1. Trang chủ
  2. » Giáo Dục - Đào Tạo

Báo cáo đề tài thiết kế mạng

25 4 0
Báo cáo đề tài thiết kế mạng

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

Lê Trung Hiếu-hieuln1991@gmail.com-01647.869.896 TRƢỜNG ĐẠI HỌC SƢ PHẠM KỸ THUẬT TP.HCM KHOA CÔNG NGHỆ THÔNG TIN MÔN THIẾT KẾ MẠNG  BÀI BÁO ĐỀ TÀI THIẾT KẾ MẠNG DOANH NGHIỆP GVHD: HUỲNH NGUN CHÍNH NHĨM THỰC HIỆN: LÊ TRUNG HIẾU NGUYỄN MINH HOÀNG TRẦN HỒNG ĐỨC HỨA NGỌC HIẾN Tp.HCM, tháng 10 năm 2013 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Lê Trung Hiếu-hieuln1991@gmail.com-01647.869.896 LỜI CẢM ƠN Chúng em xin chân thành cảm ơn thầy Huỳnh Nguyên Chính truyền đạt kiến thức bổ ích để nhóm áp dụng hồn thành tốt đề tài Đồng thời củng cảm ơn bạn khóa cung cấp nhiều thơng tin kinh nghiệm hữu ích để chúng tơi hoàn thành tốt mục tiêu nhiệm vụ đề tài Nhóm mong nhận đóng góp ý kiến tất thầy cô bạn Xin chân thành cảm ơn! TP Hồ Chí Minh, ngày 27 tháng 10 năm 2013 Nhóm sinh viên thực LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Lê Trung Hiếu-hieuln1991@gmail.com-01647.869.896 MỤC LỤC LỜI CẢM ƠN THUẬT NGỮ: Phần 1: PHÂN TÍCH YÊU CẦU Tầm quan trọng hệ thống mạng I Phân tích yêu cầu II Phần 2: THIẾT KẾ VÀ THUYẾT MINH HỆ THỐNG MẠNG 10 THUYẾT TRÌNH SƠ ĐỒ THIẾT KẾ 11 A Giới thiệu Mạng Enterprise Campus 11 I II Hệ thống phân cấp 11 III Mô Đun Hóa mạng campus 14 IV Tính sẵn sàng cao 18 Thiết kế hệ thống an ninh, bảo mật 19 V 5.1 Bảo mật lớp mạng biên 19 5.2 Bảo mật mạng lõi 19 5.3 Bảo mật mức ngƣời dùng (mạng truy nhập) 19 5.4 Tƣờng lửa 20 5.5 Ngăn ngừa xâm nhập 20 5.6 Phòng chống virus 20 VI Phƣơng án sử dụng tối ƣu hóa đƣờng truyền (Quality of Service) 20 VII Tối ƣu hóa định tuyến 21 VIII Tối ƣu hóa bảo mật 22 IX X B Tối ƣu hóa dự phịng cho gateway 22 Dùng kết nối mạng riêng ảo VPN 22 KẾT LUẬN VÀ KHUYẾN NGHỊ 23 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Lê Trung Hiếu-hieuln1991@gmail.com-01647.869.896 THUẬT NGỮ: vPC (Virtual PortChannel): công nghệ cho phép nhiều đường kết nối từ switch kết nối với thiết bị thứ cách tạo đường kết nối logic Điều giúp nâng cao khả dự phịng, băng thơng tới thiết bị LAN (Local Area Network): hệ thống mạng dùng để kết nối máy tính phạm vi nhỏ (nhà ở, phòng làm việc, trường học, …) Các máy tính mạng LAN chia sẻ tài nguyên với nhau, mà điển hình chia sẻ tập tin, máy in, máy quét số thiết bị khác Boadcast Storms: Thường trình nối dự phịng Switch gây Khi SwitcIIh khơng biết MAC destination đó, gửi gói tin broadcast tất cảc port để hỏi MAC destination Khi đến Switch khác khơng biết lại gửi port, SW tạo thành mạch kín, gửi qua gửi lại tạo thành vòng loăpj broadcast chạy vòng vòng mạng gọi Broadcast Storms STP (Spanning Tree Protocol): giao thức ngăn chặn lặp vòng, cho phép bridge truyền thơng với để phát vịng lặp vật lý mạng Sau giao thức định rõ thuật tốn mà bridge tạo topology luận lý chứa loopfree DAI (Dynamic ARP Inspection): đặt cổng switch trạng thái không tin cậy (mặc định) hay tin cậy, thực thông điệp DAI port không tin cậy DAI kiểm tra thông điệp ARP request hay reply port không tin cậy để định xem thơng điệp có phù hợp hay khơng Nếu không phù hợp, switch lọc thông điệp ARP DHCP Snooping: giúp ngăn chặn loại công giả mạo DHCPP Khi DHCP Snooping kích hoạt, cổng Switch phân loại thành cổng tin cậy (trusted) không tin cậy (untrusted) Cổng tin cậy cho phép nhận DHCP Reply hay cổng kết nối với Server DHCP, cổng không tin cậy cho phép nhận DHCP Request hay cổng kết nối với máy tính người dùng Nếu Server DHCP giả gắn vào cổng không tin cậy gởi DHCP Reply gói Reply bị loại bỏ Storm Control: giúp chặn việc phá vỡ mạng LAN broadcast, multicast, or unicast storm Private vlan: cho phép switch tách biệt host thể host vlan khác dùng IP subnet Một tình phổ biến để triển khai private vlan phòng data center nhà cung cấp dịch vụ Nhà cung cấp dịch vụ cài đặt router switch Sau đó, SP gắn thiết bị từ khách hàng khác vào switch Private VLAN cho phép SP (service LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Lê Trung Hiếu-hieuln1991@gmail.com-01647.869.896 provider) dùng subnet cho nhà, cho cổng khác khách hàng cho khơng thể giao tiếp trực tiếp hỗ trợ tất khách hàng switch OSPF (Open Shortest Path First): giao thức định tuyến link – state điển