cisco Dicovery Protocol Giao thức phát hiện thiết bị của Cisco
9
CE-VLAN Customer Edge VLAN VLAN của khách hàng
CIR Committed Information Rate Tốc độ cam kết tối thiểu
CN Core Network Mạng lõi
CO Connection Oriented Kết nối có định hướng
CPE Customer Premise Equipment Thiết bị đầu cuối khách hàng
CS Circuitv Switched Chuyển mạch kênh
CTF Core Transport Function Chức năng chuyển tải lõi
CWDM Coarse Wave Division Multiplexing
DdoS Distribution Denial of Service Tấn công từ chối dịch vụ phân tán
DHCP Dynamic Host Configuration Protocol Giao thức cấu hình host động
DNS Domain Name System Hệ thống tên miền
DoS Denial of Service Tấn công từ chối dịch vụ
DPRing Dedicated Protection Ring Vòng bảo vệ riêng hay vòng đơn
hướng
DPT Dynamic Packet Transport Công nghệ truyền tải gói động
DSLAM Digital Subscriber Line Access Bộ ghép kênh truy nhập đường thuê
Multiplexer bao số
DWDM Dense Wavelength Division Ghép kênh quang theo bước sóng
Multiplexing mật độ cao
EDFA Erbium Doped Fiber Amplifier Bộ khuếch đại quang được kích thích
bằng Erơi
EF Edge Function Chức năng biên
EMS Ethernet Multipoint Service Dịch vụ kết nối đa điểm-đa điểm
EoMPLS Ethernet over MPLS Công nghệ Ethernet trên MPLS
EOS End Of Sequence Kết thúc chuỗi
ERMS Ethernet Relay Multipoint Service Dịch vụ kết hợp giữa ERS và EMS.
ERS Ethernet Relay Service Dịch vụ kết nối điểm-đa điểm
ETSI European Telecommunications Viện tiêu chuẩn viễn thông châu âu
Sdandards Institute
10
EVC Ethernet Virtual Connection Kết nối Ethernet ảo
EWS Ethernet Wire Serivce Dịch vụ kết nối điểm-điểm
FE Fast Ethernet Ethernet nhanh
FMC Fixed Mobile Convergence
FTP File Transfer Protocol Giao thức truyền file
GE Gigabit Ethernet Ethernet giga bit
GFP Generic Framing Procedure Thủ tục khung chung
HDSL High-speed Digital Subscriber Line Đường thuê bao số tốc độ cao
ICMP Internet Control Message Protocol Giao thức bản tin điều khiển Internet
IDS Instrusion Detection System Hệ thống phát hiện xâm nhập trái
phép
IETF Internet Engineering Task Force Nhóm đặc trách kỹ thuật Internet
IGMP Internet Group Management Protocol Giao thức quản lý nhóm Internet
IP Internet Protocol Giao thức Internet
IPoA IP over ATM Truyền IP trên ATM
IPS Instrusion Protection System Hệ thống bảo vệ xâm nhập trái phép
IPv4 Internet Protocol IP phiên bản 4
IPv6 Internet Protocol IP phiên bản 6
ISDN Intergrated Services Digital Network Mạng tích hợp các dịch vụ số
ISP Internet Service Provider Nhà cung cấp dịch vụ Internet
ITU International Telecommunication Liên minh Viễn thông quốc tế
Union
ITU-T ITU Telecommunication Liên minh Viễn thông quốc tế - Tiểu
Standadization Sector ban chuẩn hoá Viễn thông
LCAS Link Capacity Adjustment Scheme Cơ chế điều chỉnh dung lượng tuyến
LCAS Link Capacity Adjustment Scheme Giao thức điều chỉnh dung lượng
tuyến
