1. Trang chủ
  2. » Luận Văn - Báo Cáo

Tìm hiểu lý thuyết, mô hình quản trị mạng và áp dụng thử nghiệm tại thông tấn xã việt nam

86 7 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 86
Dung lượng 3,04 MB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Cấu trúc

  • 1.1 Ki ế n trúc mô hình m ạ ng 3 l ớ p (17)
    • 1.1.1 L ớ p truy nh ậ p (17)
    • 1.1.2 L ớ p phân ph ố i (18)
    • 1.1.3 L ớ p nhân (18)
  • 1.2 Các giao th ứ c công ngh ệ trong h ệ th ố ng m ạ ng (19)
    • 1.2.1 EtherChannel (19)
    • 1.2.2 VCS (21)
    • 1.2.3 VPC (23)
    • 1.2.4 VRRP (24)
    • 1.2.5 Stackwise switch (27)
  • 1.3 Gi ả i pháp k ế t n ố i gi ữ a các Site (28)
  • 1.4 Giám sát an ninh (29)
    • 1.4.1 H ệ th ố ng phát hi ện và ngăn chặ n xâm nh ậ p (29)
    • 1.4.2 Gi ả i pháp phòng ch ố ng DDoS (30)
    • 1.4.3 Quy ho ạ ch, qu ả n lý và qu ả n tr ị (34)
  • 2.1 Sơ lượ c v ề h ệ th ố ng m ạ ng c ủ a Thông t ấ n xã Vi ệ t Nam (35)
  • 2.2 Kh ả o sát hi ệ n tr ạ ng (37)
    • 2.2.1 Sơ đồ k ế t n ố i Edge-Internet (37)
    • 2.2.2 Sơ đồ k ế t n ố i Edge-DMZ (38)
    • 2.2.3 Sơ đồ k ế t n ố i Edge-Hosting (39)
    • 2.2.4 Sơ đồ k ế t n ố i Edge-WAN (40)
    • 2.2.5 K ế t n ố i Edge-Core (40)
    • 2.2.6 K ế t n ố i Core (41)
    • 2.2.7 K ế t n ố i Core Database (41)
    • 2.2.8 K ế t n ố i Core Server (42)
    • 2.2.9 K ế t n ố i Core Distribute (42)
    • 2.2.10 Sơ đồ đị nh tuy ến độ ng (45)
  • 2.3 Phân tích nh ững ưu và nhược điể m c ủ a h ệ th ố ng hi ệ n t ạ i (45)
    • 2.3.1 Ưu điể m (45)
    • 2.3.2 Nhược điể m (46)
  • 3.1 Nhu c ầ u v ề h ệ th ố ng m ạ ng c ủ a Thông t ấ n xã Vi ệ t Nam (48)
  • 3.2 L ự a ch ọ n công ngh ệ và thi ế t k ế mô hình h ệ th ố ng m ạ ng (49)
    • 3.2.1 Phân chia vùng m ạ ng chính cho h ệ th ố ng (49)
    • 3.2.2 L ự a ch ọ n công ngh ệ k ế t n ố i m ạ ng (50)
    • 3.2.3 Thi ế t k ế đả m b ả o tính d ự phòng (51)
    • 3.2.4 Mô hình k ế t n ố i t ổ ng quan module ch ức năng (52)
    • 3.2.5 Mô hình k ế t n ố i t ổ ng quan module WAN và Internet In cho hai data (54)
    • 3.2.6 Mô hình k ế t n ố i các lu ồ ng d ữ li ệ u (55)
  • 3.3 Ki ế n trúc m ạ ng t ạ i Hà N ộ i (56)
    • 3.3.1 Mô t ả k ế t n ố i logic t ạ i Hà N ộ i (56)
    • 3.3.2 Mô t ả k ế t n ố i vùng DMZ (57)
    • 3.3.3 Mô t ả k ế t n ố i Lan Campus Hà N ộ i (59)
    • 3.3.4 Mô t ả k ế t n ố i WAN Hà N ộ i (60)
    • 3.3.5 Mô t ả k ế t n ố i kh ố i Internal Server Hà N ộ i (Database) (60)
    • 3.3.6 Mô t ả k ế t n ố i t ậ p trung m ạ ng lõi Hà N ộ i (62)
    • 3.3.7 Mô t ả kh ố i qu ả n tr ị t ạ i Hà N ộ i (63)
    • 3.3.8 Lu ồ ng d ữ li ệ u (64)
  • 3.4 Ki ế n trúc m ạ ng t ạ i H ồ Chí Minh (64)
    • 3.4.1 K ế t n ố i vùng DMZ khu v ự c HCM (66)
    • 3.4.2 Mô t ả k ế t n ố i kh ố i Internal Server HCM (Database) (67)
    • 3.4.3 Mô t ả k ế t n ố i t ậ p trung m ạ ng lõi HCM (68)
    • 3.4.4 Lu ồ ng d ữ li ệ u (68)
  • 3.5 Sơ đồ đị nh tuy ế n (69)
  • 3.6 Tri ển khai các tính năng bả o m ậ t (70)
    • 3.6.1 Tri ển khai các tính năng bả o m ật đố i v ớ i m ạng ngườ i s ử d ụ ng (71)
    • 3.6.2 Tri ển khai tính năng bả o m ậ t v ớ i vùng m ạ ng trung tâm d ữ li ệ u (72)
  • 4.1 K ế t qu ả đạt đượ c c ủ a mô hình thi ế t k ế (75)
  • 4.2 Đánh giá hiệu năng củ a thi ế t k ế m ạ ng m ớ i (76)
  • 4.3 Th ự c hi ệ n th ử nghi ệ m t ấ n công (78)

Nội dung

Các thiết bị lớp nhân thường được gọi là thiết bị chuyển mạch xương sống của mạng và có những thuộc tính sau: - Thông lượng ở lớp 2 hoặc lớp 3 rất cao - Chi phí cao - Có khả năng dự phòn

Ki ế n trúc mô hình m ạ ng 3 l ớ p

L ớ p truy nh ậ p

Lớp truy nhập là tầng nơi các thiết bị đầu cuối như máy tính, máy in… kết nối trực tiếp với mạng và có thể mở rộng mạng thông qua các thiết bị như thiết bị chuyển mạch Các thiết bị nằm ở lớp này được gọi là thiết bị truy cập và có các đặc điểm chính là cung cấp kết nối cho người dùng cuối, chịu trách nhiệm xử lý lưu lượng từ người dùng vào mạng và quản lý truy cập vào các tài nguyên mạng.

- Chi phí trên mỗi cổng của thiết bị thấp

- Mở rộng các đường lên đến các lớp cao hơn

- Chức năng truy cập của người dùng như là thành viên mạng cục bộảo, lọc lưu lượng và giao thức, và chất lượng dịch vụ

Lớp truy cập đóng vai trò là lớp phòng thủ đầu tiên của hệ thống mạng, nằm giữa thiết bị đầu cuối và cơ sở hạ tầng mạng Tại lớp này, có thể triển khai các chức năng bảo mật và thiết lập chính sách an ninh nhằm quản lý truy cập, kiểm soát lưu lượng và phân vùng giữa các vùng tin tưởng khác nhau, từ đó tăng cường bảo vệ cho mạng và ngăn chặn các mối đe dọa từ phía người dùng và thiết bị cuối.

Mỗi phòng ban sẽ được quản lý theo VLAN đến từng điểm mạng kết nối

VLAN, viết tắt của virtual local area network (mạng LAN ảo), là kỹ thuật cho phép tạo lập các mạng LAN độc lập trên cùng một kiến trúc hạ tầng vật lý Việc triển khai nhiều mạng LAN ảo trên cùng một mạng cục bộ giúp cô lập vùng quảng bá (broadcast domain) và tạo điều kiện quản lý một mạng cục bộ quy mô lớn một cách hiệu quả VLAN dựa trên cổng: mỗi cổng của thiết bị chuyển mạch được gán cho một VLAN nhất định, vì vậy mỗi máy tính hoặc thiết bị kết nối với cổng đó sẽ thuộc về một VLAN cụ thể và hoạt động như một mạng riêng biệt trong hệ thống Việc phân chia VLAN mang lại lợi ích trong việc kiểm soát lưu lượng mạng, tăng bảo mật và tối ưu hóa hiệu suất hệ thống mạng.

VLAN giúp tiết kiệm băng thông cho hệ thống mạng bằng cách phân chia mạng LAN thành các đoạn nhỏ, mỗi đoạn là một vùng quảng bá riêng Khi có gói tin quảng bá, chúng được truyền duy nhất trong VLAN tương ứng, nên việc chia VLAN hạn chế lưu lượng quảng bá và tối ưu hóa băng thông cho toàn mạng.

Phân đoạn mạng bằng VLAN tăng cường bảo mật vì các thiết bị ở các VLAN khác nhau không thể truy cập vào nhau trừ khi có thiết bị định tuyến nối giữa các VLAN Điều này cho phép kiểm soát luồng dữ liệu giữa các phân đoạn mạng Người quản trị cấu hình danh sách truy cập (ACL) để xác định VLAN nào được quyền truy cập vào VLAN khác, từ đó quản lý quyền truy cập giữa các VLAN theo nhu cầu bảo mật và hiệu suất mạng.

Quản lý VLAN trở nên linh hoạt khi bạn có thể dễ dàng thêm hoặc bớt máy tính Để đưa một máy tính vào VLAN mong muốn, chỉ cần cấu hình cổng của máy tính đó vào VLAN tương ứng Việc điều chỉnh cấu hình cổng cho máy tính cho phép kiểm soát truy cập mạng, giúp các thiết bị ở cùng VLAN có thể giao tiếp an toàn và hiệu quả Điều này làm cho mạng văn phòng hoặc doanh nghiệp trở nên gọn gàng và dễ quản lý hơn.

L ớ p phân ph ố i

Lớp phân phối là cầu nối nội bộ giữa lớp truy cập và lớp lõi (core) của mạng cục bộ, đồng thời áp dụng các chính sách lưu lượng từ lớp truy cập lên lớp phân phối Đây là khu vực trọng yếu cho định tuyến và kiểm soát mạng, nơi các quy tắc điều khiển được thực thi và việc cách ly giữa lớp phân phối với phần còn lại của mạng được đảm bảo Các giao thức định tuyến như OSPF và EIGRP có thể được triển khai tại đây để điều khiển luồng dữ liệu giữa lớp truy cập và phần còn lại của mạng, nhằm tối ưu hóa hiệu suất và khả năng mở rộng.

Thiết bị lớp này được gọi là các thiết bị chuyển mạch phân phối và có đặc điểm như sau:

- Thông lượng lớp ba cao đối với việc xử lý gói

- Chức năng bảo mật và kết nối dựa trên chính sách thông qua danh sách truy cập hoặc lọc gói

- Tính co giãn và các liên kết tốc độcao đến lớp nhân và lớp truy cập.

