ĐỀ CƯƠNG TƯ VẤN THIẾT KẾ XÂY DỰNG HỆ THỐNG MẠNG CAMPUS

Nếu hacker vượt qua được tường lửa, tấn công vào cácserver có độ ưu tiên kém, ít bảo mật hơn như các server quản trị, thì từ đó hacker cóthể sử dụng làm bàn đạp, tấn công vào các server

BÁCH KHOA

ĐỀ CƯƠNG TƯ VẤN THIẾT KẾ XÂY DỰNG

HỆ THỐNG MẠNG CAMPUS CỦA VIỆN

KHOA HỌC VIỆT NAM

Phiên bản:0.1

Mục lục

1 Mục tiêu và nội dung 4

2 Hiện trạng hệ thống 4

2.1 Hiện trạng hệ thống mạng 4

2.1.1 Hệ thống mạng Campus 5

2.1.2 Hệ thống phân hoạch dải IP, Domain name, AS number 7

2.1.3 Mô hình định tuyến 7

2.1.4 Kết nối Internet và Vinaren 8

2.2 Hiện trạng các dịch vụ 8

2.3 Hiện trạng hệ thống bảo mật 9

2.4 Các nhận xét và khuyến nghị 9

3 Yêu cầu của hệ thống mới 11

3.1 Yêu cầu hệ thống mạng Campus 11

3.2 Yêu cầu tài nguyên địa chỉ IP, Domain name 12

3.3 Yêu cầu về định tuyến Internet và Vinaren 12

3.4 Yêu cầu các dịch vụ 13

3.5 Yêu cầu về bảo mật 14

3.6 Yêu cầu về chuyển đổi hệ thống 15

4 Đề xuất giải pháp nâng cấp 15

4.1 Quy hoạch tổng thể cho hệ thống 15

4.1.1 Giới thiệu các công nghệ quan trong sử dụng trong thiết kế 15

4.1.2 Quy hoạch tổng thể 23

4.1.3 Quy hoạch dải IP, cách đặt tên thiết bị 27

4.1.4 Quy hoạch định tuyến 31

4.1.5 Quy hoạch bảo mật 33

4.2 Đề xuất phương án nâng cấp giai đoạn 1 37

4.3 Đề xuất phương án nâng cấp toàn bộ hệ thống 39

5 Đề xuất thiết bị và dự toán kinh phí 40

6 Kết luận 52

1 Mục tiêu và nội dung

Mục đích

Mục tiêu của tài liệu nhằm đưa ra thực trạng của hệ thống mạng Campus hiện tại củaViện Khoa học và Công nghệ Việt Nam (VAST), phân tích các yêu cầu của hệ thốngmạng mới cần xây dựng, từ đó xây dựng thiết kế cho hệ thống mạng mới đáp ứng cácyêu cầu nguyên cứu, hợp tác phát triển và ứng dụng công nghệ

Nội dung

Tài liệu gồm 5phần chính:

 Phần 1: Hiện trạng hệ thống

 Phần 2: Yêu cầu của hệ thống mới

 Phần 3: Đề xuất giải pháp nâng cấp

 Phần 4: Đề xuất thiết bị và dự toán kinh phí

 Phần 5 : Kết luận

2 Hiện trạng hệ thống

2.1 Hiện trạng hệ thống mạng

2.1.1 Hệ thống mạng Campus

Mạng Campus của VAST được chia làm 2 thành phần:

 Mạng VAST cũ, được xây dựng từ trước, gồm một số Viện thành viên củaVAST Bao gồm các tòa nhà:

o A2:

o A4: Viện Toán

o A10: Viện Sinh Thái

o A18: Viện Hóa

o A26: Viện Khoa Học Vật Liệu (VKHVL)

o A11: Viện công nghệ sinh học (VCNSH)

o A1: Trung tâm tích hợp dữ liệu (TTTHDL)

o A3: Viện Công nghệ Thông tin (Viện CNTT hay IOIT)

o A7:Một số ban chức năng

o A6:

Trung tâm của hệ thống mạng là tòa nhà A3, từ đây, cáp quang tỏa đi các tòanhà chính Khoảng cách cáp quang là từ 100m đến 800m Cáp quang sử dụng là cápmultimode, 2 sợi, 1 sợi chạy chính, 1 sợi dự phòng Ngoài ra, các tòa nhà phụ nằmgần tòa nhà chính, khoảng cách dưới 100m cũng được nối về tòa nhà chính, thôngqua cáp đồng UTP Nhà A3 hiện tại cũng là trong tâm vận hành mạng (NOC)