hình Đây giao thức sử dụng rộng rãi mạng doanh nghiệp có kích thước lớn EIGRP (Enhanced Interior Gateway Routing Protocol): giao thức định tuyến Cisco phát triển, giao thức dạng Distance – vector QoS (Quality of Service): thuật ngữ dùng lĩnh vực viễn thông QoS cho phép điều khiển dịng thơng tin mức độ bản, xác định phương thức để dịng thơng tin ứng dụng qua định tuyến chuyển mạch mạng Leased-Line: hay gọi kênh thuê riêng, hình thức kết nối trực tiếp node mạng sử dụng kênh truyền dẫn số liệu thuê riêng Kênh truyền dẫn số liệu thông thường cung cấp cho người sử dụng lựa chọn suốt giao thức đấu nối hay nói cách khác, sử dụng giao thức khác kênh thuê riêng PPP, HDLC, LAPB v.v… HDLC: giao thức sử dụng với họ định tuyến Cisco hay nói cách khác sử dụng HDLC hai phía kết nối leased-line định tuyến Cisco  PPP: giao thức chuẩn quốc tế, tương thích với tất định tuyến nhà sản xuất khác Khi đấu nối kênh leased-line phía thiết bị Cisco phía thiết bị hãng thứ ba thiết phải dùng giao thức đấu nối PPP giao thức lớp cho phép nhiều giao thức mạng khác chạy nó, sử dụng phổ biến  LAPB: giao thức truyền thông lớp tương tự giao thức mạng X.25 với đầy đủ thủ tục, q trình kiểm sốt truyền dẫn, phát triển sửa lỗi LAPB sử dụng Frame Relay: dịch vụ truyền số liệu mạng diện rộng dựa cơng nghệ chuyển mạch gói Đây chuẩn CCITT [1] ANSI [2] định trình truyền liệu qua mạng liệu công cộng Hiện Frame Relay phục vụ cho khách hàng có nhu cầu kết nối mạng diện rộng sử dụng ứng dụng riêng với tốc độ kết nối cao (băng thông tối đa 44,736 Mbit/s) phục vụ cho ứng dụng phức tạp tiếng nói, âm hình ảnh  ADSL (Asymmetric Digital Subscriber Line): ADSL cung cấp phương thức truyền liệu với băng thông rộng, tốc độ cao nhiều so với giao thức truy cập qua đường dây điện thoại truyền thống theo phương thức truy cập quay số(Dial up) Khi LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Lê Trung Hiếu-hieuln1991@gmail.com-01647.869.896 truyền băng thông đường dây điện thoại tách làm phần, phần nhỏ dùng cho tín hiệu nhu Phone, Fax Phần lớn cịn lại dùng cho truyền tải tín hiệu ADSL Ý nghĩa cụm từ "bất đối xứng" ADSL lượng liệu tải xuống tải lên không nhau, với liệu chủ yếu tải xuống ERP (Enterprise Resource Planning): hệ phần mềm quản lý tổng thể doanh nghiệp, cho phép doanh nghiệp tự kiểm sốt trạng thái Từ đó, họ lên kế hoạch khai thác nguồn tài nguyên hợp lý nhờ vào quy trình nghiệp vụ thiết lập hệ thống Ngồi ERP cịn cung cấp cho doanh nghiệp hệ thống quản lý với quy trình đại theo chuẩn quốc tế, nhằm nâng cao khả quản lý điều hành doanh nghiệp cho lãnh đạo tác nghiệp nhân viên VSS (virtual switching system): Một VSS công nghệ ảo hóa nhiều Cisco Switches (6500) vào switch ảo, tăng hiệu hoạt động, tăng cường thông tin liên lạc không ngừng nghỉ, mở rộng quy mô hệ thống LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Lê Trung Hiếu-hieuln1991@gmail.com-01647.869.896 Phần 1: PHÂN TÍCH YÊU CẦU I Tầm quan trọng hệ thống mạng Ngày với lượng lớn thông tin, nhu cầu xử lý thơng tin ngày cao Mạng máy tính trở nên quen thuộc chúng ta, lĩnh vực khoa học, quân sự, quốc phòng, thương mại, dịch vụ, giáo dục vv Hiện nhiều nơi mạng trở thành nhu cầu thiếu Người ta thấy việc kết nối máy tính thành mạng cho khả to lớn như: - Sử dụng chung tài nguyên: Những tài nguyên mạng (như thiết bị, chương trình, liệu) trở thành tài ngun chung thành viên mạng tiếp cận mà không quan tâm tới tài nguyên đâu - Tăng độ tin cậy hệ thống: Người ta dễ dàng bảo trì máy móc lưu trữ (backup) liệu chung có trục trặc hệ thống chúng khơi phục nhanh chóng Trong trường hợp có trục trặc trạm làm việc người ta sử dụng trạm khác thay - Nâng cao chất lượng hiệu khai thác thơng tin: Khi thơng tin sử dụng chung mang lại cho người sử dụng khả tổ chức lại công việc với thay đổi chất như:  Ðáp ứng nhu cầu hệ thống ứng dụng kinh doanh đại  Cung cấp thống liệu  Tăng cường lực xử lý nhờ kết hợp phận phân tán  Tăng cường truy nhập tới dịch vụ mạng khác cung cấp giới Với nhu cầu đòi hỏi ngày cao xã hội nên vấn đề kỹ thuật mạng mối quan tâm hàng đầu nhà tin học Ví dụ làm để truy xuất thơng tin cách nhanh chóng tối ưu Hiện việc làm để thiết kế hệ thống mạng tốt, an toàn với lợi ích kinh tế cao quan tâm Một vấn đề đặt có nhiều giải pháp cơng