KIẾN TRÚC MẠNG TRUYỀN TẢI IP/MPLS VÀ

MÔ HÌNH CUNG CẤP DỊCH VỤ

Mục lục
1. Kiến trúc tổng quát.............................................................................................................5
1.1. Kiến trúc phần mạng lõi..............................................................................................5
1.2. Kiến trúc phần mạng kết nối đến các IXP/ISP trong nước và quốc tế........................6
2. Giao thức định tuyến IP.....................................................................................................7
2.1. IGP...............................................................................................................................7
2.1.1. IS-IS network address (Network entity title – NET)...........................................7
2.1.2. Interface và Circuit Type......................................................................................7
2.1.3. Metric...................................................................................................................7
2.1.4. IS-IS Traffic Engineering.....................................................................................7
2.1.5. Xác thực...............................................................................................................8
2.2. EGP..............................................................................................................................8
2.2.1. iBGP trong nội mạng...........................................................................................8
2.2.2. eBGP khi peering đi các ISP khác.......................................................................9
2.2.3. eBGP khi peering với customer (Global/Domestic IP-Transit)...........................9
3. Giao thức định tuyến nhãn MPLS......................................................................................9
3.1. Các tham số............................................................................................................10
3.2. Traffic Engineering................................................................................................10
4. Mô hình các dịch vụ cung cấp trên mạng truyền tải IP....................................................12
4.1. Dịch vụ IP Transit (Global/Domestic).......................................................................12
4.1.1. Dịch vụ IP Transit Domestic..............................................................................12
4.1.2. Dịch vụ IP Transit Global..................................................................................13
4.2. Dịch vụ Internet Access (NIX)..................................................................................14
4.3. Dịch vụ VPN.............................................................................................................15
4.3.1. Dịch vụ VPN Layer 2.........................................................................................15
4.3.2. Dịch vụ VPN Layer 3.........................................................................................18
4.4. Tích hợp dịch vụ VoIP của Digicom.........................................................................19
4.5. Tích hợp dịch vụ IPTV của Digicom........................................................................19
4.6. Kế hoạch đánh địa chỉ IP...........................................................................................20
5. Chất lượng dịch vụ...........................................................................................................21
6. An ninh mạng...................................................................................................................22
6.1. Phần quản trị mạng....................................................................................................22
6.1.1. Cơ chế bảo mật dựa trên cấu trúc tài nguyên CPU/RAM..................................22
6.1.2. Login mã hóa SSHv2, SCP, SNMPv2/v3, telnet...............................................22
6.1.3. Login/SNMP access-list có sử dụng radius để lưu log......................................22
6.2. Phần kiểm soát lưu lượng luồng dữ liệu....................................................................22
6.2.1. Kiểm soát lưu lượng bằng firewall giữa các phần tử.........................................22
6.2.2. Kiểm soát lưu lượng từ khách hàng...................................................................23
i. Giới hạn các địa chỉ MAC học từ khách hàng...........................................................23
ii. Chặn tất cả các lưu lượng Broadcast trong mạng..................................................23
6.3. Phần kiểm soát lưu lượng điều khiển........................................................................23
7. High availability...................................................................................................................23
7.1 Equipment Reliability....................................................................................................23
7.2 Network Availability......................................................................................................23
7.2.1 IGP Fast Convergence.............................................................................................23
7.2.2 BFD (Bi-Direction Fault Detection).......................................................................23
7.2.3 GR (Graceful Restart).............................................................................................23
 Kiến trúc mạng truyền tải IP/MPLS và
mô hình cung cấp dịch vụ

1. Kiến trúc tổng quát

Mạng IP của VTC sẽ dựa hoàn toàn trên công nghệ IP/MPLS. Mạng IP này vẫn duy trì cấu
trúc mạng hiện tại của VTC. Cụ thể, sẽ vẫn có 3 router lõi tại Hà Nội (HNI), Đà Nẵng
(DNG), T/p Hồ Chí Minh (HCMC). Các router lõi kết nối đôi một với nhau, tạo thành kết nối
tam giác.

Tại các POP tỉnh/thành phố trên toàn quốc sẽ có các router biên (PE router). Các router biên
này có nhiệm vụ kết nối khách hàng của VTC tại địa phương. Các router biên này được phân
chia thành 3 vùng: Bắc, Trung, Nam và kết nối với Router lõi tương ứng.

