Tìm hiểu lý thuyết mô hình quản trị mạng và áp dụng thử nghiệm tại thông tấn xã việt nam

Các thiết bị lớp nhân thường được gọi là thiết bị chuyển mạch xương sống của mạng và có những thuộc tính sau: - Thông lượng ở lớp 2 hoặc lớp 3 rất cao - Chi phí cao - Có khả năng dự phòn

Trang 1

TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

LUẬN VĂN THẠC SĨ

Tìm hiểu lý thuyết, mô hình quản trị mạng và

áp dụng thử nghiệm tại Thông tấn xã Việt Nam

ĐỖ TRUNG ĐÔNG

dong.dtcb190237@sis.hust.edu.vn

Ngành: Mạng máy tính và an toàn thông tin

Giảng viên hướng dẫn: TS Phạm Huy Hoàng

Trường: Công nghệ thông tin và Truyền thông

HÀ NỘI, 04/2022

Chia s ■ câu chuy ■ n thành công trên 123doc - ki ■ m 5 tri ■ u ch ■ i 7 tài li ■ u! Nghe có v ■ khó tin nh ■ ng ■ ây là con s ■ hoàn toàn chính xác mà BQT 123doc ■ ã thu th ■■■■ c sau ■■ t tng k ■ t doanh thu tháng 11 uy tín cao nh ■ t Mong mu ■ n mang l ■ i cho c ■ ng ng xã h ■ i m ■ t ngu ■ n tài nguyên tri th ■ c quý báu, phong phú, ■ Sau h ■ n m ■ t n ■ m ra ■■ i, 123doc ■ ã t ■ ng b ■■ c kh ■ ng nh v ■ trí c ■ a mình trong l ■ nh v ■ c tài li ■ u và kinh doanh online Sau h ■ n m ■ t n ■ m ra ■■ i, 123doc ■ ã t ■ ng b ■■ c kh ■ ng nh v ■ trí c ■ a mình trong l ■ nh v ■ c tài li ■ u và kinh doanh online Tính ■■ n th ■ i ■ m tháng 5/2014; 123doc v ■■ ■ c 100.000 l ■■ t truy c ■ p m ■ i ngày, s ■ u 2.000.000 thành viên ■■ ng ký, l ■ t vào top 200 các website ph ■ bi ■ n nh ■ i Vi ■ t Nam, t ■ tìm ki ■ m thu ■ c top 3 Google Nh ■■■■ c danh hi ■ u do c ■ ng ng bình ch ■ n là website ki ■ m ti ■ n online hi ■ u qu ■ và uy tín nh ■

mt member không m ■ y n ■ i b ■ t c ■ a c ■ ng ng 123doc ■ ã xu ■ t s ■ ■■ ng trong danh sách Top danh thu cao nh ■ t tháng t ■ o c ■ i gia t ■ ng thu nh ■ p online cho t ■ t c ■ các thành viên c ■ a website.

tri ■ n khai event khuy ■ n mãi th ■ p v ■ i nh ■ ng ■ ãi c ■ c k ■ p d ■ n ng b ■ nhé, tr ■■ c tiên hãy cùng tìm hi ■ u thông tin v ■ Khách hàng có th ■ dàng tra c ■ u tài li ■ u m ■ t cách chính xác, nhanh chóng.

Mang l ■ i tr ■ nghi ■ m m ■ i m ■ cho ng ■■ i dùng, công ngh ■ hi ■ n th ■ hi ■ ■■ ■ n online không khác gì so v ■ i b ■ n g ■ c B ■ n có th ■ phóng to, thu nh ■ tùy ý.

Luôn h ■■ ng t ■ i là website d ■ ■■ u chia s ■ và mua bán tài li ■ u hàng ■■ u Vi ■ t Nam Tác phong chuyên nghi ■ p, hoàn h ■ o, cao tính trách nhi ■ m ■ ng ng ■■ i dùng M ■ c tiêu hàng ■■ ■ a 123doc.net tr ■ thành th ■ vi ■ n tài li ■ u online l ■ n nh ■ t Vi ■ t Nam, cung c ■ p nh ■ ng tài li ■■■ c không th ■ tìm th ■ y trên th ■ ■■ ng ngo ■ i tr ■ 123doc.net

123doc cam k ■ t s ■ mang l ■ i nh ■ ng quy ■ n l ■ t nh ■ t cho ng ■■ i dùng Khi khách hàng tr ■ thành thành viên c ■ a 123doc và n ■ p ti ■ n vào tài kho ■ n c ■ a 123doc, b ■ n s ■ ■■■ c h ng nh ■ ng quy ■ n l ■ i sau n ■ p ti ■ n trên website

Th ■ a thu ■ n s ■ ng 1 CH ■ P NH ■ N CÁC ■ I ■ U KHO ■ N TH ■ A THU ■ N Chào m ■ ng b ■■■ ■ i 123doc.

Sau khi nh ■ n xác nh ■ n t ■ ■■ ng h ■ th ■ ng s ■ chuy ■ n sang ph ■ n thông tin xác minh tài kho ■ n email b ■ ■■ ng ký v ■ i 123doc.netLink xác th ■ c s ■ ■■■ c g ■ i v ■ ■■ a ch ■ email b ■ ■■ ng ky, b ■ n vui lòng ■■ ng nh ■ p email c ■ a mình và click vào link 123doc ■ ã g ■ i

Th ■ a thu ■ n s ■ ng 1 CH ■ P NH ■ N CÁC ■ I ■ U KHO ■ N TH ■ A THU ■ N Chào m ■ ng b ■■■ ■ i 123doc.net! Chúng tôi cung c ■ p D ■ ch V ■ (nh ■ ■■■ c mô t ■■■ i ây) cho b ■ n, tùy thu ■ c vào các “ ■ i ■ u Kho ■ n Th ■ a Thu ■ n v ■ ng D ■ ch V ■ ” sau ■ ây (sau ■ ây ■■■ c g ■ t T ■ ng th ■ i ■ m, chúng tôi có th ■ p nh ■ KTTSDDV theo quy ■ t

Xu ■ t phát t ■ ý t ng t ■ o c ■ ng ng ki ■ m ti ■ n online b ■ ng tài li ■ u hi ■ u qu ■ nh ■ t, uy tín cao nh ■ t Mong mu ■ n mang l ■ i cho c ■ ng ng xã h ■ i m ■ t ngu ■ n tài nguyên tri th ■ c quý báu, phong phú, ■ a d ■ ng, giàu giá tr ■ ■■ ng th ■ i mong mu ■ n t ■ i ■ u ki ■ n cho cho các users có thêm thu nh ■ p Chính vì v ■ y 123doc.net ra ■■ ■ m ■ áp ■ ng nhu c ■ u chia s ■ tài li ■ u ch ■■■ ng và ki ■ m ti ■ n online.

Sau h ■ n m ■ t n ■ m ra ■■ i, 123doc ■ ã t ■ ng b ■■ c kh ■ ng nh v ■ trí c ■ a mình trong l ■ nh v ■ c tài li ■ u và kinh doanh online Tính ■■ n th ■ i ■ m tháng 5/2014; 123doc v ■■ ■ c 100.000 l ■■ t truy c ■ p m ■ i ngày, s ■ u 2.000.000 thành viên ■■ ng ký, l ■ t vào top 200 các website ph ■ bi ■ n nh ■ i Vi ■ t Nam, t ■ tìm ki ■ m thu ■ c top 3 Google Nh ■■■■ c danh hi ■ u do c ■ ng ng bình ch ■ n là website ki ■ m ti ■ n online hi ■ u qu ■ và uy tín nh ■

Nhi ■ u event thú v ■ , event ki ■ m ti ■ n thi ■ t th ■ c 123doc luôn luôn t ■ o c ■ i gia t ■ ng thu nh ■ p online cho t ■ t c ■ các thành viên c ■ a website.

123doc s ■ u m ■ t kho th ■ vi ■ n kh ■ ng l ■ i h ■ n 2.000.000 tài li ■ t c ■ nh v ■ c: tài chính tín d ■ ng, công ngh ■ thông tin, ngo ■ i ng ■ , Khách hàng có th ■ dàng tra c ■ u tài li ■ u m ■ t cách chính xác, nhanh chóng.

ut phát t ■ ý t ng t ■ o c ■ ng ng ki ■ m ti ■ n online b ■ ng tài li ■ u hi ■ u qu ■ nh ■ t, uy tín cao nh ■ t Mong mu ■ n mang l ■ i cho c ■ ng ng xã h ■ i m ■ t ngu ■ n tài nguyên tri th ■ c quý báu, phong phú, ■ a d ■ ng, giàu giá tr ■ ■■ ng th ■ i mong mu ■ n t ■ i ■ u ki ■ n cho cho các users có thêm thu nh ■ p Chính vì v ■ y 123doc.net ra ■■ ■ m ■ áp ■ ng nhu c ■ u chia s ■ tài li ■ u ch ■■■ ng và ki ■ m ti ■ n online.

thay vì m ■ i m ■ t cá nhân kinh doanh t ■ th ■ c hi ■ n ngh ■ a v ■ a mình thì s ■ p t ■ i, ngh ■ a v ■ a c ■ a hàng tri ■ u nhà bán hàng l ■ i chuy ■ n giao sang ■■ ■ qu ■ n lý, công ngh ■ hi ■ n th ■ hi ■■■ ■ n online không khác gì so v ■ i b ■ n g ■ c B ■ n có th ■ phóng to, thu nh ■ tùy ý.

Luôn h ■■ ng t ■ i là website d ■ ■■ u chia s ■ và mua bán thay vì m ■ i m ■ t cá nhân kinh doanh t ■ th ■ c hi ■ n ngh ■ a v ■ a mình thì s ■ p t ■ i, ngh ■ a v ■ a c ■ a hàng tri ■ u nhà bán hàng l ■ i chuy ■ n giao sang ■■ ■ qu ■ n lý hoàn h ■ o, cao tính trách nhi ■ m ■ ng ng ■■ i dùng M ■ c tiêu hàng ■■ ■ a 123doc.net tr ■ thành th ■ vi ■ n tài li ■ u online l ■ n nh ■ t Vi ■ t Nam, cung c ■ p nh ■ ng tài li ■ ■■ c không th ■ tìm th ■ y trên th ■■■ ng ngo ■ i tr ■ 123doc.net

123doc cam k ■ t s ■ mang l ■ i nh ■ ng quy ■ n l ■ t nh ■ t cho ng ■■ i dùng Khi khách hàng tr ■ thành thành viên c ■ a 123doc và n ■ p ti ■ n thay vì m ■ i m ■ t cá nhân kinh doanh t ■ th ■ c hi ■ n ngh ■ a v ■ a mình thì s ■ p t ■ i, ngh ■ a v ■ a c ■ a hàng tri ■ u nhà bán hàng l ■ i chuy ■ n giao sang ■■ ■ qu ■ n lý quy ■ n l ■ i sau n ■ p ti ■ n trên website

123doc cam k ■ t s ■ mang l ■ i nh ■ ng quy ■ n l ■ t nh ■ t cho ng ■■ i dùng Khi khách hàng tr ■ thành thành viên c ■ a 123doc và n ■ p ti ■ n vào tài kho ■ n c ■ a 123doc, b ■ n s ■ ■■■ c h ng nh ■ ng quy ■ n l ■ i sau n ■ p ti ■ n trên website thay vì m ■ i m ■ t cá nhân kinh doanh t ■ th ■ c hi ■ n ngh ■ a v ■ a mình thì s ■ p t ■ i, ngh ■ a v ■ a c ■ a hàng tri ■ u nhà bán hàng l ■ i chuy ■ n giao sang ■■ ■ qu ■ n lýChào m ■ ng b ■■■ ■ i 123doc.