LCP Local Convergence Point Điểm phân phối sợi quang
LDP Label Distribution Protocol Giao thức phân bổ nhãn
11
LFIB Label Forwarding Information Base Cơ sở thông tin chuyển tiếp nhãn
LSP Label Switched Path Đường chuyển mạch nhãn
MAC Medium Access Control Điều khiển truy nhập môi trường
MAN Metro Area Network Mạng đô thị
MAN-E Metro Area Network – Ethernet Mạng đô thị sử dụng công nghệ
Ethernet
MHF Media Handling Function Chức năng quản lý Media
MPLS Multiprotocol Lable Switching Chuyển mạch nhãn đa giao thức
MSAN Multi Service Access Node Điểm truy cập đa dịch vụ
MSF Multiservice Switching Forum Diễn đàn chuyển mạch đa dịch vụ
MSS Maximum Segment Size Kích thước phân đoạn gói tin lớn nhất
NAC Network Access Point Điểm truy nhập mạng
NACF Network Attachment Control Function Chức năng điều khiển gắn kết mạng
NAT Network Address Translation Giao thức chuyển đổi địa chỉ mạng
NE Network Element Phần tử mạng
NGN Next Generation Network Mạng Viễn thông thế hệ sau
NII National Information Infrastructure Cơ sở hạn tầng thông tin quốc gia
NNI Network to Network Interface Giao diện giữa các mạng
NO Network Operations Điều hành mạng
OADM Optical Add/Drop Multiplexer Hệ thống sử dụng ghép/tách bước
sóng
Och Optical Channel Lớp kênh quang
ODF Optical Distribution Frame Dàn đấu dây quang
OFDM Optical Frequency Division Kỹ thuật ghép kênh quang theo tần số
Multiplexing
OIF Optical Internetworking Forum Diễn đàn kết nối mạng quang
OLT Optical Line Termination Trạm đầu cuối đường quang
OMS Optical Multiplexing System Hệ thống ghép kênh quang
ONU Optical Network Unit Đơn vị mạng quang/ Kết cuối mạng
12
quang
OPEX Operation Expense Chi phí vận hành
Optical NNI Optical - Network to Network Interface Giao diện quang giữa các mạng
Optical- UNI Optical - User to Network Interface Giao diện quang với người sử dụng
OSPF Open Shortest Path First Thuật toán tìm đường đi ngắn nhất
chuẩn mở
OTDM Optical Time Division Multiplexing Kỹ thuật ghép kênh quang theo thời
gian
OTS Optical Transport System Hệ thống truyền dẫn quang
PC Personal Computer Máy tính cá nhân
PLMN Public Land Mobile Network Mạng di động mặt đất công cộng
PON Passive Optical Network Công nghệ mạng quang thụ động
POST Plain Old Telephone Service Dịch vụ thoại truyền thống
PPPoE Point-to-Point Protocol (PPP) Over Giao thức điểm đến điểm (PPP) trên
Ethernet Ethernet
PSTN Public Switched Telepone Network Mạng chuyển mạch thoại công cộng
PTQ Primary Transit Queue Hàng đợi truyền chính
QoS Quality of Service Chất lượng dịch vụ
RACF Resource and Admission Control Chức năng điều khiển tài nguyên và
Function nhận vào
RADIUS Remote Authentication Dial-In User Dịch vụ người sử dụng gọi đến được
Service chứng thực từ xa
RD Route Distinguisher Phân biệt tuyến đường
RFC Request For Comments Yêu cầu của các khuyến nghị (IETF)