nghệ, giải pháp có nhiều yếu tố cấu thành, yếu tố có nhiều cách lựa chọn Như để đưa giải pháp hồn chỉnh, phù hợp phải trải qua trình chọn lọc dựa ưu điểm yếu tố, chi tiết nhỏ Thông qua việc tìm hiểu mơ hình thiết mạng phổ biến nguồn tài liệu khác thấy việc thiết kế mạng theo mô hình Enterprise Campus LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Lê Trung Hiếu-hieuln1991@gmail.com-01647.869.896 có nhiều ưu điểm trội so xem mơ hình phù hợp cho mạng doanh nghiệp vừa lớn Đó lý nhóm lựa chọn thiết kế hệ thống mạng theo mơ hình Enterprise Campus II Phân tích yêu cầu Số lượng nút mạng (rất lớn –trên 1000 nút, vừa-trên 100, nhỏ -dưới 10) Trên sở nút mạng, có phương thức phân cấp, chọn kĩ thuật chuyển mạch chọn thiết bị chuyển mạch Dựa vào mô ban đầu để phân đoạn vật lý đảm bảo hai yêu cầu bảo mật đảm bảo chất lượng dịch vụ Lựa chọn công nghệ cáp Dự báo yêu cầu mở rộng Mạng máy tính LAN Campus Network có băng thơng rộng đủ để khai thác hiệu ứng dụng, sở liệu đặc trưng tổ chức đáp ứng khả chạy ứng dụng đa phương tiện (hình ảnh, âm thanh) phục vụ cho hoạt động kinh doanh online Như vậy, mạng xây dựng tảng công nghệ truyền dẫn tốc độ cao Ethernet/FastEthernet/GigabitEthernet hệ thống cáp quang đa mode Mạng cần có độ ổn định cao khả dự phịng để đảm bảo chất lượng cho việc truy cập ứng dụng liệu quan trọng hoạt động kinh doanh online Như vậy, hệ thống cáp mạng phải có khả dự phòng 1:1 cho kết nối switch-switch đảm bảo khả sửa chữa, cách ly cố dễ dàng Hệ thống cáp mạng cần thiết kể đảm bảo đáp ứng yêu cầu kết nối tốc độ cao khả dự phòng mở rộng lên công nghệ Mạng cần đảm bảo an ninh, an toàn cho toàn thiết bị nội trước truy nhập trái phép mạng từ truy nhập gián tiếp có mục đích phá hoại hệ thống nên cần có tường lửa thiết bị phát phòng chống xâm nhập Hệ thống mạng cấu thành switch chuyển mạch tốc độ cao hạn chế tối thiểu xung đột liệu truyền tải (non-blocking) Các switch có khả tạo LAN ảo phân đoạn mạng thành phần nhỏ cho phịng ban LAN ảo cơng nghệ dùng mạng nội cho phép sử dụng tảng mạng nội vật lý bao gồm nhiều switch phân chia mặt logic theo cổng switch thành phân mạng nhỏ khác độc lập hoạt động Như vậy, mạng LAN nhà điều hành ta thực phân chia thành phân mạng nhỏ cho phòng ban… LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Lê Trung Hiếu-hieuln1991@gmail.com-01647.869.896 Máy tính phân mạng chia nhỏ thuộc broadcasting domain phân mạng phải liên hệ với qua định tuyến router Ngồi ra, mạng điều hành áp dụng cơng nghệ định tuyến khiến việc liên kết phân mạng LAN văn phịng thực liên kết tốc độ cao switch có tính định tuyến (Layer 3) thay cho mơ hình định tuyến truyền thống sử dụng định tuyến router Việc phân chia phân mạng LAN ảo cho phép Phịng ban tổ chức có phân mạng máy tính độc lập để tiện cho việc phát triển ứng dụng nội tăng cường tính bảo mật phân mạng máy tính phịng ban khác Ngồi ra, LAN ảo cho phép quản lý tập trung toàn hệ thống mạng máy tính, hệ thống máy chủ thay phát triển nhiều phân mạng cách riêng rẽ Điều tạo môi trường làm việc tập trung cho người quản trị cắt giảm chi phí tập hợp thiết bị mạng lưới máy chủ dich vụ hoạt động vào số phịng có điều kiện hạ tầng đầy đủ (điện nguồn ổn định, điều hồ hoạt động tốt) thay nằm rải rác phịng ban khác Cơng nghệ mạng LAN ảo giải đồng thời hai toán quản trị tập trung riêng rẽ cho mạng máy tính tổ chức Mạng đảm bảo khả định tuyến trao đổi thông tin phân mạng LAN ảo khác nhau, cho phép phân mạng khác kết nối đến thơng qua môi trường mạng dùng chung Tuy nhiên, phân cách mạng LAN switch có tính định tuyến (hay cịn gọi switch có chức Layer 3) nên gói tin broadcasting tồn mạng hạn chế làm cho băng thơng mạng dược sử dụng hiệu so với trường hợp toàn mạng xây dựng thành mạng LAN khơng phân cấp (flat network) Ngồi ra, sử dụng chức định tuyến cho phép người quản trị mạng phép định nghĩa luật hạn chế hay cho phép phân mạng kết nối với lọc (access-list) tăng cường tính bảo mật cho phân mạng quan trọng khả quản trị hệ thống dễ dàng Các bước xây dựng hệ thống mạng:       Phân tích u cầu Xây dựng mơ hình mạng Lựa chọn phần cứng Lựa chọn phần mềm Đánh giá khả Tính tốn giá thành LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Lê Trung Hiếu-hieuln1991@gmail.com-01647.869.896  Triển khai