wuswug
07-29-2007, 05:40 PM
Đào Trung Thành
Giới thiệu
Hiện nay, mạng xDSL của các nhà khai thác tại Việt Nam chủ yếu dựa trên kiến trúc ATM (ATM-based architecture). Các mạng này được phát triển cách đây vài năm theo khuyến nghị TR-059 [1] của Diễn đàn DSL [2], tuy đáp ứng được nhu cầu sử dụng Internet tốc độ cao nhưng dần lộ rõ những nhược điểm cần khắc phục. Vì vậy, Diễn đàn DSL đã đưa ra khuyến nghị TR-101 về việc chuyển mạng xDSL từ kiến trúc dựa trên ATM sang kiến trúc dựa trên Ethernet. TR-101 đã định hướng phát triển cho mạng truy cập DSL (DSL access network) để hỗ trợ các công nghệ ADSL2+ và VDSL, QoS, IP Multicast bằng cách tận dụng các lợi điểm do công nghệ Metro Ethernet mang lại.
Mô hình tham chiếu
Mạng DSL hiện nay dựa trên mô hình tham chiếu TR-025 (Hình 1) hay mới hơn là dựa trên TR-059 (Hình 2). Cả hai mô hình này đều dùng ATM để kết tập (aggregate) các mạng truy cập (access network) vào mạng của nhà cung cấp dịch vụ băng thông rộng khu vực (Regional Broadband Network).
http://tapchibcvt.gov.vn/Uploaded/admin/DSL%200206071.jpg
Hình 1: Mô hình tham chiếu TR-025
http://tapchibcvt.gov.vn/Uploaded/admin/DSL%200206072.jpg
Hình 2: Mô hình tham chiếu TR-059
Trong TR-025, BRAS được đặt ở mạng băng rộng khu vực hoặc ở nhà cung cấp dịch vụ Internet (Internet Service Provider- ISP), trong khi TR-059 mang BRAS đặt ở mạng băng rộng khu vực. Nhiệm vụ chính của BRAS trong TR-025 là kết cuối PPP (PPP termination), nhưng trong TR-059 được mở rộng thêm chức năng quản lý thuê bao (subscriber management), quản lý chất lượng dịch vụ QoS, quản lý lưu lượng nâng cao,v.v.
Trong TR-101 để tránh nhầm lẫn, người ta đưa ra khái niệm cổng mạng băng rộng BNG (Broadband Network Gateway) bao gồm cả chức năng BRAS được mô tả trong TR-092 và các chức năng khác, nhất là khi được sử dụng làm bộ định tuyến ngoại biên (Edge Router).
Mạng kết tập (aggregation network) được định nghĩa trong TR-101 là phần mạng kết nối từ Access Node đến BNG (BRAS trong TR-025 hay TR059). Như vậy, trong TR-025 và TR-059, mạng kết tập đều dựa trên nền tảng ATM; còn trong TR-101 mạng kết tập là Ethernet.
http://tapchibcvt.gov.vn/Uploaded/admin/DSL%200206073.jpg
Hình 3: Mô hình tham chiếu TR-101
Hình 3 mô tả kiến trúc mạng theo khuyến nghị TR-101. Sự thay đổi bao gồm các đặc điểm cơ bản sau:
- Giao diện V sử dụng Ethernet làm giao thức vận chuyển (transport protocol), không sử dụng ATM.
- Mạng kết tập là Ethernet
- Hỗ trợ sử dụng hai hay nhiều BNG
- Cung cấp dịch vụ tốc độ cao hơn (bằng việc đưa các Access Node gần người dùng hơn)
- Tính khả dụng cao hơn (high availability)
- Giao diện U có thể hỗ trợ khung Ethernet trực tiếp (direct Ethernet frame) trên DSL
Giao diện U
Chồng giao thức (stack) “a”, ‘d” được mô tả trong TR-043.
