Khảo sát thiết kế và xây dựng hệ thống mạng WAN trong ngân hàng

MỤC LỤC MỞ ĐẦU …………………………………………………………………….2 CHƯƠNG 1. KIẾN THỨC CƠ BẢN VỀ MẠNG WAN 4 1.1 Khái niệm về WAN…………………..……………………………...4 1.2 Các lợi ích và chi phí khi kết nối WAN……… …………………….6 1.3 Những điểm chú ý khi thiết kế mạng WAN.......…………………….7 1.4 Công nghệ kết nối cơ bản dùng cho WAN………………………….9 1.4.1 Mạng chuyển mạch kênh……………………………………9 1.4.2 Mạng chuyển mạch gói …………………………………….17 1.4.3 Kết nối WAN dùng VPN…………………………………..22 CHƯƠNG 2. KHẢO SÁT, THIẾT KẾ HỆ THỐNG MẠNG WAN NGÂN HÀNG 23 2.1 Phân tích yêu cầu của mạng 23 2.2 thiết kế mạng 26 2.2.1 Định hướng thiết kế 26 2.2.2 Thiết kế phần ứng dụng 29 2.2.3 Thiết kế phân lớp hệ thống kết nối 31 2.2.4 Thiết kế phân hoạch địa chỉ IP và định tuyến hệ thống: 32 2.2.5 Thiết kế mô hình an ninh – an toàn khi kết nối WAN 42 2.3 Lựa chọn công nghệ kết nối lựa chọn sản phẩm 52 CHƯƠNG 3.XÂY DỰNG HỆ THỐNG MẠNG WAN NGÂN HÀNG QUÂN ĐỘI (MITARY BANK) 63 3.1 Cấu hình chi tiết router 63 3.2 Quy hoạch kết nối mạng LAN tại Hội sở chính – Hà Nội 73 3.3 Xây dựng VPN 79 3.4 Xây dựng an toàn bảo mật thông tin trên các kết nối WAN 88 3.5 Giải pháp chia tách mạng ATM sử dụng chung kết nối mạng WAN 91 KẾT LUẬN ...................................................................................................93

MỤC LỤC

MỞ ĐẦU ……….2

CHƯƠNG 1 KIẾN THỨC CƠ BẢN VỀ MẠNG WAN 4

1.1 Khái niệm về WAN……… ……… 4

1.2 Các lợi ích và chi phí khi kết nối WAN……… ……….6

1.3 Những điểm chú ý khi thiết kế mạng WAN ……….7

1.4 Công nghệ kết nối cơ bản dùng cho WAN……….9

1.4.1 Mạng chuyển mạch kênh………9

1.4.2 Mạng chuyển mạch gói ……….17

1.4.3 Kết nối WAN dùng VPN……… 22

CHƯƠNG 2 KHẢO SÁT, THIẾT KẾ HỆ THỐNG MẠNG WAN NGÂN HÀNG 23

2.1 Phân tích yêu cầu của mạng .23

2.2 thiết kế mạng 26

2.2.1 Định hướng thiết kế .26

2.2.2 Thiết kế phần ứng dụng .29

2.2.3 Thiết kế phân lớp hệ thống kết nối .31

2.2.4 Thiết kế phân hoạch địa chỉ IP và định tuyến hệ thống: 32

2.2.5 Thiết kế mô hình an ninh – an toàn khi kết nối WAN .42

2.3 Lựa chọn công nghệ kết nối - lựa chọn sản phẩm 52

CHƯƠNG 3.XÂY DỰNG HỆ THỐNG MẠNG WAN NGÂN HÀNG QUÂN ĐỘI (MITARY BANK) 63

3.1 Cấu hình chi tiết router .63

3.2 Quy hoạch kết nối mạng LAN tại Hội sở chính – Hà Nội .73

3.3 Xây dựng VPN .79

3.4 Xây dựng an toàn bảo mật thông tin trên các kết nối WAN .88

3.5 Giải pháp chia tách mạng ATM sử dụng chung kết nối mạng WAN 91

KẾT LUẬN 93

Lêi nãi ®Çu

Ngày nay, công nghệ thông tin và viễn thông đang hội tụ sâu sắc vàcùng đóng góp rất tích cực trong sự phát triển kinh tế, xã hội toàn cầu Khôngmột doanh nghiệp, tổ chức thành đạt nào lại phủ nhận sự gắn bó giữa hệ thốngthông tin và hiệu quả hoạt động sản xuất kinh doanh cũng như lộ trình pháttriển của họ Hàng loạt các giải pháp mới ra đời mang lại những biến đổi lớntrong cấu trúc hạ tầng mạng riêng của các người dùng doanh nghiệp, tổ chức.Cấu trúc phổ biến hiện nay không còn xuất hiện ở dạng nội bộ LAN mà đãchuyển sang mô hình diện rộng WAN (Wide Area Network).Với WAN, cácdoanh nghiệp, tổ chức dần mở cánh cửa văn phòng mình vươn rộng khắp cảnước và ra ngoài biên giới, và kết nối thường trực với tất cả chi nhánh, kháchhàng, nhà cung cấp, nhà phân phối đại lý

Các doanh nghiệp hoạt động kinh doanh thông thường nói chung, các doanhnghiệp hoạt động trong ngân hàng nói riêng, mức cạnh tranh diễn ra hiện nay

là rất ác liệt và có xu hướng tăng lên Nếu để mất một cơ hội là coi như đãmất đi một khoản tiền có giá trị gấp nhiều lần giá trị mà cơ hội đó đem lại.Một trong những công cụ giúp các doanh nghiệp có được thời cơ để ra đượcnhững quyết định kịp thời đó là khi có trong tay một hệ thống thông tin đảmbảo nhanh, chính xác và đầy đủ Nếu như đối với các doanh nghiệp hoạt độngtrong lĩnh vực sản xuất sản phẩm, yêu cầu về chất lượng và giá thành sảnphẩm là những mục tiêu cần đạt được Thì đối với các doanh nghiệp hoạtđộng trong lĩnh vực kinh doanh dịch vụ, yêu cầu chất lượng phục vụ và khảnăng đáp ứng nhu cầu khách hàng là mục tiêu hàng đầu

Việc áp dụng công nghệ hiện đại tiên tiến trong bất cứ lĩnh vực nàocũng đều nhằm một mục đích chung lớn nhất, đó là: đạt được hiệu quả caohơn trong các hoạt động, khắc phục được các nhược điểm và những tồn tại

lạc hậu Xây dựng các hệ thống thông tin nói chung là điểm khởi đầu tốt nhất

để giải quyết những vấn đề nêu trên

Chính vì những vai trò rất quan trọng của hệ thống mạng với nhu cầucủa cuộc sống con người, bằng những kiến thức đã được học ở trường em đãchọn bài toán xây dựng hệ thống mạng WAN cho ngân hàng

Đề tài: “Khảo sát, thiết kế và xây dựng hệ thống mạng WAN trong

hệ thống ngân hàng”

 Bố cục đồ án gồm 3 chương:

 Chương 1 Kiến thức cơ bản về mạng WAN

 Chương 2 Khảo sát, thiết kế hệ thống mạng ngân hàng

 Chương 3 Xây dựng hệ thống mạng WAN ngân hàng quân đội (MB)Nhưng với thời gian có hạn, việc thu thập kiến thức và tài liệu liên quanđến công nghệ WAN Tuy nhiên, do việc triển khai công nghệ WAN vẫn cònkhá mới mẻ nên một số nội dụng trong đề tài chưa được chi tiết và không thểtránh khỏi những thiếu sót Em hy vọng sẽ nhận được nhiều ý kiến đóng gópcủa các thầy cô và các bạn để đề tài được hoàn thiện và tiếp tục phát triển

Trong suốt quá trình thực hiên làm đồ án, em đã nhận được sự giúp đỡchỉ bảo và hướng dẫn tận tình của thầy giáo Nguyễn Khắc Hưng, em xin chânthành cảm ơn thầy đã giúp em hoàn thành tốt đồ án tốt nghiệp

CHƯƠNG 1:

CÁC KIẾN THỨC CƠ BẢN VỀ MẠNG WAN 1.1 Khái niện về Wan:

Wide Area Networks – Wan, là mạng được thiết lập để liên kết các máytính của hai hay nhiều khu vực khác nhau, ở khoảng cách xa về mặt địa lý,như giữa các quận trong một thành phố, hay giữa các thành phố hay các miềntrong nước Đặc tính này chỉ có tính chất ước lệ, nó càng trở nên khó xác địnhvới việc phát triển mạnh của các công nghệ truyền dẫn không phụ thuộc vàokhoảng cách Tuy nhiên việc kết nối với khoảng cách địa lý xa buộc Wan phụthuộc vào nhiều yếu tố như: giải thông và chi phí cho giải thông, chủ quảncủa mạng, đường đi của thông tin trên mạng