Phần 2: THIẾT KẾ VÀ THUYẾT MINH HỆ THỐNG MẠNG Hình 1: sơ đồ mạng tổng thể 10 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Lê Trung Hiếu-hieuln1991@gmail.com-01647.869.896 Hình 2: mơ hình WAN A I THUYẾT TRÌNH SƠ ĐỒ THIẾT KẾ Giới thiệu Mạng Enterprise Campus Enterprise Campus Network Model (ECNM) sử dụng để chia mạng doanh nghiệp thành mạng vật lý, luận lý khu vực chức khác thông qua tập nguyên tắc thiết kế để tạo hệ thống mạng hiệu quả, đảm bảo tính sẵn sàng cao, tính mềm dẻo, tinh linh động Bất kì kiến trúc tốt hay hệ thống hiệu xây dựng dựa tảng kiến thức vững nguyên tắc kỹ thuật việc áp dụng nguyên tắc kỹ thuật thiết kế nhằm đảm bảo cân khả sẵn sàng, khả bảo mật, tính linh hoạt dễ quản lý sau Ngồi việc thiết kế hệ thống mạng đáp ứng nhu cầu kinh doanh công ty, người thiết kế cần phải tính đến khả mở rộng (phần cứng phần mềm ) hệ thống tương lai Một số hướng thiết kế mơ hình mạng Enterprise Campus:     Hệ thống phân cấp Mơ đun hóa Tính sẵn sàng Tính linh động Đây khơng phải ngun tắc đơn lẻ cần áp dụng linh động nguyên tắc để thiết kế hệ thống mạng thành công hiệu II Hệ thống phân cấp Cisco đưa mơ hình thiết kế mạng cho phép người thiết kế tạo mạng luận lý cách định nghĩa sử dụng lớp thiết bị mang lại tính hiệu quả, tính thơng minh, tính mở rộng quản lý dễ dàng Mơ hình gồm có ba lớp: Access, Distribution, Core Mỗi lớp có thuộc tính riêng để cung cấp chức vật lý lẫn luận lý điểm thích hợp mạng Campus Việc hiểu rõ lớp, chức hạn chế điều quan trọng để ứng dụng lớp cách trính thiết kế giúp đảm bảo:  Tính sẵn sàng khả mở rộng cao 11 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Lê Trung Hiếu-hieuln1991@gmail.com-01647.869.896     Giảm đụng độ liệu số lượng thiết bị lưu lượng mạng tăng cao Tăng hiệu mạng Giảm giữ liệu broadcast thiết bị tăng Cô lập cố mạng dễ dàng nhanh chóng 2.1 Lớp truy cập (Access) Lớp truy cập (Access) nơi thiết bị đầu cuối (máy tính, máy in, máy ảnh,IP phones…vv) kết nối vào mạng mở rộng mạng thơng qc thiết bị Access Point Các thiết bị lớp Access thường gọi switch truy cập có đặc điểm sau:  Chi phí port switch thấp  Mật độ port cao  Mở rộng uplink đến lớp cao  Chức truy cập người dùng thành viên VLAN, lọc lưu lượng giao thức, QoS  Tính co dãn thơng qua nhiều uplink Access layer lớp phòng thủ hệ thống mạng thiết bị đầu cuối sở hạ tầng mạng lớp Access ta thức số chức bảo mật, sách an ninh vùng tin tưởng khác nhau, QoS Câu hỏi đặt có nhiều đường kết nói lên Distribution switch liệu có gây “broadcast storm” hay khơng? Câu trả lời có Do để giải vấn đề chúng cần sử dụng giao thức chống loop STP Hình 2.1: mơ hình tổng quan STP 12 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Lê Trung Hiếu-hieuln1991@gmail.com-01647.869.896 Chúng ta dự phòng cho đường link switch access switch distribution Một vài phương án bảo mật Module liệt kê như: - Sử dụng 802.1x Authentication - Sử dụng Dynamic ARP Inspection - Sử dụng Port Security - Sử dụng Private VLAN - Sử dụng Storm-Control - Sử dụng DHCP Snooping 2.2 Lớp phân phối (Distribution) Lớp phân phối chủ yếu cung cấp kết nối bên lớp truy cập lớp nhân mạng Campus Ngồi cịn có sách lưu lượng từ access layer tới Distribution Đây nơi quan trọng việc định tuyến điểm quan trọng nơi thực tính sách điều khiển, cách ly khối Distributions với phần cịn lại mạng Tại dùng giao thức OPSF, EIGRP, STP để điều khiển luồng liệu khối Access-Distribution với phần lại mạng Thiết bị lớp gọi switch phân phát, có đặc điểm sau:     Thông lượng lớp ba cao việc xử lý gói Chức bảo mật kết nối dựa sách thơng qua danh sách truy cập lọc gói Tính QoS Tính co dãn liên kết tốc độ cao đến lớp Core lớp Access 2.3 Lớp nhân (Core) Lớp nhân mạng Campus cung cấp kết nối tất thiết bị, lớp Lớp nhân thường xuất phần xương sống (backbone) mạng, thơng lượng qua lớn phải có khả chuyển mạch nhanh chóng hiệu Do khơng nên để sách (policy) phức tạp khơng có người dùng máy chủ kết nối trực tiếp đến Core Ở lớp cần có thiết bị dự phịng nhằm đảm bảo hệ thống hoạt động xuyên suốt đạt hiệu cao Lớp Core cung cấp khả mở rộng giảm thiểu rủi ro (và đơn giản hóa) từ việc di chuyển, thêm thay đổi hệ thống mạng 13 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Lê Trung Hiếu-hieuln1991@gmail.com-01647.869.896 Các thiết