Introduction VPN on NGN (v5).ppt

1

GIỚI THIỆU DỊCH VỤ VPN TRÊN MẠNG THẾ HỆ MỚI

Msc. Nguyễn Nam Long Đài Điều hành Chuyển Mạch Liên tỉnhTrung Tâm Viễn thông Khu vực II

TP HCM ngày 20/05/2005

2

SƠ ĐỒ MẠNG NGNSƠ ĐỒ MẠNG NGNSƠ ĐỒ MẠNG NGNSƠ ĐỒ MẠNG NGN

HiQ4000HiQ9200

HiQ20/30

HiR200

NetManager

HiQ9200

HiQ20/30HiR200

NetManager/Boot Remote

HANOI HCM

MG-HTY

PSTN-HTY

PSTN-HBH

PSTN-LCU

PSTN-SLA DSLAM HUB/ ATM Concentrator

(HTY,BHB,LCU,SLA) ERX-1410MSS+BRAS

(HTY)

MG-PTO

PSTN-PTO

PSTN-VPC

PSTN-LCI

PSTN-YBI DSLAM/DSLAM HUB/

ATM Concentrator(PTO,VPC,LCI,YBI)

ERX-1410MSS+BRAS

(PTO)

MG-BNH

PSTN-BGG

PSTN-BNH

PSTN-LSNDSLAM/

DSLAM HUB/ ATM Concentrator(BNH,BGG,LSN)

ERX-1410MSS+BRAS

(BNH)

MG-TNNDSLAM/

DSLAM HUB/ ATM Concentrator

(TNN,BCN,CBG,TQG,HGG)ERX-1410

MSS+BRAS(TNN)

PSTN-HGG

PSTN-TQG

PSTN-TNN

PSTN-BCN

PSTN-CBG

MG-HPGDSLAM/


(HPG)ERX-1410

MSS+BRAS(HPG)

PSTN-HPG

MG-QNHDSLAM/


(QNH)ERX-1410

MSS+BRAS(QNH)

PSTN-QNH

ERX-1410MSS+BRAS

(HDG)

MG-NDH

PSTN-NDH

PSTN-TBH

PSTN-NBH

PSTN-HNM DSLAM/DSLAM HUB/

ATM Concentrator(NDH,TBH,NBH,HNM)

ERX-1410MSS+BRAS

(NDH)

MG-NAN

PSTN-NAN

PSTN-THA

PSTN-HTHDSLAM/

DSLAM HUB/ ATM Concentrator(NAN,THA,HTH)

ERX-1410MSS+BRAS

(NAN)

MG-HNI

ERX-1410MSS-HNIDSLAM/


ERX-1410BRAS-HNI

MG-HDGDSLAM/


(HDG,HYN)

PSTN-HDG

PSTN-HYN

PSTN-HNI

VMS1

GPC1

VTI1

BDTW

ERX-1410MSS-HCM DSLAM/


ERX-1410 BRAS-125 HCM

MG-DNIDSLAM/


(DNI)ERX-1410

MSS(DNI)

PSTN-DNI

ERX-705 (BRAS)

MG-CTODSLAM/


(CTO)ERX-1410

MSS+BRAS(CTO)

PSTN-CTO

MG-BLU

PSTN-BLU

PSTN-STG

PSTN-CMUDSLAM/

DSLAM HUB/ ATM Concentrator(BLU,STG,CMU)

ERX-1410MSS+BRAS

(BLU)

MG-VTUDSLAM/


(VTU)ERX-1410

MSS+BRAS(VTU)

PSTN-VTU

MG-LDG

PSTN-LDG

PSTN-NTN

DSLAM/DSLAM HUB/

ATM Concentrator(LDG,NTN,BTN)

ERX-1410MSS+BRAS

(LDG)

MG-TGG

PSTN-TGG

PSTN-LAN

PSTN-DTP

DSLAM/DSLAM HUB/

ATM Concentrator(TGG,LAN,BTE)

ERX-1410MSS+BRAS

(TGG)

MG-VLG

PSTN-BTE

DSLAM/DSLAM HUB/

ATM Concentrator(VLG,TVH,ĐTP)

ERX-1410MSS+BRAS

(VLG)

MG-BDG

DSLAM/DSLAM HUB/

ATM Concentrator(BDG)

ERX-1410MSS

(BDG)

PSTN-BDG

ERX-705 (BRAS)

PSTN-BPC

PSTN-TNH


(BPC,TNH)

MG-AGG

DSLAM/DSLAM HUB/

ATM Concentrator(KGG)

ERX-1410MSS

(AGG)

PSTN-AGG

ERX-705(BRAS)

PSTN-KGG

DSLAM/DSLAM HUB/

ATM Concentrator(AGG)

PSTN-HCM

VMS2

VTI2

MGHCM

MG-HUE

PSTN-QBH

PSTN-QTI

PSTN-HUE

DSLAM/DSLAM HUB/

ATM Concentrator(HUE,QBH,QTI)

ERX-1410MSS+BRAS

(HUE)

MG-DNG

PSTN-QNM

PSTN-QNI

PSTN-DNG

DSLAM/DSLAM HUB/

ATM Concentrator(DNG,QNM,QNI)

ERX-1410MSS+BRAS

(DNG)

MG-GLI

PSTN-DLK

PSTN-KTM

PSTN-GLIDSLAM/


(DLK)

ERX-1410MSS+BRAS

(GLI)


(GLI,KTM)

ERX-705BRAS

MG-KHA

PSTN-BDH

PSTN-PYN

PSTN-KHA

DSLAM/DSLAM HUB/

ATM Concentrator(KHA,BDH,PYN)

