1.1 Thiết kế tổng thể hệ thống mạng VSP

1.1.1 Lớp truy cập
Lớp này cung cấp truy cập băng rộng cho các dịch vụ doanh nghiệp và dân cư trong mô
hình retail và wholesale, dựa trên DSL (ADSL, ADSL 2+, VDSL), các nút truy cập Ethernet
ghép lưu lượng thuê bao trong 802.1q và 802.1ad. Thiết bị với chức năng U-PE: điểm phân
tách giữa khách hàng và mạng nhà cung cấp dịch vụ. thông thường nó là thiết bị lớp 2 đặt
tại lớp Access đặt tại CP nhưng được quản lý bởi nhà cung cấp dịch vụ. Chức năng của U-PE
ban đầu là:


Tổng hợp nhiều đường khách hàng tại lớp truy nhập



Định nghĩa các dịch vụ Ethernet bằng cách cung cấp đặc điểm UNI phù hợp, ví dụ
802.1Q tunneling (Q-in-Q) và 802.1Q trunking



Cô lập lưu lượng khách hàng bằng cách gán giá trị VLAN IDs duy nhất của nhà cung
cấp mỗi dịch vụ



Đảm bảo băng thông phù hợp SLA bằng cách phân loại lưu lượng, áp đặt chính
sách, đánh dấu và xếp hàng

1.1.2 Lớp mạng lõi
Cung cấp dịch vụ vận chuyển giữa lớp mạng truy cập và lớp mạng biên, bao gồm cả các
nút phân phối và tổng hợp kết nối trong mô hình vật lý khác nhau. Công nghệ truyền tải

dựa trên MPLS/IP. Lớp này đồng thời có chức năng làm lớp mạng thu gom, một số chức
năng chính như sau: thực hiện các dịch vụ và các chính sách điều khiển quản lý của mạng
bảo mật – xác thực, 802.1x và bảo mật dựa trên cổng. Ghép lưu lượng và quản lý tắc
nghẽn: liên quan đến QoS như phân lớp, thiết lập chính sách, đánh dấu và xếp hàng, ánh
xạ bit 802.1p.
Các dịch vụ mạng MEN được định nghĩa tại lớp này:


EMS, ERMS, EWS – L2PT, Tag Stacking (Q-in-Q)



L3VPN – VRF Lite, thẻ VLAN



Chức năng ánh xạ: “Ánh xạ VLAN” VLAN tới đường hầm EoMPLS, VRF Lite đến MPLS
VPN



N-PE: MPLS, L2TPv3,VPWS, VPLS, L3VPN, truy cập internet, cổng dịch vụ, các dịch
vụ giá trị gia tăng (bảo mật, voice,…)


1.1.3 Lớp biên dịch vụ
Lớp biên dịch vụ, cung cấp:


Các giao diện quang mật độ cao




Chuyển mạch tốc độ cao



Quản lý tắc nghẽn và lưu lượng phức tạp



Cổng dịch vụ IP và MPLS: lớp định nghĩa dịch vụ VPLS và VPWS, cổng liên kết làm
việc dịch vụ L2VPN, lớp dịch vụ L3VPN.



Thiết bị ứng dụng dịch vụ lớp 3 dịch vụ nội dung, Firewall, phát hiện xâm nhập

1.2 Hệ thống mạng dành cho đối tác
1.2.1 Sơ đồ thiết kế
Hệ thống mạng dành cho đối tác:
-

Đối tác khi kết nối vào hệ thống mạng VSP được xem như là các thuê bao, nhà cung
cấp dịch vụ là VSP.

-

Thiết bị giao tiếp với mạng MEN ở phía thuê bao là các switch, router hay PC của khách
hàng.


-

Thiết bị tập trung tại nhà cung cấp là DSLAM, các switch metro được trang bị mới.

-

Thiết bị thu gom dịch vụ thực hiện chức năng: Quản lý tắc nghẽn lưu lượng, là cổng
dịch vụ IP và MPLS, lớp định nghĩa dịch vụ VPLS, cổng liên kết làm việc dịch vụ L2VPN,
lớp dịch vụ L3VPN. Thiết bị ứng dụng dịch vụ lớp 3 dịch vụ nội dung, Firewall, phát hiện
xâm nhập.