Cáp quang được cắm vào switch thông qua converter Mạng VAST cũ sửdụng converter 100Base-FX, mạng VAST Office sử dụng converter 1000Base-FX.Công nghệ quang FX sử dụng với cáp multimode cho phép truyền xa lên đến 2km

Về thiết bị mạng, các tòa nhà A1, A3 và A7 đều được trang bị switch Layer 3mới, có khả năng chia VLAN (01 x Cisco Catalyst 3550 và 02 x Cisco Catalyst3560) và các switch access layer 2 (03 x Cisco Catalyst 2950) Các tòa nhà khácđược trang bị không đồng nhất, chủ yếu là switch layer 2 làm access Một số nơi vẫncòn sử dụng switch layer 2 cũ, không có khả năng chia VLAN, hoặc là hub côngnghệ chia sẻ băng thông 10Mbps Mỗi một đơn vị có trên dưới 100 máy trạm, tùyvào quy mô

Do tính chất quan trọng của mạng VAST Office, tại các tòa nhà A1 và A7,mạng Lan được phân ra thành các VLAN:

 VLAN cho các ban chức năng

2.1.2 Hệ thống phân hoạch dải IP, Domain name, AS number

VAST chưa có quy hoạch về IP private rõ ràng, các đơn vị đang tự ý sử dụngcác dải nhỏ thuộc lớp mạng 10.0.0.0/8, chẳng hạn CP đang dùng dải 10.0.3.0/24, một

số các đơn vị sử dụng IP thuộc 10.15.0.0/16

VAST cũng chưa đăng ký IP public và AS number Hiện tại đang sử dụngkhoảng 8 địa chỉ public để NAT tĩnh cho một số server, và Nat động cho các User raInternet VAST đang sử dụng domain VAST.AC.VN, tuy nhiên do ISP quản lý

2.1.3 Mô hình định tuyến

Chưa có thông tin khảo sát

2.1.4 Kết nối Internet và Vinaren

Hiện tại, mới chỉ có một đường Internet duy nhất tại tòa nhà A1, phục vụ kết nốicho các thành viên Đường đây là đường Lease line Internet, dung lượng 2Mbps trongnước là 512Kbps quốc tế Các thành viên có thể sử dụng đường Internet này thông quaProxy, hoặc sử dụng đường ADSL riêng

Mạng Vinaren chưa được kết nối vào mạng VAST, do vậy người dùng khi muốn

sử dụng mạng Vinaren phải chuyển ra một mạng LAN riêng Hiện tại VAST cũng vừamới trang bị thêm một router Cisco 3845 để kết nối với Vinaren và Internet

2.2 Hiện trạng các dịch vụ

VAST cung cấp cho người dùng một số dịch vụ như Web, chia sẻ file, Cơ sở dữliệu Trang Web và Email của VAST đang được đặt ở Netnam

2.3. Hiện trạng hệ thống bảo mật

Hệ thống bảo mật chưa được đầu tư thích đáng Hiện tại chỉ có một thiết bị CiscoFIX 515E làm gateway cho mạng Internet và một firewall Celectix Scorpio FV930chạy phần của hãng checkpoint làm Firewall cho tòa nhà A1, phân chia mạng thànhcác vùng như DMZ, vùng VLAN Lãnh đạo, Vùng VLAN người dùng…

Các server nằm hết trong cùng một vùng DMZ, bao gồm một số server quản trị,server web, server CSDL dùng chung Các server này có tính chất quan trọng, độ ưutiên về bảo mật khác nhau Nếu hacker vượt qua được tường lửa, tấn công vào cácserver có độ ưu tiên kém, ít bảo mật hơn như các server quản trị, thì từ đó hacker cóthể sử dụng làm bàn đạp, tấn công vào các server quan trọng hơn, chứa CSDL… Dovậy, thông thường người ta thường tách thành các vùng server riêng:

 Vùng DMZ : Đặt các server public như HTTP, DNS, Proxy , email…

 Vùng Internal Server: Đặt các server sử dụng trong mạng nội bộ nhưCSDL, FTP, DHCP, Domain Controller, các Ứng dụng khác…

 Vùng Management Server: Các server quản trị băng thông, thiết bị mạng,iBMS, Antivirus,…

Chính sách bảo mật cho máy trạm được quy định, nhưng chưa rõ ràng

2.4. Các nhận xét và khuyến nghị

 Các nhận xét:

Sau nhiều năm đầu tư, hệ thống mạng đã lạc hậu, xuống cấp, không còn đáp ứngđược các yêu cầu hiện tại Việc đầu tư nâng cấp rời rạc, không có hệ thống, quy hoạchtheo lộ trình rõ ràng