RPR Resilient Packet Ring Vòng ring gói phục hồi
RSVP Resource Reservation Protocol Giao thức dành trước tài nguyên
RSVP-TE Extended Resource Reservation Giao thức dành trước tài nguyên với
Protocol with Traffic Engineering kỹ thuật lưu lượng
SBP Service Bandwidth Profile Hình thái băng thông của dịch vụ
SC Service Class Phân lớp dịch vụ
13
SCF Service Control Function Chức năng điều khiển dịch vụ
SD Security Domain Miền an ninh
SDH Synchromous Digital Hierarchy Phân cấp số đồng bộ
SDH Synchronous Digital Hierachy Công nghệ truyền dần theo phân cấp
đồng bộ
SDH-NG SDH Next Generation SDH thế hệ kế tiếp
SLA Service Level Agreement Mức thoả thuận chất lượng dịch vụ
SNTP Simple Network Time Protocol Giao thức đồng bộ thời gian mạng
đơn giản
SP Service Provider Nhà cung cấp dịch vụ
SPRing Shared Protection Ring Vòng bảo vệ dùng chung
SP-VLAN Service Provider VLAN VLAN của nhà cung cấp dịch vụ
SR Security Requirement Yêu cầu an ninh
SRP Spatial Reuse Protocol Giao thức sử dụng lại không gian
STM-1 Synchronous Transport Module of Module vận chuyển đồng bộ của SDH
SDH with bitrate of 155 Mbit/s với tốc độ bit 155 Mbit/s
STP Spanning Tree Protocol Giao thức cây bao trùm
STQ Secondary Transit Queue Hàng đợi truyền thứ cấp
SUPF Service User Profile Function Chức năng quản lý User Profile dịch
vụ
TCN Topology Change Notification Thông báo thay đổi cấu hình
TCP Transmission Control Protocol Giao thức điều khiển truyền tải
TDM Time Division Multiplexing Ghép kênh phân chia theo thời gian
TDP Tag Distribution Protocol Giao thức phân phối nhãn
TE Traffic Engineering Kỹ thuật lưu lượng
TLS Transparent LAN Services Dịch vụ LAN thông suốt
TMS Threat Management System Hệ thống quản lý nguy cơ tấn công
TUPF Transport User Profile Function Chức năng quản lý User Profile lớp
chuyển tải
14
UDP User Datagram Protocol Giao trhức gói dữ liệu người dùng
UNI User Network Interface Giao diện mạng người dùng
VC Virtual Circuit Kênh ảo
VCAT Virtual Concatenation Liên kết ảo / Ghép chuỗi ảo
VCI Virtual Circuit Indentify Chỉ thị kênh ảo
VLAN Virtual LAN LAN ảo
VLL Virtual Lead Line Kênh thuê riêng ảo
VPI Virtual Path Indentify Chỉ thị đường ảo
VPLS Virtual Private LAN Service Dịch vụ LAN riêng ảo
VPN Virtual Private Network Mạng riêng ảo
VPN L2 Virtual Private Network Layer 2 Mạng riêng ảo lớp hai
VPN L3 Virtual Private Network Layer 3 Mạng riêng ảo lớp ba
VSI Virtual Switching Instance Thể hiện chuyển mạch ảo
VTP Vlan Trunking Protocol Giao thức Trunking VLan
WAN Wide Area Network Mạng diện rộng
WDM Wavelength Division Multiplexing Ghép kênh quang theo bước sóng
WLAN Wireless Local Area Network Mạng LAN không dây
3GPP Third Generation Partnership Project
15
Danh Mục Các Hình Vẽ
Trang
Hình 1.1 Xu hướng của các dịch vụ Viễn thông 5
Hình 1.2 Sự hội tụ giữa thoại và số liệu, cố định và di động trong NGN 6