L ớ p nhân

Lớp nhân của mạng cục bộ đóng vai trò như xương sống, cung cấp các kết nối giữa tất cả các thiết bị và các lớp mạng khác Do lưu lượng qua lớp này rất lớn, nó đòi hỏi khả năng chuyển mạch nhanh, hiệu quả và băng thông cao để đảm bảo thông lượng và hiệu suất hệ thống Không nên áp dụng các chính sách phức tạp cũng như cho phép người dùng hoặc máy chủ kết nối trực tiếp với lớp nhân Ở lớp này cần có thiết bị dự phòng nhằm đảm bảo hệ thống hoạt động liên tục và đạt hiệu năng cao nhất Lớp nhân cung cấp khả năng mở rộng và giảm thiểu rủi ro khi di chuyển, thêm và thay đổi hệ thống mạng.

Các thiết bị lớp nhân thường được gọi là thiết bị chuyển mạch xương sống của mạng và có những thuộc tính sau:

- Thông lượng ở lớp 2 hoặc lớp 3 rất cao

- Có khảnăng dự phòng và tính co giãn cao

Lợi ích của mô hình phân cấp gồm:

Hiệu suất cao được đạt nhờ thiết kế hệ thống mạng theo kiến trúc phân lớp, nơi mỗi lớp đảm nhận một chức năng riêng biệt Khi trách nhiệm phân chia rõ ràng, luồng dữ liệu được tối ưu, tắc nghẽn giảm thiểu và tốc độ truyền tải tăng lên, đặc biệt cho các hệ thống mạng tốc độ cao Thiết kế đa lớp cũng dễ bảo trì và mở rộng, cho phép tối ưu hoá hiệu suất ở mọi quy mô mà vẫn duy trì sự ổn định cho mạng.

Việc áp dụng mô hình phân cấp tăng khả năng quản lý sự cố và khắc phục lỗi hiệu quả khi có sự cố xảy ra Mô hình này phân định rõ trách nhiệm và quy trình xử lý, giúp nhận diện và xử lý sự cố nhanh chóng và chính xác hơn Trong các tình huống liên quan đến chính sách, chỉ cần kiểm tra lại phân đoạn phân phối mà không cần rà soát các thành phần khác, từ đó rút ngắn thời gian xử lý và tối ưu hóa nguồn lực Nhờ đó hệ thống trở nên dễ quản lý, minh bạch và giảm thiểu rủi ro trong quá trình vận hành.

- Dễ dàng trong việc quản lý các chính sách vì các chính sách chỉđặt tại lớp phân phối

- Khả năng mở rộng cao: Việc phân nhỏ tạo ra các vùng tự trị khiến cho việc mở rộng trở nên dễ dàng khi có yêu cầu cao hơn.

- Dựđoán hành vi: Khi quản trị hoặc lên kế hoạch xây dựng một mạng.

Các giao th ứ c công ngh ệ trong h ệ th ố ng m ạ ng

EtherChannel

EtherChannel là kỹ thuật ghép nối hai hay nhiều đường truyền dữ liệu vật lý thành một liên kết ảo duy nhất, với cổng ảo và thậm chí MAC ảo được tạo ra để tối ưu hóa hiệu suất Mục tiêu của EtherChannel là tăng băng thông và tăng khả năng dự phòng cho hệ thống mạng, giúp tăng tốc độ truyền dữ liệu và giảm downtime khi có sự cố đường truyền Đây là giải pháp được sử dụng phổ biến trong mạng doanh nghiệp để tối ưu hóa hiệu suất mạng và đảm bảo tính sẵn sàng cao cho hệ thống.

EtherChannel là công nghệ cho phép ghép từ 2 đến 8 liên kết vật lý Fast Ethernet (FE), Gigabit Ethernet (GE) hoặc 10 Gigabit Ethernet (10GE thành một liên kết logic duy nhất Khi cấu hình thành công, các cổng tham gia EtherChannel được thiết bị chuyển mạch quản lý như một cổng duy nhất, giúp tăng băng thông tổng thể và tối ưu hóa hiệu suất mạng.

Để EtherChannel hoạt động đúng và ngăn ngừa vòng lặp, thiết bị chuyển mạch ở cả hai đầu kết nối EtherChannel phải hiểu và áp dụng công nghệ EtherChannel Nếu chỉ có một đầu sử dụng EtherChannel và đầu bên kia không sử dụng, mạng có thể gặp vòng lặp.

Lưu lượng mạng không phải lúc nào cũng được phân bổ đồng đều qua các đường liên kết thuộc EtherChannel; sự phân bổ này phụ thuộc vào phương pháp cân bằng tải mà thiết bị chuyển mạch sử dụng và vào mẫu lưu lượng dữ liệu trong mạng Việc chọn đúng phương pháp cân bằng tải có thể tối ưu hóa hiệu suất, giảm tắc nghẽn và tận dụng tối đa băng thông của cả nhóm liên kết.

Trong EtherChannel, khi một liên kết thuộc nhóm bị ngắt, lưu lượng dữ liệu sẽ tự động chuyển sang liên kết khác chỉ trong vòng vài mili giây; khi liên kết mở lại, lưu lượng được phân bổ lại như cũ Điều kiện cấu hình EtherChannel giúp tối ưu hóa khả năng chịu lỗi và phân phối tải giữa các liên kết, đảm bảo sự liên tục của kết nối mạng và hiệu suất truyền dữ liệu.

- Các thiết bị chuyển mạch phải đều phải hỗ trợ kỹ thuật EtherChannel và phải được cấu hình EtherChannel đồng nhất giữa các cổng kết nối với nhau

- Các cổng kết nối EtherChannel giữa hai thiết bị chuyển mạch phải tương đồng với nhau:

Phân phối luồng dữ liệu trong EtherChannel

Thiết bị chuyển mạch trong EtherChannel chọn đường liên kết để chuyển tiếp khung dựa trên kết quả của thuật toán hàm băm Thuật toán có thể sử dụng nguồn địa chỉ, đích địa chỉ (hoặc cả hai), nguồn MAC, đích MAC (hoặc cả hai), và số cổng TCP/UDP Kết quả của hàm băm là một chuỗi nhị phân gồm các bit 0 và 1, dùng để xác định đường liên kết cụ thể trong nhóm liên kết, từ đó phân bổ lưu lượng một cách cân bằng và tối ưu hóa hiệu suất mạng.

Trong EtherChannel, việc phân phối lưu lượng dựa trên một hàm băm các trường nguồn và đích Nếu chỉ nguồn hoặc đích được đưa vào hàm băm (như địa chỉ nguồn, địa chỉ đích, MAC hoặc số cổng), thiết bị chuyển mạch sẽ dùng một hoặc nhiều bit bậc thấp của giá trị băm làm chỉ số chọn liên kết trong EtherChannel Nếu cả nguồn và đích đều được đưa vào hàm băm, thiết bị sẽ thực hiện phép XOR trên một hoặc nhiều bit bậc thấp của các giá trị băm để tạo ra chỉ số liên kết được chọn.

Có 2 loại giao thức EtherChannel:

- LACP (Link Aggregation Control Protocol)

LACP là giao thức cấu hình EtherChannel chuẩn quốc tế IEEE 802.3ad, được thiết kế để tương thích với hầu hết các thiết bị từ nhiều hãng khác nhau Giao thức này cho phép ghép tối đa 16 liên kết vật lý thành một liên kết logic duy nhất, trong đó 8 cổng chính và 8 cổng dự phòng nhằm đảm bảo sự ổn định và khả năng phục hồi của đường truyền.

LACP có 3 chế độ: On, Active và Passive Chế độ On là cấu hình EtherChannel tĩnh, thường không được dùng vì các thiết bị chuyển mạch được cấu hình EtherChannel bằng tay có thể hoạt động hoặc không tùy thuộc vào con người, do đó không có bước thương lượng giữa hai bên dẫn đến khả năng vòng lặp cao và có thể bị khóa bởi giao thức chống vòng lặp Chế độ Active là chế độ tự động – tự động thương lượng với đối tác Chế độ Passive là chế độ bị động – chờ được thương lượng từ bên đối tác.

EtherChannel là giao thức cấu hình độc quyền dành cho các thiết bị Cisco, cho phép ghép tối đa 8 liên kết vật lý thành một liên kết logic.

+ PAgP cũng có 3 chếđộ tương tự LACP: o On o Active o Passive

VCS

Công nghệ VCS Fabric là một công nghệ Ethernet Fabric mang tính cách mạng, tích hợp các dịch vụ lớp 2 và lớp 3 độc đáo giúp cải thiện hiệu quả sử dụng mạng, tăng tính khả dụng, mở rộng quy mô hệ thống và đơn giản hóa đáng kể kiến trúc mạng trung tâm dữ liệu VCS Fabric triển khai một loại mạng mới với kiến trúc có thể mở rộng để bổ sung thêm các dịch vụ và tính năng mới Nó cung cấp một mạng kết nối linh hoạt giữa các thiết bị chuyển mạch riêng lẻ được gọi là “Fabric” Các thiết bị chuyển mạch hình thành một cấu trúc Fabric, tạo ra một cụm ảo hóa của các thiết bị chuyển mạch vật lý mà các thiết bị chuyển mạch Ethernet cổ điển bên ngoài hoặc các thiết bị khác có thể nhìn thấy.

Hình 1.2 Cụm ảo hóa thiết bị chuyển mạch tạo thành một miền Fabric

Kiến trúc VCS cho phép định nghĩa các cổng thành hai loại: cổng biên và cổng fabric Cổng fabric là cổng kết nối giữa các thiết bị chuyển mạch trong miền fabric và hoạt động ở chế độ trong suốt Các thiết bị chuyển mạch cũ nằm ngoài miền fabric được kết nối tới cổng biên Do đó, các thiết bị trong miền fabric về mặt logic được xem như một thiết bị chuyển mạch duy nhất khi nhìn từ các thiết bị bên ngoài, mang lại sự nhất quán và quản lý mạng dễ dàng hơn.

Công nghệ VCS Fabric loại bỏ sự cần thiết của giao thức chống vòng lặp, đồng thời vẫn tương thích với các thiết bị chuyển mạch Ethernet cũ hỗ trợ giao thức này Toàn bộ miền Fabric trở nên trong suốt đối với mọi khung Bridge.

BPDU (Protocol Data Unit) đóng vai trò như một dịch vụ LAN giúp ngăn ngừa vòng lặp bằng cách phát hiện và tối ưu hóa đường đi dựa trên cây khung do các switch Ethernet truyền thống quản lý Việc phát hiện vòng lặp và hình thành đường đi hoạt động được điều phối bởi giao thức Spanning Tree (STP) thông qua cấu trúc cây khung trên các thiết bị chuyển mạch, đảm bảo mạng hoạt động an toàn và ổn định VCS Fabric không tham gia trực tiếp vào quá trình xử lý BPDU; nó hoạt động ở chế độ trong suốt với các gói BPDU, không ảnh hưởng tới cơ chế ngăn vòng lặp của mạng Ethernet truyền thống.