Tại HNI và HCM, router lõi kết nối với các Domestic/Internation gateway (DGW/IGW), từ
đó kết nối đến các IXP/ISP trong nước và quốc tế.

IGW HK DGW IGW HCM

Internet PE Internet PE

METRO
HNI HCM
10GE 10GE 10GE METRO
HNI HCM
Core Core
Metro Metro
5xGE 5xGE
DNG

GE GE GE GE

GE GE
Internet PE

2 PEs 5 PEs DGW DNG 5 PEs 1 PE

ĐĐG, BGG NĐH, THA, NAN, QNG, KHA, NTH, BRA
QBH, HUE BTH, DNI

Hình 1 – Kiến trúc tổng thể mạng truyền dẫn IP

1.1. Kiến trúc phần mạng lõi

Phần mạng truyền tải IP của Digicom bao gồm các router lõi và router biên. Tại các POP,
router biên có nhiệm vụ kết nối đến khách hàng. DNG không có router biên, router lõi sẽ
được cấu hình thêm router ảo (virtual router) có nhiệm vụ làm router biên cho các khách hàng
tại đây.
Khách hàng tại HNI và HCM theo đúng kiến trúc sẽ được kết nối vào phần mạng Metro, từ
đó kết nối đến router lõi tương ứng. Tuy nhiên ở giai đoạn đầu, khi phần mạng Metro chưa
được triển khai, các router lõi tại HNI và HCM sẽ được cấu hình virtual router có nhiệm vụ
làm router biên tương tự tại DNG như Hình 2.

HNI HCM

10GE

PE PE
5xGE 5xGE
DNG

GE GE GE GE

GE GE

PE

2 PEs 5 PEs 5 PEs 1 PE

ĐĐG, BGG NĐH, THA, NAN, QNG, KHA, NTH, BRA
QBH, HUE BTH, DNI

Hình 2 – Kiến trúc mạng lõi

1.2. Kiến trúc phần mạng kết nối đến các IXP/ISP trong nước và quốc tế
Để cung cấp dịch vụ IP transit, dịch vụ HSI, cũng như kết nối trao đổi thông tin trên Internet,
mạng truyền tải IP bao gồm các thiết bị IGW đặt tại HNI, DNG và HCM, làm nhiệm vụ
peering với các IXP/ISP trong nước và quốc tế.

Ngoài ra các IGW trên, Digicom có các IGW đặt tại HK, KR, UK và US. Đường kết nối quốc
tế tại KR và UK sẽ kết cuối tại HK, từ đó đi về HNI. Đường kết nối US được kết cuối trực
tiếp tại HNI.

Toàn bộ phần mạng lõi dựa trên công nghệ MPLS, tuy nhiên một số thiết bị IGW lại không
hỗ trợ công nghệ này. Do vậy, các router lõi sẽ cấu hình virtual router, gọi là Internet PE.
Internet PE có chức năng kết nối với router lõi bằng công nghệ MPLS và peering với IGW để
học toàn bộ bảng định tuyến từ các IXP khác.

IGW-KR
IGW-UK

iBGP iBGP

IGW-HK/RR

IGW-US

iBGP iBGP
HNI

iBGP

DGW PE-Internet/RR PE
 Hình 3 – Sơ đồ chi tiết peering tại HNI

2. Giao thức định tuyến IP

2.1. IGP
Mạng truyền dẫn IP sử dụng giao thức IS-IS làm giao thức định tuyến nội mạng để tự động
cập nhật bảng định tuyến của các router lõi và router biên.

2.1.1. IS-IS network address (Network entity title – NET)

Giao thức IS-IS dùng địa chỉ theo tiêu chuẩn ISO. Mỗi địa chỉ tương ứng với một điểm kết
nối trong mạng, được gọi là network service access point – NSAP. Các router lõi và biên
trong mạng sẽ sử dụng một dạng địa chỉ NSAP đặc biệt, gọi là NET.

AREA ID SYSTEM ID SEL

49 00 01 11 90 18 18 40 01 00

SEL: Với địa chỉ NET, trường SEL luôn có giá trị 00.

Area ID: 49.0001

Số lượng router trên toàn bộ mạng nhỏ hơn 30. Do vậy, tất cả router đều thuộc một Area của
IS-IS (Area 0001).

