Chuyển đổi số

Nâng cao năng lực, chất lượng dịch vụ, ATTT mạng truyền số liệu chuyên dùng phục vụ CPĐT, chính phủ số

Trần Hải Nam, Phòng Kỹ thuật - Cục Bưu điện Trung ương 17/09/2024 14:40

Mạng truyền số liệu chuyên dùng đóng vai trò nền tảng, là cơ sở để tạo lập một hạ tầng Chính phủ số vững chắc, thông suốt, an toàn trong suốt giai đoạn vừa qua và những năm tới. Kết hợp thế mạnh của mạng chuyên dùng này với mạng Internet, trung tâm dữ liệu của cơ quan nhà nước… sẽ mang lại hiệu quả cao trong việc kết nối liên thông 4 cấp hành chính của Chính phủ số thông suốt và bảo mật.

Tóm tắt:
- Mạng truyền số liệu chuyên dùng đóng vai trò nền tảng, là cơ sở để tạo lập một hạ tầng Chính phủ số vững chắc, thông suốt, an toàn
- Hiện trạng Mạng truyền số liệu chuyên dùng (TSLCD):
+ Đưa vào sử dụng từ năm 2007 (giai đoạn 1) và năm 2011 (giai đoạn 2)
+ Là mạng hữu tuyến, sử dụng hoàn toàn công nghệ chuyển mạch nhãn đa giao thức (IP/MPLS)
+ Hoàn thành kết nối mạng truy nhập đến 100% các cơ quan nhà nước từ Trung ương đến cấp xã,
+ Thiết bị lớp lõi tại Hà Nội, TP.HCM, Đà Nẵng và thiết bị lớp phân phối tại 63 Tỉnh/TP
+ Được nâng cấp theo công nghệ Segment Routing để hướng tới kiến trúc ảo hóa SDN cho mạng lõi, mạng phân
phối của Mạng truyền số liệu chuyên dùng.
- Các giải pháp nâng cao năng lực, chất lượng dịch vụ, an toàn thông tin Mạng truyền số liệu chuyên dùng:
+ Đổi mới công nghệ, chuyển đổi Mạng truyền số liệu chuyên dùng theo hướng ảo hóa hạ tầng mạng và quản lý, vận hành dựa trên phần mềm (SDN).
+ Nghiên cứu khả năng tích hợp giữa trung tâm NOC và SOC để tối ưu việc quản lý, vận hành và giám sát Mạng
truyền số liệu chuyên dùng.
+ Nghiên cứu, đề xuất các giải pháp sẵn sàng chuyển đổi Mạng truyền số liệu chuyên dùng thuần IPv6 trên nền tảng SRv6.

Vai trò quan trọng của Mạng truyền số liệu chuyên dùng

Năm 2020, những giải pháp quan trọng để phát triển Chính phủ điện tử (CPĐT), hướng tới Chính phủ số được Thủ tướng Chính phủ đề ra trong “Chương trình chuyển đổi số quốc gia đến năm 2025, địnhhướng đến năm 2030” (Quyết định số 749/QĐTTg ngày 3/6/2020), trong đó việc phát triển hạ tầng số phục vụ các cơ quan nhà nước (CQNN) phải đảm bảo tập trung, thông suốt.

Cũng tại quyết định này, hạ tầng Chính phủ số được định hướng phát triển trên cơ sở “kết hợp thế mạnh của Mạng truyền số liệu chuyên dùng, mạng Internet, trung tâm dữ liệu của CQNN để phục vụ kết nối liên thông, xuyên suốt 4 cấp hành chính, sử dụng cơ chế mã hóa và công nghệ bảo đảm an toàn, an ninh mạng do Việt Nam làm chủ một cách an toàn, bảo mật…”

cpdt.png

Theo đó, để triển khai hiệu quả Quyết định 749/QĐ-TTg trên, ngày 15/6/2021, Thủ tướng Chính phủ đã ban hành Quyết định số 942/QĐ- TTg phê duyệt Chiến lược phát triển Chính phủ điện tử hướng tới Chính phủ số giai đoạn 2021 - 2025, định hướng đến năm 2030, trong đó đề ra một số các nhiệm vụ trọng tâm của bộ, ngành và địa phương là “phát triển hạ tầng mạng đáp ứng nhu cầu triển khai Chính phủ số tại bộ, ngành, địa phương theo hướng ưu tiên thuê dịch vụ, kết nối và sử dụng hiệu quả Mạng truyền số liệu chuyên dùng của các cơ quan Đảng, Nhà nước”.

