Bài giảng Phân tích và thiết kế mạng - Chương 3: Thiết kế mạng logic sau khi học bài này các bạn sẽ nắm được thiết kế mô hình mạng, gán địa chỉ và tên gọi, lựa chọn các giao thức chuyển mạch và tìm đường, thiết kế các chiến lược an toàn mạng, thiết kế các chiến lược quản trị mạng.
Chương 3: Thiết kế mơ hình Gán địa tên gọi Lựa chọn giao thức chuyển mạch tìm đường Thiết kế chiến lược an toàn mạng Thiết kế chiến lược quản trị mạng Nguyên tắc thiết kế Mô hình phân cấp module hóa Mơ hình lớp Cisco Tính dư thừa thiết kế mạng Thiết kế thành phần mạng Các thành phần mơ hình Cisco Thiết kế thành phần mạng nội Một số ví dụ thiết kế Mơ hình mạng (network topology) sơ đồ dùng để biểu diễn mặt hình học thành phần mạng, điểm kết nối, cộng đồng người dùng, (bản vẽ kiến trúc) Thiết kế mơ hình mạng bước Ngun tắc thiết kế: phân cấp module hóa Tại phân cấp module hóa lại quan trọng thiết kế mạng? Giảm công việc xử lý thiết bị mạng Chia nhỏ miền broadcast Tăng tính đơn giản, dễ hiểu Dễ thay đổi nâng cấp Có khả co giãn quy mô hệ thống Lớp lõi (the core layer): bao gồm thiết bị định tuyến (router) thiết bị chuyển mạch (switch) cao cấp tối ưu hóa cho yêu cầu tính sẵn sàng hiệu suất cao hệ thống mạng Lớp phân phối (the distribution layer): bao gồm router switch triển khai sách mạng Lớp truy xuất (the access layer): cung cấp kết nối với người sử dụng thông qua thiết bị chuyển mạch cấp thấp điểm truy cập không dây Lớp lõi Là trục xương sống mạng, quan trọng, thiết kế cần đảm bảo tính dư thừa (redundant) độ tin cậy cao (highly reliable) Khi cấu hình router cần sử dụng tính định tuyến tối ưu hóa thơng lượng Tránh sử dụng lọc gói tin tính ảnh hưởng đến tốc độ Đảm bảo độ trễ thấp khả quản lý tốt Hạn chế quán đường kính mạng để đảm bảo hiệu suất ổn định dễ xử lý cố Khách hàng tăng cường lớp phân phối Đối với khách hàng có kết nối liên mạng, extranet, internet ▪ Lớp lõi bao gồm đường kết nối liên mạng Khuyến khích quản trị mạng theo khu vực ▪ Hệ thống phát xâm nhập (IDS – Intrusion Detection System) ▪ Hệ thống chống xâm nhập (IPS – Intrusion Prevention System) ▪ Hệ thống VPN Lớp phân phối Là ranh giới lớp lõi lớp truy cập Đảm nhận nhiều chức ▪ ▪ ▪ ▪ ▪ ▪ Đảm bảo gửi liệu đến phân đoạn mạng thành cơng Kiểm sốt truy cập vào tài nguyên mạng lý an ninh Kiểm sốt lưu lượng mạng lý hiệu suất WLAN Định tuyến VLAN Đảm bảo chất lượng dịch vụ QoS (Quality of Services) Kết nối nhiều mạng chạy giao thức khác (lớp truy cập sử dụng IGRP lớp lõi chạy EIGRP) Che dấu thông tin chi tiết lớp lõi lớp truy cập Lớp Access Lớp truy xuất cung cấp khả truy cập cho người dùng cục Đối với liên mạng, lớp truy cập dành cho người dùng từ xa sử dụng công nghệ mạng diện rộng ISDN, Frame Relay, DSL, model Analog, Redundant Network Design Thiết kế mạng dư thừa việc chép thành phần thiết kế mạng nhằm cố gắng loại bỏ thất bại vận hành mạng Có loại thiết kế dư thừa Dự phịng (Backup