System ID:
Mỗi router có một địa chỉ Interface loopback riêng biệt được sử dụng làm System ID trong
NET. Một octet trong địa chỉ IP sẽ được hiển thị bằng 3 chữ số, ví dụ:
Địa chỉ loopback : 119.18.184.1, được viết thành 119.018.184.001.
Từ đó, System ID có giá trị bằng 1190.1818.4001

2.1.2. Interface và Circuit Type

Các interface sau được cấu hình IS-IS:

 Các interface kết nối giữa router lõi và router biên.

 Interface loopback.

Do tất cả router lõi và biên đều nằm trong cùng một Area nên các interface đều được cấu hình
IS-IS Level 1.

Các link kết nối giữa router lõi và router biên đều là kết nối điểm-điểm. Do vậy, circuit type
trên các link đều được cấu hình dạng p2p.

2.1.3. Metric

2.1.4. IS-IS Traffic Engineering

Due to the implementation of MPLS Traffic Engineering (TE), advance feature of IS-IS TE
will need to be implemented as well. IS-IS TE fulfills one of the MPLS TE requirements
learning the link state information. In short, IS-IS TE supports the establishment or
maintenance of the Label Switched Path (LSP) and provides the information of the link.

For this project, IS-IS TE will be used to calculate the best-effort path for TE tunnel. It serves
as the second backup resort.

2.1.5. Xác thực

Với mục đích tăng cường an ninh cho mạng lõi, muốn thiết lập quan hệ neighbor, các router
chạy IS-IS phải xác thực trên từng link kết nối bằng cách gửi gói tin Hello với kiểu xác thực
MD5, password là “digiNET”.

2.2. EGP
2.2.1. iBGP trong nội mạng

1. DGW – PE-Internet/RR
Yêu cầu : DGW đã học tất cả các route từ ISP trong nước và quảng bá lại cho PE-
Internet/RR. PE-Internet/RR sẽ quảng bá lại dải ip của Digicom (DigicomIP) và prefix
của khách hàng chạy Global IP-Transit.
- import [prefix-DigicomIP,prefix-Global Customer-transit]
- export ALL

2. IGW-US – PE-Internet/RR
Yêu cầu : IGW-US đã học tất cả route từ US và quảng bá lại cho PE-Internet/RR. PE-
Internet/RR quảng bá lại dải địa chỉ DigicomIP và prefix của khách hàng chạy Global IP-
Transit.
- import [prefix-DigicomIP;prefix-loadbalance]
- export ALL

3. IGW-HK/RR – PE-Internet/RR
Yêu cầu : IGW-HK/RR đã học tất cả route từ HK và quảng bá lại cho PE-Internet/RR.
PE-Internet/RR quảng bá lại dải địa chỉ DigicomIP và prefix của khách hàng chạy Global
IP-Transit.
- import [prefix-DigicomIP;prefix-loadbalance]
- export ALL

4. IGW-KR – IGW-HK/RR
Yêu cầu : tương tự như IGW-HK/RR
- import ALL
- export ALL

5. IGW-UK – IGW-HK/RR
Yêu cầu : tương tự như IGW-HK/RR
- import ALL
- export ALL
2.2.2. eBGP khi peering đi các ISP khác.

1. DGW – VTL
Yêu cầu : DGW quảng bá toàn bộ dải địa chỉ DigicomIP và của khách hàng chạy
Domestic IP-Transit. DGW cho phép học tất cả các route từ VTL đến.
- import ALL
- export [prefix-DigicomIP;prefix-Domestic Customer-transit]

2. DGW – VTL
Yêu cầu : DGW quảng bá toàn bộ dải địa chỉ DigicomIP và của khách hàng chạy
Domestic IP-Transit. DGW cho phép học tất cả các route từ VTN đến.
- import ALL
- export [prefix-DigicomIP;prefix-Domestic Customer-transit]

2.2.3. eBGP khi peering với customer (Global/Domestic IP-Transit)

1. VTC-Intecom – DGW
Yêu cầu : DGW quảng bá toàn bộ route có trong bảng định tuyến học được từ các ISP
đấu nối trong nước cho khách hàng sử dụng dịch vụ Domestic IP-Transit. DGW học
những prefix của khách hàng yêu cầu.
- import [prefix-Domestic Customer-transit]
- export [prefix-Domestic]

2. Customer-global – PE-Internet/RR
Yêu cầu : PE-Internet/RR quảng bá toàn bộ route có trong bảng định tuyến học được từ
các ISP đấu nối trong nước và quốc tế cho khách hàng sử dụng dịch vụ Global IP-Transit.
PE-Internet/RR học những prefix của khách hàng yêu cầu.
- import [prefix-Global Customer-transit]
- export [prefix-Global Internet]