Như vậy, trong 2 chiến lược, chương trình lớn của quốc gia về CPĐT, Chính phủ số, chuyển đổi số, Mạng truyền số liệu chuyên dùng đóng vai trò nền tảng, là cơ sở để tạo lập một hạ tầng Chính phủ số vững chắc, thông suốt, an toàn trong những năm tới.

mang-so-lieu-cpdt.png

Hiện trạng Mạng truyền số liệu chuyên dùng

Mạng truyền số liệu chuyên dùng hiện tại được đưa vào sử dụng từ năm 2007 (giai đoạn 1) và năm 2011 (giai đoạn 2) là mạng hữu tuyến, sử dụng hoàn toàn công nghệ chuyển mạch nhãn đa giao thức (IP/MPLS). Sau hơn 10 năm, mạng không ngừng được mở rộng phạm vi kết nối, tăng cường năng lực để phát huy hiệu quả trong truyền tải các ứng dụng, kết nối các hệ thống thông tin phục vụ Đảng, Nhà nước.

Trong thời gian qua, Cục Bưu điện Trung ương đã chủ trì, hoàn thành kết nối mạng truy nhập đến 100% các CQNN từ Trung ương đến cấp xã, thiết bị lớp lõi tại Hà Nội, TP.HCM, Đà Nẵng và thiết bị lớp phân phối tại 63 Tỉnh/TP được nâng cấp theo công nghệ Segment Routing để hướng tới kiến trúc ảo hóa SDN cho mạng lõi, mạng phân phối của Mạng truyền số liệu chuyên dùng.

Tuy nhiên, trước yêu cầu ngày càng cao về vai trò kết nối, năng lực truyền tải, chất lượng dịch vụ, khả năng chống chọi trước các nguy cơ tấn công mạng ngày càng phức tạp, việc nâng cấp, đổi mới công nghệ, thiết lập các giải pháp an toàn thông tin (ATTT) cấp độ cao nhất là hết sức cần thiết và cấp bách.

Các giải pháp nâng cao năng lực, chất lượng dịch vụ, ATTT Mạng TSLCD

(1) Thứ nhất là đổi mới công nghệ, chuyển đổi Mạng TSLCD theo hướng ảo hóa hạ tầng mạng và quản lý, vận hành dựa trên phần mềm (SDN - Software Defined Network).

Công nghệ mạng truyền thống (MPLS) đang đối mặt với nhiều thách thức, ở giai đoạn sau của công nghệ này, mạng hoạt động phức tạp, khả năng mở rộng hạn chế [1]. Trong khi đó, công nghệ mạng lõi thế hệ mới (Segment Routing) ra đời giúp giải quyết cơ bản những thách thức này. Segment Routing là một giao thức thực hiện định tuyến theo nguồn.

Việc chuyển đổi từ MPLS sang Segment Routing giúp đơn giản hóa công tác quản lý, vận hành mạng (giảm 75% độ phức tạp của các giao thức mạng so với công nghệ MPLS [2], đơn giản hóa điều khiển lưu lượng, giúp cải thiện độ phục hồi của mạng), đáp ứng nhu cầu mở rộng mạng [3] và là xu hướng khi triển khai kiến trúc ảo hóa mạng định nghĩa bằng phần mềm (SDN: Software Defined Network) [4].

Theo số liệu khảo sát năm 2022 của tổ chức ACG Research [5]: có 65% các nhà mạng đã triển khai Segment Routing, 35% các nhà mạng còn lại đều có kế hoạch triển khai Segment Routing từ năm 2023. Các nhà mạng lớn như China Unicom, SoftBank, Bell Canada... tiên phong trong triển khai Segment Routing.

Trên cơ sở tham khảo kinh nghiệm quốc tế, Cục Bưu điện Trung ương đã triển khai thành công công nghệ Segment Routing kết hợp với kiến trúc SDN cho mạng TSLCD, trong đó:

- Thiết bị mạng TSLCD tại các phân lớp Core, Provinces, Metro được triển khai theo công nghệ Segment Routing, kết nối về hệ thống điều khiển tập trung (Controller tại Trung tâm dữ liệu Hà Nội và thành phố Hồ Chí Minh.

