Qua bài mô phỏng độ trễ ta đã kiểm tra toàn bộ các thông số ảnh hưởng đến độ trễ
trong mạng có chứa phần tử 802.11 nhưgóitin, k ỹ thuật truy cập 802.11, xử lý
hàng đợi độ trễ lan truy ền, chế độ định tuyến Là một bước quan trọng cho việc
triển khai các ứng dụng voice và đa phương tiện nói chung, không chỉ đối với
chuẩn 802.11 mà còn mở rộng ra các giao diện truy cập khác.
89 trang |
Chia sẻ: lylyngoc | Lượt xem: 2792 | Lượt tải: 2
Bạn đang xem trước 20 trang tài liệu Luận văn Bảo mật, quản lý động và QoS trong Mobile IP, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ình 3.7. Giải pháp thay thế lớp 4 bằng chuyển mạch mềm
Chương 4. Bảo mật, quản lý động và QoS trong Mobile IP
Trang- 96 -
Để đáp ứng nhu cầu thị trường, những giải pháp thông minh, tăng dung lưọng
được đưa ra cho ứng dụng đường dài. Bằng cách thay thế lớp 4 bằng softswitch là
tập nhiều gateway thông dụng được quản lý thông minh hơn media gateway nhiều.
Trong hoàn cảnh PBX, media gateway đóng gói voice stream đi ra từ lớp 4 và định
tuyến nó qua mạng IP. Bước phát triển tiếp theo là tháo gỡ lớp 4 trong kiến trúc đó,
lớp 5 kết nối trực tiếp đến media gateway. điều khiển cuộc gọi, báo hiệu, những
chức năng khác đều được điều khiển bởi softswitch.
Chuyển mạch mềmthay thế lớp 5
Mức tiếp theo của quá trình phát triển công nghệ softswitch là thay thế lớp 5. Nó
gây ra nhiều cuộc tranh luận, khả năng này đánh dấu sự đi xuống của kiến trúc viễn
thông cổ điển, đặc biệt là nhà khai thác ở địa phương và các nhà cung cấp thiết bị
lớp 5.
Hình 3.8. Giải pháp thay thể lớp 5 bằng chuyển mạch mềm
Chương 4. Bảo mật, quản lý động và QoS trong Mobile IP
Chương 4. Bảo mật, quản lý động và QoS trong Mobile IP
Trang- 97 -
4.1. Bảo mật và Vo802.11
Hệ thống điện thoại truyền thống có nhiều lỗ hổng để xâm nhập. Khi mà những
công nghệ đó phát triển không đủ nhanh để hỗ trợ bảo mật tốt cho nhà khai thác.
Vo802.11 phải khắc phục được những lo lắng về vấn đề an toàn của khách hàng
trong mạng. Nỗi sợ hãi về sự nghe trộm và gian lận có thể làm giảm nhu cầu sử
dụng của khách hàng. Chương này mô tả tiêu chuẩn bảo mật và phương pháp bảo
mật cho mạng 802.11.
Không giống những hệ thống có dây, được bảo vệ ở tầng vật lý, mạng không
dây không bị giới hạn trong toà nhà, tín hiệu có thể thu được ở cự ly vài trăm mét
với một laptop và một anten làm cho WLAN tồn tại những điểm yếu để tấn công.
Kỹ thuật bảo vệ đầu tiên được đưa ra là Wireless Equivalency Protocol, nó là một
giao thức mã hoá, được thiết kế để có được tính năng như mạng có dây. Chuẩn sử
dụng là 40 và 128 bit (thực tế thì chỉ 104bits) cho mã hoá và ở lớp link, với thuật
toán RC4 do chính phủ Mỹ đưa ra.
802.11i được đưa ra với sự hỗ trợ WEP cho bảo mật. Theo Wi-Fi Alliance,
những tổ chức nhỏ nên turn on WEP ở mức tối thiểu, dùng password bảo vệ cho
những tài nguyên dùng chung, thay đổi tên mạng từ Service Set ID (SSID), dùng bộ
lọc địa chỉ MAC, dùng key phiên, và hệ thống mạng VPN và những phương pháp
khác cho tổ chức lớn hơn.
IEEE 802.11b, dựa trên hai kỹ thuật bảo mật là : (1) SSID và (2) WEP. Một số
nhà sản xuất còn đưa bộ lọc địa chỉ MAC và sản phẩm của họ.
SSID- service set ID
Chương 4. Bảo mật, quản lý động và QoS trong Mobile IP
Trang- 98 -
SSID là một chuỗi dùng để xác định các miền giữa nhiều điểm truy cập (access
points –AP) điều này cho phép sự chồng lấn trong mạng không dây. Nó được xem
như là một password cơ bản để chống các client kết nối vào mạng, tuy nhiên có thể
tấn công dễ dàng bởi Aps quảng bá những SSIDs nhiều lần trong 1s,và bất kỳ công
cụ phân tích 802.11 nào như là Airmagnet, Netstumbler, hay Wildpackets Airopeek
có thể đọc được nó. Người sử dụng thường cấu hình những clients, và password dễ
dàng bị phát hiện.
WEP-Wireless Equivalency Protocol.
IEEE 802.11b dùng WEP để thẩm quyền truy cập mạng và mã hoá chống nghe
trộm cho dữ liệu.
Có 4 chọn lựa cho WEP:
1.Không dùng WEP
2.Chỉ mã hoá
3.Chỉ thẩm định quyền
4.Cả mã hoá và thẩm quyền
WEP encryption dựa vào RC4, dùng key 40bit kết hợp với một vector 24bit khởi
tạo ngẫu nhiên để mã hoá dữ liệu truyền không dây.(điều này cũng giống với mã
hoá 64b). Có thể dùng chung WEP key cho tất cả client và Aps. Hầu hết các nhà sản
hiện nay sử dụng 128b WEP (104bit key), để tăng sức mạnh mã hoá. Chế độ này
không phải là chuẩn của IEEE 802.11b, phụ thuộc vào các nhà sản xuất, một trong
số chúng không tương thích với nhau.
WEP còn định nghĩa một giao thức thẩm quyền, có hai dạng cho 802.11b là :
open system (cho phép truy cập tuỳ ý, không thẩm quyền và mã hoá dữ liệu, dùng
cho nơi công cộng) và shared key (AP gửi một thông điệp thẩm quyền cho client,
client dùng shared key để mã hóa thông điệp đó, và gửi trả lại cho AP, nếu AP giải
mã đúng thì client có quyền truy cập ). Do cả “challenge pharse” (ở dạng cleartext)
Chương 4. Bảo mật, quản lý động và QoS trong Mobile IP
Trang- 99 -
và khả năng kiểm tra thường xuyên, hacker có thể bẻ khoá WEP. Vì vậy cả open
system và shared key đều không an toàn.
Việc phân phối các key dựa trên một dịch vụ quản lý bên ngoài để phân phối các
secret key đến mỗi trạm, và không phải là một dịch vụ chỉ định, việc truy cập được
xử lý một cách thủ công, các key sẽ tồn tại tĩnh trong quá trình trao đổi, ngoại trừ
được thay đổi bởi nhà quản trị. Nguyên nhân khách quan là bản chất tĩnh của các
key và quá trình xử lý thủ công tuần tự, dẫn đến việc thay đổi key sẽ tốn một lượng
thời gian lớn trong mạng. Khi một trạm có vấn đề, key sẽ được thay đổi đến tất cả
các trạm trong mạng.
WEP hầu như cung cấp 4 shared key. Chúng được dùng chung cho tất cả client
và Aps mỗi khi một client truy cập vào mạng. Hacker có đủ thời gian và công cụ
dowload từ web để xác định key .
MAC Address Filtering
MAC address filter chứa địa chỉ MAC của wireless NIC đã được kết hợp với
mỗi AP. Một số nhà sản xuất cung cấp công cụ để tự động quá trình update và
entry. MAC filter cũng không đảm bảo do địa chỉ MAC có thể lấy được bởi một bộ
sniffer (bộ phân tích mạng). Sau đó dùng Linux driver cho những card 802.11 để
cấy hình địa chỉ MAC đã được sniffed và truy cập trở lại mạng.
Những mối nguy hiểm bảo mật
Mối nguy hiểm có thể đến từ hacker, người cộng tác, từ bên trong, người thầu
dự án, cá nhân bất bình trong công ty.