3. Customer-domestic

3. Giao thức định tuyến nhãn MPLS

MPLS là giao thức chính được sử dụng để chuyển gói tin trong mạng lõi. MPLS là một công
nghệ kết hợp tốt nhất giữa định tuyến lớp ba và chuyển mạch lớp hai cho phép chuyển tải các
gói rất nhanh trong mạng lõi bằng cách dựa vào nhãn (label).Ngoài ra, MPLS còn có khả
năng quản lý chất lượng dịch vụ (QoS), điều phối dung lượng (Traffic Engineering) và bảo vệ
kết nối khi xảy ra sự cố (link/node failure). Cấu trúc phần mạng lõi chạy MPLS được thể hiện
ở Hình 4.
 IGW HK DGW IGW HCM

IP
Internet PE Internet PE

METRO
HNI HCM
10GE 10GE 10GE METRO
HNI HCM
Core Core
Metro Metro
5xGE 5xGE
DNG

GE GE GE GE

GE GE

MPLS

2 PEs 5 PEs 5 PEs 1 PE

ĐĐG, BGG NĐH, THA, NAN, QNG, KHA, NTH, BRA
QBH, HUE BTH, DNI
IP

Hình 4 – Cấu trúc mạng MPLS và IP

Riêng kết nối vật lý từ router IGW tại HK về HNI ngoài đường logic IP peering với Internet
PE còn một kết nối logic chạy MPLS kết cuối trực tiếp tại router lõi HNI để phục vụ các
khách hàng có nhu cầu sử dụng dịch vụ VPN L2/L3 từ HK về Việt Nam.

3.1. Các tham số

MPLS Label Switched Router-ID: Router chạy MPLS sẽ sử dụng địa chỉ interface loopback
làm LSR-ID.

MTU: Giao thức MPLS sử dụng các nhãn gán vào phần Header của gói tin. Do vậy, MTU
của gói tin Ethernet trong mạng phải lớn hơn giá trị mặc định (1500 bytes). Tất cả interface
của thiết bị trong mạng được cấu hình giá trị MTU = 9000 bytes.

Signaling: các router lõi và router biên sử dụng giao thức LDP để trao đổi nhãn trong phần
mạng chạy MPLS.

TTL Propagation: Giá trị TTL trong gói tin IP khi chạy qua mạng MPLS không được copy
vào trường TTL của gói tin MPLS, để tránh việc khách hàng traceroute sẽ thấy được cấu trúc
mạng lõi.

3.2. Traffic Engineering

Một trong những ưu điểm của MPLS là khả năng điều phối dung lượng (Traffic
Engineering), cũng như khả năng hồi phục kết nối nhanh khi xảy ra sự cố (link/node failure).
Giao thức RSVP-TE được sử dụng để báo hiệu cho MPLS TE.

Các router lõi tạo 2 LSP (primary và backup) cho kết nối đôi một. Ví dụ:
Trên router HNI, kết nối HNI–HCM được cấu hình bằng 2 LSP
 Primary LSP: HNI–HCM
Backup LSP: HNI–DNG–HCM
HNI HCM

DNG

Primary LSP

Backup LSP

Hình 5 – LSP giữa các router lõi

Các router biên kết nối về mạng lõi cũng sẽ được tạo hai LSP (primary và backup) về router
lõi tương ứng.
 PE chỉ có 1 hướng kết nối về mạng lõi như ĐĐG, BGG, BRA không có backup LSP.
 PE tại NĐH, THA, NAN:
Primary LSP: NĐH/THA/NAN–HNI
Backup LSP: NĐH/THA/NAN–DNG–HNI
 PE tại QBH, HUE:
Primary LSP: QBH/HUE–HNI
Backup LSP: QBH/HUE–DNG–HNI
 PE tại QBH, HUE:
Primary LSP: QBH/HUE–DNG
Backup LSP: QBH/HUE–HNI–DNG
 PE tại QNG:
Primary LSP: QNG–DNG
Backup LSP: QNG–HCM–DNG
 PE tại KHA, NTH, BTH, DNI:
Primary LSP: KHA/NTH/BTH/DNI–HCM
Backup LSP: KHA/NTH/BTH/DNI– DNG–HCM
 HNI HCM

DNG

3 PEs 2 PEs 1 PE 4 PEs

NĐH, THA, NAN QBH, HUE QNG KHA, NTH,
BTH, DNI
Primary LSP

Backup LSP

Hình 6 – Sơ đồ LSP từ các PE về mạng lõi

4. Mô hình các dịch vụ cung cấp trên mạng truyền tải IP

4.1. Dịch vụ IP Transit (Global/Domestic)
Dịch vụ IP Transit cho phép khách hàng sử dụng địa chỉ IP kết nối của khách hàng (subnet
/30) làm địa chỉ kết nối với mạng của Digicom. Sau đó dựa vào yêu cầu của khách hàng cần
thuê IP Transit theo từng hướng (chỉ hướng Domestic hay Global) sẽ có cơ chế quảng bá
BGP tương ứng.