- Hệ thống điều khiển tập trung (Controller) theo kiến trúc SDN được triển khai cho phép tự động hóa cấu hình hệ thống, lập trình tuyến đường đi tối ưu đáp ứng mức cam kết về dịch vụ cung cấp cho khách hàng, thực hiện tập trung từ Hệ thống Controller.

Song song với việc triển khai áp dụng Segment Routing kết hợp SDN cho Mạng TSLCD, Cục Bưu điện Trung ương cũng thực hiện việc nghiên cứu, thử nghiệm mô hình, giải pháp SD-WAN (Software Defined Wide Area Network) với mục đích thay thế việc quản lý, vận hành mạng theo phương thức truyền thống (quản trị phân tán, cấu hình trực tiếp trên từng thiết bị...) sẽ gây nhiều khó khăn như vấn đề về nguồn lực (nhân lực, kinh phí...) và thời gian triển khai, thực thi.

Hiện nay một số quốc gia trên thế giới đã áp dụng công nghệ SD-WAN, trong đó:

- Cơ quan dịch vụ dùng chung Canada (SSC: Sharred Service Canada) xác định giải pháp SD-WAN là nền tảng để xây dựng chiến lược mạng và bảo mật cho mạng GCNet của Chính phủ. SSC đã cung cấp giải pháp SD- WAN trên mạng GCNet cho hơn 3.500 trụ sở cơ quan Chính phủ tại hơn 1.300 thành phố và thị trấn.

- Tại Hàn Quốc, KISTI đã triển khai thiết lập mạng KREONET để cung cấp dịch vụ kết nối mạng cho khoảng 200 tổ chức nghiên cứu và giáo dục phi lợi nhuận với 21 trung tâm mạng tại Hàn Quốc (17), Mỹ (2), Trung Quốc (1) và Hà Lan (1). Mạng KREONET sử dụng giao thức SD-WAN để tự động cung cấp các mạng ảo kết nối người dùng từ các địa điểm khác nhau, các trung tâm dữ liệu và các tài nguyên R&D với nhau.

- Tại Việt Nam, nhận thấy tiềm năng của giải pháp SD-WAN, các Tập đoàn công nghệ lớn như VNPT, Viettel, CMC... cũng đều phát triển các giải pháp SD-WAN để cung cấp dưới dạng dịch vụ cho các cơ quan, tổ chức.

Sau thời gian nghiên cứu, Cục Bưu điện Trung ương thử nghiệm thành công giải pháp SD-WAN tại tỉnh Hà Nam và Ninh Bình. Dựa trên các kết quả khả quan đạt được trong quá trình thử nghiệm, Cục Bưu điện Trung ương đã xây dựng, đề xuất mô hình và lộ trình triển khai giải pháp SD-WAN cho Mạng TSLCD theo định hướng của Đảng, Nhà nước về chuyển đổi số, phát triển hạ tầng thông tin, viễn thông quốc gia đồng thời giúp triển khai nhanh chóng, nâng cao khả năng dự phòng cho Mạng truyền số liệu chuyên dùng để truyền tải các ứng dụng, dịch vụ phục vụ Chính phủ điện tử, Chính phủ số trong mọi tình huống.

Cùng với xu hướng chuyển đổi số hạ tầng mạng, trung tâm dữ liệu truyền thống của Mạng TSLCD như hiện nay đang cũng gặp phải nhiều thách thức như: các tài nguyên tính toán, lưu trữ và mạng tại trung tâm dữ liệu đang được quản lý rời rạc, việc quản trị chủ yếu thực hiện thủ công; việc vận hành giám sát hệ thống trung tâm dữ liệu do sử dụng các phần mềm riêng rẽ của từng hãng làm cho cán bộ kỹ thuật quản trị mất nhiều thời gian trong việc xác định và khôi phục sự cố. Do đó, việc chuyển đổi sang mô hình điện toán đám mây để giải quyết những bài toán nêu trên là một nhu cầu tất yếu. Cục Bưu điện Trung ương đã nghiên cứu giải pháp ảo hóa trung tâm dữ liệu của Mạng theo hướng Private Cloud vừa giải quyết được các thách thức nêu trên, vừa ngăn chặn được các nguy cơ về mất an toàn, tấn công mạng.