Kiến trúc VCS có thểđược cấu hình để tất cả các BPDU có thểđược vận chuyển qua miền Fabric hoặc ngăn cản chúng được vận chuyển qua miền Fabric

Cổng biên hỗ trợ chuẩn công nghiệp Link Aggregation Groups (LAGs) thông qua Link Aggregation Control Protocol (LACP) Các thiết bị chuyển mạch

Trong mạng Ethernet truyền thống, việc triển khai Link Aggregation (LAG) cho phép ghép nhiều liên kết giữa các thiết bị chuyển mạch thành một kênh logic, từ đó giảm sự phụ thuộc vào giao thức chống vòng lặp trên các liên kết khi kết nối đến một miền VCS Fabric LAG giúp tăng băng thông tổng thể, cải thiện hiệu suất và tính sẵn sàng của mạng ở khu vực kết nối với fabric Khi các liên kết vào miền VCS Fabric được ghép bằng LAG, chúng hoạt động như một đường link duy nhất, đơn giản hóa quản lý, tối ưu hoá cân bằng tải và duy trì tính dự phòng Tuy nhiên, cần chú ý đến cấu hình LAG và đồng bộ tham số giữa các thiết bị để tránh mất đồng bộ hoặc sự cố failover.

VPC

vPC (virtual Port Channel) là một công nghệ ảo hóa mạng được ra mắt năm 2009, cho phép liên kết vật lý giữa hai thiết bị Cisco Nexus 3000 hoạt động như một liên kết logic duy nhất Với vPC, hai switch Nexus sẽ kết nối và quản lý đồng bộ, chia sẻ một tập hợp cổng và đồng bộ trạng thái để tăng băng thông, cải thiện tính sẵn sàng và giảm thiểu vòng lặp mạng so với thiết kế dùng Spanning Tree Đây là giải pháp tối ưu cho mạng dữ liệu trung tâm cần cân bằng tải hiệu quả và độ tin cậy cao.

Trong mạng, 5.000, 7.000 hoặc 9.000 đường kết nối khác nhau có thể được gom lại thành một cổng logic để kết nối tới thiết bị cuối Thiết bị cuối có thể là một thiết bị chuyển mạch, máy chủ, bộ định tuyến hoặc bất kỳ thiết bị nào khác như tường lửa hoặc bộ cân bằng tải, miễn sao chúng hỗ trợ công nghệ link aggregation LACP (EtherChannel) và/hoặc vPC để tăng băng thông và tính sẵn sàng cho hệ thống.

Thành phần kiến trúc vPC

VPC (Virtual Port Channel) là mô hình ghép hai thiết bị chuyển mạch Cisco Nexus thành một cặp, trong đó một thiết bị hoạt động ở chế độ chính và thiết bị còn lại ở chế độ dự phòng, cho phép các thiết bị khác kết nối tới hai thiết bị chuyển mạch này bằng Multi-Channel Ethernet (MEC) Hai thiết bị này được gọi là vPC Peer và được kết nối với nhau thông qua vPC Peer Link.

vPC peer-link là thành phần kết nối quan trọng nhất trong thiết lập virtual Port Channel (vPC) Nó được dùng để đồng bộ hóa trạng thái giữa hai thiết bị vPC thông qua các gói điều khiển vPC, từ đó tạo ra một mặt phẳng điều khiển duy nhất Trong trường hợp thiết bị vPC cũng là thiết bị chuyển mạch lớp 3, vPC peer-link mang các gói Hot Standby Router Protocol (HSRP).

- vPC Peer Keepalive Link: vPC Peer Keepalive Link là đường liên kết lớp

vPC Keepalive được dùng để nhận diện và xác định trạng thái của các thiết bị trong cụm vPC cũng như xác định xem đường vPC Peer Link có hoạt động hay không Không có dữ liệu hay gói tin đồng bộ nào đi qua vPC Peer Keepalive Link; chỉ có các gói IP/UDP sử dụng cổng 3200 được gửi để giám sát các switch và liên kết ngang hàng trong cụm vPC Thời gian gửi các gói Keepalive mặc định là 1 giây và timeout là 5 giây.

vPC Domain là tham số dùng để xác định xem các switch Cisco Nexus nào đang ở chung một miền vPC Các thiết bị Nexus tham gia một cặp hoặc một cụm vPC phải được cấu hình với cùng vPC Domain (cùng ID miền vPC) để các liên kết port-channel hoạt động đồng bộ và an toàn khi gắn lên hai switch độc lập Việc đồng nhất miền vPC giúp đảm bảo tính nhất quán về đường đi và ngăn ngừa vòng lặp mạng trong môi trường vPC.

VRRP

VRRP (Virtual Router Redundancy Protocol) là giao thức được mô tả trong RFC 3768, cho phép sử dụng chung một địa chỉ IP gateway cho một nhóm thiết bị định tuyến Khi thiết bị định tuyến chính ngừng hoạt động, các thiết bị định tuyến còn lại sẽ nhanh chóng nhận biết và, theo các nguyên tắc bầu chọn của VRRP, một thiết bị khác sẽ trở thành thiết bị chính nắm giữ địa chỉ IP gateway đã được cấu hình từ trước, từ đó lưu lượng người dùng được định tuyến qua gateway mới và dịch vụ được duy trì thông suốt.

- VRRP Router: Thiết bịđịnh tuyến sử dụng VRRP Có thể có một hay nhiều VRRP thiết bịđịnh tuyến đồng thời

- VRRP-ID: Định danh cho các thiết bịđịnh tuyến thuộc cùng 1 nhóm VRRP

Một thiết bị định tuyến có thể tham gia nhiều nhóm VRRP (các nhóm hoạt động động lập nhau), và VRRP-ID là tên gọi của từng nhóm

- Primary IP: Địa chỉ thực của giao diện bộđịnh tuyến tham gia vào VRRP Các gói tin trao đổi giữa các VRRP Router sử dụng địa chỉ thực này

- VRRP IP: Địa chỉảo của nhóm VRRP đó Các gói tin trao đổi, làm việc với máy chủđều sử dụng địa chỉ ảo này

Địa chỉ MAC ảo đi kèm với địa chỉ IP ảo trên hệ thống Định dạng của MAC ảo là 00-00-5E-00-02-XX, trong đó XX là VRID ở dạng thập lục phân Các trao đổi ARP với máy chủ đều sử dụng MAC ảo này.

Virtual Router Master là một VRRP Router gắn với một nhóm VRRP-ID cụ thể và được bầu làm chủ của nhóm đó Thiết bị định tuyến này đảm nhận nhiệm vụ nhận và xử lý các gói tin từ máy chủ gửi lên mạng, đảm bảo luồng dữ liệu thông suốt và sự ổn định của kết nối giữa các thiết bị trong nhóm VRRP.

Virtual Router Backup là một VRRP Router gắn với một nhóm VRRP-ID cụ thể, đảm nhận vai trò dự phòng cho thiết bị chính Khi thiết bị chính ngừng hoạt động, các router phụ sẽ tham gia cơ chế bầu chọn của VRRP và tự động nhảy lên làm chính, đảm bảo sự sẵn sàng và liên tục của mạng.

Chế độ Preempt (Preempt Mode) được cấu hình trên từng VRRP Router Khi chế độ này được thiết lập đúng, VRRP Router có quyền tham gia bầu chọn để trở thành master trong nhóm VRRP và đảm bảo máy chủ chủ được chọn dựa trên mức ưu tiên cao nhất Ngược lại, khi Preempt không hoạt động (Preempt = Fails), VRRP sẽ không tham gia làm con chính dù có ưu tiên cao nhất.

Các thông số thời gian cho VRRP

Advertisement Interval (s) là chu kỳ gửi gói tin quảng bá tới bộ định tuyến, đại diện cho thời gian quảng bá được kích hoạt mỗi khi thiết bị định tuyến gửi hoặc nhận một bản tin quảng bá Tham số này xác định khoảng cách thời gian giữa các lần quảng bá, giúp kiểm soát lưu lượng mạng và đảm bảo thông tin cập nhật từ các thiết bị được truyền đi một cách hiệu quả.

- Skew time (s): Sử dụng để tính toán khoảng thời gian thiết bị chính theo quyền ưu tiên

Master Down Interval (s) là khoảng thời gian để thiết bị định tuyến phụ nhận diện khi thiết bị định tuyến chính gặp sự cố Cụ thể, sau ba lần không nhận được bản tin quảng bá, thiết bị định tuyến phụ sẽ kích hoạt Skew Timer Khi Skew Timer chạy hết mà vẫn không nhận được quảng bá, nó sẽ coi thiết bị chính bị mất kết nối và bắt đầu quá trình bầu chọn lại thiết bị chính.

Master_down_interval = 3 * Advertisement_interval + Skew_time

Các trạng thái của một VRRP Router

RFC3768 mô tả 3 trạng thái của VRRP Router: Initialize, Master và Backup

Thiết bị định tuyến đã được cấu hình VRRP nhưng chưa bật chức năng này, nên thiết bị định tuyến không có khả năng xử lý các gói tin VRRP Khi người quản trị tạo một sự kiện bắt đầu (dựa vào câu lệnh enable), VRRP sẽ chuyển sang trạng thái dự phòng.

Trong trạng thái dự phòng (Backup), VRRP Router có nhiệm vụ giám sát hoạt động của thiết bị định tuyến chính để phát hiện khi thiết bị này gặp sự cố Khi phát hiện sự cố, dựa trên quá trình hoạt động của VRRP và khi đủ điều kiện, thiết bị định tuyến phụ sẽ nhảy lên làm thiết bị định tuyến chính Ở trạng thái dự phòng, thiết bị định tuyến sẽ chỉ nhận các gói quảng bá từ thiết bị định tuyến chính và không tham gia làm gateway trung chuyển các gói tin từ các máy chủ gửi đến VRRP.

Trong trạng thái này, thiết bị định tuyến sẽ định kỳ gửi các gói tin quảng bá theo chu kỳ thời gian quảng bá Thiết bị định tuyến chính đóng vai trò là một thiết bị định tuyến với MAC ảo (virtual-MAC), có địa chỉ là địa chỉ ảo Mọi gói tin được gửi đến địa chỉ MAC ảo hoặc địa chỉ ảo này đều được thiết bị định tuyến chính xử lý.

Mô tả hoạt động của VRRP

Trong một nhóm VRRP, các thiết bị VRRP tham gia bầu chọn thiết bị chính (master) dựa trên giá trị quyền ưu tiên được cấu hình trên từng thiết bị chuyển mạch (switch) Quyền ưu tiên có phạm vi từ 0 đến 255; giá trị càng cao thì thiết bị đó có cơ hội trở thành master Quy tắc bầu chọn là thiết bị có quyền ưu tiên cao nhất sẽ đảm nhận vai trò thiết bị chủ; nếu có cùng quyền ưu tiên, thiết bị có địa chỉ IP cao nhất trong nhóm sẽ là thiết bị chủ.

VRRP Router được cấu hình địa chỉ ảo bằng địa chỉ chính sẽ có quyền ưu tiên 255 và trở thành thiết bị Master liên tục Vì vậy, nếu VRRP được cấu hình với quyền ưu tiên bằng 255 thì nó sẽ tự động sử dụng địa chỉ chính làm địa chỉ ảo cho nhóm VRRP Việc cấp quyền ưu tiên tối đa giúp tăng tính sẵn sàng và đảm bảo thiết bị này chiếm vai trò Master trong quá trình chuyển đổi.

