tƯ vẤn hẠ tẦng mẠng tẠi trƯỜng ĐẠi hỌc kinh tẾ ĐÀ nẴng
TRANSCRIPT
TƯ VẤN HẠ TẦNG MẠNG TẠI TRƯỜNG ĐẠI HỌC KINH TẾ
ĐÀ NẴNG
Solution Proposal
EIS Confidential - April, 2003
Mục Lục
1 LỜI NÓI ĐẦU------------------------------------------------------------------------------------------------------3
2 ĐỊNH HƯỚNG THIẾT KẾ-------------------------------------------------------------------------------------4
2.1 NGUYÊN TẮC THIẾT KẾ------------------------------------------------------------------------------4
2.2 MÔ HÌNH KẾ THỪA-------------------------------------------------------------------------------------5
2.3 YÊU CẦU CHÍNH CHO HẠ TẦNG MẠNG CỦA TRƯỜNG ĐHKT ĐN---------------------7
2.4 CHỌN LỰA NHÀ SẢN XUẤT--------------------------------------------------------------------------8
3 THIẾT KẾ MẠNG CAMPUS---------------------------------------------------------------------------------12
3.1 MÔ TẢ BẢN VẼ THIẾT KẾ---------------------------------------------------------------------------12
3.2 LỰA CHỌN THIẾT BỊ----------------------------------------------------------------------------------15
3.2.1 Center Switch-------------------------------------------------------------------------15
3.2.2 Distribution Switch và Access Switch--------------------------------------------164 CÁC PHÂN HỆ KHÁC TRONG MẠNG-------------------------------------------------------------------17
4.1 PHÂN HỆ CÁP--------------------------------------------------------------------------------------------17
4.2 PHÂN HỆ BẢO MẬT------------------------------------------------------------------------------------22
4.2.1 Cisco Secure Intrusion Detection System----------------------------------------22
4.2.2 Cisco Security Agent----------------------------------------------------------------224.3 PHÂN HỆ QUẢN TRỊ MẠNG-------------------------------------------------------------------------23
4.4 PHÂN HỆ TRUYỀN THÔNG-------------------------------------------------------------------------25
4.5 PHÂN HỆ INTERNET VÀ TRUY CẬP TỪ XA---------------------------------------------------25
5 DỰ TOÁN ĐẦU TƯ---------------------------------------------------------------------------------------------29
6 TÀI LIỆU KỸ THUẬT THIẾT BỊ------------------------------------------------------------------------------30
EIS confidential 2
Solution Proposal
1 LỜI NÓI ĐẦUNgày nay, CNTT được xem là một trong những yếu tố quan trọng ảnh hưởng đến sự
phát triển của nền kinh tế Thế Giới nói chung và kinh tế ở các quốc gia nói riêng, mặc dù sức ảnh hưởng cũng như sự tiếp cận với công nghệ này đều mang những tính chất và đặc trưng riêng của sự phát triển ở từng quốc gia. CNTT ảnh hưởng đến sự phát triển chung của toàn nhân loại. Cùng với sự phát triển của nền kinh tế tri thức ở các nước Châu Á, Việt Nam cũng đang cố gắng từng bước đưa CNTT vào tất cả các ngành nghề, các lĩnh vực khác nhau trong xã hội nhằm tạo động lực thúc đẩy sự phát triển của nền kinh tế quốc gia, góp phần vào sự nghiệp phát triển công nghiệp hóa và hiện đại hóa Đất nước.
CNTT ngày nay hầu như đi vào tất cả các lĩnh vực trong xã hội: kinh tế, giáo dục, giải trí...và nó đã mang lại những thành quả rất đáng kể. Đối với các doanh nghiệp, các tổ chức xã hội và các công ty thì CNTT đóng một vai trò hết sức quan trọng trong việc phát triển và mở rộng việc sản xuất, kinh doanh và điều hành ..., tạo sự thuận lợi trong việc kinh doanh cũng như trong vấn đề quản lý và điều hành.
Do vậy, cùng với sự phát triển mạnh mẽ của ngành CNTT hiện nay thì nhu cầu ứng dụng những thành quả của CNTT vào hoạt động các tổ chức xã hội, công ty, doanh nghiệp là điều dễ hiểu và cần thiết phải làm nhằm nâng cao chất lượng và hiệu quả kinh doanh của các thành phần này. Nhu cầu đặt ra cho sự phát triển CNTT trong các thành phần này là:
Trao đổi thông tin dữ liệu nhanh chóng và an toàn: việc trao đổi thông tin, dữ liệu giữa các thành viên trong doanh nghiệp, giữa văn phòng trung tâm với các chi nhánh được thực hiện một cách nhanh chóng và an toàn, tốc độ truyền tải thông tin cao, đáp ứng nhu cầu hoạt động của doanh nghiệp.
Có khả năng quản lý tập trung thông tin dữ liệu: xây dựng được mô hình quản lý tập trung, tất cả dữ liệu được tập trung tại một nơi để vừa bảo mật thông tin vừa thuận tiện cho việc quản lý và sao lưu dự phòng dữ liệu. Đồng thời với cách quản lý tập trung từ văn phòng trung tâm có thể dễ dàng quản lý các văn phòng từ xa thông qua sự hỗ trợ của các chương trình ứng dụng.
Khả năng điều hành và quản trị từ xa: nhà doanh nghiệp có thể điều hành hoạt động kinh doanh của mình từ xa thông qua hệ thống mạng. Do đó, tiết kiệm được chi phí đi lại và nâng cao hiệu quả công tác quản lý và giúp Ban Giám Đốc doanh nghiệp có thể kiểm soát toàn bộ hoạt động kinh doanh của doanh nghiệp mình thông qua hệ thống mạng truy cập từ xa hoặc thông qua mạng Internet dù ở bất kỳ vị trí nào trên thế giới.
EIS confidential 3
Solution Proposal
Một giải pháp tích hợp đa dịch vụ thoại - dữ liệu - hình ảnh: với xu hướng phát triển công nghệ mạng hiện nay thì các dịch vụ sẽ được tích hợp trên cùng một mạng IP duy nhất. Nhờ vậy tận dụng được tối đa hạ tầng cơ sở đã đầu tư, dễ dàng trong việc tích hợp nhiều loại hình dịch vụ khác nhau trên cùng một nền tảng giúp quản lý, sử dụng và khai thác hiệu quả các ứng dụng của CNTT.
Bản đề xuất này nhằm mong muốn giúp những nhà lãnh đạo và quản lý thông tin đang dự định xây dựng một hạ tầng thông tin mới cho trường có thể hiểu được các thành phần cần thiết của một hệ thống mạng và dự toán kinh phí cho việc đầu tư, nó không tập trung đi sâu vào việc phân tích các vấn đề kỹ thuật của việc triển khai cấu hình thiết bị
2 ĐỊNH HƯỚNG THIẾT KẾ
Về cơ bản, hệ thống mạng của trường là một mạng Campus có qui mô lớn với số lượng các nút mạng lên tới 500, sẽ hỗ trợ các ứng dụng đào tạo từ xa đa phương tiện (dữ liệu, âm thanh và hình ảnh) cho sinh viên cả trong và ngoài trường. Vì vậy, trường cần phải xây dựng một hạ tầng mạng vững chắc, có năng lực lớn, có tính mở rộng và mềm dẻo, tính sẵn sàng cao, khả năng dự phòng tối đa, và hỗ trợ các dịch vụ thông minh trên mạng.
Việc thiết kế một hạ tầng như vậy đòi hỏi phải có một cách tiếp cận đúng đắn trong quá trính thiết kế. Các phương án được đề xuất trong tài liệu này dựa trên mô hình kế thừa cho quá trình thiết kế mạng được xây dựng bởi Cisco Systems, một mô hính thiết kế được sử dụng rộng rãi nhất hiện nay.
2.1 NGUYÊN TẮC THIẾT KẾ
Việc xây dựng hệ thống mạng hiện đại phải dựa trên một số nguyên tắc cơ bản sau:
o Đáp ứng các yêu cầu dịch vụ
o Chọn lựa các thiết bị đáp ứng được tốt yêu cầu của hệ thống.
o Sử dụng công nghệ tiên tiến của các hãng nổi tiếng trên thế giới
o Hệ thống có tốc độ cao, băng thông lớn
o An toàn và bảo mật cao
o Đảm bảo tính ổn định và đáng tin cậy
o Đảm bảo tính nhất quán của thông tin
EIS confidential 4
Solution Proposal
o Dể thay đổi và nâng cấp
o Chuẩn hoá hệ thống theo mô hình mở
o Giá thành hợp lý và hiệu quả cao
o Đáp ứng được những đòi hỏi về kinh tế
o Đáp ứng hoạt động của các ứng dụng
o Khả năng quản lý tập trung, quản lý từ xa.
o Hiệu suất cao.
