Đề tài xây dựng hệ thống thông tin mạng

Xây dựng hệ thống thông tin mạng, báo cáo dành cho sinh viên chuyên ngành công nghệ thông tin, giuso bạn trong việc làm báo cáo và trong iệc học tập của chính bạn, giúp các bạn sinh viên trong hoc tâp công nghệ thông tin

VIỆN ĐÀO TẠO CÔNG NGHỆ VÀ QUẢN LÝ QUỐC TẾ

KHOA CÔNG NGHỆ THÔNG TIN

-o0o -Lời nói đầu

Sự phát triển cuả công nghệ thông tin ở nước ta ngày càng mạnh mẽ và ngàycàng được triển khai rộng rãi các ứng dụng tin học cho các tổ chức kinh tế xã hội vàcác ngành khoa học kĩ thuật và đặc biệt là trong công tác quản lý

Trong các cơ quan, doanh nghiệp nhà nước cũng như tư nhân, công tác quản

lý nếu phải thực hiện và xử lý một cách thủ công thì vừa chậm vừa mất thời gianđem lại hiệu quả kinh tế không cao trong sản xuất kinh doanh Với những côngviệc tính toán, thống kê số liệu làm bằng tay vừa mất công vừa kém chính xác.Người làm công tác phải quản lý một khối lượng công việc khổng lồ, với phần lưutrữ, tìm kiếm là không đơn giản chút nào

Vì thế, việc ứng dụng tin học trong công tác quản lý đã phát triển mạnh mẽ, nógiúp cho công tác quản lý ngày càng trở nên hiệu quả hơn như: Nâng cao hiệu quảtrong công việc, đưa ra báo cáo, số liệu thống kê một cách nhanh chóng, chính xác

và kịp thời Đồng thời nhờ có việc ứng dụng tin học mà đã tiết kiệm được nhiềuthời gian, công sức của con người và giảm nhẹ bộ máy quản lý rất cồng kềnh từtrước tới nay

Internet ở Việt Nam mới chỉ phát triển từ 7 năm gần đây, nhưng sự phát triển mạnh

mẽ của nó thì không một ai có thể ngờ tới Nó đã có sự phát triển vượt bậc so với sựphát triển trong lĩnh vực khác của ngành công nghệ thông tin Đó cũng là xu thế tấtyếu khi chúng ta chính thức hoà vào mạng viễn thông quốc tế Sự phát triển củaInternet đã tạo ra một xu thế mới trong công nghệ

Đề tài mà em thực hiện là : Xây dựng hệ thống thông tin mạng

MỤC LỤC

MỤC LỤC 2

CHƯƠNG 1 4

LÝ THUYẾT CƠ BẢN CỦA MẠNG MÁY TÍNH 4

1.1.Mô hình hệ thống mở OSI (Open Systems Interconnection) 4

1.1.1 Tổng quan mô hình hệ thống mở 4

1.1.2 Các chức năng chủ yếu của các tầng của mô hình OSI 5

1.2.Giao thức truyền thông mạng TCP/IP 6

1.3 Kỹ thuật mạng LAN 8

1.3.1 Tổng quan mạng Ethernet (LAN) 8

1.3.2 Các thiết bị dùng cho mạng Ethernet 8

1.4.1.Dịch vụ Web 9

1.4.2 Dịch vụ truyền file 10

1.4.3 Dịch vụ E-mail 10

1.4.4 Dịch vụ mạng Giao thức DNS, DHCP 11

1.4 Kiến trúc ứng dụng Client/ Server 12

CHƯƠNG 2 17

PHƯƠNG PHÁP PHÁT TRIỂN MỞ RỘNG MẠNG 17

2.1 Tổng quan kiến trúc mạng WAN 17

2.2 Công nghệ xử lý truyền dẫn trên mạng diện rộng 20

2.3 Thiết bị tích hợp mạng diện rộng 22

2.4 Phương tiện truyền dẫn trong mạng diện rộng 25

2.4.1 Công nghệ đường dây thuê bao số xDSL 25

2.4.2 Công nghệ ISDN 27

2.4.3 Frame relay 28

2.4.4 Công nghệ ATM: 28

2.4.5 Đường thuê bao kênh riêng(leased line): 30

CHƯƠNG 3 31

AN NINH MẠNG 31

3.1 Tổng quan an ninh mạng 31

3.2 An ninh trên hạ tầng cơ sở 32

3.2.1 Dùng PKI (Public Key Infrastructure) 32

3.2.2 Dùng RSA 35

3.2.3 Dùng Firewall 38

3.2.4 Dùng IDS (Intrusion Detection Systems ) 42

3.3 Mạng VPN và Bảo mật trong VPN (Virtual Private network) 43

3.3.1 Khái niệm VPN 43

3.3.2 Tính bảo mật của VPN: 46

3.3.3 Các kỹ thuật sử dụng trong VPN 49

CHƯƠNG 4 52

PHÁT TRIỂN NGN TRONG MÔ HÌNH DOANH NGHIỆP 52

4.1 Khái niệm mạng NGN (Next Generation Network) 52

4.2 Đặc điểm NGN 54

4.3 Triển khai NGN 57

4.4 Các thành phần của NGN chuẩn 60

4.5 Các công nghệ và các giao thức 61

CHƯƠNG 5 65

THIẾT KẾ, XÂY DỰNG HỆ THỐNG THÔNG TIN 65

5.1 Giới thiệu 65

5.2 Phân tích yêu cầu 66

5.2 Thiết kế, xây dựng hạ tầng thông tin 69

5.3 Thiết kế, xây dựng dịch vụ quản lý và ứng dụng mạng 74

5.3.1 Dịch vụ quản lý mạng 74

5.3.2 Cài đặt, và quản lý dịch vụ E-mail 75

KẾT LUẬN 77

TÀI LIỆU THAM KHẢO: 78

CHƯƠNG 1

LÝ THUYẾT CƠ BẢN CỦA MẠNG MÁY TÍNH

1.1.Mô hình hệ thống mở OSI (Open Systems Interconnection).

1.1.1 Tổng quan mô hình hệ thống mở

Việc nghiên cứu OSI được bắt đầu bởi ISO (International Organization forStandardization) từ năm 1971 với mục đích dễ dàng giao tiếp kết nối các sảnphẩm công nghệ mạng của các hãng sản xuất khác nhau Ưu điểm chính của OSI

là xây dựng được các giải pháp xử lý truyền thông giữa các mạng máy tínhkhông đồng nhất Hai hệ thống, dù có khác nhau đều có thể truyền thông vớinhau một các hiệu quả nếu chúng đảm bảo những điều kiện chung sau đây:

 Chúng cài đặt cùng một tập các chức năng truyền thông

 Các chức năng đó được tổ chức thành cùng một tập các tầng các tầng đồngmức phải cung cấp các chức năng tương tự nhau

 Các tầng đồng mức khi trao đổi với nhau sử dụng chung một giao thức.Hình sau là mô hình hoá hai hệ thống máy tính kết nối trong mạng, kiếntrúc các thành phần được phân tách dựa vào mô hình OSI

1.1.2 Các chức năng chủ yếu của các tầng của mô hình OSI Hình 1.1 Mô hình OSI

Tầng vật lý là tầng dưới cùng của mô hình OSI đặc tả các tính chất, đặc tínhkết nối vật lý, tính chất điện của thiết bị trên mạng như: Các loại cáp được dùng

để nối các thiết bị, các loại tín hiệu được dùng khi chuyển dữ liệu trên cáp kết nốimạng, các kỹ thuật nối mạch điện, và tốc độ truyền dẫn dữ liệu trên cáp truyềndẫn Phân loại các thiết bị mạng thuộc tầng này là HUB, MultiPlexer, Repeater

Tầng 2: Liên kết dữ liệu (Datalink Layer)

Tầng LKDL (Liên kết dữ liệu) là tầng thường được dùng để định nghĩadòng thông tin ở dạng ‘khung’ khi truyền giữa các điểm vật lý trên mạng TầngLKDL quy định được các dạng thức, kích thước của khung ‘frame’ thông tinđược truyền (ví dụ, khung ethernet)

Tầng 3: Tầng Mạng (Network Layer)

Tầng mạng có chức năng giao tiếp truyền thông tin trong mạng, trên các

mạng với nhau bằng cách định hướng (routing) cho các gói tin đi từ mạng này đến mạng khác được thực hiện bởi giao thức định tuyến.