Khi được lên làm thiết bị chính, các bộ định tuyến trong nhóm VRRP bắt đầu nhận các bản tin quảng bá từ các bộ định tuyến khác thuộc cùng nhóm và đồng thời gửi bản tin quảng bá chứa các tham số VRRP của mình Thiết bị định tuyến sẽ so sánh quyền ưu tiên của nó với quyền ưu tiên được công bố trong bản tin quảng bá; nếu quyền ưu tiên của nó cao hơn và thiết bị được cấu hình ở chế độ Preempt, nó sẽ nắm giữ vai trò thiết bị chính và chiếm quyền hoạt động như VRRP Master Ngược lại, nếu quyền ưu tiên của nó không cao hơn hoặc chế độ Preempt không được bật, vị trí master sẽ do cơ chế ưu tiên và trạng thái cấu hình quyết định.

= True, nó sẽ giữ nguyên trạng thái thiết bị chính Nếu không đạt đủcác điều kiện trên, nó sẽ nhảy xuống làm thiết bị dự phòng

Trong trường hợp quyền ưu tiên bằng nhau, VRRP sẽ so sánh địa chỉ của cổng được cấu hình cho VRRP với địa chỉ nguồn của gói tin quảng bá Nếu địa chỉ cổng cao hơn, thiết bị giữ nguyên vai trò thiết bị chính; nếu địa chỉ cổng thấp hơn, thiết bị sẽ xuống làm thiết bị dự phòng.

Quá trình chọn thiết bị chính kết thúc, và thiết bị được bầu chọn đảm nhận vai trò định tuyến chính sẽ gửi trả lời cho bản tin ARP yêu cầu từ máy chủ bằng địa chỉ MAC ảo (VMAC) Việc sử dụng VMAC giúp máy chủ nhận phản hồi ARP từ địa chỉ ảo của nhóm định tuyến, đồng thời duy trì tính sẵn sàng và khả năng chuyển tiếp dữ liệu ngay cả khi có sự cố xảy ra.

Stackwise switch

Công nghệ ghép nối nhiều thiết bị chuyển mạch thành một đơn vị quản lý duy nhất cho phép quản lý nhóm thiết bị như một thiết bị duy nhất Việc tập hợp các thiết bị chuyển mạch tăng tính linh hoạt, tối ưu vận hành và dễ mở rộng hạ tầng mạng Công nghệ này hỗ trợ chuyển đổi dự phòng giữa các thiết bị chuyển mạch mà không có thời gian ngắt quãng, đảm bảo dịch vụ mạng liên tục và sẵn sàng.

Hình 1.3 Mô hình đấu nối Stack

- Mở rộng: thêm một thiết bị chuyển mạch vào stack đơn giản

Khả dụng cao cho từng thành viên trong stack được đảm bảo với nguyên tắc đi dây để kết nối các thành viên trong stack như sơ đồ trên; khi bất kỳ switch nào trong stack bị ngắt, toàn bộ stack vẫn hoạt động bình thường; thậm chí khi nhiều thành viên mất kết nối, hệ thống vẫn duy trì sự sẵn sàng và hiệu suất chung.

Đơn giản Trước khi có công nghệ stacking, việc đảm bảo chuyển đổi dự phòng cho thiết bị chuyển mạch là phức tạp: người ta phải thiết lập EtherChannel giữa các thiết bị chuyển mạch và sao chép cấu hình cho cả hai thiết bị Mô hình chuyển đổi dự phòng dựa trên nhóm cổng càng mở rộng thì càng phức tạp Với Stack, ta có thể thêm thành viên vào stack mà vẫn giữ được tính đơn giản của mô hình.

Với giải pháp ảo hóa mạng, một nhóm thiết bị chuyển mạch được quản lý như một thiết bị duy nhất, giúp loại bỏ lo ngại vòng lặp Các switch được ảo hóa hoạt động như một đơn vị thống nhất, nên ngay cả khi không kích hoạt giao thức chống vòng lặp thì vẫn không có vòng lặp xảy ra Đây là cách tối ưu hóa quản lý mạng, giảm phức tạp và tăng tính sẵn sàng của hệ thống chuyển mạch.

- Dây nối giữa các thiết bị chuyển mạch trong stack là dây chuyên dụng

- Bị giới hạn về khoảng cách: các thiết bị chuyển mạch trong cùng stack phải đặt gần nhau

- Số thành viên trong stack tối đa là 9.

Gi ả i pháp k ế t n ố i gi ữ a các Site

TTXVN sử dụng dịch vụ leased line từ nhà mạng để truyền số liệu liên tỉnh, kết nối từ trung tâm dữ liệu chính đến trung tâm dữ liệu dự phòng bằng công nghệ chuyển mạch nhãn đa giao thức MPLS, nhằm đảm bảo độ ổn định và tốc độ cao cho các ứng dụng mạng nội bộ, thoại, dữ liệu và video trên nền IP Với ưu thế của giải pháp này là đường truyền riêng tư, độ trễ thấp, băng thông được tối ưu hoá, tính sẵn sàng cao và khả năng quản trị tập trung, giúp hệ thống mạng của TTXVN vận hành liên tục, an toàn và hiệu quả cho mọi dịch vụ.

Leased Line cáp quang là kênh vật lý được thiết lập riêng cho từng khách hàng, đảm bảo sự riêng tư và kiểm soát tối đa đối với đường truyền Nhờ đặc tính vượt trội của cáp quang là không bị nhiễu điện từ và có khả năng chịu được tác động cơ học cùng với điều kiện môi trường khắc nghiệt, tín hiệu quang được truyền trên kênh này có độ an toàn và bảo mật tuyệt đối.

- Tính ổn định: Hạ tầng truyền dẫn sử dụng cáp quang đơn mode, tuân thủ theo các tiêu chuẩn Viễn thông

Với tốc độ truyền dẫn cao, dịch vụ truyền số liệu được triển khai trên hạ tầng cáp quang tiên tiến và luôn đảm bảo 100% băng thông cho khách hàng thuê Hạ tầng này giúp dữ liệu được truyền tải nhanh, ổn định và liên tục, tối ưu hoá hiệu suất mạng cho các ứng dụng yêu cầu băng thông lớn Dịch vụ cam kết chất lượng và độ tin cậy vượt trội, mang lại trải nghiệm kết nối ổn định cho doanh nghiệp khi thuê dịch vụ truyền số liệu trên mạng lõi cáp quang.

- Tính linh hoạt: Dễ dàng nâng cấp tốc độ, thời gian nâng cấp nhanh chóng, đáp ứng mọi yêu cầu đột xuất của khách hàng

Các dịch vụ giá trị gia tăng (VAS) không chỉ đảm bảo truyền số liệu mà còn có khả năng hỗ trợ chạy các ứng dụng thời gian thực đòi hỏi băng thông ổn định và chất lượng đường truyền cao, từ đó tối ưu hóa hiệu suất mạng, giảm độ trễ và cải thiện trải nghiệm người dùng cho các ứng dụng quan trọng như hội nghị truyền hình, giao dịch điện tử và truyền dữ liệu lớn.

Giải pháp cân bằng tải Riverbed mang lại sức mạnh xử lý tải lớn, tối ưu hóa băng thông, tăng tốc ứng dụng và dễ dàng triển khai với giao diện quản trị thân thiện qua giao diện web Các lợi thế của giải pháp Riverbed bao gồm hiệu suất cao, tối ưu hóa lưu lượng mạng, quản trị tập trung từ xa qua web, khả năng mở rộng linh hoạt và tích hợp dễ dàng vào hạ tầng CNTT hiện có, giúp cải thiện trải nghiệm người dùng cuối và giảm độ trễ ứng dụng.

- Đứng đầu bảng đánh giá trong mảng tối ưu hóa mạng WAN

Mô hình triển khai đa dạng theo luồng dữ liệu cho phép tối ưu hiệu suất của giải pháp Việc đặt thiết bị ở giữa, trước khi kết nối tới thiết bị định tuyến, được xem là mô hình tốt nhất để đảm bảo hiệu năng tối đa và tận dụng hiệu quả các nguồn lực của hệ thống.

Quality of Service (QoS) đóng vai trò then chốt bên cạnh việc tăng tốc ứng dụng và tối ưu hóa băng thông Riverbed cung cấp tính năng QoS ở lớp 7 nhằm ưu tiên dữ liệu quan trọng truyền qua mạng WAN, từ đó tăng hiệu quả của ứng dụng và đáp ứng yêu cầu về tốc độ phản hồi của ứng dụng.

Đẩy nhanh hiệu suất cho trung tâm dữ liệu chính và dữ liệu dự phòng bằng tiêu chuẩn tối ưu hóa đặc thù dành cho các dạng giải pháp sao lưu dữ liệu và sao lưu phần mềm của Steelheas, nhằm giảm thiểu dữ liệu trùng lặp ở mức cao nhất Tiêu chuẩn này giúp tối ưu hóa quy trình sao lưu và phục hồi, giảm thiểu yêu cầu về băng thông và thời gian xử lý của hệ thống và giảm tải cho các giải pháp lưu trữ Nhờ công nghệ deduplication hiệu quả, các trung tâm dữ liệu có thể tăng tốc sao lưu, cải thiện hiệu suất vận hành và tối ưu chi phí lưu trữ Steelheas hỗ trợ các chiến lược sao lưu bộ nhớ và sao lưu phần mềm với khả năng giảm dữ liệu trùng lặp mạnh mẽ, phù hợp với mọi hình thức sao lưu và nâng cao khả năng mở rộng của hệ thống.

- Benefit Reporting: Các báo cáo chi tiết giúp xác định được những cải thiện trong việc tối ưu hóa mạng WAN.

Giám sát an ninh

H ệ th ố ng phát hi ện và ngăn chặ n xâm nh ậ p

Các hệ thống phát hiện xâm phạm (IDS) và hệ thống ngăn chặn xâm nhập (IPS) sử dụng DPI đểxác định các cuộc tấn công mạng, thường là từ một thư viên dấu hiệu của các cuộc tấn công đã biết Chúng yêu cầu truy cập và đường truyền mạng có thểthu được bằng cách đặt thiết bị IDS/ IPS trực tiếp giữa hai thiết bịđầu cuối hoặc có thể theo dõi lưu lượng truy cập từ thiết bị chuyển mạch thông qua tính năng nhân bản cổng Cổng này sẽ sao chép lưu lượng truy cập đến và đi từ các cổng đã chọn tới một cổng lắng nghe, nơi thiết bịgiám sát được định vị Nếu cần thiết, một mạng riêng biệt có thểđược sử dụng để giữ cho các thiết bị giám sát tách khỏi mạng bảo vệ

Một số tính năng khác trong bộ chuyển mạch có thể giúp phát hiện hành vi nguy hiểm, như nhận dạng địa chỉ MAC có thể gửi thông báo SNMP trap khi máy tính di chuyển trong mạng Một số thông tin về MIB (Management Information Base) có thể hữu ích cho các mục đích của IDS, như MIB giám sát mạng và các phần mở rộng chuyển mạch của nó

Bên cạnh giám sát thụ động, các biện pháp tích cực có thể được triển khai để phát hiện hành vi nguy hiểm trên mạng Việc xây dựng khung quản lý với các hành vi ảnh hưởng đã biết và tích hợp kết quả giám sát sẽ giúp nhận diện kịp thời các cuộc tấn công ARP spoofing.