Hình 1.3 Xu hướng hội tụ các công nghệ mạng (theo 3GPP) 7
Hình 1.4 Xu hướng hội tụ các dịch vụ viễn thông (theo 3GPP) 7
Hình 1.5 Mô hình tham chiếu về mạng NGN của ITU-T 9
Hình 1.6 Mô hình tiến tới NGN từ các mạng hiện có theo ITU-T 12
Hình 1.7 Kiến trúc NGN theo ETSI 12
Hình 1.8 Kiến trúc mạng NGN mục tiêu 13
Hình 1.9 Topology mạng NGN mục tiêu 14
Hình 1.10 Vùng phủ của dịch vụ mạng NGN 15
Hình 1.11 Cấu trúc mạng truy nhập khách hàng 16
Hình 1.12 Mạng chuyển tải băng rộng 16
Hình 1.13 Nguyên lý cơ bản của hệ thống thông tin quang WDM 17
Hình 1.14 Ba giải pháp chính của IP over WDM 18
Hình 1.15 Mô hình phân lớp giao thức của kiến trúc IP/SDH/WDM 20
Hình 1.16 Các thành phần của NG-SDH 23
Hình 1.17Sơ đồ kết nối của 2 node NG-SDH 24
Hình 1.18 Cấu trúc ghép khung tổng quát 25
Hình 1.19 Quá trình ghép và chuyển tải các khung GFP vào VC container trong các 26
khung STM
Hình 1.20 Cấu trúc mạng và khả năng cung cấp dịch vụ RPR 28
Hình 1.21 Vòng RPR 29
Hình 1.22 Đường đi của dữ liệu sau khi wrap 30
Hình 1.23 Đường đi của dữ liệu sau khi phát hiện topology mới 31
Hình 1.24 Các phương thức truy nhập NGN 32
16
Hình 1.25 Cấu trúc mạng truy nhập DSL dùng thiết bị Ethernet – TR101 32
Hình 1.26 Truy nhập mạng broadband cố định 33
Hình 1.27 Truy nhập xDSL 33
Hình 1.28 Tuy nhập FTTx 34
Hình 1.29 Truy nhập qua MSAN 35
Hình 1.30 Kết nối mạng thiết bị truy nhập MSAN 36
Hình 1.31 Thiết bị truy nhập IPDSLAM 36
Hình 1.32 Phương án sử dụng thiết bị truy nhập IPDSLAM 37
Hình 1.33 Mô hình 1 Vlan cho IP DSLAM 37
Hình 1.34 Cấu hình mạng quang FTTx 38
Hình 1.35 Các hệ thống điều khiển riêng cho mỗi dịch vụ 39
Hình 2.1 Kiến trúc mạng MAN theo Cisco 43
Hình 2.2 Mô hình tham chiếu TR-205 45
Hình 2.3 Mô hình tham chiếu TR-059 45
Hình 2.4 Mô hình tham chiếu TR-101 46
Hình 2.5 Ngăn giao thức giao diện U 47
Hình 2.6 Chức năng kết nối ATM-Ethernet 48
Hình 2.7 Chồng giao thức giao diện V 48
Hình 2.8 Mô hình mạng thu gom Ethernet 49
Hình 2.9 Mô hình MANE đích 51
Hình 2.10 Sơ đồ tóm tắt các công nghệ có thể được sử dụng cho MANE 52
Hình 2.11 Các yêu cầu đối với mạng MANE 53
Hình 2.12 Sơ đồ tổng quan cơ chế hoạt động của dịch vụ HSI 54
Hình 2.13 Dịch vụ SMB, khách hàng có Gateway 55
Hình 2.14 Dịch vụ SMB, khách hàng không có Gateway 56
Hình 2.15 Sơ đồ tổng thể dịch vụ HSI trên IP DSLAM / MSAN 57
17
Hình 2.16 Sơ đồ tổng thể dịch vụ HSI trên Switch L2 57
Hình 2.17 Dịch vụ E-LINE 58
Hình 2.18 Dịch vụ E-LAN 59
Hình 3.1 Áp dụng các biện pháp an ninh vào các lớp an ninh 60
Hình 4.1 Phân loại nguy cơ an ninh 69
Hình 4.2 Phân loại giải pháp an ninh 70
Hình 4.3 Quy trình xây dựng giải pháp 71
Hình 4.4 Quy trình tiền xử lý 72
Hình 4.5 Quy trình X.805 73
Hình 4.6 Quy trình phát hiện các giao diện của một miền an ninh 74
Hình 4.7 Quy trình xây dựng giải pháp an ninh cho từng giao diện 75