Tầng 4: Tầng Giao vận (Transport layer)

Đây là tầng đảm bảo dữ liệu của dịch vụ ứng dụng mạng được truyền giữacác điểm kết nối logic trên mạng Như vậy,nó định nghĩa các dịch vụ ứng dụngcho các tầng trên nó (ví dụ, TCP của dịch vụ www là 80) thông qua số hiệu cổng,kết kợp với các tầng dưới nó để thiết lập phương thức truyền dữ liệu tin cậy

Tầng 5: Tầng phiên (Session Layer)

Tầng phiên thiết lập "các phiên giao dịch" giữa các ứng dụng trên máy tínhmạng Các phiên truyền mang thông tin về tên của máy tính tham gia thực hiệnphiên truyền, khối lượng dữ liệu cần truyền Tầng phiên đảm bảo cho các giaodịch được thiết lập và duy trì theo đúng qui định của từng loại dịch vụ dữ liệu

Tầng 6: Tầng Trình bày (Presentation Layer)

Trong giao tiếp giữa các ứng dụng thông qua mạng với cùng một dữ liệu cóthể có nhiều cách biểu diễn khác nhau Thông thường dạng biểu diễn dùng bởiứng dụng nguồn và dạng biểu diễn dùng bởi ứng dụng đích có thể khác nhau docác ứng dụng được chạy trên các hệ thống hoàn toàn khác nhau (như hệ máyIntel và hệ máy Motorola) Tầng trình bày (Presentation layer) phải chịu tráchnhiệm chuyển đổi dữ liệu gửi đi trên mạng từ một loại biểu diễn này sang một

loại khác Để đạt được điều đó nó cung cấp một dạng biểu diễn chung dùng đểtruyền thông và cho phép chuyển đổi từ dạng biểu diễn cục bộ sang biểu diễnchung và ngược lại.

Tầng 7: Tầng Ứng dụng (Application layer)

Tầng ứng dụng (Application layer) là tầng cao nhất của mô hình OSI, nóđịnh nghĩa giao diện giữa người sử dụng và ứng dụng mạng Giải quyết các kỹthuật mà các chương trình ứng dụng dùng để giao tiếp với mạng

1.2.Giao thức truyền thông mạng TCP/IP

TCP/IP là tập các giao thức truyền thông tin trên mạng theo chuẩn côngnghiệp được DoD (Department of Defense) thiết kế và ứng dụng, đảm bảo dữ liệutruyền trên mạng được an toàn, quá trình truyền thông tin qua môi trường mạngthông qua kết nối logic (kết nối ảo, chỉ tồn tại trong quá trình truyền thông tin).Hình sau so sánh sự tương ứng giữa mô hình OSI với mô hình mạng TCP/IP

Mô hình TCP/IP được phân chia làm 4 tầng, mục đích chủ yếu là đáp ứngđược các yêu cầu truyền dữ liệu trên mạng Internet dùng TCP/IP Tầng ứng dụngcủa DoD tương ứng với 3 tầng trên cùng của mô hình OSI Tầng giao vận của OSIứng với tầng host-to-host, tầng mạng của OSI ứng với tầng Internet, và tầng cuốicùng của DoD ứng với 2 tần còn lại của OSI Ví dụ, khi ta xét SQL thuộc tầng ứng

Hình 1.5 So sánh mô hình OSI với mô hình DoD

Địa chỉ IP là địa chỉ logic 32 bít sử dụng để xác nhận máy tính trên mạngdùng giao thức TCP/IP Địa chỉ IP gồm hai phần: Phần định danh cho mạng vàphần định danh cho máy tính

 Định danh mạng dùng để nhận diện các máy trên cùng mạng logic

 Định danh máy tính: nhận diện một máy trên mạng

Như vậy, mỗi máy tính khi kết nối vào mạng đều có một địa chỉ duy nhất,

đó chính là địa chỉ IP Địa chỉ này dùng để phân biệt máy tính đó với các máykhác còn lại trên mạng

Toàn bộ địa chỉ IP được chia vào 5 lớp khác nhau

Loopback: địa chỉ vòng lặp, 127.0.0.1, là địa chỉ IP kiểm tra vòng lặp giao

tiếp mạng

1.3 Kỹ thuật mạng LAN

1.3.1 Tổng quan mạng Ethernet (LAN)

Ethernet là mạng cục bộ do các công ty Xerox, Intel và Digital equipmentxây dựng và phát triển Ethernet là mạng thông dụng nhất đối với các mạng nhỏhiện nay Ethernet LAN được xây dựng theo chuẩn 7 lớp trong cấu trúc mạng củaISO, mạng truyền số liệu Ethernet cho phép các loại máy tính khác nhau sử dụngchuẩn giao tiếp Ethernet tham gia truyền thông trên môi trường mạng

Ethernet có các đặc tính kỹ thuật chủ yếu sau đây:

 Ethernet dùng cấu trúc mạng bus logic mà tất cả các nút trên mạng đều đượckết nối với nhau một cách bình đẳng Mỗi gói dữ liệu gửi đến nơi nhận dựatheo các địa chỉ quy định trong các gói Ethernet dùng phương thứcCSMA/CD ( Carrier Sense Multiple Access with Collision Detection ) để xử

lý việc truy cập đồng thời vào mạng

 Các yếu tố hạn chế kích thước mạng chủ yếu là mật độ lưu thông trên mạng.

1.3.2 Các thiết bị dùng cho mạng Ethernet

Repeater: Thiết bị được dùng khi có nhu cầu khuếch đại tín hiệu trên

đường truyền dài Khi tín hiệu được truyền tải trên mạng sẽ có suy hao do trởkháng của dây dẫn, dẫn đến khả năng truyền đi trên đường truyền dài vược mứcquy định là khó đảm bảo chất lượng Do vậy, ta cần có

Hub: Về một khía cạnh xử lý truyền dẫn thì nó như một bộ ghép nối nhiều

repeater, nó có nhiều cổng (4,8 hay thậm chí 24 port) Hub được dùng để xâydựng mạng Lan theo chuẩn Ethernet (mạng hình sao) Nhược điểm của HUB làtốc độ xử lý truyền tin thấp (10Mbps), dễ gây ra tắc nghẽn, xung đột mạng Hiệnnay, xu hướng dùng thiết bị fastHUB đạt được tốc độ 100Mbps, nhưng đối vớinhững mạng lớn kiểu kiến trúc phân tầng thì dùng HUB/fastHUB là một hạn chếđối với tốc độ truyền tin trên mạng

Bridge: Công nghệ này ưu điểm hơn HUB ở chỗ nó có thể xử lý thông tin

truyền dẫn trên mạng, nó làm việc tại tầng 2 của OSI nên có thể đọc được địa chỉvật lý (MAC addres) của khung tin Như vậy bridge sẽ thông minh hơn HUB khi

mà nó có thể hiểu được khung tin truyền trên mạng được gửi từ máy tính nào, vàmáy tính nào sẽ nhận gói tin đó dẫn đến giảm được xung đột mạng, tăng tốc độtruyền tin

Switch: Thiết bị này có thể hiểu là một bridge nhiều cổng, và ưu điểm khác

Bridge là nó được xử lý bằng mạch cứng Switch có thể đọc được địa chỉ MACcủa khung tin nên các nhà sản xuất đã phát triển ưu điểm này thiết kế cho switch

có thể cấu hình bằng phần mềm khi có nhu cầu phân tách mạng tạo các mạngLAN riêng (VLAN)

1.4 Các dịch vụ ứng dụng mạng cơ bản

1.4.1.Dịch vụ Web

Dịch vụ Web cung cấp thông tin để người dùng truy cập dịch vụ dưới dạngWorld Wide Web (www) www cung cấp tài nguyên đơn giản chỉ bằng “định vịtrí và kích chuột” Thông tin nhận được hiển thị ở dạng các trang Web, là thông

dạng thông tin gồm hình ảnh, âm thanh, văn bản …Hơn thế nữa, trên chính cáctrang web lại có những vị trí định vị để dẫn đường đến những trang thông tinkhác.