Gi ả i pháp phòng ch ố ng DDoS

Arbor Network APS (Availability Protection System) là sản phẩm của Arbor Network, công ty hàng đầu chuyên nghiên cứu và phát triển công nghệ phòng chống tấn công từ chối dịch vụ (DDoS) Giải pháp bảo vệ DDoS của Arbor Network được tin cậy bởi hơn 90% các nhà cung cấp dịch vụ hàng đầu trên thế giới, bao gồm các nhà cung cấp dịch vụ lưu trữ lớn và các nhà cung cấp dịch vụ đám mây.

Arbour Network APS giúp doanh nghiệp an toàn trước các cuộc tấn công DDoS khi các hoạt động ngày càng gia tăng về khủng bố và tội phạm an ninh mạng, khiến các vụ tấn công DDoS phát triển về quy mô, tần suất và tính phức tạp Vì DDoS có thể nhắm tới cả hệ thống mạng phổ thông lẫn các hệ thống và ứng dụng đặc thù nên hậu quả có thể rất nghiêm trọng, từ làm tê liệt hoạt động kinh doanh trong nhiều ngày cho tới việc kết hợp với các công cụ đe dọa tiên tiến (advanced threat) để đánh cắp thông tin nhạy cảm và sở hữu trí tuệ Arbor Network nhận diện và ngăn chặn đa dạng các kiểu DDoS, giúp duy trì hoạt động cho các ứng dụng, máy chủ và mạng lưới CNTT của doanh nghiệp.

Tại sao phòng chống DDoS là yêu cầu thiết thực?

Xu hướng CNTT hiện nay cho thấy máy chủ đám mây đang là định hướng chủ đạo của các doanh nghiệp và nhà cung cấp dịch vụ, đồng thời làm tăng sự phụ thuộc vào các trung tâm dữ liệu riêng Việc duy trì tính liên tục và khả năng sẵn sàng của hệ thống trở thành mục tiêu bảo mật cốt lõi cho doanh nghiệp, nhất là với các tổ chức dựa vào các dịch vụ trọng yếu như website thương mại điện tử, giao dịch tài chính, chuỗi cung ứng, email và VoIP Khi một trong những dịch vụ này gặp sự cố, hậu quả có thể tác động đến hoạt động kinh doanh toàn diện và đòi hỏi các biện pháp phục hồi nhanh chóng để giảm thiểu gián đoạn và mất mát dữ liệu.

Hệ thống Botnet đang mở rộng phạm vi toàn cầu và đi kèm với các hoạt động trái phép, dẫn đến các cuộc tấn công DDoS ngày càng đa dạng và phức tạp Các công cụ tấn công ngày càng tinh vi và dễ tiếp cận khiến tin tặc có thể nhắm vào nhiều mục tiêu hơn, từ hệ thống mạng đến các dịch vụ trực tuyến Đáng chú ý, các mục tiêu phổ biến hiện nay là các ứng dụng và dịch vụ, nơi chúng có thể bị tấn công để làm sập hệ thống bằng nhiều kiểu tấn công mới.

Kiểu tấn công với lưu lượng băng thông thấp nhằm thoát khỏi các cơ chế dò quét bảo mật từ các nhà cung cấp dịch vụ cũng như các thiết bị bảo mật truyền thống của doanh nghiệp, khiến các kỹ sư vận hành tại trung tâm dữ liệu ngại đối mặt với thách thức này Trong bối cảnh đó, Arbor Network APS được coi là giải pháp đảm bảo kinh doanh của doanh nghiệp luôn liên tục và sẵn sàng trước các nguy cơ tấn công ở mức độ ứng dụng Sản phẩm tích hợp các công nghệ dò quét và phát hiện tấn công tinh vi, tiên tiến nhất thế giới, đồng thời triển khai dễ dàng để vô hiệu hóa các cuộc tấn công trước khi chúng làm ảnh hưởng tới các dịch vụ quan trọng.

Khía cạnh thứ hai là thực tế các thiết bị bảo mật truyền thống như tường lửa và IPS không thể chống lại DDoS Tường lửa chỉ thực thi các chính sách quản lý truy cập tới tài nguyên trung tâm dữ liệu, trong khi IPS ngăn chặn các mối đe dọa dựa trên lỗ hổng được biết tới, nhưng DDoS là một vấn đề hoàn toàn khác DDoS là lưu lượng hợp pháp từ nhiều nguồn đồng thời nhằm tấn công các nguồn quan trọng trong mạng bằng cách làm quá tải băng thông, số phiên và dịch vụ ứng dụng (HTTP(S), DNS) hoặc cơ sở dữ liệu backend; vì các truy cập này không chứa mã độc và là hợp pháp nên chúng không thể bị phát hiện hay ngăn chặn bởi tường lửa và IPS Trên thực tế, tường lửa và IPS thường là mục tiêu của các cuộc tấn công DDoS Để đối phó với thực tế này, cần có một lớp sản phẩm bảo mật mới ngăn chặn DDoS, và Arbor Network APS là giải pháp đáp ứng yêu cầu đó.

Tính năng thiết bị Arbor Network APS:

- Stateless Analysis Filtering Engine (SAFE): Stateless Analysis Filtering

Engine (SAFE) là cơ chế nền tảng của Arbor Network APS và các giải pháp dịch vụ của Arbor Network Đây là cơ chế lọc gói tin một chiều, không giống các sản phẩm cân bằng tải hay tường lửa; IPS kiểm soát theo cơ chế trạng thái, SAFE thực thi quét và ngăn chặn các cuộc tấn công DDoS mà không theo dõi bất kỳ trạng thái phiên nào Trong trường hợp yêu cầu theo dõi trạng thái phiên, SAFE chỉ lưu trữ thông tin tối thiểu cho một khoảng thời gian ngắn Do đó, Arbor Network APS có thể chịu được các cuộc tấn công DDoS băng thông thấp nhắm vào ứng dụng.

Hơn nữa, SAFE được tích hợp với bộ lọc chống tấn công DDoS tối ưu do nhóm Arbor Security Research & Engineering Team (ASERT) nghiên cứu và phát triển Những bộ lọc này giúp ngăn chặn hàng trăm loại malware đang tạo ra mối đe dọa trên phạm vi toàn cầu, tăng cường sự an toàn và độ tin cậy cho hệ thống mạng của bạn.

Arbor Network APS mang lại bảo vệ mạng ngay từ khi triển khai với khả năng bảo vệ nhanh chóng khỏi các nguy cơ trực tuyến Sản phẩm được thiết kế để dễ cài đặt, cấu hình và vận hành, giúp quản trị viên tiết kiệm thời gian và công sức Nhờ cơ chế tự động dò quét và giao diện cấu hình đơn giản, Arbor Network APS không đòi hỏi bất kỳ đào tạo nào trước khi đưa vào sử dụng.

Bảo vệ DDoS tự động và tiên tiến giúp giảm thiểu thời gian chết của hệ thống cho các tổ chức Arbor Network APS được thiết kế để tự động phát hiện và ngăn chặn các cuộc tấn công DDoS với tác động tối thiểu đến người dùng Sản phẩm cũng hỗ trợ thực hiện các kế hoạch dự phòng và các kỹ thuật bảo vệ đơn giản, tăng cường khả năng phòng thủ mạng một cách hiệu quả.

ATLAS Intelligence Feed (AIF) là công nghệ an ninh mạng được xây dựng trên các sensor đặt tại 230 nhà cung cấp dịch vụ đang triển khai giải pháp của Arbor, với hơn 70% lưu lượng dữ liệu vô danh được chia sẻ lên tới 35 Tbps Lượng dữ liệu khổng lồ này được nhóm nghiên cứu của Arbor phân tích để phản hồi cho khách hàng về các dấu hiệu tấn công Công nghệ này cho phép người dùng xem chi tiết về mạng lưới và có cái nhìn tổng quan về tình hình tấn công trên toàn cầu, đồng thời cung cấp đầy đủ thông tin về các cuộc tấn công DDoS, mã độc và botnet.

ATLAS Intelligence Feed (AIF) is delivered across Arbor's global network in real time, enabling customers to continuously receive updates and instantly detect attacks.

Advanced Web Crawler Service là giải pháp ngăn chặn các trình thu thập dữ liệu độc hại, đồng thời đảm bảo tính sẵn sàng của hệ thống và không ảnh hưởng tới thứ hạng của trang web ASERT đã thiết lập một chính sách cho phép các trình thu thập thông tin web hợp lệ được truy cập vào trang web của bạn và chặn tất cả các trình thu thập thông tin không hợp lệ Giải pháp này tăng cường bảo mật dữ liệu, tối ưu hóa hiệu suất và duy trì trải nghiệm người dùng liền mạch mà vẫn bảo vệ SEO của bạn.

Trong bối cảnh an ninh mạng, các cuộc tấn công băng thông thấp vẫn rất hiệu quả để làm ngắt các ứng dụng tại trung tâm dữ liệu, bên cạnh đó DDoS còn bao gồm các kiểu tấn công làm ngập băng thông nhằm tiêu thụ toàn bộ các kết nối internet đến trung tâm dữ liệu Những đợt tấn công ngập lụt này có thể làm cạn kiệt hoàn toàn băng thông, khiến cho công tác phòng thủ phụ thuộc vào các điều chỉnh bên trong hệ thống mạng của nhà cung cấp dịch vụ.

Công nghệ hỗ trợ mở rộng khả năng phát hiện và chống DDoS một cách sâu sắc Nhờ sự phối hợp giữa hai dòng sản phẩm Peakflow (đặt tại nhà cung cấp) và Arbor Network (đặt tại phía khách hàng, tại trung tâm dữ liệu), khi hệ thống của khách hàng gặp sự cố tấn công DDoS, thiết bị Arbor Network APS có thể gửi thông báo tới thiết bị Peakflow đặt tại ISP để phối hợp xử lý, chuyển luồng tấn công và giúp hệ thống của khách hàng trở về trạng thái bình thường.

- Visibility, Control and Alerting: Arbor Network APS không phải là một

Quy ho ạ ch, qu ả n lý và qu ả n tr ị

Thực tiễn quản trị mạng hiệu quả có thể ảnh hưởng đáng kể đến hiệu suất và bảo mật của mạng Ethernet Nhiều giải pháp kỹ thuật từng được đề cập trước đây đòi hỏi điều chỉnh liên tục khi cấu trúc mạng thay đổi Do thiếu một cơ chế đáng tin cậy để tự động tách một mạng trunk khỏi các kết nối đến các nút lá, quản trị viên phải xác định và cấu hình thông tin này trực tiếp trên các thiết bị chuyển mạch Việc tách thông tin quản lý sang một VLAN riêng và hạn chế các chức năng điều khiển cũng như luồng dữ liệu sẽ tăng cường bảo mật cho mạng, đưa mức độ bảo vệ gần với một mạng IP dựa trên router.