Paths): đảm bảo tính sẵn sàng Chia tải (Load Sharing): đảm bảo tính hiệu suất Các thành phần mạng theo mơ hình Cisco Thiết kế thành phần mạng nội Enterprise campus: Là hệ thống kết nối cung cấp dịch vụ nội mạng Campus Các thiết kế ưu tiên cho việc đảm bảo tính sẵn sàng cao cho điểm truy cập dịch vụ người dùng, hiệu cao cho ứng dụng Intranet nội bộ, phân bố lưu lượng mạng cân cho module khác Các khối con: ▪ ▪ ▪ ▪ ▪ ▪ Module Building Access Module Building Distribution Module Core (Backbone) Module Server farm Module Edge Distribution Management Module Enterprise edge: bao gồm dịch vụ hệ thống mạng E-Commerce Internet Connectivity VPN/Remote access WAN Service provider edge: bao gồm kết nối giới bên ISP (Internet Service Provider) PSTN (Public Switched Telephone Network) Frame relay/ATM (Asynchronous Transfer Mode) Các thiết kế ưu tiên cho tính bảo mật, tính dự phòng Enterprise edge: bao gồm dịch vụ hệ thống mạng E-Commerce Internet Connectivity VPN/Remote access WAN E-Commerce Internet Connectivity Web servers Application servers Database servers Security servers Email servers DNS servers Public web servers Security servers VPN/Remote access Dial-up access concentrators VPN concentrators Firewall and IDS WAN Access Layer block: Core/Distribution block: Server Farm block: Internet Access block: DMZ block: WAN block: Access Layer block: Cung cấp kết nối cho người dùng cuối Ưu tiên: cung cấp nhiều kết nối downlink cho người dùng đồng thời phải có uplink tốc độ cao để kết nối lên Các thiết bị cần hỗ trợ tính layer Core/Distribution block: Server Farm block: Internet Access block: DMZ block: WAN block: Access Layer block: Core/Distribution block: Distribution block: phân bố lưu lượng định tuyến khu vực địa lý khác (giữa tòa nhà VLAN) Core block: chịu trách nhiệm kết nối module khác, sử dụng core switch lớn có hiệu cao Server Farm block: Internet Access block: DMZ block: WAN block: Access Layer block: Core/Distribution block: Server Farm block: Module cung cấp kết nối cho máy chủ cung cấp dịch vụ cho mạng nội (AD, DNS, DHCP, File, Application, Database, ) Có hệ thống Internal Firewall bảo vệ Internet Access block: DMZ block: WAN block: Access Layer block: Core/Distribution block: Server Farm block: Internet Access block: Module cung cấp kết nối Internet cho người dùng nội Ưu tiên: thiết bị hỗ trợ định tuyến, NAT/PAT, Firewall, Remote Access VPN DMZ block: WAN block: Access Layer block: Core/Distribution block: Server Farm block: Internet Access block: DMZ block: Module cung cấp kết nối trực tiếp với Internet Access block để cung cấp dịch vụ mạng nội Internet WAN block: Access Layer block: Core/Distribution block: Server Farm block: Internet Access block: DMZ block: WAN block: Module cung cấp kết nối đến chi nhánh Ưu tiên: hỗ trợ giao tiếp WAN (serial, FTTH, ADSL, ) Thiết kế sơ đồ mạng tầng vật lý Thiết kế sơ đồ mạng