Sau khi nh ■ n xác nh ■ n tLink xác th ■ c s ■ ■■■ c g ■ i v ■ ■■ a ch ■ email b ■ ■■ ng ky, b ■ n vui lòng ■■ ng nh ■ p email c ■ a mình và click vào linkông tin xác minh tài kho ■ n email b ■ ■■ ng ký v ■ i 123doc.netLink xác th ■ c s ■ ■■■ c g ■ i v ■ ■■ a ch ■ email b ■ ■■ ng ky, b ■ n vui lòng ■■ ng nh ■ p email c ■ a mình và click vào link 123doc ■ ã g ■ i

Sau Link xác th ■ c s ■ ■■■ c g ■ i v ■ ■■ a ch ■ email b ■ ■■ ng ky, b ■ n vui lòng ■■ ng nh ■ p email c ■ a mình và click vào linkí c ■ a mình trong l ■ nh v ■ c tài li ■ u và kinh doanh online Tính ■■ n th ■ i ■ m tháng 5/2014; 123doc v ■■ ■ c 100.000 l ■■ t truy c ■ p m ■ i ngày, s ■ u 2.000.000 thành viên ■■ ng ký, l ■ t vào top 200 các website ph ■ bi ■ n nh ■ i Vi ■ t Nam, t ■ tìm ki ■ m thu ■ c top 3 Google Nh ■■■■ c danh hi ■ u do c ■ ng ng bình ch ■ n là website ki ■ m ti ■ n online hi ■ u qu ■ và uy tín nh ■

Sau khi nh ■ n xác nh ■ n t ■ ■■ ng h ■ th ■ ng s ■ chuy ■ n sang ph ■ n thông tin xác minh tài kho ■ n email b ■ ■■ ng ký v ■ i CH ■ P NH ■ N CÁC ■ I ■ U KHO ■ N TH ■ A THU ■ N Chào m ■ ng b ■ ■■ ■ i 123doc.net! Chúng tôi cung c ■ p D ■ ch V ■ (nh ■ ■■■ c mô t ■■■ i ây) cho b ■ n, tùy thu ■ c vào các “ ■ i ■ u Kho ■ n Th ■ a Thu ■ n v ■ D ■ ng D ■ ch V ■ ” sau ■ ây (sau ■ ây ■■■ c g ■ t T ■ ng th ■ i ■ m, chúng tôi có th ■ p nh ■ KTTSDDV theo quy ■ t

Nhi ■ u event thú v ■ , event ki ■ m ti ■ n thi ■ t th ■ c 123doc luôn luôn t ■ o c ■ i gia t ■ ng thu nh ■ p oLink xác th ■ c s ■ ■■■ c g ■ i v ■ ■■ a ch ■ email b ■ ■■ ng ky, b ■ n vui lòng ■■ ng nh ■ p email c ■ a mình và click vào linkc ■ a website.

Trang 2

TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

LUẬN VĂN THẠC SĨ

Tìm hiểu lý thuyết, mô hình quản trị mạng và

áp dụng thử nghiệm tại Thông tấn xã Việt Nam

ĐỖ TRUNG ĐÔNG

dong.dtcb190237@sis.hust.edu.vn

Ngành: Mạng máy tính và an toàn thông tin

Giảng viên hướng dẫn: TS Phạm Huy Hoàng

Trường: Công nghệ thông tin và Truyền thông

HÀ NỘI, 04/2022

Chữ ký của GVHD

Trang 3

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

Độc lập – Tự do – Hạnh phúc

BẢN XÁC NHẬN CHỈNH SỬA LUẬN VĂN THẠC SĨ

Họ và tên tác giả luận văn : Đỗ Trung Đông

Đề tài luận văn: Tìm hiểu lý thuyết, mô hình quản trị mạng và áp dụng thử

nghiệm tại Thông tấn xã Việt Nam

Chuyên ngành: Mạng máy tính và an toàn thông tin

Mã số SV: CB190237

Tác giả, Người hướng dẫn khoa học và Hội đồng chấm luận văn xác nhận tác giả đã sửa chữa, bổ sung luận văn theo biên bản họp Hội đồng ngày

28/04/2022với các nội dung sau:

1 Phân tích nhu cầu để lựa chọn thiết kế mới đề xuất này

2 Bổ sung một chương/ mục để đánh giá hiệu năng của thiết kế mới

3 Phân tích đưa ra sở cứ về dung lượng kênh truyền

4 Sửa lỗi trong soạn thảo

Ngày tháng 05 năm 2022 Giáo viên hướng dẫn Tác giả luận văn

TS Phạm Huy Hoàng Đỗ Trung Đông

CHỦ TỊCH HỘI ĐỒNG

PGS.TS Lã Thế Vinh

Trang 4

Lời cảm ơn

Lời đầu tiên, em xin chân thành cảm ơn lãnh đạo Trường Công nghệ thông

tin và truyền thông Trường Đại học Bách Khoa Hà Nội đã tạo điều kiện tốt nhất

cho quá trình học tập Nhờ sự quản lý chu đáo và tận tình của lãnh đạo viện đã tạo

môi trường tốt nhất cho em cùng các bạn học tập

Em xin chân thành cảm ơn thầy Phạm Huy Hoàng đã giúp đỡ và hướng dẫn

em trong suốt thời gian hoàn thành luận văn Nhờ sự chỉ dẫn của thầy, em đã có

định hướng được nội dung, luận điểm cũng như cách lập luận về vấn đề một cách

khoa học và chính xác Thầy đã có những góp ý tận tình giúp em hoàn thành tốt

bài luận văn này

Em cũng xin cảm ơn tới các bạn và các anh chị khóa trên đã chia sẻ ý kiến

và tài liệu tham khảo giúp em thực hiện tốt việc nghiên cứu đề tài luận văn Sự chỉ

dẫn và góp ý bổ sung của các bạn, anh chị đồng nghiệp đã giúp em hiểu thêm về

vấn đề, từ đó giúp việc nghiên cứu đạt hiệu quả tốt nhất

Em xin gửi lời chúc thành công và lời cảm ơn sâu sắc đến thầy cô và các bạn

Trang 5

Tóm tắt nội dung luận văn

Đề tài: Tìm hiểu lý thuyết, mô hình quản trị mạng và áp dụng thử nghiệm

tại Thông tấn xã Việt Nam

Tác giả luận văn: Đỗ Trung Đông Khóa 2019B

Người hướng dẫn: TS Phạm Huy Hoàng

Nội dung tóm tắt:

a) Lý do chọn đề tài:

- Được giao tìm hiểu và nâng cấp hệ thống mạng tại cơ quan Thông tấn xã

Việt Nam, xây dựng mô hình kết nối giữa trung tâm máy chủ tại Hà Nội và Hồ Chí

Minh

- Cùng với việc nghiên cứu nâng cấp hệ thống mạng cho công ty qua đó có

thể tích lũy được kiến thức và kinh nghiệm làm việc Áp dụng được vào các doanh

nghiệp vừa và nhỏ tại Việt Nam với một hệ thống mạng trong doanh nghiệp

b) Mục đích nghiên cứu của luận văn

- Mục đích chính là triển khai nâng cấp hệ thống dữ liệu chính tại Hà Nội và

bổ sung hệ thống dữ liệu dự phòng tại Hồ Chí Minh Đảm bảo cho nhân viên làm

việc hiệu quả nhất, khai thác được hết tài nguyên cần có Đảm bảo dữ liệu không

bị mất cắp

- Xây dựng được một hệ thống phòng tránh khi sự cố xảy ra

- Đồng bộ dữ liệu giữa các Site không gặp vấn đề

c) Đối tượng, phạm vi nghiên cứu

- Đối tượng hướng đến trong quá trình nghiên cứu là sao có thể xây dựng một

hệ thống mạng trong doanh nghiệp

- Đối tượng nghiên cứu và phạm vi cụ thể là xây dựng một hệ thống mạng

cho Thông tấn xã Việt Nam

d) Kết luận

Luận văn này tổng hợp các thông tin hiện trạng về mô hình mạng tại Trung tâm

kỹ thuật của Thông tấn xã Việt Nam (TTXVN) ở Thành phố Hà Nội Dựa vào

những nhu cầu thiết yếu, em đưa ra các đánh giá và khuyến nghị để TTXVN xem

xét và phục vụ thiết kế kết nối tối ưu lại toàn bộ về hệ thống mạng và bảo mật tại