Các nhà cung cấp thiết bị đã triển khai các tính năng bảo mật liên quan đến ethernet và cung cấp các hướng dẫn cấu hình cho mạng ethernet, giúp tăng cường an ninh và dễ triển khai Có nhiều hệ thống phần mềm quản lý mạng nhằm giảm khối lượng công việc cấu hình các thiết bị chuyển mạch trên mạng, đồng thời duy trì hình ảnh topo và giảm sai sót nhờ tự động hóa các nhiệm vụ Tuy nhiên, để hoạt động hiệu quả, các thiết bị chuyển mạch phải tương thích với phần mềm quản lý và được cấu hình để làm việc cùng nhau Nhiệm vụ quản trị mạng có thể bao gồm quét mạng tích cực, thăm dò và thử nghiệm nhằm phát hiện các lỗ hổng.

Sơ lượ c v ề h ệ th ố ng m ạ ng c ủ a Thông t ấ n xã Vi ệ t Nam

Một kiến trúc tốt hay một hệ thống hiệu quả được xây dựng trên nền tảng kiến thức vững chắc và các nguyên tắc kỹ thuật căn bản Việc áp dụng những nguyên tắc này vào thiết kế giúp cân bằng giữa khả năng sẵn sàng, bảo mật, tính linh hoạt và dễ quản lý cho hệ thống về sau Bên cạnh đáp ứng nhu cầu hiện tại của công ty, thiết kế mạng cần được xem xét để có thể mở rộng cả về phần cứng lẫn phần mềm trong tương lai.

Trong bối cảnh sự phát triển nhanh và mạnh của công nghệ thông tin, việc ứng dụng các công nghệ mới là cần thiết để bắt kịp xu hướng và nâng cao hiệu quả Bên cạnh đó, hệ thống mở cần đảm bảo tính ổn định và tận dụng tối đa những ưu điểm của thiết bị hiện có, nhằm tối ưu hóa hiệu suất và khả năng mở rộng.

Do đó việc nắm rõ hiện trạng mạng của thông tấn xã là hết sức quan trọng

Hệ thống mạng TTXVN được thiết kế theo mô hình 3 lớp, đảm bảo phân chia chức năng và quản lý ở mọi tầng Mỗi lớp sở hữu các thuộc tính riêng biệt nhằm cung cấp chức năng phù hợp cho từng điểm trên mạng cục bộ Nhờ cấu trúc phân tầng này, hệ thống mạng của TTXVN vừa tối ưu hóa hiệu suất, vừa tăng tính linh hoạt và khả năng mở rộng của mạng cục bộ.

Việc hiểu rõ từng lớp, chức năng và hạn chế của nó là nền tảng để áp dụng đúng cách các lớp trong quá trình thiết kế Khi nắm vững đặc tính và giới hạn của mỗi lớp, nhà thiết kế có thể phối hợp chúng một cách nhịp nhàng, tối ưu hóa hiệu suất, tính mở rộng và sự linh hoạt của hệ thống Điều này giúp đảm bảo sự nhất quán trong kiến trúc, giảm thiểu sai lệch trong triển khai và nâng cao chất lượng sản phẩm cuối cùng, đồng thời tối ưu hóa thời gian và chi phí phát triển.

- Tính sẵn sàng và khảnăng mở rộng cao

- Giảm sựđụng độ dữ liệu khi sốlượng thiết bịvà lưu lượng mạng tăng cao

- Giảm dữ liệu broadcast khi các thiết bịtăng

- Cô lập sự cố trong mạng dễdàng và nhanh chóng hơn.

Như đã trình bày ở trên, hệ thống mạng TTXVN được thiết kế theo mô hình 3 lớp để tối ưu hóa hiệu suất và quản lý Trong khuôn khổ kiến trúc này, thiết lập mạng hai lớp lõi sử dụng giao thức VCS, cho phép chia sẻ băng thông và có khả năng dự phòng Nhờ đó, việc tạm dừng hoạt động của một trong hai thiết bị chuyển mạch lõi sẽ không ảnh hưởng đến hoạt động của toàn bộ hệ thống mạng, đảm bảo sự ổn định và sẵn sàng cho người dùng.

Hạ tầng không gian và người dùng

Hệ thống cơ sở hạ tầng của doanh nghiệp được thể hiện qua văn phòng chính đặt trong một tòa nhà gồm 11 tầng và 2 tầng hầm, với diện tích mặt bằng mỗi tầng khoảng 3000 m2 Tòa nhà có hai hệ thống trục kỹ thuật dọc theo chiều cao, phục vụ cho quá trình vận hành và phân bổ hạ tầng của toàn bộ khu văn phòng. -**Support Pollinations.AI:**🌸 **Quảng cáo** 🌸 Hỗ trợ viết lại nội dung chuẩn SEO dễ dàng cùng Pollinations.AI, hãy [ủng hộ sứ mệnh của chúng tôi](https://pollinations.ai/redirect/kofi) để giữ AI miễn phí cho mọi người.

Bốtrí các phòng như sau:

+ 2 tầng hầm: để xe, chỉ có yêu cầu mạng tại phòng bảo vệ tại tầng hầm 1

Trong kế hoạch thiết kế này, từ tầng 1 đến tầng 10 là các tầng nổi dành cho không gian văn phòng với các khu làm việc được bố trí tối ưu, tận dụng ánh sáng tự nhiên và không gian mở Tầng 11 dành cho khu vực sinh hoạt chung như căn tin và quán cà phê, với yêu cầu mạng có mật độ truy cập thấp hơn để đảm bảo ổn định và an toàn cho khu vực cộng đồng.

- Yêu cầu vềđáp ứng sốngười làm việc tại các tầng:

Tầng Sốlượng người sử dụng Ghi chú

Tầng 1 50 Sảnh chính toàn nhà

Tầng 3 100 Phòng làm việc và phòng họp

Tầng 4 120 Phòng làm việc và phòng họp

Tầng 5 90 Phòng làm việc và phòng họp

Tầng 6 90 Phòng làm việc và phòng họp

Tầng 7 90 Phòng làm việc và phòng họp

Tầng 8 120 Phòng làm việc và phòng họp

Tầng 9 120 Phòng làm việc và phòng họp

Tầng 10 130 Phòng làm việc và phòng họp

Tầng 11 30 Tầng dịch vụăn uống

Tổng 1000 người Tổng số người làm việc trong văn phòng

Bảng 2.1 Bảng khảo sát số người sử dụng hệ thống mạng

- Yêu cầu về kết nối cho các máy chủ: Đối tượng kết nối Sốlượng thiết bị Sốlượng kết nối Ghi chú

Máy chủ 100 200 Sử dụng 2 kết nối cho mỗi máy chủ Thiết bị bảo mật 10 20 Sử dụng 2 kết nối cho mỗi thiết bị

Thiết bịlưu trữ 20 40 Sử dụng 2 kết nối cho mỗi thiết bị

Kết nối phục vụ quản trị thiết bị

200 Mỗi thiết bị cần 1 kết nối để quản trị

Máy trạm quản lý 20 30 Dự phòng 50%

Bảng 2.2 Bảng khảo sát số nút mạng cho trung tâm dữ liệu

Kh ả o sát hi ệ n tr ạ ng

Sơ đồ k ế t n ố i Edge-Internet

Hình 2.1 Sơ đồ logic kết nối Internet

Kết nối Internet do TTX thuê gồm 4 kênh chính: hai kênh đường vào cho vùng hệ thống và hai kênh ra cho người dùng Internet Kênh truyền Internet đường vào được đấu nối và vận hành qua giao thức BGP với 2 nhà mạng VDC.

Viettel quảng bá dải địa chỉ công khai của thông tấn xã ra ngoài Internet nhằm đảm bảo hệ thống vận hành ổn định và không bị ảnh hưởng khi một nhà mạng gặp sự cố Việc đưa dải địa chỉ công khai ra Internet tối ưu hóa đường truyền, tăng tính sẵn sàng của hệ thống và nâng cao độ tin cậy cho người dùng khi truy cập tin tức trực tuyến.

Mạng Internet của người dùng tại TTX được kết nối qua các đường lease line; các đường này chạy song song tới một switch và được cân bằng tải bởi một thiết bị cân bằng tải nhằm đảm bảo kết nối liên tục cho mạng của TTX Cổng vào Internet sẽ đi qua một thiết bị tường lửa trước khi vào thiết bị chuyển mạch lõi (core switch).

Dựa trên bảng số liệu về tốc độ tải xuống tối thiểu do FCC đề ra, thực tế cho thấy khoảng 600 trên 1000 người làm việc thường xuyên có nhu cầu duyệt web và tìm kiếm thông tin Với 1 Mbps cho mỗi người, tổng nhu cầu truy cập Internet được ước tính là khoảng 600 Mbps Để đáp ứng nhu cầu này, cơ quan đã thuê hai kênh có dung lượng 400 Mbps mỗi kênh, tổng cộng 800 Mbps, vừa đủ sử dụng và có dư địa dự phòng cho phát sinh lưu lượng.

Sơ đồ k ế t n ố i Edge-DMZ

Hình 2.2 Sơ đồ kết nối vùng DMZ

Vùng DMZ là một khu vực mạng được tách biệt với LAN nhằm đặt các hệ thống công khai như Web, Mail, FTP và các dịch vụ khác cho người dùng bên ngoài truy cập qua Internet; việc công khai ra Internet làm tăng nguy cơ bị tấn công, nhưng khi có dấu hiệu xâm nhập, tin tặc sẽ bị giới hạn hoạt động tại DMZ và không thể xâm phạm mạng LAN nội bộ, từ đó bảo vệ tài nguyên và dữ liệu quan trọng ở LAN.

Trong vùng DMZ đã triển khai một số tính năng bảo mật quan trọng như bảo mật email, thiết bị cân bằng tải và lưu trữ dữ liệu Tuy nhiên phân bổ các yếu tố này chưa được quy củ và hợp lý, dẫn đến khó khăn trong quản lý và mở rộng hệ thống Mặc dù công nghệ lưu trữ SAN đã được áp dụng, việc tập trung còn chưa đồng bộ và quy hoạch vùng địa chỉ chưa rõ ràng cho thấy thiếu tính chuyên nghiệp Điều này gây trở ngại cho công tác quản trị, mở rộng và nâng cấp hệ thống trong tương lai.