Rất nhiều các dịch vụ ngày nay phát triển dựa trên nền Web bởi sự tiện lợicủa nó là không phụ thuộc vào các thành phần phần cứng hay hệ điều hành, sựtương thích với những giao thức mạng khác như FTP (File Transfer Protocol),NNTP (Network News Transfer Protocol), Gopher, và Telnet

Kiến trúc hoạt động của dịch vụ Web gồm có hai thành phần: Web server,

là máy tính cài đặt dịch vụ Web và lưu trữ thông tin dưới dạng các trang Web đểxuất bản trên mạng; Web client, là máy tính cài đặt trình duyệt web để truy xuất

và hiển thị thông tin dưới dạng các trang Web Phần mềm cài đặt Web server cóthể là Apache (thường được cài đặt trên HĐH Linux), hay IIS (InternetInformation Server) trên dòng HĐH Windows Trình duyệt web thường đượcdùng là IE (Internet Explorer), hay Netscap Navigator

1.4.2 Dịch vụ truyền file

Dịch vụ truyền file dược phát triển vào thời kỳ đầu tiên của mạng đượcdùng để truyền các dạng file nhị phân (images, executable programs, compressedZIP files) và các file ASCII trên môi trường mạng Dịch vụ WWW tích hợp dịch

vụ truyền file để hỗ trợ người dùng đăng tải (download/upload) thông tin

Các thành phần của dịch vụ FTP gồm FTP server, và FTP client FTPserver quản lý tài nguyên, giám sát người dùng truy cập dịch vụ FTP Client yêucầu truy nhập dịch vụ trên FTP server kiểu hand-shake và dùng tập các lệnh như(Get, Put, Quit,…) dựa trên nền giao thức TCP/IP để đảm bảo truyền file tin cậy

1.4.3 Dịch vụ E-mail

Dịch vụ truyền thư điện tử trên mạng máy tính được phát triển để đáp ứngnhu cầu truyền thông tin kiểu bản tin, file nhị phân, file văn bản dưới dạng thưtín Kiến trúc thư tín có địa chỉ người gửi, địa chỉ người nhận, thông tin cầntruyền dạng file đính kèm hoặc dạng văn bản soạn thảo ngay ở phần nội dung củathư Kiến trúc dịch vụ thư điện tử gồm có: CSDL lưu trữ người dùng E-mail,

CSDL xử lý lưu trữ E-mail dạng các hộp mail của người dùng, và giao thức traođổi E-mail.

Dịch vụ E-mail gồm E-mail Server là phần mềm cung cấp dịch vụ E-mail,

và phần mềm E-mail Client thường dùng để duyệt E-mail Các phần mềm E-mailServer hiện có trên thị trường là MDEAMON tiện lợi dễ dùng, MicrosoftExchange chuyên nghiệp hơn ứng dụng cho môi trường doanh nghiệp vừa và lớn,

và Lotus Domino là giải pháp phần mềm tích hợp với ứng dụng chủ yếu là cungcấp dịch vụ E-mail Các phần mềm E-mail Client sẵn có như Microsoft Outlook,Outlook Express,…

Giao thức truyền E-mail SMTP, (Simple Mail Transfer Protocol): là giao

thức được dùng để xử lý truyền (đẩy) E-mail từ Client lên E-mail Server hoặc từE-mail Server này đến E-mail Server khác Nó là một giao thức tầng ứng dụngchạy trên nền giao thức TCP/IP, thực hiện phiên truyền tin dùng cơ chế mởsocket (có cổng TCP là 25) thông qua một tập lệnh chuẩn , mỗi câu lệnh được kếtthúc bằng ký tự đặc biệt <CRTF> Các lệnh cơ bản như HELO, MAIL, RCPT,…

POP (Post Office Protocol): Giao thức POP là giao thức ứng dụng cung

cấp dịch vụ E-mail trên nền giao thức TCP/IP, nó được Client sử dụng mỗi khi

mở socket (cổng TCP là 110) kết nối đến Mail Server để tải E-mail về ổ đĩa lưutrữ trên Client Sau khi socket được mở, dịch vụ E-mail có thể tiếp nhận và xử lýcác lệnh của POP Các lệnh của POP đều được kết thúc bằng ký tự đặc biệt

<CRTF> Những lệnh cơ bản như USER, PASS, LIST, …

Giao thức IMAP (Internet Message Access Protocol): là phương pháp truy

cập dịch vụ E-mail hoặc các bản tin được lưu trong thư mục dùng chung trên

SMTP server POP Server IMAP Server

user Mail box

Xử lý dịch vụ

E-mail Server SMTP Client

POP Client IMAP Client

Hình 1.10: Kiến trúc dịch vụ E-mail

các bản tin được lưu trữ trên Mail Server qua mạng diện rộng Ví dụ, e-mail đượclưu trên một IMAP server có thể được đọc bởi một máy tính khác thông quamạng mà không cần phải trao đổi trên mạng toàn bộ nội dung của cả file, bản tin,hay của e-mail

1.4.4 Dịch vụ mạng Giao thức DNS, DHCP

Dịch vụ DNS (Domain Name System): là dịch vụ mạng sử dụng cả giao

thức TCP (Transmission Control Protocol) và UDP (User Datagram Protocol), làmột hệ cơ sở dữ liệu phân tán dùng để ánh xạ giữa các tên miền và các địa chỉ IP.DNS đưa ra một phương pháp đặc biệt để duy trì và liên kết các ánh xạ này trongmột thể thống nhất Trong phạm vi lớn hơn, các máy tính kết nối với internet sửdụng DNS để tạo địa chỉ liên kết dạng URL (Universal Resource Locators) Theophương pháp này, mỗi máy tính sẽ không cần sử dụng địa chỉ IP cho kết nối.  

Dịch vụ DHCP (Dynamic host Configuration Protocol): DHCP là dịch vụ

mạng gồm có DHCP Client và DHCP Server DHCP Server dùng để quản lý địachỉ IP của mạng, gán địa chỉ IP cho các DHCP Client (là những máy tính dùngđịa chỉ IP gán động) Dịch vụ DHCP kết hợp với dịch vụ DNS sẽ đơn giản chocông việc quản trị mạng

1.4 Kiến trúc ứng dụng Client/ Server

Trong kiến trúc Client-server, các thành phần phần mềm giao tiếp với nhau tạonên một dịch vụ ứng dụng Client có ý nghĩa là một đối tượng yêu cầu sử dụng tàinguyên, Server là đối tượng cung cấp tài nguyên Client và Server có thể cùng trênmột hệ thống máy tính, nhưng trong thực tế thì Server thường được đứng riêng biệt,các Client là các máy tính mạng sử dụng dịch vụ ứng dụng mà server cung cấp.Kiến trúc Client/ Server có thể mô hình hoá như sau:

Khi xem xét ứng dụng CSDL dùng mô hình Client/ Server, Client quản lýgiao diện người dùng và logic ứng dụng (được hiểu là các thành phần phần mềm xử

lý thông tin phía Client) Client nhận các yêu cầu truy vấn dữ liệu từ phía ngườidùng, kiểm tra cú pháp, và tạo một truy vấn SQL hoặc dạng ngôn ngữ truy vấn kháctương ứng với logic ứng dụng (như XML) Sau đó nó truyền thông điệp đến Server,chờ đợi sự trả lời, xư lý kết quả trả lại cho người dùng Quá trình bao gồm kiểm tra,toàn vẹn dữ liệu, duy trì System Catalog, và các quá trình truy vấn/cập nhật dữ liệu.Hơn nữa, nó điều khiển đồng bộ, khôi phục dữ liệu

Các thuận lợi của mô hình Client/server như sau:

 Cho phép nhiều Client (máy tính) dùng chung CSDL

 Tăng khả năng thực thi: Như khi Client và Server được cấu hình trên haimáy tính riêng biệt, khi đó các CPU có thể xử lý các ứng dụng đồng thời

 Giá thành phần cứng cho hệ thống giảm, vì chỉ cần tập trung RAM, ổ cứng,CPU cho máy chủ

 Môi trường truyền thông chỉ cần băng thông đủ để truyền tải các yêu cầutruy vấn, và các kết quả phản hồi

 Đảm bảo toàn vẹn dữ liệu, vì khi đó dữ liệu được lưu trữ tại một nơi, trênmáy chủ

 Dễ dàng thiết kế theo chuẩn mở

Với kiến trúc Client/ server được mở rộng, khi đó có thể xử lý phân tán dữliệu, hoặc phân lớp kiến trúc theo mô hình hai lớp: Kiến trúc client/server phân táchcác chức năng thành phần của một ‘fat’ Client thành hai phần Trong kiến trúc 3lớp, ‘thin’ Client chỉ quản lý giao diện người dùng và lớp trung gian xử lý logicứng dụng, lớp thứ ba vẫn là Server quản lý CSDL Kiến trúc ba lớp đã được nghiêncứu ứng dụng trong nhiều môi trường, như Internet và các Intranet, các Client đượcgọi là các trình duyệt Web