4.1.1. Dịch vụ IP Transit Domestic

 Địa điểm đấu nối tại HNI hoặc HCMC : Khách hàng sẽ đấu nối trực tiếp vào
DGW.
VTL VTN

eBGP eBGP HNI

DGW iBGP

PE-Internet/RR PE
eBGP

Cusomter-Domestic-
Transit
 Hình 7 – Sơ đồ peering ip-transit Domestic tại HNI

- Khách hàng sẽ peering tại DGW, sau đó DGW sẽ quảng bá toàn bộ prefix của
khách hàng sang các ISP khác có kết nối với mạng Digicom.

- DGW sẽ quảng bá lại toàn bộ prefix học được từ các ISP trong nước,
DigicomIP và quảng bá lại cho khách hàng.

 Địa điểm đấu nối tại POP (PE-POP).

VTL VTN

eBGP eBGP HNI

PE-Internet/RR

DGW iBGP

PE

eB
G
P

PE-POP

Cusomter-Domestic-
Transit

Hình 8 – Sơ đồ peering ip-transit Domestic tại POP

- Từ PE-POP tạo tunnel MPLS-Layer 2 từ khách hàng đến PE-Internet/RR :

mục đích peering eBGP với DGW

- Chính sách quảng bá tương tự như đối với trường hợp đấu nối tại HNI.

4.1.2. Dịch vụ IP Transit Global

 Địa điểm đấu nối tại HNI hoặc HCMC : Khách hàng sẽ đấu nối trực tiếp vào
PE-Internet/RR

- Khách hàng sẽ peering tại PE-Internet/RR. PE-Internet/RR sẽ quảng bá toàn

bộ prefix của khách hàng yêu cầu ra tất cả các hướng.

- PE-Internet/RR sẽ quảng bá lại tất cả các prefix học được (bao gồm cả trong
nước và quốc tế) cho khách hàng.
 IGW-KR
IGW-UK

iBGP iBGP

IGW-HK/RR

IGW-US

iBGP iBGP
HNI

iBGP

DGW PE-Internet/RR PE
eBGP

Cusomter-Global-
Transit

Hình 9 – Sơ đồ peering ip-transit Global tại HNI

 Địa điểm đấu nối tại PE-POP : tương tự như trường hợp DGW và đấu nối IP-
transit Global tại HNI và HCMC.

4.2. Dịch vụ Internet Access (NIX)

Khách hàng sẽ được cung cấp dịch vụ Internet access với địa chỉ IP của Digicom. QoS sẽ
được xử lý trực tiếp tại port kết nối với khách hàng.

IGW-KR
IGW-UK

iBGP iBGP

IGW-HK/RR

IGW-US

iBGP iBGP
HNI

iBGP

DGW PE-Internet/RR PE

Switch-Customter

Cusomter-NIX

Hình 10 – Sơ đồ dịch vụ NIX/ISP tại HNI

- Tùy theo mô hình cung cấp dịch vụ NIX trong nước hay ISP (Quốc tế), sẽ
phân hoạch từng dải địa chỉ riêng biệt để phân tách dịch vụ cho phép chỉ đi được trong
 nước hay Quốc tế. PE-Internet/RR sẽ tùy theo cơ chế phân hoạch cụ thể để quảng bá từng
dải theo từng hướng (trong nước qua DGW hoặc Quốc tế).

- QoS về bandwidth sẽ áp trực tiếp trên Switch-Customer

4.3. Dịch vụ VPN

Khách hàng sử dụng dịch vụ VPN được đấu nối vào Switch L2 Aggregate tại tỉnh. Switch L2
hỗ trợ 802.1q, gán giá trị VLAN ID riêng biệt cho từng khách hàng với mục đích tách biệt và
đảm bảo an ninh giữa các khách hàng với nhau. Lưu lượng từ khách hàng từ switch L2 được
chuyển tiếp đến router PE tại tỉnh. Riêng tại HNI, HCM (giai đoạn đầu chưa triển khai mạng
MANE) và DNG, Switch L2 sẽ chuyển tiếp lưu lượng của khách hàng lên Customer PE, là
một virtual router thuộc router lõi.