4.1.1. Mô hình bảo mật WLAN
Chương 4. Bảo mật, quản lý động và QoS trong Mobile IP
Trang- 100 -
Hình 4.1. Những kiểu tấn công và hướng tấn công trong WLAN
Có 4 lớp tấn công hệ thống chính : interception, fabrication, modification, and
interruption, lớp thứ 5 là Repudiation, chống lại thông tin tài khoản, có thể tấn công
cả hệ thống nguồn lẫn đích.
Trong trường hợp bình thường, thông tin được gửi từ nguồn đến đích. Khi một
cuộc tấn công xảy ra nó có thể đến từ những dạng trong danh sách sau:
Interception-Chặn gói tin
Đối tượng tấn công có thể chặn gói tin để đọc thông tin được gởi từ nguồn đến
đích. Sniffing là một ví dụ.
Hacker cố gắng lấy thông tin hoặc định dạng thông tin bằng cách phân tích lưu
lượng trong hệ thống rồi suy luận ra mà không ảnh hưởng đến nguồn. Phần thị thực
của đối tượng nguồn có thể bị chặn và sẽ được sử dụng dưới dạng giả danh, thông
thường hacker đưa ra một bản tin như là thông tin nhận thực, password, số thẻ tín
dụng, hay những thông tin nhạy cảm khác.
Fabrication-Nặc danh
Tấn công tích cực vào thẩm quyền, hacker giả vờ như là một thực thể nguồn ví
dụ như là những gói bị spoofed và email giả dạng. WEP có hai kỹ thuật thẩm
quyền là là open system và shared key.
Man-in-the-Middle Attacks
Chương 4. Bảo mật, quản lý động và QoS trong Mobile IP
Trang- 101 -
Hình 4.2. mô tả man in middle attack
Spoofing
DNS spoofing, bằng cách gởi một DNS response đến một DNS server
trong mạng, IP address spoofing phụ thuộc vào router, chỉ kiểm tra IP
address đích hay cả IP gửi. Có thể chống loại tấn công này bằng thẩm định
IP addr gửi.
Insertion Attacks-tấn công chèn
Cấu hình hay chèn bất hợp pháp một thiết bị để truy cập vào mạng gọi là
tấn công chèn. Bằng cách cài đặt những card mạng không dây ở gần mục
tiêu, thiết bị có thể cấu hình để truy cập. Những AP không thẩm quyền có thể
được cài đặt để đưa người dùng truy cập vào AP của hacker. Nếu những AP
này đặt sau firewall thì mối nguy hiểm càng lớn hơn.
Brute-Force Password Attacks
Là phương pháp crack password, nó sử dụng một từ điển và cố gắng lặp
đi lặp lại để truy cập vào mạng. Loại tấn công này có khả năng cho thẩm
quyền bằng password.
Invasion và Resource Stealing
Một khi một hacker biết được cách thức điều khiển một WLAN, họ sẽ có
thể chiếm quyền điều khiển mạng hay trạm truy cập đó. Đánh cắp một trạm
truy cập bằng cách giả một địa chỉ MAC có thẩm quyền và dùng nó gán cho
IP address. Chờ cho hệ thống chủ ngừng hoạt động thì hacker sẽ đưa hệ
thống giả lên mạng và chờ người dùng đăng nhập.
Chương 4. Bảo mật, quản lý động và QoS trong Mobile IP
Trang- 102 -
Modification
Modification là một loại tấn công tích cực, hacker thay đổi thông tin đã được
gửi từ một nguồn. Chèn một Trojan hay virus là một ví dụ. Rất dễ dàng tấn công
modification với WEP mà không bị phát hiện, vì ICV là một hàm tuyến tính, chỉ sử
dụng phép cộng và nhân:
crc(x XOR y) = crc(x) XOR crc(y)
Với việc kiểm tra tính toàn vẹn bằng CRC-32, có thể thay đổi một hay nhiều bits
trong gói hay dự đoán bit nào trong checksum cần thay đổi.
Mất thiết bị
Đây là một vấn đề được chú ý bởi FBI, bởi dữ liệu nằm trong thiết bị đó có thể
được dùng để truy cập mạng có dây một cách có thẩm quyền.
Do virus
Đã có một số loại virus xuất hiện trên điện thoại di động, như là VBS/Timo-A
và LoveBug, như là khả năng gửi những message.
Replay-tấn công lặp
Replay là một kiểu tấn công tích cực dựa vào tính toàn vẹn, khi hacker gửi lại
những thông tin được gửi từ nguồn đến đích.
Bảo mật 802.11 cơ bản không bảo vệ chống relay, nó không chứa số tuần tự
hay nhãn thời gian. Bởi vì IV và keys có thể reused, cho nên có khả năng replay bản
tin với cùng IV mà không phát hiện bị chèn những bản tin giả vào hệ thống, Mỗi
gói phải được thẩm quyền không chỉ là mã hoá không, hay phải có số tuần tự và
nhãn thời gian.
Reaction- dò phản ứng
Là một kiểu tấn công tích cực, những gói được gởi bởi hacker đến đích, và
những phản ứng sẽ được giám sát, ngoài ra thông tin có thể được học từ những kênh
mới
Interruption - ngắt dịch vụ
Chương 4. Bảo mật, quản lý động và QoS trong Mobile IP
Trang- 103 -
Hacker chặn thông tin gửi từ nguồn, nó được xem như là tình trạng ngắt trong
quá trình truyền, như là tấn công từ chối dịch vụ denial-of-service và network
flooding.
Bằng cách làm tràn băng thông của toàn mạng bằng cách dùng ARP flooding,
ping broadcasts, TCP SYN flooding, queue flooding, smurfs, synk4, và những biện
pháp flood khác. Có thể dùng biện pháp vật lý như nhiễu RF để làm ngắt mạng
Denial of Service Attacks -từ chối dịch vụ
Có nhiều loại tấn công phụ thuộc vào loại tài nguyên bị khoá (không gian đĩa,
băng thông, bộ nhớ nội, bộ đệm…). Trong trường hợp đơn giản tạm dừng dịch vụ
khi không thể ngăn chặn được, còn không thì giới hạn tài nguyên sử dụng. Mạng
không dây, kẻ tấn công có thể dùng thiết bị chuyên dụng để làm nhiễu sóng và ngắt
dịch vụ đến mạng.
Repudiation -từ chối bản tin
Đây là loại tấn công tích cực dựa trên chức năng thừa nhận các bản tin của
nguồn và đích. Làm cho bên nguồn từ chối gửi và cả đích từ chối nhận bản tin.
4.1.2. Kiến trúc mạng với WLAN
Có sự ngăn chặn người dùng Lan và các điểm truy cập không dây bằng firewall
như hình sau:
Hình 4.3.
Chương 4. Bảo mật, quản lý động và QoS trong Mobile IP
Trang- 104 -
Tính động và bảo mật. Trong trường hợp di động, giải pháp phải bảo mật phải
áp dụng cho quá trình handoff, nó xuất hiện lỗ hổng cho tấn công tái định
hướng, kẻ tấn công có thể giao tiếp với đích sau khi quá trình chuyển giao xảy
ra.
Chính sách bảo mật
Được đưa ra như bảng 4.1 sau:
4.1.3. Wi-Fi Protected Access
WPA dùng Temporal Key Integrity Protocol (TKIP), mức độ mã hoá cao hơn
WEP, sử dụng key hashing (KeyMix) và message integrity check (MIC). TKIP
còn dùng một rapid-rekeying(rekey) protocol để thay đổi key mã hoá sau 10000 gói.
Tuy nhiên nó cũng không loại bỏ những thuộc tính của bảo mật wifi, một khi tấn
công được TKIP, có thể điều khiển truy cập và thẩm quyền.
Có hai chế độ làm việc là “preshared” key mode cho bảo mật thấp, chỉ đơn giản
là nhập network key vào bộ truy cập.Trong chế độ quản lý, sẽ có các dịch vụ thẩm
quyền, đòi hỏi hỗ trợ 802.1X và EAP. Cho phép client network adapter thoả thuận
Chương 4. Bảo mật, quản lý động và QoS trong Mobile IP
Trang- 105 -
với một server thẩm quyền thông qua một AP, bằng cách trao đổi các phiên key bảo
mật.