tầng liên kết liệu Thiết kế sơ đồ mạng tầng mạng Sơ đồ dây cần phải xem xét Thỏa mãn chủng loại cáp Thỏa mãn buộc băng thông khoảng cách địa lý mạng Các thành phần sơ đồ dây MDF (Main Distribution Facility) – Nơi phân phối IDF (Intermediate Distribution Facility) – Nơi phân phối trung gian Horizontal Cable –Cáp nganh Vertical Cable – Cáp đứng Patch Panel – Bảng cắm dây 10 11 Vị trị xác điểm tập trung nối kết MDF IDFs Kiểu số lượng cáp sử dụng để nối IDF MDF Các đầu dây cáp phải đánh số ghi nhận nối kết cổng patch panel (HCC VCC) 12 13 Bảng phân bố địa IP Bảng tóm tắt mạng phân bố, địa giao diện router bảng chọn đường router Công ty XYZ công ty chuyên cung cấp dịch vụ viễn thông Minh Khai Gần cơng ty th tịa nhà tầng Bến Thủy mở rộng hoạt động Tòa nhà chưa có hệ thống mạng sơ đồ xếp sau: Hãy thiết kế hệ thống mạng cho Chi nhánh với yêu cầu: Tầng 1: Bảo vệ, Tổng hợp, Tài - Kế tốn, Kỹ thuật, VHKT,… (hình vẽ) Tầng 2: Giám đốc, Phịng họp, Phịng IT,… (hình vẽ) Vấn đề bảo mật phải đặt lên hàng đầu Phải có sách truy cập hợp lý Phịng Tài tách biệt với phòng ban khác kết nối với Phịng Tài Cơng ty Đảm bảo kết nối 24/7 với Công ty để phục vụ kinh doanh Bộ phận quản trị Công ty quản trị thiết bị mạng chi nhánh Khơng cho nhân viên gửi email ngồi, dùng mail công ty Không cho nhân viên sử dụng phần mềm chat 14 15 Địa IP IP private IP public Dịch vụ DHCP - Dynamic Host Configuration Protocol giao thức cho phép cấp phát địa IP cách tự động với cấu hình liên quan khác cách mặc định Dịch vụ NAT – Network Address Translate Là giao thức chuyển đổi địa IP private mạng LAN thành địa IP public để Internet ngược lại 16 Tên gọi Domain Name ▪ ▪ ▪ ▪ com gov edu … Dịch vụ DNS ▪ giao thức cho phép thiết lập tương ứng địa IP tên miền Internet VLAN – Virtual LAN kỹ thuật cho phép tạo lập mạng LAN độc lập cách logic kiến trúc hạ tầng vật lý Việc tạo lập nhiều mạng LAN ảo mạng cục giúp giảm thiểu vùng quảng bá tạo thuận lợi cho việc quản lý mạng cục rộng lớn VLAN tương đương mạng Thiết bị Port VLAN Mục đích Switch 24 port 1->11 101 Kết nối máy tính phịng ban 12 101 Kết nối cổng 0/0 Firewall 13->17 102 Kết nối máy tính Phịng TC-KT 18 102 Kết nối cổng 0/2 Firewall 19-20 Dự phòng 21 101 Modem Quản trị 22 101 Modem Tài 23 101 Modem Kinh doanh 24 101 Kết nối cổng 0/1 Firewall 17 Thiết bị Port Zone Port switch VLAN Mục đích Firewall port 0/0 Trust 12 101 Kết nối phòng ban 0/1 Quantri 24 102 Kết nối Công ty 0/2 Taichinh 18 103 Kết nối Phịng Tài 0/3 DMZ 104 Kết nối máy chủ TC-KT 0/4 UnTrust 105 Kết nối Internet 0/5 Wifi 106 Wifi (chưa dùng) 0/6 Dự phòng Domain: @tencongty.com, @taichinh.tencongty.com,@quantri.tencongty com Địa VLAN VLAN101: phòng ban – 192.168.1.0/24 VLAN102: quản trị – 192.168.2.0/24 VLAN103: phịng Tài – 192.168.3.0/24 VLAN104: máy chủ TC-KT – 192.168.4.0/24 VLAN105: internet – 192.168.5.0/24 VLAN106:wifi – 192.168.6.0/24 Địa cho