2.2 MÔ HÌNH KẾ THỪA
Mô hình kế thừa được phân ra làm ba tầng phân biệt, như được minh hoạ ở hình 2.1Hình 2.1 : Hierarchical Network Design
Những tầng này là access layer, distribution layer, và core layer. Mỗi tầng có các đặc tính mà cung cấp cả các chức năng logic và vật lý tại điểm thích hợp trong mạng campus.
Tầng Access
Là nơi giao tiếp trực tiếp với các người dùng (end users), cung cấp cho các end users môi trường truy cập vào hệ thống mạng. Các chức năng chính của layer này như sau:
Chia sẻ băng thông
Chuyển mạch các gói tin
EIS confidential 5
Solution Proposal
Cung cấp các dịch vụ ở layer 2 như phân chia VLAN để giảm tín hiệu Broadcast giúp tận dụng tối ưu băng thông cho đường truyền mạng, cấu hình an ninh cho các cổng giao tiếp trên bộ chuyển mạch bằng công nghệ MAC Address Filtering tránh sự xâm nhập trái phép của các máy tính từ bên ngoài truy cập vào hệ thống mạng nội bộ…
Tầng Distribution
Là điểm kết nối trung gian giữa lớp Access và lớp Core, Lớp Distribution có rất nhiều vai trò, là lớp quyết định các chính sách của hệ thống với các chức năng như sau:
Tập hợp VLAN (VLAN aggregation).
Truy cập riêng lẻ hoặc theo từng nhóm.
Xác định broadcast domain hoặc multicast domain.
Bảo mật và thực hiện các chức năng kết nối dựa trên chính sách thông qua cơ chế access list và lọc packet.
Chuyển đổi giữa các phương tiện truyền thông (media translations).
Chất lượng dịch vụ.
Tầng Core
Lớp Core thường được xem là lớp Backbone của hệ thống mạng Campus, cung cấp kết nối tốc độ cao đến tất cả các thiết bị ở lớp distribution, thực hiện chức năng chính là chuyển mạch (switching) các traffic trên mạng một cách nhanh chóng nhất. Các chức năng chính của lớp core như sau :
Thông lượng rất cao và chuyển mạch các frames hoặc các gói dữ liệu một cách nhanh nhất
Không thực hiện các thao tác không cần thiết đến packet (access list và lọc packet)
Không xử lý chức năng tầng 3, trừ phi cần thiết và rất nhanh
Khả năng dự phòng và phục hồi để đạt tính sẵn sàng cao
Thích ứng nhanh với sự thay đổi trên mạng.
Độ trễ thấp, khả năng quản lý tốt.
Cung cấp các truy cập đến các khối khác như khối WAN
EIS confidential 6
Solution Proposal
Hầu hết mạng Campus gồm hai thành phần chính: LAN Switch và Router. Bằng việc phân chia hệ thống mạng thành các broadcast domain khác nhau và kết nối các broadcast domains này lại với nhau dựa trên chức năng định tuyến lớp 3 của thiết bị, nhà quản trị mạng có thể lọc các lưu thông broadcast, kết nối các nhóm/workgroup đa giao thức và hỗ trợ tính bảo mật của lưu thông theo các cấp độ khác nhau.
Campus là mạng được ứng dụng chủ yếu trên công nghệ switching, công nghệ này được xây dựng trên các lớp khác nhau của mô hình OSI, ứng với mỗi lớp thì công nghệ switching có các đặc điểm và các ưu nhược điểm khác nhau. Công nghệ switching có thể được ứng dụng ở các lớp khác nhau như: Layer 2 switching, Layer 3 switching, Layer 4 switching, Multilayer switching.....Các ưu điểm của công nghệ multilayer switching bao gồm:
Có tốc độ kết nối cao của công nghệ switching lớp 2: 10Mbps, 100Mbps, 1000Mbps
Có mật độ cổng cao của công nghệ switching, một thiết bị switching lớp 3 có thể cung cấp lên đến 300-400 cổng giao tiếp 10/100 hay trên 100 cổng giao tiếp gigabit.
Có tốc độ xử lý packet cao lên đến hàng trăm Mbps
Có khả năng phân làm nhiều vùng địa chỉ khác nhau như thiết bị router, làm giảm xung độ tín hiệu broadcast.
Tăng cường độ an toàn của hệ thống vì mỗi thành phần trên mạng khi cần thiết có thể chia thành một subnet riêng và các thành phần này không thể nhìn thấy nhau như trên một mạng LAN được
Đơn giản và tiết kiệm về mặt thiết bị cho các kết nối đầu cuối.
2.3 YÊU CẦU CHÍNH CHO HẠ TẦNG MẠNG CỦA TRƯỜNG ĐHKT ĐN
Hệ thống các thiết bị mạng được trang bị cho trường phải là những thiết bị áp dụng các công nghệ hiện đại nhằm đảm bảo cho hệ thống đầu tư mới có thể sử dụng tối thiểu trong vòng 5 năm mà không bị lỗi thời và hệ thống được thiết kế có khả năng mở rộng cao nhằm tiết kiệm chi phí cho việc nâng cấp về sau.
Hệ thống có khả năng hoạt động liên tục 24/24h và 7ngày/1tuần Có khả năng tích hợp việc truyền dẫn tín hiệu khác như Video, Voice,....trong tương
lai khi có nhu cầu trang bị Đảm bảo tính an ninh và bảo mật dữ liệu cho các máy chủ. Việc bảo hành, bảo trì, nâng cấp và thay đổi phù hợp với nhu cầu phát sinh của
trường một cách tiện lợi và tiết kiệm.
EIS confidential 7
Solution Proposal
Quan điểm thiết kế nói chung là vừa phải đảm bảo nhu cầu hiện tại nhưng phải sẵn sàng cho sự phát triển trong tương lai. Sự phát triển này bao gồm cả số điểm kết nối, số lượng người dùng, số lượng dịch vụ, phương thức kết nối…
2.4 CHỌN LỰA NHÀ SẢN XUẤT
Đi chung với xu hướng phát triển CNNT hiện nay thì việc cung cấp các thiết bị CNTT với chất lượng ngày càng cao hơn đối với từng ứng dụng công nghệ là điều tất yếu phải xảy ra. Theo xu hướng trước đây thì các thiết bị được sản xuất chỉ cho từng công nghệ rời rạc và được lắp ghép với nhau để tạo nên một hệ thống mạng chung – thời gian sống của các sản phẩm ngắn do công nghệ thay đổi quá nhanh chóng.
Nhưng ngày nay, xu hướng tích hợp đa dịch vụ và qui tụ trên nền tảng của công nghệ IP đang là xu hướng chung phát triển – người sử dụng đòi hỏi việc đơn giản trong quản lý và đầu tư. Chính vì vậy các sản phẩm đa dịch vụ là điểm nóng trong công nghệ sản xuất các sản phẩm CNTT hiện nay.
Chọn lựa sản phẩm để xây dựng một hệ thống mạng CNTT không chỉ là việc chọn lựa các sản phẩm chỉ đủ để đáp ứng các yêu cầu cơ bản được đặt ra mà còn phải là các sản phẩm đáp ứng và đi theo được các xu hướng phát triển CNTT hiện nay và có thể nhìn thấy được trong tương lai. Các yêu cầu đặt ra với các thiết bị được sử dụng tối thiểu phải đáp ứng các yêu cầu như sau:
Các thiết bị có khả năng tích hợp đa dịch vụ, đa lớp trên chung một nền tảng thiết bị chính và có khả năng nâng cấp thay đổi theo thời gian cũng như theo xu hướng phát triển chung. Các dịch vụ tích hợp bao gồm Data, Video, Voice … với các công nghệ IP, Frame Realy, ATM qua các môi trường truyền dẫn như cáp đồng hoặc cáp quang với tốc độ cao.
Cho phép đầu tư từng phần theo từng giai đoạn phát triển nhằm tiết kiệm kinh phí đầu tư với cấu trúc modular là yêu cầu bắt buộc. Việc nâng cấp các tính năng của thiết bị được thông qua cả phần cứng và phần mềm.
Khả năng quản trị tập trung và đơn giản trong việc khắc phục sự cố trên thiết bị.