Theo nghiên cứu và tham khảo kinh nghiệm quốc tế, có rất nhiều lợi ích đáng kế mà Private Cloud mang lại, có thể kể đến:

Nâng cao hiệu suất

- Việc triển khai Private Cloud để tạo ra các nhóm tài nguyên phần cứng chuyên dụng đảm bảo năng lực phù hợp nhất cho các ứng dụng, dịch vụ hay hệ thống hạ tầng được triển khai tại CBĐTW.

- Với khả năng tự phục vụ (Seft-Service), Private Cloud có thể tự điều chỉnh tài nguyên phân bố cho các ứng dụng, hệ thống khi chúng có yêu cầu.

Tăng cường khả năng quản lý và kết nối:

- Việc quản lý hệ thống Private Cloud thông qua Portal cho phép người quản trị có thể cấu hình các thành phần của Cloud như Servers, SAN, Switch trên một giao diện Portal.

- Đối với người dùng, họ cũng có thể quản lý các ứng dụng, tài nguyên ảo của họ mà không cần sự trợ giúp của đơn vị quản lý vận hành DC. - Trong Private Cloud, các dịch vụ, tài nguyên hạ tầng đều được đo đếm và báo cáo thường xuyên do vậy giúp tăng cường khả năng đánh giá, giám sát, vận hành.

An toàn mạng và an ninh thông tin:

- Hệ thống Private Cloud được bảo vệ và bảo đảm cao nhất về an toàn và an ninh thông tin theo quy định hiện hành của pháp luật.

- Hệ thống Private Cloud tại Cục BĐTW cần bám sát các tiêu chuẩn yêu cầu về đảm bảo an toàn thông tin cho dịch vụ đám mây như ISO/IEC 27017 và các quy định của phápluật về cơ yếu.

Dựa trên những lợi ích mà Private Cloud mang lại, Cục Bưu điện Trung ương đã chủ trì, phối hợp với một số tập đoàn viễn thông triển khai thí điểm Private Cloud tại trung tâm dữ liệu Mạng tTSLCD trên nền tảng mở OpenStack.

Nền tảng OpenStack đã được các đơn vị trong nước như Viettel, VNPT, CMC, VC- Corp làm chủ công nghệ và sử dụng để phát triển hệ thống Cloud riêng (giải pháp VNPT-Cloud, Viettel-Cloud, Biz-Cloud). Qua đó, Cục Bưu điện Trung ương cũng triển khai thí điểm và cung cấp các dịch vụ như IaaS, PaaS và dịch vụ SaaS.

(2) Thứ hai là nghiên cứu khả năng tích hợp giữa trung tâm NOC và SOC để tối ưu việc quản lý, vận hành và giám sát Mạng TSLCD.

Qua tìm hiểu việc thiết lập, tổ chức trung tâm điều hành mạng trên thế giới và các doanh nghiệp lớn trong nước (Bộ Quốc phòng Mỹ, Tập đoàn NTT Nhật Bản, các hãng cung cấp giải pháp mạng và bảo mật, tổ chức nghiên cứu quốc tế, Tập đoàn Viettel, VNPT), mô hình phổ biến của trung tâm điều hành mạng bao gồm 2 thành phần chính cùng hoạt động theo chức năng khác nhau, đó là:

+ Trung tâm vận hành, giám sát mạng NOC (Network Operations Center) có chức năng đảm bảo hoạt động của mạng, cung cấp dịch vụ luôn ổn định, chất lượng.

+ Trung tâm điều hành an toàn thông tin SOC (Security Operations Center) có chức năng giám sát, bảo đảm ATTT 24/7 cho mạng, dịch vụ.

Theo số liệu khảo sát của hãng nền tảng giám sát thông minh iMonitor6 (11/2020) có khoảng 80% tổ chức quản lý mạng lưới trên thế giới có đồng thời 02 trung tâm NOC/SOC.