Kiến trúc hai lớp Client-Server truyền thống: Các ứng dụng doanh nghiệp

dùng mô hình dữ liệu tập trung gồm có bốn thành phần chính như sau: CSDL, logic

xử lý các giao dịch, logic ứng dụng, và giao diện người dùng.VớI kiến trúc xử lý tậptrung sẽ kết hợp 4 thành phần trên vào cùng một Mainframe

Để xây dựng được mô hình doanh nghiệp không tập trung đáp ứng nhu cầu giatăng của dịch vụ, kiến trúc Client-server được ứng dụng Kiến trúc Client-Servertruyền thống sẽ phân lập các chức năng công việc Client (thuộc tier 1) ứng vớicông việc hiển thị dữ liệu người dùng, Server (tier 2) ứng với việc cung cấp các dịch

vụ dữ liệu cho Client Các dịch vụ hiển thị quản lý các hoạt động giao diện củangười dùng, và các logic ứng dụng chính của doanh nghiệp Các dịch vụ dữ liệucung cấp logic ứng dụng doanh nghiệp có giới hạn Điển hình là xác định rằngClient không thể thực hiện bởi vì sự thiếu hụt thông tin, và truy cập đến các dữ liệucần có tuỳ thuộc vào vị trí của nó dữ liệu có thể là của DBMS quan hệ, DBMShướng đối tượng, hoặc các hệ thống quản lý truy cập dữ liệu bất kỳ khác Điển hình

là, Client có thể chạy trên desktop của người dùng và giao tiếp với CSDL tập trungthông qua môi trường mạng

Kiến trúc ba lớp:

Hình 1.12: mô hình 2 lớp của kiến trúc phần mềm giao tiếp CSDL

Nhu cầu nâng cấp mở rộng hệ thống đối với sự phát triển của doanh nghiệp thực sự cần thiết khi mà kiến trúc hai lớp gặp phải những hạn chế.

 Một ‘fat’ client cần có tài nguyên phù hợp để xử lý công việc trên máy tính Client Nó cần có ổ cứng, RAM, CPU

 Sự phức tạp đối với yêu cầu quản trị trên máy tính Client

 Vào khoảng 1995, kiến trúc mới được đề xuất thay thế cho kiến trúc server, là kiến trúc ba lớp Kiến trúc này cho thấy các ứng dụng chạy độc lậptương đối với kiến trúc phần cứng của các máy tính trên mạng

Client- Lớp giao diện người dùng, chạy trên máy tính của người dùng cuối (Client)

 Lớp xử lý dữ liệu và xử lý các đối tượng ứng dụng thành phần (business logic), lớp này được gọi là lớp giữa chạy trên nền server và được gọi là application server

 Một DBMS, lưu trữ dữ liệu phục vụ cho các yêu cầu của lớp trung gian, lớp này có thể chạy trên Server riêng biệt được gọi là Database Server

Như được mô tả hình trên, Client chỉ còn một chức năng là xử lý giao diệnngười dùng, và có thể thực hiện một số các đối tượng đơn giản của ứng dụng, như

Hình 1.13 : Mô hình 3 lớp của kiến trúc phần mềm giao tiếp CSDL

trên một lớp riêng biệt, kết nối vật lý đến Client và Database Server qua mạng Lanhoặc qua mạng diện rộng Ứng dụng Server được thiết kế để cùng lúc xử lý chonhiều Client truy nhập Mô hình 3 lớp có nhiều ưu điểm hơn hai lớp ở chỗ:

 Thin Client cần ít tài nguyên phần cứng

 Tập trung xử lý các đối tượng ứng dụng phần mềm trên một Server Như vậy

Ứng dụng của mô hình ba lớp nổi bật ở chỗ nó được ứng dụng trong các dịch

vụ WEB, Trình duyệt Web là Thin Client, Web Server là Application Server Kiếntrúc ba lớp có thể mở rộng đến kiến trúc ‘n’ lớp Như vậy, các lớp khác thêm vàolàm cho hệ thống dễ nâng cấp, tuỳ biến tốt hơn Ví dụ, lớp trung gian của kiến trúc

3 lớp có thể phân thành hai lớp con, một lớp là Web Server và một lớp làApplication Server

CHƯƠNG 2 PHƯƠNG PHÁP PHÁT TRIỂN MỞ RỘNG MẠNG

2.1 Tổng quan kiến trúc mạng WAN

WAN là một mạng truyền dữ liệu trên một khu vực địa lý rộng lớn và thường

sử dụng các phương tiện truyền dẫn của các nhà cung cấp như các công ty điệnthọai để truyền dẫn dịch vụ Công nghệ hạ tầng cơ sở WAN tập trung ở 3 lớp dướicủa mô hình OSI : lớp vật lý, lớp LKDL và lớp mạng

Kiến trúc mạng WAN bao gồm các kết nối gồm có điểm - điểm, chuyển mạch

- circuit switching , chuyển mạch gói - packet switching, mạch ảo, và các thiết bịđược sử dụng trong mạng WAN

Kết nối điểm - điểm:

Kết nối điểm - điểm cung cấp cho khách hàng một đường kết nối WAN tớimột mạng ở xa thông qua mạng của nhà cung cấp dịch vụ

Kết nối điểm - điểm còn được gọi là kênh thuê riêng ( leased line ) bởi vì nóthiết lập một đường kết nối cố định cho khách hàng tới các mạng ở xa thông qua cácphương tiện của nhà cung cấp dịch vụ Các công ty cung cấp dịch vụ dự trữ sẵn các

Hình 2.2: Mô hình kết nối điểm -điểm (point –to-point)

 Truyền bó dữ liệu (Datagram transmissions): Truyền dữ liệu mà các khung

dữ liệu được đánh địa chỉ riêng biệt

 Truyền dòng dữ liệu (Data-stream transmissions): Truyền một dòng dữ liệu

mà địa chỉ chỉ được kiểm tra một lần

Chuyển mạch kênh (Circuit switching):

Chuyển mạch kênh là một phương pháp sử dụng các chuyển mạch vật lý đểthiết lập, bảo trì và kết thúc một phiên làm việc thông qua mạng của nhà cung cấpdịch vụ của một kết nối WAN

Chuyển mạch kênh phù hợp với hai phương thức truyền dữ liệu : Truyền bó

dữ liệu và Truyền dòng dữ liệu, được sử dụng rộng rãi trong các công ty điện thọai,chuyển mạch kênh hoạt động tương tự một cuộc gọi điện thoại thông thường

Chuyển mạch gói - Packet Switching:

Hình 2.3: Mô phỏng chuyển mạch mạng WAN

Chuyển mạch gói là một phương pháp chuyển mạch WAN, trong đó các thiết

bị mạng chia sẻ một kết nối điểm - điểm để truyền một gói dữ liệu từ nơi gửi đếnnơi nhận thông qua mạng của nhà cung cấp dịch vụ Các kỹ thuật ghép kênh được

sử dụng để cho phép các hiết bị chia sẻ kết nối

ATM ( Asynchronous Transfer Mode : Truyền không đồng bộ.), Frame relay,SMDS- Switched Multimegabit Data Service, X.25 là các ví dụ của công nghệchuyển mạch gói

Mạch ảo - Virtual Circuits: Mạch ảo là một mạch logic được tạo nên để đảm

bảo độ tin cậy của việc truyền thông giữa hai thiết bị mạng Mạch ảo có 2loại :Mạch ảo chuyển mạch ( Switched virtual circuit - SVC ) và mạch ảo cố định( permanent virtual circuit - PVC)

2.2 Công nghệ xử lý truyền dẫn trên mạng diện rộng

Các giao thức nối tiếp đồng bộ (Synchronous Serial Protocols):

Các giao thức nối tiếp đồng bộ sử dụng tín hiệu đồng hồ chính xác giữa DCE

và DTE để truyền dữ liệu theo thời gian Trong truyền thông đồng bộ, một số lượnglớn khung dữ liệu được gửi đi khi đồng hồ đồng bộ và tốc độ truyền dữ liệu đượcxác lập từ trước Đây là phương pháp truyền thông sử dụng băng thông rất hiệu quả,

và các giao thức truyền tín hiệu đồng bộ bao gồm: V.35, X.21, RS-449, RS-530, RS-232 (EAI/TIA)

