DỰ ÁN XÂY DỰNG TRUNG TÂM CÔNG NGHỆ NGÂN HÀNG CỦA NGÂN HÀNG PHÁT TRIỂN NHÀ TP. HỒ CHÍ MINH

a Yêu cầuHệ thống mạng LAN tại chi nhánh HDBank cần đạt các yêu cầu sau: - Đáp ứng được kết nối LAN tốc độ tối thiểu 10/100Mbps cho 1500 máy trạm nghiệp vụ - LAN phải có khả năng quản lý

DỰ ÁN “XÂY DỰNG TRUNG TÂM CÔNG NGHỆ NGÂN HÀNG CỦA NGÂN HÀNG PHÁT

Thành viên khởi tạo dự án

Họ tên/ Chức danh Trách nhiệm Ngày tháng/Chữ ký

Phó Giám đốc triển khai dự án

core-banking

Lập dự án, Giám sát dự án

Mục lục

I Hiện trạng nền tảng công nghệ và phòng tin học HDBank 4

II Hạn chế của nền công nghệ hiện tại 7

A Không đáp ứng được nhu cầu mở rộng sản phẩm dịch vụ cho Ngân hàng 7

B Làm giảm khả năng quản trị, tồn tại nhiều rủi ro 8

C Tăng chi phí, làm giảm hiệu quả sản xuất 8

III Định hướng, nhu cầu phát triển của HDBank 9

A Định hướng kinh doanh 9

B Định hướng, nhu cầu phát triển công nghệ 9

IV Hệ thống công nghệ thông tin đang triển khai 11

A Hệ thống hạ tầng 11

1 Hệ thống mạng LAN 12

a) Yêu cầu 13

b) Giải pháp cho mạng LAN ở Data Center 13

c) Giải pháp mạng LAN ở backup-site 17

d) Giải pháp mạng LAN tại hội sở, chi nhánh Hà nội, chi nhánh Đà nẵng 19

e) Giải pháp mạng LAN tại các chi nhánh còn lại 23

2 Hệ thống kết nối WAN 24

a) Yêu cầu 24

b) Thiết kế 24

(1) Mạng trục 24

(2) Mạng truy cập 25

(3) Phương án đánh địa chỉ IP cho toàn mạng 26

(4) Phương án định tuyến nội vùng 27

c) Thiết kế dự phòng cho WAN 28

d) Hệ thống quản trị mạng NMS (Network Management System) 29

3 Hệ thống kết nối ra Internet và an ninh mạng 31

a) Yêu cầu với kết nối Internet 31

b) Giải pháp kết nối Internet 32

(1) Kết nối internet cho Data Center 32

(2) Kết nối internet tại chi nhánh Hà nội và Đà nẵng 34

(3) Kết nối Internet từ các chi nhánh còn lại 35

c) Giải pháp an ninh mạng 35

(1) Yêu cầu 35

(2) Thiết kế 35

(3) An ninh mạng cho Data Center 38

4 Phòng Data Center 43

B Hệ thống máy chủ, hệ thống lưu trữ, sao lưu 43

1 Hệ thống máy chủ 44

2 Hệ thống lưu trữ 44

3 Hệ thống sao lưu 45

C Hệ thống phần mềm 46

1 Yêu cầu với phần mềm lõi 46

2 Giải pháp 47

a) Các phân hệ nghiệp vụ trong giải pháp 47

b) Mô hình kỹ thuật 49

(1) Hệ thống cơ sở dữ liệu (Database) 52

(2) Hệ thống máy chủ ứng dụng (Application Server) 53

(3) Hệ thống Tuxedo (Middleware Messaging) 55

Page 2 of 69

(4) Các loại giao dịch trong hệ thống Symbols (về mặt kỹ thuật) 56

(5) Xử lý đầu ngày (Start Of Day) và xử lý cuối ngày (End Of Day) 58

(6) Cơ chế thực hiện KM (Knowledge Management) 59

V Nhu cầu thành lập Trung tâm Công nghệ Ngân hàng 61

A Các yêu cầu đặt ra khi có hệ thống công nghệ mới cho Ngân hàng 61

1 Duy trì, hỗ trợ nghiệp vụ sử dụng hệ thống mới 61

2 Quản trị hệ thống 61

3 Bảo mật và an toàn dữ liệu 62

4 Phát triển sản phẩm mới, tích hợp vào hệ thống lõi 62

5 Mở rộng các kênh giao dịch mới với hệ thống lõi 62

B Mô hình Trung tâm Công nghệ Ngân hàng 63

1 Nhiệm vụ của Trung tâm Công nghệ Ngân hàng 63

2 Mô hình phân cấp 63

3 Các phòng ban trong Trung tâm Công nghệ Ngân hàng 65

a) Phòng quản trị cơ sở dữ liệu và hệ thống 65

b) Phòng quản trị mạng và bảo trì máy tính 66

c) Phòng phát triển sản phẩm mới, hỗ trợ phần mềm lõi ngân hàng 67

d) Phòng phát triển hệ thống báo cáo 68

e) Phòng E-Commerce 68

4 Định hướng phát triển 69

I Hiện trạng nền tảng công nghệ và phòng tin học HDBank

Hiện nay hệ thống công nghệ ngân hàng HDBank bao gồm:

- Phần mềm Ngân hàng: phát triển bằng ngôn ngữ FoxPro, cơ sở dữ liệu phân tán tại cácchi nhánh, cuối ngày làm việc dữ liệu được kết chuyển về hội sở để quản lý, hạch toán

- Hệ thống mạng của các chi nhánh: là các mạng LAN (Local Area Network) ngang hàng

Có sử dụng VPN, hoặc dial-up (kết nối điểm-tới-điểm) để có thể kết nối từ hội sở tới cácchi nhánh và ngược lại Chưa có các hệ thống bảo mật như firewall, xác thực Hiện tạimới có một máy chủ ISA Firewall để mở kết nối VPN tới các chi nhánh

- Hệ thống máy chủ của HDB: nằm phân tán ở Hội sở và các chi nhánh thuộc HDBank.Đây là các máy chủ lưu các file FoxPro để các chi nhánh sử dụng Trên hội sở có máychủ để chứa các file gửi từ chi nhánh lên, đồng thời làm việc kết chuyển dữ liệu Hầu hếtcác máy chủ này đều chưa đảm bảo các điều kiện để vận hành như điện, điều hòa, chốngsét, v.v

- Các hệ thống có liên quan tới ngân hàng: đa phần các hệ thống này nằm tập trung tại Hội

sở, có thể kể ra như sau:

o Hệ thống SWIFT Alliance: hệ thống chuyển thông điệp giữa các ngân hàng, cónhiệm vụ chuyển điện chuyển tiền, thông tin mở LC, sửa LC, truy vấn tài khoảnNostrol của HDBank tại ngân hàng đối tác

o Hệ thống CiTad (hay IBPS): hệ thống chuyển tiền liên ngân hàng của ngân hàngnhà nước, hiện có ở Hội sở, CN Cần thơ, CN Hà nội

o Hệ thống WebPortal: hiện mang tính quảng bá hình ảnh ngân hàng, cung cấp cácthông tin mới về ngân hàng cho khách hàng

o Hệ thống chuyển Western Union: hiện là đại lý của ngân hàng VPBank

- Đội ngũ IT bao gồm các bộ phận chính sau:

o Nhóm phần mềm: nhiệm vụ phát triển phần mềm ngân hàng, chỉnh sửa lỗi phátsinh của phần mềm, phát triển các báo cáo cho ngân hàng nhà nước cũng như báocáo quản trị cho Ngân hàng

o Nhóm mạng: lắp đặt, quản trị hệ thống mạng LAN của hội sở cũng như chinhánh

o Nhóm hỗ trợ: hỗ trợ các phân hệ nghiệp vụ trong quá trình nhập liệu

Mô hình công nghệ của HDBank về mặt logic như sau:

Page 4 of 69

Cụ thể về hiện trạng công nghệ của HDBank được mô tả rõ hơn với hệ thống ở Hội sở

Thực tế kết nối LAN tại một số chi nhánh:

Kết nối thực tế WAN giữa các chi nhánh tới hội sở:

Page 6 of 69

II Hạn chế của nền công nghệ hiện tại

A Không đáp ứng được nhu cầu mở rộng sản phẩm dịch

vụ cho Ngân hàng

- Do cơ sở dữ liệu không tập trung, các thông tin khách hàng, tài khoản nằm tại chi nhánhkhách hàng mở tài khoản nên việc thực hiện các giao dịch của khách hàng gặp nhiều trởngại Ví dụ khi khách hàng (KH) mở tài khoản ở chi nhánh A, nhưng thực hiện giao dịchrút tiền ở chi nhánh B thì cán bộ tại chi nhánh B phải thực hiện việc fax, gọi điện để kiểmtra số dư của khách hàng Các công đoạn này có thể làm việc rút tiển của KH phải mấtnhiều thời gian

- Không thể phát triển được các sản phẩm mới mang tính công nghệ cao, ví dụ: không thểphát triển được dịch vụ thẻ ATM, lý do là với nền công nghệ hiện tại, cơ sở dữ liệu chỉđược kết chuyển vào cuối ngày nên không thể hỗ trợ được các giao dịch trực tuyến(online transaction)

- Không thể đem đến các kênh truy vấn tiên tiến, tiện dụng như truy vấn qua internet ,mobile Làm giảm sức cạnh tranh của Ngân hàng HDBank với ngân hàng bạn.