Wan có thể kết nối thành mạng riêng của một tổ chức, hay có thể phải kếtnối qua nhiều hạ tầng công cộng và của các công ty viễn thông khác nhau.Wan có thể dùng đường truyền có giải thông thay đổi trong khoảng rất lớn

từ 56Kbps đến T1 với 1.544Mbps hay E1 với 2.048 Mbps, … và đến Giga bít– Gbps là các đường trục nối các quốc gia hay châu lục Ở đây bps (Bit PerSecond) là một đơn vị trong truyền thông tương đương với 1 bit được truyềntrong một giây, ví dụ như tốc độ đường truyền là 1 Mbps tức là có thể truyềntối đa 1 Megabit trong 1 giây trên đường truyền đó)

Do sự phức tạp trong việc xây dựng, quản lý, duy trì các đường truyền nênkhi xây dựng mạng diện rộng Wan người ta thường sử dụng các đường truyềnđược thuê từ hạ tầng viễn thông công cộng, và từ các công ty viễn thông haycác nhà cung cấp dịch vụ truyền số liệu Tuỳ theo cấu trúc của mạng nhữngđường truyền đó thuộc cơ quan quản lý khác nhau như các nhà cung cấpđường truyền liên tỉnh, liên quốc gia, chẳng hạn ở Việt Nam là công ty Viễnthông liên tỉnh – VTN, công ty viễn thông quốc tế - VTI Các đường truyền

như: tốc độ, việc mã hoá Với WAN đường đi của thông tin có thể rất phứctạp do việc sử dụng các dịch vụ truyền dữ liệu khác nhau, của các nhà cungcấp dịch vụ khác nhau Trong quá trình hoạt động các điểm nút có thể thayđổi đường đi của các thông tin khi phát hiện ra trục trặc trên đường truyền haykhi phát hiện có quá nhiều thông tin cần truyền giữa hai điểm nút đó TrênWAN thông tin có thể có các đường đi khác nhau, điều đó cho phép có thể sửdụng tối đa các năng lực của đường truyền và nâng cao điều kiện an toàntrong truyền dữ liệu.

Phần lớn các WAN hiện nay được phát triển cho việc truyền đồng thời trênđường truyền nhiều dạng thông tin khác nhau như: video, tiếng nói, dữ liệu …nhằm làm giảm chi phí dịch vụ

Các công nghệ kết nối WAN thường liên quan đến 3 tầng đầu của mô hìnhISO 7 tầng Đó là tầng vật lý liên quan đến các chuẩn giao tiếp WAN, tầngdata link liên quan đến các giao thức truyền thông của WAN, và một số giaothức WAN liên quan đến tầng mạng Các quan hệ này được mô tả trong hình :

Physical Layer

MAC

Sublayer

Data Link Layer

Network Layer

EIA/TIA -232 EIA/TIA – 449 V.24 V.35 HSSI G.703 EIA -530

Hình 1.1: Các chuẩn và giao thức WAN trong mô hình ISO 7 tầng

1.2 Các lợi ích và chi phí khi kết nối WAN.

Xã hội càng phát triển, nhu cầu trao đổi thông tin càng đòi hỏi việc xử

lý thông tin phải được tiến hành một cách nhanh chóng và chính xác Sự rađời và phát triển không ngừng của ngành công nghệ thông tin đã góp phầnquan trọng vào sự phát triển chung đó Với sự ra đời máy tính, việc xử lýthông tin hơn bao giờ hết đã trở nên đặc biệt nhanh chóng với hiệu suất cao.Đặc biệt hơn nữa, người ta đã nhận thấy việc thiết lập một hệ thống mạngdiện rộng – WAN và truy cập từ xa sẽ làm gia tăng gấp bội hiệu quả côngviệc nhờ việc chia sẻ và trao đổi thông tin được thực hiện một cách dễ dàng,tức thì (thời gian thực) Khi đó khoảng cách về mặt địa lý giữa các vùng đượcthu ngắn lại Các giao dịch được diễn ra gần như tức thì, thậm chí ta có thểtiến hành các hội nghị viễn đàm, các ứng dụng đa phương tiện…

Nhờ có hệ thống WAN và các ứng dụng triển khai trên đó, thông tinđược chia sẻ và xử lý bởi nhiều máy tính dưới sự giám sát của nhiều ngườiđảm bảo tính chính xác và hiệu quả cao

Phần lớn các cơ quan , các tổ chức, và các cá nhân đều đã nhận thứcđược tính ưu việt của xử lý thông tin trong công việc thông qua mạng máytính so với công việc văn phòng dựa trên giấy tờ truyền thống Do vậy, sớmhay muộn, các tổ chức, cơ quan đều cố gắng trong khả năng có thể, đều cốgắng thiết lập một mạng máy tính, đặc biệt là mạng WAN để thực hiện cáccông việc khác nhau

Với sự phát triển nhanh chóng của công nghệ thông tin, công nghệ viễnthông và kĩ thuật máy tính, mạng WAN và truy cập từ xa dần trở thành mộtmôi trường làm việc căn bản, gần như là bắt buộc khi thực hiện yêu cầu vềhội nhập quốc tế Trên WAN người dùng có thể trao đổi, xử lý dữ liệu truyềnthống thuần tuý song song với thực hiện các kĩ thuật mới, cho phép trao đổi

dữ liệu đa phương tiện như hình ảnh, âm thanh, điện thoại, họp hội nghị, …

qua đó tăng hiệu suất công việc và làm giảm chi phí quản lý cũng như chi phísản xuất khác.

Đặc biệt đối với các giao dịch Khách - phục vụ (Client – Server), hệ thốngkết nối mạng diện rộng từ các LAN của văn phòng trung tâm (NOC) với LANcủa các chi nhánh (POP) sẽ là hệ thống trao đổi thông tin chính của cơ quanhay tổ chức Nó giúp tăng cường và thay đổi về chất công tác quản lý và traođổi thông tin, tiến bước vững chắc tới một nền kinh tế điện tử (e-commerce),chính phủ điện tử (e-government) trong tương lai không xa

1.3 Những điểm cần chú ý khi thiết kế WAN

Khi thiết kế WAN chúng ta cần chú ý đến ba yếu tố:

Môi trường: Các yếu tố liên quan đến mục tiêu thiết kế như môi

trường của WAN, các yêu cầu về năng lực truyền thống của WAN (hiệu năngmạng), khả năng cung cấp động và các ràng buộc về dải thông, thoả mãn cácđặc trưng của dữ liệu cần trao đổi trên WAN, đặc biệt các loại dữ liệu cầnđảm bảo chất lượng dịch vụ như dữ liệu đa phương tiện, dữ liệu đòi hỏi đápứng thời gian thực như giao dịch về tài chính

Môi trường của WAN ở đây được thể hiện qua các tham số như sốlượng các trạm làm việc, các máy chủ chạy các dịch vụ và vị trí đặt chúng,các dịch vụ và việc đảm bảo chất lượng các dịch vụ đang chạy trên WAN.Việc chọn số lượng và vị trí đặt các máy chủ, các máy trạm trong WAN liênquan nhiều đến vấn đề tối ưu các luồng dữ liệu truyền trên mạng Chẳng hạnkhu vực nào có nhiều trạm làm việc, chúng cần thực hiện nhiều giao dịch vớimột hay nhiều máy chủ nào đó, thì các máy chủ đó cũng cần phải đặt trongkhu vực đó, nhằm giảm thiểu dữ liệu truyền trên WAN

Yêu cầu về hiệu năng cần được quan tâm đặc biệt khi thiết kế cácWAN yêu cầu các dịch vụ đòi hỏi thời gian thực như VoIP, hay hội nghị

truyền hình, giao dịch tài chính … Khi đó các giới hạn về tốc độ đườngtruyền, độ trễ … cần được xem xét kĩ, nhất là khi dùng công nghệ vệ tinh, vôtuyến, …

Các đặc trưng của dữ liệu cũng cần được quan tâm để nhằm giảm thiểuchi phí về giải thông khi kết nối WAN Các đặc trưng dữ liệu đề cập ở đây là

dữ liệu client/server, thông điệp, quản trị mạng,… giải thông nào đảm bảochất lượng dịch vụ?