ERX-1410MSS+BRAS

(KHA)

VMS3

GPC3

VTI3

NetManager/Remote

DNG

GPC2

M160DNG

VTI

HiG 50VDC

M160HNI

M160HCM

DSLAM/DSLAM HUB/

ATM Concentrator

ERX-1410 BRAS-TBH HCM

M20 HNI M20 HCM

ER16

PSTN-BTN

PSTN-VLG

PSTN-TVH

3Router biên ERX1410Router biên ERX1410

Route B-RAS ERX 705

Route B-RAS ERX 705

Router lõi M160Router lõi M160

Các router đang sử dụng trong mạng NGNCác router đang sử dụng trong mạng NGNCác router đang sử dụng trong mạng NGNCác router đang sử dụng trong mạng NGN

Router GatewayM20

Router GatewayM20

4

Router lõi M160Router lõi M160

Router lõi M160 Router lõi M160 Router lõi M160 Router lõi M160

Router M160Router M160 :: - Là Router của Juniper đóng vai trò core Router có băng thông tối đa lên đến 160 Gb/s.- Thực hiện chức năng chuyển tải lưu lượng IP giữa các khu vực.- Gồm có 3 router của 3 miền đặt ở Hồ Chí Minh, Đà Nẵng, Hà Nội làm thành mạng lõi của NGN.

5

Router biên ERX1410Router biên ERX1410

Router biên ERX1410 Router biên ERX1410 Router biên ERX1410 Router biên ERX1410

•Router ERX-1410Router ERX-1410 : :

- Là router của Juniper đóng vai trò router biên có băng thông tối đa 10Gb/s

- Lấy lưu lượng từ BRAS và HiG 1000 đẩy ra mạng lõi

- Các router này đặt ở các trạm viễn thông của VTN

- Cũng có tỉnh ERX1410 kiêm luôn vai trò BRAS.

6

Router B-RAS ERX 705

Router B-RAS ERX 705

Router Access ERX705Router Access ERX705Router Access ERX705Router Access ERX705

•Router ERX- 705Router ERX- 705 : :

- Là router của Juniper đóng vai trò BRAS có băng thông tối đa 5 Gb/s

-Đấu trực tiếp với các DSLAM của BĐ Tỉnh, các thuê bao ADSL đấu vào DSLAM để truy cập Internet băng rộng (Mega VNN).

-Có vài Tỉnh có router này như KGG, ĐNI, BDG, còn các tỉnh còn lại router biên ERX1410 đóng luôn vai trò BRAS

7

Router Gateway M20Router Gateway M20Router Gateway M20Router Gateway M20

•Router Gateway M20Router Gateway M20 : :

- Là router của Juniper đóng vai trò Border Gateway có băng thông tối đa 20Gb/s

-Đấu trực tiếp với M160 và VDC.

- Chuyển lưu lượng IP Internet đi qua VDC Router Gateway M20Router Gateway M20

8

Định nghĩaĐịnh nghĩa: Mạng riêng ảo (VPN : Virtual Virtual private networkprivate network ) là một mạng riêng của khách hàng dựa trên cơ sở hạ tầng mạng công cộng dùng chung.

Văn phòngTrung tâm

Làm việc tại nhà

POP

Nhân viênVăn phòngChi nhánh

Văn phòngĐại diện

Đối tác

Virtual PrivateNetwork

Mạng riêng ảo (VPN)Mạng riêng ảo (VPN)Mạng riêng ảo (VPN)Mạng riêng ảo (VPN)

9

PE

PE

CPE

CPE

SubscriberSite 3

PP-VPN

SubscriberSite 2

CPE

PE

VPN Tunnel

VPN T

unne

l VP

N T

un

nel

CPE

PE PE

PE

CPE

CPE

CPE-VPN

VPN TunnelSubscriber

Site 1

SubscriberSite 3

SubscriberSite 2

VP

N T

un

nel

VPN

Tu

nn

el

SubscriberSite 1

Phân loại VPNPhân loại VPNPhân loại VPNPhân loại VPN

-Network-based : là VPN được cấu hình trên các thiết bị của nhà cung cấp dịch vụ và được quản lý bởi nhà cung cấp dịch vụ. MPLS VPN là một tiêu biểu của loại này.

-Customer-based: là VPN được cấu hình trên các thiết bị của khách hàng sử dụng các giao thức đường hầm xuyên qua mạng công cộng, thông thường nhất là dùng giao thức IPSec .

VPN được chia thành hai loại chính :

10

Lµ dÞch vô VPN Network-based dùa vµo c«ng nghÖ MPLS trªn nÒn t¶ng NGN: Layer 3 BGP/MPLS/VPN. Tªn th ¬ng hiÖu lµ MegaWAN, (hay cßn gäi lµ m¹ng xDSL-WAN, IP/VPN)

Dịch vụ mạng riêng ảo do VTN cung cấpDịch vụ mạng riêng ảo do VTN cung cấpDịch vụ mạng riêng ảo do VTN cung cấpDịch vụ mạng riêng ảo do VTN cung cấp

DÞch vô M¹ng riªng ¶o do VTN cung cÊp lµ g× ?DÞch vô M¹ng riªng ¶o do VTN cung cÊp lµ g× ?

VPN

11

-Đảm bảo băng thông ổn định đúng cam kết (chênh lệch không quá 20%). Tất cả các thiết bị tham gia vào VPN (BRAS, DSLAM Hub, DSLAM, Modem) đều phải khai báo CBR với băng thông đã cam kết với khách hàng.