- Không có khả năng phát triển các dịch vụ ngân hàng tiên tiến như Internet Banking,Mobile Banking, Phone Banking, Call Center Đây là các kênh giao dịch mới cho kháchhàng bên cạnh kênh làm việc qua chi nhánh truyền thống Bởi hệ thống hiện tại không thểđáp ứng giao dịch trực tuyến Đây là một yếu điểm lớn nhất bởi các ngân hàng khác đềuphát triển công nghệ để tiến tới có thể mở rộng kênh giao dịch với khách hàng như đã kểtrên

- Hiện tại hệ thống phần mềm ngân hàng thiên nhiều về việc giải quyết kế toán ngân hàng

mà chưa chú trọng tới việc lưu giữ chứng từ điện tử Việc kiểm tra chứng từ, tìm giaodịch trong quá khứ rất khó khăn vì các chứng từ đa phần đều lưu trên giấy

- Do sự bất cập của chương trình nên nhiều khi 1 giao dịch của khách hàng phải nhập liệulàm nhiều lần Do đó làm tăng thêm công việc cho đội ngũ nghiệp vụ, làm giảm khả năngphục vụ khách hàng

- Do dữ liệu lưu trữ của hệ thống hiện tại ít và không tập trung nên khó có thể kết hợp hệthống này với các hệ thống của nhà cung cấp thứ ba (3rd providers)

- Dữ liệu ít càng khó để làm các nghiên cứu khảo sát hoạt động của khách hàng, thiếu dữliệu để làm các báo cáo phân tích, dữ liệu cho hệ thống CRM (Customer RelationshipManagement)

B Làm giảm khả năng quản trị, tồn tại nhiều rủi ro

- Mô hình phân tán dữ liệu, việc có quá nhiều sự can thiệp của con người vào hệ thống làmgiảm nhiều đến khả năng quản trị của hệ thống, dễ mang lại sự mất kiểm soát hệ thống

- Việc một giao dịch phải nhập liệu nhiều lần không chỉ làm tăng công việc cho nhân viênnghiệp vụ mà còn phát sinh các sai sót do phía con người (chủ quan và khách quan) Việctruy tìm các sai sót này không phải dễ dàng bởi có quá nhiều bước trung gian trong mộtgiao dịch

- Hệ thống phần mềm hiện tại không quản lý được tiền mặt (Cash Management) tốt, việcquản lý tiền mặt tại quầy giao dịch vẫn thực hiện qua giấy tờ, con người nên dễ sinh racác rủi ro mất tiền, gian lận tiền

- Việc hệ thống hiện tại lưu giữ quá ít thông tin nên rất khó thống kê, làm các báo cáo cụthể do đó việc quản trị, theo dõi rất khó khăn Việc thiếu thông tin cũng làm cho việcphân tích, định hướng thiếu đi các con số chứng minh thực tế, chất lượng các báo cáo sẽchỉ mang tính liệt kê mà thiếu đi tính phân tích số liệu

- Hệ thống mạng hiện tại quá yếu kém, không có dự phòng, tiềm ẩn nhiều rủi ro khi có sựcố

- Cơ chế bảo mật mạng hiện còn yếu kém, các mạng LAN đều ngang hàng Nếu có tấncông từ ngoài qua được ISA server thì harker có khả năng xâm nhập vào tất cả các khuvực mạng

- Khả năng quản trị của cán bộ IT hiện tại chưa đáp ứng được nhu cầu thực tiễn, chưa cókhả năng theo dõi, sử dụng băng thông, v.v…

C Tăng chi phí, làm giảm hiệu quả sản xuất

- Với mô hình phân tán này, khi ngân hàng phát triển mạng lưới thì mỗi chi nhánh, phònggiao dịch mới cần có tối thiểu một nhân viên IT để hỗ trợ nghiệp vụ Ngoài ra việc cáccông đoạn giao dịch cần nhiều tác động của con người nên cũng yêu cần nhiều nhân viênhơn so với các ngân hàng khác Như vậy làm tăng chi phí khi ngân hàng muốn phát triểnchi nhánh

Page 8 of 69

- Hệ thống hiện tại yêu cầu nhân viên nghiệp vụ phải có trình độ, hiểu biết nghiệp vụ kếtoán ngân hàng khá cao Thậm chí các nhân viên Teller cũng phải có một trình độ nhấtđịnh, trong khi với các ngân hàng khác nhân viên này chỉ cần ở trình độ vừa phải Việcnày tăng chi phí trả lương sau khi tuyển dụng.

- Việc có quá nhiều bước trong một giao dịch, việc nhập liệu nhiều lần một giao dịch làmgiảm tốc độ phục vụ khách hàng cũng như hiệu quả sản xuất

- Ngoài ra hệ thống mạng LAN tại các chi nhánh chưa được phân thành các VLAN(Virtual LAN) nên tốc độ truy xuất mạng không cao làm tăng thời gian thực hiện mộtgiao dịch

III.Định hướng, nhu cầu phát triển của HDBank

Định hướng của HDBank trong xxx năm tiếp theo là:

A Định hướng kinh doanh

- Ngân hàng bán lẻ: nên cần phát triển nhiều loại hình sản phẩm mới, v.v

-B Định hướng, nhu cầu phát triển công nghệ

Công nghệ là nền tảng cho hệ thống ngân hàng, là nền tảng phía sau cho các nghiệp vụ ngânhàng Do đó việc phát triển công nghệ theo hướng nào cũng nhằm mục đích mở rộng sản phẩm,dịch vụ cho các phân hệ nghiệp vụ để đưa tới cho khách hàng Định hướng phát triển công nghệ

là làm sao công nghệ không chỉ hỗ trợ nghiệp vụ tốt với các loại hình giao dịch hiện tại mà cònluôn luôn phải sẵn sàng để đáp ứng sự phát triển, sự mở rộng kinh doanh, mạng lưới của ngânhàng

Hiện nay, các ngân hàng trong thị trường cạnh tranh với nhau rất khốc liệt, việc một ngân hàngđưa ra một sản phẩm kinh doanh mới thì một ngân hàng khác cũng có thể đưa ra một sản phẩmgần như tương tự Vậy phải làm sao có những sản phẩm mang tính chất đặc thù, mà ngân hàngkhác khó có thể bắt chước Chỉ có các sản phẩm dựa trên nền tảng công nghệ cao, thì mới có thểtạo ra sự khác biệt Các đối thủ cạnh tranh có thể học được quy trình nghiệp vụ, hình thức kinhdoanh của một sản phẩm mới nhưng để làm điều đó thì công nghệ của đối thủ phải ở mức ngangtầm hoặc cao hơn thì mới hỗ trợ thực hiện sản phẩm đó được Việc đi trước 1 bước về công nghệgiúp ngân hàng tạo ra lợi thế cạnh tranh, luôn luôn đem tới cho khách hàng các sản phẩm mới vàđộc đáo trước các đối thủ

Với các nhu cầu phát triển của công nghệ như đã nói ở trên, nên định hướng phát triển công nghệcho Ngân hàng HDB được chia theo các cấu phần của hệ thống công nghệ:

- Hạ tầng mạng (Network Infrastructure): là nền tảng thấp nhất trong công nghệ ngân hàng

