Báo cáo trình bày đã tổng quan về cách thiết kế trong việc lựa chọn công nghệ và thiết bị cho các thiết kế mạng doanh nghiệp, tập trung vào các thành phần truy cập từ xa và mạng WAN của một mạng doanh nghiệp.Công nghệ truy cập từ xa bao gồm PPP, modem cáp và DSL. Công nghệ WAN bao gồm Hệ thống kỹ thuật số Bắc Mỹ, hệ thống điện tử châu Âu, SDH, đường truyền riêng, SONET, Frame Relay, ATM, và Metro Ethernet. Chúng ta có thể sử dụng nhiều tiêu chí lựa chọn khi lựa chọn các thiết bị truy cập từ xa, máy chủ web và các bộ tập trung, thiết bị định tuyến doanh nghiệp, và một nhà cung cấp dịch vụ mạng WAN để thực hiện các công nghệ này. Các tiêu chí này bao gồm các loại cổng, giao thức, và tối ưu hóa và các tính năng bảo mật được cung cấp bởi thiết bị hoặc nhà cung cấp dịch vụ.
Trang 1NHẬN XÉT CỦA GIÁO VIÊN
Trang 2
MỤC LỤC
Trang 3Hình 1.2: Connection Establishment with the Challenge
Handshake Authentication Protocol
7
Bảng 3.1: Hệ thống phân cấp kỹ thuật số Bắc Mỹ 13
Bảng 3.2: Hệ thống phân cấp của Ủy ban Châu Âu về bưu
điện và điện thoại (CEPT)
13Bảng 3.3: Hệ thống phân cấp đồng bộ số (SDH) 14
Hình 3.3: Mạng SONET hình ring 15
Trang 4CHƯƠNG I CÔNG NGHỆ TRUY CẬP TỪ
XA
Khi tổ chức phát triển nhiều chi nhánh hoạt động ở các vị trí địa lýkhác nhau, công nghệ truy cập từ xa đã trở thành thành phần quan trọngcủa nhiều thiết kế mạng doanh nghiệp Doanh nghiệp dùng công nghệtruy cập từ xa để cung cấp truy cập mạng đến người làm việc qua mạng,nhân viên trong văn phòng từ xa
Phân tích vị trí của người dùng và các ứng dụng của họ là cơ cở cho
để bạn thiết kế mạng truy cập từ xa Điều quan trọng là hiểu vị trí và sốngười làm việc qua mạng làm, cách phổ biến người dùng điện thoại diđộng truy cập mạng, và vị trí và phạm vi văn phòng từ xa Văn phòng từ
xa bao gồm chi nhánh, văn phòng bán hàng, cơ sở sản xuất, nhà kho, cửahàng bán lẻ, ngân hàng trong khu vực trong ngành tài chính, và trong khuvực phòng khám trong ngành y tế Văn phòng từ xa cũng đôi khi nằm ởsite của đối tác kinh doanh ( ví dụ như cho nhà cung cấp)
Trước đây, người làm việc qua mạng và người dùng điện thoại diđộng thường truy cập mạng sử dụng tuyến modem analog Modem tương
tự tốn một thời gian dài để kết nối và có độ trễ cao và tốc độ thấp ( Tốc
độ cao sẵn có cho modem tương tự là 56 kbps ).Ngày nay,người dùng cầntốc độ cao, độ trễ thấp, và thời gian kết nối nhanh Modem tương tự đãđược thay thế tại văn phòng nhỏ / văn phòng tại nhà ( SOHO ) bằng bộđịnh tuyến hỗ trợ cáp hay modem DSL
■ Network layer protocol multiplexing
Trang 5PPP có bốn lớp chức năng:
■ Các lớp vật lý dựa trên tiêu chuẩn quốc tế khác nhau để giao tiếp nốitiếp hóa, bao gồm cả EIA/TIA-232-C (trước đây là RS-232-C),EIA/TIA-422 (trước đây là RS-422), V.24, và V.35
■ Các dữ liệu lớp mạng được đóng gói dựa trên các tiêu chuẩn cấp caogiao thức Data Link Control (HDLC)
■ Các Link Control Protocol (LCP) được sử dụng để thiết lập, cấu hình,xác thực, thử nghiệm, và kết thúc một kết nối liên kết dữ liệu
■ Một tập hợp giao thức của mạng điều khiển (NCP) được sử dụng đểthiết lập và cấu hình giao thức lớp mạng khác nhau chẳng hạn như IP,IPX, AppleTalk, và DECnet
Multilink PPP và Multichassis Multilink PPP