Trung tâm kỹ thuật của Thông tấn xã Việt Nam tại Hà Nội và Hồ Chí Minh Cùng

với việc nghiên cứu nâng cấp hệ thống cho công ty qua đó có thể tích lũy được

kiến thức thực tế và kinh nghiệm làm việc

HỌC VIÊN

Ký và ghi rõ họ tên

Trang 6

M ỤC LỤC

1.1 Ki ến trúc mô hình mạng 3 lớp 4

1.1.1 Lớp truy nhập 4

1.1.2 Lớp phân phối 5

1.1.3 Lớp nhân 5

1.2 Các giao th ức công nghệ trong hệ thống mạng 6

1.2.1 EtherChannel 6

1.2.2 VCS 8

1.2.3 VPC 10

1.2.4 VRRP 11

1.2.5 Stackwise switch 14

1.3 Gi ải pháp kết nối giữa các Site 15

1.4 Giám sát an ninh 16

1.4.1 Hệ thống phát hiện và ngăn chặn xâm nhập 16

1.4.2 Giải pháp phòng chống DDoS 17

1.4.3 Quy hoạch, quản lý và quản trị 21

2.1 Sơ lược về hệ thống mạng của Thông tấn xã Việt Nam 22

2.2 Kh ảo sát hiện trạng 24

2.2.1 Sơ đồ kết nối Edge-Internet 24

2.2.2 Sơ đồ kết nối Edge-DMZ 25

2.2.3 Sơ đồ kết nối Edge-Hosting 26

2.2.4 Sơ đồ kết nối Edge-WAN 27

2.2.5 Kết nối Edge-Core 27

2.2.6 Kết nối Core 28

2.2.7 Kết nối Core Database 28

ết nối Core Server 29

Trang 7

2.2.9 Kết nối Core Distribute 29

2.2.10 Sơ đồ định tuyến động 32

2.3 Phân tích nh ững ưu và nhược điểm của hệ thống hiện tại 32

2.3.1 Ưu điểm 32

2.3.2 Nhược điểm 33

3.1 Nhu c ầu về hệ thống mạng của Thông tấn xã Việt Nam 35

3.2 L ựa chọn công nghệ và thiết kế mô hình hệ thống mạng 36

3.2.1 Phân chia vùng mạng chính cho hệ thống 36

3.2.2 Lựa chọn công nghệ kết nối mạng 37

3.2.3 Thiết kế đảm bảo tính dự phòng 38

3.2.4 Mô hình kết nối tổng quan module chức năng 39

3.2.5 Mô hình kết nối tổng quan module WAN và Internet In cho hai data center Hà Nội và HCM 41

3.2.6 Mô hình kết nối các luồng dữ liệu 42

3.3 Ki ến trúc mạng tại Hà Nội 43

3.3.1 Mô tả kết nối logic tại Hà Nội 43

3.3.2 Mô tả kết nối vùng DMZ 44

3.3.3 Mô tả kết nối Lan Campus Hà Nội 46

3.3.4 Mô tả kết nối WAN Hà Nội 47

3.3.5 Mô tả kết nối khối Internal Server Hà Nội (Database) 47

3.3.6 Mô tả kết nối tập trung mạng lõi Hà Nội 49

3.3.7 Mô tả khối quản trị tại Hà Nội 50

3.3.8 Luồng dữ liệu 51

3.4 Ki ến trúc mạng tại Hồ Chí Minh 51

3.4.1 Kết nối vùng DMZ khu vực HCM 53

3.4.2 Mô tả kết nối khối Internal Server HCM (Database) 54

3.4.3 Mô tả kết nối tập trung mạng lõi HCM 55

3.4.4 Luồng dữ liệu 55

3.5 Sơ đồ định tuyến 56

3.6 Tri ển khai các tính năng bảo mật 57

3.6.1 Triển khai các tính năng bảo mật đối với mạng người sử dụng 58

3.6.2 Triển khai tính năng bảo mật với vùng mạng trung tâm dữ liệu 59

Trang 8

4.1 K ết quả đạt được của mô hình thiết kế 62

4.2 Đánh giá hiệu năng của thiết kế mạng mới 63

4.3 Th ực hiện thử nghiệm tấn công 65

TÀI LI ỆU THAM KHẢO 73

Trang 10

DANH MỤC TỪ NGHỮ VIẾT TẮT

APS Availability Protection System – Giải pháp chống tấn công

DdoS tiêu chuẩn

AS Autonomous System – Hệ thống tự trị

DC Data Center – Trung tâm dữ liệu

DDOS Distributed Denial of Service - Tấn công từ chối dịch vụ

DR Disater Recovery – Hệ thống khôi phục sau thảm họa

FEX Fabric Extenders – Mở rộng Fabric

HSRP Hot Standby Router Protocol – Giao thức dự phòng định

tuyến chuẩn Cisco

IP Internet Protocol – Giao thức Internet

IPS Intrusion Prevention System – Hệ thống ngăn chặn xâm nhập

LACP Link Aggregation Control Protocol – Giao thức cấu hình

EtherChannel LAN Local Area Network – Mạng cục bộ

OSPF Open Shortest Path First - Giao thức định tuyến mạng

QOS Quality of Service – Chất lượng dịch vụ

STP Spanning Tree Protocol – Giao thức ngăn chặn sự lặp vòng

TTDL Trung tâm dữ liệu

TTXVN Thông tấn xã Việt Nam

VCS Vitual Cluster Switching – Chuyển đổi cụm ảo

VLAN Virtual Local Area Network – Mạng cục bộ ảo

VPC Vitual Port Channel – Công nghệ ảo hóa cổng

VRRP Virtual Router Redundancy Protocol – Giao thức dự phòng

định tuyến ảo WAN Wide Area Network – Mạng diện rộng

Trang 11

DANH M ỤC BẢNG BIỂU

Bảng 2.1 Bảng khảo sát số người sử dụng hệ thống mạng 23

Bảng 2.2 Bảng khảo sát số nút mạng cho trung tâm dữ liệu 24

Bảng 3.1 Bảng xác định đối tượng phục vụ kết nối 36

Bảng 3.2 Bảng triển khai tính năng bảo mật vùng người dùng 59

Bảng 3.3 Bảng triển khai tính năng bảo mật vùng máy chủ 61

Bảng 4.1 Bảng đánh giá kết quả đạt được 63

Bảng 4.2 Bảng địa chỉ thiết bị thực hiện thử nghiệm 65

Trang 12

DANH M ỤC HÌNH VẼ

Trang 14

ĐẶT VẤN ĐỀ

1 T ổng quan

Hiện nay, việc ứng dụng công nghệ thông tin (CNTT) là xu thế và là yếu tố

tất yếu để phát triển ngành Việc ứng dụng CNTT đã được lãnh đạo Đảng và Nhà

nước nói chung, lãnh đạo Thông tấn xã nói riêng quan tâm đưa vào ứng dụng thực

tế trong toàn ngành đem lại những hiệu quả thiết thực trong việc quản lý, điều

hành Tuy nhiên phát triển CNTT như thế nào cho hiệu quả và khả thi phù hợp với

điều kiện đặc thù của Thông tấn xã là một câu hỏi lớn Để đáp ứng vấn đề đó,

Thông tấn xã Việt Nam đã thực hiện khảo sát, phân tích và đưa ra giải pháp xây

dựng dự án với lộ trình triển khai phù hợp và hiệu quả trong kế hoạch ứng dụng

CNTT trong toàn ngành

2 Đánh giá hiện trạng và sự cần thiết đầu tư

2.1 Đánh giá hiện trạng hạ tầng CNTT

Hệ thống phục vụ công việc của ngành được trang bị ở khu vực tổng xã và

hệ thống đặt dự phòng tại 2 nhà mạng VNPT và Viettel sử dụng công nghệ cũ, lạc

hậu Hệ thống này mặc dù hoạt động tương đối ổn định nhưng còn một số lỗi phát

sinh trong quá trình vận hành, không đáp ứng yêu cầu mở rộng và chưa đáp ứng

toàn diện các yêu cầu trong công tác quản lý, điều hành mạng lưới của ngành

Hiện trạng hiện tại của hạng mục kênh truyền LAN, WAN và hệ thống lưu

trữ xử lý có những bất cập như sau:

- Đã có kết nối WAN nhưng chưa tận dụng được hết khả năng của kênh

truyền để phục vụ quá trình phục hồi dữ liệu, thiên tai xảy ra

- Mạng LAN đã đảm bảo khả năng dự phòng, mạng phân lớp, nhưng đang

phải xử lý chung với hệ thống lưu trữ

- Chưa đảm bảo an toàn thông tin, cần bổ sung thiết bị chuyên dụng nhằm

tránh những cuộc tấn công xảy ra và đảm bảo hệ thống hoạt động ổn định

2.2 S ự cần thiết phải đầu tư

Công tác ứng dụng CNTT vào các hoạt động hỗ trợ các đơn vị, các cán bộ

chuyên môn của Thông tấn xã đã đem lại hiệu quả thiết thực Các ứng dụng CNTT

đã đáp ứng cơ bản các yêu cầu của cán bộ chuyên môn, tuy nhiên với sự phát triển

của CNTT hiện nay, việc ứng dụng CNTT nhằm hỗ trợ công tác chuyên môn của

Trang 15

cán bộ Thông tấn xã nói chung, các cơ quan, đơn vị nghiệp vụ nói riêng đòi hỏi

cao hơn để phục vụ tốt hơn trong công tác của đơn vị, cán bộ chuyên môn là hết

sức cần thiết

Để đáp ứng được điều đó, trong thời gian tới, Thông tấn xã Việt nam sẽ

thực hiện quy hoạch lại hệ thống thông tin quản lý tổng thể, thực hiện nâng cấp,

đầu tư xây dựng hệ thống nền tảng tạo môi trường phát triển đồng nhất, chuẩn hóa

cho các hệ thống giao dịch nghiệp vụ, xây dựng và phát triển các hệ thống mới đáp

ứng yêu cầu nghiệp vụ như: Xây dựng hệ thống Cổng thông tin điện tử, hệ thống

quản lý, bảo mật thông tin, … Đồng thời tích hợp thông tin từ các hệ thống ứng

dụng hiện có của Thông tấn xã để tạo ra hệ thống quản lý giúp lãnh đạo ra quyết

định điều hành và quản lý một cách kịp thời, nhanh chóng

3 M ục tiêu cụ thể

- M ục tiêu: Tìm hiểu lý thuyết, mô hình quản trị mạng và áp dụng thử

nghiệm tại Thông tấn xã Việt Nam

- Ph ạm vi:

+ Tìm hiểu thiết kế mô hình mạng doanh nghiệp

+ Thực hiện thiết kế mô hình mạng Thông tấn xã Việt Nam

4 N ội dung thực hiện

- Thiết kế mô hình mạng phù hợp với nhu cầu phát triển của Thông tấn xã

và phù hợp với công nghệ mạng hiện tại Ngoài ra, hệ thống được thiết kế cần có

tính linh hoạt và tính sẵn sàng cao

- Lựa chọn mô hình mạng doanh nghiệp để thực hiện thiết kế mạng an

toàn tại Thông tấn xã Việt Nam

5 B ố cục của luận văn

Nội dung của luận văn gồm các mục chính như sau:

Chương 1: Tìm hiểu lý thuyết

Chương này giới thiệu các công nghệ được áp dụng và trong thiết kế hệ thống

mạng cho doanh nghiệp

Chương 2: Phân tích hệ thống mạng Thông tấn xã Việt Nam

Chương này trình bày mô hình hiện tại, ưu và nhược điểm của hệ thống

Chương 3: Triển khai giải pháp hệ thống mạng mới cho Thông tấn xã Việt

Nam

Trang 16

Chương này trình bày việc triển khai thiết kế mạng cho doanh nghiệp với mô

hình cụ thể, chỉ ra những ưu điểm của mô hình thiết kế mới

Chương 4: Đánh giá hiệu năng của thiết kế mới

Chương này nêu ra những kết quả đạt được của mô hình và thử nghiệm một

số kiểu tấn công

Trang 17

TÌM HI ỂU LÝ THUYẾT 1.1 Ki ến trúc mô hình mạng 3 lớp

Cisco đề xuất một mô hình mạng phân cấp gồm 3 lớp truy nhập, phân phối,

nhân cho mạng doanh nghiệp Mô hình này đơn giản hóa việc xây dựng một hệ

thống mạng, đảm bảo các tiêu chí về độ tin cậy, khả năng mở rộng, dễ bảo trì, quản

lý và tiết kiệm chi phí Ý tưởng của mô hình là tập trung vào việc nhóm các thiết

bị thành các khối chức năng gọi là các lớp của toàn bộ hệ thống mạng Tùy thuộc

thiết bị thuộc khối nào mà nó đảm nhiệm các chức năng phù hợp

1.1.1 L ớp truy nhập

Lớp truy nhập là nơi các thiết bị đầu cuối (máy tính, máy in, …) kết nối vào

mạng, ngoài ra có thể mở rộng mạng thông qua các thiết bị như thiết bị chuyển

mạch Các thiết bị trong lớp này thường được gọi là các thiết bị truy cập và có đặc