Các thiết bị mạng không dây phải được upgrad WPA để sử dụng nó, việc cài đặt
WEP mà mặc định, có thể cài song song WEP và WAP.
Với 802.11i có hỗ trợ một thuật toán mã hoá mới gọi là Advanced Encryption
Standard (AES), thay thế RC4, điều này yêu cầu phải thay đổi phần cứng. Ngoài ra
còn có secure fast handoff preauthentication, secure deassociation và deauthen-
tication , security cho peer-to-peer communications (ad hoc mode). Những sản
phẩm có chuẩn 802.11i được gọi là “Wi-Fi WPA2-certified” .
4.1.4. 802.1x và EAP Advanced Security
802.1x standard cung cấp nền tảng thẩm quyền cho WLANs, cho phép thẩm
quyền người dùng thông qua một trung tâm thẩm quyền. Thuật toán sử dụng đa
dạng và bảo mật. Giải pháp dựa trên chứng thực như EAP-TLS (transport layer
security), dựa trên password như EAP-OTP và EAP-MD5, thẻ thông minh như
EAP-SIM, hỗn hợp như EAP-TTLS dùng cả chứng thực và password. Nó sử dụng
một giao thức có sẵn là EAP(RFC 2284), làm việc trên ethernet, token ring, wireless
Lan để trao đổi các bản tin trong quá trình thẩm quyền.
802.1x Network Port Authentication
Có 3 thành phần chính: thành phần yêu cầu (client software), bộ thẩm định
(access point), và server thẩm định (cho dịch vụ từ xa).
Trình tự thẩm quyền như sau: client gửi một thông điệp bắt đầu cho AP, AP phát
hiện thông điệp, và mở một cổng thẩm quyền, chỉ cho thông điệp 802.1x/EAP đi
qua, mọi lưu lượng khác bị chặn lại.
Chương 4. Bảo mật, quản lý động và QoS trong Mobile IP
Trang- 106 -
Hình 4.4. Thẩm quyền trong 802.1x
Client sau đó gửi một thông điệp bắt đầu EAP, AP đáp ứng với một thông điệp
yêu cầu nhận thực cho client. Gói EAP-response của client chứa chứng thực, và
được chuyển đến server thẩm quyền. Server sẽ trả lời bằng cách chấp nhận hoặc từ
chối, nếu chấp nhận nó sẽ mở port cho giao tiếp.
EAP Extensible Authentication Protocol
EAP đuợc thiết kế để đáp ứng khả năng mềm dẻo, áp dụng cho thẩm quyền một
số mạng. Được phát triển cho giao thức Point-to-Point (dùng số để thẩm quyền),
IETF chuẩn hóa bằng cách dùng EAP.
IEEE 802.1x dùng EAP như là phần nền, nó cho phép switch và AP có thể hỗ
trợ nhiều phương pháp chứng thực khác nhau. Lúc này các switch và AP như là các
điểm trung gian cho EAP, có thể thêm các phương pháp thẩm quyền khác mà không
cần cài đặt, bằng cách cài đặt phần mềm ở host và server thẩm quyền.
Do không cần phải đóng gói các packet như VPN, IEEE 802.1x có thể đạt tốc độ
11Mbps (802.11) cho đến 10+Gbps, bằng cách upgrade firmware các switch, không
cần phải mua các phần cứng mới.
802.1x/EAP Authenticators
RADIUS-remote access dial-in user service
Đây là một chuẩn cho chứng thực từ xa, được dùng phổ biến cho truy cập mạng
như authentication, authorization, và accounting (AAA) trong cả hệ thống cũ và
mới. Cho dù có nhiều vấn đề về bảo mật và vận chuyển, nhưng RADIUS vẫn sẽ tiếp
tục sử dụng rộng rãi trong vài năm nữa. Nó có thể bị thay thế bởi giao thức mới là
Chương 4. Bảo mật, quản lý động và QoS trong Mobile IP
Trang- 107 -
DIAMETER . RADIUS đơn giản, hiệu quả và dễ dàng thựcthi, do đó nó phù hợp
cho các thiết bị nhúng rẻ tiền.
Vấn đề bảo mật xoay quanh các giao thức nghèo nàn, thiếu hỗ trợ. Mô hình chia
sẻ bí mật không đủ mạnh, RADIUS cần được bảo mật hơn với giao thức ngoài như
Internet Protocol Security (IPsec).
RADIUS chạy trên nền UDP, không có chế độ truyền lại, không có chính sách
ghi lại những bản ghi tài khoản, hay những bản tin bị lỗi. Điều này làm cho nó
không tin cậy cho việc tính chi phí dịch vụ, đặc biệt khi hoạt động liên miền.
Nó có hai đặc điểm là : authentication và accounting.
FreeRADIUS cho phép chạy trên nhiều nền hỗ trợ, bao gồm linux, FreeBSD,
OpenBSD, OSF/Unix, và Solaris.
LEAP
Lightweight EAP (LEAP) do Cisco cung cấp, dùng cho card 802.11, RADIUS
server và AP. Có lỗ hông cho tấn công từ điển trên đường truyền.
EAP-TLS
Đây là chuẩn mở hỗ trợ bởi nhiều nhà sản xuất, dùng public key infrastructure
(PKI), hỗ trợ trên nền XP và Win2000, đòi hỏi thiết bị phải có x.509 certificate, nó
hoàn toàn trong suốt đối với người dùng.
EAP-TTLS
EAP-TTLS and EAP-TLS đều sử dụng TLS, EAP-TTLS chỉ yêu cầu server là
có certificate, người dùng sử dụng password để đăng nhập mạng, nó được bảo vệ
bằng cách đóng gói nó trong TLS.
EAP-SIM
Được phát triển bởi Nokia cho phép phần cứng thẩm quyền SIM chip,
PEAPMột trong những yếu điểm của là đáp ứng được ít client.
Chương 4. Bảo mật, quản lý động và QoS trong Mobile IP
Trang- 108 -
4.1.5. VPNs
Cho phép một nhóm người truy cập vào một mạng dữ liệu riêng, được bảo mật
thông qua internet hay những mạng khác. Được phân loại dựa trên các phương pháp
sử dụng như đường hầm (tunnelling), mã hoá, thẩm quyền, và điều khiển truy cập
thông qua mạng công cộng.
VPN tạo những kết nối point-to-point ảo bằng cách sử dụng kỹ thuật đường hầm
(tunneling), nó như một cái ống xuyên qua mạng để kết nối hai điểm. Được điều
khiển từ xa, xử lý hầm sẽ đóng gói và mã hoá dữ liệu vào trong gói TCP/IP packet,
rồi chuyển đến một server VPN khác để thực hiện thao thác ngược lại.
Có hai loại VPN như sau :
1. Remote access VPNs: Bảo vệ cho người dùng từ xa, như người dùng
di động kết nối vào doanh nghiệp. Cho phép người dùng 802.11 để tạo phiên
kết nối đến mạng LAN của họ từ những nơi công cộng như khách sạn sân
bay… Dùng mã hoá và thẩm quyền. Cần đảm bảo băng thông do việc kết nối
này yêu cầu băng thông rộng.
2. LAN-to-LAN VPNsCho phép kết nối những chi nhánh của một cơ
quan từ xa như một mạng lan (intranet VPN), bảo mật kết nối cho bên thứ ba
như khách hàng, nhà cung ứng, đối tác đến doanh nghiệp (extranet VPN).
Loại VPN này cần băng thông đảm bảo cho việc mang dữ liệu kết nối.
VPN với 802.11
Để hỗ trợ 802.11 Lan, một phần mềm ứng dụng VPNclient được triển khai trên
tất cả các máy, mọi lưu lượng từ client được mã hóa VPN tunnel thông qua AP phải
đi qua VPN gateway trước khi vào mạng LAN. Khi sử dụng VPN thì những kỹ
thuật mã hoá khác như WEP là không cần thiết.
Chương 4. Bảo mật, quản lý động và QoS trong Mobile IP
Trang- 109 -
Những lỗ hổng của VPN
Trong lúc VPN được đưa ra là một giải pháp bảo mật cho wireless LAN, VPN
sử dụng thẩm quyền một phía vần có lỗ hổng để khai thác như trong trường hợp tấn
công trung gian. Mặc khác khi triển khai trong một tổ chức lớn, việc phần phối và
bảo trì phần mềm đến tất cả các client là một điều khó khăn. Hầu hết các giải pháp
VPN hiện nay không đồng nhất nhau, không thể hoạt động với nhau được, vì nó
không phải là giải pháp cho truy cập công cộng.