Sơ đồ k ế t n ố i Edge-Hosting

Hình 2.3 Sơ đồ kết nối Edge-Hosting

Trong kiến trúc mạng, kết nối giữa thiết bị chuyển mạch biên và các hệ thống lưu trữ nhằm cân bằng tải khi máy chủ quá tải, với đường kết nối tới hai nhà mạng Viettel và VNPT Mỗi nhà mạng sẽ được bố trí trước một thiết bị tường lửa nhằm bảo vệ chống lại các tấn công từ bên ngoài Tại mỗi vị trí đặt tại nhà mạng sẽ có các thiết bị chuyên dụng phục vụ cho mục đích cân bằng tải đường đi, lưu trữ bộ nhớ đệm, và quản lý tập trung Tuy nhiên, do đã quá thời hạn sử dụng, kênh truyền và chi phí bảo dưỡng cao nên việc tiếp tục sử dụng sẽ gặp nhiều khó khăn.

Sơ đồ k ế t n ố i Edge-WAN

Hình 2.4 Sơ đồ kết nối WAN

Sơ đồ kết nối mạng biên cho thiết bị chuyển mạch được thiết kế với hai tuyến liên kết giữa Hà Nội và Hồ Chí Minh, mỗi khu vực có một cặp thiết bị chuyển mạch Các kết nối này được thiết lập và vận hành bằng giao thức định tuyến động, giúp tối ưu đường đi và tự động cập nhật khi có thay đổi trên mạng Đồng thời hai tuyến liên kết này hoạt động dự phòng cho nhau nhằm đảm bảo tính sẵn sàng và khả năng chịu lỗi của mạng biên.

K ế t n ố i Edge-Core

Server 1 - 5LTK ibution 1THD Distribution

Hình 2.5 Sơ đồ kết nối Edge – Core

Trong sơ đồ mạng, có hai kết nối được thiết lập giữa bộ định tuyến biên và cặp Brocade VDX 8770, chạy giao thức định tuyến động và có tính dự phòng cho nhau Các kết nối này chịu trách nhiệm truyền tải thông tin giữa hai miền hosting thuộc cùng mạng cục bộ Đồng thời, các liên kết thực hiện bó cổng (link aggregation) để tăng thông lượng giữa hai thiết bị, tối ưu hóa việc truyền tải dữ liệu lớn cho người dùng Internet và truy cập vùng mạng hệ thống.

K ế t n ố i Core

Hình 2.6 Sơ đồ kết nối Core

Thiết lập mô hình mạng 2 Core sử dụng giao thức VRRP để chia sẻ băng thông và tăng khả năng dự phòng, giúp hệ thống mạng vẫn vận hành khi một trong hai core switch gặp sự cố Mỗi thiết bị Core có hai đường kết nối tới các Distribute đặt tại tòa nhà số 5, 79, 11 và 33, đồng thời kết nối tới vùng database và tới vùng biên nhằm tối ưu hiệu suất và sự sẵn sàng của toàn mạng.

K ế t n ố i Core Database

Hình 2.7 Sơ đồ kết nối Core Database

Mỗi Core có hai kết nối tới Firewall, nhằm ngăn chặn truy cập trái phép từ bên ngoài và bảo vệ vùng database Hệ thống IPS (Intrusion Prevention System) sẽ phòng chống xâm nhập và giám sát lưu lượng mạng, thu thập thông tin về các gói tin, phát hiện các phần mềm độc hại tiềm ẩn hoặc các loại tấn công, từ đó IPS chặn các gói tin độc hại truy cập vào mạng.

Vùng Database có 3 vùng địa chỉ tương ứng với mạng sản xuất thông tin, website và dải mạng dành cho thiết bị vệ tinh.

K ế t n ố i Core Server

Hình 2.8 Sơ đồ kết nối Core Server

Vùng Core server được kết nối trên hai thiết bị Cisco Nexus 5548UP được cấu hình chạy vPC, đảm bảo kết nối song song và hệ thống vẫn vận hành bình thường khi một thiết bị gặp sự cố Thiết bị Nexus 5K sẽ được mở rộng thông qua kết nối với Switch 2232PP (cung cấp kết nối 10 Gb) và Switch 2248 (cung cấp kết nối 1 Gb) nhằm phục vụ các máy chủ của hệ thống Ngoài ra, nó còn được cấu hình kết nối tới vùng Server UCS (Unified Computing System) – hệ thống điện toán hợp nhất của Cisco, được xây dựng trên nền tảng kết hợp điện toán, mạng và lưu trữ thành một hệ thống tích hợp và ảo hóa.

K ế t n ố i Core Distribute

Mô hình này có hai kết nối 40G giữa hai Core Switch, được ghép thành một liên kết ảo bằng cách cấu hình Port-Channel với công nghệ EtherChannel để tăng băng thông giữa hai Core Switch EtherChannel cho phép ghép hai hoặc nhiều đường truyền vật lý thành một đường liên kết ảo duy nhất, có cổng ảo và thậm chí cả MAC ảo, nhằm tối ưu hóa tốc độ truyền dữ liệu và tăng khả năng dự phòng cho hệ thống Việc triển khai EtherChannel giúp giảm nghẽn mạng, cải thiện hiệu suất và cung cấp sự dự phòng khi một đường truyền gặp sự cố Các kết nối 40G giữa Core Switch được quản lý thống nhất qua Port-Channel, đảm bảo luồng dữ liệu liên tục và ổn định cho hạ tầng mạng.

Công nghệ EtherChannel cho phép ghép từ 2 đến 8 liên kết Fast Ethernet (FE), Gigabit Ethernet (GE) hoặc 10 Gigabit Ethernet (10GE) thành một đường truyền duy nhất Khi các cổng được ghép vào EtherChannel, thiết bị chuyển mạch sẽ xem chúng như một cổng duy nhất, giúp tăng băng thông tổng thể, cân bằng tải và tăng tính sẵn sàng cho mạng.

Để EtherChannel hoạt động đúng và ngăn ngừa vòng lặp, cả hai đầu kết nối (switch hoặc thiết bị ở hai bên) phải hiểu và cấu hình EtherChannel Khi cả hai đầu đều tham gia, liên kết được ghép thành một kênh logic, tối ưu băng thông và ổn định mạng; ngược lại, nếu chỉ một đầu sử dụng EtherChannel trong khi đầu kia không, sự bất đồng này có thể dẫn tới vòng lặp hoặc mất kết nối.

Hình 2.9 Mô hình kết nối vật lý Core Distribute

- Hai Distribute Switch chạy VRRP

Hai switch phân phối được cấu hình để chạy giao thức dự phòng VRRP, thiết lập cơ chế dự phòng mạng cho lớp Access Nhờ VRRP, hai switch phân phối này đảm bảo sự sẵn sàng cao và khả năng phục hồi dịch vụ cho người dùng ở lớp Access, tăng độ tin cậy và hiệu quả vận hành của hệ thống.

Hình 2.10 Hai Distribute Switch chạy VRRP

Khi triển khai VRRP, hai thiết bị Distribute Switch được cấu hình ở vai trò Master và Backup để đảm bảo tính sẵn sàng cao cho mạng Trong trường hợp thiết bị Master gặp sự cố, thiết bị Backup sẽ tự động lên làm Master và tiếp tục cung cấp dịch vụ cho người dùng lớp Access mà không bị gián đoạn.

Trong phương án hai thiết bị chuyển mạch phân phối chạy VRRP, phần kết nối lên thiết bị chuyển mạch lõi là liên kết lớp 3 và được định tuyến động bởi OSPF, trong khi phần kết nối từ các thiết bị phân phối tới các thiết bị chuyển mạch truy nhập là liên kết lớp 2 và sẽ kích hoạt cơ chế chống vòng lặp để ngăn ngừa vòng lặp mạng.

- Hai Distribute Switch chạy VCS Fabric

Khi hai Distribute Switch được cấu hình tham gia vào cùng một miền VCS trong VCS Fabric, chúng hoạt động như một Logical Chassis Việc hai Distribute Switch tham gia vào cùng miền VCS cho phép chúng vận hành như một khối thiết bị duy nhất, tăng tính sẵn sàng và đơn giản hóa quản trị mạng.

Hình 2.11 Hai Distribute Switch chạy VCS Fabric

Nhờ công nghệ VCS Fabric, hai thiết bị Distribute Switch có thể gộp lại thành một Logical Chassis, cho phép quản trị cấu hình cho toàn bộ các Switch trong miền VCS từ một thiết bị chính Khi Distribute Switch ở dạng Logical Chassis, các kết nối từ Distribute tới Core hoặc tới các switch Access có thể được gộp lại trên các giao diện vật lý, tăng tính linh hoạt và sẵn sàng cao một cách tự động, đồng thời giảm chi phí cho các giao thức Layer 2 tiêu tốn tài nguyên, như giao thức chống vòng lặp khi triển khai VRRP.

Trong mô hình triển khai này, mỗi cặp cổng từ Distribute Switch lên Core Switch được gộp thành một đường logic duy nhất; tương tự, hai đường kết nối từ các Access Switch lên Distribute Switch 1 và 2 cũng được gộp thành một cổng logic Giao thức bó cổng được sử dụng là LACP, một giao thức hỗ trợ Nhờ đó việc mở rộng lớp Access hoặc lớp Distribute sau này sẽ dễ dàng hơn Đồng thời việc áp dụng công nghệ VCS Fabric sẽ mang lại lợi ích về khả năng mở rộng trong tương lai.

Sơ đồ đị nh tuy ến độ ng

Hình 2.12 Sơ đồ định tuyến TTXVN

Mô hình sử dụng giao thức định tuyến như sau:

- Vùng Lan Campus sử dụng giao thức định tuyến OSPF đểđịnh tuyến các luồng mạng giữa các VLAN cũng như giữa các vùng mạng khác nhau

- Từ thiết bị vùng biên mạng Lan Campus sử dụng định tuyến tĩnh tới Firewall đểngười dùng có thể kết nối đến DMZ

- Firewall vùng DMZ sử dụng định tuyến tĩnh đến router

- Router nhà mạng sẽđược đấu nối BGP để truy cập Internet.

Phân tích nh ững ưu và nhược điể m c ủ a h ệ th ố ng hi ệ n t ạ i

Ưu điể m

- Mô hình kiến trúc Enterprise Composite Network Model (ECNM) có các tính năng:

Đây là một mạng được xác định với ranh giới rõ giữa các thành phần, giúp phân định vai trò và chức năng của từng phần một cách rõ ràng Mô hình này có điểm phân định cụ thể, giúp người thiết kế xác định chính xác nơi dữ liệu được truyền và luồng dữ liệu được kiểm soát, từ đó tối ưu hóa hiệu suất và bảo mật.

+ Tăng khả năng mở rộng mạng và giúp giảm bớt tác vụ thiết kế bằng cách làm các thành phần riêng biệt

Khả năng mở rộng được đảm bảo nhờ thiết kế cho phép bổ sung các thành phần một cách dễ dàng, giúp hệ thống trở nên linh hoạt khi mạng phát triển phức tạp Kiến trúc modul hóa cho phép các thành phần chức năng được tích hợp và mở rộng nhanh chóng mà không làm ảnh hưởng tới toàn bộ cấu trúc, giúp người thiết kế dễ dàng bổ sung các chức năng mới khi cần Nhờ đó hệ thống có thể thích ứng với các yêu cầu tăng trưởng, tối ưu hoá quá trình mở rộng và cải thiện khả năng bảo trì.