Mạng chưa có dự phòng, do vậy bất kì một thiết bị nào, gặp sự cố cũng ảnh hưởngđến người dùng Một số thiết bị quan trọng như Firewall tại TTTHDL, Firewall choInternet, Switch core gặp sự cố sẽ gây ảnh hưởng toàn bộ hệ thống Mạng mang tínhchất phẳng, chưa phân thành các lớp

Ngày nay, ứng dụng trên Internet rất phát triển, các trang web không chỉ là Text

mà chứa rất nhiều multimedia, flash… khiến cho nhu cầu băng thông Internet tăngchóng mặt VAST hiện tại chỉ có 1 đường Internet, dung lượng thấp vừa đáp khôngđáp ứng được tính sẵn sàng cao, vừa không đáp ứng được nhu cầu nguyên cứu, hợptác

Việc sử dụng tài nguyên của mạng Vinaren chưa thuận tiện và phổ cập đến ngườidùng cuối, do vậy chưa khai thác được nguồn tài nguyên vô cùng to lớn ở mạngVinaren

 Các khuyến nghị:

- Cần có kế hoạch đầu tư dài hạn nâng cấp hạ tầng công nghệ thông tin

- Phân lớp mạng theo từng khối, mô đun với chức năng của từng khối mạngđược định nghĩa rõ ràng

- Tăng khả năng dự phòng ở những mô đun quan trọng

- Cần có quy hoạch địa chỉ IP, DNS thống nhất để các thành viên trong cảnước có thể kết nối được với nhau

- Tăng băng thông kết nối internet

- Quy hoạch lại định tuyến mạng Vinaren và Interent, đảm bảo trong suốt vàphổ cập cho mọi người dùng

- Cần nâng cấp hệ thống bảo mật:

o Tăng cường các Firewall, IPS có hiệu năng cao

o Phân chia mạng thành các mô đun, để dễ dàng áp dụng các chínhsách bảo mật

o Chú trọng phát triển, thực thi các chính sách bảo mật trên máy trạm,

vì đây là nguồn lẫy nhiễm virus phổ biến

3 Yêu cầu của hệ thống mới

3.1. Yêu cầu hệ thống mạng Campus

 Yêu cầu chung của hệ thống

Về tổng thể, mạng VAST Campus Network sẽ được xây dựng trên hạ tầng cápquang mới, và được quản trị tập trung tại trung tâm mạng (NOC) mới xây dựnggần tòa nhà A1 mới sẽ có một số đặc điểm kỹ thuật sau:

 VASTnet phải có kiến trúc mở:

 Có hiệu năng cao tốc độ mạng trục tối thiểu 1 Gbps, đáp ứng được cho cácdịch vụ hiện tại như email, web, CSDL dùng chung và trong tương lai, tốithiểu 5 năm Các dịch vụ mới có thể bao gồm Hội nghị truyền hình, đàotạo từ xa, thoại IP, tính toán hiện năng cao, tính toán lưới với các đơn vịtrong và ngoài nước

 Có độ tin cậy và tính sẵn sàng cao

 Đảm bảo an toàn, an ninh mạng

 Thiết kế theo các mô đul, có khả năng phân lập sự cố, giảm thiểu sự cố trêndiện rộng

 Dễ dàng nâng cấp mở rộng sau này, bảo vệ đầu tư

 Các thành viên có thể tự trang bị đường Internet riêng, cùng với các thiết bịnhư router, firewall để có thể độc lập, an toàn với VAST mà vẫn bảo đảmkết nối đến các thành viên khác và mạng VINAREN…

3.2.Yêu cầu tài nguyên địa chỉ IP, Domain name

Việc cấp phát các tài nguyên như địa chỉ IP, tên miền phải có tính hệ thống Các tàinguyên được cấp phát tập trung, một số tài nguyên chia sẻ, một số cấp pháp cho cácthành viên Các thành viên có thể sử dụng tài nguyên được cấp, tuân thủ một số quytắc chung, đảm bảo tính thống nhất

3.3.Yêu cầu về định tuyến Internet và Vinaren

 Mạng Internet phải cung cấp kết nối VPN, giúp cho người dùng đi công tác xavẫn có thể sử dụng các tài nguyên mạng chia sẻ như ở trong mạng nội bộ.Chẳng hạn một cán bộ đi công tác nước ngoài, được cấp quyền VPN, cán bộnày có thể VPN về mạng nội bộ, sử dụng phần mềm IP phone trên máy labtop

để thực hiện các cuộc gọi nội bộ mà không phải trả phí gọi quốc tế Ngườiquản trị mạng ở xa cũng có thể thông qua kênh VPN này để thực hiện các tác

vụ cần thiết

 Thông thường, các thành viên ở Hà Nội, muốn trao đổi dữ liệu với các thànhviên ở nơi khác sẽ phải thuê một đường truyền Lease line với chi phí cao Tuynhiên nếu hai thành viên cùng kết nối vào mạng Vinaren, ta có thể trao đổi dữliệu qua mạng Vinaren Ngoài ra, ta cũng có thể tạo các kênh VPN giữa cácthành viên qua mạng Vinaren hoặc mạng Internet để kết nối hai mạng nội bộnày lại thành một mạng thống nhất

VPN Gateway có thể là Firewall, Router hay thiết bị chuyên dụng.