“a” được gọi là IPoEoA, “b” là PPPoEoA,”c” là IPoA,”d” là PPPoA. Access Node cần có khả năng chuyển (translate) giao thức “c”, “d” thành các giao thức mà giao diện V hỗ trợ.
http://tapchibcvt.gov.vn/Uploaded/admin/DSL%200206074.jpg
Hình 4: Chồng giao thức ở giao diện U
Chồng giao thức “f” , “g” được sử dụng trong trường hợp hỗ trợ khung Ethernet trực tiếp và được gọi là IPoE hay PPPoE. Cổng truy cập dùng IPoE và PPPoE thường được gọi là cổng cầu nối (bridged port). Các giao thức Ethernet có thể hỗ trợ 802.1Q để tạo VLAN và đánh dấu mức độ ưu tiên (priority marking).
Access Node
Access node là điểm kết tập đầu tiên của mạng truy cập DSL đồng thời cho phép kết cuối (terminate) tín hiệu lớp vật lý DSL, có khả năng:
- Kết cuối lớp ATM
- Có giao diện Ethernet ở hướng lên (uplink) kết nối với mạng kết tập
- Khi cung cấp ATM ở giao diện U, có chức năng liên kết nối (Inter-Working Function) giữa ATM ở phía người dùng và Ethernet ở phía mạng, cung cấp chuyển đổi giao thức, xác định mạch vòng truy cập (access loop), chất lượng dịch vụ (QoS), an ninh (security), bảo trì , bảo dưỡng, quản lý (OAM).
- Cung cấp khung Ethernet ở mạch vòng truy cập để cung cấp dịch vụ khung Ethernet trực tiếp
- Hỗ trợ Multicast
- Tách biệt người dùng (user isolation)
http://tapchibcvt.gov.vn/Uploaded/admin/DSL%200206075.jpg
Hình 5: Chức năng liên kết nối (IWF) giữa ATM và Ethernet
Giao diện V
Giao diện V cung cấp các chức năng sau:
- Kết tập lưu lượng
- Phân biệt lớp các dịch vụ (class of service)
- Ngăn cách (isolation) và dò vết (traceability) người dùng
Vì mạng kết tập là Ethernet nên cả Access Node và BNG đều trang bị giao diện Ethenet, do đó giao diện V là Ethernet. Cơ chế phân tách các mạng Ethernet thành các mạng LAN ảo (VLAN) sử dụng giao thức 802.1q và được bổ sung trong 802.1ad. Các thẻ VLAN (VLAN tag) cho phép nhóm các lưu lượng có chung tính chất, mức độ dịch vụ thành một VLAN có VID=x, các nhóm lưu lượng khác thành một VLAN có VID=y. Như vậy chúng ta đã đánh dấu được lớp các dịch vụ nhờ sử dụng trường ưu tiên gồm 3 bit (3-bit priority) và do đó phân biệt được các dịch vụ này.
Ngoài ra, giao diện V còn cho phép lồng 2 thẻ VLAN (double tagging) để cung cấp một tổ hợp 16 triệu (224) VLAN khác nhau. Giao diện U có thể cung cấp thẻ VLAN gọi là C-VLAN tag bên trong (inner tag). Giao diện V cung cấp thẻ VLAN gọi là S-VLAN tag bao bên ngoài (outer tag).
http://tapchibcvt.gov.vn/Uploaded/admin/DSL%200206076.jpg
Hình 6: Chồng giao thức ở giao diện V
Mạng kết tập Ethernet
Các mạng kết tập Ethernet cần phải cung cấp các tính năng mà mạng dựa trên ATM cung cấp, ngoài ra nó còn cung cấp các tính năng khác:
- Hỗ trợ ưu tiên lưu lượng (prioritize traffic) để điều kiển nghẽn.