Mặc dù mỗi giao thức “giao diện” sử dụng một loại bộ kết nối riêng, phần lớncác bộ kết nối có thể được sử dụng cho nhiều giao diện khác nhau Thông thường,loại phần cứng bạn có sẽ quyết định bộ kết nối nào được sử dụng Trong thực tế,hãy kiểm tra số đầu cắm trong bộ kết nối để chắc chắn nó phù hợp với cổng nối tiếpcủa thiết bị Những loại bộ kết nối phổ biến gồm (các số thể hiện số chân cắm trong

bộ kết nối): DB60, DB15, DB25, DB9

Các giao thức không đồng bộ (Asynchronous Protocol): Các giao thức

truyền không đồng bộ sẽ đưa thêm các bít bắt đầu (start bit) và bit kết thúc (stop bit)vào mỗi gói tin để truyền tin, thay vì bắt buộc thiết bị gửi và thiết bị nhận sử dụngthoả thuận trước về nhịp đồng hồ Truyền tín hiệu không đồng bộ thường được sửdụng giữa 2 modem Tuy nhiên, đây là phương pháp truyền có phụ phí vì các bitphụ thêm sẽ làm chậm tốc độ truyền dữ liệu

Các giao thức không đồng bộ được sử dụng để thiết lập chuẩn cho truyềnthông của các modem tương tự Một modem có thể hỗ trợ một hoặc nhiều chuẩntruyền thông không đồng bộ khác nhau Các giao thức truyền thông không đồng bộbao gồm: V92, V.45, V.35 V.34 V.32, V.32 bis, V.32 turbo.V.22

Truyền tín hiệu không đồng bộ sử dụng đường dây điện thoại và jack cắm chuẩn.Các bộ kết nối có thể là: RJ-11 (2dây), RJ-45 (4 dây), RJ-48

Các phương pháp đóng gói dữ liệu trong mạng WAN: Các giao thức lớp

vật lý của mạng WAN sẽ xác định phần cứng và phương pháp truyền tín hiệu bit.Các giao thức thuộc lớp liên kết dữ liệu sẽ kiểm soát những chức năng dưới đây:

 Kiểm tra và sửa lỗi

 Thiết lập liên kết

 Tổ chức các trường (field) của khung dữ liệu

 Điều khiển luồng điểm tới điểm (point-to-point flow control)

Các giao thức lớp liên kết vật lý còn xác định phương pháp đóng gói dữ liệuhoặc định dạng của khung dữ liệu Phương pháp đóng gói dữ liệu trong mạng WAN

Hình 2.5: Mô phỏng

Truyền dữ liệu đồng bộ Truyền dữ liệu không đồng bộ

thường được gọi là HDLC (high-level data link control - điều khiển liên kết dữ liệumức cao) Thuật ngữ này vừa là tên chung cho các giao thức Liên kết Dữ liệu vừa làtên của một giao thức trong bộ giao thức và dịch vụ mạng WAN Tuỳ thuộc vàodịch vụ mạng WAN và phương pháp kết nối, bạn có thể sử dụng một trong nhữngphương pháp đóng gói dữ liệu sau đây:

 Cisco HDLC cho kết nối đồng bộ, điểm tới điểm với các bộ định tuyến Ciscokhác

 LAPB cho mạng X.25

 LAPD, sử dụng kết hợp với các giao thức khác cho các kênh B trong mạngISDN

 Cisco/IETF cho các mạng Frame Relay

Hình trên cho chúng ta thấy những phương pháp đóng gói dữ liệu thôngthường nhất và cách thức sử dụng cho các loại kết nối mạng WAN điển hình Như

có thể thấy trong hình vẽ, PPP là phương pháp linh hoạt có thể sử dụng cho nhiềuloại kết nối mạng WAN Nói chung, sử dụng phương pháp nào sẽ phụ thuộc vàoloại của dịch vụ mạng WAN, chẳng hạn Frame Relay hay ISDN, và cả phươngpháp đóng gói dữ liệu của nhà cung cấp dịch vụ mạng

Hình 2.6: Mô phỏng các kết nối WAN điển hình

2.3 Thiết bị tích hợp mạng diện rộng

a Modem số:

Modem số khác với các loại modem tương tự (chuẩn V90, V92) bởi khả năng

xử lý số, tốc độ xử lý tương thích với các hệ thống phân cấp số chuẩn Châu âu,chuẩn Châu á

b CSU/DSU (Chanel Service Unit/Data Service Unit):

Đây là thiết bị kết nối các mạng với đường truyền tốc độ cao như T1 Thiết bịnày định dạng các dòng dữ liệu thành các khuôn dạng khung (framing) và xác định

mã đường truyền cho các đường truyền số Một số CSU/DSU còn là các bộ dồnkênh, hoặc được tích hợp sẵn trong các bộ định tuyến CSU/DSU khác hơn so vớimodem số Modem chuyển dữ liệu từ dạng tương tự sang dạng số và ngược lạitrong khi đó CSU/DSU chỉ định dạng lại các dữ liệu từ dạng số đã có

 CSU nhận tín hiệu và truyền tín hiệu nhận được tới đường dây mạng WAN,phản xạ tín hiệu trả lời khi các công ty điện thoại cần kiểm tra thiết bị vàngăn nhiễu điện từ

 DSU tương tự như một modem giữa DTE và CSU Nó chuyển các khung dữliệu từ định dạng sử dụng trong mạng LAN thành định dạng sử dụng trênđường T-1 và ngược lại Nó còn quản lý đường dây, lỗi phân chia thời gian

và tái tạo tín hiệu

c Thiết bị chuyển mạch:

Công nghệ ngày nay có thể hiểu khái niệm về switch rộng hơn, nó không chỉhạn chế ở tầng 2 của OSI mà nó được coi là một thiết bị chuyển mạch gói tin,chuyển mạch kênh thông tin, hoặc switch nhiều lớp

Hình 2.7: kết nối mạng dùng Modem số

d.Router: Là thiết bị được dùng khi thực hiện kết nối hai loại mạng khác

nhau Chức năng của nó là định tuyến (dẫn đường “routing”) cho gói tin có thể đi từmạng này sang mạng kia Các gói tin khi truyền trên mạng cần biết được đường đểđến đích (chuyển từ mạng này đến mạng khác), thông tin lưu trữ đường đi của góitin được lưu trữ trong bảng định tuyến của router với các giá trị trong bảng routingtable (bảng chứa đường dẫn đến các mạng)

e Multiplexer (Bộ dồn kênh):

Như hình vẽ dưới đây, bộ dồn kênh hoạt động tại hai đầu của đường truyền

Hình 2.8: Mô phỏng mạng chuyển mạch WAN

Hình 2.9: Mô hình kết nối Router trong WAN

Hình 2.10: Mô tả kết nối bộ dồn kênh trong WAN

Tại đầu gửi tín hiệu, bộ dồn kênh là thiết bị kết hợp tín hiệu từ hai hay nhiềuthiết bị khác để truyền trên một đường truyền Tại đầu nhận, một bộ dồn kênh vớichức năng giải kênh sẽ tách tín hiệu kết hợp thành tín hiệu riêng rẽ như ban đầu.Nhiều bộ định tuyến trên mạng WAN có tích hợp sẵn các bộ dồn kênh.

Bộ dồn kênh thống kê (Statistical multiplexer): Sử dụng các kênh ảo riêng biệttrên cùng một đường truyền vật lý để gửi đồng thời những tín hiệu khác nhau (cáctín hiệu được chuyển cùng một lúc trên đường truyền)

Bộ dồn kênh phân chia theo thời gian (Time-division multiplexer): Gửi các gói

dữ liệu của các tín hiệu khác nhau ở những khoảng thời gian khác nhau Thay vìchia đường truyền vật lý thành các kênh, nó cho phép các dòng dữ liệu sử dụngđường truyền ở những “khe” thời gian xác định (các tín hiệu lần lượt được sử dụngđường truyền trong những khoảng thời gian ngắn)

f Access Server:

Access Server có chức năng quản lý các luồng thông tin truy nhập trên WANvào trong mạng LAN

2.4 Phương tiện truyền dẫn trong mạng diện rộng.

2.4.1 Công nghệ đường dây thuê bao số xDSL

Đường dây thuê bao số (DSL) là công nghệ làm tăng khả năng truyền dẫnthông tin trên đường điện thoại thông thường (các tổng đài PSTN địa phương)của các gia đình, văn phòng Tốc độ đường DSL phụ thuộc vào khoảng cách giữakhách hàng và tổng đài cung cấp số cho thuê bao Trên đường DSL có thể truyềnđồng thời các tín hiệu thoại, hình ảnh, dữ liệu DSL có hai dạng là DSL đối xứng,

và DSL không đối xứng DSL không đối xứng (ADSL) dùng để làm đường kết

Hình 2.11: Mô tả kết nối Access Server trong WAN

nối truy cập Internet, nó có thể cấp cho băng thông đường xuống từ 1.5Mbps –8Mbps, băng thông đường lên từ 64Kbps-640Kbps.