Vòng đời và khả năng thích nghi của thiết bị cao – không bị ảnh hưởng bởi việc thay đổi công nghệ
Hỗ trợ của nhà sản xuất, bao gồm việc hỗ trợ khắc phục sự cố, nâng cấp công nghệ theo thời gian…. Điều này bắt buộc nhà sản xuất phải có văn phòng tại Việt nam và có các nhà phân phối chuyên nghiệp tại Việt Nam trong vấn đề hỗ trợ khách hàng sau bán hàng.
EIS confidential 8
Solution Proposal
Hiện tại ở Việt Nam có khá nhiều các nhà sản xuất thiết bị Viễn Thông từ nước ngoài đầu tư tìm kiếm thị trường, tuy nhiên xét cho cùng thì chỉ có 04 nhà sản xuất có khả năng cung cấp các thiết bị cho mạng truyền thông là Nortelnetwork, Intel, Cisco System và Lucent. Tuy nhiên mỗi nhà sản xuất có những điểm mạnh yếu khác nhau và để lựa chọn sảm phẩm cần có một sự phân tích các điểm mạnh/yếu của các nhà sản xuất này. Nhưng nhìn chung Cisco Systems hiện vẫn là tập đoàn sản xuất có uy tín vàc chiếm thị phần cao nhất thế giới về các sản phẩm kết nối mạng.
Các hãng sản xuất nói chung
Các hãng sản xuất khác mặc dù vẫn có các sản phẩm như Swicth đa lớp, Swicth lớp 2, Router …. nhưng thị phần của các sản phẩm này tại Việt Nam không cao và có những điểm yếu nhất định như:
Multi Layer Swicth: có sản xuất tuy nhiên về thị phần tại Việt nam đối với sản phẩm này thì chưa có. Nếu so sánh với các thiết bị Swicth lớp 3 của Cisco (cụ thể là dòng thiết bị Catalyst 6500 Series) thì yếu hơn nhiều về mật độ cổng giao tiếp, số lượng các giao tiếp, công nghệ tích hợp, khả năng xử lý backplane …
Về High-end Router: chủ yếu tập trung hỗ trợ định tuyến cho data thuần túy trên nền tảng IP, ATM.... Không có khả năng tích hợp truyền các dịch vụ khác như Voice, Video…( không phù hợp với yêu cầu tích hợp đa dịch vụ và khó khăn trong việc quản trị.
Các Swicth lớp 2: Có thể gọi là được cho các doanh nghiệp thuộc thị trường vừa và nhỏ nhưng nếu so sánh về giá cả và khả năng đồng bộ theo yêu cầu của Hanel SP thì sẽ là không phù hợp. (so sánh với thiết bị của Cisco). Nhưng khả năng xử lý nội tại so với Cisco thì thấp hơn khá nhiều.
Khả năng hỗ trợ của nhà sản xuất: Có văn phòng tại VN nhưng không tập trung vào việc phát triển kỹ thuật và hỗ trợ sau bán hàng – không có những Local Partner hoạt động mang tính chất chuyên nghiệp mà chỉ tập trung vào việc bán hàng trên thị trường SMB là chính.
Cisco SystemsLà một hãng sản xuất thiết bị CNTT gần như chiếm thị phần cao nhất trên toàn cầu hiện
nay và có thị phần khá lớn tại Việt Nam (cung cấp sản phẩm cho nhiều nhà cung cấp dịch vụ lớn tại Việt Nam như VDC, Saigon Postel, các Trung tâm Công nghệ phần mềm như SaiGon Software Park, Haiphong SP, Danang SP, …các toà nhà công nghệ cao tại các thành phố lớn và rất nhiều các doanh nghiệp vừa và nhỏ khác. Các sản phẩm được cung cấp với chất lượng cao, khả năng hoạt động ổn định và tích hợp nhiều loại công nghệ, dịch vụ trên
EIS confidential 9
Solution Proposal
nền chung. Tập trung vào 02 thiết bị chính là Multi Layer swicth và Router để phân tích sẽ nhận thấy có các điểm sau:
Multi-Layer Swicth: không chỉ hỗ trợ lớp 3 mà còn hỗ trợ các dịch vụ lớp 4 và lên đến lớp 7 (Application Layer). Khả năng cung cấp mật độ cổng cao với nhiều giao tiếp khác như Ethernet 10/100/1000/10000 Mbps, ATM, Token Ring, Frame Relay, Serial….cho phép tích hợp các dịch vụ gia tăng trên nền IP như Voice over IP, Video over IP. Khả năng xử lý gói và chuyển mạch nội tại cao (so sánh với Avaya và Nortel)
High-End Router: Thị phần khá cao tại Việt Nam (đặc biệt là dòng sản phẩm 7500). Cho phép tích hợp thêm dịch vụ như Voice, Video với các công nghệ IP, FR, ATM… để truyền chung với data trên nên chung của thiết bị mà không yêu cầu đầu tư thêm nhiều các thiết bị rời rạc khác.
Khả năng hỗ trợ của nhà sản xuất: Có văn phòng tại VN và các chính sách tập trung vào việc hỗ trợ khách hàng thông qua việc phát triển các chương trình huấn luyện khách hàng, tìm kiếm các Partner chuyên nghiệp để hỗ trợ khách hàng (thông qua việc cấp chứng chỉ chuyên nghiệp…) và hiện nay đã có các Partner đáp ứng đầy đủ các yêu cầu về chính sách của chính nhà sản xuất trong việc hỗ trợ khách hàng sau bán hàng.
Cisco System, một trong các tập đoàn hàng đầu về lĩnh vực mạng. Công ty được thành lập cuối năm 1984 bởi một nhóm nhà khoa học máy vi tính từ trường đại học Stanford, đang tìm một phương thức dễ dàng hơn cho việc kết nối các hệ thống máy tính khác nhau. Cisco xuất khẩu sản phẩm đầu tiên của mình vào năm 1986. Từ đó, Cisco đã phát triển lên thành một tập đoàn đa quốc gia với hơn 26140 nhân viên, 225 văn phòng bán hàng và hỗ trợ trên 75 nước. Các giải pháp mạng của Cisco kết nối người dùng với người dùng, kết nối các máy tính và kết nối các hệ thống mạng với nhau, cho phép người sử dụng truy cập hoặc chuyển tải các dữ liệu điện tử mà không cần quan tâm đến sự khác biệt về thời gian, không gian và sự khác biệt về hệ thống mạng mà họ đang sử dụng.
Khách hàng có thể sử dụng giải pháp End-to-End của Cisco để xây dựng cơ sở hạ tầng thông tin phù hợp nhất cho chính họ hoặc để kết nối với hệ thống mạng khác. Một giải pháp End-to-end với cấu trúc mạng thông dụng có thể đảm bảo chắc chắn cho việc thực hiện các dịch vụ mạng tới tất cả người sử dụng đầu cuối. Cisco là thương hiệu duy nhất có khả năng cung cấp đồng bộ và toàn bộ những yếu tố cần thiết trên.
Đối tượng khách hàng mà Cisco chú trọng phục vụ đó là:
- Tổ chức và doanh nghiệp lớn (Enterprise)- Quy mô tổ chức lớn với nhu cầu phức tạp về mạng, thường phải kết nối nhiều hệ thống mạng tại nhiều vùng khác nhau.
EIS confidential 10
Solution Proposal
Tổ chức và doanh nghiệp lớn bao gồm: tập đoàn, cơ quan chính phủ, viện đào tạo, phúc lợi xã hội, các trung tâm thương mại, tòa nhà công nghệ cao, ...
- Các nhà cung cấp dịch vụ (Service Providers)- Các công ty cung cấp dịch vụ thông tin bao gồm các nhà cung cấp dịch vụ viễn thông, Internet, các công ty cung cấp dịch vụ liên lạc viễn tuyến có dây hoặc không dây.
- Doanh nghiệp vừa và nhỏ- Là những công ty chỉ cần hệ thống mạng phục vụ cho công việc kinh doanh của chính mình và phục vụ cho việc kết nối Internet hay kết nối hệ thống mạng với đối tác.
Khác với các công ty hoạt động trong lĩnh vực công nghệ khác, Cisco không tiếp cận với khách hàng theo hướng cứng nhắc: đem 1 công nghệ áp dụng cho tất cả mọi nhu cầu khác nhau và coi đó là câu trả lời duy nhất cho khách hàng. Luận điểm của Cisco là nghe các đòi hỏi từ khách hàng, xử lý bằng tất cả các công nghệ thích hợp có thể lựa chọn và trả lời cho khách hàng bằng một danh sách các lựa chọn công nghệ hợp lý. Cisco xây dựng, phát triển sản phẩm và giải pháp dựa trên các chuẩn công nghiệp được áp dụng rộng rãi trên toàn thế giới. Và trong một vài trường hợp cá biệt, chính các công nghệ được Cisco xây dựng đã trở thành chuẩn quốc tế.