điểm sau:

- Chi phí trên mỗi cổng của thiết bị thấp

- Mật độ cổng cao

- Mở rộng các đường lên đến các lớp cao hơn

- Chức năng truy cập của người dùng như là thành viên mạng cục bộ ảo, lọc

lưu lượng và giao thức, và chất lượng dịch vụ

Lớp truy cập là lớp phòng thủ đầu tiên của hệ thống mạng giữa thiết bị đầu

cuối và cơ sở hạ tầng mạng Trên lớp truy cập có thể thực hiện một số chức năng

bảo mật, chính sách an ninh giữa các vùng tin tưởng khác nhau

Mỗi phòng ban sẽ được quản lý theo VLAN đến từng điểm mạng kết nối

VLAN là cụm từ viết tắt của virtual local area network (hay virtual LAN) hay còn

được gọi là mạng cục bộ ảo VLAN là một kỹ thuật cho phép tạo lập các mạng

LAN độc lập một cách hợp lý trên cùng một kiến trúc hạ tầng vật lý Việc tạo lập

nhiều mạng LAN ảo trong cùng một mạng cục bộ giúp giảm thiểu vùng quảng bá

cũng như tạo thuận lợi cho việc quản lý một mạng cục bộ rộng lớn VLAN dựa

trên cổng: Mỗi cổng được gắn với một VLAN xác định Do đó mỗi máy tính hoặc

thiết bị máy chủ kết nối với một cổng của thiết bị chuyển mạch đều thuộc một

VLAN nào đó

Trang 18

L ợi ích của VLAN

- Tiết kiệm băng thông của hệ thống mạng: VLAN chia mạng LAN thành

nhiều đoạn nhỏ, mỗi đoạn đó là một vùng quảng bá Khi có gói tin quảng bá, nó sẽ

được truyền duy nhất trong VLAN tương ứng Do đó việc chia VLAN giúp tiết

kiệm băng thông của hệ thống mạng

- Tăng khả năng bảo mật: Do các thiết bị ở các VLAN khác nhau không thể

truy nhập vào nhau (trừ khi ta sử dụng thiết bị định tuyến nối giữa các VLAN)

Người quản trị cấu hình danh sách truy cập để cho phép VLAN nào được quyền

truy nhập vào VLAN nào

- Dễ dàng thêm hay bớt máy tính vào VLAN: Việc thêm một máy tính vào

VLAN rất đơn giản, chỉ cần cấu hình cổng cho máy đó vào VLAN mong muốn

1.1.2 L ớp phân phối

Lớp phân phối chủ yếu cung cấp kết nối bên trong giữa lớp truy cập và lớp

nhân của mạng cục bộ Ngoài ra nó còn có những chính sách về lưu lượng từ lớp

truy cập tới lớp phân phối Đây cũng là nơi quan trọng trong việc định tuyến, nó

là nơi thực hiện các chính sách điều khiển, cách ly các lớp phân phối với phần còn

lại của mạng Tại đây có thể dùng các giao thức như OSPF, EIGRP để điều khiển

luồng dữ liệu trong khối truy cập – phân phối với phần còn lại của mạng

Thiết bị lớp này được gọi là các thiết bị chuyển mạch phân phối và có đặc

điểm như sau:

- Thông lượng lớp ba cao đối với việc xử lý gói

- Chức năng bảo mật và kết nối dựa trên chính sách thông qua danh sách

truy cập hoặc lọc gói

- Tính năng QoS

- Tính co giãn và các liên kết tốc độ cao đến lớp nhân và lớp truy cập

1.1.3 L ớp nhân

Lớp nhân của mạng cục bộ cung cấp các kết nối của tất cả các thiết bị, các

lớp Lớp nhân thường xuất hiện ở phần xương sống của mạng, thông lượng qua nó

rất lớn do đó phải có khả năng chuyển mạch nhanh chóng và hiệu quả Do đó

không nên để các chính sách phức tạp cũng như không có bất cứ người dùng hoặc

máy chủ nào kết nối trực tiếp đến lớp nhân Ở lớp này cần có các thiết bị dự phòng

Trang 19

nhằm đảm bảo hệ thống hoạt động xuyên suốt và đạt hiệu năng cao nhất Lớp nhân

cung cấp khả năng mở rộng và giảm thiểu rủi ro từ việc di chuyển, thêm và thay

đổi hệ thống mạng

Các thiết bị lớp nhân thường được gọi là thiết bị chuyển mạch xương sống

của mạng và có những thuộc tính sau:

- Thông lượng ở lớp 2 hoặc lớp 3 rất cao

- Chi phí cao

- Có khả năng dự phòng và tính co giãn cao

- Chức năng QoS

L ợi ích của mô hình phân cấp gồm:

- Hiệu suất cao: Dễ dàng thiết kế một hệ thống mạng với tốc độ cao bởi mỗi

lớp sẽ chỉ thực hiện một chức năng nhất định, giảm thiểu tắc nghẽn

- Tăng khả năng quản lý và khắc phục lỗi khi có sự cố xảy ra: Mô hình phân

cấp cũng giúp việc quản lý và xử lý lỗi trở nên dễ dàng Ví dụ trong tình huống

gặp vấn đề về chính sách chỉ cần kiểm tra lại phân đoạn phân phối mà không cần

phải kiểm tra các phần khác

- Dễ dàng trong việc quản lý các chính sách vì các chính sách chỉ đặt tại lớp

phân phối

- Khả năng mở rộng cao: Việc phân nhỏ tạo ra các vùng tự trị khiến cho

việc mở rộng trở nên dễ dàng khi có yêu cầu cao hơn

- Dự đoán hành vi: Khi quản trị hoặc lên kế hoạch xây dựng một mạng

1.2 Các giao th ức công nghệ trong hệ thống mạng

1.2.1 EtherChannel

Hình 1.1 Mô hình EtherChannel

EtherChannel là một kỹ thuật nhóm hai hay nhiều đường kết nối truyền tải

dữ liệu vật lý thành một đường ảo duy nhất có cổng ảo thậm chí cả MAC ảo nhằm

mục đích tăng tốc độ truyền dữ liệu và tăng khả năng dự phòng cho hệ thống

Trang 20

Công nghệ EtherChannel có thể bó từ 2 đến 8 liên kết FE, GE, 10GE thành

một liên kết logic Khi đó, thiết bị chuyển mạch quản lý các cổng thuộc

EtherChannel như một cổng duy nhất

Thiết bị chuyển mạch hoặc thiết bị ở 2 đầu EtherChannel phải hiểu và sử

dụng công nghệ EtherChannel để đảm bảo hoạt động đúng và chống vòng lặp Nếu

chỉ có một đầu sử dụng EtherChannel, còn đầu bên kia không sử dụng thì có thể

gây ra vòng lặp

Lưu lượng không phải lúc nào cũng được phân bố đồng đều qua các đường

liên kết thuộc EtherChannel, nó phụ thuộc vào phương pháp cân bằng tải mà thiết

bị chuyển mạch sử dụng và mẫu lưu lượng dữ liệu trong mạng

Nếu một trong các liên kết thuộc EtherChannel bị ngắt thì lưu lượng dữ liệu

sẽ tự động được chuyển sang liên kết khác chỉ trong vòng vài mili giây Khi liên

kết mở trở lại thì lưu lượng được phân bố lại như cũ

Điều kiện cấu hình EtherChannel

- Các thiết bị chuyển mạch phải đều phải hỗ trợ kỹ thuật EtherChannel và

phải được cấu hình EtherChannel đồng nhất giữa các cổng kết nối với nhau

- Các cổng kết nối EtherChannel giữa hai thiết bị chuyển mạch phải tương

đồng với nhau:

+ Cấu hình

+ Tốc độ

+ Băng thông

Phân phối luồng dữ liệu trong EtherChannel

- Thiết bị chuyển mạch lựa chọn đường liên kết nào trong EtherChannel để

chuyển tiếp khung dựa vào kết quả của thuật toán hàm băm Thuật toán có thể sử

dụng nguồn địa chỉ, đích địa chỉ (hoặc cả hai), nguồn MAC, đích MAC (hoặc cả

hai), TCP/UDP số cổng Thuật toán hàm băm sẽ cho ra một chuỗi số nhị phân (0

& 1)

- Nếu chỉ có nguồn hoặc đích được hàm băm (địa chỉ, MAC, số cổng) thì

thiết bị chuyển mạch sẽ sử dụng một hoặc nhiều bit bậc thấp của giá trị hàm băm

để làm số mũ lựa chọn liên kết trong EtherChannel Nếu cả nguồn và đích được,

Trang 21

thiết bị chuyển mạch sẽ thực hiện phép toán exclusive-OR (XOR) trên một hoặc

nhiều bit bậc thấp để làm số mũ

Phân loại EtherChannel

Có 2 loại giao thức EtherChannel:

- LACP (Link Aggregation Control Protocol)

+ Là giao thức cấu hình EtherChannel chuẩn quốc tế IEEE 802.3ad và

có thể dùng được cho hầu hết các thiết bị thuộc các hãng khác nhau, LACP hỗ trợ

ghép tối đa 16 liên kết vật lý thành một liên kết luận lý (8 cổng chính – 8 cổng dự

phòng)

+ LACP có 3 chế độ:

o On: Chế độ cấu hình EtherChannel tĩnh, chế độ này thường không được dùng vì các thiết bị chuyển mạch cấu hình EtherChannel có thể hoạt động

được và cũng có thể không hoạt động được vì các thiết bị chuyển mạch được cấu

hình bằng tay phục thuộc vào con người nên hoàn toàn không có bước thương

lượng trao đổi chính sách giừa bên dẫn đến khả năng vòng lặp cao và bị giao thức

chống vòng lặp khóa

o Active: Chế độ tự động – Tự động thương lượng với đối tác

o Passive: Chế độ bị động – Chờ được thương lượng

- PagP (Port Aggregation Protocol)