DSL đối xứng (SDSL, HDSL…) được xây dựng để phục vụ cho mạngtruyền dữ liệu

Công nghệ ADSL:(Asymmetric Digital Subscriber Line)

ASDL là một chuẩn được Viện tiêu chuẩn quốc gia Hoa Kỳ thông qua năm

1993 và gần đây đã được Liên minh viễn thông quốc tế ITU công nhận và pháttriển ADSL có thể coi là công nghệ ghép kênh theo tần số (FDM) ghép các kênhtruyền logic trên đường truyền vật lý Những kênh truyền logic được thiết lập bởi

hệ thống modem số ở hai đầu dây điện thoại Trên dải thông tần quy định chođường lên, đường xuống, tốc độ đường xuống có ưu điểm là cao hơn (1,544Mbps đến 8 Mbps), trong khi đường lên đạt tốc độ 64kbps đến 640kbps

Hình 2.12: Cấu trúc chung của mạng cung cấp dịch vụ băng rộng

Kỹ thuật xử lý băng thông ADSL: Băng thông lớn nhất được hỗ trợ trên cặp

dây dẫn dùng cáp đồng là 1MHz, nó được chia làm ba phần riêng biệt:

 Băng thông cho tín hiệu thoại thông thường

 Kênh đường xuống phần tốc độ bit cao

 Kênh đường lên tốc độ bit thấp

Phương pháp xử lý ghép kênh như sau: Trên dải thông tần, phần băng tầncho tín hiệu thoại được giữ nguyên, Các phần băng tần xử lý cho đườnguplink/downlink được phân chia thành các dải tần nhỏ hơn, mỗi dải thông tầnnhỏ do một cặp modem ở hai đầu ADSL xử lý, sao cho thông tin có thể đượcmang trên dải thông tần đó Thông tin sẽ được ghép lại bởi một hệ thống cácmodem bên trong thiết bị ADSL Như vậy, chức năng ghép kênh theo tần số sẽtạo được băng thông rộng khi ghép các băng thông con lại với nhau

2.4.2 Công nghệ ISDN.

Dịch vụ ISDN (Intergrated Services Digital network) là mạng số tích hợp

đa dịch vụ cho phép tiếng nói, văn bản, hình ảnh và video truyền đồng thời quađôi dây điện thoại thường ISDN có thể thực hiện nhiều kết nối trên đôi dây nàytại cùng một thời điểm với tốc độ cao Các ứng dụng bao gồm: Voice, Fax, Data,

và email đồng thời; hội nghị truyền hình giá thấp; quảng bá từ xa và truyền audiochất lượng cao

Ứng dụng phổ biến nhất của ISDN là kết nối quay số truy cập Internet tốc

độ cao và dịch vụ kết nối LAN-LAN giữa hai văn phòng cách xa nhau ISDNcũng được sử dụng rộng rãi trong dịch vụ video như điện thoại thấy hình: chophép truyền đồng thời hình ảnh và âm thanh giữa hai điểm, nhờ vậy hai bên cóthể cùng lúc đàm thoại và thấy hình ảnh của nhau Ngoài ra truyền fax qua ISDN

sẽ đạt tốc độ và chất lượng cao Kênh truyền số ISDN có các cấp bậc khác nhau:

2.4.3 Frame relay.

Frame Relay là dịch vụ nối mạng dữ liệu theo phương thức chuyển mạchgói, hoạt động ở mức liên kết (link level) và rất thích hợp với truyền số liệu dunglượng lớn Về mặt cấu trúc, Frame Relay đóng gói dữ liệu và chuyển đi theocùng cách thức được sử dụng bởi dịch vụ X25 Khác biệt là X25 được cài đặt ở

mức 2 (mức vật lý) và mức 3 (mức mạng) trong mô hình OSI (Open SystemInterconnection), trong khi Frame Relay chỉ đơn giản là một giao thức ở mức 2,

bỏ qua các tiện ích sửa lỗi trong cấu trúc khung, điều khiển luồng thông tin (flowcontrol) Khung có lỗi sẽ bị hủy bỏ chứ không sửa chữa, nhờ vậy thời gian xử lýtại bộ chuyển mach giảm, nên Frame Relay dạt mức thông lượng cao hơn cả mứccao nhất của X25

       Frame Relay, cũng như X25, tiết kiệm đáng kể so với đường thuê riêng(private linh) nhờ tính năng dồn kênh cho phép thiết lập nhiều kết nối (hoặc cuộcthoại) trên cùng một đường dây vật lý Trên đường vật lý kết nối duy nhất, FrameRelay hỗ trợ nhiều ứng dụng khác nhau của khách hàng như: TCP/IP, NetBIOS,SNA , cho cả các ứng dụng thoại Nhờ vậy tiết kiệm chi phí băng thông, đườngdây cũng như thiết bị truyền dẫn và thiết bị kết nối

2.4.4 Công nghệ ATM:

Chế độ truyền không đồng bộ (Asynchoronous Trangfer Mode - ATM)

Là một chuẩn của ITU-T dùng chuyển tiếp tế bào (là những gói tin kíchthước nhỏ 53 byte) sử dụng cho nhiều loại dịch vụ như tiếng nói, hình ảnh, dữliệu đáp ứng được thời gian thực

Các thiết bị ATM:ATM là công nghệ dồn kênh và chuyển mạch tế bào, nó

là tổng hợp các ưu điểm của chuyển mạch kênh (đảm bảo dung lượng và trễtruyền cố định) với ưu điểm của chuyển mạch gói (xử lý mềm dẻo lưu lượng haygián đoạn) ATM cũng cung cấp dải thông biến đổi từ vài Megabit/giây đếnnhiều Gigabit/giây ATM là công nghệ không đồng bộ có nhiều ưu điểm hơn sovới các công nghệ như truyền đồng bộ, ghép kênh theo thời gian (TDM) Trongghép kênh phân chia theo thời gian thiết bị tham gia truyền thông được gán cốđịnh cho một khe thời gian Đối với ATM, khe thời gian được xử lý mềm dẻo và

có thể giải phóng ngay sau khi kết thúc phiên truyền thông

Một mạng ATM được tạo nên bởi một chuyển mạch ATM và các điểm cuốiATM Chuyển mạch ATM tiếp nhận các tế bào vào từ một điểm cuối hoặc mộtchuyển mạch ATM khác Nó đọc và cập nhật thông tin trong phần mào đầu

“header” của tế bào và nhanh chóng chuyển tiếp tế bào đó đến đích Một điểmcuối ATM (hoặc là hệ thống cuối) có chứa một bộ tiếp hơp giao diện mạngATM, và có thể là trạm làm việc, hay bộ chọn đường…

Các dịch vụ ATM:

Có ba kiểu dịch vụ ATM là: loại kênh ảo cố định (PVC, Permanent Virtual Chanel), kênh ảo chuyển mạch (SVC, Switching Virtual Chanel), và dịch vụ

không kết nối PVC cho phép kết nối trực tiếp giữa các vị trí tương tự với đường

thuê bao riêng, SVC được tạo ra và duy trì trong quá trình truyền dữ liệu, huỷ kếtnối sau khi hoàn thành quá trình truyền tin

ATM dùng hai kiểu kết nối: Tuyến ảo, được xác định bằng số hiệu tuyến ảo(VPI); kênh ảo (VC), được xác định bởi tổ hợp tuyến ảo và số hiệu kênh ảo

2.4.5 Đường thuê bao kênh riêng(leased line):

Cách kết nối phổ biến nhất hiện nay giữa hai điểm có khoảng cách xa vẫn làLeased Line (tạm gọi là đường thuê bao) Leased Line là các mạch số (digitalcircuit) kết nối liên tục, được các công ty viễn thông cho thuê, nên có tên làLeased Line Leased Line được phân làm hai lớp chính là Tx (theo chuẩn của Mỹ

và Canada) và Ex (theo chuẩn của châu Ấu, Nam Mỹ và Mehicô), x là mã số chỉbăng thông (bandwidth) của kết nối Thông số kỹ thuật của các đường truyền Tx

và Ex được liệt kê trong bảng dưới

Hình 2.15: Kênh ảo (VC) và tuyến ảo (VP) trong ATM

Bảng2.2: Phân cấp băng thông đường leased line

Yêu cầu cấp thiết của an toàn bảo mật thông tin ngày nay, đặc biệt trong môitrường mạng Internet là nhiệm vụ chung của các quốc gia, các tổ chức tham gia trao