Ipsec-ip security
Gần như đuợc chấp nhận là chuẩn cho đảm bảo an toàn dữ liệu IP qua mạng
công cộng khi phần mềm VPN dần được sử dụng rộng rãi. Nó cho phép thẩm
quyền, an toàn dữ liệu, tin cậy, và quản lý key trong các đường hầm.
Bằng cách đóng những gói gần nhau thành một gói lớn, mã hoá toàn gói, rồi
truyền dưới đường hầm. Mặc dù vẫn có những vấn đề về hoạt động liên miền, do sự
khác biệt giữa các nhà sản xuất.
Kerberos
Kerberos cung cấp một phương pháp thứ ba cho bảo mật 802.11. Được dùng bởi
Symbol Technologies, với Spectrum24 WLAN. Cung cấp khả năng bảo mật, kết nối
không ngắt cho voice và dữ liệu mạnh mẽ , chỉ ra những yêu cầu bảo mật và quản
lý mạng.
Cho phép thẩm quyền người dùng, quản lý mã hoá key, và bảo vệ tấn công dữ
liệu truyền như ngắt, chặn, sửa đổi, và mạo danh. Được bầu chọn là dịch vụ bảo mật
bắt buộc cho 802.11. Hỗ trợ tốt trong quá trình chuyển đổi giữa các AP, bởi ứng
dụng kết nối liên tục của nó, đồng thời việc tái thẩm quyền đến mạng rất nhanh.
Chương 4. Bảo mật, quản lý động và QoS trong Mobile IP
Trang- 110 -
Kerberos hoạt động trong 802.11
Dựa trên mô hình phân tán key được phát triển bởi Needham và Schroeder.
Thẩm quyền mạng gồm 4 quá trình sau:
1. Authentication Exchange-Người dùng gửi một yêu cầu đến server
thẩm quyền với một ticket đến ticket granting server (TGS) authentication
server (AS) kiểm tra người dùng trong database và tìm client’s secret key,
sau đó tạo một session key (SK1)cho việc sử dụng giữa client và TGS.AS mã
hoá session key sử dụng client’s secret key để tạo một bản tin. AS còn dùng
TGS’s secret key (được biết giữa authentication server và TGS) để mã hoá
session key và user’s name để tạo một ticket granting ticket (TGT), (TGT) và
message được gửi trở lại cho người dùng.
2. Ticket Granting Service Exchange-User giải mã message và hồi phục
session key. User tạo một sự thẩm định bằng cách mã hoá tên user , IP
address, và nhãn thời gian vói session key. User gửi bản tin thẩm định này
cùng với TGT đến TGS, yêu cầu truy cập đến server đích. TGS giải mã TGT
để phục hồi SK1 và dùng SK1để giải mã bản tin thẩm quyền. Nó kiểm tra
thông tin như ticket, địa chỉ mạng và nhãn thời gian. Nếu mọi thứ đều đúng,
thì yêu cầu đuợc thực thi.
3. Sau đó TGS tạo một session key mới (SK2) cho user và server đích.
Dùng SK1 mã hóa nó và gửi cho user. Đồng thời TGS gửi một ticket chưa
user name, địa chỉ mạng, nhãn thời gian và thời gian khả dụng, được mã hoá
bởi server secret key và tên server User/Server Exchange
4. User giải mã bản tin và lấy SK2, tạo một bản tin thẩm quyền dùng
SK2, sau đó gửi session key (đã được mã hoá với server secret key đích) và
bản tin thẩm quyền. Nhãn thời gian mã hoá chống lại nghe trộm để replay
Chương 4. Bảo mật, quản lý động và QoS trong Mobile IP
Trang- 111 -
của hacker. Server đích giải mã và kiểm tra ticket, bản tin thẩm quyền, địa
chỉ user, và nhãn thời gian. Cho ứng dụng yêu cầu thẩm quyền hai chiều,
server đích gửi lại một bản tin chứa nhãn thời gian cộng 1 được mã hóa với
SK2. Nó chứng tỏ server biết secret key và có thể giải mã ticket, bản thẩm
quyền.
Có sự chia sẻ key mã hoá cho bảo mật quá trình truyền thông, chúng có
thể nhận một bản tin lân cận được mã hoá với key đó từ một đối tượng khác.
Khuyết điểm của Kerberos
Hệ thống thẩm quyền của Kerberos có một khuyết điểm : nếu hacker đăng nhập trên
cùng một máy, cùng một thời điểm như một người đã được thẩm quyền, hacker có
thể truy cập key đuợc dùng.
Kerberos phải tin cậy vào tất cả 3 máy là server thẩm quyền, client và server
mạng là không bị tấn công. Nếu một ticket được chuyển đi, hệ thống phải đảm bảo
các hệ thống khác là ticket đã được chuyển đi trước khi đến server hiện hành.
Chương 1 VoIP Và Chuẩn 802.11
Trang - 112-
4.2. Quản lý động
Giới thiệu
Quản lý vị trí động của các phần tử mạng giúp cho việc đảm bảo chất lượng
dịch vụ của các thiết bị và ứng dụng di động. Linh động trong việc chuyển vùng,
tái định tuyến đến các đích, đồng thời phát triển một số ứng dụng trên nền kỹ thuật
này như xác định vị trí, tìm đường trên bản đồ…
4.2.1. Phương pháp Mobile IP
Tình huống: Khi hầu hết các trạm trên internet đều có duy nhất một địa chỉ IP
để xác định duy nhất một thực thể. Một mobile hosts (MH)- trạm di động – ban
đầu đăng ký địa chỉ với một home agent (HA)- các gói gửi đến MH đều
thông qua HA. Khi MH di chuyển sang một mạng khác foreign agent (FA),
nếu có những trạm correspondent hosts (CHs) khác muốn liên lạc với MH.
Làm thế nào? Có nhiều giải pháp cho vấn đề này, Mobile IP là một ví dụ, và có
nhiều cải tiến cho nó.
Hình 4.5. Mô tả di chuyển giữa hai mạng
4.2.1.1. Nguyên tắc hoạt động
Khi chuyển vùng sang một FA, nó sẽ đăng ký với HA là đang ở vùng quản lý
của FA này. Do đó những gói tin gửi cho MH tới HA sẽ được chuyển tiếp đến FA
cho MH.
Chương 1 VoIP Và Chuẩn 802.11
Trang - 113-
Các gói tin đó sẽ được bao bọc bởi một IP mới gọi là IP-in-IP encapsulation,
với IP ngoài là của FA. Theo hưóng ngược lại từ MH đến CH, có thể đi trực tiếp
không qua HA.
Hình 4.6. Mô tả đóng gói IP-in-IP
Hình 4.7. Giải pháp Mobile IP với FA
HA xem địa chỉ FA là care-of-add (COA), có hai cách đưa gói tin đến MH:
COA là địa chỉ FA để gửi đến, FA giải đóng gói và chuyển gói đến MH
COA kết hợp, tức là gói sẽ gửi trực tiếp đến MH, và việc giải đóng gói sẽ
diễn ra tại MH
Chương 1 VoIP Và Chuẩn 802.11
Trang - 114-
4.2.1.2. Ưu nhược điểm
Ưu điểm
CH không cần phải thay đổi để hỗ trợ mobility, chỉ MH, home network và
foreign network (trong trường hợp roamming) là cần hỗ trợ.
Phương pháp hỗ trợ đường hầm hoạt động phía dưới, tách ly các lớp phía
trên. Nó hoàn toàn trong suốt giữa các lớp.
Nhược điểm :
Khi một điểm đơn bị hỏng, như HA sẽ làm mất liên lạc cho MH.
Những vấn đề với firewall của FN khi chặn gói tin từ MH.
Vấn đề đóng gói đầu mào như thời gian hay độ lớn packet thêm vào từ 8-12
Bytes
Lãng phí báo hiệu khi di chuyển mà không hoạt động ở chế độ tích cực.