Các yêu cầu kĩ thuật: năm yêu cầu cần xem xét khi thiết kế WAN đó

là tính mở rộng, tính dễ triển khai, tính dễ phát hiện lỗi, tính dễ quản lý, hỗ trợ

đa giao thức

- Tính khả rộng thể hiện ở vấn đề có thể rộng, bổ sung thêm dịch

vụ, tăng số lượng người dùng, tăng giải thông mà không bị ảnh hưởng gìđến cấu trúc hiện có của WAN, và các dịch vụ đã triển khai trên đó

- Tĩnh dễ triển khai thể hiện bằng việc thiết kế phân cấp, modulhoá, khối hoá ở mức cao Các khối, các modul của WAN độc lập mộtcách tương đối, quá trình triển khai có thể thực hiện theo từng khối, từngmodul

- Tính dễ phát hiện lỗi là một yêu cầu rất quan trọng, vì luồngthông tin vận chuyển trên WAN rất nhậy cảm cho các tổ chức dùngWAN Vì vậy việc phát hiện và cô lập lỗi cần phải thực hiện dễ và nhanhđối với quản trị hệ thống

- Tính dễ quản lý đảm bảo cho người quản trị mạng làm chủ đượctoàn bộ hệ thống mạng trong phạm vi địa lý rộng hoặc rất rộng

- Hỗ trợ đa giao thức có thể thực hiện được khả năng tích hợp tất

cả các công nghệ thông tin, nhằm giảm chi phí thiết bị và phí truyền

An ninh – an toàn: Việc bảo đảm an ninh, xây dựng chính sách an ninh, và

thực hiện an ninh ngay từ bước thiết kế

1.4 Công nghệ kết nối cơ bản dùng cho WAN

1.4.1 Mạng chuyển mạch kênh :

Mạng chuyển mạch thực hiện việc liên kết giữa hai điểm nút qua mộtđường nối tạm thời hay dành riêng giữa điểm nút này và điểm nút kia Đườngnối được thiết lập trong mạng thể hiện dưới dạng cuộc gọi thông qua các thiết

Trạm làm việc 2

Router

Access Server

 Chuyển mạch tương tự (Analog)

Việc chuyển dữ liệu qua mạng chuyển mạch tương tự được thực hiệnqua mạng điện thoại Các trạm trên mạng sử dụng một thiết bị có tên làmodem (“MODulator” and “DEModulator”), thiết bị này sẽ chuyển các tínhiệu số từ máy tính sang tín hiệu tương tự có thể truyền dữ liệu đi trên cáckênh điện thoại và ngược lại biến tín hiệu dạng tương tự thành tín hiệu số

Một minh hoạ kết nối dùng mạng chuyển mạch là kết nối qua mạngđiện thoại PSTN, hay còn gọi là kết nối quay số (dial-up)

Modem

Gateway 2

Các hạn chế khi dùng kết nối PSTN:

Các kết nối tương tự (analog) thực hiện trên mạng điện thoại công cộng

và cước được tính theo phút Đây là hình thức kết nối phổ biến nhất do tínhđơn giản và tiện lợi của nó Tuy nhiên chi phí cho nó tương đối cao cho cácgiao dịch liên tỉnh và chất lượng đường truyền không đảm bảo tính ổn địnhthấp, giải thông thấp, tối đa 56Kbps cho 1 đường Hình thức kết nối này chỉphù hợp cho các chi nhánh nối tới Trung tâm mạng trong cùng một thành phố,đòi hỏi băng thông thấp và cho các người dùng di động và cho các kết nốidùng không quá 4 giờ/ngày

 Kết nối bó (multilink – đa tuyến) – dùng nhiều đường điện thoại

Gateway 1

Modem 2

Mạng điện thoại có PSTN

Modem 2

Gateway 2 Modem 1

Modem n

Modem1

Modem n

Hình 1.5: Mô hình kết nối dùng nhiều đường điện thoại

 Công nghệ chuyển mạch số (Digital):

điện thoại cố định hạ tầng hiện có, ISDN là giải pháp cho phép truyền dẫnthoại, dữ liệu và hình ảnh tốc độ cao Người dùng cùng một lúc có thể truycập WAN và gọi điện thoại, fax mà chỉ cần một đường dây điện thoại duynhất, thay vì 3 đường nếu dùng theo kiểu thông thường Kết nối ISDN có tốc

độ và chất lượng cao hơn hẳn dịch vụ kết nối theo quay số qua mạng điệnthoại thường (PSTN) Tốc độ truy cập mạng WAN có thể lên đến 128 Kbpsnếu sử dụng ISDN 2 kênh (2B+D) và tương đương 2.048 Mbps nếu sử dụngISDN 30 kênh (30B+D)

 Các thiết bị dùng cho kết nối ISDN

ISDN Adapter: Kết nối với máy tính thông qua các giao tiếp PCI, RS –

232, USB, PCMCIA và cho phép máy tính kết nối với mạng WAN thông quamạng đa dịch vụ tích hợp ISDN với tốc độ 128 Kbps ổn định đa dịch vụ vàcao hơn hẳn so với các kết nối tương tự truyền thống mà tốc độ tối đa lýthuyết là 56Kbps

ISDN Router: Thiết bị này cho phép kết nối LAN vào WAN cho một

số lượng không giới hạn người sử dụng Thông qua giao tiếp ISDN BRI, thiết

bị này còn có thể đóng vai trò như một bộ chuyển đổi địa chỉ mạng (NetworkAddress Translation) hoặc một máy chủ truy nhập từ xa Khả năng thiết lậpkết nối LAN –to – LAN qua dịch vụ ISDN cho phép nối mạng giữa vănphòng chính và Chi nhánh hết sức thuận tiện Cổng kết nối Ethernet tốc độ10/100Mbps cho phép kết nối dễ dàng với mạng LAN Các tính năng quay sốtheo yêu cầu (Dial – on – Demand) và dải thông theo yêu cầu (Bandwidth –

on – Demand) tự động tối ưu hoá các kết nối theo yêu cầu của người dùngtrên mạng

 Các đặc tính của ISDN

ISDN được chi làm hai loại kênh khác nhau:

Kênh dữ liệu (Data Channel), tên kỹ thuật là B channel, hoạt động ởtốc độ 64 Kbps

Kênh kiểm soát (Control Channel), tên kĩ thuật là D channel, hoạt động

ở 16 Kbps (Basic rate) và 64 Kbps (Primary rate)

Dữ liệu của người dùng sẽ được truyền trên các B channel, và dữ liệutín hiệu (signaling data) được truyền qua D channel Bất kể một kết nối ISDN

có bao nhiêu B channel, nó chỉ có duy nhất một D channel Đường ISDNtruyền thống có hai tốc độ cơ bản là residential basic rate và commercialprimary rate Một vài công ty điện thoại không có đường truyền và thiết bịđầu cuối thích hợp cho dịch vụ tốc độ cơ bản nên họ cung cấp một tốc độ cơbản cố định, có giá trị trong khoảng từ 64 Kbps đến 56 Kbps Những biến thểnày hoạt động như một B channel riêng biệt

Basic rate ISDN hoạt động với hai B channel 64 Kbps và một Dchannel 16 Kbps qua đường điện thoại thông thường, cung cấp băng thông dữliệu là 128 Kbps Tốc độ cơ bản được cung cấp phổ biến ở hầu hết các vùng ở

Mỹ và Châu Âu, với giá gần bằng với điện thoại thường ở một số vùng (ỞĐức, đường ISDN hoạt động với tốc độ cơ bản, với hai B channel 64 Kbps vàmột D channel 16 Kbps) Primary rate hoạt động với 23 B channel 64 Kbps

và một D channel 64 Kbps qua một đường T1, cung cấp băng thông 1472Kbps Primary rate đưa ra đường truyền quay số tốc độ cao, cần thiết cho các

tổ chức lớn

Đôi khi ISDN adapter bị gọi là “ISDN modem” vì nó có chức năngquay số và trả lời cuộc gọi trên đường dây digital, như modem thực hiện trênđường dây analog Tuy nhiên, ISDN adapter không phải là modem vì không

thực hiện chức năng modulation/ demodulation và việc chuyển đổi tín hiệugiữa digital và analog (digital/ analog conversion).

 Đánh giá khi dùng kết nối ISDN

ISDN gồm hai kiểu BRI và PRI, đều đắt hơn điện thoại thông thườngnhưng băng thông cao hơn Hiện tại tốc độ cao nhất có thể cung cấp tại ViệtNam là 128 Kbps Đây là hình thức kết nối mạng liên tỉnh tương đối rẻ so vớicác loại khác Tuy nhiên nó đòi hỏi tổng đài điện thoại phải hỗ trợ kết nốiISDN

Mạng kênh thuê riêng (Leased lines Network).