Multilink PPP (MPPP) thêm hỗ trợ cho kênh kết hợp với PPP Kênhaggrega hóa có thể được sử dụng để chia sẻ tải và cung cấp thêm băng thông.Với kênh aggrega hóa, một thiết bị có thể tự động đưa lên các kênh bổ sungnhư yêu cầu băng thông tăng lên Kênh tổng hợp đã được phổ biến với các liênkết ISDN, nhưng nó có thể được sử dụng trên các loại giao tiếp nối tiếp khác(một máy tính kết nối với hai modem tương tự có thể sử dụng kênh kết hợp).MPPP đảm bảo rằng gói tin đến và sắp xếp theo thứ tự tại thiết bị nhận Đểthực hiện điều này, MPPP đóng gói dữ liệu trong PPP và gán một số thứ tự trêngói dữ liệu Ở thiết bị nhận, PPP sử dụng số thứ tự để tái tạo các luồng dữ liệuban đầu Nhiều kênh xuất hiện như một liên kết logic cho các giao thức lớptrên
Multichassis MPPP là một phần mềm Cisco IOS nâng cao để MPPP chophép kênh tổng hợp trên nhiều máy chủ truy cập từ xa tại một địa điểm trungtâm Multichassis MPPP cho phép quản trị mạng WAN để nhóm nhiều máychủ truy cập vào một nhóm stack duy nhất Lưu lượng người sử dụng có thểđược phân chia và tập hợp lại trên nhiều máy chủ truy cập trong nhóm stack
Multichassis MPPP sử dụng các Stack Group Bidding Protocol (SGBP),
trong đó xác định một quá trình nỗ lực để cho phép các máy chủ truy cập,chọnmột máy chủ để xử lý tập trung cho một ứng dụng Để các máy chủ có thể làmviệc và quản lý một gói các liên kết cho một ứng dụng yêu cầu phải có mộtkênh tổng hợp
Trang 6Hình 1.1: Multichassis Multilink PPP Stack Group and Offload Server
Giao thức xác thực mật khẩu và xác thực giao thức bắt tay
Giao thứcPPP hỗ trợ hai loại chứng thực:
■ Password Authentication Protocol (PAP)
■ Challenge Handshake Authentication Protocol (CHAP)CHAP là an toàn hơn PAP và được khuyến khích.Với PAP, mật khẩucủa người dùng được gửi dưới dạng văn bản rõ ràng Một kẻ xâm nhập có thể
sử dụng một giao thức phân tích để nắm bắt mật khẩu và sau đó sử dụng mậtkhẩu để đột nhập vào mạng CHAP cung cấp bảo vệ chống lại các cuộc tấncông bằng cách kiểm tra một nút từ xa với giao thức bắt tay ba bước và một giátrị thách thức biến là duy nhất và không thể đoán trước Xác minh sẽ xảy ra khithành lập liên kết và có thể được lặp đi lặp lại bất cứ lúc nào trong một phiên
Khi một nút điều khiển từ xa kết nối với một máy chủ truy cập hoặcrouter, máy chủ hoặc bộ định tuyến sẽ gửi lại một thông điệp thách thức với giátrị thách lenge ngẫu nhiên Trạm xa nguồn cấp dữ liệu gửi giá trị thách thức vàmật khẩu nút từ xa thông qua một thuật toán băm, kết quả là trả lời bằng phảnứng thách thức băm Nút từ xa gửi những phản ứng thách thức băm đến máychủ, cùng với một tên người dùng xác định các nút điều khiển từ xa Máy chủkiểm tra tên người dùng và mật khẩu liên quan đến điều hành và thách thứcthông qua các thuật toán băm tương tự mà các nút điều khiển từ xa sử dụng.Nếu nút từ xa gửi đúng mật khẩu, các giá trị băm sẽ phù hợp và máy chủ sẽ gửimột thông báo chấp nhận, nếu không, nó sẽ gửi một tin nhắn từ chối
Trang 7Hình 1.2: Connection Establishment with the Challenge Handshake
từ xa
Thách thức kết hợp với hệ thống modem cáp
Một thách thức với việc thực hiện một giải pháp truy cập từ xa dựa trênmodem cáp là cơ sở hạ tầng CATV được thiết kế cho tín hiệu truyền hình phátsóng theo chỉ một chiều: từ các công ty truyền hình cáp đến nhà của một người
Dữ liệu đi từ nhà cung cấp đến nhà (hoặc văn phòng nhỏ) và từ nhà đến nhàcung cấp
Do thiết kế của mạng CATV, hầu hết các dịch vụ mạng lưới cáp cungcấp băng thông nhiều hơn nữa cho dowload (từ nhà cung cấp dịch vụ) hơn choupload (từ khách hàng) Một giả thiết được thực hiện mà rất nhiều các dữ liệu
đi từ nhà hoặc văn phòng nhỏ bao gồm các gói dữ liệu nhận ngắn và đòi hỏi ítbăng thông Giả định này là chính xác cho các ứng dụng như duyệt web, nhưng