- Hỗ trợ Multicast
- Cung cấp tính năng khả dụng cao (high availability)
- Hỗ trợ kết nối 802.1ad
- Ngăn tách người dùng
Mạng kết tập Ethernet cần phải hỗ trợ các mạng truy cập đã triển khai và nhất là nó hỗ trợ mạnh mẽ mạng Metro Ethernet. Đó là lý do chúng ta có thể sử dụng mạng MAN để chuyển lưu lượng DSL. Tuy nhiên, cấu hình vật lý của mạng Ethernet lại không được chỉ rõ trong tài liệu TR-101 (3), vài cấu hình tham khảo được mô tả trong Hình 7.
http://tapchibcvt.gov.vn/Uploaded/admin/DSL%200206077.jpg
Hình 7: Các kiến trúc mạng kết tập Ethernet
Broadband Network Gateway-BNG
Kiến trúc Tr-101 yêu cầu BNG cần hỗ trợ các tính năng sau:
- Cần có khả năng kết cuối lớp Ethernet và các giao thức tương ứng
- Cần bổ sung các tính năng tương ứng với tính năng trên Access Node như xác định mạch vòng, chất lượng dịch vụ trên Ethernet, an ninh và tính năng bảo trì, bảo dưỡng, quản trị OAM.
Kiến trúc TR-101 hỗ trợ dùng hai BNG song song (dual BNG node). Theo kiến trúc này thì cả hai BNG không cần phải hỗ trợ toàn bộ tính năng mà chỉ cần 1 BNG hỗ trợ, BNG còn lại ví dụ dùng làm BNG cho video không cần cài đặt tính năng quản lý thuê bao (kết cuối PPP, chất lượng dịch vụ từng user – per user QoS) như BNG kia. Việc triển khai nhiều hơn hai BNG cũng được đề cập trong khuyến nghị.
Kiến trúc Multicast
Một trong những động lực chính để chuyển sang kiến trúc mạng kết tập Ethernet là khả năng cung cấp dịch vụ hình ảnh (broadcast lẫn unicast). Các tính năng hỗ trợ multicast trong khuyến nghị TR-101 bao gồm:
- Sử dụng lớp 2 hữu hiệu thông qua cơ chế VLAN N:1
- Hỗ trợ IGMP lớp 2 và lớp 3
- Hỗ trợ nhiều điểm trích xuất nội dung (content injection point)
- Hỗ trợ multicast-VLAN trong mạng truy nhập
- IP (và cả IGMP) được đóng gói trực tiếp bằng khung Ethernet (không cần qua trung gian PPP)
- Cổng người sử dụng (user port) thuộc nhiều VLAN
Vấn đề An ninh
Mạng kết tập Ethernet chủ yếu hoạt động ở lớp 2 (data link layer) trong mô hình OSI vì vậy các vấn đề an ninh mạng ở lớp 2 đặc biệt cần lưu ý. Tuy nhiên các tính năng an ninh lớp hai của mạng của nhà cung cấp dịch vụ DSL (carrier class) có yêu cầu cao hơn so với các tình năng lớp 2 Ethernet của các mạng LAN thông thường của khách hành.
Xử lý Multicast
Các Acess node cần có các tính năng bảo vệ mạng kết tập và BNG khỏi các cơn bão broadcast và multicast ở mức người dùng và cổng mạng. Access Node cần có khả năng lọc các gói tin broadcast và xử lý nó, nhất là các gói tin như DHCP, ARP, IGMP,v.v.
Chống giả lập địa chỉ MAC (MAC address spoofing)
Nhiều kẻ xấu sử dụng các kỹ thuật giả địa chỉ MAC của người dùng trên cùng một VLAN nhằm mục đích làm dừng dịch vụ (DoS) hay “đánh cắp” (Hijact) các gói tin của người dùng. Trong trường hợp Acess Node không lọc các gói tin có trùng địa chỉ MAC (duplicate MAC address), kẻ xấu có thể giả lập địa chỉ MAC của BNG và như vậy ảnh hưởng rất lớn đến toàn bộ người dùng. Do đó, các Acces Node cần trang bị tính năng lọc các gói địa chỉ MAC trùng này.
Chống làm tràn địa chỉ MAC (MAC address flooding)
Đây là vấn đề liên quan đến việc học (learning) các địa chỉ MAC của Access Node và các bộ chuyển mạch (switch) trong mạng kết tập Ethernet. Kẻ xấu có thể lợi dụng quy trình trên để tạo ra các địa chỉ nguồn giả mạo (source MAC address) nhiều đến nỗi làm tràn bảng CAM (Content Address Memory) của các thiết bị này. Vì vậy, Aceess Node và các bộ chuyển mạch Ethrenet cần có chức năng giới hạn số các địa chỉ MAC trên một cổng.
Xác định mạch vòng truy cập (Access Loop Identification and Characterization)
Trong mô hình dựa trên ATM, mạch vòng truy cập được xác định dễ dàng do việc sử dụng ánh xạ 1-1 giữa mạch vòng truy cập và ATM PVC. Trong PPP, BNG (ở đây là các BRAS) dùng thuộc tính NAS-port-id gửi trong gói tin xác thực RADIUS đến RADIUS server.
Tuy nhiên khi sử dụng mô hình mạng kết tập Ethernet, sử dụng giao thức IPoE. Các địa chỉ IP được cung cấp bởi DHCP. Để đảm bảo an toàn trong cấu hình DHCP này cần sử dụng tác nhân trễ DHCP (DHCP relay agent) có hỗ trợ option 82 [4].
Kết luận
Hiện nay, có nhiều nhà khai thác đang chuyển hệ thống mạng DSL dựa trên kiến trúc ATM sang hệ thống dựa trên Ethernet. Xu hướng này là tất yếu do ưu điểm của nó trong việc hỗ trợ cho đa dịch vụ, nhất là các dịch vụ Broadcast và Multicast và các dịch vụ đòi hỏi băng thông cao hơn. Tuy nhiên, khuyến nghị TR-101 này vừa được phê chuẩn vào tháng 4/2006 và còn có nhiều khó khăn trong việc triển khai: các vấn đề đầu tư các Access Node, các Ethernet DSLAM nhằm thay thế các ATM DSLAM cũ, các vấn đề về an ninh cũng cần được giải quyết.
Giới thiệu
Hiện nay, mạng xDSL của các nhà khai thác tại Việt Nam chủ yếu dựa trên kiến trúc ATM (ATM-based architecture). Các mạng này được phát triển cách đây vài năm theo khuyến nghị TR-059 [1] của Diễn đàn DSL [2], tuy đáp ứng được nhu cầu sử dụng Internet tốc độ cao nhưng dần lộ rõ những nhược điểm cần khắc phục. Vì vậy, Diễn đàn DSL đã đưa ra khuyến nghị TR-101 về việc chuyển mạng xDSL từ kiến trúc dựa trên ATM sang kiến trúc dựa trên Ethernet. TR-101 đã định hướng phát triển cho mạng truy cập DSL (DSL access network) để hỗ trợ các công nghệ ADSL2+ và VDSL, QoS, IP Multicast bằng cách tận dụng các lợi điểm do công nghệ Metro Ethernet mang lại.
Mô hình tham chiếu
Mạng DSL hiện nay dựa trên mô hình tham chiếu TR-025 (Hình 1) hay mới hơn là dựa trên TR-059 (Hình 2). Cả hai mô hình này đều dùng ATM để kết tập (aggregate) các mạng truy cập (access network) vào mạng của nhà cung cấp dịch vụ băng thông rộng khu vực (Regional Broadband Network).
http://tapchibcvt.gov.vn/Uploaded/admin/DSL%200206071.jpg
Hình 1: Mô hình tham chiếu TR-025
http://tapchibcvt.gov.vn/Uploaded/admin/DSL%200206072.jpg
Hình 2: Mô hình tham chiếu TR-059
Trong TR-025, BRAS được đặt ở mạng băng rộng khu vực hoặc ở nhà cung cấp dịch vụ Internet (Internet Service Provider- ISP), trong khi TR-059 mang BRAS đặt ở mạng băng rộng khu vực. Nhiệm vụ chính của BRAS trong TR-025 là kết cuối PPP (PPP termination), nhưng trong TR-059 được mở rộng thêm chức năng quản lý thuê bao (subscriber management), quản lý chất lượng dịch vụ QoS, quản lý lưu lượng nâng cao,v.v.