- Mềm dẻo, dễ cấu hình, triển khai nhanh chóng . Việc cấu hình mạng do VTN đảm nhận, khách hàng chỉ cần thông báo cho về tình trạng mạng hiện tại hoặc mạng trong tương lai.

-Tính bảo mật cao hơn.


Ưu điểm của VPN do VTN cung cấp so với các VPN khácƯu điểm của VPN do VTN cung cấp so với các VPN khác

12

MPLS viết tắt của chữ MultiProtocol Label Switching là một kỹ thuật forwarding dùng để forward traffic qua mạng dựa trên nhãn được gán vào traffic.Gói tin vào vùng MPLS sẽ được gán một nhãn cố định, sau khi qua từng router trong vùng MPLS sẽ được gán thêm một nhãn khác và được định tuyến đến router kế tiếp trong vùng , tại router kế tiếp công việc bóc nhãn cũ và gán nhãn mới sẽ xảy ra liên tục cho đến router cuối cùng trong vùng MPLS thì gói tin sẽ được bóc nhãn và định tuyến đến site của khách hàng

3

MPLS domain

2117IP

1117IP

17IP

PE1

17IP1317IP

PE2P1 P2

CE1 CE2

Khái niệm MPLSKhái niệm MPLSKhái niệm MPLSKhái niệm MPLS

13

Mào đầu “đệm” MPLS (1-n)

MPLS qua kênh PPP và LAN sử dụng mào đầu ‘đệm’ chèn giữa mào đầu lớp 2 và lớp 3

MPLS qua kênh PPP và LAN sử dụng mào đầu ‘đệm’ chèn giữa mào đầu lớp 2 và lớp 3

Nhãn Exp. S TTL

Nhãn: giá trị nhãn, 20 bits (0-16 dự phòng)Experimental: 3 bits (trước đây là trường lớp dịch vụ CoS)Stacking bit: Đáy ngăn xếp, 1 bit (1 =đến cuối cùng trong ngăn xếp nhãn)TTL: Thời gian sống, 8 bits

Mào đầu lớp 2( PPP, 802.3)

•••

Mào đầu lớp mạng và gói tin (IP)

4 Octets

1n

Khuôn dạng ngăn xếp

nhãn

Nhãn MPLSNhãn MPLS

14

KÕt nèi ®¬n gi¶n víi chi phÝ thÊp

MÒm dÎo, linh ho¹t: cã thÓ võa kÕt nèi m¹ng riªng ¶o võa truy cËp Internet (nÕu kh¸ch hµng cã nhu cÇu)

Cung cÊp cho kh¸ch hµng çc kªnh thuª riªng ¶o cã ®é tin cËy cao

§¨ng ký dÞch vô ®¬n gi¶n: kh¸ch hµng chØ cÇn ®¨ng ký çc ®iÓm vµ tèc ®é cæng cÇn kÕt nèi theo nhu cÇu sö dông, hÖ thèng sÏ thùc hiÖn kÕt nèi çc ®iÓm ®ã qua çc kªnh riªng ¶o

DÞch vô m¹ng riªng ¶o rÊt thÝch hîp cho çc c¬ quan, doanh nghiÖp cã nhu cÇu kÕt nèi m¹ng th«ng tin hiÖn ®¹i, hoµn h¶o, tiÕt kiÖm.


Lîi Ých cña dÞch vô m¹ng riªng ¶o ?Lîi Ých cña dÞch vô m¹ng riªng ¶o ?

15

Kh¸ch hµng lµ çc ç nh©n, c¬ quan tæ chøc doanh nghiÖp ViÖt Nam vµ n íc ngoµi ho¹t ®éng hîp ph¸p t¹i ViÖt Nam sö dông dÞch vô kÕt nèi çc m¹ng m¸y tÝnh trªn ® êng d©y xDSL do Tæng c«ng ty BCVT VN cung cÊp th«ng qua hîp ®ång cung cÊp vµ sö dông dÞch vô

DÞch vô VPN ® îc cung cÊp t¹i çc ®Þa ph ¬ng, n¬i ®· cung cÊp dÞch vô xDSL

§èi t îng vµ phạm vi cung cÊp dÞch vô ?

DÞch vô nµy thÝch hîp cho çc doanh nghiÖp ho¹t ®éng kinh doanh cã diÖn tr¶i réng, gåm nhiÒu ®iÓm, cã nhu cÇu kÕt nèi sè liÖu nh : Ng©n hµng, B¶o hiÓm, Hµng kh«ng,...


16

§Ó thiÕt lËp m¹ng VPN: kh¸ch hµng chØ cÇn ®¨ng ký çc ®iÓm vµ tèc ®é cæng cÇn kÕt nèi theo nhu cÇu sö dông, sau ®ã hÖ thèng NGN sÏ thùc hiÖn kÕt nèi çc ®iÓm ®ã qua kªnh riªng ¶o.

ThiÕt lËp m¹ng VPN nh thÕ nµo ?ThiÕt lËp m¹ng VPN nh thÕ nµo ?