Là hệ thống kết nối từ người sử dụng cuối tới chương trình phần mềm ngân hàng, hệthống email, liên lac nội bộ, v.v Định hướng phát triển:

o Có khả năng mở rộng

o Tích hợp công nghệ tiên tiến, đảm bảo có khả năng nâng cấp mà không phải loại

bỏ các thiết bị cũ đi

o Hệ thống quản trị mạng tốt, tập trung Có khả năng theo dõi, xử lý sự cố từ xa

o Có cơ chế bảo mật tốt, đảm bảo an toàn dữ liệu đi trên mạng Có khả năng chốnglại các tấn công từ ngoài vào hệ thống mạng của HDBank

o Có khả năng tương thích với các hệ thống khác, cụ thể là phải tuân theo cácchuẩn kỹ thuật có uy tín trên thế giới như ISO, IEEE, v.v

o Bảo vệ chi phí đầu tư: bên cạnh chi phí đầu tư, việc vận hành hệ thống phải bảo

vệ được chi phí đầu tư, đánh giá trên các phương diện: giá thành đầu tư ban đầu,thời gian hệ thống đáp ứng được nhu cầu nghiệp vụ, chi phí vận hành, chi phínâng cấp, chi phí đào tạo đội ngũ vận hành, v.v Các chi phí này phải được tínhtoán cân nhắc để khi cần nâng cấp thì chi phí là thấp nhất và đảm bảo sự độc lập,phụ thuộc ít nhất vào các nhà cung cấp phần cứng

- Hạ tầng máy chủ, cơ sở dữ liệu: là tầng tiếp trên hệ thống mạng, là các hệ thống máy chủ(server), hệ thống lưu trữ dữ liệu (storage) và backup dữ liệu Dựa vào hệ thống máy chủ,

hệ thống lưu trữ, các phần mềm ngân hàng chạy trên này và cung cấp các chức năng chongười sử dụng cuối (end-user, nhân viên ngân hàng hoặc khách hàng sử dụng dịch vụ từ

xa như internet, mobile, call centre, v.v ) Định hướng phát triển:

o Có khả năng mở rộng dễ dàng: đáp ứng nhu cầu phát triển của ngân hàng về nhânlực (tăng số người sử dụng cuối), dịch vụ mới cho khách hàng, dữ liệu của ngânhàng tăng, v.v

o Đi theo công nghệ tiên tiến của thế giới, đảm bảo việc nâng cấp không bị khókhăn, không phải loại bỏ các thiết bị cũ để nâng cấp hệ thống

o Cơ chế bảo mật: xây dựng các quy định sử dụng, phân quyền người sử dụngtrong hệ thống theo nhóm, lập các chính sách sử dụng hệ thống, phân vùng hệthống thành nhiều vùng khác nhau đáp ứng các nhu cầu khác nhau của ngườidùng cuối

o Bảo vệ chi phí đầu tư: việc đầu tư ban đầu có thể nhỏ nhưng phải có khả năng

mở rộng dễ dàng, giảm thiểu chi phí quản trị, duy trì

- Phần mềm phục vụ mục đích kinh doanh của ngân hàng: bao gồm các hệ thống sau

o Core-bank: hệ thống phầm mềm phục vụ cho các nghiệp vụ chính của ngân hàngnhư: tiền gửi, tiền vay, tài trợ thương mại, kinh doanh vốn, giấy tờ có giá, cácdịch vụ khác như chuyển tiền, giữ hộ tiền, v.v Đây là phần mềm nền tảng củangân hàng, là cơ sở để phát triển thêm các kênh giao dịch khác như Internetbanking, thẻ ATM, thẻ tín dụng, Mobile banking, Phone banking, Call Center,v.v

o Các kênh giao dịch mới: là các kênh giao dịch tự động, cung cấp một số tínhnăng cơ bản để khách hàng tự thực hiện Đó chính là hệ thống thẻ (debit/credit),Internet Banking, Mobile banking, v.v

o Các kênh truy vấn dữ liệu mới: thông qua các kênh giao dịch mới kể trên kháchhàng có thể truy vấn các thông tin có liên quan tới mình như

o Định hướng phát triển, yêu cầu với hệ thống phần mềm:

 Hệ thống ổn định: khi có các kênh giao dịch mới (Internet/ thẻ ATM,credit, v.v ) đòi hỏi hệ thống phải là 24x7 (24 giờ trong ngày và 7 ngàytrong tuần), tức là hệ thống phải hoạt động liên tục để đáp ứng được nhucầu giao dịch tại mọi thời điểm của khách hàng

 Hệ thống mang tính mở: tính mở ở đây có thể hiểu là khả năng phát triểnthêm các sản phẩm vào hệ thống hiện tại, có khả năng kết nối làm việcvới các hệ thống có liên quan của ngân hàng

 Bảo mật dữ liệu: dữ liệu ở đây là cả thông tin khách hàng, giao dịch củakhách hàng tại ngân hàng, các thông tin nhạy cảm của ngân hàng Việcbảo mật này đảm bảo thông tin không bị tiết lộ, thông tin được địnhhướng đúng người sử dụng, được phân bổ đúng chức năng, nhiệm vụ Làchính sách phân quyền sử dụng đúng đắn, kết hợp chặt chẽ với côngnghệ bảo mật

Page 10 of 69

IV Hệ thống công nghệ thông tin đang triển khai

Hiện nay ngân hàng HDBank đang tiến hành triển khai phần mềm core-banking, Symbols là phầnmềm của nhà cung cấp giải pháp ngân hàng SunGard System Access, để hệ thống có thể hoạtđộng thì song song với việc triển khai phần mềm Symbols, đội dự án của HDBank tiến hành triểnkhai các công việc khác như:

- Nâng cấp hệ thống mạng LAN (Local Area Network), WAN (Wide Area Network) củaHDBank,đồng thời nâng cấp hệ thống bảo mật cho toàn hệ thống, xây dựng phòngDataCenter

- Mua mới hệ thống máy chủ, thiết bị lưu trữ, sao lưu dữ liệu cho hệ thống ngân hàng

- Triển khai phần mềm Symbols

A Hệ thống hạ tầng

Hệ thống hạ tầng bao gồm các thành phần sau:

- Hệ thống mạng LAN

- Hệ thống mạng WAN kết nối giữa các chi nhánh và hội sở

- Hệ thống kết nối ra mạng Internet và an ninh mạng

- Phòng Data Center

Mô hình tổng quan của hệ thống hạ tầng như hình dưới đây Ta có thể thấy hệ thống hạ tầng đượcchia thành 3 miền chính:

- Miền Nam (OSPF Area 1): bao gồm các hội sở, các chi nhánh thuộc về miền Nam Đây

là miền quan trọng nhất, bởi có Data Center, Backup Site, và Hội sở nằm tại đây Trungtâm điểm của miền này là Data Center, tuy nhiên do mức độ quan trọng của Backup Site

và Hội sở nên tại hai địa điểm này, hệ thống mạng cũng có đặc điểm riêng

- Miền Bắc (OSPF Area 2): bao gồm các chi nhánh nằm ở miền Bắc, trung tâm điểm là chinhánh Hà nội, tất cả các kết nối từ các chi nhánh trong miền sẽ được kết nối tới chi nhánh

Hà nội, sau đó đi theo đường lease-line để về Data Center

- Miền Trung (OSPF Area 3): bao gồm các chi nhánh nằm ở miền Trung, trung tâm điểm

là chi nhánh Đà nẵng, các chi nhánh thuộc khu vực này sẽ được kết nối tới chi nhánh Đànẵng và theo đường lease-line để về Data Center

Cụ thể các thành phần của hệ thống hạ tầng như sau:

1 Hệ thống mạng LAN

Do đặc điểm phân bố, chia hệ thống mạng thành các vùng, miền nên hệ thống mạng LAN củaHDBank sẽ gồm các hệ thống mạng LAN sau:

- Hệ thống mạng LAN tại Data Center

- Hệ thống mạng LAN tại Backup Site

- Hệ thống mạng LAN tại hội sở, Hà nội, Đà nẵng

- Hệ thống mạng LAN tại các chi nhánh

Page 12 of 69

a) Yêu cầu

Hệ thống mạng LAN tại chi nhánh HDBank cần đạt các yêu cầu sau:

- Đáp ứng được kết nối LAN tốc độ tối thiểu 10/100Mbps cho 1500 máy trạm nghiệp vụ

- LAN phải có khả năng quản lý tới từng nút mạng sử dụng để quản trị mạng có thể theodõi trạng thái kết nối, truy nhập và sử dụng

Riêng mạng LAN tại Data Center phải đáp ứng các yêu cầu sau:

- Đáp ứng được kết nối LAN tốc độ tối thiểu 100/1000Mbps cho 40 máy chủ chuyên dụng

- LAN phải được thiết kế phân lớp lõi và truy nhập để đảm bảo tối ưu hóa băng thông vàtính năng tại các lớp

- Băng thông và thông lượng phải cao đảm bảo lưu thoát giữa các máy chủ trong hệ thốngCore Banking