bị lớp nhân thường gọi backbone switch, có thuộc tính sau:     Thông lượng lớp lớp cao Chi phí cao Có khả dự phịng tính co dãn cao Chức QoS Hình 3: lớp mơ hình Enterprise Campus III Mơ Đun Hóa mạng campus 3.1 Khối chuyển mạch (switch) Là nhóm switch thuộc lớp Access lớp Distribution Việc thiết kế khối Switch dựa vào số người dùng số trạm chứa khối thường không Thông thường không 2000 user đặt bên khối Switch Tuy nhiên việc ước lượng kích thước ban đầu đem lại nhiều lợi ích ta phải dựa vào yếu tố sau:  Loại lưu lượng hoạt động  Kích thước số lượng nhóm làm việc (workgroup) 3.2 Khối lõi (core) 14 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Lê Trung Hiếu-hieuln1991@gmail.com-01647.869.896 Khối core backbone mạng Campus Một khối core yêu cầu để kết nối nhiều khối switch Distribution mạng Campus Bởi lưu lượng từ tất khối Switch, khối Server Farm, khối Enterprise biên phải qua khối nhân, nên khối nhân phải có khả tính đàn hồi chấp nhận Nhân khái niệm mạng Campus, mang nhiều lưu lượng khối khác 3.2.1 Collapsed core Khối Collapsed Core phân lớp lớp nhân che lấp lớp phân phối Ở đây, chức lớp phân phối nhân cung cấp thiết bị switch Điều thường thấy mạng Campus nhỏ Hình 4: Collapsed Distribution and Core Campus 3.2.2 Dual Core Một Dual Core kết nối hai hay nhiều khối Switch để dự phòng Chú ý khối Core xuất module độc lập không ghép vào khối lớp Như biết, giới hạn lớn công nghệ 15 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Lê Trung Hiếu-hieuln1991@gmail.com-01647.869.896 Etherchannel hoạt động thiết bị Và sử dụng STP Switch chế chống loop STP nên liệu chạy qua kết nối từ cổng fowarding, cổng lại trạng thái block, khơng tận dụng tất kết nối uplink switch Để giải vấn đề đề xuất sử dụng giải pháp vPC thay cho STP liệu loadbalacing đường, không cho phép tận dụng tối đa khả đường truyền cổng switch mà vPC cho phép thời gian hội tụ nhanh kết nối vPC bị lỗi Vậy mơ hình kết nối hình tam giác, thiết bị kết nối tới thiết bị cơng nghệ vPC ( virtual PortChannel ) giúp chạy Multichassis Etherchannel ngăn chặn xảy loop hệ thống mạng hình 5: mơ hình giải pháp kết nối vPC 3.3 Khối Server Farms: 16 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Lê Trung Hiếu-hieuln1991@gmail.com-01647.869.896 Hình 6: server farms Gồm nhóm máy chủ thường lưu trữ địa điểm thường gắn liền với xương sống mạng (backbone) có tốc độ cao Các server có nhiệm vụ dự phòng, backup cho Nếu máy chủ ngừng hoạt động, máy chủ khác tự động bật lên để tiếp tục cung cấp dịch vụ cho khách hàng Ngoài máy chủ server farm cịn có nhiệm vụ load balancing cho nhằm chia sẻ giảm tải cơng việc cách hợp lý Đảm bảo tính sẵn sàng cao hệ thống đặc biệt dịch vụ kinh doanh trực tuyến Chú ý hệ thống tài nguyên nội đặt hệ thống firewall hay vòng bảo mật 3.4 Khối quản lý (Management): Khối quản lý Khối Switch quản lý mạng thường có lớp phân phối kết nối vào switch khối nhân Vì cơng cụ dùng để phát lỗi xảy thiết bị kết nối, nên lợi ích quan trọng Các kết nối dự phòng switch dự phịng sử dụng Hệ thống mạng vận hành hiệu quản lý tốt Khả quản lý cần đảm bảo nội dung sau: - Quản lý lỗi (Fault Management) - Quản lý cấu hình (Configuration Management) - Kiểm tốn hệ thống (Accounting Management) - Quản lý hiệu (Performance Management) 17 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Lê Trung Hiếu-hieuln1991@gmail.com-01647.869.896 - Quản lý an ninh (Security Management) 3.5 Khối nhà cung cấp dịch vụ biên khối mở rộng Là khu vực biên kết nối hệ thống nội với hệ thống mạng bên hệ thống IV Tính sẵn sàng cao Tính sẵn sàng cao ưu tiên hàng đầu hệ thống mạng lớn đặc biết hệ thống kinh doanh online Tính sẵn sàng cao định nghĩa hệ thống thiết kế có khả hoạt động liên tục mức độ sẵn sàng hệ thống thiết kế tùy theo yêu cầu mục đích kinh doanh yêu cầu kĩ thuật khác Chúng ta cần đảm bảo 100 phần trăm thời gian hệ thống hoạt động tốt Chúng ta biết điều khơng hồn tồn thực tế, việc lỗi, cố xảy lỗi đĩa cứng, điện lỗi UPS , lỗi tầng ứng dụng dẫn đến cố hệ thống, lỗi phần cứng cố phần mềm đề gây ảnh hưởng đến tính sẵn sàng cao hệ thống 99,999 phần trăm (5 phút hệ thống shutdown/ năm) số hợp lý với cơng nghệ ngày để đảm bảo tính sẵn sàng cao Nếu tính sẵn sàng cao khơng đảm bảo gây thiệt hại nghiêm trọng tài