VPN


17

Sơ đồ kết nối sử dụng VPNSơ đồ kết nối sử dụng VPN

PE 1

VPN ASite 3

CE–A310.3/16

VPN ASite2

CE–A2

10.2/16

VPN BSite3

CE–B3

10.3/16

VPN BSite2

CE–B210.2/16

VPN ASite 1

HeadQuater

CE–A1

10.1/16

VPN BSite 1

HeadQuater

CE–B1

10.1/16

P

P

P PE 2

PE 3

P


http://www.iconbazaar.com/symbols/symbols/home02.gif


18

Một số thuật ngữ VPNMột số thuật ngữ VPN• Provider Network (P-Network)

• Mạng đường trục của nhà cung cấp dịch vụ• Customer Network (C-Network)

• Mạng khách hàng• CE router

• Customer Edge Router: Router tại đầu khách hàng thuộc mạng khách hàng, đấu nối với PE router

• PE router

• Provider Edge router: Router của nhà cung cấp dịch vụ, thuộc mạng của nhà cung cấp, đấu nối với CE router

• P router

• Provider (core) router: Router lõi của nhà cung cấp.

PE CEPP

PECE

CE

CE

VPN AVPN A

VPN B VPN B

PE




19

1. Full-meshed: tất cả các điểm trong VPN đều có thể trao đổi dữ liệu trực tiếp với nhau. Tất cả các CE quảng bá khoảng địa chỉ IP của mạng con. Các địa chỉ, routing được cập nhật trên các PE.

2. Hub-and-Spoke: Tại Hub trung tâm có thể trao đổi dữ liệu với tất cả các điểm khác trong VPN (điểm Hub). Các điểm khác trao đổi dữ liệu với nhau thông qua Hub – phải gởi dữ liệu đến Hub rồi từ Hub mới đi tới các điểm khác trong VPN (điểm Spoke). - Như vậy Hub là điểm chuyển tiếp trung tâm cho tất cả các Spoke, kiểm soát được các gói dữ liệu trên mạng.

Cấu hình VPN - TopologyCấu hình VPN - TopologyCấu hình VPN - TopologyCấu hình VPN - Topology

20

Cước dịch vụ VPN (cập nhật 15-08-2006)Cước dịch vụ VPN (cập nhật 15-08-2006)


1) Cước đấu nối hoà mạng1) Cước đấu nối hoà mạng

Cước đấu nối hoà mạngcổng

Thuê bao mới ADSL 600.000 VNĐ/lần/cổng

SHDSL 1.000.000VNĐ/lần/cổng

Đường dây thuê bao có sẵn

ADSL 300.000VNĐ/lần/cổng

SHDSL 700.000VNĐ/lần/cổng

Chuyển đổi loại cổng

ADSL->SHDSL 400.000VNĐ/lần/cổng

SHDSL->ADSL Không thu cước

Cước thuê cổng

ADSL 181.818VNĐ/cổng/tháng

SHDSL 272.727VNĐ/cổng/tháng

21


2) Cước thuê kênh đường lên MegaWAN nội tỉnh2) Cước thuê kênh đường lên MegaWAN nội tỉnh

Thuê bao mới Tốc độ < 512 Kb/s 150.000VNĐ/lần/kênh

Tốc độ từ 512 Kb/s đến 2Mb/s 500.000VNĐ/lần/kênh

Chuyển đổi tốc độ kênh Dưới 512 Kb/s lên 512Kb/s hoặc cao hơn 400.000VNĐ/lần/kênh

Các trường hợp khác 100.000VNĐ/lần/kênh

a) Cước đấu nối hoà mạng kênh

b) Cước thuê kênh đường lên nội tỉnh

Tốc độ

(Kb/s)

Cước

(1000VNĐ/tháng)

Tốc độ

(Kb/s)

Cước

(1000VNĐ/tháng)

Tốc độ

(Kb/s)

Cước

(1000VNĐ/tháng)

Tốc độ

(Kb/s)

Cước

(1000VNĐ/tháng)

64 183 576 915 1.088 1.438 1.600 1.881

128 303 640 970 1.152 1.584 1.664 1.921

192 406 704 979 1.216 1.627 1.728 1.962

256 525 768 1.033 1.280 1.670 1.792 2.002

320 601 832 1.098 1.344 1.713 1.856 2.043

384 676 896 1.162 1.408 1.755 1.920 2.083

448 768 960 1.226 1.544/

1536

1.841 1.984 2.124

512 860 1.024 1.291 2.048 2.164

22


3) Cước thuê kênh đường lên MegaWAN liên tỉnh3) Cước thuê kênh đường lên MegaWAN liên tỉnh


Tốc độ từ 512 Kb/s đến 2Mb/s 500.000VNĐ/lần/kênh




b) Cước thuê kênh đường lên liên tỉnh

Tốc độ

(Kb/s)

Cước đường lên (1000VNĐ/tháng)

Nội vùng Cận vùng Cách vùng

64 668 948 1386

128 954 1283 1752

192 1121 1502 2041

256 1307 1619 2179

384 1456 1836 2454

512 1673 2037 2701

768 1973 2268 2984

1024 2579 2889 3809

1152 3110 4040 5391

1544/1536 4033 4252 6606

2048 4692 5328 7095

23


4) Cước thuê kênh đường lên MegaWAN quốc tế4) Cước thuê kênh đường lên MegaWAN quốc tế


Tốc độ từ 512 Kb/s đến 2Mb/s 1.300.000VNĐ/lần/kênh




b) Cước thuê kênh quốc tế Tốc độ(Kb/s)

Cước thuê kênh quốc tế (USD/tháng)

Vùng 1 Vùng 2

64 780 858

128 1114 1225

192 1309 1440

256 1526 1679

384 1700 1870

512 1952 2148

768 2303 2533

896 2536 2789

1024 3211 3533

1152 3430 3773

2048 3649 4013

24

Khách hàng đặc biệt

Kênh thuê riêng

• 85% mức cước nội tỉnh

• 85% mức cước liên tỉnh

• 85% mức cước quốc tế

MegaWAN

• 85% mức cước thuê kênh đường lên


25

Cước truy nhập Internet 2M/640K từ mạng MegaWAN

• Cước đấu nối hoà mạng: không thu• Cước thuê bao: không thu• Cước truy nhập/Megabyte: áp dụng theo

mức của dịch vụ MegaVNN ứng với tốc độ 2Mbps/640kbps (Maxi)