có thể không được chính xác cho các ứng dụng khác sẽ được triển khai trongthiết kế mạng của bạn Một giải pháp modem cáp không phải là câu trả lời tốtnhất cho các ứng dụng peer-to-peer hoặc khách hàng - máy chủ ứng dụng,trong đó khách hàng sẽ gửi rất nhiều dữ liệu
Một hệ thống cáp mạng điển hình cung cấp 25 đến 50 Mbps băng thôngdowload và khoảng 2-3 Mbps băng thông upload Nhiều người dùng chia sẻ
Trang 8băng thông dowload và upload Dữ liệu dowload được xem bởi tất cả cácmodem cáp hoạt động Mỗi modem cáp lọc ra lưu lượng truy cập mà khôngdành cho nó Băng thông dowload được phân bổ sử dụng khe thời gian Có baloại của khe thời gian:
■ Dự trữ: Một khe thời gian đó là chỉ dành cho một modem cáp đặc biệt
Hệ thống Headend tại trang web của nhà cung cấp phân bổ khe thời giandành riêng cho modem cáp sử dụng một thuật toán phân bổ băng thông
■ Cạnh tranh : Một khe thời gian đó có sẵn cho tất cả các modem cáp.Nếu hai modem cáp truyền trong các khe thời gian đó, các gói tin vachạm và các dữ liệu bị mất Tín hiệu hệ thống Headend các dữ liệu đãđược nhận, và modem cáp có thể thử lại sau khi chờ đợi một lượng thờigian ngẫu nhiên Khe thời gian cạnh tranh được sử dụng cho dữ liệungắn (bao gồm cả các yêu cầu cho một số lượng khe thời gian dành riêngcho truyền nhiều dữ liệu hơn)
■ Khác nhau: Một khe thời gian được sử dụng để điều chỉnh đồng hồ
Hệ thống Headend thông báo một modem cáp để truyền trong một khethời gian khác nhau Hệ thống Headend đo thời gian để nhận đượctruyền tải và cung cấp cho các modem cáp một giá trị điều chỉnh tích cựchay tiêu cực nhỏ cho đồng hồ địa phương
Thông thường một nhà cung cấp dịch vụ có thể cung cấp cho bạn thông
số về lượng băng thông có sẵn cho mỗi người dùng một hệ thống cáp mạng.Một số hệ thống cũng có khả năng đảm bảo một mức băng thông cho các ứngdụng nặng sử dụng Nếu người dùng của bạn đòi hỏi nhiều băng thông hơn cácnhà cung cấp dịch vụ có thể cung cấp, sau đó bạn nên điều tra bằng cách sửdụng kênh thuê riêng hoặc khung mạch tiếp sức thay vì một modem cáp Nếunhà cung cấp dịch vụ không có bất kỳ giải pháp tốt cho vấn đề này, hãy xemxét sử dụng một công nghệ WAN khác nhau nếu người dùng của bạn dựa trêncác ứng dụng yêu cầu độ trễ thấp nhất
1.3 Kỹ thuật số đường dây thuê bao truy cập từ xa
Một công nghệ truy cập từ xa là đường thuê bao số (DSL) Công ty điệnthoại cung cấp DSL cho lưu lượng truy cập dữ liệu tốc độ cao trên đường dâyđiện thoại thông thường Với DSL, văn phòng nhỏ có thể kết nối một modemDSL (hoặc DSL router với một modem dựng sẵn) vào một đường dây điệnthoại và sử dụng kết nối này để đạt được một mạng nội bộ centralsite vàInternet
Tốc độ phụ thuộc vào loại hình dịch vụ DSL và nhiều yếu tố lớp vật lý,bao gồm cả chiều dài của mạch giữa các nhà hoặc văn phòng chi nhánh và cáccông ty điện thoại, máy đo dây cáp, các cầu chuyển tiếp dữ liệu, của nhiễuxuyên âm hoặc tiếng ồn trên truyền hình cáp
Trang 9DSL hỗ trợ thông tin bất đối xứng và đối xứng Với dịch vụ bất đối xứngDSL (ADSL), lưu lượng có thể di chuyển từ nhà cung cấp dowload và upload
từ người dùng cuối với tốc độ khác nhau Một mạch ADSL có ba kênh:
■ Một kênh dowload tốc độ cao với tốc độ khác nhau, 1,544-12 Mbps
■ Một kênh song công trung bình tốc độ với tốc độ từ 16 đến 640 kbps
■ Một dịch vụ điện thoại (POTS) 64-kbps kênh cho thoại
Với dịch vụ đối xứng DSL (SDSL), lưu lượng trong cả hai hướng đi ởcùng một tốc độ, lên đến 1,544 Mbps Không giống như ADSL, SDSL khôngcho phép POTS để chạy trên cùng một dòng như là dữ liệu (mặc dù VoIP làkhả thi với SDSL) SDSL là một giải pháp kinh doanh khả thi đó là một lựachọn tốt cho một doanh nghiệp nhỏ hoặc văn phòng chi nhánh đặt máy chủweb hoặc các dịch vụ khác mà gửi dữ liệu cũng như nhận dữ liệu