niềm tin khách hàng vào doanh nghiệp Sau danh sách dịch vụ cần ghi nhớ xem xét lập kế hoạch cho tính sẵn sàng cao:  Quản lý thay đổi: yêu cầu quan trọng cho tính sẵn sàng cao Đây loại quản lý sử dụng để theo dõi kiểm tra thay đổi hệ thống  Quản lý tiến trình làm việc giám sát Server  Quản lý bảo mật, an ninh: có nhiệm vụ ngăn chặn thâm nhập trái phép vào hệ thống  Quản lý hiệu suất: giải hiệu suất tổng thể hệ thống, tính khả dụng, độ tin cậy Chúng ta cần có biện pháp cấu hình cụ thể Thiếu thực thảm họa cố xảy  Kiểm tra nhân viên diễn tập ứng phó với tình huồng tai nạn: giúp nhân viên có phản ứng nhanh, xác có cố xảy giúp lập cố nhanh chống  Đánh giá môi trường kinh doanh tương lai: để có kế hoạch nâng cấp, sửa chữa hệ thống kịp thời hợp lý Để đảm bảo hoạt động liên tục an ninh hệ thống máy chủ chạy ứng dụng tập trung, cần thiết phải trì mơi trường đặt máy chủ riêng tách rời khỏi môi trường làm việc trang bị số thiết bị hỗ trợ sau: 18 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Lê Trung Hiếu-hieuln1991@gmail.com-01647.869.896 - Bộ lưu điện: Cần bổ sung thêm lưu điện 3KVA cho hệ thống máy chủ - Máy phát điện: Cần trang bị 01 máy phát điện hỗ trợ cho môi trường máy chủ trường hợp điện cục - Báo cháy: Cần trang bị hệ thống báo cháy chỗ, lắp đặt cho mơi trường máy chủ - Điều hịa nhiệt độ: đảm bảo nhiệt độ môi trường tốt cho hoạt động hệ thống V Thiết kế hệ thống an ninh, bảo mật Đảm bảo an ninh thông tin yêu cầu quan trọng hệ thống mạng Hệ thống cần đảm bảo an tồn thơng tin từ ngoài, từ vào trong, từ vùng biên mạng tới vùng lõi mạng Hạ tầng bảo mật đảm bảo tính tồn vẹn, tính sẵn sàng, an toàn, chia thành miền an ninh sau: - Miền an ninh thiết bị người sử dụng - Miền an ninh phân vùng mạng truy nhập - Miền an ninh phân vùng mạng lõi 5.1 Bảo mật lớp mạng biên Phân hệ mạng biên bao gồm phân vùng: WAN, Extranet (partners), Internet, DMZ Đây miền quan trọng tham gia vào hầu hết dịch vụ miền tiềm ẩn nhiều nguy Để giải vấn đề kiến nghị sử dụng giải pháp bảo mật, kết hợp hệ thống khác như: Firewall, Proxy, Web Sercurrity Gateway, IPS, DLP, Web Application Firewall để đảm bảo an toàn ứng dụng 5.2 Bảo mật mạng lõi Vùng mạng lõi nơi ngăn cách hệ thống vùng máy chủ quan trọng (Server farm) vùng mạng biên, cần xây dựng hệ thống bảo mật với kết hợp tường lửa, IPS, hệ thống nhận dạng truy nhập để kiểm soát truy cập từ vùng mạng biên vào vùng mạng lõi kiểm soát truy cập người sử dụng ứng dụng, dịch vụ cài đặt máy chủ vùng server farm 5.3 Bảo mật mức ngƣời dùng (mạng truy nhập) Bảo mật mức người dùng (mạng truy nhập) yếu tố quan trọng giúp giảm nguy an ninh an tồn thơng tin, kiến nghị sử dụng phần mềm tường lửa, diệt virus cài đặt máy người dùng, kết hợp với việc xác thực thông qua AD –Active Directory để 19 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Lê Trung Hiếu-hieuln1991@gmail.com-01647.869.896 quản trị tập trung Đồng thời kết hợp với triển khai giải pháp kiểm soát truy nhập mạng (NAC - Network Access Control), xác thực, ủy quyền, kiểm toán thông qua RADIUS server,… 5.4 Tƣờng lửa Nguyên tắc chung thiết kế mạng cho trung tâm liệu phải tạo hệ thống tường lửa hai lớp Lớp hoạt động khối core để bảo vệ máy chủ môi trường vận hành khỏi xâm nhập không phép từ môi trường kết nối khác Lớp phía ngồi nằm sau định tuyến kết nối với mạng diện rộng khác nhằm bảo vệ thâm nhập từ bên vào mạng trung tâm 5.5 Ngăn ngừa xâm nhập Hệ thống ngăn ngừa xâm nhập đặt đoạn mạng cục mạng diện rộng bên Hệ thống chủ yếu thiết lập quy tắc lọc gói tin thơng qua tường lửa Ví dụ, liệu cổng web (80) chạy thông qua tường lửa lọc nội dung thiết bị ngăn ngừa thâm nhập 5.6 Phòng chống virus Nguy virus đến chủ yếu tập trung qua hai đường cổng internet máy trạm Một giải pháp phịng chống tập trung theo mơ hình client-server cộng với giải pháp quét ngăn ngừa mã độc hại qua kết nối internet đáp ứng nhu cầu VI Phƣơng án sử dụng tối ƣu hóa đƣờng truyền (Quality of Service) Khi lưu lượng thông tin lớn, chức cân tải giúp chuyển hướng dịng thơng tin sang server khác giảm bớt tình trạng tắt nghẽn cổ chai Một vài chuyển mạch có khả phân biệt dịng thơng tin, ví dụ giao thức truyền tập tin FTP, giao thức siêu văn HTTP Web mà thường dùng chuyển hướng chúng theo quy tắc định trước