Router PE sử dụng giao thức BGP để báo hiệu thông tin VPN của các khách hàng. Tất cả các
mối quan hệ peering cho dịch vụ VPN đều sử dụng địa chỉ interface loopback 0.

4.3.1. Dịch vụ VPN Layer 2

Dịch vụ VPN Layer 2 được quy định theo hai chuẩn phác thảo là Martini draft và Kompella
draft. Các router trong mạng là thiết bị của Juniper, do vậy hỗ trợ dịch vụ VPN Layer 2 theo
chuẩn của Kompella.

Kompella định nghĩa định dạng Layer 2 frame cho từng VPN Layer 2 của khách hàng được
chuyển tiếp trong LSP của MPLS. Layer 2 frame từ khách hàng gửi đến PE đầu vào (Ingress
PE) sẽ được gán nhãn MPLS, chuyển qua LSP tunnel đến PE đầu ra (Egress PE). PE đầu ra
có nhiệm vụ bóc tách nhãn MPLS, chuyển về định dạng Layer 2 frame theo cấu hình và
chuyển tiếp đến khách hàng.

L2 Header Tunnel Label VC Label L2 Header IP Header Data

Hình 11 – Layer 2 frame của dịch vụ VPN L2

Các router PE sử dụng MP-BGP làm giao thức báo hiệu. BGP hỗ trợ khả năng auto-
discovery giữa các PE thông tin

Thiết bị Juniper hỗ trợ dịch vụ VPN Layer 2 theo hai dạng: L2VPN và VPLS.

 L2 VPN: là kết nối Layer 2 điểm – điểm giữa hai site của khách hàng với nhau.
 HNI HCM

10GE

5xGE 5xGE
DNG

PE Customer PE
(POP)

Switch L2 Aggregate
Digicom
CE CE

Site 1 Site 2 Customer

Hình 12 – Dịch vụ kết nối Layer 2 điểm – điểm (L2VPN)

Các tham số cần cấu hình trên PE đối với một khách hàng:
Route-distinguiser

VRF-target

Interface: logical interface kết nối trực tiếp đến khách hàng.

Protocol: l2vpn
Encapsulation-type: định dạng Layer 2 frame của khách hàng (ethernet/ethernet-
vlan/cisco-hdlc).
Site: bao gồm các thông tin về khách hàng
Site-name: tên đặt theo quy ước cho khách hàng, ví dụ:
ký hiệu PE tỉnh-dịch vụ-tên khách hàng: HNI-L2VPN-A
Site-identifier: số độ dài 16-bit, có giá trị > 0, định nghĩa một site của khách
hàng trong VPN và được sử dụng làm giá trị remote-site-id đối với PE tại tỉnh
khác có cùng khách hàng VPN. Quy ước site-identifier:

Site-preference: được sử dụng như giá trị local-prefernce của BGP. Trường
hợp giữa các PE có nhiều đường kết nối đến 1 site PE của khách hàng, PE nào
có giá trị preference cao nhất sẽ được sử dụng.
Interface:
 VPLS: Khách hàng sử dụng dịch vụ VPLS có khả năng kết nối giữa các site khác nhau
tương tự như kết nối mạng LAN. VPLS là mô hình VPN L2 nhưng kết nối từ một site
khách hàng đến các site khác là điểm – đa điểm.

HNI HCM

10GE

VPLS
5xGE 5xGE
DNG
Customer PE

PE Customer PE
(POP)

Switch L2 Aggregate
Digicom

Site 1 Site 2 Site 3

Customer

Hình 13 – Dịch vụ kết nối Layer 2 điểm – đa điểm (VPLS)

Các tham số cần cấu hình trên PE đối với một khách hàng:
Route-distinguiser

VRF-target

Interface: logical interface kết nối trực tiếp đến khách hàng.