3.4.Yêu cầu các dịch vụ

Khi hệ thống đã được xây dựng đảm bảo tính sẵn sàng và tính bảo mật cao thì việcxây dựng và tự quản lý hệ thống dịch vụ là rất cần thiết Việc này sẽ làm cho hệ thốngdịch vụ chủ động hơn trong việc mở rộng các dịch vụ mới, giảm chi phí cho việc hostingcác dịch vụ ở bên ngoài

 Dịch vụ Email là dịch vụ phổ biến và quan trọng đôi với bất kỳ hệ thống mạngnào Hệ thống Email server phải đảm bảo cung cấp đủ tài nguyên cho cho cácngười dùng, hệ thống phải đảm bảo được tính bảo mật trong các quá trình gửinhận mail, thông tin trong các qúa trình đó phải được mã hóa, mail server phảiđược được tích hợp các tính năng Anti-spam, Anti-Virus, có giao diện, các tínhnăng thân thiên dễ dùng

 Dịch vụ Web cũng có vai trò quan trong như mail trong hệ thống mạng, dịch vụweb được xây dựng với mục đích quảng bá các thông tin của viện VAST và các

thông tin cuả các đơn vị chức năng Hệ thống web server phải đảm bảo nhưng yêucầu như web server phải được xây dựng trên công nghệ web mới nhất, phải cậpnhật được những lỗ hổng về bảo mật…

 Hệ thống CSDL phải đảm bảo tính đồng bộ, tốc độ truy cập các bản tin, số lượngcác bản ghi Các dịch vụ như mail, web có thể dụng cơ sở dữ liệu này

 Dịch vụ VoIP, Video Conference, khi hệ thống đã có hạ tầng mạng tốt, tốc độ kếtnối với các thành viên cao, địa chỉ Ipv6 được đưa vào sử dụng thì việc sử dụngVoIP là rất hợp lý Nó sẽ làm giảm tối thiểu chi phí cho các cuộc gọi bằng điệnthoại tương tự Dịch vụ này đòi hỏi yêu cầu về Chât lượng dịch vụ (QoS)

 Dịch vụ đào tạo từ xa: Dịch vụ này đòi hỏi về băng thông mạng Nếu có nhiềungười dùng từ xa cần học, ta có thể sử dụng multicast để giảm yêu cầu về băngthông

 Hệ thống Gid Computing, ngày nay với nhiều bài toán kỹ thuật vượt qua khỏi khảnăng tính toán của mốt máy tính do đó hệ thống gid computing ra đời cho phép kếtnối nghiều máy tính với nhau để cung giải quyết một bài toán chung Là thànhviên của mạng VINAREN, viện VAST yêu cầu xây dựng hệ thống gidcompurting, hệ thống này sẽ được kết nối với các hệ thống gid compurting kháctrên thế giới thông qua hạ tầng mạng của hệ thống Dịch vụ này thường đòi hỏi địachỉ IP public, do vậy sẽ thích hợp nếu ứng dụng Ipv6

3.5.Yêu cầu về bảo mật

Đảm bảo tính bảo mật là yêu cầu cao nhất cho một hệ thống thông tin, đặc biệt là đốivới hệ thống dịch vụ và đào tạo quản lý

 Hệ thống bảo mật phải quản lý được toàn bộ các kết nối từ bên ngoài và toàn bộcác kết nối từ các máy tính từ các đơn vị chức năng vào hệ thống máy chủ dịch

vụ, hệ thống máy chủ Internal và kết nối ra ngoài Internet

 Hệ thống bảo mật phải tự động cập nhật các lỗ hổng về bảo mật, hệ thống phải

tự động phát hiện tấn công và ngăn chặn kịp thời

 Hệ thống phải mềm dẻo trong việc tạo ra các chính sách về bảo mật, cácsignature để phát hiện tấn công.