Hiệu sử dụng mạng cải thiện tốt QoS cho phép điều khiển dịng thơng tin mức độ bản, xác định phương thức để dịng thơng tin ứng dụng qua định tuyến chuyển mạch mạng Tuy nhiên, QoS liên quan đến nhiều yếu tố khác khơng việc định dịng thông tin qua cổng nối (gateway) trước tiên Nó tảng cho sách vận hành mạng, sách xác định cách thức sử dụng tài nguyên mạng điều kiện đặc biệt với mức băng thơng phân bổ cung cấp dựa vào giá trị nghiệp vụ dịng liệu – ví dụ cấp quyền ưu tiên cho giao dịch mua bán cổ phiếu cao yêu cầu thơng tin Các sách nhận biết vài dịng liệu thay đổi dung lượng tầm quan trọng vào thời điểm khác Ví dụ, dịng thơng tin bán hàng có 20 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Lê Trung Hiếu-hieuln1991@gmail.com-01647.869.896 thể có mức ưu tiên cao kế toán ngoại trừ thời điểm vào cuối q mà phận kế tốn phải tính tốn làm báo cáo Định nghĩa sách tuỳ thuộc vào chuẩn QoS có Giao thức đặt trước tài nguyên Resource Reservation Protocol (RSVP) cho phép ứng dụng thông báo cho định tuyến chuyển mạch yêu cầu QoS tác vụ truyền – băng thơng, thứ tự gói tin độ trể Tuỳ thuộc vào yêu cầu sách thiết lập cho định tuyến đường truyền mà tài nguyên dành riêng hay từ chối cho tác vụ truyền Cách thức xây dựng QoS tuân thủ theo bước đây: - Bước 1: Xác định loại ứng dụng cần làm QoS (hay gọi Classification) - Bước 2: Đánh dấu ứng dụng cần làm QoS - Bước 3: Thiết lập policy cho ứng dụng cần làm QoS - Bước 4: Gán policy vào cổng giao tiếp VII Tối ƣu hóa định tuyến Dựa phân tích để đáp ứng tốt quy mô phát triển hoạt động hệ thống Giải pháp định tuyến động OSPF lựa chọn Về OSPF Area dùng cho Backbone OSPF Area khác dùng cho miền khác Cơng thức tính Metric cho OSPF là: Metric = ReferenceBandwidth/Bandwidth (trong giá trị mặc định Reference Bandwidth mà OSPF sử dụng ) Vậy nên, đường link hoạt động tốc độ 100Mbps OSPF tính tốn xác Và có Metric sau: Metric = /100.000.000 = Tuy nhiên, tốc độ lớn 100 Mbps kết sao? Lúc đó, OSPF coi tồn đường link với tốc 100Mbps, 1Gbps, 10Gbps Do vậy, OSPF không đưa tuyến đường tối ưu Ứng dụng chế hoạt động OSPF vào thiết kế hệ thống mạng, đưa phương án thay đổi cách thức tính tốn OSPF mạng để tối ưu băng thông 1Gbps, 10Gbps cách sử dụng Reference Bandwidth (hay 100.000.000.000) Lúc OSPF tính tốn Metric xác Lấy vị dụ: Metric cho đường tốc độ 100Mbps là: /100.000.000= 1000 21 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Lê Trung Hiếu-hieuln1991@gmail.com-01647.869.896 Metric cho đường có tốc độ 1Gbps là: /1.000.000.000 = 100 Metric cho đường có tốc độ 10Gbps là: /10.000.000.000 = 10 Với việc phân biệt Metric khác đường link khác giúp cho OSPF hoạt động xác VIII Tối ƣu hóa bảo mật Như phân tích nhiều mục trước, Module Core thiết kế cho tối ưu hóa khả chuyển mạch định tuyến - Lớp hai: Database VLAN cấu hình password để chống lại việc đồng trái phép - Lớp ba: Giao thức OSPF yêu cầu xác thực MD5 Ngoài tham khảo áp dụng thêm an ninh cisco như: - Đánh giá trình trì an ninh mạng - Giám sát an tồn mạng - kiểm tra an ninh - Tăng cường an ninh IX Tối ƣu hóa dự phịng cho gateway Đề giải vấn đề down Gateway, người ta xây dựng thuật toán tự động chuyển đổi Gateway gateway bị down Có nhiều giao thức dự phòng dành cho Gateway mà thiết bị hỗ trợ như: HSRP, VRRP, GLBP, IRDP X Dùng kết nối mạng riêng ảo VPN Mạng riêng ảo VPN có ưu điểm:  Kết nối trực tiếp điểm (Any-to-Any Connectivity): Tất địa điểm mạng liên hệ trực tiếp với với kết nối vật lý địa điểm, không cần dùng leased line Điều làm cấu trúc mạng trở nên đơn giản cho phép mở rộng mạng cách nhanh chóng khơng cần thiết kế lại mạng hay làm gián đoạn hoạt động mạng  Dùng công nghệ kết nối khác nhau: VPN cho phép lựa chọn công nghệ kết nối khác (leased line, frame relay, ADSL, Ethernet, PSTN, ) tuỳ thuộc vào yêu cầu băng thông phương thức kết nối điểm người dùng Có thể tích 22 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Lê Trung Hiếu-hieuln1991@gmail.com-01647.869.896 hợp liệu, thoại video (Data, Voice and Video Convergence) Với công nghệ quản lý chất lượng dịch vụ (QoS) chuẩn, tất ứng dụng liệu, thoại video chạy Mạng IP riêng, khơng cần có mạng riêng rẽ hay thiết bị chuyên dùng  Độ bảo mật cao (High Network Privacy): Hệ thống bảo mật có sẵn mạng sử dụng cơng nghệ Chuyển mạch nhãn đa giao thức (Multi-Protocol Label Switching MPLS) cho phép phân tách luồng liệu khách hàng khỏi Internet khách hàng khác Mức độ bảo mật tương đương dịch vụ lớp X.25, frame relay ATM  Dễ sử dụng (Ease of Operation): VPN hạn chế yêu cầu người dùng việc thực công việc phức tạp thiết kế mạng, cầu hình định tuyến Do giảm nhiều chi phí vận hành Một điểm liên hệ cho yêu cầu (One Stop Shopping) Các ISP cung cấp dịch vụ trọn gói với điểm liên hệ phạm vi toàn Việt Nam điều giúp đơn giản hố việc triển khai mạng quy mô lớn  Đáp ứng nhiều dịch vụ: Ứng dụng trao đổi liệu truyền file, dịch vụ thư tín điện tử, chia sẻ tài nguyên mạng (file máy in), sở liệu, Web nội bộ, Truyền ảnh, Các ứng dụng ERP, ứng dụng thiết kế kỹ thuật Truy nhập Internet sử dụng dịch vụ mạng khách hàng Internet trực tiếp bình thường Các ứng dụng âm thanh, hình ảnh mạng riêng khách hàng (Khách hàng có khả thiết lập tổng đài PBX sử dụng cơng nghệ IP gọi phạm vi mạng nội mình) Một số ứng dụng cao như: hội thảo qua mạng MPLS VPN, hosting Mạng riêng ảo Internet cho phép tận dụng ưu Internet, đặc biệt phải thực kết nối tới điểm có khoảng cách xa Do kết nối Internet dùng để nối tới nhiều điểm khác nhau, nên Mạng riêng ảo có ưu tổng hợp kết nối PPP, dialup, dịch vụ mạng lưới Đồng thời, VPN cho phép dễ dàng tích hợp nhiều giao thức WAN khác B KẾT LUẬN VÀ KHUYẾN NGHỊ 23 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Lê Trung Hiếu-hieuln1991@gmail.com-01647.869.896 Qua báo cáo thấy hệ thống mạng đóng vai trị tối quan trọng hạ tầng công nghệ thông tin doanh nghiệp nói chung doanh nghiệp hoạt động lĩnh vực Tài chính, Ngân hàng Bảo hiểm nói riêng Xu hướng phát triển hệ thống mạng bao gồm xu hướng tập trung hóa (Consolidation), ảo hóa (Virtualization) tự động hóa (Automation) Khi xây dựng hệ thống mạng, ba yếu tố cốt yếu cần đảm bảo, khả bảo vệ (Protect), khả tối ưu hóa (Optimization), khả phát triển (Grow) Đề tài hoàn thành nội dung yêu cầu, song thời gian thực có hạn, nội dung khơng tránh khỏi thiếu sót định Nhóm thực mong nhận ý kiến đóng góp Thầy Cơ bạn để hoàn thiện Một số hướng nghiên cứu đề tài là: - Nghiên cứu giải pháp bảo mật nâng cao cho hệ thống mạng đảm bảo an ninh an toàn liệu (giải pháp phát ngăn chặn truy nhập mức host, hoàn thiện chống thất liệu người dùng, hịan thiện giải pháp kiểm soát truy nhập mạng, xây dựng hệ thống phát liện lỗ hổng bảo mật…) - Tiếp tục nghiên cứu tối ưu hóa hệ thống mạng: giải pháp cân tải mức mạng tới mức ứng dụng Hay giải pháp tối ưu hóa băng thơng mạng - Tiếp tục nghiên cứu hòan thiện giải pháp chuyển mạch hội tụ (FCoE), hay kỹ thuật vPC, VDC kỹ thuật giúp khắc phục điểm yếu công nghệ trước STP C TÀI LIỆU THAM KHẢO Tài liệu Slide thiết kế mạng Giáo Trình mạng Mơ hình mạng Campus ứng dụng thực tế Giáo trình Thiết kế xây dựng mạng LAN WAN Tác giả Thầy Huỳnh Nguyên Chính Lại Văn Hải TT khoa học tự nhiên công nghệ quốc gia viện công nghệ thông tin Giải pháp chuyển mạch Sisco Nexus HPT VietNam corporation NGHIÊN CỨU KIẾN TRÚC HỆ THỐNG MẠNG VÀ BẢO MẬT TRUNG Đào Văn Ngọc 24 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Lê Trung Hiếu-hieuln1991@gmail.com-01647.869.896 TÂM DỮ LIỆU ÁP DỤNG CHO ABBANK PROJECT: PROPOSAL FOR NAM A DATA CENTER Cisco Service Delivery Center Infrastructure 2.1 Design Guide Community College Reference Design Solution Overview Community College and Vocational Education (CCVE) Design Overview Virtual Switching System SAOBACDAU Technologies Corporation 25 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... điểm yếu công nghệ trước STP C TÀI LIỆU THAM KHẢO Tài liệu Slide thiết kế mạng Giáo Trình mạng Mơ hình mạng Campus ứng dụng thực tế Giáo trình Thiết kế xây dựng mạng LAN WAN Tác giả Thầy Huỳnh... nhiều đường kết nối từ switch kết nối với thiết bị thứ cách tạo đường kết nối logic Điều giúp nâng cao khả dự phịng, băng thơng tới thiết bị LAN (Local Area Network): hệ thống mạng dùng để kết nối... dục vv Hiện nhiều nơi mạng trở thành nhu cầu thiếu Người ta thấy việc kết nối máy tính thành mạng cho khả to lớn như: - Sử dụng chung tài nguyên: Những tài nguyên mạng (như thiết bị, chương trình,

Ngày đăng: 01/11/2022, 15:00

Xem thêm:

Tài liệu cùng người dùng

  • Đang cập nhật ...

Tài liệu liên quan