Bridge/

Router

T1 CSU/DSU

Local

LAN

T1 dedicated line

T3 CSU/DSU

T3 dedicated line

Remote LAN A

Remote LAN B

Hình 1.7 : Mô hình kết nối WAN dùng các kênh thuê riêng

Cách kết nối phổ biến nhất hiện nay giữa hai điểm có khoảng cách lớnvẫn là Leased Line (tạm gọi là đường thuê bao)

Với kĩ thuật chuyển mạch giữa các nút của mạng (tương tự hoặc số) cómột số lượng lớn đường dây truyền dữ liệu, với mỗi đường dây trong một thờiđiểm chỉ có nhiều nhất một phiên giao dịch, khi số lượng các trạm sử dụngtăng cao người ta nhận thấy việc sử dụng mạng chuyển mạch trở nên khôngkinh tế Để giảm bớt số lượng các đường dây kết nối giữa các nút mạng người

ta đưa ra kĩ thuật ghép kênh

Kênh kép Kênh đơn

Hình 1.8: Mô hình ghép kênh

Mô hình ghép kênh được mô tả như sau: tại một nút người ta tập hợpcác tín hiệu trên của nhiều người sử dụng ghép lại để truyền trên một kênh nốiduy nhất đến các nút khác, tại nút cuối người ta phân kênh ghép ra thànhnhiều kênh riêng biệt và truyền tới các người nhận

ADSL (Asymmetric Digital Subscriber Line)

Đường thuê bao kĩ thuật số không đối xứng là một công nghệ mới cungcấp kết nối tới các thuê bao qua đường cáp điện thoại với tốc độ cao cho phépngười sử dụng kết nối internet 24/24 mà không ảnh hưởng đến việc sử dụngđiện thoại và fax Công nghệ này tận dụng hạ tầng cáp đồng điện thoại hiệnthời để cung cấp kết nối, truyền dữ liệu số tốc độ cao ADSL là một chuẩnđược Viện tiêu chuẩn quốc tế Hoa Kỳ thông qua năm 1993 và gần đây đãđược Liên minh viễn thông quốc tế ITU công nhận và phát triển

ADSL hoạt động trên đôi cáp đồng điện thoại truyền thống, tín hiệuđược truyền bởi 2 modem chuyên dụng, một modem phía người dùng và 1modem phía nhà cung cấp dịch vụ kết nối Các modem này hoạt động trêndải tần số ngoài phạm vi sử dụng các cuộc gọi thoại trên cáp đồng và có thểcho phép tốc độ truyền dữ liệu cao hơn nhiều so với các modem 56K hiệnnay

Một thiết bị lọc (Spliter) đóng vai trò tách tín hiệu điện thoại và tín hiệu

dữ liệu (data), thiết bị này được lắp đặt tại cả phía người sử dụng và phía nhà

cung cấp kết nối Tín hiệu điện thoại và tín hiệu DSL được lọc và tách riêngbiệt cho phép người dùng cùng 1 lúc có thể nhận và gửi dữ liệu DSL màkhông hề làm gián đoạn các cuộc gọi thoại ADSL tận dụng tối đa khả năngcủa cáp đồng điện thoại nhưng vẫn không làm hạn chế dịch vụ điện thoạithông thường.

Spliter tạo nên 3 kênh thông tin: một kênh tải dữ liệu xuống tốc độ cao,một kênh đẩy ngược dữ liệu với tốc độ trung bình và 1 kênh cho dịch vụ điệnthoại thông thường Để đảm bảo dịch vụ điện thoại thông thường vẫn duy trìkhi tín hiệu ADSL bị gián đoạn, kênh tín hiệu thoại được tách riêng khỏimodem kĩ thuật số bởi các thiết bị lọc

Những ưu điểm của ADSL:

 Tốc độ truy nhập cao: tốc độ Download : 1.5 – 8 Mbps Nhanh hơnModem dial – up 56 Kbps 140 lần Nhanh hơn truy nhập ISDN 128Kbps 60 lần Tốc độ Upload: 64 – 640 Kbps

 Tối ưu cho truy nhập Internet Tốc dộ chiều xuống cao hơn nhiềulần so với tốc độ chiều lên Vừa truy nhập Internet, vừa sử dụng điệnthoại Tín hiệu truyền độc lập so với tín hiệu thoại/ fax do đó chophép vừa truy nhập Internet, vừa sử dụng điện thoại

 Kết nối liên tục: Liên tục giữ kết nối (Always on) không tín hiệubận, không thời gian chờ

 Không phải quay số truy nhập Không phải thực hiện vào mạng/

ra mạng Không phải trả cước điện thoại nội hạt

 Cước phí tuỳ vào chính sách ISP: Thông thường cấu trúc cướctheo lưu lượng sử dụng, dùng bao nhiêu trả tiền bấy nhiêu

 Thiết bị đầu cuối rẻ 30 – 150 USD cho một máy đơn lẻ 400 –

Nhược điểm:

 Sự phụ thuộc của tốc độ vào khoảng cách từ nhà thuê bao đến nơiđặt tổng đài ADSL (DSLAM) Khoảng cách càng dài thì tốc độ đạtđược càng thấp Nếu khoảng cách trên 5 Km thì tốc độ sẽ xuống dưới

1 Mbps Tuy nhiên, hiện tại hầu hết các tổng đài vệ tinh của nhàcung cấp (nơi sẽ đặt các DSLAM) chỉ cách các thuê bao trong phạm

vi dưới 2 Km Như vậy, sự ảnh hưởng của khoảng cách tới tốc độ sẽkhông còn là vấn đề thời gian

 Trong thời gian đầu nhà cung cấp dịch vụ sẽ không thể đầu tư cácDSLAM tại tất cả các tổng đài điện thoại vệ tinh (chi phí rất lớn) vìvậy một số khách hàng có nhu cầu không được đáp ứng do chưa đặtđược DSLAM tới tổng đài điện thoại vệ tinh gần nhà thuê bao Nhưvậy, trong thời gian đầu cung cấp dịch vụ, dịch vụ sẽ chỉ được triểnkhai tại các thành phố, các khu vực tập trung nhiều khách hàng tiềmnăng Tuy nhiên, khi số lượng khách hàng tăng thì sẽ tăng cường sốlượng DSLAM để phục vụ khách hàng

1.4.2 Mạng chuyển mạch gói (Packet Switching Network)

Bridge/

Router

switching CSU/DSU

Packet-Local

LAN

Remote LAN A

Switching network

Packet-Remote LAN B

Hình 1.9: Mô hình kết nối WAN dùng chuyển mạch gói

Mạng chuyển mạch gói hoạt động theo nguyên tắc: Khi một trạm trênmạng cần gửi dữ liệu nó cần phải đóng dữ liệu thành từng gói tin, các gói tin

đó được đi trên mạng từ nút này tới nút khác tới khi đến được đích Do việc

sử dụng kĩ thuật trên nên khi một trạm không gửi tin thì mọi tài nguyên của

mạng sẽ dành cho các trạm khác, do vậy mạng tiết kiệm được các tài nguyên

và có thể sử dụng chúng một cách tốt nhất

Người ta chia các phương thức chuyển mạch gói ra làm 2 phương thức:

- Phương thức chuyển mạch gói theo sơ đồ rời rạc

- Phương thức chuyển mạch gói theo đường đi xác định

Với phương thức chuyển mạch gói theo sơ đồ rời rạc các gói tin được chuyển đi trên mạng một cách độc lập, mỗi gói tin đều có mang địa chỉ nơi gửi và nơi nhận Mỗi nút trong mạng khi tiếp nhận gói tin sẽ quyết định xem đường đi của gói tin phụ thuộc vào thuật toán tìm đường tại nút và những thông tin về mạng mà nút đó có Việc truyền theo phương thức này cho ta sự mềm dẻo nhất định do đường đi với mỗi gói tim trở nên mềm dẻo tuy nhiên điều này yêu cầu một số lượng tính toán rất lớn tại mỗi nút nên hiện nay phần lớn các mạng chuyển sang dùng phương chuỷen mạch gói theo đường đi xác định

W

C W

Y D

Hình 1.10: Ví dụ phương thức sơ dồ rời rạc

 Phương thức chuyển mạch gói theo đường đi xác định:

Trước khi truyền dữ liệu một đường đi (hay còn gọi là đường đi ảo)được thiết lập giữa trạm gửi và trạm nhận thông qua các nút mạng Đường đitrên mạng số hiệu phân biệt với các đường đi khác, sau đó các gói tin được

ảo để có thể được nhận biết khi qua các nút Điều này khiến cho việc tính toánđường đi cho phiên liên lạc chỉ cần thực hiện một lần.

C W Z X Y

Trong kĩ thuật ATM, các tế bào chứa các kiểu dữ liệu khác nhau đượcghép kênh tới một đường dẫn chung được gọi là đường dẫn ảo (virtual path).Trong đường dẫn ảo đó có thể gồm nhiều kênh ảo (virtual channel) khácnhau, một kênh ảo được sử dụng bởi một ứng dụng nào đó tại một thời điểm

ATM đã kết hợp những đặc tính tốt nhất của dạng chuyển mạch liên tục

và dạng chuyển mạch gói, nó có thể kết hợp dải thông linh hoạt và khả năngchuyển tiếp tốc độ cao và có khả năng quản lý đồng thời dữ liệu số, tiếng nói,hình ảnh và multimedia tương tác

Mục tiêu của kĩ thuật ATM là nhằm cung cấp một mạng dồn kênh, vàchuyển mạch tốc độ cao, độ trễ nhỏ đáp ứng cho các dạng truyền thống đaphương tiện (multimedia).

