Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Trust Boundary

    Trust Boundary là gì? Vì sao đây là một trong những khái niệm quan trọng nhất khi thiết kế QoS?


    Khi triển khai Quality of Service (QoS) trong mạng doanh nghiệp, nhiều kỹ sư thường tập trung vào việc phân loại (classification), đánh dấu (marking) hay ưu tiên (queuing) lưu lượng. Tuy nhiên, trước khi làm tất cả những việc đó, có một câu hỏi quan trọng hơn:
    Thiết bị nào chúng ta có thể tin tưởng?

    Câu trả lời chính là Trust Boundary. Trust Boundary là gì?


    Trust Boundaryranh giới mà tại đó thiết bị mạng quyết định có chấp nhận (trust) hay bỏ qua (untrust) các giá trị QoS đã được đánh dấu trên gói tin.

    Các giá trị này có thể là:
    • Layer 2 CoS (Class of Service) trong thẻ 802.1Q
    • Layer 3 DSCP (Differentiated Services Code Point) trong tiêu đề IP

    Nói cách khác, đây là điểm mà switch hoặc router sẽ quyết định:
    • Có tin vào giá trị CoS/DSCP do thiết bị gửi lên hay không.
    • Nếu không tin, thiết bị sẽ xóa hoặc ghi đè (remark) các giá trị này theo chính sách của doanh nghiệp.

    Đó là ý nghĩa của dòng mô tả trong hình:
    "The trust boundary is the edge where Layer 2 (CoS/UP) and/or Layer 3 (DSCP) markings are accepted or rejected."

    Tại sao phải có Trust Boundary?


    Hãy tưởng tượng một người dùng biết rằng lưu lượng thoại (Voice) luôn được ưu tiên cao nhất.

    Họ hoàn toàn có thể sử dụng một công cụ để tự sửa gói tin:
    DSCP = EF (Expedited Forwarding)

    hoặc
    CoS = 5

    Nếu switch tin tưởng hoàn toàn những giá trị này thì:
    • Video YouTube
    • Game Online
    • Torrent
    • Backup

    đều có thể tự nhận mình là "Voice Traffic".

    Kết quả là toàn bộ chính sách QoS bị phá vỡ.

    Trust Boundary ra đời để ngăn điều đó xảy ra.
    Thiết bị không đáng tin (Untrusted Devices)


    Trong hình, nhóm đầu tiên là:

    Untrusted / User-Administered Devices

    Ví dụ:
    • PC
    • Laptop
    • Máy in cá nhân
    • Thiết bị BYOD

    Đây đều là những thiết bị do người dùng quản lý.

    Doanh nghiệp không kiểm soát được:
    • Hệ điều hành
    • Driver
    • Phần mềm
    • Công cụ chỉnh sửa DSCP

    Vì vậy switch không nên tin bất kỳ giá trị QoS nào mà chúng gửi lên.

    Cisco thường cấu hình:
    no mls qos trust

    Điều này có nghĩa:

    "Tôi sẽ không tin bất kỳ giá trị CoS hoặc DSCP nào từ thiết bị này."

    Switch sẽ tự đánh dấu lại theo chính sách QoS của doanh nghiệp.
    Thiết bị đáng tin (Trusted Centrally-Administered Devices)


    Nhóm thứ hai trong hình là:

    Trusted Centrally-Administered Devices

    Đây là các thiết bị được doanh nghiệp quản lý tập trung.

    Ví dụ:
    • Máy chủ
    • Router
    • Switch Layer 3
    • Thiết bị UC
    • Một số hệ thống chuyên dụng

    Do doanh nghiệp kiểm soát toàn bộ cấu hình nên có thể tin tưởng các giá trị DSCP mà chúng tạo ra.

    Cisco sử dụng:
    mls qos trust dscp

    Lúc này switch sẽ giữ nguyên giá trị DSCP của gói tin thay vì ghi đè.
    Thiết bị tin cậy có điều kiện (Conditionally Trusted Devices)


    Đây là trường hợp thú vị nhất trong hình.

    Cisco gọi là:

    Centrally-Administered & Conditionally-Trusted Devices

    Ví dụ:
    • Cisco IP Phone
    • Cisco TelePresence (CTS)
    • IP Camera
    • Media Player

    Các thiết bị này thường được doanh nghiệp quản lý và có khả năng tự đánh dấu QoS chính xác.

    Cisco cung cấp cơ chế:
    mls qos trust device

    Ví dụ:
    mls qos trust device cisco-phone

    Switch sẽ kiểm tra:

    "Có đúng đây là Cisco IP Phone hay không?"

    Nếu đúng:

    → Trust CoS/DSCP.

    Nếu không đúng:

    → Không trust.

    Đây là lý do gọi là Conditionally Trusted.
    Vì sao Cisco IP Phone thường là Trust Boundary?


    Một ví dụ rất phổ biến trong doanh nghiệp:
    PC


    Cisco IP Phone


    Access Switch

    Cisco IP Phone có hai cổng Ethernet:
    • Một cổng kết nối về switch.
    • Một cổng kết nối xuống PC.

    Trong mô hình này:
    • Lưu lượng thoại do IP Phone tạo ra sẽ được đánh dấu DSCP EF (46) hoặc CoS 5 theo chuẩn.
    • Lưu lượng từ PC đi xuyên qua điện thoại sẽ không tự động được tin cậy, vì PC là thiết bị do người dùng quản lý.

    Nhờ đó, Trust Boundary được đặt ngay tại IP Phone hoặc Access Switch, vừa đảm bảo chất lượng cuộc gọi VoIP, vừa ngăn người dùng lợi dụng QoS để ưu tiên các ứng dụng không liên quan.
    Trust Boundary nên đặt ở đâu?


    Nguyên tắc chung là:
    Đặt Trust Boundary càng gần nguồn tạo lưu lượng hợp lệ càng tốt.

    Điều này giúp:
    • Ngăn chặn người dùng giả mạo giá trị QoS.
    • Giảm việc phải phân loại và đánh dấu lại nhiều lần trong mạng.
    • Đảm bảo toàn bộ hệ thống sử dụng các giá trị QoS nhất quán từ đầu đến cuối.

    Trong hầu hết các mạng doanh nghiệp, Trust Boundary thường nằm tại Access Switch, nơi thiết bị đầu cuối kết nối vào mạng.
    Kết luận


    Trust Boundary không phải là một giao thức hay một tính năng riêng biệt, mà là một nguyên tắc thiết kế QoS. Nó xác định điểm mà thiết bị mạng quyết định tin hay không tin các giá trị CoS (Layer 2)DSCP (Layer 3) được đánh dấu trên gói tin.

    Thiết bị do người dùng quản lý như PC hay laptop thường không được tin cậy (no mls qos trust), trong khi các thiết bị do doanh nghiệp quản lý tập trung như máy chủ hoặc router có thể được tin cậy (mls qos trust dscp). Với một số thiết bị đặc biệt như Cisco IP Phone, switch còn có thể chỉ tin khi xác thực đúng loại thiết bị thông qua mls qos trust device.

    Thiết kế đúng Trust Boundary là nền tảng để hệ thống QoS hoạt động hiệu quả, đảm bảo lưu lượng quan trọng như thoại, video hay ứng dụng nghiệp vụ luôn được ưu tiên, đồng thời ngăn chặn việc người dùng tự ý "đánh dấu" lưu lượng của mình để chiếm tài nguyên mạng.
    Attached Files
    Đặng Quang Minh, CCIE#11897 (Enterprise Infrastructure, Wireless, Automation, AI), CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/
Working...
X