VLAN101 192.168.1.10-192.168.1.60 – dành cho máy trạm 192.168.1.1 – gateway Firewall 192.168.1.2 – địa quản lý Switch Địa cho VLAN102 192.168.2.1 – gateway 192.168.2.2 – Dự phòng 192.168.2.3 – Modem ADSL Quản trị 192.168.2.4 – Modem ADSL Tài 192.168.2.5 – Modem ADSL Bán hàng Địa cho VLAN103 192.168.3.10-192.168.3.60 – dành cho máy trạm 192.168.3.1 – gateway Firewall 18 Địa cho VLAN104 192.168.4.1 – gateway firewall 192.168.4.2 – Máy chủ tài Địa cho VLAN105 192.168.5.1 – gateway firewall 192.168.5.2 – Modem ADSL internet Giao thức chuyển mạch Spanning Tree Protocol VLAN Trunking Protocol: ISL (Inter-Switch Link) 802.1Q Giao thức tìm đường Static route Dynamic route ▪ IGP vs EGP (ngoại mạng vs mạng) ▪ Distance – vector vs Link – state (gửi bảng định tuyến vs gửi bảng trạng thái đường link) ▪ Classful vs Classless (không kèm subnet-mask kèm subnetmask) RIP1, RIP2 (Routing Information Protocol) Giao thức Distance-vector Gửi bảng định tuyến cho router láng giềng 30s/lần,lặp lại để lan truyền toàn mạng Sử dụng thuật toán Bellman-Ford Số metric < 15 Sử dụng 15 router tối đa OSPF (Open Shortest Path First) Giao thức link-state Các router sau có thơng tin tồn mạng sử dụng thuật tốn Dijkstra để tìm đường xây dựng bảng định tuyến IGRP, EIGRP (Enhanced Interior Gateway Routing Protocol) Giao thức Distance-vector cải tiến (giao thức lai – hybrid) Gửi thông tin cho láng giềng cập nhật có thay đổi Sử dụng thuật tốn DUAL (Diffusing Update Algorithm) 19 Một số khái niệm Theo nghĩa rộng an ninh-an tồn mạng dùng riêng, hay mạng nội giữ không cho làm mà mạng nội khơng muốn cho làm Các vấn đề an ninh – an tồn mạng cần quan tâm ▪ Tính bảo mật: Bảo đảm tài nguyên mạng không bị tiếp xúc, bị sử dụng người khơng có thẩm quyền ▪ Tính tồn vẹn: Đảm bảo khơng có việc sử dụng, sửa đổi khơng phép ▪ Tính sẵn dùng: Tài nguyên mạng bảo đảm bị chiếm giữ người khơng có quyền ▪ Việc xác thực: Thực xác định người dùng quyền dùng tài ngun thơng tin hay tài nguyên phần mềm phần cứng mạng Các bước thiết kế xây dựng Xác định cần bảo vệ ? Xác định bảo vệ khỏi loại công ? Xác định mối đe dọa an ninh ? Xác định công cụ để bảo đảm an ninh ? Xây dựng mơ hình an ninh-an tồn => Hệ thống tường lửa (firewall), Hệ thống phát xâm nhập (IDS/IPS), Hệ thống bảo mật thông tin Tường lửa – Firewall Tường lửa thuật ngữ dùng mô tả thiết bị hay phần mềm có nhiệm vụ lọc thơng tin vào hay hệ thống mạng hay máy tính theo quy định cài đặt trước Tường lửa lắp đặt vùng biên giới hệ thống mạng 20 Mơ hình tường lửa lớp LAN hay Internal: vùng an toàn WAN hay External: vùng nguy hiểm, mặc định bị tường lửa cấm DMZ (Demilitarized zone): đặt máy chủ cung cấp dịch vụ mạng, người dùng truy cập vào máy chủ chịu kiểm soát tường lửa Hệ thống phát xâm nhập IDS - Intrusion Detection System hệ thống phần cứng phần mềm có chức giám sát lưu thông mạng, tựđộng theo dõi kiện xảy hệ thống máy tính, phân