 Chiến lược doanh nghiệp: (Xây dựng mô hình quản lý các nguy cơ an ninhthông tin)

o Bảo vệ dữ liệu doanh nghiệp, tài sản doanh nghiệp

o Xây dựng, và bảo vệ các giao dịch tin cậy với các khách hàng, các đối tác

o Hoạch định các nguy cơ bảo mật

o Xây dựng hệ thống an ninh thông tin cho doanh nghiệp

 Quy trình hoạt động doanh nghiệp: (xây dựng những giải pháp an toànthông tin)

o An ninh thông tin doanh nghiệp hoạt động liên tục

o Giảm thiểu chi phí quản lý và quản trị an ninh thông tin

o Duy trì chính sách bảo mật thông tin riêng cho từng ứng dụng cụ thể

 Ứng dụng doanh nghiệp: (bảo vệ an toàn các ứng dụng doanh nghiệp)

o Quản lý định danh người dùng truy cập, khai thác mạng doanh nghiệp

o Tăng cường kiểm tra, giám sát người dùng mạng

o Thực hiện các giải pháp ứng với các mức an ninh thông tin tương xứng

o Chủ động triển khai các giải pháp an ninh thông tin ứng dụng công nghệmới

 Hạ tầng hệ thống thông tin: (an toàn hạ tầng cơ sở HTTT)

o Phát hiện và quản lý xâm nhập trái phép

Chiến lược doanh nghiệp Quy trình hoạt động doanh nghiệp Ứng dụng doanh nghiệp

Hạ tầng cơ sở hệ thống thông tin

Hình 3.1: Mô hình kiến trúc an ninh thông tin của doanh nghiệp

o Sử dụng các phương pháp mới, công nghệ mới

o Chọn lựa các thành phần xây dựng hệ thống an ninh thông tin

o Quản lý an ninh hạ tầng cơ sở HTTT

3.2 An ninh trên hạ tầng cơ sở

3.2.1 Dùng PKI (Public Key Infrastructure).

Cấu trúc hạ tầng mã khoá công cộng (PKI - Public Key Infrastructure - haycòn gọi là Hạ tầng mã khoá bảo mật công cộng hoặc Hạ tầng mã khoá công khai)cùng các tiêu chuẩn và các công nghệ ứng dụng của nó có thể được coi là mộtgiải pháp tổng hợp và độc lập PKI bản chất là một hệ thống công nghệ vừa mangtính tiêu chuẩn, vừa mang tính ứng dụng được sử dụng để khởi tạo, lưu trữ vàquản lý các chứng thực điện tử (digital certificate) cũng như các mã khoá côngcộng và cá nhân Sáng kiến PKI ra đời năm 1995, khi mà các tổ chức côngnghiệp và các chính phủ xây dựng các tiêu chuẩn chung dựa trên phương pháp

mã hoá để hỗ trợ một hạ tầng bảo mật trên mạng Internet Tại thời điểm đó, mụctiêu được đặt ra là xây dựng một bộ tiêu chuẩn bảo mật tổng hợp cùng các công

cụ và lý thuyết cho phép người sử dụng cũng như các tổ chức (doanh nghiệphoặc phi lợi nhuận) có thể tạo lập, lưu trữ và trao đổi các thông tin một cách antoàn trong phạm vi cá nhân và công cộng

Giờ đây, những nỗ lực hoàn thiện PKI vẫn đang được đầu tư và thúc đẩy

Và để hiện thực hoá ý tưởng tuyệt vời này, các tiêu chuẩn cần phải được nghiêncứu phát triển ở các mức độ khác nhau bao gồm: mã hoá, truyền thông và liênkết, xác thực, cấp phép và quản lý Nhiều chuẩn bảo mật trên mạng Internet,chẳng hạn Secure Sockets Layer/Transport Layer Security (SSL/TLS) và VirtualPrivate Network (VPN), chính là kết quả của sáng kiến PKI Một minh chứng làthuật toán mã hoá bất đối xứng được xây dựng dựa trên phương pháp mã hoá vàgiải mã thông tin sử dụng hai loại mã khoá: công cộng và cá nhân Trong trườnghợp này, một người sử dụng có thể mã hoá tài liệu của mình với mã khoá bí mật

và sau đó giải mã thông tin đó bằng chìa khoá công cộng Nếu một văn bản cóchứa các dữ liệu nhạy cảm và cần phải được truyền một cách bảo mật tới duynhất một cá nhân, thông thường người gửi mã hoá tài liệu đó bằng mã khoá riêng

công khai này có thể được gửi kèm theo tài liệu này hoặc có thể được gửi chongười nhận trước đó.

Bởi sự tồn tại của khá nhiều thuật toán bất đối xứng, các chuẩn công cộngtồn tại và thường xuyên được nghiên cứu cải tiến để phù hợp các thuật toán đó

Có một minh chứng khá đơn giản: Nếu những người sử dụng làm việc ở các tổchức khác nhau và chỉ có thể truyền thông với nhau qua một mạng công cộng,chẳng hạn Internet, như vậy sẽ cần phải xây dựng các tiêu chuẩn ở từng bướckhác nhau Thứ nhất, cần phải xác định phương thức các chứng thực được pháthành Một người nhận được xác thực cần phải chấp nhận tính hợp lệ của chứngthực đó và tin tưởng bộ phận thẩm quyền phát hành chứng thực đó Thứ hai, cácchuẩn phải thiết lập phương thức các chứng thực được truyền thông giữa các chủthể (đơn vị hoặc bộ phận) khác nhau Email và các dạng truyền thông khác đềudựa trên các tiêu chuẩn công nghệ và thông thường các chuẩn này không nhấtthiết phải hỗ trợ PKI Để hiện thực hoá kịch bản như mô tả ở trên, ta cần phải cócác quy tắc và tiêu chuẩn hỗ trợ việc các chứng thực được phát hành bởi các chủthể có thẩm quyền khác nhau có thể trao đổi và giao dịch giữa các tổ chức khácnhau Thứ ba, các tiêu chuẩn phải định nghĩa rõ được các thuật toán có thể vàphải bao gồm Cuối cùng, các tiêu chuẩn phải chỉ ra được cách thức duy trì các

hạ tầng cấu trúc truyền thông Bên cạnh đó, chúng cũng phải xây dựng đượcdanh sách người dùng được cấp chứng thực và danh sách những chứng thực bịhuỷ bỏ Hãy quyết định cách thức các thẩm quyền cấp chứng thực khác nhau sẽđược truyền thông với nhau và phương pháp tái lập lại một chứng thực trongtrường hợp xảy ra mất mát

Cấu trúc PKI trong các hạ tầng HTTT được sử dụng trong các ứng dụngmạng Như khi có website sử dụng SSL/TLS, như khi kết nối và làm việc trongmạng nội bộ sử dụng chuẩn VPN và Point To Point Tunneling Protocol (PPTP),hoặc như khi đang dùng các tính năng mã hoá của IPSec

PKI có thể đảm bảo một cơ chế bảo mật và tổng hợp để lưu trữ và chia sẻcác tài sản trí tuệ của tổ chức doanh nghiệp, cả trong và ngoài phạm vi tổ chức.Tuy nhiên, chi phí và/hoặc sự phức tạp của nó có thể gây ra những rào cản nhấtđịnh đối với khả năng ứng dụng

Những vấn đề phức tạp có thể được hiểu như sau: Đa phần các giao dịchtruyền thông của doanh nghiệp với khách hàng, chính quyền và các đối tác khácđều được diễn ra một cách điện tử Khi ta nhận thức được tất cả các kênh khácnhau trong các giao dịch đó, ta sẽ là một trong số ít các chuyên gia IT giỏi nhất.Một khi ta mở cánh cửa đối với email, phải thừa nhận rằng mọi thứ có thể gửi đi

sẽ được gửi đi, không kể đó là giữa các đối tác, trong nội bộ công ty hay thậm chívượt qua “ranh giới” công ty Một ví dụ trong số đó là một người nhận "bênngoài" có tên trong dòng Cc có thể nhận được một tài liệu mật và gửi nó trên cáckênh không an toàn khác Khi có ý định giải quyết vấn đề này hoặc các vấn đềkhác tương tự, một công việc quan trọng là cần phải quyết định về mức độ mởrộng của “biên giới" bảo mật, những tài sản " bạn phải bảo vệ, và mức độ bất hợp

lý bạn sẽ phải áp dụng đối với những người dùng”