Chuyển mạch cell cần thiết cho việc cung cấp các kết nối đòi hỏi băngthông rộng, tình trạng tắt nghẽn thấp, hỗ trợ cho lớp dịch vụ tích hợp lưuthông dữ liệu âm thanh hình ảnh Đặc tính tốc độ cao là đặc tính nổi bật nhấtcủa ATM

ATM sử dụng cơ cấu chuyển mạch đặc biệt: ma trận nhị phân các thành

tố chuyển mạch (a matrix of binary switching elements) để vận hành lưuthông Khả năng vô hướng (scalability) là một đặc tính của cơ cấu chuyểnmạch ATM Đặc tính này tương phản trực tiếp với những gì diễn ra khi cáctrạm cuối được thêm vào một thiết bị liên lạc mạng như router Các router cónăng suất tổng cố định được chia cho các trạm cuối có kết nối với chúng Khi

số lượng trạm cuối gia tăng, năng suất của router tương thích cho trậm cuốithu nhỏ lại Khi cơ cấu ATM mở rộng, mỗi thiết bị thu trạm cuối, bằng conđường của chính nó đi qua bộ chuyển mạch bằng cách cho mỗi trạm cuốibăng thông chỉ định Băng thông rộng được chỉ định của ATM với đặc tính cóthể xác nhận khiến nó trở thành một kỹ thuật tuyệt hảo dùng cho bất kì nơinào trong mạng cục bộ của doanh nghiệp

Như tên gọi của nó chỉ rõ, kỹ thuật ATM sử dụng phương pháp truyềnkhông đồng bộ (asynchronous) các tế bào từ nguồn tới đích của chúng Trongkhi đó, ở tầng vật lý người ta có thể sử dụng các kỹ thuật truyền thông đồng

bộ như SDH (hoặc SONET)

Nhận thức được vị trí chưa thể thay thế được (ít nhất cho đến nhữngnăm đầu của thế kỷ 21) của kỹ thuật ATM, hầu hết các hãng khổng lồ về máytính và truyền thông như IBM, ATT, Digital, Hewlett-Packard, Cisco System,

hướng đến ATM của mình để tung ra thị trường Có thể kể ra đây một số sảnphẩm đó như DEC 900 Multiwich, IBM 8250 hub, Cisco 7000 router,Cabletron, ATM module for MMAC hub.

Nhìn chung thị trường ATM sôi động do nhu cầu thực sự của các ứngdụng đa phương tiện Sự nhập cuộc ngày một đông của các hãng sản xuất đãlàm giảm đáng kể giá bán của các sản phẩm loại này, từ đó càng mở rộngthêm thị trường Ngay ở Việt Nam, các dự án lớn về mạng tin học đều đãđược thiết kế với hạ tầng chấp nhận được với công nghệ ATM trong tươnglai

Các đặc trưng chính của công nghệ ATM

Mạng chuyển mạch ATM là mạng cho phép xử lý tốc độ cao, dunglượng lớn, chất lượng truy cập cao và việc điều khiển quá trình chuyển mạch

dễ dàng và đơn giản Đặc tính của chuyển mạch ATM là ở chỗ nó thử nghiệm

sự biến đổi của độ trễ tế bào thông qua việc sử dụng kỹ thuật tự định tuyếncủa lớp phần cứng, và có thể dễ dàng hỗ trợ cho truyền thông đa phương tiện

sử dụng dữ liệu, tiếng nói và hình ảnh Hơn thế nữa, nó có thể đảm bảo việcđiều khiển phân tán và song song ở mức độ cao Nhược điểm của hệ thốngchuyển mạch ATM là sự phức tạp của phần cứng và sự tăng thêm của trễtruyền dẫn tế bào và sự điều khiển phức tạp do việc chức năng sao chép và xử

lý phải được thực hiện đồng thời

Đánh giá khi dùng kết nối ATM

Khi môi trường của xã hội thông tin được hoàn thiện, thì mạng giaotiếp thông tin băng rộng cần thiết phải tỏ ra thích nghi với các tính năng nhưtốc độ cao, băng rộng, đa phương tiện Và vì vậy phải tính đến việc thiết lậpmạng thông tin tốc độ siêu cao ở tầm quốc gia

Mạng thông tin tốc độ siêu cao đã dựa vào sử dụng công nghệ ATM(phương thức truyền tải không đồng bộ) để tạo ra mạng lưới quốc gia rộngkhắp với tính kinh tế và hiệu quả cho phép các nhà cung cấp dịch vụ có thểcung cấp nhiều loại hình dịch vụ thông tin khác nhau.

1.4.3 Kết nối WAN dùng VPN

VPN (Virtual Private Network) là một mạng riêng được xây dựng trênnền tảng hạ tầng mạng công cộng (như là mạng Internet) Mạng IP riêng(VPN) là một dịch vụ mạng có thể dùng cho các ứng dụng khác nhau, chophép việc trao đổi thông tin một cách an toàn với nhiều lựa chọn kết nối Dịch

vụ này cho phép các tổ chức xây dựng hệ thống mạng WAN riêng có quy môlớn tại Việt Nam

Giải pháp VPN cho phép người sử dụng làm việc tại nhà hoặc đang đicông tác ở xa có thể thực hiện một kết nối tới trụ sở chỉnh của mình, bằngviệc sử dụng hạ tầng mạng thông qua việc tạo lập một kết nối nội hạt tái mộtISP Khi đó, một kết nối VPN sẽ được thiết lập giữa người dùng với mạngtrung tâm của họ

Kết nối VPN cũng cho phép các tổ chức kết nối liên mạng giữa cácNOC của họ đặt tại cá địa điểm khác nhau thông qua các kết nối trực tiếp(Leased line) từ các địa điểm đó tới một ISP Điều đó giúp giảm chi phí gọiđường dài qua dial – up và chi phí thuê đường Leased line cho khoảng cách

xa Dữ liệu chuyển đi được đảm bảo an toàn vì các gói dữ liệu truyền thôngtrên mạng đã được mã hoá

 Một số giải pháp kĩ thuật hay dùng trong kết nối VPN

- IPSec

- PPTP

Mạng WAN của ngân hàng được xây dựng trên cơ sở công nghệ hiện đại,nhằm kết nối tất cả các hệ thống thông tin đảm bảo cung cấp đầy đủ các dịch

vụ truyền thống và gia tăng giá trị như: Internet (web, mail), VoIP, Truyềnhình Broadcast, Video Conference, và các dịch vụ vụ VPN Thông qua đótất cả các hoạt động giao dịch trong kinh tế, trao đổi thông tin hành chính giữacác chi nhánh với hội sở và các chi nhánh với nhau, sử dụng khai thác nguồn

dữ liệu chung từ các trung tâm tích hợp dữ liệu, hay các cơ sở dữ liệu phântán tại các node trên mạng

Mạng WAN của ngân hàng cần được xây dựng trên cơ sở công nghệhiện đại tích hợp đầy đủ các dịch vụ như đã nói ở trên về mặt chất lượng (đápứng băng thông, realtime, bảo mật, an ninh, độ ổn định, tương thích với cácmạng hiện có và mạng trục quốc gia), đặc biệt là độ bảo mật cao và có khảnăng mở rộng đến tương lai 10-15 năm sau

 Các yêu cầu đặt ra khi thiết kế mạng WAN

Chủ yếu có 4 yêu cầu chính như sau:

1 Mạng WAN phải mềm dẻo, có khả năng đáp ứng được những thay đổi trong hoạt động kinh doanh của Ngân hàng: Mạng WAN cần

được thiết kế mềm dẻo, có khả năng thay đổi theo những thay đổi tronghoạt động kinh doanh của Ngân hàng như mở thêm văn phòng, thay đổi

nhà cung cấp nguyên liệu, thay đổi nhà phân phối, kênh bán hàng, v.v khi đó cấu trúc mạng và số nút mạng cũng cần được thay đổi theo

2 Khả năng khôi phục nhanh khi có sự cố, Khả năng này đặt ra yêu

cầu gia tăng khả năng định tuyến lại lưu lượng thật nhanh chóng khimột điểm trung gian trên mạng hoặc 1 đường truyền dẫn bị đứt Thôngthường yêu cầu về thời gian khôi lục liên lạc trong khoảng 50 ms haynhỏ hơn nếu như phục cho các lưu lượng thoại Ngoài ra mạng WANphải có khả năng mở rộng (các hệ số như tốc độ tối đa của kết nốiWAN hay số lượng tối đa của các kênh ảo mà mạng đó hỗ trợ)