tích để phát vấn đề liên quan đến an ninh, bảo mật đưa cảnh báo cho nhà quản trị 21 Các chức cần có IDS: Theo dõi, giám sát toàn mạng, thu nhận thông tin từ nhiều nguồn khác hệ thống Phân tích thơng tin nhận được, để phát dấu hiệu phản ánh lạm dụng hệ thống dấu hiệu phản ánh hoạt động bất thường xảy hệ thống Quản lý, phân tích hoạt động người sử dụng hệ thống Kiểm tra cấu hình hệ thống phát khả hệ thống bị cơng Phân tích thống kê để phát dấu hiệu thể hoạt động bất thường hệ thống Quản lý nhật ký hệ điều hành để phát hoạt đông vi phạm quyền người dùng Tổ chức tự động phản ứng lại hành động đột nhập hay gây hại mà phát ra, ghi nhận kết Hệ thống bảo mật thơng tin Mã hóa Khóa mã cơng khai Chữ ký số Quản lý hiệu Quản lý lỗi Quản lý cấu hình Quản lý an ninh Quản lý kế toán 22 Mạng doanh nghiệp với dự phòng đầy đủ Mạng Trường Đại học Vinh Core/Distribution Block: Access Layer Block: x Firewall: có tối thiểu cổng kết nối tốc độ tối thiểu 1Gbps có Firewall Throughput tối thiểu 1Gbps FW cấu hình để hoạt động Mode Cluster x Switch có cổng kết nối downlink/uplink tốc độ 1Gbps hoạt động lớp Các Server với NIC Port kết nối vật lý vào Server Switch, cấu hình NIC Teaming WAN Block: n x Switch có cổng kết nối downlink tốc độ tối thiểu 100Mbps tối thiểu Uplink 1Gbps, hoạt động lớp Các Access Switch kết nối tối thiểu Uplink lên Core/Dist Server Farm Block: x Switch có cổng kết nối tốc độ tối thiểu 1Gbps hoạt động lớp Giữa Core/Dist Switch kết nối với từ 6-8 links, chia thành EtherChannel khác nhau: group Layer EtherChannel group Layer Ether Channel x Router có cổng kết nối LAN/WAN tương ứng Router nên kết nối vào ISP khác x WAN Switch tốc độ tối thiểu 100Mbps hoạt động lớp DMZ Block, Internet Access Block: x Switch có tốc độ tối thiểu 100Mbps hoạt động lớp 2 x Firewall: hỗ trợ IPSEC VPN SSL VPN Cấu hình để chạy Mode Cluster 23 Core Switch: 01 Cisco catalyst 6506 Tốc độ chuyển mạch: 720Gbps Tích hợp moduel Firewall, module IPS 48 port RJ45 GB kết nối máy chủ Distribution Switch: 02 Cisco catalyst 4500 Tốc độ chuyển mạch: 64Gbps 02 đường uplink GB 12 port SFP (Small Form-factor Pluggable) kết nối đến Building Access Switch Building Access Switch: 08 Cisco catalyst 3600 Firewall: 01 Cisco ASA5520 L3 switch, port uplink SFP 24 25 ... phần mạng, điểm kết nối, cộng đồng người dùng, (bản vẽ kiến trúc) Thiết kế mơ hình mạng bước Nguyên tắc thiết kế: phân cấp module hóa Tại phân cấp module hóa lại quan trọng thiết kế mạng? Giảm... 192.168.2.4 – Modem ADSL Tài 192.168.2.5 – Modem ADSL Bán hàng Địa cho VLAN1 03 192.168 .3. 10-192.168 .3. 60 – dành cho máy trạm 192.168 .3. 1 – gateway Firewall 18 Địa cho VLAN104 192.168.4.1 – gateway... phòng ban – 192.168.1.0/24 VLAN102: quản trị – 192.168.2.0/24 VLAN1 03: phịng Tài – 192.168 .3. 0/24 VLAN104: máy chủ TC-KT – 192.168.4.0/24 VLAN105: internet – 192.168.5.0/24 VLAN106:wifi – 192.168.6.0/24