Hình 5.1 Chồng giao thức dịch vụ E-LINE 78
Hình 5.2 Mô hình Giải pháp an ninh cho miền thiết bị dịch vụ E-LINE 81
Hình 5.3 Chồng giao thức dịch vụ E-LAN 82
Hình 5.4 Mô hình Giải pháp an ninh cho miền thiết bị dịch vụ E-LAN 83
Hình 5.5 Cấu hình khách hàng sử dụng giao diện xDSL trên cáp đồng 84
Hình 5.6 Cấu hình khách hàng sử dụng giao diện GPON trên cáp quang 84
Hình 5.7 Mô hình Giải pháp an ninh cho miền thiết bị dịch vụ HSI (khách hàng cá 86
nhân)
Hình 5.8 Mô hình Giải pháp an ninh cho miền thiết bị dành riêng dịch vụ HSI 90
Hình 5.9 Mô hình Giải pháp an ninh cho dịch vụ HSI (khách hàng cá nhân) 91
Hình P.1 Kiến trúc về giải pháp của Peakflow SP 94
Hình P.2 Xử lý luồng lưu lượng bị tấn công của Peakflow SP 95
Hình P.3 Năng lực làm việc của thiết bị Peakflow SP 96
Hình P.4 Triển khai thử nghiệm Peakflow tại Viễn thông Hồ Chí Minh năm 2006 97
Hình P.5 Giải pháp tổng thể của Arbor đối với mạng băng rộng 100
18
Danh Mục Bảng Biểu
Trang
Bảng 1.1. Hiệu suất sử dụng băng thông khi truyền dịch vụ Ethernet qua mạng 21
SDH
Bảng 3.1 Mối quan hệ giữa các nguy cơ và biện pháp an ninh 64
Bảng 4.1 Mẫu bảng ma trận Lớp-Mặt phẳng 74
Bảng 4.2 Mẫu bảng tổng hợp các giao thức 75
Bảng 4.3 Mẫu bảng tổng hợp các nguy cơ 75
Bảng 5.1 Ma trận lớp-mặt phẳng để phát hiện giao diện dịch vụ E-LINE 78
Bảng 5.2 Bảng tổng hợp các giao thức dịch vụ E-LINE 78
Bảng 5.3 Bảng tổng hợp các nguy cơ tấn công dịch vụ E-LINE từ phía khách hàng 79
Bảng 5.4 Ma trận lớp-mặt phẳng để phát hiện giao diện dịch vụ HSI 87
LỜI MỞ ĐẦU
Những năm qua với sự phát triển nhanh chóng của Công nghệ thông tin và truyền thông,
nhu cầu và yêu cầu về chất lượng dịch vụ của người dùng ngày càng cao trên các loại hình
dịch vụ như: thoại, truyền số liệu, gửi nhận Fax, các dịch vụ giá trị gia tăng mang tính chất
tích hợp, đa dạng và tiện lợi. Các dịch vụ cung cấp qua nhiều kênh phân phối, nhiều chủng
loại thiết bị đầu cuối khác nhau: truyền hình, điện thoại cố định, điện thoại di động, máy tính,
thiết bị cá nhân, các điểm truy cập dịch vụ…Các dịch vụ phải có thể sử dụng và truy cập
được tại bất kỳ đâu, không phụ thuộc vào không gian, thời gian.
Trong môi trường kinh doanh năng động và đầy cạnh trang như hiện nay các doanh nghiệp
rất cần các giải pháp và dịch vụ truyền thông chuyên nghiệp, hiện đại để giúp họ thu hút và
chăm sóc được khách hàng
 Khẳ năng cung cấp các kênh truyền thông để tự động phân phối thông tin về sản
phẩm, dịch vụ doanh nghiệp đến với khách hàng nhanh chóng và tiện lợi, cho phép
các doanh nghiệp nhận được các phản hồi từ khách hàng không hạn chế về thời
gian và không gian.
 Cung cấp các giải pháp và giao diện mở cho phép doanh nghiệp có thể dễ dàng
triển khai, tích hợp với hệ thống của các nhà cung cấp hạ tầng truyền thông, tài
chính ngân hàng và với các doanh nghiệp khác.