3.6.Yêu cầu về chuyển đổi hệ thống

Việc chuyển đổi hệ thống diễn ra theo 2 giai đoạn Giai đoạn 1: NOC sẽ được chuyểntạm thời từ A3 về A1 từ năm 2009 đến 2010 Giai đoạn 2: Xây dựng NOC mới gầntòa nhà A1, chuyển các NOC cũ và TTTHDL từ A1 sang NOC mới Các yêu cầuchung với việc chuyển đổi:

 NOC tạm thời phải được thiết kế, thi công sao cho việc chuyển sang NOC mớisau này là thuận tiện và đơn giản nhất NOC tạm thời này vừa tuân theo quyhoạch tổng thể, vừa phải tương thích với hệ thống mạng cũ

 Việc chuyển đổi cần nhanh chóng, không gián đoạn dịch vụ trên diện rộng, đốivới những dịch vụ quan trọng phải tiến hành ngoài giờ hành chính

 Việc chuyển đổi từ NOC mới sang NOC cũ chỉ đơn thuần là chuyển đổi vật lý,không làm thay đổi cấu trúc logic

 Tiết kiệm chi phí, bảo vệ đầu tư

4 Đề xuất giải pháp nâng cấp

4.1.Quy hoạch tổng thể cho hệ thống

4.1.1 Giới thiệu các công nghệ quan trong sử dụng trong thiết kế

 So sánh topo Ring và Star:

1 hub trung tâm-Thường sử dụng cho mạng truyền dẫn

quang Sonet, SDH, WDM hay mạng

Token Ring

- Thường sử dụng cho mạng chuyểnmạng gói Ethernet, IP

-Sử dụng trong mạng chuyển mạch gói

gấy loop mạng, nên phải có cớ chế

- Không bị loop

chống loop như Spanning tree ở mạng

Ethernet hay sử dụng các giao thức

định tuyến OSPF, RIP… ở mạng IP

-Khả năng chịu lỗi tốt hơn: Khi đứt một

kết nối mạng vẫn hoạt động tốt, dứt hai

kết nối mới phá vỡ RING

- Khả năng chịu lỗi kém hơn, đứt bất kìmột kết nối thì nút bị loại ra khỏi mạng

-Khó kiểm soát luồng dữ liệu, khó cô

lập và khắc phục sự cố xảy ra Nhất là

đối với RING lớn

- Dễ dàng kiểm soát luồng dữ liệu, dễdàng cô lập và khắc phục các lỗi

- Áp dụng vào mạng VAST: Luồng dữ

liệu giữa các thành viên ít, nên topo

RING không đạt hiệu quả cao

- Áp dụng vào mạng VAST: luồng dữliệu chủ yếu từ các thành viên đếnTTTHDL ( từ nút đến HUB), nên topoSTAR đạt hiệu quả hơn

- Áp dụng vào mạng VAST: độ dài cáp

ngắn hơn

- Áp dụng vào mạng VAST: độ dài cáplớn hơn vì HUB đặt ở nhà A1, ko phảiđiểm nằm giữa campus

-Khó khăn trong việc mở rộng nút mới,

vì phải phá bỏ một liên kết cũ và thêm

2 liên kết mới Tương tự với việc loại

Từ về cơ bản topo mới có dạng hình STAR, tuy nhiên để khắc phục khả năngchịu lỗi của topo STAR, tại một số nút quan trọng, ta khép thành 1 vòng RING nhỏ( thông thường 3 nút tạo thành 1 RING sẽ cho kết quả tối ưu)

Ngoài ra, để khắc phục nhược điểm: “single point of failure”, ta sử dụng 2 hubtrung tâm, mỗi nút sẽ có 2 kết nối đến hub này Thông thường 1 đường cáp outdoor

sẽ có nhiều sợi cáp, do vậy có thể sử dụng 1 đường cáp để nối từ một nút đến 2 hub

Như vậy hạ tầng cáp quang mới sẽ có dạng:

 Các công nghệ tăng tính sẵn sàng (High Availability)

Để tăng cường tính sẵn sàng và khả năng ổn định của hệ thống mạng, bêncạnh việc sử dụng các thiết bị mạng có độ tin cậy cao, người ta còn sử dụng dư thừacác thiết bị cũng như số đường mạng Phụ thuộc vào giao thức và phần mềm hỗ trợ,người ta chia ra làm 3 nhóm phương pháp High Availability:

 Cân bằng tải ( Load-sharing , Load balacing, Active/Active): Để thực

hiện 1 nhiệm vụ thì có 2 thiết bị tương tự nhau cùng hoạt động, mỗi thiết

bị hoạt động 50% tải của mạng Khi 1 thiết bị gặp sự cố thì thiết bị còn lại

sẽ hoạt động 100% tải của mạng Thời gian downtime của hệ thống tínhbằng giây Kết hợp với tính năng “statefull failover”, hai thiết bị này luônluôn cập nhập trạng thái hoạt động cho nhau, do vậy khi một thiết bị down,

các kết nối hiện tại không bị reset lại Một số ứng dụng thường gặp củaCân bằng tải:

o Firewall: Firewall của các hãng khác nhau thường có công nghệ HAActive/Active riêng, Tuy nhiên tính năng này thường đòi hỏi thêmlicense

o Clustering/Stack: ghép nhiều thiết bị lại thành 1 biết bị

o Thiết bị Load-Balancing cho ứng dụng: sản phẩm của các hãng nhưF5, Cisco, Citrix

o Thiết bị Load-Balancing cho nhiều đường Internet

o Các giao thức định tuyến trên router cũng có khả năng cân bằng tảitrên nhiều đường

o Giao thức GLBP (Gateway Load Balancing Protocol): Cân bằng tảicho nhiều router trong cùng một mạng LAN

o EtherChannel: Ghép nhiều đường Ethernet nối giữa hai switch hoặcgiữa switch với server nhiều card mạng lại thành một đường lớnhơn

o PPP Multilink: Ghép nhiều đường point-to-point giữa hai router lạithành một đường lớn hơn

o Ngoài ra, trên 1 thiết bị còn có thể dự phòng các thành phần như dựphòng nguồn điện, dự phòng quạt, dự phòng bộ xử lý…

Hai phương pháp trên thường áp dụng cho các hệ thống đòi hỏi tính sẵnsàng cao

 Dự phòng nóng (Active/Standby, Hot Standby): Để thực hiện 1 nhiệm vụ

thì sử dụng hai thiết bị tương tự, trong đó một thiết bị hoạt động 100% tảicủa mạng và một thiết bị hoạt động 0% tải để dự phòng nóng Khi thiết bịactive gặp sự cố thì thiết bị stand sẽ lập tức chuyển trạng thái thành active

và nhận 100% tải của mạng Tương tự như trường hợp Active/Active, thờigian downtime của hệ thống cũng chỉ tính bằng giây và kết hợp với tínhnăng “statefull failover”, các kết nối hiện tại không bị reset lại Một số ứngdụng thường gặp của dự phòng nóng:

o Firewall: Firewall cũng có thể chạy ở chế độ Active/Standby

o Thiết bị Load-Balancing cho ứng dụng cũng có chế độActive/Stanby

o Giao thức HSRP (Hot Standby Routing Protocol) : Dự phòng nóngcho nhiều router trong một mạng LAN

o Giao thức SPT (Spanning Tree Protocol): Cho phép dư thừa các kếtnối Ethernet giữa các switch, các kết nối dư thừa ở trạng tháiStandby để tránh loop

 Dự phòng nguội ( Cold Standby): Một thiết bị được lưu kho để dự phòng

cho một số lượng các thiết bị đang hoạt động Chẳng hạn mạng có 10switch access, ngoài ra để dự phòng cho các thiết bị này, người ta còntrang bị thêm 1 switch dự phòng nguội Trường hợp 1 switch bị hỏng thìngười ta sẽ đem ra thay thế Trong trường hợp này, thời gian downtime của

hệ thống lên đến vài giờ Phương pháp này có chi phí thấp, tuy nhiêndowntime lớn do vậy thường áp dụng cho những hệ thống không đòi hỏitính sẵn sàng cao

Qua việc phân tích những phương trên, chúng tôi khuyến nghị sẽ sử dụngphương pháp Active/Active hoặc Active/Standby cho các module đòi hỏi tĩnh sẵnsàng cao như : mô đun Core, mô đun kết nối Internet + Vinaren, mô đun Server,

mô đun mạng cho Lãnh đạo Các module khác sẽ sử dụng phương pháp dự phòngnguội

 So sánh định tuyến tĩnh và định tuyến động

Hiện nay đang có 2 xu hướng sử dụng định tuyến trên mạng như sau:

 Định tuyến tĩnh (static routing): là việc nhà quản trị tự xác định các mạng

đích và điểm đến tiếp (next hop) để tới mạng đích đó, có nghĩa là với mộtmạng đích như vậy thì sẽ chuyển gói tin tới Router nào

Ví dụ như sau về một dòng lệnh định tuyến tĩnh:

ip route 10.192.64.0 255.255.255.0 10.65.4.1

Điều này tương đương với việc ra lệnh cho Router: Với gói tin cần gửi tớimạng 10.192.64.0 với 24 bit subnet mask thì chuyển gói tin đó tới Router cóđịa chỉ 10.65.4.1 để xử lý tiếp.