• Cước trần: không quá 727.273đ/tháng/đường truy nhập 2Mbps/640Kbps


26

Giá cước các trường hợp trên không bao gồm thuế GTGT


27


4) Cách tính cước dịch vụ VPN4) Cách tính cước dịch vụ VPN

Trong đó :-Cước thuê 1 cổng=Cước đấu nối hoà mạng (thu một lần)+cước thuê cổng hàng tháng -Cước thuê 1 kênh đường lên=Cước đấu nối hoà mạng + Cước thuê kênh hàng tháng

Ví dụ : Khách hàng có nhu cầu thiết lập kênh như sau :-Hà Nội :

+ 40 Tăng Bạt Hổ : Dùng SHDSL, tốc độ 256 kb/s (kết nối đi Tp.HCM)+ 55 Lý Thường Kiệt : Dùng ADSL, tốc độ 64 kb/s (kết nối tới Tăng Bạt Hổ)

-Tp.HCM : Dùng SHDSL, tốc độ 256 kb/s (kết nối đi 40 Tăng Bạt Hổ, Hà Nội)

Cách tính như sau :1. Tại 40 Tăng Bạt Hổ khách hàng phải trả : cước thuê cổng SHDSL + cước thuê kênh

đường lên liên tỉnh tốc độ 256Kb/s (cước cách vùng)2. Tại 55 Lý Thường Kiệt khách hàng phải trả : cước thuê cổng ADSL + cước thuê kênh

đường lên nội tỉnh tốc độ 64Kb/s (cước nội vùng)3. Tại tp.HCM khách hàng phải trả : cước thuê cổng SHDSL + cước thuê kênh đường

lên liên tỉnh tốc độ 256Kb/s (cước cách vùng)

Cước thiết lập kênh MegaWAN = Cước thuê cổng + Cước thuê kênh đường lên

28

155Mb/s

DSLAM HUB

Thiết bị đầu cuối khách hàng: NT G.SHDSL- Speech Touch (Alcatel) series 610 - Speed Stream (Siemens) series 5100, 5200, 5660- Patton, Adtran, Planet, Zyxel, Paradyne, Telindus …-Khoảng cách từ DSLAM đến khách hàng tối đa 3 – 5 Km (tuỳ chất lượng Mạng cáp đồng BĐ Tỉnh)

SHDSL100BT

NTSHDSL

CE nx2Mb/s IMA

155Mb/s

CE

ADSLSplitter

DSLAM

SHDSL

SIEMENSNIXDORF

NTSHDSL

100BT

DSLAM

SƠ ĐỒ KẾT NỐI VẬT LÝ SƠ ĐỒ KẾT NỐI VẬT LÝ SƠ ĐỒ KẾT NỐI VẬT LÝ SƠ ĐỒ KẾT NỐI VẬT LÝ

IP Core NetworkPE

PP

P

29

IP Backbone

Cáp đồng

DSLAM

Ethernet 10/100BT

Internet VDC

Modem ADSL

BRAS/EdgeRouter

ATM

Sơ đồ cung cấp dịch vụ mạng riêng ảo VPN

-Hiện nay VTN có thể cung cấp dịch vụ này tại 64 tỉnh thành trong cả nước

155Mb/s

BRAS: BroadBand Remote Access ServiceDSLAM: Digital Subscriber Line Access Multiplexer

Splitter

SS7Switch

PSTN / ISDN

30

Để cấu hình một VPN cần làm các bước sau :1. Thu thập thông tin khách hàng :

Cấu hình mạng (topology) khách hàng yêu cầu. Địa chỉ mạng riêng LAN của từng site. Cấu hình giữa BRAS và modem (route, bridge).

2. Thiết kế bản vẽ chi tiết.3. Cung cấp cáp đồng từ khách hàng đến

DSLAM gần nhất của Bưu Điện.4. Cấu hình tại các BRAS của VTN và 2 BRAS

của Bưu Điện Tp.HCM, Tp.HNI.5. Cấu hình tại modem G.SHDSL hoặc ADSL.

Cấu hình VPN Cấu hình VPN Cấu hình VPN Cấu hình VPN

31

Phân biệt giữa Bridge và Routed

Cấu hình VPN Cấu hình VPN Cấu hình VPN Cấu hình VPN

`

`

`

. . . . . WAN

192.168.0.0/24

.1

.3

.254

LAN

BridgeDefault Gateway:

192.168.0.1

.2

`

`

`

. . . . . WAN

172.10.0.0/30

.1

.3

.254

LAN

RouterDefault Gateway:

192.168.0.1

.2

.2

192.168.0.0/24

.1

1) Cấu hình Bridge

2) Cấu hình Routed

32

IP Add=192.168.1.0/24

DSLAM/BÐ.HCM

VTNIP Backbone

VPN – Cty Vi?n thông th? h? m?i TIEHNI 2048Kbps, HCM 2048Kbps

TIE HNI4, Nhà A2 Nguy?n Chí Thanh

Tp.HNI

ETH

G.shdsl 2048KbpsCáp n?i h?t

BÐ.HNI

DSLAM/BÐ.HNI

STM-1

G.SHDSL RouterHãng: PattonLo?i: 3201Khách hàng mu?n VTN

ETH

STM-1

G.shdsl 2048KbpsCáp n?i h?t

BÐ.HCMVPI/VCI:14/1006

TIE HCM376 Ði?n Biên Ph?, Q.10, Tp.HCM

VRF

VRF

BRAS/HCM

BRAS/HNI

V?: Ki?m tra: Duy?t: 08/03/05

(08)8.815.100

Ngày

Tel

LuuÐài

TIEFaxRef

ÐHCMLT - VTN2

CV

(08)8.298.239

TIEt.vsd

IP add=192.168.100.0/24

172.30.3.0/30

172.30.3.4/30

Rt65400:10003

.1

.5

.1

.2

.6

.1

Các ví dụ sơ đồ đấu nối VPNCác ví dụ sơ đồ đấu nối VPNCác ví dụ sơ đồ đấu nối VPNCác ví dụ sơ đồ đấu nối VPN

- Tại BRAS khai báo : Encapsulation routed trên subinterface ATM nối với khách hàng Routing mạng của khách hàng qua subinterface ATM, hoặc next hop

- Modem G.SHDSL đóng vai trò như một router : TạI interface WAN phảI cấu hình routed. Phải khai báo routing để định tuyến.

Trường hợp giữa BRAS và NT.GSHDSL là Routed

33

DSLAM/BÐ.HCM

(Port 14/Card 15)

VTNIP Backbone

VPN – Cty BLUESCOPE STEEL

BLUESCOPE STEEEL HNIL?u 6, 2 Ngô Quy?n, Q. Ba Ðình

Tp.HNI

ETH

STM-1


ETH

STM-1

BLUESCOPE STEEEL HCML?u 6, 19-25 Nguy?n Hu?, Q.1, Tp.HCM

VRF

VRF

BRAS/HCM

DSLAM/BÐ.VTU

BRAS/HNI

Ngu?i v?: P.KTNV Giám d?c 08/03/05

(08)8.815.100

Ngày

Tel

LuuÐài

BLUESCOPE STEEL FaxRef

Nguy?n Khoa Tu?n Anh

CV

(08)8.298.239

bluescope-steel.vsd

VRF

VRF


ETH

BLUESCOPE STEEEL VTUKCN Phú M? 1, Huy?n Tân Thành, Bà

R?a Vung Tàu.

BLUESCOPE STEEEL BHAS? 3, du?ng s? 9, KCN Biên Hòa

2, TP. Biên Hòa, DNI

ETH

Cáp n?i h?tBÐ.HNI

G.SHDSL 256Kbps

IP addr 10.89.10.0/24

IP addr 10.89.8.0/24 IP addr

10.86.41.0/24

IP addr 10.89.5.0/24



BRAS/BHA

Cáp n?i h?tBÐ.ÐNI

G.SHDSL 128Kbps

STM-1

STM-1

Cáp n?i h?tBÐ.HCM

G.SHDSL 256Kbps

BRAS/VTU

DSLAM/BÐ.HNI

DSLAM/BÐ.ÐNI(Port 1/Card 5)

Cáp n?i h?tBÐ.VTU

G.SHDSL 512Kbps

10.89.8.3/24

10.89.10.3/24

10.89.5.3/24

10.86.41.3/24

Vpi/vci: 1

/512

Vpi/vci: 65/128

(Port 1, card 5)

Rt=65400:1078003

Nguy?n Nam Long

Vpi/vci=11/1014

Ðài ÐHCMLT

Cấu hình Bridge giữa VTN và khách hàng Cấu hình Bridge giữa VTN và khách hàng Cấu hình Bridge giữa VTN và khách hàng Cấu hình Bridge giữa VTN và khách hàng

- TạI BRAS khai báo : Encapsulation Bridge trên subinterface ATM nốI vớI khách hàng.- Modem G.SHDSL đóng vai trò như một Bridge: interface WAN phảI cấu hình Bridge. - Các máy tính trong mạng của khách hàng lấy default gateway là địa chỉ subinterface ATM trên BRAS.

Trường hợp giữa BRAS và NT.GSHDSL là Bridged

34

Cấu hình VPN tại BRAS Cấu hình VPN tại BRAS

Bước 1 : Khai báo VRF trong virtual router default, bao gồm các tham số route-

distinguisher và route-target. Bước 2 : Khai báo các interface trên VRF kết nối

tới các site khách hàng.Bước 3 : Quảng bá VRF vào routing BGP để các

VRF trong cùng một VPN hiểu được nhau.Bước 4 : Kiểm tra VPN vừa khai báo trên BRAS.

Các bước cấu hình VPN tại BRAS

35

Cấu hình VPN tại BRAS Cấu hình VPN tại BRAS 1) Khai báo VRF

Khai báo VRF theo sơ đồ sau

Config

IP

vrf

Export

map

Import

map

rdASN:nn or IP Address:nn

Route-target

import

ASN:nn or IP Address:nn

export

ASN:nn or IP Address:nnboth

ASN:nn or IP Address:nn

36


Tạo một VRF trong virtual router default Router(config)# ip vrf vrf-name

Ví dụ : Router(config)# ip vrf VPN

Tạo giá trị RD để phân biệt giữa các VRF trong một virtual router, điều này cho phép chúng ta dùng các địa chỉ trùng lắp trong các VRF khác nhau

Router(config-vrf)# rd AS number: RouterIDxxxxVí dụ :

Router(config-vrf)# rd 65400:1078000

Tạo các giá trị route-target để nhận dạng ra các VRF trên các router PE là chung VPN, và quyền truy xuất giữa các VRF với nhau, cách thức cập nhật bảng định tuyến (routing table).