Trong TR-101 để tránh nhầm lẫn, người ta đưa ra khái niệm cổng mạng băng rộng BNG (Broadband Network Gateway) bao gồm cả chức năng BRAS được mô tả trong TR-092 và các chức năng khác, nhất là khi được sử dụng làm bộ định tuyến ngoại biên (Edge Router).
Mạng kết tập (aggregation network) được định nghĩa trong TR-101 là phần mạng kết nối từ Access Node đến BNG (BRAS trong TR-025 hay TR059). Như vậy, trong TR-025 và TR-059, mạng kết tập đều dựa trên nền tảng ATM; còn trong TR-101 mạng kết tập là Ethernet.
http://tapchibcvt.gov.vn/Uploaded/admin/DSL%200206073.jpg
Hình 3: Mô hình tham chiếu TR-101
Hình 3 mô tả kiến trúc mạng theo khuyến nghị TR-101. Sự thay đổi bao gồm các đặc điểm cơ bản sau:
- Giao diện V sử dụng Ethernet làm giao thức vận chuyển (transport protocol), không sử dụng ATM.
- Mạng kết tập là Ethernet
- Hỗ trợ sử dụng hai hay nhiều BNG
- Cung cấp dịch vụ tốc độ cao hơn (bằng việc đưa các Access Node gần người dùng hơn)
- Tính khả dụng cao hơn (high availability)
- Giao diện U có thể hỗ trợ khung Ethernet trực tiếp (direct Ethernet frame) trên DSL
Giao diện U
Chồng giao thức (stack) “a”, ‘d” được mô tả trong TR-043.
“a” được gọi là IPoEoA, “b” là PPPoEoA,”c” là IPoA,”d” là PPPoA. Access Node cần có khả năng chuyển (translate) giao thức “c”, “d” thành các giao thức mà giao diện V hỗ trợ.
http://tapchibcvt.gov.vn/Uploaded/admin/DSL%200206074.jpg
Hình 4: Chồng giao thức ở giao diện U
Chồng giao thức “f” , “g” được sử dụng trong trường hợp hỗ trợ khung Ethernet trực tiếp và được gọi là IPoE hay PPPoE. Cổng truy cập dùng IPoE và PPPoE thường được gọi là cổng cầu nối (bridged port). Các giao thức Ethernet có thể hỗ trợ 802.1Q để tạo VLAN và đánh dấu mức độ ưu tiên (priority marking).
Access Node
Access node là điểm kết tập đầu tiên của mạng truy cập DSL đồng thời cho phép kết cuối (terminate) tín hiệu lớp vật lý DSL, có khả năng:
- Kết cuối lớp ATM
- Có giao diện Ethernet ở hướng lên (uplink) kết nối với mạng kết tập
- Khi cung cấp ATM ở giao diện U, có chức năng liên kết nối (Inter-Working Function) giữa ATM ở phía người dùng và Ethernet ở phía mạng, cung cấp chuyển đổi giao thức, xác định mạch vòng truy cập (access loop), chất lượng dịch vụ (QoS), an ninh (security), bảo trì , bảo dưỡng, quản lý (OAM).