Bất lợi trong quá trình tái định tuyến - triangular routing
4.2.1.3. Giải pháp tối ưu định tuyến
Để giảm thiểu tình trạng triangle routing, có thể dùng phương pháp update vị
trí của MH cho các CH mỗi khi nó handoff cho phép chúng liên lạc trực tiêp vói
nhau mà không qua HA. Nếu một số CHs không nhận được bản tin thì nó sẽ hoạt
động như mobile IP.
4.2.2. Những mô hình chuyển đổi IP động
4.2.2.1. SIP-Based Mobility
SIP hỗ trợ quản lý động cho terminal, personal, session và cả service. Được
chia làm hai loại là quản lý động trước phiên và giữa phiên.
Quản lý trước phiên
Có khả năng :
-Đăng ký một SIP user tại vị trí hiện tại
-Có khả năng đăng ký và ánh xạ một địa chỉ SIP vào một số thiết bị
Chương 1 VoIP Và Chuẩn 802.11
Trang - 115-
-Có khả năng đăng ký và ánh xạ một số địa chỉ SIP vào một vị trí
Presession terminal mobility xuất hiện khi một terminal di chuyển và chiếm
một địa chỉ IP mới. SIP registration được dùng để update việc kết nối tại nơi đặt
dịch vụ SIP.
Quản lý giữa phiên
SIP hỗ trợ một số kỹ thuật sau để hỗ trợ cho di động giữa phiên:
- Khả năng re-INVITE một SIP end-point khi có sự thay đổi địa chỉ IP
- Khả năng chuyển đổi một phiên từ một thiết bị này sang một thiết bị
khác bằng cách tham chiếu nó đến một thiết bị khá
Nó đặt trong trường hợp handoff, khi di chuyển terminal giữa phiên. Handoff
có thể không thay đổi địa chỉ IP. Như khi thay đổi L2, di chuyển giữa các AP của
cùng một wireless LAN ESS, giữa các BSs dưới cùng một IP gateway. Nếu có
sự quản lý phiên giữa MH và CH, sẽ không ảnh hưởng bởi handoff khi địa chỉ IP
không đổi. Re-Invite message dùng khi thay đổi địa chỉ IP và được đưa vào
trường mô tả của SDP, cho phép luồng RTP sẽ tái định hướng.
4.2.2.2. Những xu hướng ở lớp vận chuyển
Một số tính chất sau: (1)chỉ định phiên, tạo context cho mỗi phiên, như là một
phiên TCP ,(2) thay đổi giao thức lớp vận chuyển hiện tại, (3) sự hỗ trợ là chưa
phổ biến.
TCP Migration và MSOCKs là những xu hướng ở lớp vận chuyển, để hỗ trợ
quản lý động trong TCP. MSOCKS dùng một proxy đặc biệt để hổ trợ tính động.
Một kết nối giữa host A và MH B thực ra là hai kết nối, một giữa A và proxy, một
giữa B và proxy. Có một phần mềm hỗ trợ cho việc này, nó nhận kết nối với B và
chuyển thông tin với proxy.
Khi B di chuyển, proxy sẽ reconnecte, phần mềm này ẩn dưới mức ứng dụng,
proxy sẽ hàn nối kết nối mới này với host A, do đó nó không cần biết sự di chuyển
Chương 1 VoIP Và Chuẩn 802.11
Trang - 116-
của B.TCP Migration là phương pháp hỗ trợ quản lý động mà không cần sự hỗ trợ
của proxy. Tuy nhiên, các end-point TCP cần phải điều chỉnh để có được lựa chọn
này.
TCP Migration là phương pháp hỗ trợ quản lý động mà không cần sự
hỗ trợ của proxy. Tuy nhiên, các end-point TCP cần phải đ iều chỉnh để
có được lựa chọn này.
Ưu điểm là việc khởi tạo kết nối mới có thể thực thi từ cả hai bên.Nó chỉ hổ
trợ cho handoff không dùng cho quản lý vị trí. Secure dynamic DNS upgrades đã
được đưa ra để giải quyết vấn đề quản lý động này.
4.2.2.3. DNS-Domain name system
Những phiên bản TCP mobility chỉ hỗ trợ cho việc handoff mà không quản lý
vị trí. Một giải pháp được đưa ra là DNS. Nó giúp theo dõi vị trí của đối tượng di
chuyển trong lúc không có kết nối nào đang xảy ra, giúp kết nối tiếp theo xác định
được vị trí ngay lập tức.
4.2.3. Micromobility và Fast Handoff
Để khắc phục thời gian trể của Mobile IP, đặc biệt trong trường hợp khoảng
cách đến server trung tâm lớn. Những mô hình về micromobility được đưa ra.
Trong thực tế, sự di chuyển hầu như chỉ xảy ra giữa các vị trí gần nhau thường
nằm trong một khu vực nhỏ (được quản lý bởi một FA), do đó việc update vị trí
chỉ mang tính cục bộ, chỉ sử dụng Mobile IP giữa các vùng micromobility này.
Chương 1 VoIP Và Chuẩn 802.11
Trang - 117-
Hình 4.8. Thay thế nhiều FAs với nhiều địa chỉ con trong vùng
micromobility.
Hierarchical Mobile IP là lớp 3 được dùng cho mục đích này, việc định tuyến
có thể thực thi ở lớp 2 hay một lớp 3 hoạt động như lớp 2. Trong 802.11 WLAN,
micromobility dựa trên lớp 2.
4.2.3.1. Hierarchical Mobile IP
Có thể thực thi với kế thừa hai mức của các FAs, trong mô hình Mobile IP, sẽ
có sự đăng ký các miền, mỗi regional foreign agent (RFA) thay thế mỗi FA,
những nhóm RFAs ở dưới sự quản lý của một gateway foreign agent (GFA). HA
chỉ giao tiếp đến GFA, còn GFA sẽ chịu trách nhiệm tương tác với các RFAs.
Hình 4.9. Đăng ký miền, mô hình Mobile IP kế thừa
HA chỉ xử lý thông tin ở dạng thô (chỉ đến các GFA), còn GFA sẽ xử lý ở dạng
tinh (chỉ định đến các RFA). Điều này làm giảm thời gian trễ do định tuyến, và tín
hiệu báo hiệu.
4.2.3.2. Mô hình định tuyến Host-Based
Mô hình định tuyến có thể dựa trên host hay group.
Với mô hình dựa trên host, hai mô hình ưu thế là cellular IP và
HAWAII, chúng tương tự nhau.
Chương 1 VoIP Và Chuẩn 802.11
Trang - 118-
Trong vùng micro, cell IP dùng bộ lưu trữ thông tin chuyển tiếp cho
mỗi node. Thông tin này được phân phối, vì vậy các node biết được làm
sao để chuyển tiếp đến node tiếp theo.
Mỗi lần di chuyển nó chỉ việc update nhóm con của node.
Mô tả giao thức
Như trong hình, mô tả gateway router giao tiếp miền cell IP với mạng bên
ngoài. Các nodes được sắp xếp theo cấu trúc cây, được phân bố theo parent node
và children node.
Trong cellular IP, dòng upstream là mang các gói đến gần gateway, dòng
downstream là mang đi xa gateway. Các node phát hiện đường up của mình bằng
các bản tin báo hiệu được gateway gửi xuống đều đặn.
Với uplink, mỗi node hay kể cả base station phải biết giao diện uplink của nó
phục vụ cho việc chuyển một gói từ một MH thành công thông qua một BS sau đó
đi qua một hay nhiều cellular IP để đến được gateway. Mỗi node không cần biết cả
đường dẫn đến gateway, nó chỉ biết gửi lên node parent trên nó.
Cho đường xuống, mỗi node cellular IP chứa một tập entry thông tin chuyển
tiếp. Mỗi entry liên kết một MH và một giao tiếp downstream.
Chương 1 VoIP Và Chuẩn 802.11
Trang - 119-
Hình 4.10. Miền Cellular IP, với X là điểm chuyển giao cho sự handoff giữa
node 1 và 2
Khi một MH lần đầu tiên truy cập vào mạng thông qua một BS cell IP, nó gửi
một bản tin cập nhận định tuyến đến gateway, nó gửi qua các node cho đến được
gateway . Mỗi node dọc đường từ BS đến gateway sẽ lấy IP address của MH, vì
vậy nó sẽ tạo một entry cho MH đó. Thông tin định tuyến sẽ được update theo chu
kỳ.