Liên tục hàng ngày, Cisco và các khách hàng của mình đã không ngừng chứng minh rằng mạng và Internet có thể làm các công ty thay đối căn bản phương thức kinh doanh có lợi nhất. Cisco đã mô tả sự thay đối này bằng một khái niệm “Global Networked Business” (Kinh doanh mạng toàn cầu). Khái niệm này chỉ ra rằng: một doanh nghiệp hay tổ chức ở bất kỳ quy mô nào sử dụng các thông tin và liên lạc qua mạng (networking) để xây dựng nên mối quan hệ tương tác mạnh mẽ với các đối tác quan trọng. Kinh Doanh Mạng Toàn Cầu dùng mô hình tự trợ giúp (seft-help) truy cập thông tin, mô hình này hiệu quả và đảm bảo hơn nhiều so với mô hình truyền thống là thông tin được lưu giữ bởi một số người có trách nhiệm và sẽ được chia sẻ khi một số người này cảm thấy muốn chia sẻ. Chính bản thân Cisco cũng là một điển hình cho mô hình Kinh doanh mạng toàn cầu. Bằng việc sử dụng các ứng dụng mạng trên Internet và trên mạng nội bộ, Cisco đã tiết kiệm được chi phí vận hành mạng mỗi năm khoảng 550 triệu Đô La Mỹ đồng thời thoả mãn khách hàng được tốt hơn, dành được ưu thế cạnh tranh cao hơn trong các lĩnh vực như: hỗ trợ khách hàng, order sản phẩm và giảm thời gian giao hàng. Ngày nay, trang Web của Cisco là một trong những trang Web thương mại lớn nhất, với 84% các giao dịch mua bán sản phẩm của chính công ty được tiến hành thông qua Web.
Như câu chuyện thành công của một tập đoàn lớn nhất nước Mỹ, Cisco giờ đây là một trong 2 công ty với khả năng tài chính lớn nhất thế giới, trị giá vốn thị trường khoảng 450 tỉ USD (thống kế tháng 3, 2000), trên cả giá trị của các công ty nổi tiếng như: Exxon, IBM và
EIS confidential 11
Solution Proposal
Coca-cola. Không chỉ lớn hơn các đối thủ cạnh tranh, Cisco còn là công ty hoạt động tốt nhất và có sự ổn định về tài chính nhất trên nước Mỹ.
Xác định nhà sản xuấtDựa vào các yếu tố được phân tích trên để chọn lựa thiết bị để xây dựng hệ thống mạng
CNTT cho trường ĐHKT ĐN, chúng tôi quyết định chọn lựa các dòng sản phẩm của Cisco trong việc tư vấn dự án này dựa trên các yếu tố chính như sau:
Khả năng xử lý của thiết bị
Khả năng đồng bộ thiết bị trên toàn hệ thống mạng
Khả năng quản trị thống nhất và tập trung
Khả năng hỗ trợ dịch vụ và công nghệ trên thiết bị
Khả năng tồn tại của thirết bị trong các điều kiện thay đổi công nghệ- ứng dụng và khả năng tương thích, mở rộng của thiết bị trong tương lai
Khả năng hỗ trợ của nhà sản xuất/cung cấp sau bán hàng.
Với các phân tích trên, để xây dựng hệ thống mạng tại ĐHKT ĐN cho việc tích hợp các ứng dụng dữ liệu, thoại, hình ảnh, chúng tôi quyết định sử dụng các dòng sản phẩm của Cisco vừa có thể đảm bảo xây dựng một hệ thống mạng mang tính mở vừa có được sự hỗ trợ tốt nhất của nhà sản xuất. Một yếu tố không kém phần quan trọng nữa là tại Việt Nam, EIS được xác định là đối tác chiến lược chính của Cisco Systems trong việc cung cấp các giải pháp tổng thể, cung cấp thiết bị và các dịch vụ hỗ trợ kỹ thuật đầy đủ cho các hệ thống mạng Tin học, Viễn thông. Vì thế EIS được sự hỗ trợ hợp tác toàn diện từ tập đoàn Cisco về mọi mặt. Đây cũng là một lợi thế rất lớn cho các khách hàng của EIS cả về mặt giá cả và hỗ trợ dịch vụ kỹ thuật sau bán hàng.
3 THIẾT KẾ MẠNG CAMPUS3.1 MÔ TẢ BẢN VẼ THIẾT KẾ
Mạng Campus của trường kết nối các mạng LAN tại các toà nhà như khu Hành Chính (nơi này cũng là nơi đặt các máy chủ quan trọng), khu nhà mới, khu làm việc B, khu giảng đường, thư viện và khu ký túc xá. Việc phân bổ các nút mạng theo dự định của trường tại mỗi khu vực như sau :
Khu giảng đường : 360 nút Khu nhà mới : 60 nút
EIS confidential 12
Solution Proposal
Khu hành chính : 30 nút Khu nhà làm việc B : 20 nút Khu thư viện : 20 nút Khu ký túc xá : 20 nút
Dựa trên mô hình kế thừa, các thiết bị tại mỗi tầng - các thiết bị nói đến ở đây chính là các thiết bị chuyển mạch (switch) có khả năng thực hiện một hoặc đồng thời cả chuyển mạch Layer 2, Layer 3, Layer 4 - được phân bổ vào từng khu vực như sau :
Khu giảng đường Gồm các thiết bị chuyển mạch tại tầng Access và tầng Distribution, hay gọi là Access switch và Distribution switch. Khu giảng đường gồm có 3 tầng, với mật độ nút mạng dày đặc. Do vậy, Distribution switch phải có một hiệu suất mạnh để xử lý toàn bộ số lượng lưu thông từ các Access switch. Ngoài ra, Distribution switch cũng có thể được lựa chọn để đóng vai trò là một Access switch. Các Distribution switch sẽ được kết nối về Center Switch qua cổng tốc độ 1000 Mbps trên GBIC-Gigabit Interface Convertor dùng cáp đồng hoặc cáp quang tuỳ thuộc vào khoảng cách giữa hai switch.
Khu hành chínhThiết bị chuyển mạch tại tầng Core, được gọi là Center Switch sẽ được đặt tại đây. Center Switch là một thiết bị chuyển mạch đa tầng (multilayer switch - xử lý đồng thời Layer 2, Layer 3, Layer 4 switching). Center Switch này sẽ cung cấp các giao tiếp GBIC kết nối đến các Distribution switch ở các khu nhà còn lại. Hệ thống các máy chủ ứng dụng và Database được kết nối trực tiếp vào Center Switch . Khu hành chính có số lượng nhỏ các máy trạm, nên các máy này cũng sẽ được kết nối trực tiếp vào Center Switch mà vẫn không ảnh hưởng đến hiệu suất của thiết bị.
Các khu nhà khácSố lượng các nút mạng tại đây là nhỏ, vì vậy, thiết bị chuyển mạch tại những vị trí này sẽ đóng vai trò là Access switch và Distribution switch. Các switch này sẽ được kết nối về Center Switch qua các giao tiếp trên GBIC.
Hình 3.1 : Sơ đồ kết nối
EIS confidential 13
Solution Proposal
EIS confidential 14
Solution Proposal
3.2 LỰA CHỌN THIẾT BỊ
3.2.1 Center Switch
Thiết bị switch trung tâm tại đây nên có các yêu cầu kỹ thuật cơ bản như sau:
Khả năng hoạt động ở lớp 2/3/4
Thông lượng của thiết bị cao cho việc quản lý các gói dữ liệu, tốc độ chuyển mạch backplane trên thiết bị cao
Khả năng định tuyến giữa các VLAN
Chuyển đổi và tương thích các phương tiện truyền thông khác nhau để truyền tải đa dạng các loại dữ liệu trên mạng: data, voice, video....
Khả năng thực hiện các chính sách an toàn và kết nối thông qua access list hoặc gói dữ liệu
Khả năng sẵn sàng cao ( dự phòng và mở rộng )
Khả năng đáp ứng đa dạng các loại cổng giao tiếp 10/100/1000 Mbps, mật độ cổng giao tiếp cao.
Khả năng quản lý dễ dàng thông qua các trình ứng dụng SNMP, Telnet, TFTP, RMON....