+ Là giao thức cấu hình EtherChannel độc quyền của các thiết bị hãng

Cisco và chỉ hỗ trợ ghép tối đa 8 liên kết vật lý thành một liên kết luận lý

+ PAgP cũng có 3 chế độ tương tự LACP:

o On

o Active

o Passive

1.2.2 VCS

Công nghệ VCS Fabric là một công nghệ Ethernet Fabric mang tính cách

mạng, bao gồm các dịch vụ lớp 2 và lớp 3 độc đáo giúp cải thiện việc sử dụng

mạng, tăng tính khả dụng, nâng cao khả năng mở rộng hệ thống và đơn giản hóa

đáng kể kiến trúc mạng trung tâm dữ liệu Công nghệ VCS Fabric triển khai một

loại mạng mới, VCS Fabric sử dụng một kiến trúc có thể mở rộng để thêm các dịch

vụ và khả năng mới VCS Fabric cung cấp một mạng kết nối linh hoạt giữa các

Trang 22

thiết bị chuyển mạch riêng lẻ được gọi là “Fabric” Các thiết bị chuyển mạch hình

thành một kết cấu Fabric, tạo ra một cụm ảo hóa của các thiết bị chuyển mạch vật

lí như được thấy bởi các thiết bị chuyển mạch Ethernet cổ điển bên ngoài hoặc các

thiết bị khác

Hình 1.2 C ụm ảo hóa thiết bị chuyển mạch tạo thành một miền Fabric

Kiến trúc VCS cho phép người vận hành định nghĩa các cổng như cổng biên

hoặc cổng fabric Cổng kết nối giữa các thiết bị chuyển mạch trong miền fabric

gọi là cổng fabric và những cổng này là trong suốt Các thiết bị chuyển mạch cũ

bên ngoài miền fabric được kết nối đến cổng biên Do đó các thiết bị hình thành

miền fabric, về logic hoạt động như là một thiết bị chuyển mạch duy nhất khi nhìn

từ các thiết bị bên ngoài

Bởi vì công nghệ VCS Fabric xóa bỏ sự cần thiết của giao thức chống vòng

lặp nhưng vẫn tương thích với các thiết bị chuyển mạch Ethernet cũ hỗ trợ giao

thức chống vòng lặp Toàn bộ miền Fabric là trong suốt với bất kì khung Bridge

Protocol Data Unit (BPDU) và hoạt động như một dịch vụ LAN trong suốt từ quan

điểm của giao thức chống vòng lặp Phát hiện vòng lặp và hình thành đường dẫn

hoạt động được quản lý bằng cây khung trong các thiết bị chuyển mạch Ethernet

truyền thống VCS Fabric không có liên quan, vì nó trong suốt với các gói BPDU

Kiến trúc VCS có thể được cấu hình để tất cả các BPDU có thể được vận chuyển

qua miền Fabric hoặc ngăn cản chúng được vận chuyển qua miền Fabric

Cổng biên hỗ trợ chuẩn công nghiệp Link Aggregation Groups (LAGs) thông

qua Link Aggregation Control Protocol (LACP) Các thiết bị chuyển mạch

Trang 23

Ethernet truyền thống có thể dùng LAG để loại bỏ giao thức chống vòng lặp trên

các liên kết giữa thiết bị chuyển mạch khi kết nối đến một miền VCS Fabric

1.2.3 VPC

vPC là viết tắt của virtual Port Channel, là một công nghệ ảo hóa, được ra

mắt vào năm 2009, cho phép các liên kết vật lý trên hai thiết bị Cisco Nexus 3000

5000 7000 hoặc 9000 khác nhau có thể được gom lại thành 1 cổng logic để kết nối

tới các thiết bị cuối Thiết bị cuối có thể là một thiết bị chuyển mạch, máy chủ, bộ

định tuyến hoặc bất kỳ thiết bị nào khác như tường lửa hoặc bộ cân bằng tải hỗ trợ

công nghệ link aggregation LACP (EtherChannel)

vPC

Thành phần kiến trúc vPC

- vPC Peer: Mô hình virtual Port Channel bao gồm 2 thiết bị chuyển mạch

Cisco Nexus trong một cặp, một thiết bị hoạt động ở chế độ chính và một thiết bị

dự phòng cho phép các thiết bị khác kết nối tới hai thiết bị chuyển mạch này bằng

Multi-Channel Ethernet (MEC) Hai thiết bị này được gọi là vPC Peer và được kết

nối với nhau thông qua vPC Peer Link

- vPC Peer link: vPC peer-link là thành phần kết nối quan trọng nhất trong

thiết lập virtual Port Channel vPC peer-link được sử dụng để đồng bộ hóa trạng

Trang 24

thái giữa 2 thiết bị vPC thông qua các gói điều khiển vPC để tạo ra một mặt phẳng

điều khiển duy nhất Trong trường hợp thiết bị vPC cũng là thiết bị chuyển mạch

lớp 3, vPC peer-link mang các gói Hot Standby Router Protocol (HSRP)

- vPC Peer Keepalive Link: vPC Peer Keepalive Link là đường liên kết lớp

3 được sử dụng để xác định các thiết bị trong cụm vPC và các đường vPC Peer

Link có hoạt động hay không Không có dữ liệu hay các gói tin đồng bộ đi qua

vPC Peer Keepalive Link, chỉ có các gói tin IP/UDP sử dụng port 3200 để theo dõi

thiết bị chuyển mạch và các liên kết ngang hàng trong cụm vPC Thời gian mặc

định của các gói tin này là 1giây và timeout là 5 giây

- vPC Domain: vPC domain là thông số để xác định các thiết bị chuyển mạch

Cisco Nexus nào đang chung một miền vPC Các thiết bị chuyển mạch Nexus

trong một cụm vPC phải chung vPC Domain

1.2.4 VRRP

VRRP (Virtual Router Redundancy Protocol) là giao thức được mô tả trong

RFC3768, nó cho phép sử dụng chung một địa chỉ IP gateway cho một nhóm thiết

bị định tuyến Nếu thiết bị định tuyến chính ngừng hoạt động, ngay lập tức các con

thiết bị định tuyến khác sẽ biết và với một số các nguyên tắc bầu chọn do VRRP

quy định, các con còn lại sẽ chọn ra một con chính khác nắm giữ địa chỉ IP gateway

đã được cấu hình từ trước, và lưu lượng từ người dùng sẽ đi qua con gateway mới

này Đảm bảo dịch vụ của người sử dụng thông suốt, không bị gián đoạn Trong

đó:

- VRRP Router: Thiết bị định tuyến sử dụng VRRP Có thể có một hay nhiều

VRRP thiết bị định tuyến đồng thời

- VRRP-ID: Định danh cho các thiết bị định tuyến thuộc cùng 1 nhóm VRRP

Một thiết bị định tuyến có thể tham gia nhiều nhóm VRRP (các nhóm hoạt động

động lập nhau), và VRRP-ID là tên gọi của từng nhóm

- Primary IP: Địa chỉ thực của giao diện bộ định tuyến tham gia vào VRRP

Các gói tin trao đổi giữa các VRRP Router sử dụng địa chỉ thực này

- VRRP IP: Địa chỉ ảo của nhóm VRRP đó Các gói tin trao đổi, làm việc với

máy chủ đều sử dụng địa chỉ ảo này

Trang 25

- Virtual MAC: Địa chỉ MAC ảo đi kèm với địa chỉ ảo ở trên Định dạng của

MAC ảo là 00-00-5E-00-02-XX (Với XX là VRID dưới dạng hexa) Các trao đổi

về ARP với máy chủ đều sử dụng MAC ảo này

- Virtual Router Master: Là một VRRP Router, gắn với 1 nhóm VRRP-ID cụ

thể, và được bầu là chủ của nhóm đó Thiết bị định tuyến này có nhiệm vụ nhận và

xử lý các gói tin từ máy chủ đi lên

- Virtual Router Backup: Là một VRRP Router, gắn với 1 nhóm VRRP-ID

cụ thể, và đóng vai trò dự phòng cho con chính ở trên Nếu con chính không hoạt

động, những con phụ này sẽ dựa vào 1 cơ chế bầu chọn và nhảy lên làm chính

- Preempt Mode: Chế độ này được cấu hình trên mỗi VRRP Router Khi được

cấu hình là đúng, VRRP Router được quyền tham gia bầu chọn con chính Ngược

lại, khi Preempt = Fails, VRRP sẽ không tham gia làm con chính cho dù quyền ưu

tiên là cao nhất

Các thông số thời gian cho VRRP

- Advertisement Interval (s): Chu kỳ gửi gói tin quảng bá tới bộ định tuyến

thông số thời gian quảng bá sẽ được kích hoạt mỗi khi thiết bị định tuyến gửi/nhận

một bản tin quảng bá

- Skew time (s): Sử dụng để tính toán khoảng thời gian thiết bị chính theo

quyền ưu tiên

Skew_time = ((256 – priority) / 256)

- Master Down Interval (s): Khoảng thời gian để thiết bị định tuyến phụ nhận

ra thiết bị định tuyến chính gặp sự cố Cụ thể là cứ ba lần không nhận được bản tin

quảng bá, thiết bị định tuyến phụ sẽ kích hoạt Skew Timer Skew timer chạy hết

mà vẫn không nhận được quảng bá, nó sẽ coi thiết bị chính bị mất kết nối và bắt

đầu quá trình bầu chọn lại thiết bị chính

Master_down_interval = 3 * Advertisement_interval + Skew_time

Các trạng thái của một VRRP Router

RFC3768 mô tả 3 trạng thái của VRRP Router: Initialize, Master và Backup

- Initialize: Thiết bị định tuyến đã được cấu hình VRRP nhưng chưa bật chức

năng này lên Do đó, thiết bị định tuyến không có khả năng xử lý các gói tin VRRP

Khi người quản trị tạo một sự kiện bắt đầu (dựa vào câu lệnh enable), VRRP sẽ

chuyển sang trạng thái dự phòng

Trang 26

- Backup: Khi ở trạng thái này, VRRP Router có nhiệm vụ chính là giám sát

hoạt động của thiết bị định tuyến chính để phát hiện khi nào con chính này gặp sự

cố Nếu gặp sự cố, dựa vào quá trình hoạt động của VRRP, nếu đủ điều kiện thiết

bị định tuyến phụ này sẽ nhảy lên làm thiết bị định tuyến chính Khi ở trạng thái

dự phòng, thiết bị định tuyến sẽ chỉ nhận các gói tin quảng bá từ thiết bị định tuyến

chính chứ không tham gia vào việc làm gateway trung chuyển gói tin từ các máy

chủ gửi đến VRRP

- Master: Khi thiết bị định tuyến ở trạng thái này, nó sẽ định kỳ gửi các gói

tin quảng bá theo chu kỳ của thời gian quảng bá Thiết bị định tuyến chính sẽ đóng

vài trò là một con thiết bị định tuyến với MAC là virtual-MAC, địa chỉ là địa chỉ

ảo Mọi gói tin gửi đến địa chỉ MAC ảo hay địa chỉ ảo đều được con thiết bị định

tuyến chính này xử lý

Mô tả hoạt động của VRRP

Các VRRP Router trong cùng một nhóm VRRP tiến hành bầu chọn thiết bị

chính sử dụng giá trị quyền ưu tiên đã cấu hình cho thiết bị chuyển mạch đó Quyền