Trong hình mô tả một MH di chuyển từ BS1 (Base Station) sang vùng BS2,
node X là node chuyển giao cho sự handoff này. Để khởi tạo một handoff, MH gửi
mọt thông tin định tuyến update thông qua BS2 đến gateway, những node dưới
node chuyển giao sẽ phải tạo một entry để theo dõi nó, tại node X thì sẽ update
điểm chuyển tiếp từ BS1 sang BS2.
4.2.3.3. 802.11 WLAN
802.11 WLAN có thể dùng independent base service sets (IBSSs) hay
extended service sets (ESSs). Trong chế độ IBSS, mỗi trạm hoạt động ở chế độ ad
hoc (tùy biến) có thể giao tiếp trực tiếp với nhau, sẽ không có sự theo dõi sự di
chuyển trong chế độ này.
Trong chế độ ESS, có một số AP kết nối đến một DS, hai node kết nối ở hai
AP xem như là đang ở trong một mạng LAN, ESS phải xử lý sự di chuyển của
node giữa các AP mà vẫn phải duy trì kết nối LAN
Chương 1 VoIP Và Chuẩn 802.11
Trang - 120-
Hình 4.11. WLAN micromobility giữa các APs với một ESS
Do mỗi trạm chỉ kết nối được với một AP tại một thời điểm, việc tái kết nối
cho sự di chuyển giữa các AP phải được tối thiểu để giảm tình trạng ngắt dịch vụ.
Những nhà cung cấp thiết bị 802.11 hỗ trợ những giải pháp khác nhau cho việc
này, nó cũng làm cho việc liên tác giữa các AP khác hãng trở nên khó khăn. Chuẩn
802.11f được cải tiến để tạo nên sự tưoơg tác giữa các AP, sử dụng giao thức
Interaccess Point Protocol (IAPP).
4.2.3.4. Những xu hướng Fast Handoff khác
Có thể dùng mô hình dự đoán update và đăng ký trước để giảm độ trễ khi
chuyển tiếp các gói giữa những FA cũ và mới đó là kỹ thuật tiền đăng ký, và tiền
bổ sung (update).
Với tiền đăng ký, MH sẽ bắt đầu quá trình đăng ký (L3 handoff ) trước khi L2
hoàn thành handoff. Một số trường hợp có thể xảy ra, một FA có thể giao tiếp với
những node quanh nó, thực thi quảng bá tìm một proxy agent (một trong số đó khả
năng là một FA mới). Nó có thể là một khởi tạo từ lớp 2, khi mức cường độ tín
hiệu thu dưới một mức nào đó, một cảnh báo về sự handoff lớp 2 sẽ xảy ra, vì vậy
MH có thể bắt đầu đăng ký một FA mới, trước khi việc chuyển giao Lớp 2 hoàn
thành.
Chương 1 VoIP Và Chuẩn 802.11
Trang - 121-
Trong thực tế, L3 không thể handoff cho đến khi L2 handoff hoàn tất, và L3
phải biết cách nhận ra điều này (thông qua sự quảng bá của một FA mới). Đồng
thời phải có sự kết hợp giữa cả FA mới và cũ, để việc đăng ký phải hoàn thành
trước khi việc truyền thông có thể tiếp tục.
Việc hỗ trợ cho việc khởi tạo chuyển giao các lớp (cross-layer triggering ) chỉ
được thực thi trong một số hệ thống có hỗ trợ nó, nếu không cần phải sử dụng
Mobile IP.
4.2.3.5. Giảm trễ Handoff
Có thể dùng phương pháp chuyển các gói từ một mạng cũ sang một mạng mới,
thay vì loại bỏ chúng. Được thực hiện bằng các giải pháp tối ưu định tuyến, đây là
một sự mở rộng, một previous foreign agent notification extension (PFANE) được
đưa vào bản tin đăng ký IP mobile, PFANE báo cho FA mới địa chỉ của FA cũ, và
MH yêu cầu FA mới lấy data từ FA cũ.
Nhược điểm :
Khi kiến trúc mạng giữa hai FA xa nhau, nhưng gần về vị trí địa lý, tạo
độ trễ trong định tuyến.
Độ trễ khi lưu ở hàng đợi của FA cũ trước khi chuyển đi.
Chương 1 VoIP Và Chuẩn 802.11
Trang - 122-
4.3. Qos trong mạng WLAN
Hình 4.12. Kiến trúc giao thức trong IEEE 802.11
4.3.1. DCF
DCF dựa trên kỹ thuật CSMA/CA tương tự như Ethernet CSMA/CD, tuy
nhiên không phát hiện được va chạm.
Hình 4.13. Kỹ thuật truy cập DCF cơ bản.
CSMA/CA, các trạm lắng nghe môi trường để xác định lúc nào rỗi, khi một trạm
phát hiện môi trường rỗi, nó bắt đầu giảm bộ đếm ngược, mỗi trạm chứa một
contention window (CW) để xác định số lượng khe thời gian cần truyền đi. Bộ đếm
ngược chỉ bắt đầu khi môi trường thông báo rỗi trong một khoảng thời gian DIFS,
khi đếm xong và môi trường còn trống, trạm bắt đầu gửi. Có thể xảy ra trường hợp
xung đột khi cả hai trạm cùng phát một lúc, được nhận biết bằng sự thiếu ACK từ
Chương 1 VoIP Và Chuẩn 802.11
Trang - 123-
đầu thu, trạm sẽ chọn một cách ngẫu nhiên khoảng thời gian đếm ngược ứng với
CW và tiếp tục truy cập trở lại vào môi trường.
Những kỹ thuật tránh va chạm
Để tránh va chạm, DCF dùng một kỹ thuật để nhận biết môi trường đang được
sử dụng hay không trước khi truyền.Nếu đang sử dụng, nó sẽ chờ theo một thuật
toán định trước. DCF hỗ trợ kỹ thuật nhận biết kênh cả vật lý và ảo.
Mỗi môi trưòng có những đặc tính riêng, cảm biến vật lý môi trường gọi là
clear channel assessment (CCA). Cảm biến vật lý rất hiệu quả, tuy nhiên không
giải quyết được được vấn đề node ẩn, ngoài phạm vi vùng cảm biến. Với cảm
biến kênh ảo, thông tin về việc sử dụng môi trường được trao đổi thông qua các
khung điều khiển, giảm thiểu vấn đề node ẩn và thông lượng toàn bộ trong mạng.
Nếu mạng chỉ dùng các gói nhỏ, tỉ lệ va chạm thấp thì tốt nhất chỉ nên dùng cảm
biến vật lý. Vì vậy cảm biến ảo là giải pháp tuỳ chọn.
Thông điệp điều khiển kênh ảo gọi là khung request to send (RTS) và khung
clear to send (CTS). Kích cỡ của khung có thể thiết lập giới hạn để thủ tục dò
kênh chỉ hoạt động với những gói lớn hơn kích thước chỉ định. Thủ tục RTS/CTS
không dùng cho những khung quảng bá và multicast, do nó có thể gây xung đột
các đáp ứng CTS. Kỹ thuật này có thể giúp tránh xung đột khi có sự chồng lấn
hai BSSs sử dụng cùng chung kênh truyền.
Khi node A muốn gửi dữ liệu, nó gửi một khung RTS đến AP với thông tin
địa chỉ và thời gian. Nó gửi địa chỉ của nó và node nhận với thời gian muốn
truyền bao lâu. AP nhận một RTS sẽ trả lời bằng một CTS. CTS có thể được nghe
bởi tất cả các node trong phạm vi của AP, để tạo khung CTS, AP copy địa chỉ gửi
từ RTS vào CTS.
Chương 1 VoIP Và Chuẩn 802.11
Trang - 124-
Nó còn copy miền thời gian hiệu lực vào trong CTS sau điều chỉnh
nó cho việc truyền.Để xác thực một CTS, bộ thu lưu miền thời gian như
là network allocation vector (NAV) của nó. NAV cho biết lượng thời gian còn lại
có thể dùng ở môi trường. Giá trị này đếm ngược theo thời gian, khi đạt giá trị 0,
môi trường là rỗi. Nó được cật nhật mỗi khi một RTS và CTS với giá trị lớn hơn
được nhận.Bằng cách kết hợp dò vật lý với thủ tục RTS/CTS, một node ẩn không
thể nhận từ node phát, tránh được sự va chạm cho việc truyền dữ liệu.