Nhằm đáp ứng các yêu cầu đặt ra như trên, chúng tôi sử dụng thiết bị Catalyst 4507R của Cisco với card xử lý cao cấp Supervisor Engine IV. Cisco Catalyst 4507 là một sản phẩm thuộc dòng Cisco Catalyst 4500 -một dòng mới thuộc họ Cisco Catalyst 4000. Cisco Catalyst 4507R có 7 slot (khe) để gắn Supervisor và các module chức năng có khả năng cung cấp đầy đủ các kiểu giao diện. Đặc biệt, Cisco Catalyst 4507R được thiết kế cho phép dự phòng nóng card xử lý cao cấp Supervisor Engine IV mà các thiết bị khác thuộc dòng Catalyst 4000 không có và chỉ có ở các họ Cisco Catalyst cao hơn như Cisco Catalyst 6500, 8500 . Với khả năng dự phòng này, hệ thống mạng sẽ có khả năng phục hồi và giảm thiểu tối đa thời gian thời gian chết khi xảy ra sự cố. Một card Supervisor Engine IV sẽ được cấu hình làm chủ (active) và chịu trách nhiệm cho hoạt động bình thường cuả hệ thống. Card thứ hai sẽ được cấu hình ở trạng thái chờ (standby), giám sát hoạt động của Supervisor chính. Khi premary Supervisor bị hỏng, secondary Supervisor sẽ tự động nhận quyền điều khiển chassis (khung) 4507R. Các Supervisor được thiết kế cho phép thay thế nóng (hot-swapping) để không làm ngưng hệ thống.
Cisco Catalyst 4507R với Supervisor Engine IV có kết cấu chuyển mạch 64 Gbps và tốc độ forward 48 Mpps cho tất cả lưu thông layer 2, layer 3 và layer 4. Thêm vào đó, đây là
EIS confidential 15
Solution Proposal
một hệ thống được thiết kế tối ưu cho các ứng dụng đa phương tiện như các ứng dụng đào tạo của trường ĐHKT sẽ xây dựng.
Giả sử trong cấu hình này chỉ sử dụng một card Supervisor Engine IV. Như vậy, Cisco Catalyst 4507R còn 6 slot, 1 slot để cắm Supervisor dự phòng và 5 slot cắm các module chức năng. Trong 5 slot này, hai slot sẽ được sử dụng để cắm module có 6 cổng GBIC để cung cấp các kết nối tới Distribution switch và module có 48 cổng 10/100 Mbps để kết nối các server và các máy tính tại khu hành chính. 3 slot còn lại cho phép hệ thống có thể mở rộng trong tương lai để cắm các module khác mà hỗ trợ thoại IP, hay mở rộng các cổng giao tiếp.
Chi tiết về sản phẩm này xin tham khảo phần tài liệu của nhà sản xuất trong mục 6
3.2.2 Distribution Switch và Access Switch
Như đã đề cập, khu giảng đường có số lượng nút mạng lớn, nên tại đây cần trang bị một Distribution switch có hiệu suất mạnh. Chúng tôi lựa chọn Catalyst 4006 với Supervisor Engine IV, giá thành không hơn Catalyst 4006 với Supervisor Engine III mà được nhà sản xuất hỗ trợ thêm nhiều tính năng mới cho card Supervisor Engine IV. Chúng ta không thể sử dụng Catalyst 4006 với Supervisor Engine II vì Supervisor Engine II không hỗ trợ các tính năng của lớp distribution, nó chỉ đơn giản forward lưu thông tầng 2. Việc sử dụng Catalyst 4006 với Supervisor Engine IV sẽ làm nhẹ bớt gánh nặng xử lý cho switch trung tâm, là Catalyst 4507R. Catalyst 4006 cũng đóng vai trò là một Access switch tại đây.
Catalyst 4006 cũng có 6 slot và sẽ được sử dụng hết số slot này như sau : Một slot để cắm Supervisor Engine IV (bắt buộc phải có, vì đây có thể xem
như là một bộ xử lý trung tâm của thiết bị) Một slot để cắm module có 6 cổng GBIC để kết nối các Access switch tại
các phòng còn lại trong khu giảng đường và kết nối về switch trung tâm. 4 slot còn lại sẽ cắm module cung cấp 48 cổng 10/100 Mbps, như vậy, số
nút mạng dành cho end-user mà 4006 cung cấp là 192 nút
Các Access switch được đề xuất là Cisco Catalyst 2950G-48 (48 port 10/100 Mbps và 2 GBIC) và Cisco Catalyst 2950G-24 (24 port 10/100 Mbps và 2 GBIC) có thể được phân bổ như sau :
Tại khu giảng đường, chúng ta cần thêm ít nhất 160 cổng, do vậy, cần thêm 4 Cisco Catalyst 2950G-48, cung cấp thêm 192 cổng 10/100 Mbps. Tuỳ thuộc vào việc phân bổ số nút cho mỗi tầng sau này, có thể thực hiện xếp chồng các switch này hoặc tách
EIS confidential 16
Solution Proposal
riêng chúng ra, rồi sau đó kết nối về Catalyst 4006 qua các cổng GBIC dùng cáp đồng vì khoảng cách giữa các switch Catalyst 2950 với Catalyst 4006 dưới 100m.
Tại khu nhà mới, dùng một Catalyst 2950G-48 và một Catalyst 2950G-24. Hai switch này sẽ được kết nối với nhau có thể qua cổng 10/100 Mbps hoặc qua cổng GBIC dùng cáp đồng. Sau đó, sẽ được kết nối trực tiếp về switch trung tâm qua cổng GBIC dùng cáp đồng vì khoảng cách giữa khu nhà mới với khu hành chính dưới 100m
Khu nhà làm việc B, khu ký túc xá, và thư viện dùng tương ứng một Catalyst 2950G-24. Các switch này cũng sẽ kết nối về switch trung tâm qua cổng GBIC dùng cáp quang vì khoảng cách giữa các khu này với khu hành chính hơn 100m
Chi tiết về sản phẩm này xin tham khảo phần tài liệu của nhà sản xuất trong mục 6
4 CÁC PHÂN HỆ KHÁC TRONG MẠNG4.1 PHÂN HỆ CÁP
Hệ thống cáp mạng máy tính (gọi tắt là hệ thống cáp mạng hay hệ thống cáp) là thành phần không thể thiếu được trong một hệ thống hạ tầng công nghệ thông tin. Tuy hệ thống cáp chỉ là những thành phần thụ động (passive) nhưng việc thiết kế và chọn lựa cũng không kém phần phức tạp.
Vì hệ thống cáp chủ yếu phục vụ cho hệ thống mạng máy tính nên ngoài những qui định và tiêu chuẩn riêng, việc thiết kế hệ thống cáp còn phụ thuộc chặt chẻ vào kiến trúc của hệ thống mạng máy tính, vào cách bố trí các thiết bị của hệ thống mạng máy tính. Chúng tôi xin giới thiệu hai kiến trúc thiết kế cáp tiêu biểu :
Hệ thống cáp mạng theo kiểu tập trung
Hệ thống cáp mạng theo kiểu phân tán
a) Hệ thống cáp mạng theo kiểu tập trung
Hệ thống cáp này phục vụ cho cách bố trí thiết bị theo kiểu tập trung của hệ thống mạng máy tính. Trong cách này, tất cả các thiết bị mạng như switch, hub, repeater đều lắp đặt chung tại một điểm thường gọi là phòng thiết bị. Từ đây, cáp được nối thẳng đến các thiết bị đầu cuối như các workstation, máy in… mà không phải qua một thiết bị trung gian nào.
EIS confidential 17
Solution Proposal
Trong trường hợp này, hệ thống thường là một loại cáp duy nhất mà ở đây sẽ là loại cáp xoắn UTP category 5. Thiết bị mạng tại phòng thiết bị có thể là một thiết bị duy nhất hay nhiều thiết bị được kết nối chồng (stack) hay kết nối liên tiếp (daisy-chain). Hình bên dưới đây sẽ cho ta thấy kết nối của hệ thống cáp mạng theo kiểu tập trung.
Ưu điểm: Tiết kiệm chi phí và không gian lắp đặt thiết bị vì chỉ đầu tư cho hệ thống một phòng thiết bị duy nhất. Không phải trang bị phòng cho các vị trí phân tán ở mỗi tầng. Các phòng thiết bị ngoài việc chiếm không gian, chúng còn phải được trang bị một số tiện ít khác như điện, lạnh, ánh sáng, hệ thống liên lạc, hệ thống chữa cháy, hệ thống bảo vệ…
Dễ sử dụng, quản lý, vận hành và xử lý sự cố. Do hệ thống cáp thông suốt từ thiết bị đầu cuối đến phòng thiết bị trung tâm nên khi sử dụng và khai thác, chỉ cần nhân viên xử lý tại phòng thiết bị trung tâm.