1.3 Chức năng thiết bị trong mạng
1.3.1 Mô hình chức năng thiết bị trong mạng

1.3.2 Thiết bị MEN Core
Thiết bị MEN Core thực hiện 2 chức năng: vừa là thiết bị thu gom biên của nhà cung cấp
(Provider Edge Aggregation - PE-AGG) và vừa là thiết bị lõi nhà cung cấp (Provider Core - P).


Với vai trò là PE-AGG, thiết bị này có nhiệm vụ cung cấp kết nối mạng giữa các thiết bị truy
cập ở các vùng với thiết bị biên dịch vụ (Provider Edge). Chức năng chính của PE-AGG là:


Thu gom lưu lượng



Kết hợp lưu lượng và quản lý tắc nghẽn




Chuyển mạch cục bộ cho các dịch vụ Ethernet

Với vai trò là P router, thiết bị core thực hiện chức năng chuyển mạch nhãn MPLS, và:


Cung cấp các kết nối đường trục tin cậy



Liên kết nối các thiết bị biên sử dụng các giao thức điều khiển trên nền MPLS.



Cung cấp các kỹ thuật quản lý lưu lượng phức tạp



Cân bằng tải giữ các đường đồng giá.

Đối với mạng người dùng, thiết bị MEN core thực hiện chức năng là thiết bị lớp core, có
nhiệm vụ kết nối các module lại với nhau (module mạng người dùng, module Datacenter,
module Internet, module dịch vụ). Đồng thời, thực hiện các chức năng định tuyến, phân
phối tối ưu lưu lượng giữa các thành phần.
Lựa chọn

1.3.3 Thiết bị MEN-Access
Các thiết bị MEN-Access thực hiện chức năng là điểm truy cập giữa khách hàng và mạng

nhà cung cấp dịch vụ, nên có tên gọi là thiết bị biên nhà cung cấp với người dùng (User
Provider Edge – U-PE). Thông thường, đây là các thiết bị lớp 2 của nhà cung cấp dịch vụ, và
được quản lý bởi nhà cung cấp dịch vụ. U-PE thực hiện các chức năng chính như sau:


Thu gom các khách hàng ở lớp truy cập



Định nghĩa các dịch vụ Ethernet bằng cách cung cấp các đặc tính của giao tiếp
mạng người dùng (UNI), ví dụ như 802.1Q tunneling (Q-in-Q) hay 802.1Q trunking.



Phân biệt lưu lượng khách hàng bằng cách sử dụng các VLAN ID xác định trên mỗi
dịch vụ.



Giúp đảm bảo băng thông thỏa các yêu cầu dịch vụ (SLA) bằng cách sử dụng các
công cụ phân loại, đánh dấu, hạn chế, và xếp hàng lưu lượng (classification,
marking, policing & queuing).



Cung cấp quản lý tắt nghẽn và kết hợp lưu lượng.

Đối với hệ thống mạng nội bộ, thiết bị lớp MEN-Access tương đương với thiết bị lớp
Distribute, thiết bị này có chức năng:



Tạo, duy trì và quản lý thông tin VLAN



Thực hiện chức năng lớp 3, trao đổi thông tin định tuyến và chuyển tiếp gói tin
người dùng vào các vùng chức năng.

1.3.4 Thiết bị Service Edge
Thiết bị biên mạng nhà cung cấp (Network Provider Edge – N-PE) là điểm phân cách giữa
các dịch vụ lớp 2 trong vùng truy cập Ethernet (Ethernet access domain – EAD) và vùng lớp
3 (mạng dịch vụ).
Chức năng chính của N-PE là:


Cổng dịch vụ MPLS và IP




Đầu cuối dịch vụ VPLS



Cổng liên kết nối dịch vụ VPN lớp 2



Thực hiện dịch vụ VPN lớp 3




Chuyển mạch cục bộ cho các dịch vụ Ethernet



Học địa chỉ MAC đối với dịch vụ VPN đa điểm lớp 2



Quản lý tắc nghẽn và lưu lượng phức tạp.