DCF CSMA/CA đòi hỏi một khung ACK để đảm bảo việc nhận đã thành
công, không có Negative ACK, chỉ có biến timer thiết lập thời gian chờ ACK bao
lâu trước khi xác định việc truyền dẫn bị lỗi. DCF cung cấp một số khung thời
gian dò tìm trạng thái của môi trường dựa trên các giá trị vật lý cụ thể là slot time
và SIFS. Slot time cho một DSSS PHY (20us) là tổng thời gian gửi và nhận và
thời gian phát hiện mức năng lượng bao gồm độ trễ truyền. slot time cho IEEE
802.11 nhảy tần là 50 us. SIFS là khung ngắn nhất dùng để chỉ hoàn tất việc
truyền. SIFS cho DSSS PHY là 10us và cho FHSS PHY là 28us.
Một biến thời gian khác là khoảng thời gian quay ngược dùng cho chờ đợi để
truyền khi tồn tại sẵn một quá trình truyền khác. Thuật toán đếm ngược là một
quá trình theo hàm mũ, giữa giá trị max và min. Giá trị bắt đầu được tính bởi
nhân ngẫu nhiên một số (khoảng giữa max và min) với khe thời gian của PHY.
Thời gian quay ngược được tính khi tăng tuần tự theo hàm mũ 2 x-1. Ví dụ giá
trị ngẫu nhiên là 3, slot time là 10us, trạm sẽ chờ đợi (23-1) x 10 us = 70us, sau đó
tiếp tục tăng lên (24-1) rồi (25-1) cho đến giá trị max. Do giá trị là ngẫu nhiên sẽ
tránh tình trạng va chạm do cùng khoảng thời gian đợi.
Chương 1 VoIP Và Chuẩn 802.11
Trang - 125-
Hình 4.14. mô tả giao thức phát hiện sóng mang ảo (virtual carrier sense
protocol)
4.3.2. PCF
Để hỗ trợ cho việc giới hạn QoS, 802.11 còn định nghĩa Point Coordination
Function, với PCF thì khoảng thời gian cho việc báo hiệu truyền được chia làm hai
phần, thời gian giải phóng tranh chấp và thời gian tranh chấp, chúng tạo thành một
siêu khung. Bộ điều khiển cho phép truy cập vào môi trường ngay khi bắt đầu thời
điểm tranh chấp được giải phóng, bắt đầu truyền trước khi DIFS hết hiệu lực.
Trong khoảng thời gian rỗi, bộ chỉ định sẽ cho phép những trạm có ưu tiên cao
hơn truy cập vào môi trường thông qua việc thăm dò luân chuyển giữa các trạm.
Sau khoảng thời gian này là thời gian tranh chấp, truy cập được kiểm soát bởi
DCF.
Bộ điều khiển không cần biết tải yêu cầu truyền ở mỗi trạm, nó chỉ thăm dò các
trạm thông báo là có thể truyền trong thời gian này. Các trạm có nhu cầu sẽ gửi số
thăm dò bằng một khung đặc biệt trong thời gian tranh chấp.
Chương 1 VoIP Và Chuẩn 802.11
Trang - 126-
EDCF định nghĩa 8 lớp lưu lượng, những thông số kiểm soát thời gian khác
nhau có thể thiết lập độc lập cho mỗi lớp. Truy cập môi trường tương tự như DCF
thêm vào một thuộc tính arbitration interframe space (AIFS), Mỗi trạm chỉ có thể giảm
thời gian ngược sau AIFS. Với mỗi node, mỗi lớp lưu lượng có một hàng đợi riêng,
dùng cho truy cập kênh ảo.
Hình 4.15. Mô tả chức năng EDCF
HCF tương tự PCF nhưng cho phép điều khiển kết hợp để duy trì trạng thái cho
những node và chỉ định thông minh các thời điểm tranh chấp được giải phóng. Hỗ
trợ cho các tải yêu cầu của mỗi lớp lưu lượng cho mỗi trạm bằng cách lập lịch.
4.3.3. Những cải tiến 802.11e MAC
Để hỗ trợ QoS, nhiều mô hình ưu tiên được đưa ra. IEEE 802.11 Task Group E
định nghĩa những cải tiến cho 802.11 MAC, gọi là 802.11e. Bằng cách giới thiệu
hai mode MAC mới là EDCF và HCF. Cả hai đều hỗ trợ 8 mức ưu tiên cho lưu
lượng, ánh xạ trực tiếp đến giao thức RSVP, và những giao thức ưu tiên khác.
EDCF làm việc tương tự như DCF MAC, tuy nhiên các thành phần trong
Chương 1 VoIP Và Chuẩn 802.11
Trang - 127-
MAC được thông số hoá cho mỗi lớp cơ bản.Mỗi traffic class (TC) bắt đầu một
back-off sau khi phát hiện kênh đang ở trạng thái rỗi cho một AIFS. AIFS lớn
hơn hoặc bằng DIFS và được chọn độc lập với mỗi TC. Đây là thông số đầu tiên
của MAC được đưa vào EDCF. Thứ hai, giá trị miximum của CW cho mỗi TC
có thể được chọn cho mỗi TC cơ bản. Trong DCF, một giá trị min chung được
khởi tạo cho mọi CW. Thứ ba, khi một xung đột được phát hiện và CW
(contention window) phải tăng lên, giá trị của CW bởi một persisstence factor
(PF), được xác định cho mỗi TC. Nếu PF bằng 1 thì CW sẽ không đổi dù trong
trường hợp xung đột. Với giá trị là 2, cho phép đếm ngược với lũy thừa 2.
Phương trình tính CW trong trường hợp xung đột là :
newCW TC oldCW TC 1 PF TC 1
Trong một trạm thì 8 TC độc lập về hàng đợi truyền, khi các bộ đếm ngược
của hai hay nhiều TC song song trong cùng một trạm đạt giá trị 0 đồng thời, một
bộ lập lịch trong trạm xử lý như là xung đột ảo. Transmit opportunity (TXOP)
trong TC chiếm quyền ưu tiên cao nhất khi có sự xung đột xuất hiện.
Những thông số QoS được cung cấp cho mỗi TC, có thể thích nghi theo thời
gian, các trạm gốc sẽ thông báo chúng theo chu kỳ thông qua các khung thông
báo, được truyền trước mỗi siêu khung.
HCF
HCF được phát triển từ PCF, các siêu khung được chia vào các contention-free
period (CFP)- khoảng không va chạm được bắt đầu với mỗi cờ báo và contention
period (CP).
Trong khoảng CP, truy cập được điều khiển bởi EDCF, tuy nhiên bộ chỉ dẫn lai
tạp -hybrid coordinator (HC, thường được đặt ở AP) có thể khởi tạo HCF truy cập
bất cứ lúc nào.
Chương 1 VoIP Và Chuẩn 802.11
Trang - 128-
Trong khoảng CFP, HC phát ra một thăm dò QoS CF-Poll đến một trạm đặc
biệt để cho biết một cơ hội truyền - transmit opportunity (TXOP), HC chỉ định
thời gian bắt đầu và khoảng thời gian lớn nhất trong khung CF-Poll. Đồng thời
trong khoảng thời gian này, không một trạm nào được truy cập vào môi trường, vì
vậy khi nhận được thông báo nó sẽ truyền bất kỳ dữ liệu nào nó có. Nó được kết
thúc bởi khung báo hay khung CF-End.
Nếu một trạm nhận được một CF-Poll, nó sẽ đáp ứng truyền trong khoảng thời
gian SIFS, nếu không HC sẽ bỏ qua sau mỗi khoảng PIFS, và chỉ định đến trạm
khác.
Để xác định trạm nào cần gửi TXOP, HC dùng cho mỗi trạm một dữ liệu về
chiều dài hàng đợi TC, nó thu thập và theo dõi tình trạng hiện hành của hạ tầng
BSS.Miền điều khiển QoS đã được thêm vào khung MAC cho phép các trạm có
hỗ trợ 802.11 sẽ gửi chiều dài hàng đợi mỗi TC đến HC.
HC có thể thực hiện lập lịch
Phân quyền ưu tiên TC
QoS yêu cầu cho TC (độ jtter thấp, băng thông lớn, độ trễ thấp…)
Chiều dài hàng đợi mỗi TC
Chiều dài hàng đợi mỗi trạm
Khoảng thời gian của TXOP cho phép và được chỉ định.