Do chỉ trang bị thiết bị tại phòng thiết bị trung tâm nên thuận tiện cho việc chọn lựa các loại thiết bị có mật độ cổng cao, có kiến trúc module hóa, có khả năng dự phòng và thay để nóng. Điều đó giúp cho hệ thống có được độ tin cậy cao nhất, có khả năng hoạt động liên tục và dễ dàng mở rộng hay nâng cấp.
EIS confidential 18
Solution Proposal
Khuyết điểm: Không sử dụng được trong những tòa nhà có quá nhiều tầng hay những khu vực quá rộng vì vượt qua khoảng cách cho phép của cáp. Trong trường hợp này, bắt buộc phải dùng cáp theo kiến trúc phân tán.
Tốn nhiều cáp cho trục đứng nối giữa các tầng vì cáp tại tất cả các trạm đầu cuối đều nối về trung tâm bằng cách đi qua các tầng. Đồng thời cũng chiếm không gian của các lỗ thông tầng.
Tập trung nhiều cáp tại phòng thiết bị trung tâm, dẫn đến phức tạp trong việc sử dụng và khai thác. Tuy nhiên, đều này sẽ được khắc phục bằng các phương pháp đánh dấu và đặt mã số cáp một cách khoa học.
b) Hệ thống cáp mạng theo kiểu phân tán
Hệ thống cáp theo kiểu này sử dụng cho kiến trúc mạng phân tán. Trong kiến trúc này, thiết bị mạng không nằm tập trung tại một điểm mà phân tán tại nhiều vị trí khác nhau. Thông thường là mỗi tầng sẽ có một thiết bị mạng riêng và kết nối lại với nhau qua một thiết bị mạng trung tâm. Như vậy, các thiết bị đầu cuối như workstation, máy in chỉ được kết nối vào các thiết bị mạng trung gian tại mỗi tầng. Từ các thiết bị này mới kết nối đến thiết bị mạng trung tâm.
Trong trường hợp này, cáp sẽ được cắt làm hai phần. Phần một từ các trạm đầu cuối đến phòng thiết bị ở mỗi tầng dùng cáp xoắn UTP category 5. Phần hai từ phòng này đến phòng thiết bị trung tâm với hai lựa chọn là cáp quang và cáp đồng. Tuy nhiên, cáp quang sẽ tốt hơn và thường được sử dụng. Kết nối giữa các thiết bị là theo kiểu daisy-chain. Hình 2.2 bên dưới đây sẽ cho ta thấy kết nối của hệ thống cáp mạng theo kiểu phân tán này.
Ưu điểm: Đáp ứng được yêu cầu rộng về không gian cho các tòa nhà có nhiều tầng hay các khu vực có mặt bằng rộng mà bán kính của nó vượt khỏi khoảng cách cho phép của cáp đồng.
Đơn giản cho hệ thống cáp liên tầng vì sử dụng các cáp quang với số lượng rất thấp.
Số lượng cáp tại phòng thiết bị trung tâm ít, đơn giản trong việc vận hành.
Khuyết điểm: Tốn nhiều chi phí và không gian cho việc lắp đặt thiết bị. Thực tế cho thấy, nếu không dành không gian riêng cho các thiết bị ở từng tầng thì dẫn đến tình trạng mất an ninh và không kiểm soát được. Nếu trang bị mỗi tầng một phòng thiết bị riêng thì rất tốn kém.
EIS confidential 19
Solution Proposal
Tốn kém trong việc vận hành, sử dụng, khai thác và xử lý sự cố. Không thể làm tất cả mọi việc từ phòng thiết bị trung tâm (phần mềm quản lý mạng không thể thay đổi hay kiểm tra các kết nối cáp). Các nhân viên quản lý phải tới từng tầng để kiểm tra thiết bị và kết nối.
Vì lắp đặt nhiều thiết bị phân tán nên không thể lựa chọn các thiết bị mạnh, có độ tin cậy và khả năng dự phòng, nâng cấp tốt được. Chưa kể sẽ rất lãng phí nếu có những tầng chỉ có một hai máy trạm.
4.2 PHÂN HỆ BẢO MẬT
4.2.1 Cisco Secure Intrusion Detection System
Cisco Secure Intrusion Detection System hay Cisco Secure IDS là một thiết bị phần cứng kiểm tra các loại và nội dung của các packet trên mạng. Việc sử dụng và truy cập trái phép có thể được thực một trong hai cách: phát hiện việc sử dụng sai bằng cách tìm những tấn công đã biết “chữ ký” nó rất giống cách mà một phần mềm diệt virus dò tìm virus; phát hiện sự truy cập bất bình thường bằng cách tìm những hành động bất bình thường dựa trên profile của user và hoạt động của ứng dụng. Cisco Secure IDS có lợi thế là có thể bảo vệ cả hệ thống trên toàn bộ network segment. Khả năng này nói chung giúp việc triển khai Cisco Secure IDS dễ dàng và chi phí vừa phải.
EIS confidential 20
Solution Proposal
Cisco Secure IDS phát hiện việc sử dụng sai bằng việc kiểm tra cả phần dữ liệu và phần header của một packet. Các tấn công dựa trên nội dung xuất phát từ phần dữ liệu và các tấn công dựa trên phạm vi (context) xuất phát từ phần header của packet.
Cisco Secure Intrusion Detection System là hệ thống dò tìm xâm nhập mạng real-time cho phép bảo vệ mạng bên trong, extranet. Hệ thống sử dụng các sensor là các thiết bị mạng tốc độ cao dùng để phân tích từng gói packet để dò tìm các hoạt động khả nghi trên mạng. Nếu luồng dữ liệu trên mạng thể hiện là một hoạt động trái phép hay một sự tấn công thì các Sensor sẽ phát hiện sự sai phạm này ngay lập tức (real-time), chuyển cảnh báo đến nhà quản trị mạng và tống khứ kẻ phá hoạt này ra khỏi mạng.
Sản phẩm phù hợp với qui mô của trường là Cisco IDS 4250. Chi tiết kỹ thuật về thiết bị xin tham khảo mục 6
4.2.2 Cisco Security Agent
Cisco Security Agent – CSA bao gồm một cổng quản lý/điều khiển (Management Console) đặt ngay trên máy chủ Windows 2000 và các phân hệ (agents) được triển khai tại các Host nơi có các dữ liệu quan trọng như database servers, work stations. Các agent này dùng giao thức HTTP và Secure Sockets Layer-SSL (128 bit SSL) cho các giao tiếp quản lý và cho sự trao đổi thông tin giữa các agent và cổng quản lý/điều khiển.
CSA được cài ngay trên hệ điều hành và nó có thể can thiệp và thẩm định những lệnh gọi phần mềm được làm trong hệ điều hành và hạt nhân hệ thống (kernel). Nói chung, CSA thực hiện việc giám sát xâm nhập real-time (thời gian thực), phát hiện, ngăn cản những hành động phá hoại bằng việc phân tích những sự kiện ở mức kernel, thông tin log của hệ thống, và những hành động mạng trên server. Cơ sở dữ liệu tấn công bao gồm những khả năng nhận diện tấn công sau đây:
Tấn công cá nhân (Individual attack) – bảo vệ hệ thống những tấn công đơn giản nhằm khai thác dữ liệu sử dụng quá trình tìm kiếm những hành vi tác động vào hệ điều hành hoặc ứng dụng đã được biết, ví dụ, MDAC, GetAdmin.
Tấn công chung (Generic attack) - bảo vệ nguyên cả loại tấn công ‘khai thác’ trực tiếp đến hệ điều hành và ứng dụng, bao trùm cả những tấn công không biết lẫn đã biết.
Bảo vệ tài nguyên (Resource protection) – ngăn cản sự truy cập phá hoại đến nguồn tài nguyên hệ thống, bao gồm những quá trình, dịch vụ, đăng ký khóa, password file, cơ chế xác thực, v.v…
EIS confidential 21
Solution Proposal
CSA là phần mềm bảo vệ trên server do đó sẽ được cài trên những máy server nào cần được bảo vệ. Những máy server nào có dữ liệu mật hoặc có chứa thông tin nhạy cảm cần được bảo mật thì nên được cài CSA để phòng chống và phát hiện xâm nhập.
Mô hình cài đặt CSA
CSA có thể dò tìm những truy cập bất thường vào hệ thống theo thời gian thực (real-time). Nó kiểm tra việc xâm nhập vào hệ thống thông qua chính sách an ninh được định trước và những hành động bất thường đối với server, và nó sẽ ngăn cản những hành động làm tổn hại đến server đồng thời phát sinh email gởi đến người quản trị để thông báo về những sự kiện liên quan tới security.
Chúng tôi khuyến nghị trường nên đầu tư hệ thống CSA cho các máy chủ chứa các dữ liệu quan trọng.