ưu tiên có giá trị từ 0 đến 255 Nguyên tắc có bản: Quyền ưu tiên cao nhất thì nó

là chính, nếu quyền ưu tiên bằng nhau thì địa chỉ cao hơn là thiết bị chính

Nếu VRRP Router được cấu hình địa chỉ ảo bằng địa chỉ chính, nó sẽ có

quyền ưu tiên bằng 255 và trở thành thiết bị chính luôn Và tất nhiên, nếu VRRP

Router được cấu hình quyền ưu tiên bằng 255 thì mặc nhiên nó sẽ sử dụng địa chỉ

chính làm địa chỉ ảo

Sau khi lên làm thiết bị chính, các bộ định tuyến bắt đầu nhận bản tin quảng

bá từ thiết bị định tuyến khác thuộc cùng nhóm VRRP cũng như gửi cho các thiết

bị định tuyến khác bản tin quảng bá chưa các tham số VRRP của nó Thiết bị định

tuyến sẽ so sánh quyền ưu tiên của mình với quyền ưu tiên nhận được từ bản tin

quảng bá, nếu cao hơn và thiết bị định tuyến đang được cấu hình chế độ Preempt

= True, nó sẽ giữ nguyên trạng thái thiết bị chính Nếu không đạt đủ các điều kiện

trên, nó sẽ nhảy xuống làm thiết bị dự phòng

Trong trường hợp quyền ưu tiên bằng nhau, nó sẽ so sánh địa chỉ của cổng

được cấu hình VRRP với nguồn địa chỉ của gói tin quảng bá, nếu cao hơn thì giữ

nguyên trạng thái thiết bị chính, thấp hơn thì xuống làm thiết bị dự phòng

Trang 27

Sau khi bầu chọn xong thiết bị chính, thiết bị nào là thiết bị định tuyến chính

sẽ gửi trả lời bản tin yêu cầu ARP cho máy chủ sử dụng MAC ảo

Thiết bị định tuyến chính định kỳ gửi các bản tin quảng bá cho tất cả thiết

bị định tuyến dự phòng để thông báo về trạng thái hoạt động của mình Thiết bị dự

phòng dựa vào các bộ thời gian của mình để xác định thiết bị chính có gặp sự cố

hay không Nếu có sự cố, các thiết bị định tuyến VRRP còn lại trong nhóm VRRP

sẽ tiến hành bầu chọn lại VRRP thiết bị định tuyến chính theo thứ tự như trên

Theo quy định của chuẩn, mặc định các thiết bị định tuyến chính sẽ không

xử lý các gói tin gửi đến địa chỉ ảo (ngoại trừ gói tin ARP) nếu địa chỉ này khác

với địa chỉ cổng vật lý của thiết bị định tuyến Vì vậy, trong trường hợp này, chúng

ta sẽ không thể thực hiện ping, telnet, ssh đến địa chỉ ảo

Nếu thiết bị chính không hoạt động (gọi là thiết bị định tuyến A), xong thiết

bị định tuyến dự phòng khác lên thay (gọi là thiết bị đinh tuyến B), xong thiết bị

định tuyến A hoạt động lại…Nếu thiết bị định tuyến A có địa chỉ chính bằng địa

chỉ vật lý, hoặc được cấu hình bật chế độ preempt dẫn tới nó sẽ được khôi phục

làm thiết bị chính Nếu không, nó sẽ giữ ở trạng thái dự phòng và khôi phục lại

quyền ưu tiên cũ

1.2.5 Stackwise switch

Là một công nghệ cho phép gom nhiều thiết bị chuyển mạch lại với nhau,

cho phép quản lý một nhóm thiết bị chuyển mạch giống như một thiết bị chuyển

mạch Đây là công nghệ cho phép chuyển đổi dự phòng giữa các thiết bị chuyển

mạch mà không có thời gian ngắt quãng

Hình 1.3 Mô hình đấu nối Stack

M ột số lợi ích:

- Quản lý tập trung

- Mở rộng: thêm một thiết bị chuyển mạch vào stack đơn giản

Trang 28

- Tính khả dụng cao cho mỗi thành viên trong stack Với nguyên tắc đi dây

để kết nối các thành viên trong stack như hình trên, bất kỳ một switch nào trong

stack ngắt thì cũng không ảnh hưởng toàn bộ stack Thậm chí nhiều hơn một thành

viên mất kết nối cũng vậy

- Đơn giản Trước khi có công nghệ stacking, việc đảm bảo chuyển đổi dự

phòng cho thiết bị chuyển rất phức tạp, người ta phải thiết lập EtherChannel giữa

các thiết bị chuyển mạch rồi nhân bản cấu hình trên cả hai con Mô hình chuyển

đổi dự phòng dùng nhóm cổng càng mở rộng thì càng phức tạp Còn với Stack thì

chúng có thể tăng thêm thành viên trong stack mà vẫn không làm mất đi tính đơn

giản của mô hình

- Không lo bị vòng lặp: bằng cách ảo hóa khiến một nhóm thiết bị chuyển

mạch được quản lý như một thiết bị chuyển mạch đơn lẻ nên dù không cần giao

thức chống vòng lặp thì vẫn không có vòng lặp xảy ra

Nhược điểm:

- Dây nối giữa các thiết bị chuyển mạch trong stack là dây chuyên dụng

- Bị giới hạn về khoảng cách: các thiết bị chuyển mạch trong cùng stack phải

đặt gần nhau

- Chi phí cao

- Số thành viên trong stack tối đa là 9

1.3 Gi ải pháp kết nối giữa các Site

TTXVN sử dụng dịch vụ leased line truyền số liệu liên tỉnh của nhà mạng,

sử dụng công nghệ chuyển mạch nhãn đa giao thức cung cấp kết nối từ trung tâm

dữ liệu chính đến trung tâm dữ liệu dự phòng đảm bảo độ ổn định, tốc độ cao cho

các ứng dụng mạng nội bộ, thoại, dữ liệu, Video và các ứng dụng khác trên nền

địa chỉ Với những lợi thế:

- An toàn và bảo mật: Leased Line cáp quang có ý nghĩa là một kênh vật lý

được thiết lập riêng cho từng khách hàng Với đặc tính ưu việt của cáp quang là

khả năng không bị ảnh hưởng của nhiễu điện từ, khả năng chịu được các tác động

cơ học, các điều kiện khắc nghiệt của môi trường Tín hiệu truyền trên kênh cáp

quang là tín hiệu quang có độ an toàn và bảo mật của kênh truyền là tuyệt đối

Trang 29

- Tính ổn định: Hạ tầng truyền dẫn sử dụng cáp quang đơn mode, tuân thủ

theo các tiêu chuẩn Viễn thông

- Tốc độ truyền dẫn: Dịch vụ truyền số liệu chạy trên hạ tầng truyền dẫn cáp

quang có tốc độ cao và luôn đảm bảo 100% băng thông cho khách hàng thuê

- Tính linh hoạt: Dễ dàng nâng cấp tốc độ, thời gian nâng cấp nhanh chóng,

đáp ứng mọi yêu cầu đột xuất của khách hàng

- Các dịch vụ giá trị gia tăng: Ngoài khả năng đảm bảo truyền số liệu còn có

khả năng chạy các ứng dụng thời gian thực đòi hỏi băng thông ổn định, chất lượng

đường truyền

Giải pháp cân bằng tải sử dụng giải pháp riverbed mang lại nhiều sức mạnh,

tối ưu hóa băng thông, tăng tốc ứng dụng, dễ dàng triển khai và giao diện quản trị

thân thiện hỗ trợ quản trị qua giao diện web Các lợi thế của giải pháp Riverbed:

- Đứng đầu bảng đánh giá trong mảng tối ưu hóa mạng WAN

- Mô hình triển khai đa dạng: theo luồng dữ liệu, thiết bị được triển khai đứng

giữa trước khi kết nối tới thiết bị định tuyến là mô hình tốt nhất đảm bảo hiệu năng

tối đa của giải pháp

- Quality of Service: Bên cạnh việc tăng tốc ứng dụng và tối ưu hóa băng

thông Riverbed còn cung cấp tính năng QoS ở lớp 7 nhằm ưu tiên các dữ liệu quan

trọng truyền qua mạng WAN, tăng hiệu quả ứng dụng và đáp ứng yêu cầu về tốc

độ phản hồi của ứng dụng

- Tăng tốc trung tâm dữ liệu chính và dữ liệu dự phòng: Steelheas có một tiêu

chuẩn dành riêng cho việc tối ưu hóa cho các dạng khác nhau của các giải pháp

sao lưu bộ nhớ và sao lưu phần mềm với việc giảm thiểu các dữ liệu trùng lặp với

tỉ lệ cao nhất để giảm tối đa các yêu cầu về băng thông và thời gian xử lý của hệ

thống cũng như giảm tải cho các giải pháp lưu trữ

- Benefit Reporting: Các báo cáo chi tiết giúp xác định được những cải thiện

trong việc tối ưu hóa mạng WAN

1.4 Giám sát an ninh

1.4.1 H ệ thống phát hiện và ngăn chặn xâm nhập

Các hệ thống phát hiện xâm phạm (IDS) và hệ thống ngăn chặn xâm nhập (IPS)

sử dụng DPI để xác định các cuộc tấn công mạng, thường là từ một thư viên dấu

hiệu của các cuộc tấn công đã biết Chúng yêu cầu truy cập và đường truyền mạng

Trang 30

có thể thu được bằng cách đặt thiết bị IDS/ IPS trực tiếp giữa hai thiết bị đầu cuối

hoặc có thể theo dõi lưu lượng truy cập từ thiết bị chuyển mạch thông qua tính

năng nhân bản cổng Cổng này sẽ sao chép lưu lượng truy cập đến và đi từ các

cổng đã chọn tới một cổng lắng nghe, nơi thiết bị giám sát được định vị Nếu cần

thiết, một mạng riêng biệt có thể được sử dụng để giữ cho các thiết bị giám sát tách

khỏi mạng bảo vệ

Một số tính năng khác trong bộ chuyển mạch có thể giúp phát hiện hành vi nguy

hiểm, như nhận dạng địa chỉ MAC có thể gửi thông báo SNMP trap khi máy tính

di chuyển trong mạng Một số thông tin về MIB (Management Information Base)

có thể hữu ích cho các mục đích của IDS, như MIB giám sát mạng và các phần mở

rộng chuyển mạch của nó

Bên cạnh giám sát thụ động, các biện pháp tích cực có thể được sử dụng để phát

hiện hành vi nguy hiểm Khung với các hành vi ảnh hưởng đã biết được đưa vào

mạng và các kết quả giám sát để phát hiện các cuộc tấn công ARP spoofing

1.4.2 Gi ải pháp phòng chống DDoS

Arbor Network APS (Availability Protection System) là sản phẩm của Arbor

Network, một hãng chuyên nghiên cứu và dẫn đầu về công nghệ phòng chống tấn

công từ chối dịch vụ Giải pháp phòng chống tấn công DDoS của Arbor Network

được tin cậy bởi hơn 90% các nhà cung cấp dịch vụ hàng đầu trên thế giới, các nhà

cung cấp dịch vụ lưu trữ lớn và các nhà cung cấp dịch vụ đám mây

Sản phẩm Arbor Network APS giúp các doanh nghiệp an toàn trước các cuộc

tấn công DDoS khi mà các hoạt động ngày càng tăng về khủng bố và tội phạm an

ninh mạng làm cho các cuộc tấn công về DDoS phát triển về khuôn khổ, tần suất

và tính phức tạp Vì DDoS có thể nhắm đến đa dạng từ các hệ thống mạng phổ

thông hay tới các hệ thống và ứng dụng cụ thể nào đó nên có thể gây ra các ảnh

hưởng rất nặng nề như: làm tê liệt các hoạt động kinh doanh trong nhiều ngày,

hoặc kết hợp với các công cụ tấn công kiểu mới (advanced threat) để lợi dụng

nhằm lấy trộm các thông tin nhạy cảm và sở hữu trí tuệ Arbor Network nhận diện

và ngăn chặn đa dạng các kiểu DDoS giúp duy trì hoạt động cho các ứng dụng,

máy chủ và hệ thống mạng

Tại sao phòng chống DDoS là yêu cầu thiết thực?