Router(config-vrf)# route-target {import | export | both}Router(config-vrf)# route-target {import | export | both}

37

• Địa chỉ VPN-IPv4– Tổng cộng 96 bit, có cấu trúc như sau:

Địa chỉ IPv4Phân biệt tuyến (RD)

64 bitsLà địa chỉ IPv4 duy nhất toàn cầu,RD được lập trong PE cho mỗi VRF,RD có thể hoặc không liên quan đến site hay VPN

32 bitsIP subnet thông báo lại bởi CE router cho PE router

Địa chỉ VPN-IPv4 Địa chỉ VPN-IPv4

38


Giả sử giá trị Red = 65400:8001, tại VRF đỏ trong các router PE1, PE2, PE3 khai báo như sau :Router(config-vrf)# route-target both 65400:8001

Ví dụ route-target trong Full-mesh VPN

39


Ví dụ route-target trong Hub-and-spoke VPN

Giả sử giá trị Hub= 65400:8002 và Spoke=65400:8003Tại VRF đỏ trong các router PE1, PE2 khai báo như sau :

Router(config-vrf)#route-target import 65400:8002 Router(config-vrf)# route-target export 65400:8003Tại VRF đỏ trong các router PE3 khai báo như sau :

Router(config-vrf)#route-target import 65400:8003 Router(config-vrf)# route-target export 65400:8002

40


Sau khi đã tạo VRF xong, vào VRF để tạo các interface kết nối site CE của khách hàng, trước khi tạo yêu cầu Bưu Điện Tỉnh cung cấp vị trí card trong DSLAM, vị trí port trong card để xác định giá trị VPI/VCI và subinterface ATM tương ứng.Vào VRF :

Router#show virtual-routerRouter#virtual-router : tên VRFVí dụ : Router#virtual-router :VPN Router:default:VPN#

Khai báo interface trên VRF: Khai báo bridge Router:default:VPN#config terminal Router:default:VPN(config) # interface atm 2/2.961 Router:default:VPN(config-if) #encapsulation bridge1483 Router:default:VPN(config-if) #atm pvc 961 1 61 aal5snap Router:default:VPN(config-if) #ip description “VPN test” Router:default:VPN(config-if) #ip address 192.168.1.1 255.255.255.0 Router:default:VPN(config-if) #no shutdown

2) Khai báo các interface trên VRF

41


Khai báo routed Router:default:VPN#config terminal Router:default:VPN(config) # interface atm 2/2.961 Router:default:VPN(config-if) #atm pvc 961 1 61 aal5snap

Router:default:VPN(config-if) #ip description “VPN test” Router:default:VPN(config-if) #ip address 192.168.1.1 255.255.255.252 Router:default:VPN(config-if) #no shutdown

Ghi chú : - Khi khai báo interface nhớ là khai báo theo trình tự từ lớp 2 rồi mới đến lớp 3

- Trong trường hợp muốn tiết kiệm địa chỉ, chúng ta dùng địa chỉ loopback cho các interface, khi đó phải khai thêm :

Router:default:VPN(config) #interfcae loopback 0 Router:default:VPN(config-if) #ip address 192.168.1.1

255.255.255.0 Tại interface atm khai báo như sau:

Router:default:VPN(config) # interface atm 2/2.961 Router:default:VPN(config-if) #atm pvc 961 1 61 aal5snap

Router:default:VPN(config-if) #ip description “VPN test” Router:default:VPN(config-if) #ip unnumbered loopback0

42


3) Quảng bá VRF trong routing BGP Router:default:VPN#config terminal Router:default:VPN(config) # router bgp 65400 Router:default:VPN(config-router) #address-family ipv4 vrf VPN Router:default:VPN(config-router) #redistribute static Router:default:VPN(config-router) #redistribute connected

4) Kiểm tra hoạt động của VPN :1) Hiển thị thông tin các VRF và các interface liên quan Router# show ip vrf [{brief | detail | interfaces}] vrf-name 2) Hiển thị routing table cho VRFRouter# show ip route vrf vrf-name 3) Hiển thị thông tin về BGPRouter# show ip bgp vpnv4 vrf vrf-name 4) Vào VRF kiểm tra thông tinRouter:default:VPN#show ip routeRouter:default:VPN#ping ….Router:default:VPN#traceroute…

43

Cấu hình VPN tại NT G.SHDSL Cấu hình VPN tại NT G.SHDSL

Bước 1: Kiểm tra cáp từ DSLAM Bưu điện tỉnh đến khách hàng.

Bước 2: Cấu hình tại NT G.SHDSL có hai cách :- Dùng cổng console của modem kết nối với cổng COM của máy tính : cấu

hình bằng command line hoặc menu.- Dùng cổng Ethetnet của modem kết nối với card mạng của máy tính, chú ý :

địa chỉ của LAN máy tính phải cùng mạng với địa chỉ của card mạng. Vào Web Browser nhập địa chỉ IP của port Ethernet để cấu hình bằng WEB. Cài đặt các tham số cho phù hợp:+ Encapsulation: Routed, Bridge+ ATM Encapsulation: LLC+ VPI/VCI=8/35 đối với DSLAM Alcatel, 0/35 đối với DSLAM Siemens+ Q.991.2 Annex A/B : Annex A (Bắc mỹ) , Annex B (châu Âu)

Bước 3: Cắm dây điện thoại vào cổng Line, kiểm tra mặt trước của modem xem đèn Link (khu vực WAN) có sáng không ? Nếu chớp liên tục thì đang đồng bộ với

DSLAM, bao giờ đèn sáng và dừng lại (không chớp) thì port đã đấu vào DSLAM tốt. Nếu không thấy đèn này sáng phải yêu cầu Bưu điện Tỉnh kiểm tra lại.