PPP và ADSL
Thiết kế ADSL triển khai sử dụng hai mô hình PPP phổ biến: PPP quaATM (PPPoA) và PPP qua Ethernet (PPPoE) Trong một kiến trúc PPPoA, cácthiết bị cơ sở khách hàng (CPE) hoạt động như một bộ định tuyến Ethernet đếnmạng WAN và một phiên PPP được thiết lập giữa CPE và một lớp 3 truy cậptập trung trong mạng lưới các nhà cung cấp dịch vụ Trong một kiến trúcPPPoE, CPE hoạt động như một cầu nối Ethernet-to-WAN Khách hàng bắtđầu một phiên PPP bởi đóng gói khung PPP thành khung MAC và sau đó lấpkhung trên ATM / DSL tới một bộ định tuyến cổng giao tiếp với các nhà cungcấp dịch vụ Từ thời điểm này, các phiên PPP có thể được thành lập, thẩmđịnh, và giải quyết Khách hàng nhận được địa chỉ IP của nó từ các nhà cungcấp dịch vụ, sử dụng đàm phán PPP Thực thi PPPoA liên quan đến cấu hìnhCPE với PPP xác thực thông tin trong thông báo (tên đăng nhập và mật khẩu).Đây là lợi thế chính của kiến trúc này trong việc thực hiện chuyển tiếp tinhkhiết, vì nó cung cấp xác thực cho mỗi phiên, ủy quyền, và kế toán Một ưuđiểm khác với PPPoA là nó sử dụng cuối ATM để kết thúc Vì vậy, các nhàcung cấp có thể tìm thấy nó dễ dàng hơn để đặt một thuê bao vào lớp lưu lượng
cụ thể
Trang 10CHƯƠNG II LỰA CHỌN THIẾT BỊ TRUY CẬP TỪ XA CHO MẠNG ENTERPRISE
2.1 Thiết kế mạng
Các phần trước đã thảo luận các công nghệ truy cập từ xa Phần này baogồm các thiết bị lựa chọn để thực hiện những công nghệ Lựa chọn các thiết bịtruy cập từ xa cho một thiết kế mạng enterprise liên quan đến các thiết bị lựachọn cho người dùng từ xa và cho một trang web trung tâm Người dùng từ xabao gồm việc sử dụng dịch vụ từ xa, người sử dụng trong văn phòng từ xa, vàngười sử dụng điện thoại di động Các trang web trung tâm có thể là trụ sởcông ty của một công ty, mạng lõi của một chi nhánh, cơ sở y tế để kết nối vănphòng bác sĩ
2.2 Lựa chọn thiết bị dành cho người dùng từ xa
Việc xem xét quan trọng nhất khi lựa chọn một cáp hoặc modem DSL làmodem phải tương thích với thiết bị của nhà cung cấp Trong một số trườnghợp, các nhà cung cấp phải cung cấp modem để tránh các vấn đề Trong trườnghợp khác, các nhà cung cấp cung cấp một danh mục sản phẩm, tiêu chuẩn phảiđược hỗ trợ trong một modem mua bởi người dùng cuối, chẳng hạn như các dữliệu qua cáp giao diện dịch vụ kỹ thuật (DOCSIS) cho modem cáp trong HoaKỳ
Tiêu chí lựa chọn một bộ định tuyến cho các trang web từ xa bao gồm:
■ Hỗ trợ cho một hoặc nhiều giao diện Ethernet tốc độ cao
■ Hỗ trợ cho các bộ định tuyến để hoạt động như một điểm truy cậpkhông dây (nếu muốn)
■ Hỗ trợ cho các tính năng làm giảm việc sử dụng trực tuyến, chẳng hạnnhư ảnh chụp định tuyến và nén
■ Hỗ trợ kênh kết hợp
■ Hỗ trợ cho tính năng QoS để hỗ trợ VoIP hoặc các ứng dụng khác vớiQoS cụ thể yêu cầu
2.3 Lựa chọn thiết bị cho các trang web trung tâm
Các trang web trung tâm kết nối người sử dụng từ xa người truy cập vàomạng công ty với modem cáp, modem DSL, và phần mềm VPN Với mộtVPN, người dùng truy cập mạng thông qua mạng nội bộ một nhà cung cấp dịch
Trang 11vụ và gửi dữ liệu của họ trên đường hầm mã hóa có sử dụng tường lửa hoặc tậptrung VPN tại trang web trung tâm Tiêu chí lựa chọn các thiết bị trung tâmtrang web để hỗ trợ người dùng từ xa bao gồm các tiêu chí được liệt kê trướcđây cho một router từ xa cũng như các tiêu chí bổ sung liên quan đến chứcnăng VPN.