4.3 PHÂN HỆ QUẢN TRỊ MẠNG
Để quản trị một hạ tầng mạng qui mô lớn của trường ĐHKT ĐN, chúng tôi đề nghị sử dụng giải pháp quản trị mạng của Cisco. CiscoWorks2000 LAN Management Solution (LMS) là bộ giải pháp quản trị trong họ sản phẩm quản trị mạng CiscoWorks2000 của Cisco. Đây là bộ công cụ quản trị bằng giao diện Web cho việc cấu hình, quản lý, theo dõi và phát hiện lỗi trên mạng Campus. Phần mềm sử dụng cho việc quản trị hằng ngày các dịch vụ và kết nối trên mạng. Những công cụ này bao gồm hiển thị sơ đồ, cấu hình thiết bị, phân tích đường dẫn ở lớp 2/lớp 3, theo dõi lưu lượng, tracking…
Campus Manager
Campus Manager là một bộ ứng dụng web được thiết kế cho việc quản trị hằng ngày mạng chuyển mạch của Cisco.
Phát hiện và hiển thị 1 cách thông minh các mạng lớp 2 trên bản đồ kết nối
EIS confidential 22
Solution Proposal
Cấu hình các mạng VLAN, mạng LANE và các dịch vụ ATM
Hiển thị trạng thái và kết nối dựa trên các thông tin lấy từ SNMP
Nhận dạng cấu hình lớp 2
Có công cụ trace để phát hiện các vấn đề về kết nối giữa các thiết bị đầu cuối cũng như các thiết bị ở lớp 2 và lớp 3
Tự định vị người dùng bằng địa chỉ MAC, địa chỉ IP, tên đăng nhập của NT hay Netware hoặc các host Unix
Content Flow Monitor
Content Flow Monitor là ứng dụng theo dõi hiệu suất mạng để cân bằng tải trên mạng.
Cho phép người quản trị mạng tăng hiệu suất bằng cách thêm vào các thành phần cân bằng tải như LocalDirector
Giảm độ phức tạp của việc quản trị
Cung cấp các thống kê hiệu suất như là tổng số các luồng và cache entry, tổng số kết nối và số lượng gói đến mỗi server…
TrafficDirector
TrafficeDirectorr là ứng dụng theo dõi và phát hiện lỗi của các traffic trên mạng có dùng RMON. Cho phép người quản trị sớm phát hiện các vấn đề về mạng trước khi nó xảy ra.
Sử dụng với Cisco SwitchProbe để đo hiệu suất kết nối
Phát hiện và giải quyết các lỗi cũng như cung cấp số liệu thống kê, đồ thị và báo cáo theo thời gian thực
Có thể thu thập dữ liệu nếu dùng chung với các SwitchProbe của Cisco
Resource Manager Essentials
Đây là ứng dụng quản trị mạnh trong hệ thống mạng lớn.
Cung cấp việc lưu trữ và quản trị các thay đổi của thiết bị
Công cụ cấu hình và quản lý phần mềm
Phân tích mạng và các thông tin được ghi lại
CiscoView
Là ứng dụng quản trị bằng hiển trị sơ đồ các thiết bị theo kiểu đồ hoạ.
Có thể có được các thông tin chi tiết bất cứ nơi nào, lúc nào
EIS confidential 23
Solution Proposal
Hiển thị đồ họa các thiết bị với các màu cho các trạng thái khác nhau
4.4 PHÂN HỆ TRUYỀN THÔNGPhân hệ truyền thông được xây dựng với mục đích chính là để kết nối và định tuyến
mạng Campus của trường đến hệ thống mạng tại Viện Đại Học Đà Nằng. Các kết nối này sẽ được thực hiện thông qua các đường cáp quang có sẵn từ viện Đại Học Đà Nằng đến trường ĐHKT ĐN. Đường cáp quang sẽ được kết nối trực tiếp vào switch trung tâm của trường qua cổng GBIC sẵn có trên chassis 4507R.
4.5 PHÂN HỆ INTERNET VÀ TRUY CẬP TỪ XAHiện tại phân hệ này chưa triển khai trong giai đoạn đầu. Nhưng trong tương lai, nhà
trường muốn cho phép sinh viên ở nhà hoặc ở bất kỳ đâu có thể tham gia vào các chương trình đào tạo từ xa mà trường cung cấp thì phân hệ này cần phải có.
Phân hệ Internet được thiết kế dùng để cho phép các cán bộ và sinh viên trong trường có thể truy cập Internet trực tuyến. Bên cạnh dịch vụ truy cập Internet, phân hệ Internet còn cung cấp cho người dùng các dịch vụ Mail/Web, mỗi thành viên bên trong có một địa chỉ mail riêng và đồng thời có thể xây dựng các trang Web riêng của trường để giới thiệu, quảng bá hình ảnh của trường.
Phân hệ Internet dùng làm cầu nối giữa trường và môi trường mạng công cộng bên ngoài, tạo một môi trường trao đổi thông tin giữa các cán bộ, giáo viên, sinh viên trong trường với môi trường mạng Internet. Trong khi đó, hệ thống truy cập từ xa sẽ phục vụ cho các thành viên trong trường khi đi công tác ở xa hoặc ở nhà có thể truy cập vào mạng campus của trường thông qua mạng điện thoại công cộng PSTN bằng kỹ thuật modem quay số truyền thống giúp việc trao đổi dữ liệu và cập nhật thông tin cho người dùng được thực hiện thông suốt không bị ảnh hưởng về mặt không gian và thời gian truy cập mạng.
Hình minh hoạ phân hệ Internet và truy cập từ xa
EIS confidential 24
Solution Proposal
Các thành phần chủ yếu để xây dựng hệ thống mạng kết nối internet và truy cập từ xa chi tiết như sau:
Internet Router: thực hiện việc định tuyến và cung cấp các cổng giao tiếp cho kết nối Leased Line của trường với nhà cung cấp dịch vụ Internet như VDC, ETC hay Vietel.
Remote Access Router: thực hiện việc định tuyến và cung cấp cổng giao tiếp kết nối với mạng điện thoại PSTN bằng kỹ thuật truyền thống dial-up connection, hỗ trợ tính năng mạng riêng ảo VPN và IOS-Base Firewall chống sự xâm nhập mạng trái phép từ bên ngoài và tương tác với AAA Server để xác thực và phân quyền truy cập cho người dùng tuỳ theo chính sách an ninh của MARINA. Có thể tích hợp chức năng truy cập từ xa vào vào Internet Router.
Cache Engine: làm nhiệm vụ lưu lại dữ liệu Web đã được truy cập trước đó, do đó cho phép các truy cập khác có cùng nội dung Web đã truy cập trước đó sẽ được lấy thẳng tại Cache Engine thay vì phải truy cập lại đến Web Servers bên ngoài giúp tối ưu hoá băng thông kết nối Internet và giảm thời gian chờ đợi để download thông tin cho người sử dụng.
Firewall : Việc xây dựng hệ thống an ninh bảo mật mạng đóng một vai trò khá quan trọng. Phương pháp bảo mật truyền thống là phân quyền truy cập mạng bằng Username/Password. Tuy nhiên để đảm bảo độ an toàn ở mức độ cao hơn thì cần thiết lập một hệ thống có khả năng ngăn chặn sự truy cập trái phép từ bên ngoài bằng nhiều hình thức tinh vi khác nhau. Vì vậy, ngoài các cơ chế bảo mật truyền thống, cần trang bị một Firewall chuyên nghiệp để ngăn các cuộc truy cập trái phép từ bên
EIS confidential 25
Solution Proposal
ngoài bằng các hình thức như port scanning và hacking. Cisco PIX Firewall cho phép lọc những địa chỉ inbound và outbound để ngăn cản việc giả mạo IP bằng việc kiểm tra địa chỉ IP nguồn của những gói dữ liệu (packet). Tính năng Flood Guard và Flood Defender giúp ngăn cản những tấn công DoS (Denial of Service) vào dịch vụ AAA hoặc thông qua giao thức TCP. Ngoài ra, PIX firewall ngăn chặn ActiveX được chèn vào những trang web hoặc ứng dụng khác và lọc những đoạn code Java nguy hiểm và Java applets bằng việc không cho download về hệ thống. Ngoài ra Cisco PIX Firewall hỗ trợ nhiều giao thức khác nhau và các ứng dụng cụ thể giúp bảo vệ những truy cập SMTP từ bên ngoài vào hệ thống messaging server ở bên trong thông qua chức năng Mail Guard. PIX cũng hỗ trợ những ứng dụng multimedia như RealAudio, Streamworks, CU-SeeMe, VDO Live, Internet phone, IRC, Vxtreme và những giao thức Real Time Streaming Protocol (RTSP).