Thiết kế mạng được tăng cường tính toàn vẹn, đảm bảo sự nhất quán và an toàn khi tích hợp các dịch vụ mới Điều này cho phép người thiết kế bổ sung các dịch vụ và giải pháp một cách linh hoạt mà không cần thay đổi các thiết kế bên dưới, từ đó tăng tính linh hoạt và khả năng mở rộng của hạ tầng mạng mà vẫn giữ nguyên cấu trúc nền.

- Ứng dụng được các công nghệnhư VPC, VCS, Etherchannel, VRRP vào trong mô hình mạng để tăng băng thông mạng cũng như tối giản hóa mô hình.

Nhược điể m

- Hệ thống Switch Access chạy độc lập từng thiết bị thiếu đi sự quản lý tập trung, khó khăn cho việc mở rộng và nâng cấp

Hiện tại, băng thông uplink từ Access lên Distribute đạt 1 Gbps, trong khi nhu cầu sử dụng ngày càng tăng và hầu hết máy tính đều có cổng mạng tối thiểu 1G Vì vậy, nâng cấp trục truyền là giải pháp hợp lý để tối ưu hóa hiệu suất mạng, đảm bảo kết nối ổn định và đáp ứng yêu cầu của doanh nghiệp về tốc độ, chất lượng dịch vụ (QoS) và quản lý lưu lượng.

Quản lý các thiết bị máy chủ và lưu trữ đang gặp nhiều khó khăn do vẫn chưa được tập trung quản lý ở mức hệ thống Lý do chính là vẫn duy trì nhiều thiết bị vật lý cho lưu trữ, khiến việc nâng cấp và vận hành không tối ưu Việc quản lý phân tán làm tăng phức tạp, khó theo dõi tài sản và tình trạng thiết bị, đồng thời đẩy chi phí vận hành lên cao và ảnh hưởng đến hiệu suất hệ thống Để cải thiện, cần có một chiến lược quản lý hạ tầng tập trung, chuẩn hóa quy trình và xem xét các giải pháp như ảo hóa hoặc quản lý tập trung để tối ưu hóa nâng cấp, bảo trì và hiệu suất lưu trữ máy chủ.

Internet Public Service và Internet User sử dụng chung một hạ tầng mạng, tạo ra rủi ro an ninh mạng cho cả hai phía Khi người dùng bị nhiễm virus và gửi email spam, các tổ chức có thể bị đưa dải IP thuộc ngành vào danh sách đen spam vì dùng chung đường truyền Internet Ngược lại, nếu người dùng bị tấn công và biến thành botnet, các địa chỉ IP của ngành có thể bị gắn nhãn là nguồn botnet, làm ảnh hưởng tới các dịch vụ công sử dụng cùng dải địa chỉ khi chia sẻ đường Internet.

Ngoài những ưu điểm vượt trội của mô hình đã nêu, để đáp ứng nhu cầu hiện tại của cơ quan khi dữ liệu ngày càng tăng, mỗi thiết bị phải xử lý và đáp ứng nhiều luồng thông tin hơn Vì vậy, việc phân tách chức năng cụ thể của từng thiết bị sẽ giúp quản trị viên dễ dàng xử lý lỗi và mở rộng mạng một cách hiệu quả.

Hiện tại, hệ thống TTXVN sử dụng một cặp Core Switch Brocade làm core cho cả mạng LAN Campus và DC Thiết kế này phù hợp với quy mô nhỏ và chi phí tiết kiệm, vì Core Switch đảm nhiệm chức năng chuyển mạch cho người dùng trong mạng Campus (Distribute, Access Switch) và đồng thời kết nối với các máy chủ ứng dụng bên trong DC để phục vụ các dịch vụ của hệ thống.

Trong một mô hình mạng lớn như TTXVN, với nhiều máy chủ và DC riêng biệt, việc đề xuất thiết kế tách riêng Core Switch cho mạng Campus và Core Switch cho Data Center là cần thiết để tối ưu hóa hiệu suất và khả năng mở rộng Việc phân tách này giúp quản trị mạng dễ dàng hơn, tăng cường bảo mật và giảm thiểu tắc nghẽn bằng cách tối ưu hóa luồng dữ liệu giữa Campus và Data Center.

Nhu cầu đọc tin tức online và mua tin ngày càng lớn khiến việc đặt hosting tại các nhà mạng không còn phù hợp với yêu cầu hiện tại của thông tấn xã Vì vậy, đề xuất một mô hình mạng mới gồm thành lập Datacenter (DC) đặt ngoài Hà Nội, Datacenter Recovery (DR) đặt tại Thành phố Hồ Chí Minh và sử dụng công nghệ Content Delivery Network (CDN) để phân tải và tối ưu hóa phân phối nội dung Mô hình này giúp giảm thiểu độ trễ, cải thiện hiệu suất và tính sẵn sàng, đồng thời tăng khả năng phục hồi trước sự cố và đáp ứng hiệu quả nhu cầu truy cập tin tức online và mua tin trên nền tảng số.

TRIỂN KHAI GIẢI PHÁP HỆ THỐNG MẠNG MỚI CHO

THÔNG TẤN XÃ VIỆT NAM

Nhu c ầ u v ề h ệ th ố ng m ạ ng c ủ a Thông t ấ n xã Vi ệ t Nam

Để thiết kế một hệ thống mạng cho doanh nghiệp lớn một cách hiệu quả, bước đầu tiên là tiến hành khảo sát thực tế hạ tầng hiện có và xác định các giả định về yêu cầu đối với mạng nội bộ Việc này giúp làm rõ phạm vi và chuẩn bị cho quá trình thiết kế các giải pháp an toàn mạng ở những bước sau, đồng thời tạo nền tảng cho kiến trúc mạng tối ưu, khả năng mở rộng và quản trị dễ dàng.

Đáp ứng số lượng người dùng và các kết nối máy chủ đã được trình bày ở Chương 2; tuy nhiên, lượng thông tin lưu trữ ngày càng tăng theo thời gian và việc quản trị dữ liệu trở nên khó khăn hơn Do đó, việc lựa chọn các giải pháp công nghệ phù hợp cho mô hình mạng mới là cần thiết nhằm tối ưu hóa hạ tầng, cải thiện hiệu suất và dễ dàng quản lý hệ thống mạng.

Hệ thống mạng của Thông tấn xã là một hạ tầng truyền thông quy mô lớn, đảm bảo kết nối liên tục với các đơn vị thông tin trên toàn quốc Hệ thống mạng tại trung tâm dữ liệu dự phòng cũng phải đáp ứng các yêu cầu khắt khe tương đương với trung tâm dữ liệu chính về hiệu suất, bảo mật và khả năng phục hồi Vì vậy, hệ thống mạng cần tuân thủ nghiêm ngặt các yêu cầu kỹ thuật chính để đảm bảo hoạt động thông suốt, an toàn và có thể mở rộng khi cần thiết.

- Tuân theo một kiến trúc chuẩn cho toàn bộ hệ thống mạng

Hệ thống mạng được thiết kế theo dạng module, nhằm tối ưu quản trị và thực thi các chính sách bảo mật một cách đồng bộ Kiến trúc module cho phép cấu hình, giám sát và bảo trì các thành phần độc lập, giảm thiểu tác động lên toàn hệ thống khi thực hiện cập nhật hoặc nâng cấp Việc phân chia chức năng theo module cũng giúp cô lập rủi ro và tăng khả năng bảo mật bằng cách áp dụng biện pháp an toàn tại mức độ riêng lẻ Thiết kế mở rộng của hệ thống cho phép dễ dàng nâng cấp và mở rộng quy mô theo nhu cầu, tối ưu chi phí vận hành và cải thiện hiệu suất tổng thể.

Đảm bảo kết nối mạng liên tục từ trung tâm dữ liệu dự phòng của Thông tấn xã tới các cơ quan thường trú khu vực và trung tâm dữ liệu chính là yếu tố then chốt để bảo đảm trao đổi thông tin nhanh chóng và an toàn Việc duy trì đường truyền ổn định giữa trung tâm dữ liệu dự phòng và các đơn vị khu vực giúp giảm thiểu độ trễ, nâng cao tính sẵn sàng của hệ thống và độ tin cậy của tin tức được phát đi Cần tối ưu hóa cấu hình mạng và thực hiện kiểm tra định kỳ để duy trì liên kết đáng tin cậy giữa Thông tấn xã, các cơ quan thường trú khu vực và trung tâm dữ liệu chính.

Đảm bảo cung cấp ứng dụng nghiệp vụ quan trọng của Thông tấn xã cho cả người dùng nội bộ và người dùng bên ngoài mạng, ngay cả khi trung tâm dữ liệu chính gặp sự cố Để duy trì truy cập liên tục và phục vụ kịp thời thông tin, triển khai các biện pháp dự phòng, phân phối tải và kế hoạch phục hồi nhanh giúp ứng dụng nghiệp vụ vẫn sẵn sàng khi có sự cố xảy ra.

- Có kết nối đồng bộ dữ liệu giữa DC và DR

- Việc quản trị các hệ thống hạ tầng mạng tập trung tiếp tục được duy trì

- Hệ thống thiết kế đảm bảo tính bảo mật và an toàn dữ liệu, áp dụng các chính sách bảo mật theo các vùng mạng khác nhau.

L ự a ch ọ n công ngh ệ và thi ế t k ế mô hình h ệ th ố ng m ạ ng

Ki ế n trúc m ạ ng t ạ i Hà N ộ i

Ki ế n trúc m ạ ng t ạ i H ồ Chí Minh

Tri ển khai các tính năng bả o m ậ t

Ngày đăng: 20/07/2022, 07:56

Nguồn tham khảo

Tài liệu tham khảo Loại Chi tiết
[1] 70 năm Thông tấ n xã Vi ệ t Nam, Nhà xu ấ t b ả n Thông t ấ n Sách, tạp chí
Tiêu đề: 70 năm Thông tấn xã Việt Nam
Tác giả: Thông tấn xã Việt Nam
Nhà XB: Nhà xuất bản Thông tấn
[2] TS. Ph ạ m Huy Hoàng, Thi ế t k ế m ạng Intranet , Nhà xuấ t b ả n Bách Khoa Hà N ộ i, 2019 Sách, tạp chí
Tiêu đề: Thiết kế mạng Intranet
Tác giả: TS. Phạm Huy Hoàng
Nhà XB: Nhà xuất bản Bách Khoa Hà Nội
Năm: 2019
[4] Cisco, CCNP Enterprise technology core 350-401 encor Sách, tạp chí
Tiêu đề: CCNP Enterprise technology core 350-401 encor
Tác giả: Cisco
[8] Cisco System(2015), Inplementing Cisco Network Security Sách, tạp chí
Tiêu đề: Inplementing Cisco Network Security
Tác giả: Cisco System
Năm: 2015
[3] Cisco, CCNP Enterprise advanced routing and service enarsi 300-410 Khác

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

🧩 Sản phẩm bạn có thể quan tâm

w