Protocol: vpls

Các tham số liên quan đến địa chỉ MAC học được từ khách hàng:
Giới hạn số lượng địa chỉ MAC học được từ một site.
MAC table aging time
MAC table size

Site: bao gồm các thông tin về khách hàng

Site-name: tên đặt theo quy ước cho khách hàng, ví dụ:
ký hiệu PE tỉnh-dịch vụ-tên khách hàng: HNI-VPLS-A
Site-identifier: số độ dài 16-bit, có giá trị > 0, định nghĩa một site của khách
hàng trong VPN và được sử dụng làm giá trị remote-site-id đối với PE tại tỉnh
khác có cùng khách hàng VPN. Quy ước site-identifier:
 Interface
Interface-mac-limit: giới hạn số lượng địa chỉ MAC

4.3.2. Dịch vụ VPN Layer 3

Đối với dịch vụ VPN L3, PE duy trì một bảng định tuyến riêng cho từng khách hàng, gọi là
VRF. VRF này có nhiệm vụ học các subnet từ khách hàng kết nối trực tiếp, sau đó quảng cáo
các subnet này thông qua giao thức MP-BGP tới các PE tại site khác của khách hàng.

Để tối ưu việc cập nhật các route trong VRF và tránh tình trạng các PE phải thiết lập peering
BGP theo dạng full-mesh, Customer PE tại HNI và HCM sẽ đóng vai trò làm Route
Reflector. PE chỉ cần thiết lập MP-BGP peering với RR sẽ học được toàn bộ route của khách
hàng từ các site khác.

HNI HCM
Customer PE
10GE

VRF
RR PE
5xGE 5xGE
DNG
MP-BG

MP
GE -B
GP
P

PE Customer PE
VRF (POP) VRF
IGP

IGP

Switch L2 Aggregate
Digicom
CE CE

Site 1 Site 2 Customer

Hình 14 – Mô hình cung cấp dịch vụ VPN Layer 3

Các tham số cần cấu hình cho dịch vụ VPN Layer 3

Route-distinguiser

VRF-target

Interface: logical interface kết nối trực tiếp đến khách hàng

4.4. Tích hợp dịch vụ VoIP của Digicom

Mạng cung cấp dịch vụ VoIP cũ của Digicom có hệ thống router riêng biệt, sử dụng địa chỉ
private 10.x/8. Việc tích hợp mạng cũ vào mạng mới không được xảy ra tình trạng xung đột
địa chỉ, cũng như phải đảm bảo kết nối giữa các tỉnh/thành phố đã có POP cũ. Do vậy, dựa
vào cơ chế MPLS VPN, hệ thống mạng mới sẽ tạo ra một VPN Layer 3 cho dịch vụ VoIP
như Hình 15.

MP-BGP

HNI HCM
Customer PE
10GE

VoIP VoIP
RR RR
5xGE 5xGE
DNG

MP
MP-BG

MP
-B

-BG
VoIP-IDC GE GP GE VoIP-IDC

P
P

VoIP Server VoIP Server

Center Center

VoIP PE PE VoIP VoIP PE

OSPF
OSPF

OSPF
Switch L2 Aggregate
VoIP
L3 SW

POPs POPs POPs

VoIP VRF cho dịch vụ VoIP

Hình 15 – VPN Layer 3 cho dịch vụ VoIP

Quy hoạch các tham số cho dịch vụ VoIP

Route-distinguisher

VRF Target

4.5. Tích hợp dịch vụ IPTV của Digicom

Mạng truyền dẫn IP phục vụ IPTV hiện tại được xây dựng trực tiếp từ truyền dẫn, kết nối các
switch Layer 3 tại tỉnh với nhau. Lưu lượng trên mạng IPTV chủ yếu là multicast. Trường
hợp Switch L3 của IPTV chạy định tuyến multicast với toàn bộ router trong mạng mới sẽ
phức tạp, không phù hợp với cấu trúc mạng lõi.

Do vậy, để đơn giản, mạng MPLS sẽ tạo VPN Layer 2 thay thế cho kết nối truyền dẫn giữa
các site IPTV hiện tại. Thay vì đấu nối trực tiếp vào truyền dẫn, Switch Layer 3 sẽ đấu nối
vào các router PE tại tỉnh/thành phố tương ứng. Các PE sẽ tạo L2VPN điểm – điểm cho dịch
vụ IPTV.

Ví dụ Hình 16, kết nối HNI – THA, HNI – DNG và THA – NAN tương ứng với ba kết nối
L2VPN.
 HNI
Customer PE
10GE

5xGE 5xGE
DNG
HNI

PE PE PE

IPTV IPTV IPTV

L3SW L3SW L3SW

THA NAN DNG

Hình 16 – Tích hợp dịch vụ IPTV dựa trên các kết nối L2VPN điểm – điểm.