- LAN phải được quy hoạch theo VLAN để phân tách các luồng thông tin giữa các phânđoạn mạng, các lớp máy chủ nghiệp vụ khác nhau, đảm bảo hiệu năng sử dụng mạngcũng như an toàn mạng

- LAN phải có khả năng quản lý tới từng nút mạng sử dụng để quản trị mạng có thể theodõi trạng thái kết nối của các máy chủ

- LAN phải hỗ trợ các công nghệ dự phòng lớp 2 để nâng cao tính khả dụng và tin cậy chocác kết nối tới máy chủ

Yêu cầu với mạng LAN ở backup site cũng gần như tương tự ở Data Center, Mục đích của

backup site là khi có sự cố ở Data Center, hệ thống ở backup site phải đáp ứng yêu cầu gần nhưtương đương với Data Center Tuy nhiên một số yêu cầu có thể giảm xuống để giảm bớt chi phíđầu tư và thời gian sử dụng backup site là không nhiều

Giải pháp mạng LAN được chia thành hai phần chính là mạng LAN ở Data Center và mạng LANcho các chi nhánh

b) Giải pháp cho mạng LAN ở Data Center

LAN của Data Center phải được thiết kế đảm bảo cho cả Data Center và các máy trạm nghiệp vụtại chi nhánh Phú Nhuận

Để đáp ứng thiết kế cấu trúc phân lớp, LAN phải bao gồm

- 01 chuyển mạch trung tâm cho các kết nối chính tới máy chủ lớp lõi

- Các chuyển mạch truy nhập cho các kết nối tới các máy trạm chi nhánh Phú Nhuận

- Các chuyển mạch truy nhập cho các máy chủ lớp biên và các thiết bị mạng WAN

Để đáp ứng nhu cầu kết nối tốc độ cao cho các máy chủ lớp lõi, hệ thống chuyển mạch trung tâmphải có

- 02 bộ điều khiển dự phòng: Đảm bảo khả năng dự phòng chức năng điều khiển và chức

năng chuyển mạch chính

- Phải dự phòng khả năng chuyển mạch nếu chức năng chuyển mạch không được tích hợptrong bộ điều khiển

- Tối thiểu 02 nguồn AC dự phòng

- Tối thiểu 06 slot cho phép khả năng mở rộng trong tương lai

- Tối thiểu 48 cổng 100/1000Mbps cáp đồng cho các kết nối tới máy chủ: Số cổng này sẽđược dùng để kết nối tới các máy chủ cần tốc độ cao (1Gbps) cho phép lưu chuyển nhanhcác luồng dữ liệu giữa các thành phần trong hệ thống Core Banking

- Khả năng mở rộng tới 144 cổng 100/1000Mbps trong tương lai: Được dùng khi toànmạng có thiết kế dự phòng tại tất cả các thiết bị và kết nối trong tương lai

- Tối thiểu 04 cổng GE cáp quang: 01 cổng kết nối tới HO, 01 cổng kết nối tới BackupSite, 02 cổng dự phòng có gắn sẵn bộ chuyển đổi quang

- Tối thiểu 48 cổng 10/100Mbps cho các thiết bị mạng và các máy chủ khác

- Băng thông tối thiểu 90Mbps và thông lượng tối thiểu 70Mpps: Qua tính toán, để đápứng nhu cầu trao đổi dữ liệu tối đa cho 40 máy chủ (tốc độ kết nối 1Gbps) và các thiết bịmạng, hệ thống cần đáp ứng băng thông tối thiểu 90Mbps và thông lượng chuyển gói70Mpps

- Hệ thống cần có tối thiểu 1024 VLANs và hỗ trợ VLAN trunking sử dụng công nghệchuẩn 802.1Q cho phép tạo các VLAN cho các phân đoạn máy chủ và kết nối VLAN vớicác thành phần chuyển mạch khác trong mạng

- Hệ thống phải hỗ trợ các công nghệ dự phòng kết nối cho lớp 2 và lớp 3 là STP(Spanning Tree Protocol) và HSRP (Hot Standby Routing Protocol)

- Hệ thống phải hỗ trợ ít nhất 01 công nghệ cho phép ghép nhiều kết nối vật lý lớp 2 cùngtốc độ thành 01 kết nối logic lớp 2 duy nhất, cho phép gộp tốc độ của nhiều kết nối nàylại với nhau ( IEEE 802.3ad và EtherChannel của Cisco)

- Hệ thống phải hỗ trợ cả chuyển mạch lớp 2 và định tuyến lớp 3 cho phép mềm dẻo trongthiết kế hệ thống chuyển mạch trung tâm

- Định tuyến lớp 3 phải hỗ trợ cả IPv4 routing và IPX

- Hệ thống phải có khả năng quản lý từ xa qua GUI hoặc

- Hệ thống phải có khả năng tích hợp vào hệ thống quản trị mạng tập trung, cho phép hệ thống quản trị mạng có thể quản lý được

 Quản trị cấu hình (Configuration Management)

 Quản trị phần tử (Element Management)

 Khả năng cấu hình VLAN từ xa từ hệ thống quản trị mạng trung tâm

Các yêu cầu cho các cổng GE cáp quang

- 04 cổng

- Hỗ trợ các bộ chuyển đổi quang đơn mode và đa mode

- Khả năng thay đổi bộ chuyển đổi để hỗ trợ các chế độ kết nối cáp quang khác nhau

- Đầu nối vật lý: SC Connector với khả năng chống nhầm

Page 14 of 69

Để kết nối các VLAN và định tuyến giữa các VLAN, HDB có thể sử dụng một trong các phươngthức sau

- Sử dụng chức năng định tuyến lớp 3 của Core Switch định tuyến tốc độ nhưng lại khôngđảm bảo an ninh giữa các phân lớp mạng trong Data Center

- Sử dụng chức năng định tuyến lớp 3 của Core Firewall (trình bày trong phần thiết kế anninh): định tuyến tốc độ trung bình trong khi vẫn đảm bảo an ninh cho mạng

Thiết kế dự phòng cho kết nối LAN (tuyến cáp quang):

- Kết nối từ Data Center tới HO và Backup Site đều sử dụng 02 kết nối cáp quang (mỗi kếtnối sử dụng 02 sợi quang)

- 02 đường kết nối cáp quang Data Center – HO phải được kết hợp với nhau thành đườngkết nối logic duy nhất tốc độ 4Gbps (Full-duplex) theo công nghệ 802.3ad (hoặc CiscoEtherChannel) hoặc công nghệ tương đương khác Khi một trong 02 đường vật lý có sự

cố, đường vật lý còn lại trong kết nối logic này vẫn phải hoạt động bình thường với tốc

độ 2Gbps (Full-Duplex)

- 02 đường kết nối cáp quang Data Center – Backup Site phải được kết hợp với nhau thànhđường kết nối logic duy nhất

- Tương tự với 02 đường kết nối HO – Backup Site

Trên 03 kết nối HO – Data Center – Backup Site tạo thành mạch vòng cáp quang này, các thiết bịchuyển mạch phải hỗ trợ công nghệ STP (Spanning Tree Protocol) cho phép dự phòng cápquang.Khi có sự cố đứt tuyến cáp, STP cho phép tìm đường lớp 2 gần nhất để kết nối giữa 03trung tâm HO, Data Center và Backup Site

Sau đây là mô hình mạng LAN tại Data Center

Page 16 of 69

c) Giải pháp mạng LAN ở backup-site

Để đáp ứng thiết kế cấu trúc phân lớp, LAN phải bao gồm

- 01 chuyển mạch trung tâm cho các kết nối chính tới máy chủ dự phòng lớp lõi

- Để đáp ứng nhu cầu kết nối tốc độ cao cho các máy chủ dự phòng lớp lõi và các thiết bịmạng dự phòng, hệ thống chuyển mạch dự phòng phải có

- 01 bộ điều khiển (dạng module hoặc tích hợp sẵn trên thiết bị)

- 01 nguồn AC

- Tối thiểu 16 cổng 100/1000Mbps cáp đồng cho các kết nối tới máy chủ

- Tối thiểu 04 cổng GE cáp quang: 01 cổng kết nối tới HO, 01 cổng kết nối tới DataCenter, 02 cổng dự phòng có gắn sẵn bộ chuyển đổi quang