Một số những hạn chế của mô hình NOC/SOC khi hoạt động độc lập có thể kể đến bao gồm:

- Tăng thời gian, giảm hiệu quả trong xử lý sự cố [7]: NOC và SOC không sẵn sàng công cụ và quy trình phối hợp, do đó việc xử lý các sự cố phức tạp của mạng lưới có nguyên nhân gốc rễ từ tấn công mạng và ngược lại sẽ khiến từng bên mất nhiều thời gian để truy vết và hành động nhanh chóng xử lý triệt để sự cố.

- Chồng chéo trong thực thi [8]: NOC và SOC có thể thực hiện các nhiệm vụ chồng chéo lên nhau như khi thiết lập các chính sách QoS và chính sách bảo mật trên cùng một thiết bị, hệ thống, khi đó việc xác nhận đảm bảo đáp ứng yêu cầu của từng nhóm sẽ trở nên bất cập nếu không có chính sách chung được xây dựng và cập nhật thường xuyên.

- Tăng chi phí đầu tư, vận hành9: NOC và SOC không chia sẻ, dùng chung các công cụ và tài nguyên trong phục vụ hoạt động sẽ dẫn đến việc đầu tư trang bị và chi phí duy trì tổng cho cả 2 sẽ tăng lên, việc tích hợp NOC/ SOC có thể giúp tổ chức có thể giảm được 60% tổng chi phí đầu tư.

Từ năm 2019 đến nay, xu hướng triển khai trung tâm điều hành mạng tích hợp IOC (Integrated Operations Center) dần trở lên phổ biến. Cụ thể:

- Theo số liệu khảo sát của Học viện SANS10 và tổ chức Hiệp hội quản trị doanh nghiệp EMA11, hiện nay có khoảng 60% tổ chức quản lý mạng lưới đã có sự tích hợp hoạt động chung giữa 2 trung tâm NOC và SOC.

- Tại Việt Nam, Tập đoàn Viettel và VNPT cũng đã từng bước tích hợp hoạt động giữa các trung tâm NOC/SOC trên cơ sở tích hợp một phần quy trình và các công cụ giám sát, quản lý tiến trình (Ticket).

Cục Bưu điện Trung ương đã triển khai trung tâm NOC và thử nghiệm SOC tại Cầu Giấy, Hà Nội. Trong thời gian qua, Cục đã triển khai thử nghiệm các giải pháp giám sát mạng, giám sát an toàn thông tin và kiểm soát truy cập tập trung đến cấp xã. Đây là các công cụ cơ bản để thiết lập trung tâm điều hành mạng theo xu hướng thế giới và phù hợp với định hướng phát triển mạng.

(3) Thứ ba là nghiên cứu, đề xuất các giải pháp sẵn sàng chuyển đổi Mạng truyền số liệu chuyên dùng thuần IPv6 trên nền tảng SRv6

Thực hiện chương trình IPv6 For Gov của Bộ TT&TT tại Quyết định 38/QĐ-BTTTT ngày 14 tháng 01 năm 2021 theo đó xác định nhiệm vụ đến 2025, Mạng truyền số liệu chuyên dùng của cơ quan nhà nước hoạt động tốt với IPv6, sẵn sàng khả năng kết nối và hoạt động thuần IPv6.

Giai đoạn 2011 - 2019 Cục Bưu điện Trung ương đã thực hiện chuyển đổi cung cấp dịch vụ Mạng TSLCD đối với nền tảng IPv6 thông qua việc chuyển đổi công nghệ 6VPE (cho phép nền tảng IPv6 chạy trên mạng lõi IPv4-MPLS) trên nền tảng IP/MPLS và tiếp tục nâng cấp thiết bị, công nghệ mạng lõi từ IP/ MPLS sang công nghệ SR-MPLS để cho phép hỗ trợ tốt hơn mạng định nghĩa bằng phần mềm (SDN) và điều khiển lưu lượng dịch vụ (TE).