- Cung cấp khung Ethernet ở mạch vòng truy cập để cung cấp dịch vụ khung Ethernet trực tiếp
- Hỗ trợ Multicast
- Tách biệt người dùng (user isolation)
http://tapchibcvt.gov.vn/Uploaded/admin/DSL%200206075.jpg
Hình 5: Chức năng liên kết nối (IWF) giữa ATM và Ethernet
Giao diện V
Giao diện V cung cấp các chức năng sau:
- Kết tập lưu lượng
- Phân biệt lớp các dịch vụ (class of service)
- Ngăn cách (isolation) và dò vết (traceability) người dùng
Vì mạng kết tập là Ethernet nên cả Access Node và BNG đều trang bị giao diện Ethenet, do đó giao diện V là Ethernet. Cơ chế phân tách các mạng Ethernet thành các mạng LAN ảo (VLAN) sử dụng giao thức 802.1q và được bổ sung trong 802.1ad. Các thẻ VLAN (VLAN tag) cho phép nhóm các lưu lượng có chung tính chất, mức độ dịch vụ thành một VLAN có VID=x, các nhóm lưu lượng khác thành một VLAN có VID=y. Như vậy chúng ta đã đánh dấu được lớp các dịch vụ nhờ sử dụng trường ưu tiên gồm 3 bit (3-bit priority) và do đó phân biệt được các dịch vụ này.
Ngoài ra, giao diện V còn cho phép lồng 2 thẻ VLAN (double tagging) để cung cấp một tổ hợp 16 triệu (224) VLAN khác nhau. Giao diện U có thể cung cấp thẻ VLAN gọi là C-VLAN tag bên trong (inner tag). Giao diện V cung cấp thẻ VLAN gọi là S-VLAN tag bao bên ngoài (outer tag).
http://tapchibcvt.gov.vn/Uploaded/admin/DSL%200206076.jpg
Hình 6: Chồng giao thức ở giao diện V
Mạng kết tập Ethernet
Các mạng kết tập Ethernet cần phải cung cấp các tính năng mà mạng dựa trên ATM cung cấp, ngoài ra nó còn cung cấp các tính năng khác:
- Hỗ trợ ưu tiên lưu lượng (prioritize traffic) để điều kiển nghẽn.
- Hỗ trợ Multicast
- Cung cấp tính năng khả dụng cao (high availability)
- Hỗ trợ kết nối 802.1ad
- Ngăn tách người dùng
Mạng kết tập Ethernet cần phải hỗ trợ các mạng truy cập đã triển khai và nhất là nó hỗ trợ mạnh mẽ mạng Metro Ethernet. Đó là lý do chúng ta có thể sử dụng mạng MAN để chuyển lưu lượng DSL. Tuy nhiên, cấu hình vật lý của mạng Ethernet lại không được chỉ rõ trong tài liệu TR-101 (3), vài cấu hình tham khảo được mô tả trong Hình 7.
http://tapchibcvt.gov.vn/Uploaded/admin/DSL%200206077.jpg
Hình 7: Các kiến trúc mạng kết tập Ethernet
Broadband Network Gateway-BNG
Kiến trúc Tr-101 yêu cầu BNG cần hỗ trợ các tính năng sau:
- Cần có khả năng kết cuối lớp Ethernet và các giao thức tương ứng
- Cần bổ sung các tính năng tương ứng với tính năng trên Access Node như xác định mạch vòng, chất lượng dịch vụ trên Ethernet, an ninh và tính năng bảo trì, bảo dưỡng, quản trị OAM.
Kiến trúc TR-101 hỗ trợ dùng hai BNG song song (dual BNG node). Theo kiến trúc này thì cả hai BNG không cần phải hỗ trợ toàn bộ tính năng mà chỉ cần 1 BNG hỗ trợ, BNG còn lại ví dụ dùng làm BNG cho video không cần cài đặt tính năng quản lý thuê bao (kết cuối PPP, chất lượng dịch vụ từng user – per user QoS) như BNG kia. Việc triển khai nhiều hơn hai BNG cũng được đề cập trong khuyến nghị.