- Tối thiểu 16 cổng 10/100Mbps cho các thiết bị mạng và các máy chủ khác

- Băng thông tối thiểu 48Mbps và thông lượng tối thiểu 32Mpps

- Hệ thống cần có tối thiểu 1024 VLANs và hỗ trợ VLAN trunking sử dụng công nghệchuẩn 802.1Q cho phép tạo các VLAN cho các phân đoạn máy chủ và kết nối VLAN vớicác thành phần chuyển mạch khác trong mạng

- Hệ thống phải hỗ trợ các công nghệ dự phòng kết nối cho lớp 2 và lớp 3 là STP và HSRP

- Hệ thống phải hỗ trợ ít nhất 01 công nghệ cho phép ghép nhiều kết nối vật lý lớp 2 cùngtốc độ thành 01 kết nối logic lớp 2 duy nhất ( IEEE 802.3ad và EtherChannel của Cisco)

- Hệ thống phải hỗ trợ cả chuyển mạch lớp 2 và định tuyến lớp 3 cho phép mềm dẻo trongthiết kế hệ thống chuyển mạch trung tâm

- Định tuyến lớp 3 phải hỗ trợ cả IPv4 routing và IPX

- Hệ thống phải có khả năng quản lý từ xa qua GUI hoặc Web

- Hệ thống phải có khả năng tích hợp vào hệ thống quản trị mạng tập trung, cho phép hệthống quản trị mạng có thể quản lý được

 Quản trị cấu hình (Configuration Management)

 Quản trị phần tử (Element Management

 Khả năng cấu hình VLAN từ xa từ hệ thống quản trị mạng trung tâm

Các yêu cầu cho các cổng GE cáp quang

- 04 cổng

- Hỗ trợ các bộ chuyển đổi quang đơn mode và đa mode

- Khả năng thay đổi bộ chuyển đổi để hỗ trợ các chế độ kết nối cáp quang khác nhauĐầu nối vật lý: SC Connector với khả năng chống nhầm

Page 18 of 69

Để quản lý hiệu quả thông lượng nội vùng trong Data Center, mạng LAN tại đây cần phải đượcphân chia VLAN như sau

- 01 VLAN cho Backup Database Servers

- 01 VLAN cho Backup Application Servers

- 01 VLAN cho Backup Internet Banking Servers

- 01 VLAN cho Backup ATM Servers và Controllers

- 01 VLAN cho các Backup Router kết nối WAN

- Chế độ VLAN: Sử dụng Port-based VLAN và tùy chọn gắn địa chỉ MAC theo từng cổng

để nâng cao chính sách an ninh

Để kết nối các VLAN và định tuyến giữa các VLAN, HDB có thể sử dụng một trong các phươngthức sau

- Phương thức 1: sử dụng chức năng định tuyến lớp 3 của Backup Switch: Cho phép địnhtuyến tốc độ cao, nhưng lại không đảm bảo an ninh giữa các phân lớp mạng trong DataCenter

- Phương thức 2: sử dụng chức năng định tuyến lớp 3 của Backup Firewall (trình bày trongphần thiết kế an ninh): định tuyến tốc độ trung bình trong khi vẫn đảm bảo an ninh chomạng

Thiết kế dự phòng cho kết nối LAN tại Backup Site:

- Kết nối từ Data Center tới HO và Backup Site đều sử dụng 02 kết nối cáp quang (mỗi kếtnối sử dụng 02 sợi quang)

- 02 đường kết nối cáp quang Backup Center – HO phải được kết hợp với nhau thànhđường kết nối logic duy nhất tốc độ 4Gbps (Full-duplex) theo công nghệ 802.3ad (hoặcCisco EtherChannel) hoặc công nghệ tương đương khác Khi một trong 02 đường vật lý

có sự cố, đường vật lý còn lại trong kết nối logic này vẫn phải hoạt động bình thường vớitốc độ 2Gbps (Full-Duplex)

- 02 đường kết nối cáp quang Data Center – Backup Site phải được kết hợp với nhau thànhđường kết nối logic duy nhất tốc độ 4Gbps (Full-duplex) tương tự kết nối quang BackupCenter-HO

- Tương tự với 02 đường kết nối HO – Data Center

- Trên 03 kết nối HO – Data Center – Backup Site tạo thành mạch vòng cáp quang này, cácthiết bị chuyển mạch phải hỗ trợ công nghệ STP cho phép dự phòng cáp quang.Khi có sự

cố đứt tuyến cáp, STP cho phép tìm đường lớp 2 gần nhất để kết nối giữa 03 trung tâm

HO, Data Center và Backup Site

d) Giải pháp mạng LAN tại hội sở, chi nhánh Hà nội, chi nhánh Đà nẵng

LAN của HO phải được thiết kế đảm bảo cho máy chủ Branch và các máy trạm nghiệp vụ tại HO

Để đáp ứng thiết kế cấu trúc phân lớp, LAN phải bao gồm:

- 01 chuyển mạch trung tâm

- 02, 04 hoặc 08 bộ chuyển mạch truy nhập cho các kết nối tới các máy trạm

- Để đáp ứng nhu cầu kết nối tốc độ cao, hệ thống chuyển mạch trung tâm phải có

- Tối thiểu 16 cổng 100/1000Mbps cáp đồng cho các kết nối tới máy chủ và kết nốitrunking.

- Tại HO: tối thiểu 04 cổng GE cáp quang: 01 cổng kết nối tới Data Center, 01 cổng kếtnối tới Backup Site, 02 cổng dự phòng có gắn sẵn bộ chuyển đổi quang

- Băng thông tối thiểu 48Mbps và thông lượng tối thiểu 32Mpps

- Hệ thống cần có tối thiểu 1024 VLANs và hỗ trợ VLAN trunking sử dụng công nghệchuẩn 802.1Q

- Hệ thống phải hỗ trợ các công nghệ dự phòng kết nối cho lớp 2 và lớp 3 là và HSRP

- Hệ thống phải hỗ trợ ít nhất 01 công nghệ cho phép ghép nhiều kết nối vật lý lớp 2 cùngtốc độ thành 01 kết nối logic lớp 2 duy nhất, cho phép gộp tốc độ của nhiều kết nối nàylại với nhau ( IEEE 802.3ad và EtherChannel của Cisco)

- Hệ thống phải hỗ trợ cả chuyển mạch lớp 2 và định tuyến lớp 3 cho phép mềm dẻo trongthiết kế hệ thống chuyển mạch trung tâm

- Định tuyến lớp 3 phải hỗ trợ cả định tuyến IPv4 và IPX

- Hệ thống phải có khả năng quản lý từ xa qua GUI hoặc Web

- Hệ thống phải có khả năng tích hợp vào hệ thống quản trị mạng tập trung, cho phép hệthống quản trị mạng có thể quản lý được

 Quản trị cấu hình (Configuration Management

 Quản trị phần tử (Element Management)

 Khả năng cấu hình VLAN từ xa từ hệ thống quản trị mạng trung tâm

Mỗi hệ thống chuyển mạch truy nhập phải có:

- Tối thiểu 48 cổng 10/100Mbps cáp đồng cho các máy trạm

- 02 cổng GE cáp đồng cho kết nối trunking

- Băng thông tối thiểu 16Mbps và thông lượng tối thiểu 6Mpps

- Hệ thống cần có tối thiểu 1024 VLANs và hỗ trợ VLAN trunking sử dụng công nghệchuẩn 802.1Q cho phép tạo các VLAN

- Hệ thống phải hỗ trợ các công nghệ dự phòng kết nối cho lớp 2 và lớp 3 là STP và HSRP

- Hệ thống phải hỗ trợ ít nhất 01 công nghệ cho phép ghép nhiều kết nối vật lý lớp 2 cùngtốc độ thành 01 kết nối logic lớp 2 duy nhất (IEEE 802.3ad và EtherChannel của Cisco)

Để quản lý hiệu quả thông lượng nội vùng trong LAN tại HO, HN, ĐN, mạng LAN tại đây cầnphải được phân chia VLAN như sau

- 01 VLAN cho Branch Servers

- 01 VLAN cho các máy trạm nghiệp vụ

- 01 VLAN cho các thiết bị kết nối WAN

- Chế độ VLAN: Sử dụng Port-based VLAN và tùy chọn gắn địa chỉ MAC theo từng cổng

để nâng cao chính sách an ninh

- Chức năng định tuyến lớp 3 được khai thác trên thiết bị Firewall tại HO, HN và ĐNSau đây là mô hình mạng LAN ở Hội sở và hai chi nhánh Hà nội và Đà nẵng

Page 20 of 69

e) Giải pháp mạng LAN tại các chi nhánh còn lại

Mạng LAN ở các chi nhánh còn lại phải bao gồm:

 01, hoặc 02 bộ chuyển mạch truy nhập cho các kết nối tới các máy trạm

Thiết bị chuyển mạch phải có

 48 cổng 10/100Mbps cáp đồng

 Băng thông tối thiểu 16Mbps và thông lượng tối thiểu 6Mpps

 Hệ thống cần có tối thiểu 1024 VLANs và hỗ trợ VLAN trunking sử dụng công nghệchuẩn 802.1Q

 Hệ thống phải hỗ trợ các công nghệ dự phòng kết nối cho lớp 2 là STP

 Hệ thống phải có khả năng quản lý từ xa qua GUI hoặc Web

 Hệ thống phải có khả năng tích hợp vào hệ thống quản trị mạng tập trung, cho phép hệthống quản trị mạng có thể quản lý được

 Quản trị cấu hình (Configuration Management)

 Quản trị phần tử (Element Management)

 Khả năng cấu hình VLAN từ xa từ hệ thống quản trị mạng trung tâm

Mô hình mạng LAN cho các chi nhánh như sau

2 Hệ thống kết nối WAN

a) Yêu cầu

Mạng WAN tại HO và các chi nhánh phải được thiết kế theo các tiêu chí sau

- Đáp ứng khả năng kết nối cho tối thiểu 01 HO và 100 chi nhánh

- Phải có khả năng mở rộng mềm dẻo và không phải thay đổi kiến trúc, cấu trúc, thiết kếchung trên toàn mạng

- Mạng WAN phải được thiết kế tối ưu hóa về trao đổi dữ liệu để giảm chi phí thuê kênh

- Mạng WAN phải được thiết kế phân lớp lõi, truy nhập theo các trung tâm miền để có khảnăng tối ưu hóa về định tuyến, tối ưu về quản lý vận hành, giảm số kênh kết nối liên miền

- Mạng WAN phải sử dụng các giao thức định tuyến động nội miền để đảm bảo khả năngtìm đường tối ưu khi có sự cố cũng như khả năng cân bằng tải trên nhiều đường truyền

- Mạng WAN phải sử dụng các giao thức định tuyến liên miền cho kết nối Internet chínhphục vụ Internet Banking Định tuyến liên miền cho phép dự phòng kết nối tới nhiều nhàcung cấp ISP/IXP khác nhau, đảm bảo dự phòng cho các truy nhập và giao dịch InternetBanking

- Mạng WAN phải có các kết nối chính ổn định, tin cậy và các kết nối dự phòng để đảmbảo dịch vụ trực tuyến 24/24h

- Toàn mạng phải có kế hoạch phân bổ địa chỉ IP để đảm bảo khả năng quản lý, khả năngđịnh tuyến tối ưu, khả năng mở rộng chi nhánh và người dùng mà không làm ảnh hưởngđến thiết kế tổng thể

- Tại các kết nối mạng lõi, băng thông phải được quản lý chặt chẽ để tối ưu hóa băng thôngcho các ứng dụng nghiệp vụ chính, phân tách các ứng dụng với các độ ưu tiên khác nhau,giảm chi phí thuê kênh

- Mạng WAN phải có khả năng quản trị tập trung tại một điểm để các cán bộ quản trị cókhả năng theo dõi, cấu hình, sửa lỗi các kết nối và thiết bị từ trung tâm quản trị mạng

b) Thiết kế

Mạng WAN của HDB bao gồm

- Kết nối lõi giữa Data Center với các trung tâm vùng là HN va ĐN

- Kết nối truy nhập giữa Data Center với các chi nhánh phía Nam

- Kết nối truy nhập giữa trung tâm vùng HN với các chi nhánh miền Bắc

- Kết nối truy nhập giữa trung tâm vùng ĐN với các chi nhánh miền Trung

Chi tiết như sau:

- Trung tâm vùng ĐN

Tại các nút chính của mạng trục sẽ sử dụng các thiết bị định tuyến (Router) để thực hiện các tácvụ

- Kết nối tốc độ thấp tới các chi nhánh trong khu vực

- Kết nối tốc độ cao tới các nút mạng trục khác

- Thiết bị tại các nút mạng trục phải có các tính năng

- Nhiều cổng nối tiếp để kết nối tới các chi nhánh

- Cổng nối tiếp tốc độ cao để kết nối tới các nút mạng trục khác

- Khả năng sử dụng giao thức định tuyến động nội miền

- Tốc độ xử lý và chuyển tiếp gói cao

 Các kết nối chính của mạng trục sử dụng Leased Line tốc độ 512Kbps HDBank có thểnâng tốc độ dần lên tới 2Mbps khi các chi nhánh phát triển nhiều Kết nối chính bao gồm:

 HN tới Data Center

 ĐN tới Data Center

 Data Center tới Backup Center (WAN): chạy trên 1 cáp quang vật lý

 Các kết nối dự phòng cho mạng trục sử dụng VPN qua MegaWAN cho phép đảm bảo anninh cao trên nền công nghệ mới và giá thành thấp Kết nối dự phòng bao gồm:

 HN tới Backup Site

 ĐN tới Backup Site

Dự phòng và cân bằng tải đường truyền sử dụng tính năng thiết bị và/hoặc giao thức định tuyếnđộng nội miền

(2) Mạng truy cập

Mạng truy nhập của WAN bao gồm các kết nối

- Các chi nhánh phía Nam về Data Center

- Các chi nhánh phía Bắc về Trung tâm vùng HN

- Các chi nhánh miền Trung về Trung tâm vùng ĐN

Tại các nút mạng truy nhập tại các chi nhánh sẽ sử dụng các thiết bị định tuyến (Router) và VPN/Firewall để thực hiện các tác vụ

- Kết nối tốc độ thấp tới các trung tâm vùng tương ứng

- Kết nối VPN dự phòng tới Backup Site

Thiết bị tại các nút mạng truy nhập phải có các tính năng

- Cổng nối tiếp để kết nối tới trung tâm vùng

- Khả năng sử dụng giao thức định tuyến động nội miền

- Tốc độ xử lý và chuyển tiếp gói trung bình

Qua so sánh các công nghệ truyền dẫn và hạ tầng cung cấp viễn thông tại Việt Nam, hệ thốngmạng của HDBank sẽ nên như sau:

- Các kết nối chính của mạng truy nhập từ các chi nhánh tới trung tâm vùng sử dụng

Leased Line tốc độ từ 128Kbps đến 384Kbps tùy số lượng trạm nghiệp vụ tại chi nhánh.HDB có thể nâng tốc độ dần lên tới 2Mbps khi chi nhánh phát triển nhiều Tốc độ dự tínhcủa các chi nhánh như sau (trên cơ sở tham khảo thực tế các ngân hàng khác có sử dụngcùng hệ thống Core Banking với mô hình bán lẻ)

 Từ 5-7 trạm nghiệp vụ: 128Kbps (chi nhánh nhỏ và chi nhánh cấp 2)

 Từ 7-15 trạm nghiệp vụ: 256 Kbps (chi nhánh trung bình)

(3) Phương án đánh địa chỉ IP cho toàn mạng

Hiện tài nguyên IPv4 công cộng do NIC quốc tế và NIC khu vực (Việt nam thuộc APNIC) quản

lý đã cạn kiệt nên rất khó có thể xin được đủ địa chỉ IP cho các hệ thống dùng riêng Do vậy,HDBank sử dụng không gian địa chỉ dùng riêng (Private IP address space – RFC 1918) để đánhđịa chỉ cho các hệ thống trong mạng nội bộ HDB

Như vậy, HDBank có thể sử dụng lớp A 10.0.0.0/8 để cấp phát cho tất cả các chi nhánh và hệthống trong mạng

Dự kiến phương án cấp phát địa chỉ IP như sau

Miền Nam: 10.0.0.0/10 (4194304 địa chỉ)

 Data Center: 10.0.0.0/16 (65536 địa chỉ)

 Backup Center: 10.1.0.0/16 (65536 địa chỉ)

Với các kết nối ra mạng Internet công cộng, phương án được dùng là

- Xin cấp phát số hiệu mạng riêng (ASN) từ VNNIC – Bộ BCVT

Page 26 of 69

- Kết nối tới tối thiểu 02 ISP/IXP để có thể có khả năng định tuyến liên miền

- Xin cấp phát dải IP công cộng cho các máy chủ Internet như Mail, Web, InternetBanking, v.v

- Sử dụng định tuyến động liên miền (BGP hoặc IS-IS) tới các ISP/IXP để đảm bảo dựphòng cho dịch vụ Internet Banking