Chương 5. Mô phỏng độ trễ Voip trong WLAN
Khả năng đáp ứng kênh voice/video theo tải trong môi trường WLAN. Gồm hai 20
node wireless, thử nghiệm 20 kênh voice/ video, theo dõi số lượng kênh được đáp
Chương 1 VoIP Và Chuẩn 802.11
Trang - 129-
ứng theo độ trễ (bên dưới) khi số lượng kênh tham gia tăng lên tương ứng với tải
mạng tăng từ 0% đến khi không còn kênh nào thoả mãn độ trễ.
- Thời gian trễ dưới 10ms
- Thời gian trễ dưới 20ms
- Thời gian trễ dưới 50ms
Sử dụng công cụ mô phỏng network simulator phiên bản ns-2.29 để thực thi.
5.1. Cấu hình thành phần
các node
Trạm BS(0), BS(1), là phần giao tiếp giữa không dây và có dây, cho nên nó
tồn tại cả hai loại cấu hình trong đó, vừa xem như là node không dây vừa
xem như là một phần của mạng có dây.
W(0), W(1) là những điểm có dây. W(0) xem như là đích, mọi lưu lượng
đều đi qua điểm đó.
Các station là những điểm không dây, có cấu hình làm việc chế độ ad hoc
loại DSDV-Destination Sequence Distance Vector(DSDV), bản tin định
tuyến được trao đổi giữa các node gần nhau. Các packet sẽ được lưu đệm
trước khi điểm đến không được xác định, kích cỡ bộ đệm được định cho
mỗi tuyến. ns còn hỗ trợ một số loại định tuyến ad hoc khác như dsr, aodv
và tora.
Cấu hình nguồn lưu lượng
$traffic set packetSize_ $size ;#kích cỡ gói tin
$traffic set burst_time_ $burst ;#thời gian on trung bình của
nguồn
$traffic set idle_time_ $idle ;#thời gian off trung bình.
$traffic set rate_ $rate ;#tốc độ dữ liệu trong ontime
Nguồn voice : thời gian on = 2s, thời gian off = 1s, tốc độ phát trong thời
gian on là 30ms/packet-gói udp, độ dài packet = 252B
Chương 1 VoIP Và Chuẩn 802.11
Trang - 130-
Nguồn video : thời gian on = 1s , thời gian off = 1s, tốc độ phát trong thời
gian on- gói udp, độ dài packet = 1460 bytes, tốc độ đến là 21.5ms/packet
Nguồn data : gói tcp, độ dài packet = 1000B, sử dụng FTP để thực hiện mô
phỏng với chiều dài file là 10MB.
Cấu hình hàng đợi (đưa vào cấu hình các node)
Một số thuật toán kiểm soát hàng đợi được hỗ trợ bởi ns như là DropTail,FQ,
SFQ, DRR, RED .Trong chương trình dùng phương pháp droptail, thiết lập:
Queue/DropTail/PriQueue set Prefer_Routing_Protocols 1
Droptail hỗ trợ lập lịch FIFO và quản lý bỏ gói khi tràn bộ đệm, được sử dụng hầu
hết trong các router ngày nay.
Mô hình truyền sóng, cấu hình vật lý, anten
- Sử dụng anten omni- directional, thiết lập
- Môi trường vật lý, card giao tiếp sóng
- Những thông số của MAC/802.11
- Radio Propagation Models
- Có 3 mô hình truyền sóng là freespace model, Two-rayground reflection
model và Shadowing model
- Trong bài mô phỏng lựa chọn Two-rayground reflection model, dựa vào
khoảng cách của thiết bị để tính công suất, nó còn thể hiện ảnh hưởng của
hai đường tín hiệu là trực tiếp và đường phản xạ qua đất.
Mô hình kế thừa địa chỉ các node mạng
Trong domain 0, có hai cluster, mỗi cluster có 1 node. Tương ứng W(0) và W(1).
set temp {0.0.0 0.1.0} W(0), W(1)
Trong domain 1, có 1 cluster là BS(0), có 21 node trong cluster gồm cả 20 node
wireless.
set temp {1.0.0 1.0.20}
Trong domain 2, có 1 cluster và 1 node là BS (1)
Chương 1 VoIP Và Chuẩn 802.11
Trang - 131-
set BS(1) [$ns_ node 2.0.0]
Tạo các node mobile, có địa chỉ kế thừa từ BS(0), chỉ rõ trạm đang quản lý nó.
Cấu hình tầng link giữa các node wireline, băng thông 11Mb, độ trễ truyền là
2ms.
$ns_ duplex-link $W(0) $W(1) 11Mb 2ms DropTail
5.2. Chương trình và kết quả
Thuật toán chương trình
Y
N
cấu hình
các node và link
Start
Nhập
-T_sim = 30/60
-Sim_intervals = 0
-Time_delay
-Numnode = n
Đưa dữ liệu ra
output
tăng
Sim_intervals
Sim_intervals
= m?
vẽ giãn đồ
-Pktsdelay (i) >0
giảm nchan
-Load_avg
Chương 1 VoIP Và Chuẩn 802.11
Trang - 132-
Chương trình sẽ đọc trường thời gian trong các packets đến cuối cùng trong từng
khoảng thời gian là 10ms. Từ đó nó sẽ xác định độ trễ trung bình của kênh.
T_sim – Khoảng thời gian cho một lần mô phỏng, 30s/60s
Numnode - số lượng trạm khởi tạo n = 20
Time_delay - Thời gian delay cần đo đạc là 10/20/50/100ms
Sim_intervals – Số lần thực thi đo đạc là m = 8
Tải mạng trung bình trong khoảng thời gian mô phỏng
Load_avg = (băng thông chiếm dụng bởi các trạm)/(11 Mbps) x100%.
Nchan -số lượng kênh thoả mãn, khởi tạo nchan = numnode
Giao diện mô phỏng
Chương 1 VoIP Và Chuẩn 802.11
Trang - 133-
Node màu đỏ là các BS(0) và BS(1)
Node màu xanh trắng là các trạm và Node xanh đậm là các điểm
wireline
Kết quả thực hiện :
-Với độ trễ yêu cầu 10ms, tần số lấy mẫu là 10ms/mẫu thì biểu diễn độ trễ của
từng packet
-Không có kênh nào vượt quá 10ms. Nên cũng không có kênh nào vượt quá 20ms..
Với tải tăng từ 0 đến 67%
Chương 1 VoIP Và Chuẩn 802.11
Trang - 134-
Xét trong trễ 50ms, thời gian lấy mẫu 50ms/mẫu.
Thời gian trễ của các gói
Chương 1 VoIP Và Chuẩn 802.11
Trang - 135-
Số lượng kênh theo tải
5.6. Kết luận
Qua bài mô phỏng độ trễ ta đã kiểm tra toàn bộ các thông số ảnh hưởng đến độ trễ
trong mạng có chứa phần tử 802.11 như gói tin, kỹ thuật truy cập 802.11, xử lý
hàng đợi độ trễ lan truyền, chế độ định tuyến… Là một bước quan trọng cho việc
triển khai các ứng dụng voice và đa phương tiện nói chung, không chỉ đối với
chuẩn 802.11 mà còn mở rộng ra các giao diện truy cập khác.
Có thể thực hiện thay đổi để kiểm tra các thông số:
Cấu trúc của packet, như độ dài packet để mô phỏng gói thích hợp cho
voice, video trong môi trường wireless lan hay bluetooth…
Thay đổi giao diện sóng, cấu hình anten
Thay đổi các thuật toán hàng đợi
Thay đổi kỹ thuật định tuyến
Chương 1 VoIP Và Chuẩn 802.11
Trang - 136-
Chương 1 VoIP Và Chuẩn 802.11
Trang - 137-
Hướng phát triển đề tài.
Với ứng dụng voice chỉ là một phần của ứng dụng đa phương tiện trong mạng số.
Để nghiên cứu thêm các thông số khác phục vụ cho dịch vụ .Như kỹ thuật bảo
mật, quản lý động, kỹ thuật Qos …
Các file đính kèm theo tài liệu này:
- chuong_1_voiceip_va_chuan_802_11_496.pdf