Với phương pháp này nhà quản trị sẽ phải thao tác bằng tay (manual) nhập cácgiá trị định tuyến vào cấu hình Router do đó sử dụng định tuyến tĩnh có một

số bất cập sau:

o Khó quản lý đường đi trên mạng (route): khi số lượng mạng đích rấtnhiều thì số lượng route trên mạng sẽ tăng nhanh chóng Như ví dụ trên

ta thấy nếu không phải là 1 mạng đích mà là 100 mạng đích thì ta phải

gõ bằng tay 100 dòng như vậy vào cấu hình Router, việc này làm chobảng định tuyến của Router trở nên phức tạp khó quản lý

o Không tự động cập nhật khi có thay đổi: Sau khi một route được thiếtlập, nếu các giá trị trong route đó thay đổi (chẳng hạn như một đơn vịnào đó thay đổi IP) thì nhà quản trị phải xóa route cũ đi và gõ route mớivào với giá trị mới, điều này làm tiêu tốn thời gian và dễ gây nhầm lẫn.Tuy nhiên định tuyến tĩnh cũng có ưu điểm là không làm tiêu tốn băng thôngkênh truyền bởi các Router trên mạng không cần phải thông báo cho nhau bảngđịnh tuyến của chúng mà bảng này do nhà quản trị nhập vào từng Router một.Chính vì lý do này mà định tuyến tĩnh thường được sử dụng cho những hệthống mạng nhỏ, không phân chia subnet phức tạp và hoạt động tương đối ổnđịnh

 Định tuyến động (dynamic routing): là một giải pháp tốt cho việc giải quyết

bài toán quản lý và cập nhật route khi hệ thống mạng trở nên lớn về quy mô và

số lượng thiết bị

Với định tuyến động, nhà quản trị chỉ cần quy định loại giao thức định tuyến

mà Router sẽ sử dụng, việc cập nhật và thông báo các route sẽ được Routerlàm hoàn toàn tự động, không cần can thiệp của nhà quản trị Như vậy các thaotác quản trị sẽ đơn giản hơn và dễ dàng hơn rất nhiều Các giao thức định tuyếnthường sử dụng:

o RIP (Routing Information Protocol)

o OSPF (Open Shortest Path First)

o ISIS (Intermediate System-to-Intermediate System Protocol)

o EIGRP (Enhanced Interior Gateway Routing Protocol)

o BGP (Border Gateway Protocol)

Tuy nhiên định tuyến động cũng yêu cầu một số nội dung sau:

o Khả năng xử lý của Router phải tương đối cao, bởi khi chạy định tuyếnđộng, Router phải tự cập nhật, phân tích, thông báo về bảng định tuyếncho nhau để tìm ra đường đi hợp lý nhất và việc này là tiêu tốn khảnăng xử lý của Router

o Nhà quản trị phải có kiến thức tốt và nhiều kinh nghiệm về định tuyến:Với loại hình này, việc cấu hình trên Router sẽ cần phải cân nhắc hợp lý

để hệ thống không bị những vòng lặp (routing loop) trên mạng

Với quy mô của mạng VAST, chúng tôi khuyến nghị sử dụng giao thức OSPFcho mạng VASTnet Đây là giao thức có nhiều ưu điểm và được sử dụng phổbiến nhất trong các mạng LAN/WAN Với đòi hỏi tính trong suốt của người dùngkhi kết nối vào mạng VINREN và mạng Internet, khả năng kết nối đến nhiều ISPkhác nhau, thì phần mô đun kết nối sẽ sử dụng giao thức BGP định tuyến Giaothức BGP cũng là giao thức duy nhất để kết nối giữa các ISP trên mạng Internet,cũng như giữa các thành viên của mạng VINAREN/TEIN2

4.1.2 Quy hoạch tổng thể

 Sơ đồ mạng tổng thể:

Phân tích thiết kế hệ thống:

Xuất phát từ yêu cầu của hệ thống, trong thời gian chuyển đổi này NOC sẽđược đặt tại tòa nhà A1 và sau này toàn bộ hệ thống sẽ chuyển sang NOC mới đượcxây dựng bên cạnh tòa nhà A1 Song về quy hoạch tổng thể của hệ thống vẫn khôngthay đổi và được thiết kế như sau:

Hệ thống sẽ được chia ra làm các vùng riêng biệt với các chức năng và vai tòkhác nhau bao gồm các vùng sau:

 Vùng kết nối ra bên ngoài (Outside):

 Vùng này có nhiệm vụ kết nối mạng VAST với các hệ thống mạng khácnhư VINAREN,Cpnet và mạng Internet

 Yêu cầu của vùng này là đảm bảo tính sẵn sàng cao cho toàn bộ hệ thống,đảm bảo bằng dự phòng về cả thiết bị và kết nối