Trang 31

Khía cạnh đầu tiên mà chúng tôi muốn đề cập là xu thế phát triển về CNTT,

tại thời điểm này máy chủ đám mây đang là xu thế mà các doanh nghiệp hay các

nhà cung cấp dịch vụ đang hướng tới, điều đó đồng nghĩa với việc các doanh

nghiệp ngày càng phụ thuộc hơn vào các trung tâm dữ liệu của mình Việc duy trì

tính liên tục hay sẵn sàng là mục tiêu cốt lõi về bảo mật trong doanh nghiệp, đặc

biệt là với các công ty hoạt động kinh doanh phải dựa vào nhiều các dịch vụ quan

trọng như: trang web thương mại điện tử, giao dịch tài chính, chuỗi cung ứng,

email, VoIP… Vậy chuyện gì sẽ xảy ra khi một trong các dịch vụ này gặp sự cố?

Bên cạnh đó, hệ thống Botnet mở rộng với phạm vi toàn cầu cùng các hoạt

động trái phép dẫn đến các cuộc tấn công DDoS đa dạng, phức tạp Tiếp nữa, khi

các công cụ tấn công cũng ngày trở lên tinh vi và dễ dàng sử dụng, các tin tặc cũng

đang nhắm vào các mục tiêu là các ứng dụng để đánh sập với kiểu tấn công như

“tấn công với lưu lượng băng thông thấp” để thoát khỏi các cơ chế dò quét bảo mật

từ các nhà cung cấp dịch vụ cũng như các thiết bị bảo mật truyền thống của doanh

nghiệp vì vậy các kỹ sư vận hành tại trung tâm dữ liệu rất ngại phải đối mặt với

kiểu tấn công này

Ở điểm này, sản phẩm Arbor Network APS đảm bảo việc kinh doanh của

doanh nghiệp được liên tục và luôn sẵn sàng trước các nguy cơ tấn công vào các

mức độ ứng dụng Sản phẩm cung cấp các công nghệ dò quét và chống tấn công

tinh vi và tiên tiến nhất trên thế giới, cùng với khả năng triển khai dễ dàng cho

phép vô hiệu hóa các cuộc tấn công trước khi chúng làm ảnh hưởng tới các dịch

vụ quan trọng

Khía cạnh thứ hai là vấn đề các trang thiết bị bảo mật truyền thống không thể

chống lại DDoS Các thiết bị bảo mật truyền thống như: tường lửa, IPS là các thành

phần bảo mật cơ bản trong hệ thống mạng, nhưng chúng lại không được thiết kế

để giải quyết các vấn đề về DDoS Tường lửa thực thi các chính sách quản lý truy

cập đến các tài nguyên trung tâm dữ liệu, còn các thiết bị IPS ngăn chặn các mối

đe dọa có thể khai thác lỗ hổng được biết đến, nhưng DDoS là vấn đề hoàn toàn

khác DDoS là những truy cập hợp pháp từ nhiều nguồn khác nhau cùng 1 lúc truy

cập (tấn công) tới các nguồn quan trọng trong hệ thống mạng làm ngập lụt các tài

nguyên của dịch vụ cung cấp như: năng lực liên kết, dung lượng phiên, năng lực

dịch vụ ứng dụng (HTTP(s), DNS) hoặc cơ sở dữ liệu back-end Vì các truy cập

Trang 32

này là hợp pháp và không chứa các mã độc hại được biết đến, nên nó sẽ không thể

bị phát hiện và ngăn chặn từ tường lửa và IPS Trong thực tế, tường lửa và IPS lại

là nạn nhân thường xuyên của các cuộc tấn công DDoS Trước thực tế này cần

phải có 1 lớp sản phẩm bảo mật mới để ngăn chặn tấn công DDoS và Arbor

Network APS là một sản phẩm giải pháp đáp ứng trước yêu cầu này

Tính năng thiết bị Arbor Network APS:

- Stateless Analysis Filtering Engine (SAFE): Stateless Analysis Filtering

Engine (SAFE) là cơ chế nền tảng của Arbor Network APS và các giải pháp dịch

vụ của Arbor Network Đây là cơ chế lọc gói tin 1 chiều Không giống các các sản

phẩm cân bằng tải hay tường lửa, IPS kiểm soát theo cơ chế “trạng thái”, SAFE dò

quét và ngăn chặn các cuộc tấn công DDoS mà không theo dõi bất kỳ trạng thái

phiên nào Trong trường hợp yêu cầu theo dõi trạng thái phiên, SAFE chỉ lưu trữ

các thông tin tối thiểu cho một khoảng thời gian ngắn Vì vây, Arbor Network APS

có thể có thể chịu được các cuộc tấn công “thấp – tấn công băng thông” nhắm vào

ứng dụng

Hơn nữa, SAFE kết hợp với bộ lọc chống tấn công DDoS tiên tiến được phát

triển bởi Arbor Security Research & Engineering Team (ASERT) Các bộ lọc này

giúp vô hiệu hóa hàng trăm các chủng loại malware đang tạo lên các mối đe dọa

trên toàn cầu

- Immediate “Out-of-the-Box” Protection – tri ển khai dễ dàng: Arbor

Network APS cung cấp khả năng bảo vệ nhanh chóng khỏi các nguy cơ mạng nhờ

việc dễ dàng cài đặt, cấu hình và sử dụng Vốn là 1 sản phẩm với các cơ chế tự

động dò quét và giao diện cấu hình đơn giản nên không đòi hỏi bất cứ quá trình

đào tạo nào cho quản trị viên

- Automated and Advanced DDoS Protection – t ự động bảo vệ trước các

t ấn công DdoS: Với nhiều tổ chức, “thời gian chết” của hệ thống được đòi hỏi rất

khắt khe Arbor Network APS được thiết kế để tự động phát hiện và ngăn chặn các

cuộc tấn công DDoS với việc tối thiểu nhất tác động từ phía người dùng Sản phẩm

cũng cung cho phép thực hiện các kế hoạch dự phòng và kỹ thuật bảo vệ đơn giản

- ATLAS Intelligence Feed (AIF): Công nghệ được xây dựng dựa trên các

sensor được đặt trên 230 nhà cung cấp dịch vụ đang sử dụng giải pháp của Arbor,

ện Arbor có thể quan sát tới hơn 70% lưu lượng truy cập trên toàn cầu với khối

Trang 33

dữ liệu vô danh được chia sẻ lên tới 35Tbps Lượng dữ liệu khổng lồ này, nhóm

nghiên cứu của Arbor sẽ phân tích và phản hồi lại cho các khách hàng về các dấu

hiệu tấn công Công nghệ độc đáo này, khách hàng có thể thấy chi tiết về mạng

lưới của họ cũng như tổng quan về tình hình tấn công trên toàn cầu; cung cấp thông

tin đầy đủ về cuộc tấn công DDOS, mã độc, botnet

ATLAS Intelligence Feed (AIF) được cung cấp trên toàn bộ mạng lưới của

Arbor theo thời gian thực, giúp khách hàng sử dụng giải pháp có thể liên tục cập

nhật và phát hiện ngay các cuộc tấn công

- Advanced Web Crawler Service: Là dịch vụ ngăn chặn các web độc hại

thu thập thông tin trong khi đó vẫn đảm bảo được tính sẵn sàng và không ảnh

hưởng tới việc sếp hạng của trang web ASERT đã tạo ra chính sách cho phép trình

thu thập thông tin web cụ thể được phép truy cập vào trang web của bạn, và chặn

tất cả các trình thu thập thông tin khác không hợp lệ

- Cloud Signaling Functionality: Các cuộc tấn công “băng thông thấp” rất

hiệu quả trong việc làm sập các ứng dụng trong trung tâm dữ liệu, bên cạnh đó

DDoS cũng bao gồm kiểu tấn công “bandwidth-consuming flood” làm ngập các

kết nối internet đến trung tâm dữ liệu Các kiểu tấn công ngập lụt này sẽ tiêu thụ

hết tất cả băng thông nên chỉ có thể phòng chống từ những điều chỉnh bên trong

hệ thống mạng của nhà cung cấp dịch vụ

Công nghệ hỗ trợ giúp mở rộng việc phát hiện và chống tấn công DDOS một

cách sâu sắc Với sự phối hợp của hai dòng sản phẩm Peakflow (đặt phía nhà cung

cấp) và Arbor Network (đặt tại khách hàng, trung tâm dữ liệu, ), khi hệ thống của

khách hàng phát hiện bị tấn công DDOS, thiết bị Arbor Network APS sẽ có thể

gửi thông báo đến thiết bị Peakflow đặt tại nhà cung cấp ISP để hỗ trợ, chuyển

luồng tấn công DDOS và do đó hệ thống của khách hàng sẽ trở về bình thường

- Visibility, Control and Alerting: Arbor Network APS không phải là một

"hộp đen" Bên cạnh việc cung cấp cơ chế bảo vệ tự động từ DDoS, Arbor Network

APS cũng cung cấp khả năng hiển thị thời gian thực vào các cuộc tấn công, máy

chủ và thậm chí cả các gói tin bị chặn Nó cho phép thay đổi một cách linh hoạt

các bộ lọc và ngưỡng của sự kiện khi cần thiết Arbor Network APS đưa ra các

cảnh báo bao gồm cảnh báo hoạt động thông báo cho các kỹ sư bảo mật của các

Trang 34

cuộc tấn công liên tục bị chặn, cũng như các sự kiện mạng khác cần thống báo cho

họ

- Real-Time and Historical Attack Forensics and Reporting: Arbor

Network APS cung cấp các báo cáo chi tiết cuộc tấn công theo thời gian thực, do

đó, quản trị viên có thể hiểu được hành động của các thiết bị một cách trực quan

Bên cạnh những hành động ghi trong nhật ký kiểm tra, Arbor Network APS cung

cấp các báo cáo chi tiết về thông tin máy chủ bị chặn, nguồn gốc của các cuộc tấn