- Các máy trạm truy nhập ra Internet sẽ được dịch địa chỉ IP (NAT) từ các địa chỉ dùngriêng 10.0.0.0/8 thành các địa chỉ công cộng đã được VNNIC cấp phát

(4) Phương án định tuyến nội vùng

Với các công nghệ hiện tại, có các giao thức định tuyến nội miền sau RIPv1, RIPv2, OSPF, IGRP

và EIGRP HDBank sẽ sử dụng OSPF vì đó là chuẩn chung được nhiều hãng sản xuất thiết bị hỗtrợ, có khả năng định tuyến nội miền phân lớp và không phân lớp

Mô hình mạng WAN của HDB sau khi sử dụng OSPF được trình bày như sau:

Thiết kế OSPF của mạng WAN HDB như sau:

- Sử dụng OSPF Area 0 tại lớp Core gồm Data Center, Backup Center, HN và ĐN

- Sử dụng OSPF Area 1 tại khu vực miền Nam

- Sử dụng OSPF Area 2 tại khu vực miền Bắc

- Sử dụng OSPF Area 3 tại khu vực miền Trung

- Sử dụng tính năng Route Summarization để tối ưu hóa bảng định tuyến của các thiết bị,tiết kiệm băng thông cho cập nhật định tuyến trên mạng

c) Thiết kế dự phòng cho WAN

Để có được khả năng dự phòng cho mạng WAN ở lớp lõi và lớp truy nhập, HDB có thể sử dụngcác giải pháp sau

- Dự phòng thiết bị Router: Trong thiết kế này, tại mỗi nút mạng WAN chỉ sử dụng 01thiết bị định tuyến Router duy nhất để tiết kiệm đầu tư Trong những giai đoạn dự án tiếptheo, có thể đầu tư thêm các Router dự phòng cho các Router tại Data Center, HN và ĐN

 Các Router dự phòng sẽ sử dụng HSRP, VRRP hoặc giao thức tươngđương để dự phòng kết nối vào LAN

 Sử dụng OSPF hoặc RIP để định tuyến động và cân bằng tải qua WAN

- Dự phòng đường truyền: Hiện tại trong thiết kế này, các kết nối chính mạng WAN sử

Page 28 of 69

dụng Leased Line và các kết nối dự phòng sử dụng VPN qua MegaWAN Trong trườnghợp có khả năng về tài chính, các đường dự phòng cho WAN có thể dùng Leased Line đểtăng độ ổn định và bảo mật cho toàn hệ thống.

 Kết nối chính Leased Line sử dụng Router

 Kết nối dự phòng sử dụng VPN chạy qua Firewall

 Như vậy, mạng HDB có khả năng dự phòng ngay cả khi Router có sự cốhoặc Leased Line có sự cố

 Khi có sự cố, OSPF tự động định tuyến qua kết nối VPN dự phòng Để

có tính năng này, các hệ thống Firewall phải hỗ trợ OSPF

Dự phòng cả thiết bị và đường truyền

d) Hệ thống quản trị mạng NMS (Network Management System)

Để đáp ứng yêu cầu quản trị mạng và hệ thống tập trung tại HO cho toàn mạng, hệ thống quản trịmạng phải đáp ứng các yêu cầu sau

- Chuẩn SNMP: Đây là giao thức quản trị mạng chuẩn được hỗ trợ bởi tất cả các nhà SXhiện nay

- Khả năng quản trị LAN

 Quản trị phần tử (Element Management) cho tất các các Switch trongmạng LAN tại Data Center, Backup Site và các chi nhánh

 Hiển thị đồ họa thiết bị trên màn hình, gồm mặt trước, mặt sau,card điều khiển và các card kết nối

 Hiển thị trạng thái hoạt động của các module/các cổng kết nốitheo màu với các trạng thái: Hoạt động bình thường, không họatđộng, hoạt động nhưng có cảnh báo cần sự can thiệp

 Khả năng kích hoạt hoặc ngừng hoạt động của một cổng haymodule

 Khả năng xem các thông số hoạt động của các cổng và module

 Khả năng xem các thông số truyền/nhận các gói tin

 Quản trị cấu hình (Configuration management)

 Hệ thống phải có khả năng cấu hình tất cả các thiết bị LANSwitch qua giao diện đồ họa duy nhất của hệ NMS

 Hệ thống phải có khả năng lưu và đặt tên các cấu hình của tất cảcác thiết bị lên hệ thống NMS phục vụ dự phòng

 Hệ thống phải có khả năng tự động lưu cấu hình theo lịch đặttrước của quản trị và khả năng phục hồi cấu hình theo yêu cầuquản trị

 Quản trị hình trạng mạng (Topology management)

 Hệ thống phải có khả năng cấu hình VLAN cho các Switch

 Phải có khả năng cấu hình chế độ cổng của các Switch theoVLAN nào

 Khả năng cấu hình các trạng thái, chế độ trunking của các cổngSwitch

 Quản trị lỗi (Fault Management)

 Hệ thống phải có khả năng nhận các lỗi cảnh báo từ các thiết bị

 Hệ thống phải có khả năng phân loại lỗi theo màu sắc tùy theomức độ lỗi và nguồn gây lỗi

 Hệ thống phải có các khuyến cáo các hành động tương ứng vớitừng loại lỗi xảy ra cho quản trị

 Phải có khả năng thông báo lỗi qua đồ họa GUI, âm thanh, email

- Khả năng quản trị WAN

 Quản trị phần tử (Element Management) cho tất các các Router trongmạng WAN

 Hiển thị đồ họa thiết bị trên màn hình, gồm mặt trước, mặt sau,card điều khiển và các card kết nối

 Hiển thị trạng thái hoạt động của các module/các cổng kết nốitheo màu với các trạng thái: hoạt động bình thường, không họatđộng, hoạt động nhưng có cảnh báo cần sự can thiệp

 Khả năng kích hoạt hoặc ngừng hoạt động của một cổng haymodule

 Khả năng xem các thông số hoạt động của các cổng và module

 Khả năng xem các thông số truyền/nhận các gói tin

 Quản trị cấu hình (Configuration management)

 Hệ thống phải có khả năng cấu hình tất cả các thiết bị Router quagiao diện đồ họa duy nhất của hệ NMS

 Hệ thống phải có khả năng lưu và đặt tên các cấu hình của tất cảcác thiết bị lên hệ thống NMS phục vụ dự phòng

 Hệ thống phải có khả năng tự động lưu cấu hình theo lịch đặttrước của quản trị và khả năng phục hồi cấu hình theo yêu cầuquản trị

 Quản trị hình trạng mạng (Topology management)

 Hệ thống phải có khả năng hiển thị hình trạng mạng WAN vớicác kết nối mạng trục, mạng truy nhập trên GUI

 Hệ thống phải có khả năng tự khám phá hình trạng mạng (AutoDiscovery) khi cấu hình mạng thay đổi

 Quản trị lỗi (Fault Management)

 Hệ thống phải có khả năng nhận các lỗi cảnh báo từ các thiết bị

và trạng thái kết nối các đường truyền, các cổng

Page 30 of 69

 Hệ thống phải có khả năng phân loại và hiển thị lỗi theo màu sắctùy theo mức độ lỗi và nguồn gây lỗi

 Các lỗi liên quan đến đường truyền hoặc cổng kết nối WAN phảiđược hiển thị trực quan trên phần quản trị hình trạng mạng

 Hệ thống phải có các khuyến cáo các hành động tương ứng vớitừng loại lỗi xảy ra cho quản trị

 Phải có khả năng thông báo lỗi qua đồ họa GUI, âm thanh, email

- Khả năng quản trị các máy chủ

 Phải có khả năng tích hợp các Agent của nhà SX máy chủ Unix chạy ứngdụng Core Banking lên hệ thống NMS Hỗ trợ tối thiểu IBM, Sun và HP

 NMS kết hợp với Agent cho NMS của nhà SX máy chủ phải có khả năng

 Hiển thị trạng thái hoạt động của máy chủ

 Hiển thị nhiệt độ trong máy

 Hiển thị tải CPU, RAM

 Hiển thị trạng thái HDD

- Khả năng quản trị UPS

 NMS phải có khả năng tích hợp Agent của nhà SX UPS

 Khả năng quản trị UPS từ NMS

 Điện áp, dòng, tải vào

 Điện áp, dòng ra trên từng pha

3 Hệ thống kết nối ra Internet và an ninh mạng

a) Yêu cầu với kết nối Internet

Các yêu cầu về kết nối Internet cho HO và các chi nhánh như sau

- Kết nối Internet nói chung là một dịch vụ phụ cho các đơn vị tài chính/ngân hàng Khôngchỉ đáp ứng yêu cầu cung cấp thông tin của ngân hàng tới khách hàng mà trong tuơng laiđây sẽ là một kênh giao dịch mới, hiện đại của ngân hàng