Kiến trúc Multicast
Một trong những động lực chính để chuyển sang kiến trúc mạng kết tập Ethernet là khả năng cung cấp dịch vụ hình ảnh (broadcast lẫn unicast). Các tính năng hỗ trợ multicast trong khuyến nghị TR-101 bao gồm:
- Sử dụng lớp 2 hữu hiệu thông qua cơ chế VLAN N:1
- Hỗ trợ IGMP lớp 2 và lớp 3
- Hỗ trợ nhiều điểm trích xuất nội dung (content injection point)
- Hỗ trợ multicast-VLAN trong mạng truy nhập
- IP (và cả IGMP) được đóng gói trực tiếp bằng khung Ethernet (không cần qua trung gian PPP)
- Cổng người sử dụng (user port) thuộc nhiều VLAN
Vấn đề An ninh
Mạng kết tập Ethernet chủ yếu hoạt động ở lớp 2 (data link layer) trong mô hình OSI vì vậy các vấn đề an ninh mạng ở lớp 2 đặc biệt cần lưu ý. Tuy nhiên các tính năng an ninh lớp hai của mạng của nhà cung cấp dịch vụ DSL (carrier class) có yêu cầu cao hơn so với các tình năng lớp 2 Ethernet của các mạng LAN thông thường của khách hành.
Xử lý Multicast
Các Acess node cần có các tính năng bảo vệ mạng kết tập và BNG khỏi các cơn bão broadcast và multicast ở mức người dùng và cổng mạng. Access Node cần có khả năng lọc các gói tin broadcast và xử lý nó, nhất là các gói tin như DHCP, ARP, IGMP,v.v.
Chống giả lập địa chỉ MAC (MAC address spoofing)
Nhiều kẻ xấu sử dụng các kỹ thuật giả địa chỉ MAC của người dùng trên cùng một VLAN nhằm mục đích làm dừng dịch vụ (DoS) hay “đánh cắp” (Hijact) các gói tin của người dùng. Trong trường hợp Acess Node không lọc các gói tin có trùng địa chỉ MAC (duplicate MAC address), kẻ xấu có thể giả lập địa chỉ MAC của BNG và như vậy ảnh hưởng rất lớn đến toàn bộ người dùng. Do đó, các Acces Node cần trang bị tính năng lọc các gói địa chỉ MAC trùng này.
Chống làm tràn địa chỉ MAC (MAC address flooding)
Đây là vấn đề liên quan đến việc học (learning) các địa chỉ MAC của Access Node và các bộ chuyển mạch (switch) trong mạng kết tập Ethernet. Kẻ xấu có thể lợi dụng quy trình trên để tạo ra các địa chỉ nguồn giả mạo (source MAC address) nhiều đến nỗi làm tràn bảng CAM (Content Address Memory) của các thiết bị này. Vì vậy, Aceess Node và các bộ chuyển mạch Ethrenet cần có chức năng giới hạn số các địa chỉ MAC trên một cổng.
Xác định mạch vòng truy cập (Access Loop Identification and Characterization)
Trong mô hình dựa trên ATM, mạch vòng truy cập được xác định dễ dàng do việc sử dụng ánh xạ 1-1 giữa mạch vòng truy cập và ATM PVC. Trong PPP, BNG (ở đây là các BRAS) dùng thuộc tính NAS-port-id gửi trong gói tin xác thực RADIUS đến RADIUS server.
Tuy nhiên khi sử dụng mô hình mạng kết tập Ethernet, sử dụng giao thức IPoE. Các địa chỉ IP được cung cấp bởi DHCP. Để đảm bảo an toàn trong cấu hình DHCP này cần sử dụng tác nhân trễ DHCP (DHCP relay agent) có hỗ trợ option 82 [4].
Kết luận
Hiện nay, có nhiều nhà khai thác đang chuyển hệ thống mạng DSL dựa trên kiến trúc ATM sang hệ thống dựa trên Ethernet. Xu hướng này là tất yếu do ưu điểm của nó trong việc hỗ trợ cho đa dịch vụ, nhất là các dịch vụ Broadcast và Multicast và các dịch vụ đòi hỏi băng thông cao hơn. Tuy nhiên, khuyến nghị TR-101 này vừa được phê chuẩn vào tháng 4/2006 và còn có nhiều khó khăn trong việc triển khai: các vấn đề đầu tư các Access Node, các Ethernet DSLAM nhằm thay thế các ATM DSLAM cũ, các vấn đề về an ninh cũng cần được giải quyết.