3 Hội tụ hạ tầng mạng lưới (Convergence of Network Infrastructure): hợp nhất rất nhiều loại công nghệ (như ATM, Frame

Relay), các giao thức (như IP, IPX, SNA) và các kiểu lưu lượng (nhưdata, voice, và video) vào cùng một hạ tầng mạng duy nhất khi ấy chiphí hỗ trợ hạ tầng mạng sẽ giảm đáng kể so với hỗ trợ nhiều mạng lướinhư trước

4 Cách ly lưu lượng (Traffic Isolation) nhằm hai mục đích: tăng tính

bảo mật (chỉ truy cập được vào luồng lưu lượng của mình) và tính ổnđịnh (các hoạt động của một thực thể chỉ ảnh hưởng đến thực thể đó)

 Yêu cầu thiết kế hệ thống bảo mật

Quan điểm xây dựng chính sách bảo mật:

- An ninh mạng là một tiến trình lặp đi lặp lại, bao gồm các bước xoayvòng như sau:

 Xác định các đối tượng cần được bảo vệ (máy chủ, các tài nguyên, cácứng dụng, các thiết bị mạng, máy trạm, người dùng, v…v)

 Xác định các hiểm hoạ có thể gây nên cho mạng và hệ thống

 Thiết lập chính sách an ninh cho mạng, bao gồm các nhà lãnh đạo,quản lý và tin học, quản trị mạng và người dùng.

 Thiết lập chính sách an ninh mạng bằng các phương pháp điện tử vàhành chính Các phương pháp điện tử bao gồm: thiết kế quy hoạch lạimang, Firewall, VPN, IDS, ACS và quản trị an ninh mạng

 Kiểm tra lại chính sách an ninh và các thiết bị an ninh mạng để đáp ứnglại các thay đổi

 Tiếp tục theo dõi và quản lý an ninh mạng, thay đổi chính sách an ninh

và cấu hình các thiết bị an ninh mạng để phù hợp với các ngữ cảnh anninh mới

- An ninh mạng phải được thiết lập dựa trên nguyên tắc:

 Bảo vệ có chiều sâu (defense in depth): Hệ thống phải được bảo vệ theochiều sâu, phân thành nhiều tầng và tách thành nhiều lớp khác nhau.Mỗi tầng và lớp đó sẽ được thực hiện các chính sách bảo mật hay ngănchặn khác nhau Mặt khác cũng là đề phòng ngừa khi một tầng hay mộtlớp nào đó bị xâm nhập thì xâm nhập trái phép đó chỉ bó hẹp trong tầnghoặc lớp đó thôi và không thể ảnh hưởng sang các tầng hay lớp khác

 Sử dụng nhiều công nghệ khác nhau: không nên tin cậy vào chỉ mộtcông nghệ hay sản phẩm công nghệ bảo đảm an ninh cho mạng của mộthãng nào đó Bởi nếu như sản phẩm của hãng đó bị hacker tìm ra lỗhổng thì dễ dàng các sản phẩm tương tự của hãng đó trong mạng cũng

sẽ bị xuyên qua và việc phân tầng, phân lớp trong chính sách phòng vệ

là vô nghĩa Vì vậy khi tiến hành phân tầng, tách lớp, nên sử dụngnhiều sản phẩm công nghệ của nhiều hãng khác nhau để hạn chế nhượcđiểm trên Đồng thời sử dụng nhiều công nghệ và giải pháp bảo mật kếthợp để tăng cường sức mạnh hệ thống phòng vệ như phối hợp Firewall

làm công cụ ngăn trặn trực tiếp, IDS/IPS làm công cụ “đánh hơi”, phảnứng phòng vệ chủ động, Anti-virus để lọc virus v v

2.2 Thiết kế mạng:

2.2.1 Định hướng thiết kế

Hệ thống mạng bao gồm nhiều chi nhánh, phạm vi rộng khắp cả nước(cấp trung ương, cấp tỉnh thành và các chi nhánh cấp quận huyện) Chính vìvậy cần phải có một cái nhìn tổng thể trong việc xây dựng giải pháp mạngdiện rộng – WAN ngay từ ban đầu, để sao cho hệ thống phải có tính mở cao,

dễ dàng nâng cấp mở rộng hệ thống theo từng giai đoạn sau này

Cụ thể như sau: Về hệ thống mạng và truyền thông, tại Hội sở chính vàcác chi nhánh tỉnh, thành phố đã có một hệ thống mạng cục bộ (LAN) phục

vụ cho các hoạt động giao dịch và chia sẻ dữ liệu tại chỗ Hệ thống mạngWAN được xây dựng phân cấp theo mô hình 3 cấp bao gồm: hệ thống mạngLAN tại Hội sở chính; hệ thống mạng LAN tại các chi nhánh cấp tỉnh vàphòng giao dịch cấp huyện Hệ thống truyền thông nối kết giữa Hội sở chính

và 3 Trung tâm khu vực đã được kết nối bằng đường Leasedline, còn lại hệthống đường truyền DialUp kết nối các Trung tâm khu vực với các chi nhánhcấp tỉnh và phòng giao dịch cấp huyện… đã tạo nên một hệ thống mạng nội

bộ hoàn chỉnh đáp ứng được các yêu cầu về truyền thông trong hoạt độnggiao dịch, thanh toán và báo cáo số liệu của các cấp

Từ đấy ta có định hướng thiết kế mạng diện rộng – WAN sẽ theo môhình phân cấp, chi tiết hoá nhiệm vụ của từng lớp, tối ưu hoá năng lực xử lýcủa từng lớp, góp phần tối ưu hoá quá trình trao đổi dữ liệu trên toàn mạng

Mô hình phân cấp để hỗ trợ thiết kế WAN thường là mô hình phân cấp

ba tầng:Tầng 1 là tầng lõi(xương sống của WAN - backbone), tầng 2 phân

tán, tầng ba là tầng truy nhập, gọi tắt là mô hình phân cấp phục vụ cho việckhảo sát và thiết kế WAN.

Telecommuter Workgroups

Branch Office Dial-In

WAN Backbone

Campus Backbone

Building Backbone

Tầng lõi

Tầng phân tán

Tầng truy nhập

Hình 2.1: Mô hình phân cấp trong thiết kế mạng WAN

Tầng lõi là phần kết nối mạng trục(WAN backbone) kết nối các trungtâm mạng(NOC) của từng vùng, thông thường khoảng cách giữa các NOC là

xa hay rất xa, do vậy chi phí kết nối và độ tin cậy cần phải được xem xét kỹ.Hơn nữa vấn đề đảm bảo chất lượng dịch vụ QoS cũng được đặt ra, dẫn đếnphân loại, phân cấp ưu tiên dịch vụ

Tầng phân tán là phần kết nối các điểm đại diện POP, hay các nhánhmạng vào NOC

Tầng truy nhập từ xa là phần kết nối của người dùng di động, hay cácchi nhánh nhỏ vào POP hay vào NOC

Các ưu điểm của mô hình phân cấp:

Nhờ mô hình phân cấp người thiết kế WAN dễ tổ chức khảo sát, dễ lựachọn các phương án, và công nghệ kết nối, dễ tổ chức triển khai, cũng nhưđánh giá kết quả

Các tầng trong mô hình phân cấp

- Tầng lõi Backbone: Hay còn gọi là lớp trục xương sống, nó được thiết lậptại các trung tâm vùng, các trung tâm này được kết nối với nhau theo mô hìnhmạng lưới (Full-mesh) thông qua các đường Leased Line

- Tầng phân tán (Distribution): Được xây dựng tại các Trung tâm tỉnh, kết nốitrực tiếp về lớp Backbone bằng các đường Leased Line

- Tầng truy cập (Access): Dành cho các chi nhánh Quận/huyện kết nối đếntỉnh hoặc cung cấp các dịch vụ ghép nối cho khách hàng của Ngân hàng.Dưới đây là mô hình tổng thể phân cấp mạng WAN

Hình 2.2: Mô hình kết nối mạng WAN phân cấp

Về cơ bản việc thiết kế hệ thống đảm bảo được các yếu tố sau:

- Hạ tầng công nghệ thông tin đáp ứng được các yêu cầu phát triển lien tục của ứng dụng nghiệp vụ và quản lý

- Tận dụng được công nghệ, giải pháp kĩ thuật và sản phẩm mới

- Hướng tới một hệ thống mạng số hội tụ tích hợp đa dịch vụ (Digital Convergenced Network with Integrated Services)

- Bảo vệ đầu tư (Investment Protection)

2.2.2 Thiết kế phần ứng dụng

Định hướng thiết kế phần ứng dụng trong Trung tâm vùng sẽ tuân theonguyên tắc thiết kế chung của các hệ thống mạng lớn, đó là nguyên tắc thiết

kế theo module

Mô hình sẽ như sau:

WAN BackboneInternet

ISDN, PSTN WAN Local

LAN Backbone Module

User Module

Hình 2.3: Thiết kế theo các khối Module

Với mô hình này, một hệ thống thông thường sẽ có những module sau:

 Backbone Module: là module kết nối tới những Trung tâm miền khácđối với những hệ thống mạng lớn tổ chức theo mô hình nhiều Trung tâmmiền Backbone module sẽ gồm những thiết bị định tuyến cỡ lớn dùngworld-class, không cần quá nhiều giao diện nhưng phải có khả năng xử lýcao kết hợp với khả năng dự phòng trên từng thành phần thiết bị

WAN Module: là module dùng cho kết nối xuống các đơn vị cấp dưới

high – end, khả năng cung cấp nhiều loại kết nối WAN đa dạng khác nhau(Frame relay, Leased line, ATM, E1/E3, ISDN PRI …) và điểm quantrọng là những thiết bị này thường có mật độ cổng lớn (high – densityport) bởi nó chịu trách nhiệm tập hợp các kết nối WAN (WANAggregation).