Bước 4: Thay đổi địa chỉ IP của máy tính, chọn Default gateway phù hợp

Bước 5: Ping kiểm tra các điểm trong mạng VPN của khách hàng

44

Cấu hình VPN tại NT G.SHDSL hiệu PATTON Cấu hình VPN tại NT G.SHDSL hiệu PATTON

45

Cấu hình VPN tại NT hiệu PATTON Cấu hình VPN tại NT hiệu PATTON - Vào cổng console của NT dùng command line để khai báo địa chỉ interface Ethernet

- Khai báo địa chỉ máy tính cùng lớp mạng với địa chỉ IP của interface Ethernet

46

Cấu hình VPN tại NT hiệu PATTON Cấu hình VPN tại NT hiệu PATTON Cấu hình bằng WEB- Nhập địa chỉ IP của interface Ethernet vào IE để vào WEB config, nhớ nhập

username và password mặc định là superuser

47

Cấu hình VPN tại NT hiệu PATTON Cấu hình VPN tại NT hiệu PATTON

- Click Service Configuration vào cấu hình WAN interface

48


- Click WAN, Click Create a new service…

49


Cấu hình routed giữa BRAS và NT-Chọn RFC 1483 routed, click Continute =>

50


Cấu hình routed giữa BRAS và NT-Điền tham số VPI/VCI, địa chỉ WAN IP address, Click Create

51


Cấu hình routed giữa BRAS và NTHoàn thành việc tạo interface WAN

52


Cấu hình routed giữa BRAS và NT-Click IP routes vào mục Edit Routes, Click Advanced Options

53


Cấu hình routed giữa BRAS và NTĐiền các tham số default route, chọn interfcae rfc1483-0

54

Cấu hình bridged giữa BRAS và NT- Vào WAN chọn RFC 1483 bridged, click Continue=>


55

Cấu hình bridged giữa BRAS và NT- Nhập tham số VPI/VCI, Click create :


56

Cấu hình bridged giữa BRAS và NT-Hoàn thành việc tạo interface WAN


57

-Cài đặt các tham số cho đường G.SHDSL :Cấu hình VPN tại NT hiệu PATTON Cấu hình VPN tại NT hiệu PATTON

58

- Lưu cấu hình : Click System Configuration Save


59

- Restart router: Click System Configuration Restart


60

Kiểm tra hoạt động của VPN Kiểm tra hoạt động của VPN

- Từ máy tính ping các địa chỉ trong mạng VPN

61

Giới thiệu NT G.SHDSL hiệu PLANET Giới thiệu NT G.SHDSL hiệu PLANET

62

- Địa chỉ mặc định của Ethernet trong NT hiệu Plannet là 192.168.0.1, chọn một địa chỉ IP máy tính thuộc mạng 192.168.0.0/24.

Cấu hình NT G.SHDSL hiệu PLANETCấu hình NT G.SHDSL hiệu PLANET

63


- Nhập địa chỉ 192.168.0.1vào Internet Explorer

64


- Nhập User Name = root và Password = root

65


- Click Basic để cấu hình

66


Cấu hình NT như một Router- Chọn ROUTE , click Next

67


Cấu hình NT như một RouterCấu hình LAN :Nhập địa chỉ IP Address, Subnet Mask, Click Next

68


Cấu hình NT như một RouterCấu hình WAN : Nhập VPI/VCI, Protocol . Click Next

69


Cấu hình NT như một Router Cấu hình WAN : IP Address, Subnet Mark, click Next

70


Cấu hình NT như một RouterKiểm tra các tham số, click Restart

71


Cấu hình NT như một RouterSau khi restart cấu hình mới đã được nhập vào NT

72


Cấu hình NT như một BridgeChọn Bridge, click Next

73


Cấu hình NT như một BridgeNhập các tham số LAN, WAN (VPI/VCI). Click Next

74


Cấu hình NT như một BridgeKiểm tra các tham số . Click Restart

75


Cấu hình NT như một BridgeSau khi restart cấu hình mới đã được nhập vào NT

76

Cấu hình NT ADSL hiệu ZOOM X5Cấu hình NT ADSL hiệu ZOOM X5

- Địa chỉ mặc định của Ethernet trong NT hiệu Zoom là 10.0.0.2, chọn một địa chỉ IP máy tính thuộc mạng 10.0.0.0/8.

77


Nhập địa chỉ 10.0.0.2

78


Nhập user name : admin và password: zoomadsl

79


Màn hình Basic Setup xuất hiện, bạn có thể chọn cấu hình routed hoặc bridge

80


Cấu hình NT như một RouterĐiền các tham số VPI/VCI=8/35, Encapsulation=Routed,

click Save Changes

81


Cấu hình NT như một Router

Click Advanced Setup, Click WAN Settings

82



Điền địa chỉ IP, tốc độ bit. Click Save Changes

83



Click Advanced Setup, Click LAN Settings

84



Điền địa chỉ IP của LAN interface, click save changes, click write settings to Flash and reboot

85


Cấu hình NT như một BridgeĐiền các tham số VPI/VCI=8/35, Encapsulation= Bridged,

click Save Changes, click write settings to Flash and reboot

86

Xin Chân thành Cảm ơn

Documents

Introduction VPN on NGN (v5).ppt