- Đảm bảo khả năng kết nối Internet cho tất cả người dùng tại các chi nhánh và HO

- Đảm bảo khả năng cung cấp dịch vụ Internet Banking tại Data Center một cách tin cậy và

an toàn

- Các kết nối Internet phải được quản lý vào/ra tập trung tại các trung tâm vùng

- Tại các điểm kết nối Internet tại trung tâm vùng phải có khả năng quản lý truy nhậpngười dùng

- Phải có quản lý băng thông Internet tại Data Center để đảm bảo cung cấp BW ưu tiên chodịch vụ Internet Banking, giảm chi phí kết nối và mua BW của các nhà cung cấp dịch vụ

- Các kết nối Internet phải sử dụng Caching để tăng băng thông, giảm chi phí mua kênh kếtnối

b) Giải pháp kết nối Internet

(1) Kết nối internet cho Data Center

Kết nối ra mạng Internet công cộng tại Data Center, phương án được dùng là

- Xin cấp phát số hiệu mạng riêng (ASN) từ VNNIC – Bộ BCVT

- Kết nối tới tối thiểu 02 ISP/IXP

- Xin cấp phát dải IP công cộng cho các máy chủ Internet như Mail, Web, InternetBanking, v.v

- Sử dụng định tuyến động liên miền (BGP hoặc IS-IS) tới các ISP/IXP để đảm bảo dựphòng cho dịch vụ Internet Banking

Các máy trạm truy nhập ra Internet sẽ được dịch địa chỉ IP (NAT) từ các địa chỉ dùng riêng10.0.0.0/8 thành các địa chỉ công cộng đã được VNNIC cấp phát

Yêu cầu cho Router kết nối Internet tại Data Center như sau

- 02 cổng Serial 2Mbps để kết nối tới 02 ISP/IXP khác nhau

- 01 cổng Serial dự phòng

- 01 cổng FE kết nối vào LAN

- Tối thiểu 50 Kpps năng lực xử lý gói

Các yêu cầu chung của các thiết bị Router Internet bao gồm

- Hỗ trợ các giao thức định tuyến động liên miền BGP và IS-IS

- Hỗ trợ khả năng cân bằng tải thông qua giao thức định tuyến động liên miền

- Hỗ trợ VLAN và VLAN trunking 802.1Q

- Hỗ trợ Access Control List (ACL)

- Khả năng quản trị qua console, telnet và đồ họa GUI hoặc Web

- Hỗ trợ QoS, tối thiểu cho các giao tiếp Serial

- Hỗ trợ Sub-Interface

- Hỗ trợ đóng gói các giao thức WAN thông dụng

- Hỗ trợ HSRP hoặc VRRP hoặc công nghệ tương đương cho phép dự phòng mức thiết bị

- Hệ thống phải có khả năng lưu cấu hình và hệ điều hành thiết bị trên Flash hoặc NVRAM

để khi mất điện vẫn lưu được cấu hình

Page 32 of 69

Để đảm bảo kết nối Internet tối ưu và phục vụ Internet Banking có hiệu quả, chúng tôi đề xuấtHDB sử dụng các thiết bị, giải pháp và công nghệ sau

- Thiết bị Caching

 Cho phép lưu trữ các thông tin đã được lấy về để phục vụ các truy nhập

có cùng yêu cầu

 Khả năng tăng băng thông tới 30%

 Đề xuất sử dụng phần mềm Squid ( http://www.squid-cache.org ) cài trên

01 máy PC và hệ điều hành Linux (Redhat hoặc Suse Enterprise Linux)

 Cấu hình transparent caching cho phép caching trong suốt với người sửdụng, không phải khai báo Proxy trên trình duyệt người dùng

 Cấu hình tính năng Reverse Proxy cho các dịch vụ Web và InternetBanking của HDB để tăng thêm lớp an ninh cho dịch vụ Web

- Thiết vị quản lý băng thông (Bandwidth Management)

 Cho phép quản lý và cấp phát băng thông cho các dịch vụ khác nhau trênkết nối Internet

 Yêu cầu phải có khả năng phân loại thông tin và kết nối dựa trên:

IP nguồn/đích, TCP/UDP nguồn/đích, các phương thứcHTTP/FTP

 Hỗ trợ tối thiểu các giao thức: HTTP, FTP, POP3, SMTP, SQLnet,Oracle, SSL

 Hệ thống phải có khả năng định nghĩa và áp các loại chính sách băngthông sau cho các loại kết nối đã được định nghĩa

 Ưu tiên theo các mức: Cao nhất, trung bình, thấp nhất

 Cấp phát băng thông tối thiểu: N x Kbps với N>=1

 Cấp phát băng thông tối đa: N x Kbps

 Ghi nhật ký và kế toán/tính cước lưu lượng

 Khả năng theo dõi và cấu hình qua đồ họa, theo dõi các báo cáo theo cácloại lưu lượng khác nhau

 Hỗ trợ quản lý băng thông tối thiểu 2Mbps

 Hỗ trợ khả năng tích hợp với CSDL người dùng qua: LDAP, RADIUS,Active Directory Tính năng này cho phép áp chính sách băng thông theotừng nhóm khách hàng truy nhập Internet Banking khác nhau Mỗi nhómkhách hàng (doanh nghiệp, cá nhân, v.v.) sẽ có hồ sơ về băng thôngkhác nhau và được đối xử khác nhau khi truy nhập

- Hệ thống dự phòng và cân bằng tải Internet:

 Nếu HDB không có khả năng xin cấp phát ASN và sử dụng BGP kết nốitới 02 ISP/IXP khác nhau, chúng tôi đề xuất sử dụng thiết bị cân tải và

dự phòng kết nối này.

 Thiết bị phải hỗ trợ tối thiểu 02 kết nối WAN và 01 kết nối LAN

 Mỗi kết nối WAN/Internet có tốc độ tối thiểu 2Mbps

 Hệ thống phải có khả năng cân bằng tải trên 02 kết nối Internet khácnhau

 Hệ thống phải có khả năng dự phòng kết nối Internet cho dịch vụ Internetbanking khi bất kỳ đường kết nối nào có sự cố

 Hệ thống phải hỗ trợ DNS Round Robin và DNS Spoofing cho phép ánh

xạ DNS của máy chủ Internet banking trong mọi trường hợp sự cố xảyra

(2) Kết nối internet tại chi nhánh Hà nội và Đà nẵng

Kết nối ra mạng Internet công cộng tại HN và ĐN, phương án được dùng là

- Sử dụng Leased Line tới ISP/IXP hoặc sử dụng nhiều đường ADSL để cung cấp dịch vụtruy nhập cho các cán bộ ngân hàng

- Không cung cấp Internet Banking qua các kết nối này

Các máy trạm truy nhập ra Internet sẽ được dịch địa chỉ IP (NAT) từ các địa chỉ dùng riêng10.0.0.0/8 thành các địa chỉ công cộng do ISP/IXP cấp tĩnh hoặc động

Yêu cầu cho Router kết nối Internet tại HN và ĐN như sau (nếu kết nối Leased Line)

- 01 cổng Serial 2Mbps

- 01 cổng Serial dự phòng

- 01 cổng FE kết nối vào LAN

- Tối thiểu 50 Kpps năng lực xử lý gói

Các yêu cầu chung của các thiết bị Router Internet tại HN và ĐN bao gồm

- Hỗ trợ VLAN và VLAN trunking 802.1Q

- Hỗ trợ Access Control List (ACL)

- Khả năng quản trị qua console, telnet và đồ họa GUI hoặc Web

- Hỗ trợ QoS

- Hỗ trợ đóng gói các giao thức WAN thông dụng

- Hỗ trợ HSRP hoặc VRRP hoặc công nghệ tương

- Hệ thống phải có khả năng lưu cấu hình và hệ điều hành thiết bị trên Flash hoặc NVRAM

để khi mất điện vẫn lưu được cấu hình

Để đảm bảo kết nối Internet tối ưu, HDBank sử dụng

- Thiết bị Caching: như cấu hình và giải pháp tại Data Center

- Hệ thống ghép kênh ADSL (trong trường hợp không sử dụng Leased Line và Router đểkết nối Internet)

- Thiết bị phải hỗ trợ tối thiểu 04 kết nối ADSL và 01 kết nối LAN

- Hỗ trợ PPPoE, PPPoA, LLC

Page 34 of 69