 Hỗ trợ các các kết nối Internet khác nhau như lease line, ADSL, FTTH…

 Sử dụng địa chỉ IP public

 Có Firewall, IPS chặn các tấn công từ bên ngoài vào Hệ thống mạng

 Cung cấp khả năng tạo kết nối VPN đến các thành viên và người dùng ởxa

 Yêu cầu về thiết bị:

o Tất cả các thiết bị phải hỗ trợ active/active hoặc active/standby

o Router phải peering với nhiều nhà cung cấp, nên có bảng định tuyếnrất lớn ( Toàn bộ 250.000 routes trên Internet), do vậy tối thiểu phải

có 512 Mbyte RAM, khuyến nghị là từ 768 Mbyte đến 1byte RAM

o Các tính năng cao cấp như QoS, Ipv6, Multicast…

 Vùng VAST Campus (Inside):

 Vùng này có nhiệm vụ kết nối toàn bộ các mạng chức năng của mạngVAST lại với nhau

o Hệ thống chuyển mạch trung tâm (Core switch) đặt tại NOC

o Hệ thống chuyển mạch phân tán (Distribution switch) đặt tại mỗitòa nhà của viện.

o Hệ thống chuyển mạch cung cấp kết nối trực tiếp cho các thiết bịđầu cuối (Access switch) đặt tại mỗi tầng của tòa nhà Các thiết bịtrong đầu cuối được nối với các access switch qua các Patch Panel

và cross connecting nhằm tạo điều kiện thuận lợi cho việc cố địnhđầu cáp và cũng như kiểm tra bảo trì và sửa chữa hư hỏng

 Băng thông giữa lớp Core và Distribution là 2Gbps, hỗ trợ sẵn khả năngnâng cấp lên 10Gbps Băng thông giữa lớp Distribution và Access là2Gbps

 Khả năng dự phòng: Cặp switch Core có khả năng chạy Active/Active, cácthiết bị switch Distribution và Access được dự phòng nguội Tất các cácliên kết đều là Active/Active hoặc Active/Standby

 Yêu cầu về thiết bị :

o Core switch có hiệu năng cao, xử lý L2/L3/L4 bằng phần cứng

o Distribution switch có hiệu năng cao, xử lý L2/L3 bằng phần cứng

o Core switch và Distribution switch phải có khả năng hỗ trợ có khảcác tính năng cao cấp về QoS(Traffic Shaping, auto QoS for voicetraffic), bảo mật (Private VLAN, DHCP snooping, Dynamic ARPInspection, IP source guard, SSHv2, hardware base ACLs…), IPv6

Chú ý: Cáp quang giữa lớp Core và Distribution phải được tính toán độ dài

sao cho khi dịch chuyển NOC từ A1 sang NOC mới không phải hàn lại cable

 Vùng máy chủ (Server farm):

 Để có thể áp đặt các chính sách bảo mật khác nhau với nhiều vùng máychủ khác nhau, chúng tôi chia vùng máy chủ ra thành 3 vùng:

o Public server: cung cấp các dịch vụ trên Internet (như Mail Server,Web Server, proxy server, DNS server )

o Internal Server: Đặc các server nội bộ cho hệ thống mạng VASTchứa các tài nguyên dùng chung như Web nội bộ, Cơ sở dữ liệu, Tàiliệu chia sẻ; hoặc đặt các máy chủ của thành viên

o Management Server: Chứa các máy chủ Quản trị như các máy chủQuản trị mạng, DHCP, Máy chủ xác thực người dùng, NTP(Network Timing Protocol) để đồng bộ giờ cho các thiết bị mạng …

 Giữa các vùng máy chủ này đều được đặt Firewall và IPS Firewall kiểmsoát ở vùng mạng, còn IPS kiểm soát ở tầng ứng dụng

 Yêu cầu về mặt thiết bị:

o Các thiết bị mạng như Switch, Firewall, IPS ở vùng này phải chạy ởchế độ Active/Active (khuyến nghị cao) hoặc Active/Standby Cácthiết bị có hiệu năng xử lý cao

o Switch hỗ trợ stacking hay clustering, giúp bó 2 card mạng củaserver nối đến 2 switch thành 1 card logic

o Switch hỗ trợ Private VLAN: Phân tách các server của các đơn vịkhác nhau, tránh trường hợp 1 server bị virus sẽ tấn công các serverkhác trong cùng vùng

o Các thiết bị mạng hỗ trợ các tính năng cao cấp như QoS, Ipv6,Multicast…

 Các điểm nổi bật chính của thế kế

 Thiết kế theo mô hình phân lớp, chia ra thành nhiều mô đul: cho phép

hệ thống dễ dàng quản lý, tăng cường bảo mật và giảm chi phí, và khi

có sự cố mạng xảy ra tại mỗi tầng sẽ không lảm ảnh hưởng đến cácvùng khác