Ngày nay, một giải pháp an ninh toàn diện cạnh tranh với PKI thực sự chưađược tìm thấy Từ góc độ giải pháp công nghệ, điều này làm cho việc chọn lựatrở nên đơn giản hơn Nhiều hãng khác cũng cung cấp các giải pháp PKI, songnếu doanh nghiệp đã từng được đầu tư cho các công nghệ của Microsoft, thì cóthể sẽ tận dụng được những lợi thế mà tập đoàn này hỗ trợ Với những cải tiếnlớn với PKI trong Windows XP Professional (dành cho máy trạm) và WindowsServer (dành cho máy chủ) Microsoft đưa ra giải pháp có thể giải quyết được cácvấn đề chính liên quan tới một chính sách bảo mật PKI Những tính năng này,cùng khả năng quản lý và liên kết PKI, đã được tích hợp vào hệ điều hành và cácứng dụng có liên quan

PKI cho phép tạo ra một quan hệ tin cậy giữa các chứng thực của các tổchức khác nhau và giải pháp PKI của Windows Server 2003 cũng bao gồm tínhnăng này Nó giúp các doanh nghiệp bắt đầu với một phạm vi quan hệ tin cậykhông lớn và cho phép mở rộng phạm vi này trong tương lai

3.2.2 Dùng RSA

Khái niệm RSA:

RSA là một hệ thống bảo mật khoá công cộng cho cả hai cơ chế mã hoá vàxác thực; nó được phát minh vào năm 1977 bởi Ron Rivest, Adi Shamir, và

Leonard Adleman RSA được ứng dụng trong cả hai lĩnh vực an ninh thông tin là

Mã hoá RSA privacy và Xác thực RSA

Mã hoá RSA privacy: Giả định rằng người A muốn gửi cho người B một

bản tin m, A tạo một văn bản dạng mã hoá c tạo bởi (c=me mod n), e và n làkhoá công cộng của người B Người A gửi c cho người B Để giải mã, người Bthực hiện m=cd mod n; Mối liên hệ giữa e và d đảm bảo rằng người B khôi phụcđúng n Vì chỉ người B biết d, do vậy chỉ người B có thể giải mã

Xác thực RSA: Giả định người A muốn gửi cho người B bản tin m theo cái

cách mà người B được đảm bảo rằng bản tin là tin cậy và được gửi từ người A.người A tạo một dạng chữ ký số hoá s bởi công thức: s=md mod n, d và n là khoáriêng của người A Người A gửi m và s cho người B Để xác minh lại chữ ký số,người B dùng công thức m=se mod n dựa trên bản tin m nhận được, e và n làkhóa công cộng của người A

Vì thế, mã hoá và xác thực có thể được sử dụng mà không cần phải chia sẻkhoá riêng, mỗi người chỉ dùng khoá công cộng của người khác và khoá riêngcủa chính mình Bất kỳ người nào có thể gửi một bản tin đã mã hoá hoặc xácminh lại bản tin đã được xác nhận chữ ký số, bằng cách chỉ dùng khoá chung,nhưng chỉ người nào đó có được khoá riêng đúng thì có thể giải mã hoặc xácthực bản tin

Ứng dụng RSA:

Các sản phẩm RSA ngày nay đã trở nên phổ biến trong tất cả các lĩnh vựcquan tâm đến giải pháp an ninh thông tin như: RSA securID authentication,Smart Card & USB tokens, Digital Certificate, Quản lý truy nhập Web, RSAMobile …

Công nghệ RSA Mobile:

Công nghệ RSA Mobile là một giải pháp xác thực tiên tiến mà bảo vệ truycập tới các tài nguyên thông tin trên web bằng cách cung cấp giải pháp xác thựchai yếu tố (Two-factor user authentication) thông qua việc sử dụng các thiết bịmobile phones và PDA Được thiết kế để bảo vệ các ứng dụng B2C và B2B,phần mềm RSA Mobile yêu cầu người dùng định danh chính họ với hai yếu tốriêng biệt của từng người – cái mà họ biết (số PIN – Personal Identification

Number) và cái mà họ có (mã truy cập sử dụng một lần được gửi tới mobilephone hoặc PDA của họ) - trước khi họ được cấp quyền tới một trang web đượcbảo vệ Với phần mềm RSA Mobile, các doanh nghiệp có thể nhận dạng mộtcách chắc chắn người dùng và cung cấp các dịch vụ quan trọng một cách riêng tư(confidently), thuận tiện và an toàn cho người dùng ở bất cứ địa điểm nào, tại bất

kỳ thời gian nào Lợi ích của người dùng là từ việc đăng nhập hệ thống đơn giản,loại trừ việc phải ghi nhớ quá nhiều mật khẩu hoặc phải sử dụng nhiều loại cardkhác nhau

Bảo vệ truy cập tới các ứng dụng web: Công nghệ RSA Mobile cung cấp

một cách thuận lợi để bảo vệ các tài nguyên web (web resources) bằng giải phápxác thực hai yếu tố Thông qua trình duyệt web (browser), người dùng yêu cầutruy cập tới một tài nguyên web mà được bảo vệ bởi phần mềm RSA MoblieAgent bằng cách gửi tên và số PIN riêng của người dùng, phần mềm RSAMobile Agent sẽ tạo ra một mã truy cập sử dụng một lần riêng cho mỗi ngườidùng và gửi nó tới mobile phone hoặc PDA của họ dưới dạng SMS hoặc tin

Hình 3.2 : Mô phỏng an ninh mạng dùng công nghệ RSA Mobile

dùng gửi thông tin xác thực tới, server này xác định thông tin có hợp lệ haykhông.

Giải pháp bảo mật được công nhận: Công nghệ RSA Mobile được xây

dựng trên kỹ thuật đồng bộ thời gian (time-synchronous) và thuật toán(algorithms) đã được công nhận và đã được sử dụng thành công trong nhiều nămbởi hàng triệu người dùng Mã truy cập RSA Mobile được gửi tới mobile phonehoặc PDA của người dùng bằng cách sử dụng các thuật toán mã hoá như với mãhoá đường thoại Phần mềm RSA Mobile còn tiến hành thêm một bước là yêucầu người dùng nhập mã truy cập của họ vào đúng trình duyệt web mà họ đãdùng để đưa ra yêu cầu truy cập, điều này ngăn chặn một ai đó đánh cắp được mãtruy cập có thể sử dụng nó để truy cập bất hợp pháp trên một máy tính khác

Hỗ trợ nhiều phương thức xác thực : Công nghệ RSA Mobile cung cấp cho

người quản trị khả năng chuyển đổi phương thức xác thực cho các tài nguyênkhác nhau Ví dụ, một vài tài nguyên có thể sử dụng các phương thức xác thựcnhư sử dụng RSA token hoặc mật khẩu Khả năng hỗ trợ nhiều phương thức xácthực cho phép người quản trị có thể xác định một cách linh hoạt phương thức xácthực thích hợp trong các hoàn cảnh khác nhau Các hàm xác thực API được cungcấp với phần mềm RSA Mobile trao cho người quản trị khả năng tích hợp mộtcách dễ dàng các giao diện xác thực đã có vào sản phẩm RSA Mobile

Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của mộtdoanh nghiệp, tổ chức, ngành hay một quốc gia, và Internet Vai trò chính là bảomật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet)

và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet

Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet

và Internet Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong(Intranet) và mạng Internet Cụ thể là:

 Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet raInternet)

 Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internetvào Intranet)

 Theo dõi luồng dữ liệu mạng giữa Internet và Intranet

 Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập

 Kiểm soát người sử dụng và việc truy nhập của người sử dụng

 Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng

Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:

 Bộ lọc packet (packet-filtering router)

 Cổng ứng dụng (application-level gateway hay proxy server)

 Cổng mạch (circuite level gateway)

 Bộ lọc paket (Paket filtering router)

Nguyên lý thực hiện của firewall như sau:

Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông quaFirewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thứcTCP/IP Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận đ-ược từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trêncác giao thức (Telnet, SMTP, DNS, SMNP, NFS ) thành các gói dữ liệu (datapakets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ởđích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet

và những con số địa chỉ của chúng

Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được Nó kiểmtra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn mộttrong số các luật lệ của lọc packet hay không Các luật lệ lọc packet này là dựatrên các thông tin ở đầu mỗi packet (packet header), dùng để cho phép truyền