Cả hai thiết bị định tuyến và tường lửa tại khu vực trung tâm có thể hoạtđộng như là điểm kết thúc cho đường hầm VPN Một router chung có thể bịchoáng ngợp nếu một mạng lưới hỗ trợ nhiều đường hầm Nói chung, cácdoanh nghiệp đặt tường lửa VPN giữa một router có truy cập VPN và một bộđịnh tuyến để chuyển tiếp lưu lượng truy cập vào mạng lưới Do đó, các bứctường lửa phải hỗ trợ ít nhất hai giao diện Ethernet của các đơn vị được sửdụng trong mô-đun này của thiết kế mạng (Fast Ethernet, Gigabit Ethernet, vv)
Khi lựa chọn một bức tường lửa VPN phải tương thích với các máykhách có sử dụng công nghệ VPN Cũng chú ý đến số lượng các đường hầmđồng thời các bức tường lửa hỗ trợ và số tiền của lưu lượng truy cập có thểchuyển tiếp Các bức tường lửa cần phải có một bộ xử lý nhanh, tốc độ cao.Cáctính năng phần mềm sau đây của VPN:
■ Giao thức kênh đường hầm an toàn, bao gồm IPsec, PPTP, và L2TP
■ Các thuật toán mã hóa, trong đó có 56 bit DES, 168 bit Triple DES,
Mã hóa Microsoft (MPPE), 40 và 128 bit RC4, và 128 , 192 , và 256 bitAES
■ Thuật toán xác thực bao gồm : Message Digest 5 (MD5), Secure HashAlgorithm (SHA-1), băm tin nhắn xác thực Coding (HMAC) với MD5
và HMAC với SHA-1
■ Giao thức hệ thống mạng chẳng hạn như DNS, DHCP, RADIUS,Kerberos, và LDAP
Trang 12CHƯƠNG III CÔNG NGHỆ WAN
Sau những năm 1990 các công nghệ WAN đã có những bước phát triểnmanh mẽ để đáp ứng nhu cầu ngày càng cao của người dùng Như nhu cầu vềbăng thông WAN tăng tốc, các công ty điện thoại nâng cấp mạng nội bộ của họ
để sử dụng SONET và công nghệ ATM, và bắt đầu cung cấp dịch vụ mới chokhách hàng của họ Mục tiêu của phần này là trình bày một số các tùy chọn đểgiúp bạn lựa chọn các công nghệ phù hợp cho khách hàng của bạn sử dụngcông nghệ WAN
3.1 Cung cấp hệ thống băng thông mạng WAN
Không phụ thuộc vào công nghệ mạng WAN bạn chọn, một bước thiết
kế mạng quan trọng bạn phải hoàn thành là lựa chọn số lượng năng lực mạngWAN phải cung cấp Bạn cần phải xem xét yêu cầu năng lực cho hôm nay vàcho 2-3 năm tới Lựa chọn đúng số lượng công suất thường được gọi là dựphòng
Băng thông WAN cho cáp đồng là được cung cấp ở Bắc Mỹ và nhiềunơi khác trên thế giới sử dụng ở Bắc Mỹ hệ thống cấp bậc kỹ thuật số Mộtkênh trong hệ thống phân cấp được gọi là một tín hiệu kỹ thuật số (DS) Tínhiệu kỹ thuật số được ghép lại với nhau để tạo thành mạch WAN tốc độ cao.DS-1 và DS-3 là được sử dụng phổ biến nhất