Lựa chọn thiết bị
a) Internet router
Đủ mạnh và hoạt động ổn định để cung cấp kết nối truy cập Internet thông suốt giữa toàn bộ mạng của trường với mạng Internet. Muốn như vậy thiết bị Router này phải có tốc độ chuyển mạch cao và phải đảm bảo được tính dự phòng cần thiết cho các hoạt động của hệ thống.
Router phải cho phép sử dụng nhiều loại module giao tiếp khác nhau để cung cấp các loại cổng giao tiếp cho kết nối đến nhà cung cấp dịch vụ Internet, cổng giao tiếp cho các truy cập từ xa qua modem.
Router phải đảm bảo được tính mở của hệ thống, nghĩa là nó phải luôn sẵn sàng và dễ dàng trong việc nâng cấp mở rộng hệ thống trong tương lai.
Hỗ trợ tính năng thoại và các giao tiếp phù hợp để thực hiện chức năng của một voice gateway cho sau này khi có nhu cầu sử dụng Voice qua mạng Internet.
Có thể sử dụng thiết bị Router Cisco 3725 của Cisco, Router này thuộc dòng sản phẩm Cisco Router 3700 series có kiến trúc dưới dạng modular. Cấu hình thiết bị Router Cisco 3725 router gồm 2 cổng 10/100 FE đã tích hợp sẵn trên khung thiết bị, 2 khe cắm để cắm các module mạng, 3 khe cắm để cắm các card giao tiếp WAN.
b) Firewall
Trong phân hệ Internet thì Firewall đóng một vai trò khá quan trọng. Có rất nhiều loại Firewall khác nhau như Firewall dựa trên phần mềm cho các hệ điều hành Windows NT, Unix, Firewall dựa trên phần mềm tích hợp trên các Router, Firewall dựa trên thiết bị phần cứng… Vì thế việc chọn lựa một Firewall thích hợp cho hệ thống để bảo đảm tính an ninh, độ tin cậy cao, khả năng dễ mở rộng trong tương lai cũng cần phải được cân nhắc sao cho
EIS confidential 26
Solution Proposal
hợp lý. Trong phân hệ này chúng tôi xin đề nghị chọn thiết bị phần cứng CiscoSecure PIX FireWall 515E làm thiết bị an ninh cho hệ thống với những lý do như sau:
Trước hết là phải đề cập đến tính tương thích của Firewall với Router trong phân hệ Internet, mỗi một loại hình Firewall đều có những yêu cầu khác nhau cho việc hỗ trợ các router gateway, có thể Firewall loại này sẽ hỗ trợ tốt khi sử dụng router này nhưng đối với router khác thì không phát huy được hết các tính năng. Cho nên CiscoSecure PIX FireWall 515E sẽ được chọn để làm việc chung với Cisco router Cisco 3725.
CiscoSecure PIX Firewall 515E là một thiết bị phần cứng đã được tích hợp sẵn software bên trong và hoạt động một cách độc lập không phụ thuộc vào các yếu tố về nền tảng ứng dụng như yêu cầu về cấu hình phần cứng, môi trường ứng dụng (Windows NT, Unix…) vì thế làm đơn giản hoá hệ thống và quản trị thiết bị được dễ dàng hơn.
Dễ dàng quản trị và phân cấp mức độ an ninh cho hệ thống mạng bên trong nhờ yếu tố sử dụng các giao tiếp vật lý (ports) để nối đến các mạng cấp thấp, cho phép mở rộng thêm cổng giao tiếp vật lý bất kỳ lúc nào khi có nhu cầu trong tương lai. Một điểm nữa cũng khá quan trọng cần được đề cập đến là khả năng mở rộng cao và mức độ đầu tư thấp.
Việc dùng CiscoSecure PIX FireWall 515E sẽ an toàn hơn các dạng Firewall dựa trên các hệ điều hành hoặc Firewall dựa trên các phần mềm tích hợp trong router vì không phụ thuộc vào các yếu tố về nền tảng, khi các ứng dụng nền tảng hoạt động không tốt cũng không làm giảm mức độ an ninh của Firewall và không làm ảnh hưởng đến hệ thống chung. Việc quản trị cũng sẽ đơn giản hơn, không đòi hỏi người quản trị phải có trình độ chuyên môn cao mới có thể điều hành cũng như xử lý khi có sự cố xảy ra cho Firewall.
Một đặc tính nổi bật của PIX 515E là hỗ trợ Stateful Failover. Lựa chọn cấu hình Stateful Failover bảo đảm tính sẵn sàng cao và làm giảm tối đa các hỏng hóc riêng lẻ ảnh hưởng đến hoạt động của hệ thống. Với hai thiết bị PIX có cấu hình hoàn toàn giông nhau chạy song song, nếu PIX chính không hoạt động, quyền điều khiển sẽ được tự động chuyển sang PIX dự phòng.
c) Cache Engine
Đây là thiết bị lưu trữ tạm các thông tin web thường được sử dụng để giảm lưu lượng truy cập Internet qua gateway. Điều này sẽ tiết kiệm được chi phí thuê bao Internet và gia tăng tốc độ truy cập Internet cho các thành viên trong trường sử dụng dịch vụ Internet trực tiếp và gián tiếp. Thiết bị được sử dụng ở đây là sản phẩm phần cứng Cisco Cache Engine 500 series cho phép điều khiển các truy cập bằng cách sử dụng giao thức Web Cache
EIS confidential 27
Solution Proposal
Communication Protocol (WCCP) trong phần mềm Cisco IOS để tạo ra bộ nhớ ảo truy cập nhanh nhằm lưu trữ các trang Web đã được load trước đó, giúp cho các router liên kết lại các địa chỉ Web thông qua Network cache. Ngoài ra, Cisco Cache Engine còn hỗ trợ việc kiểm tra đúng sai về lỗi và ngăn chặn các lỗi xảy ra trong quá trình load Web, cho phép nhận các đường truyền tải từ một hoặc nhiều router. Với cổng ethernet 10/100 Base-TX trên Cisco Cache Engine được nối trực tiếp đến Cisco 3725 router hiện có của phân hệ Internet, Web Cache Communication Protocol (WCCP) sẽ lọc các gói tin để xác định các gói tin nào sẽ được hoặc không được trả gían tiếp từ Cache Engine. Khi người dùng có một yêu cầu về tài nguyên từ một Web server, trước hết Router sẽ gửi các yêu cầu đó đến Cache Engine, nếu các dữ liệu đó đã được ghi nhận trên bộ nhớ khi đó Cache Engine sẽ gửi lại các dữ liệu yêu cầu cho người dùng. Mặt khác trong quá trình truyền tải dữ liệu yêu cầu từ Web Server về đến người dùng song song đó Cache Engine cũng sẽ lưu trữ một bản copy vào trong bộ nhớ cache của nó, với những dữ liệu được lưu trong bộ nhớ cache của nó, Cache Engine không những giải quyết các yêu cầu một cách nhanh chóng cho một người dùng mà cho cả nhiều người dùng muốn truy cập đồng thời đến cùng một tài nguyên lưu trữ trên Cache Engine. Thiết bị này được cung cấp để góp phần tạo nên cân bằng tải cho hệ thống và tăng được tốc độ của người sử dụng khi hoạt động truy cập Internet cũng như một số dịch vụ qua Internet.
Với các yêu cầu như trên thì thiết bị được chọn bổ sung vào phân hệ Internet là thiết bị Cache Engine 565 của hãng Cisco.
d) Remote Access routerĐể thiết lập hệ thống truy cập từ xa vào hệ thống mạng của trường, có thể sử dụng một router riêng chuyên làm chức năng này. Tuy vậy, chúng ta cũng có thể sử dụng Internet Router như một Remote Access router băng các trang bị thêm các module có modem gắn sẵn. Có thể đầu tư Cisco Router 2611XM làm 1 Remote Access router. Cisco Router 2611XM gồm 1 slot network module hỗ trợ giao tiếp tích hợp 16 Analog modem và 2 cổng giao tiếp 10/100 Mbps để kết nối vào mạng LAN nội bộ. Ngoài ra Cisco Router 2611 cho phép thực hiện tính năng VPN và Firewall thông qua phần mềm hệ thống IOS để bảo vệ an ninh cho hệ thống mạng của trường.
5 DỰ TOÁN ĐẦU TƯ
EIS confidential 28
Solution Proposal
6 TÀI LIỆU KỸ THUẬT THIẾT BỊ
EIS confidential 29