Cân bằng tải giữa các kết nối đồng giá



Cung cấp cơ chế dự phòng cho vùng Ethernet với hai hay nhiều N-PE

Thiết bị N-PE trong vùng Service Edge có chức năng BRAS đối với người dùng sử dụng dịch
vụ xDSL và cung cấp dịch vụ Internet tốc độ cao; đồng thời là điểm cung cấp các dịch vụ
khác như: thoại, Multimedia, VoD, IP/TV, IP conferencing.

1.3.5 Nguyên tắc hoạt động
1.3.5.1

Đối với người dùng nội bộ

Lưu lượng người dùng nội bộ truy cập các vùng chức năng được mô tả như sơ đồ sau:


Hệ thống mạng VSP cung cấp dịch vụ truyền tải cho phép người dùng truy cập trung tâm
dữ liệu và Internet, gói dữ liệu người dùng lần lượt được xử lý như sau:


Người dùng truy cập vào mạng thông qua các switch lớp access, mạng người dùng
thuộc một VLAN xác định.



Gói dữ liệu được định tuyến tại các thiết bị lớp Distribute (các switch Catalyst 4500
hiện tại), tại phân lớp này có thể thực hiện các kỹ thuật QoS, các cơ chế bảo mật.
Thiết bị lớp Distribute thực hiện định tuyến dựa trên bảng định tuyến toàn cục
(global routing table).



Gói dữ liệu được chuyển tiếp đến lớp Core. Tại phân lớp này cũng thực hiện định
tuyến, tối ưu luồng dữ liệu dựa trên bảng định tuyến toàn cục trên mỗi thiết bị.



Từ lớp core gói dữ liệu có thể được chuyển tiếp trực tiếp vào vùng chức năng
(datacenter, internet) mà không thông qua thiết bị N-PE bằng các kết nối trực tiếp
giữa lớp Core và lớp mạng dịch vụ.



Vùng dịch vụ xử lý gói tin, cung cấp dịch vụ yêu cầu.


1.3.5.2

Đối với khách hàng & đối tác

Lưu lượng khách hàng truy cập Internet được mô tả như hình sau:


Khách hàng kết nối vào router truy cập hoặc DSLAM ở lớp MAN Access bằng các kết nối
Ethernet hay DSL. Thiết bị lớp MAN Access, được cấu hình để gán mỗi khách hàng một
kênh kênh ảo VC riêng biệt xuyên suốt đến thiết bị biên dịch vụ (N-PE). VC được xác định
bằng cặp giá trị VLAN Id bên trong và bên ngoài; VLAN bên trong được gán bởi thiết bị MEN
Access (U-PE), VLAN bên ngoài được gán bởi thiết bị MEN Core (PE-AGG). Như vậy, VLAN
bên trong xác định người dùng, VLAN bên ngoài xác định thiết bị U-PE.
Tại mạng MEN, PE-AGG được cấu hình ánh xạ tất cả VLAN truy cập Internet trên U-PE vào
một EoMPLS EVC và kết nối EVC vào các thiết bị trong vùng. Tại giao tiếp giữa PE-AGG với
N-PE, các router PE-AGG ánh xạ EVC thành 802.1 QinQ chuyển đến thiết bị BRAS (N-PE).
Đối với dịch vụ dữ liệu VPN, lưu lượng mạng người dùng truy cập mạng dịch vụ như sau:

Khách hàng kết nối vào lớp MEN Access có thể bằng kết nối Ethernet hoặc DSL, thiết bị UPE có nhiệm vụ phân tách khách hàng bằng các VRF, mỗi khách hàng ứng với từng VRF
phân biệt. U-PE duy trì từng bảng định tuyến riêng lẽ đối với mỗi khách hàng.
Giao thức định tuyến của khách hàng được truyền qua mạng MEN Core bằng kỹ thuật
MPLS-VPN. Tại vùng biên dịch vụ, thiết bị N-PE có nhiệm vụ phân tách VRF, gỡ nhãn MPLS
từ gói tin IP/MPLS và truyền gói thuần IP đến vùng dịch vụ.