Để chuyển đổi Mạng TSLCD sang sử dụng thuần IPv6 hiện nay có các hướng tiếp cận như sau:

Thứ nhất là chuyển đổi mạng lõi IPv4/MPLS sang mạng lõi IPv6/MPLS. Với phương án chuyển đổi mạng lõi MPLS dựa trên thuần IPv4 sang thuần IPv6 tại Cục Bưu điện Trung ương sẽ có một số thách thức như sau:

- Giao thức phân phối nhãn LDP cần được cập nhật và hỗ trợ sang IPv6 (LDPv6) để cho phép mặt phẳng điều khiển hoạt động trên địa chỉ IPv6 (Transport Signaling)

- Tín hiệu dịch vụ (service signaling) cần được cập nhật và hỗ trợ gồm:

+ Giao thức MP-BGP trên thiết bị đầu cuối IPv6

+ Dịch vụ L2/L3 VPN cần hỗ trợ chuẩn signaling, phương thức discovery và phương thức định nghĩa dịch vụ IPv4 PE và IPv4VPE của MPLS

Tại RFC- 743912 của tổ chức IETF đã đưa ra các đánh giá về khả năng cập nhật các giao thức để hỗ trợ triển khai thuần IPv6 cho mạng lõi MPLS trong đó phần các giao thức điều khiển truyền tải (LDPv6) đã được các nhà sản xuất lớn như Cisco, Juniper nâng cấp hỗ trợ. Tuy nhiên phân hệ điều khiển dịch vụ khi chạy thuần IPv6 MPLS hiện nay vẫn chưa được các nhà sản xuất cập nhật xử lý. Do đó việc triển khai mạng MPLS thuần IPv6 sẽ không đảm bảo khả năng ổn định và khả thi trong tương lai gần sắp tới.

Thứ hai là chuyển đổi mạng lõi SR-MPLS sang mạng lõi SRv6. Trong thời gian vừa qua, Mạng truyền số liệu chuyên dùng đã và đang được nâng cấp chuyển đổi thiết bị, công nghệ từ mạng lõi IP/MPLS sang mạng lõi SR-MPLS. Các khác biệt mới đối với công nghệ SR-MPLS gồm:

+ Không sử dụng giao thức LDP mà thay vào đó sử dụng IGP để phân phối nhãn

+ Lính hoạt, dễ dàng hơn trong việc thiết lập điều khiển lưu lượng của giao thức MPLS (RSVP-TE)

+ Hỗ trợ mạng định nghĩa bằng phần mềm (SDN)

+ Cho phép ứng dụng mạng tự động tốt hơn (Network Automation)

+ Khả năng hỗ trợ chuyển đổi thuần IPv6 ít phức tạp hơn MPLS và các giao thức tín hiệu điều khiển và dịch vụ đã được tiêu chuẩn hóa tại RFC-8986. Khi chuyển đổi từ mạng SR-MPLS sang SRv6 sẽ có sự thay đổi ở phương thức mặt phẳng chuyển tiếp (forwarding plane). SR-MPLS được triển khai dựa trên mặt phẳng chuyển tiếp MPLS và sử dụng nhãn MPLS để xác định SID.

Tuy nhiên, Segment Routing IPv6 (SRv6) - được triển khai dựa trên mặt phẳng chuyển tiếp IPv6 - không liên quan đến các nhãn MPLS. Với SRv6, LDP hoặc RSVP-TE không còn cần thiết - và các nhãn MPLS cũng vậy. Điều này đơn giản hóa rất nhiều các giao thức và quản lý.

mang-sl-chuyen-dung.png

Như vậy, sau 17 năm mạng TSLCD phục vụ cơ quan Đảng, Nhà nước chính thức đi vào hoạt động, mạng đã được từng bước kiện toàn đầy đủ về cơ sở pháp lý, mở rộng không gian, triển khai giải pháp kỹ thuật để nâng cao năng lực, chất lượng dịch vụ, an toàn thông tin. Với những chỉ đạo đúng đắn của Đảng, Nhà nước, của Bộ Thông tin và Truyền thông, mạng TSLCD do Cục Bưu điện Trung ương quản lý, vận hành đã hoạt động thông suốt, an toàn, phục vụ hiệu quả hoạt động chỉ đạo điều hành của Lãnh đạo Đảng, Nhà nước.

(Bài đăng ấn phẩm in Tạp chí TT&TT số 7 tháng 7/2024)

Bài liên quan
Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
Nâng cao năng lực, chất lượng dịch vụ, ATTT mạng truyền số liệu chuyên dùng phục vụ CPĐT, chính phủ số
POWERED BY ONECMS - A PRODUCT OF NEKO