công phát sinh từ nước nào Những báo cáo dễ hiểu cũng có thể được trao cho các

đồng nghiệp hoặc quản lý để thông tin họ về các mối đe dọa để lên kế hoạch các

việc chuẩn bị ngăn chặn các cuộc tấn công

1.4.3 Quy ho ạch, quản lý và quản trị

Thực tiễn một quản trị mạng làm việc tốt có thể ảnh hưởng đáng kể tới mạng

ethernet Một số các giải pháp kỹ thuật được đề cập trước đây đòi hỏi phải điều

chỉnh và điều chỉnh liên tục khi topo mạng thay đổi Vì không có cơ chế đáng tin

cậy để tự động tách một mạng trunk từ các kết nối đến các nút lá, nên quản trị viên

phải xác định thông tin này trong các thiết bị chuyển mạch Tách thông tin quản lý

sang một VLAN dành riêng và hạn chế các chức năng điều khiển và luồng dữ liệu

tăng cường bảo mật cho một mạng đến một mức có thể gần với một mạng IP dựa

trên router

Các nhà cung cấp thiết bị đã ban hành các tính năng bảo mật liên quan đến

ethernet và đã cung cấp các hướng dẫn cấu hình cho mạng ethernet Có nhiều hệ

thống phần mềm quản lý mạng để giảm bớt khối lượng công việc của việc cấu hình

các thiết bị chuyển mạch trên mạng Các nhà quản lý duy trì hình ảnh topo của

mạng và giảm bớt những sai lầm bằng cách tự động hóa các nhiệm vụ Tuy nhiên,

chúng yêu cầu các thiết bị chuyển mạch phải tương thích với phần mềm quản lý

và được cấu hình để làm việc cùng nhau Nhiệm vụ quản trị mạng cũng có thể bao

gồm quét mạng tích cực, thăm dò và thử nghiệm để phát hiện các lỗ hổng

Trang 35

PHÂN TÍCH H Ệ THỐNG MẠNG THÔNG TẤN XÃ VIỆT NAM

2.1 S ơ lược về hệ thống mạng của Thông tấn xã Việt Nam

Bất kỳ một kiến trúc tốt hay một hệ thống hiệu quả đều được xây dựng dựa

trên một nền tảng kiến thức vững chắc và những nguyên tắc cơ bản về kỹ thuật,

việc áp dụng những nguyên tắc kỹ thuật trong thiết kế nhằm đảm bảo sự cân bằng

giữa khả năng sẵn sàng, khả năng bảo mật, tính linh hoạt và dễ quản lý sau này

Ngoài việc thiết kế hệ thống mạng đáp ứng nhu cầu hiện tại của công ty, việc thiết

kế cũng cần phải tính đến khả năng mở rộng (phần cứng và phần mềm) của hệ

thống trong tương lai

Với sự phát triển nhanh và mạnh của loại hình thông tin, việc đưa vào ứng

dụng các công nghệ mới là hết sức cần thiết, bên cạnh đó hệ thống mở cũng cần

phải đảm bảo tính ổn định và tận dụng được những ưu điểm với thiết bị hiện có

Do đó việc nắm rõ hiện trạng mạng của thông tấn xã là hết sức quan trọng

Hệ thống mạng TTXVN được thiết kế theo mô hình 3 lớp Mỗi lớp có các thuộc

tính riêng lẻ để cung cấp cả chức năng ở mỗi điểm thích hợp trong mạng cục bộ

Việc hiểu rõ mỗi lớp, chức năng cũng như hạn chế của nó là điều quan trọng để

ứng dụng các lớp đúng cách trong quá trình thiết kế sẽ giúp đảm bảo:

- Tính sẵn sàng và khả năng mở rộng cao

- Giảm sự đụng độ dữ liệu khi số lượng thiết bị và lưu lượng mạng tăng cao

- Tăng hiệu năng mạng

- Giảm dữ liệu broadcast khi các thiết bị tăng

- Cô lập sự cố trong mạng dễ dàng và nhanh chóng hơn

Như đã nói ở trên hệ thống mạng TTXVN được thiết kế theo mô hình 3 lớp

Thiết lập mô hình mạng hai lớp lõi sử dụng giao thức VCS - chia sẻ băng thông và

có khả năng dự phòng Như vậy, việc tạm dừng hoạt động của 1 trong 2 thiết bị

chuyển mạch lõi là không ảnh hưởng tới sự hoạt động của toàn bộ hệ thống mạng

H ạ tầng không gian và người dùng

- Hệ thống cơ sở hạ tầng: văn phòng chính của doanh nghiệp là một tòa nhà

gồm 11 tầng và 2 tầng hầm, diện tích mặt bằng mỗi tầng khoảng 3000m2

Tòa nhà gồm 2 hệ thống trục kỹ thuật dọc theo tòa nhà

Bố trí các phòng như sau:

Trang 36

+ 2 tầng hầm: để xe, chỉ có yêu cầu mạng tại phòng bảo vệ tại tầng

hầm 1

+ Từ tầng 1 đến tầng 10: các tầng nổi cho không gian văn phòng

+ Tầng 11 cho không gian sinh hoạt chung: căn tin, café, …: yêu cầu

mạng với mật độ thấp hơn

- Yêu cầu về đáp ứng số người làm việc tại các tầng:

Tầng Số lượng người sử dụng Ghi chú

- Yêu cầu về kết nối cho các máy chủ:

Đối tượng kết nối Số lượng thiết bị Số lượng kết nối Ghi chú

cho mỗi máy chủ

cho mỗi thiết bị

Trang 37

Thiết bị lưu trữ 20 40 Sử dụng 2 kết nối

cho mỗi thiết bị

Hình 2.1 Sơ đồ logic kết nối Internet

Kết nối Internet được TTX thuê với 4 kênh chính ( 2 kênh đường vào cho

vùng hệ thống và 2 kênh cho người dùng Internet theo chiều ra) Kênh truyền

Internet đường vào được đấu nối sử dụng giao thức BGP với 2 nhà mạng VDC và

Trang 38

Viettel, quảng bá dải địa chỉ public của thông tấn xã ra ngoài internet giúp hệ thống

chạy luôn ổn định và sẽ không ảnh hưởng khi một nhà mạng gặp sự cố

Mạng Internet của người dùng của TTX kết nối với Internet qua các đường

lease line, các đường này chạy song song vào một switch, dùng thiết bị cân bằng

tải để đảm bảo mạng của TTX kết nối liên tục Cổng vào Internet sẽ chạy qua 1

thiết bị tường lửa trước khi vào thiết bị chuyển mạch lõi

Dựa trên bảng số liệu tốc độ tải xuống yêu cầu tối thiểu của Ủy ban Truyền

thông Liên bang Hoa Kỳ (FCC) [10] đề ra và với số liệu thực tế người dùng thường

xuyên chiếm khoảng 600/1000 người làm việc nhu cầu duyệt web tìm kiếm thông

tin Theo số liệu tính toán mỗi người sẽ dùng hết 1Mbps để truy cập Internet Để

đáp ứng nhu cầu trên thông tấn xã đã thuê kênh với dung lượng 400Mbps, tổng hai

kênh là 800MBps đáp ứng đủ và tính thêm khả năng phát sinh dự phòng

2.2.2 Sơ đồ kết nối Edge-DMZ

DMZ

Server UCS

Edge Switch 3048-edge-1

IPS2500N-02

Segment 11

Hình 2.2 Sơ đồ kết nối vùng DMZ

Vùng DMZ là một vùng nằm riêng lẻ so với LAN nhằm mục đích đặt những

hệ thống công khai như dịch vụ Web, Mail, FTP … ra ngoài Internet cho mọi người

sử dụng Vì khi công khai ra ngoài Internet thì có khả năng bị tấn công nhưng khi

Trang 39

bị tấn công thì tin tặc cũng không xâm phạm vào vùng LAN được mà chỉ hoạt

động trong vùng DMZ mà thôi

Trong vùng DMZ đã triển khai một số tính năng bảo mật như bảo mật email,

thiết bị cân bằng tải, lưu chữ bộ nhớ Tuy nhiên sự phân bổ chưa được quy củ và

hợp lý Ứng dụng công nghệ lưu trữ SAN nhưng chưa được tập trung, sự quy hoạch

vùng địa chỉ chưa rõ ràng thiếu sự chuyên nghiệp Từ đó dẫn đến những khó khăn

trong việc quản lý, mở rộng và nâng cấp

2.2.3 Sơ đồ kết nối Edge-Hosting

202.6.97.202/23

2) (G1/3)

BlueCoat

172.26.64.0/24

BlueCoat

Hình 2.3 Sơ đồ kết nối Edge-Hosting

Kết nối giữa thiết bị chuyển mạch biên với các nơi lưu trữ nhằm mục đích

chia tải khi máy chủ trong hệ thống quá tải cụ thể là kết nối tới nhà mạng Viettel

và VNPT Mỗi nhà mạng sẽ được đặt trước 1 thiết bị tường lửa nhằm mục đích

bảo vệ ngăn chặn những tấn công từ bên ngoài

Ở mỗi hệ thống đặt tại nhà mạng sẽ có những thiết bị chuyên dụng phục vụ

cho mục đích cân bằng tải đường đi, thiết bị lưu trữ bộ nhớ đêm, thiết bị quản lý

tập trung Nhưng do đã quá thời hạn sử dụng, kênh truyền và chi phí bảo dưỡng

cao nên việc tiếp tục sử dụng sẽ gây nhiều khó khăn

Trang 40

2.2.4 Sơ đồ kết nối Edge-WAN

Edge Switch nx3048-edge-1

Vlan Internet (T78)

Hình 2.4 Sơ đồ kết nối WAN

Sơ đồ kết nối mạng thiết bị chuyển mạch biên bao gồm: 02 kết nối được thiết

lập giữa cặp thiết bị chuyển mạch tại khu vực Hà Nội và cặp thiết bị chuyển mạch

tại khu vực Hồ Chí Minh Các kết nối này được chạy giao thức định tuyến động

và chạy dự phòng cho nhau

2.2.5 K ết nối Edge-Core

Server 1 5LTK

-ibution

Hình 2.5 Sơ đồ kết nối Edge – Core

Sơ đồ có 02 kết nối được thiết lập giữa bộ định tuyến biên với cặp Brocade

VDX 8770 Các kết nối này chạy giao thức định tuyến động và chạy dự phòng cho

nhau Kết nối này chịu trách nhiệm truyền tải thông tin giữa 2 miền, hosting với

cùng mạng cục bộ Các đường kết nối thực hiện bó cổng nhằm tăng thông lượng

giữa hai thiết bị, thực hiện truyền tải với dữ liệu lớn cho người dùng Internet và

truy cập vùng mạng hệ thống

Tiêu đề	Tìm hiểu lý thuyết mô hình quản trị mạng và áp dụng thử nghiệm tại Thông tấn xã Việt Nam
Người hướng dẫn	TS. Phạm Huy Hoàng
Trường học	Trường Đại Học Bách Khoa Hà Nội
Chuyên ngành	Mạng máy tính và an toàn thông tin
Thể loại	Luận văn thạc sĩ
Năm xuất bản	2022
Thành phố	Hà Nội

Định dạng
Số trang	86
Dung lượng	3,92 MB