 DataCenter Module: Module rất quan trọng cho kết nối với khối mạngnội bộ tại Trung tâm miền Khối mạng nội bộ này gồm có thiết bị củangười sử dụng đầu cuối, hệ thống máy chủ cơ sở dữ liệu và ứng dụng tậptrung (center Farm), hệ thống quản trị công nghệ thong tin

 Internet Module: Module phục vụ cho nhu cầu kết nối internet củangười sử dụng bên trong và để cho phép người sử dụng bên ngoài truy cậpvào những máy chủ dịch vụ công cộng bên trong Đối với những hệ thống

đa miền, module internet sẽ được đặt tại mỗi Trung tâm miền Thôngthường việc mở nhiều cổng kết nối internet không được khuyến khích vì lý

do an ninh và quản lý

 Remote Access/VPN Module: Chức năng ban đầu của module này làcung cấp khả năng kết nối vào mạng bên trong cho nhóm người dùng ở xa(người sử dụng làm việc tại nhà hoặc đi công tác) Tuỳ thuộc vào khoảngcách kết nối và chính sách cụ thể mà có thể lựa chọn dùng dial – in remoteaccess (qua mạng ISDN/PSTN) hoặc remote access VPN (qua mạnginternet) Tuy nhiên với những hệ thống có nhiều kết nối WAN quan trọngthì module này lại thường được dùng cho việc Backup kết nối WAN

 Voice/Video Module: Module này thường có ở những hệ thống đãđược triển khia tương đối hoàn chỉnh Khi đó phần về hạ tầng kết nối đã

ổn định và khách hàng có nhu cầu triển khai những dịch vụ gia tăng tậndụng hạ tầng mạng có sẵn Nếu được thiết kế và triển khai hợp lý, module

này sẽ đem lại một hiệu quả kinh tế lớn qua việc tiết kiệm chi phí sử dụngdịch vụ nếu phải thuê lại của nhà cung cấp.

2.2.3 Thiết kế phân lớp hệ thống kết nối

Sau khi phân tích hệ thống mạng WAN, ta thiết kế cụ thể hoá các khốichức năng, tối ưu hoá hệ thống và dễ dàng cho việc mở rộng hệ thống trongnhững giai đoạn tiếp theo

WAN Backbone

WAN Local

Internet

User VLAN Hội sở

VLAN Server Farm

Core Switch

INTERNET MODULE

Switch Layer 3

R_Internet Gateway

Internet Firewall WAN Firewall

HCM

Server Firewall

Hình 2.4: Mô hình thiết kế hệ thống kết nối

Theo mô hình kết nối, hệ thống mạng WAN/LAN tại Hội sở sẽ đóngvai trò làm trung tâm công nghệ thông tin của Ngân hàng, toàn bộ các kết nốiWAN tới các chi nhánh sẽ được tập trung về đây, đồng thời hệ thốngDatabase Server cũng sẽ được tập trung tại đây

2.2.4 Thiết kế phân hoạch địa chỉ IP và định tuyến cho hệ thống

 Giải pháp phân hoạch IP

Phân hoạch điạ chỉ IP là một trong những nội dung quan trọng nhất củaquá trình thiết kế mạng Hệ thống địa chỉ IP được phân hoạch hợp lý sẽ là tiền

đề để đảm bảo cho mạng có thể hoạt động tốt, tối ưu và dễ dàng nâng cấp mởrộng về sau cũng như thuận tiện hơn cho các thao tác quản trị

Việc phân hoạch IP đối với hệ thống mạng WAN Ngân hàng sẽ tuân thủtheo các nguyên tắc sau:

 Sử dụng dải IP private được quy định trong RFC 1918 để đảm bảokhông bị xung đột với các hệ thống mạng Public khác khi mạng nội bộ

có kết nối vào các hệ thống mạng công cộng Các dải địa chỉ IP private

sẽ không được InterNIC cấp phát cho các hệ thống công cộng nênkhông có trên bảng định tuyến của các Internet Router và không bịxung đột khi ta đưa vào sử dụng Các dải địa chỉ IP private được quyđịnh trong RFC 1918 gồm có:

 Lớp A : 10.0.0.0/8 từ 10.0.0.1 đến 10.255.255.254

 Lớp B: 172.16.0.0/12 từ 172.16.0.1 đến 172.32.255.254

 Lớp C: 192.168.0.0/16 từ 192.168.0.1 đến 192.168.255.254

Địa chỉ IP phải được phân hoạch liên tục theo từng cấp: Việc phân hoạch

IP liên tục ( contiguous subnet) là rất quan trọng bởi nó liên quan đến việcrút gọn bảng định tuyến trên Router Các Router liền kề nhau sẽ được rútgọn thành một router duy nhất để giảm kích thước cho bảng định tuyếntrên Router và dễ kiểm soát thông tin định tuyến

Số lượng địa chỉ IP và subnetmask phải được tính toán để phù hợp với sốlượng host có trong mạng đó và có tính toán để đáp ứng được khi số lượnghost tăng lên Host ở đây gồm những thiết bị mà có thể đặt được IP: PC,Server, máy in, Gateway, Firewall …

Việc phân hoạch IP phải chừa ra một dải IP dự phòng dùng cho các mụcđích thử nghiệm và mục đích mở rộng mạng khi cần thiết.

 Phù hợp với hệ thống mạng WAN phân cấp/phức tạp

 Mỗi phân đoạn mạng chỉ tuỳ theo nhu cầu có thể đặt nhiều địa chỉ IPchứ không bị giới hạn là 254 địa chỉ IP như lớp C

 Dễ dàng cấu hình rút gọn bảng định tuyến trên Router

Phân hoạch cụ thể lớp A như sau: với mặc định Defaulft subnet là10.0.0.0/8 và được chia thành 4 Subnet 10 bit được phân bố chi tiết như sau:

* 10.0.0.0/10 dành cho khu vực phía Bắc

* 10.64.0.0/10 dành cho khu vực miền Trung

* 10.128.0.0/10 dành cho khu vực phía Nam

* 10.192.0.0/10 dành để dự phòng

Mỗi khu vực sẽ chi ra làm 64 subnet 16 bit tương ứng để sử dụng chocác chi nhánh lớp cấp tỉnh thành trong khu vực với sự phân bố chi tiết nhưsau:

* 10.0.0.0/16 – 10.63.0.0/16 cho các chi nhánh khu vực miền Bắc

* 10.64.0.0/16 – 10.127.0.0/16 cho các chi nhánh khu vực miền Trung

* 10.128.0.0/16 -10.191.0.0/16 cho các chi nhánh khu vực miền Nam

* 10.192.0.0/16 – 10.254.0.0/16 dành để dự phòng

* 10.255.0.0/16 cho các kết nối liên khu vực – CoreBackbone

Như vậy mỗi vùng sẽ có tới 64 subnet trong khi đó mỗi miền sẽ khôngthể có nhiều tới 64 chi nhánh cấp tỉnh nên việc chia địa chỉ như vậy đảm bảo

sẽ không thiếu địa chỉ về sau

Cụ thể tại chi nhánh cấp tỉnh thành phố và cấp quận huyện sẽ chia các dải địachỉ như sau:

 Trung tâm chính, Hội sở của mỗi miền (Hà Nội, TP Hồ Chí Minh, ĐàNẵng) sẽ lấy địa chỉ mạng đầu tiên trong dãy nêu ở trên Tỉnh tiếp theotrong miền đó sẽ lấy địa chỉ thứ hai và cứ thế Trong trường hợp này