4.6. Kế hoạch đánh địa chỉ IP

Mạng truyền tải: IP kết nối, IP loopback, router-id…
Quy hoạch địa chỉ IP public cho dịch vụ HSI
Quy hoạch Label cho VPN L2, L3…
5. Chất lượng dịch vụ

DiffS erv MPLS

Application Example S ervice Class 802.1P
Codepoint EXP
Control Protocol RSVP, OSPF, ISIS, BGP CONTROL 6 CS-6 EXP 6
VoIP Voice RTP TELEPHONY EF
Voice application
SIP, H.248, IGM P SIGNALLING EF
signalling 5 EXP 5
Precision Time
IEEE1588v2 SIGNALLING EF
distribution
Video VoD, Live TV(M ulticast) BROADCAST VIDEO AF41
Network 4 EXP4
SNM P, SSH,Telnet OAM AF41
Management
Enterprise Data 1 Point-to-Point, M ultipoint-to- M ultipoint service HIGH THROUGHPUT DATA 3 AF31 EXP 3

Enterprise Data 2 Point-to-Point, M ultipoint-to- M ultipoint service HIGH THROUGHPUT DATA 2 AF21 EXP 2

In-profile
Business HSI (FTTH) 1
EXP 1
Internet Traffic STANDARD Default Out-of-
Residential HSI (DSLAM , FTTB, FTTC) 0 profile
EXP 0

Note: các điểm đánh dấu lưu lượng

6. An ninh mạng
Chính sách an ninh mạng chia thành 3 phần như sau

6.1. Phần quản trị mạng

6.1.1. Cơ chế bảo mật dựa trên cấu trúc tài nguyên CPU/RAM

6.1.2. Login mã hóa SSHv2, SCP, SNMPv2/v3, telnet.

6.1.3. Login/SNMP access-list có sử dụng radius để lưu log.

6.2. Phần kiểm soát lưu lượng luồng dữ liệu

Cấu hình access-list chặn tất cả các hướng từ khách hàng vào mạng core và các phần tử thuộc mạng Digicom.

6.2.1. Kiểm soát lưu lượng bằng firewall giữa các phần tử.
Dưới đây là bảng mô tả vị trí sẽ thiết lập firewall đối với hệ thống mạng Digicom.

Core-HNI Core-HCMC Core-DNG PE-POP PE-Internet DGW IGW-HK IGW-US IGW-KR

In Out In Out In Out In Out In Out In Out In Out In Out In Out
Core-HNI N Y N Y N Y
Core-HCMC N Y
Core-DNG N Y
PE-POP Y N Y N Y N Y Y Y Y
PE-Internet Y N Y Y Y Y Y Y Y Y Y Y
DGW Y Y Y Y
IGW-HK Y Y Y Y Y Y
IGW-US Y Y Y Y Y Y
6.2.2. Kiểm soát lưu lượng từ khách hàng.
Toàn bộ lưu lượng khách hàng đẩy đến hệ thống của Digicom đều được kiểm soát bằng ACL
tại PE-POP hoặc PE-Internet/RR.

Dưới đây là bảng mô tả ví dụ việc áp policy lên 1 khách hàng trên PE-POP. Việc xử lý các
dịch vụ (VoIP, IPTV,v.v…) đã được định nghĩa ở phần QoS. Việc xử lý các hướng dịch vụ
MPLS VPN Layer2/3 được định nghĩa ở tửng dịch vụ riêng biệt. Bảng dưới đây được áp
dụng cho khách hàng sử dụng dịch vụ Peering, IP-Transit, NIX và ISP.

PE-POP DGW PE-Internet/RR

Bandwidth
Permit tcp port 179 (BGP) tcp port 179 (BGP) tcp port 179 (BGP)
ACL
Deny any-any any-any any-any

i. Giới hạn các địa chỉ MAC học từ khách hàng

ii. Chặn tất cả các lưu lượng Broadcast trong mạng

6.3. Phần kiểm soát lưu lượng điều khiển

- IGP, LDP, BGP đều được mã hóa MD5

- Disable các giao thức không sử dụng

- Cơ chế ngăn chặn DDOS.

7. High availability
7.1. Equipment Reliability

7.2. Network Availability

7.2.1. IGP Fast Convergence

7.2.2. BFD (Bi-Direction Fault Detection)

7.2.3. IGR (Graceful Restart)

IS-IS
8. NTP

9. NMS