Hà Nội lấy địa chỉ mạng 10.0.0.0, TP Hồ Chí Minh lấy địa chỉ10.128.0.0 và Đà Nẵng lấy địa chỉ 10.64.0.0 (tất cả dùng subnet mask255.255.0.0)

 Xuống đến các chi nhánh nhỏ hơn ở cấp huyện, lớp mạng của tỉnh(hoặc thành phố) đó sẽ được chia nhỏ hơn thành 245 mạng nhỏ khácnhau để cấp cho các quận huyện Do mỗi tỉnh thành phố chắc chắn cókhông quá 254 chi nhánh cấp quận huyện nên việc phân chia như vậy

sẽ đảm bảo không bị thiếu địa chỉ

 Tại từng chi nhánh cấp quận huyện sẽ có tới 254 địa chỉ dùng để cấpcho các trạm làm việc, máy chủ … Và đặc biệt, do kết nối từ các chinhánh quận huyện lên chi nhánh tỉnh là kết nối quay số (có thể quay số

từ máy chủ, từ router hoặc trạm làm việc) nên địa chỉ của các máyremote access client này sẽ được router trên chi nhánh cấp tự độngtrong dải địa chỉ quản lý của mình

 Việc cấp địa chỉ cho các máy trạm thuộc chi nhánh được sử dụng theophương pháp động để đảm bảo tránh xung đột như khi người sử dụng

tự đặt ra Công việc này sẽ đảm nhận bởi máy chủ DHCP hoặc chứcnăng DHCP trên Router Tuy nhiên, một số thiết bị quan trọng cần phải

có địa chỉ tĩnh để đảm bảo sự ổn định khi truy nhập thiết bị đó (máychủ, máy in mạng, cổng Ethernet của Router, Firewall …)

Phân hoạch cụ thể IP mới cho hệ thống

Dải IP cho thiết bị lớp Core nối các trung tâm vùng (Hà Nội, Đà Nẵng và

TP Hồ Chí Minh, WAN IP liên vùng)

 Dải IP của cổng Loopback của thiết bị router core để điều khiển thôngtin sẽ được qui ước là Hà Nội – 10.255.255.1/32, TP Hồ Chí Minh –10.255.255.2/32 và Đà Nẵng – 10.255.255.3

 Dải IP của cổng WAN của thiết bị lớp Core nối các trung tâm vùng (HàNội, Đà Nẵng và TP Hồ Chí Minh, WAN IP liên vùng) sẽ được qui ước

là dải 10.255.254.x/24, với x là số cụ thể của mỗi kết nối, và dải này cóthể được chia nhỏ thành 64 dải / 30 khác

Dải IP cấp cho một Tỉnh sẽ là 10.s.0.0/16với a được qui ước là số của mỗiTỉnh

 Dải IP của cổng Loopback của thiết bị router tại Tỉnh để điều khiểnthông tin sẽ được qui ước là 10.a.255.1/32, miền Bắc a=0 tới 63, miềnTrung a = 64 tới 127, miền Nam a = 128 tới 191.

 Dải IP của cổng WAN của thiết bị tại Tỉnh nối lên trung tâm vùng(WAN IP nội vùng) sẽ được qui ước là 10.a(đầu tiên).255.b/30, với b là

số cụ thể của mỗi kết nối, miền Bắc sẽ là 10.0254.b, miền Trung sẽ là10.64.254.b, miền Nam sẽ là 10.128.254.b

 Dải IP của các lớp mạng từ 10.a.0.0/24 đến 10.a.253.0/24 sẽ được cấpcho mạng các chi nhánh quận/huyện trong Tỉnh đó

Dải IP cấp cho một Quận/Huyện thuộc Tỉnh sẽ như sau:

 Dải IP của cổng Loopback của thiết bị router tại Quận/Huyện để điềukhiển thông tin sẽ được qui ước là 10.a.255.c/32, với c là số thứ tự tăngdần từ 2 tới 254

 Dải IP của cổng WAN của thiết bị tại Quận/Huyện nối lên trung tâmTỉnh (WAN IP nội vùng) sẽ được qui ước là: 10.a.253.d/30, với d là số

cụ thể của mỗi kết nối

 Dải IP của các lớp mạng từ 10.a.0.0/24 đến 10.a.19.0/24 sẽ được dựphòng cho mạng LAN trung tâm Tỉnh

 Dải IP của các lớp mạng từ 10.a.20.0/24 đến 10.a.249.0/24 sẽ được cấpcho mạng LAN các chi nhánh cấp quận/huyện (tối đa mở rộng được

230 chi nhánh cấp quận/huyện ở mỗi Tỉnh)

 Dải IP còn lại của các lớp mạng từ 10.a.250.0/24 đến 10.a.252.0/24 sẽdành để dự phòng chung (3 dải IP /24)

Sau đây là bảng qui ước phân hoạch địa chỉ IP chi tiết chuẩn bị sẵnsàng cho toàn bộ các chi nhánh cấp 1 thuộc 3 thành phố/tỉnh lớn (Hà Nội,

Đà Nẵng và TP Hồ Chí Minh):

TT Site Loopback IP address LAN IP address

WAN IP address nội vùng

(local peer)

WAN IP address nội vùng

(remote peer)

I KHU VỰC HN

1 Hội sở - Hà Nội 10.255.255.1/32 10.0.0.1/24

10.0.253.1/30 10.0.253.5/30 10.0.253.9/30 10.0.253.13/30 10.0.253.17/30

………

10.0.253.2/30 10.0.253.4/30 10.0.253.10/30 10.0.253.14/30 10.0.253.18/30

……

10.128.253.2/30 10.128.253.6/30 10.128.253.10/30

2 Tân Cảng 10.128.255.2/32 10.128.20.1/24 10.128.253.2/30 10.128.253.1/30

3 Gò Vấp 10.128.255.3/32 10.128.21.1/24 10.128.253.6/30 10.128.253.5/30

4 Sài Gòn 10.128.255.4/32 10.128.22.1/24 10.128.253.10/30 10.128.253.9/30

5 Phú Thọ 10.128.255.5/32 10.128.23.1/24 10.128.253.14/30 10.128.253.13/30

8 Tôn Đức Thắng 10.128.255.8/32 10.128.26.1/24 10.128.253.26/30 10.128.253.25/30

10 .255 .254 x /24 1 0 255

.2 5 4 x /24

10.255.254.x/24

1 0 1 2 8 2 5 4 x /3 0

1 0 2 x / 3

1 0 0 254 x /3 0

1

.

1 2 x /

.2 5 4 x /3 0

LAN 10.0.20.1/24

LAN 10.10.20.1/24

LAN 10.11.20.1/24

Quận/Huyện

Loopback 10.10.255.2/32

Quận/Huyện

Loopback 10.11.255.2/32

Quận/Huyện

Loopback 10.75.255.2/32

Quận/Huyện

Loopback 10.74.255.2/32

Quận/Huyện

Loopback 10.64.255.2/32

Quận/Huyện

Loopback 10.139.255.2/32

Quận/Huyện

Loopback 10.138.255.2/32

Tỉnh MB

Loopback 10.10.255.1/32

Tỉnh MB

Loopback 10.11.255.1/32

Tỉnh MN

Loopback 10.64.255.1/32

Tỉnh MN

Loopback 10.74.255.1/32

Tỉnh MN

Loopback 10.75.255.1/32

Hình 2.5: Cách bố trí địa chỉ IP phân lớp

Phải có kế hoạch phân hoạch địa chỉ IP tổng thể rõ ràng, toàn diện như vậythì mới đáp ứng được nhu cầu phát triển và không ngừng mở rộng hệ thốngmạng ngân hàng trong thời gian 5 năm, 10 năm, 20 năm và hơn thế nữa.

 Gải pháp sử dụng định tuyến

a Phân tích so sánh các phương pháp định tuyến

Hiện nay đang có 2 xu hướng sử dụng định tuyến trên mạng như sau:

Định tuyến tĩnh (stactic routing): là việc nhà quản trị tự xác định các mạng

đích và điểm đến tiếp (next hop) để tới mạng đích đó

Ví dụ như sau về một dòng lệnh định tuyến tĩnh:

 Khó quản lý đường đi trên mạng (router): khi số lượng mạng đích rấtnhiều thì số lượng router trên mạng sẽ tăng nhanh chóng Như ví dụtrên ta thấy nếu không phải là 1 mạng đích mà là 100 mạng đích thì taphải gõ bằng tay 100 dòng như vậy vào cấu hình Router, việc này làmcho bảng định tuyến của Router trở nên phức tạp khó quản lý

 Không tự động cập nhập khi có thay đổi: sau khi có thay đổi: sau khimột router được thiết lập, nếu các giá trị trong router đó thay đổi(chẳng hạn như một đơn vị nào đó thay đổi IP) thì nhà quản trị phải xoá