Đang tải... (xem toàn văn)
Tiếp nối phần 1 Bài giảng Thiết kế mạng: Phần 2 do trường ĐH Sư Phạm Kỹ Thuật Nam Định biên soạn cung cấp cho người học các kiến thức cơ bản như: Công nghệ Wireless; Thiết kế mạng. Mời các bạn cùng tham khảo để nắm chi tiết nội dung của bài giảng.
Chƣơng CÔNG NGHỆ WIRELESS 5.1 Tổng quan Wireless hay mạng 802.11 hệ thống mạng không dây sử dụng sóng vơ tuyến, giống điện thoại di động, truyền hình radio Hệ thống triển khai rộng rãi nhiều điểm công cộng hay nhà riêng Hệ thống cho phép truy cập Internet khu vực có sóng hệ thống này, hồn tồn khơng cần đến cáp nối Tên gọi 802.11 bắt nguồn từ viện IEEE (Institute of Electrical and Electronics Engineers) Viện tạo nhiều chuẩn cho nhiều giao thức khác với hệ thống số nhằm phân loại chúng, chuẩn thông dụng Wireless 802.11a/b/g/n 5.2 Các chuẩn Wireless a) 802.11 Năm 1997, IEEE giới thiệu chuẩn cho WLAN Chuẩn gọi 802.11 Tuy nhiên, 802.11chỉ hỗ trợ cho băng tần mạng cực đại lên đến 2Mbps (Chậm hầu hết ứng dụng) Với lý đó, sản phẩm khơng dây thiết kế theo chuẩn 802.11 ban đầu dần không sản xuất b) 802.11b IEEE mở rộng chuẩn 802.11 gốc vào tháng Bảy năm 1999, chuẩn 802.11b Chuẩn hỗ trợ băng thông lên đến 11Mbps, tương đương với Ethernet truyền thống 802.11b sử dụng tần số vô tuyến (2.4 GHz) giống chuẩn ban đầu 802.11 Các hãng sản xuất thích sử dụng tần số để chi phí sản xuất họ giảm Các thiết bị 802.11b bị xuyên nhiễu từ thiết bị điện thoại khơng dây (kéo dài), lị vi sóng thiết bị khác sử dụng dải tần 2.4 GHz Mặc dù vậy, cách cài đặt thiết bị 802.11b cách xa thiết bị giảm tượng xuyên nhiễu Ưu điểm: Giá thành thấp nhất, phạm vi tín hiệu tốt không dễ bị cản trở Nhược điểm: Tốc độ tối đa thấp nhất, ứng dụng gia đình xuyên nhiễu c) 802.11a Trong 802.11b phát triển, IEEE tạo chuẩn có tên gọi 802.11a Vì 802.11b sử dụng rộng rãi nhanh so với 802.11a, nên số người cho 802.11a tạo sau 802.11b Tuy nhiên thực tế, 802.11a 802.11b tạo cách đồng thời Do giá thành cao nên 802.11a sử dụng mạng doanh nghiệp cịn 802.11b thích hợp với mạng gia đình 133 802.11a hỗ trợ băng thông lên đến 54 Mbps sử dụng tần số vô tuyến 5GHz Tần số 802.11a cao so với 802.11b làm cho phạm vi hệ thống hẹp so với mạng 802.11b Với tần số này, tín hiệu 802.11a khó xuyên qua vách tường vật cản khác Do 802.11a 802.11b sử dụng tần số khác nhau, nên hai công nghệ tương thích với Ưu điểm: Tốc độ cao, tần số 5Ghz tránh xuyên nhiễu từ thiết bị khác Nhược điểm: Giá thành đắt, phạm vi hẹp dễ bị che khuất d) 802.11g Vào năm 2002 2003, sản phẩm WLAN hỗ trợ chuẩn 802.11g, đánh giá cao thị trường 802.11g thực kết hợp tốt 802.11a 802.11b Nó hỗ trợ băng thơng lên đến 54Mbps sử dụng tần số 2.4 Ghz để có phạm vi rộng 802.11g có khả tương thích với chuẩn 802.11b, điều có nghĩa điểm truy cập 802.11g làm việc với Adapter mạng không dây 802.11b ngược lại Ưu điểm: Tốc độ cao, phạm vi tín hiệu tốt bị che khuất Nhược điểm: Giá thành đắt 802.11b, thiết bị bị xuyên nhiễu từ nhiều thiết bị khác sử dụng băng tần e) 802.11n Đây chuẩn thiết kế để cải thiện cho 802.11g cách tận dụng nhiều tín hiệu khơng dây angten (công nghệ MIMO) Khi chuẩn đưa ra, kết nối 802.11n hỗ trợ băng thông lên đến 100 Mbps 802.11n cung cấp phạm vi bao phủ tốt so với chuẩn Wi-Fi trước nhờ cường độ tín hiệu mạnh Thiết bị 802.11n tương thích với thiết bị 802.11g, 802.11a Ưu điểm: Ttốc độ nhanh phạm vi tín hiệu tốt nhất, khả chịu đựng tốt từ việc xuyên nhiễu từ nguồn bên Nhược điểm: Giá thành đắt 802.11g, sử dụng nhiều tín hiệu gây nhiễu với mạng 802.11b/g gần f) 802.11ac Hoạt động tần số 5GHz cho phép phát sóng tối đa theo luồng Tốc độ truyền liệu đạt đến 1,3Gbps 5.3 Thiết lập mạng Wireless LAN 5.3.1 Các thành phần mạng Wireless LAN 1) Card mạng khơng dây Các máy tính nằm vùng phủ sóng WiFi cần có thu khơng dây, 134 Adapter, để kết nối vào mạng Các tích hợp vào máy tính xách tay, để bàn đại thiết kế dạng cắm vào khe PC Card, cổng USB hay khe PCI Khi cài đặt Adapter khơng dây phần mềm điều khiển (driver), máy tính tự động nhận diện hiển thị mạng khơng dây tồn khu vực Hình 5.1 NIC Wireless Hình 5.2 USB Wireless 2) Access Point (AP) AP thiết bị phổ biến WLAN đứng sau Card không dây AP cung cấp cho Client điểm truy cập vào mạng AP thiết bị Half-duplex có mức độ thơng minh tương đương với Switch Ethernet phức tạp Hình 5.3 Access Point AP giao tiếp với Client khơng dây, với mạng có dây với AP khác Có mode hoạt động cấu hình AP: Root mode, Repeater 135 mode, Bridge mode a) Root mode Root mode sử dụng AP kết nối với mạng Backbone có dây thơng qua giao diện có dây (thường Ethernet) Hầu hết AP hỗ trợ mode khác Root mode, nhiên Root mode cấu hình mặc định Khi AP kết nối với phân đoạn có dây thơng qua cổng Ethernet nó, cấu hình để hoạt động Root mode Lúc này, AP kết nối với hệ thống phân phối có dây giao tiếp với thơng qua phân đoạn có dây Các Client khơng dây giao tiếp với Client khơng dây khác nằm vùng phủ sóng khác AP khác nhau, AP giao tiếp với thơng qua phân đoạn có dây ví dụ hình Hình 5.4 Root mode b) Bridge mode Trong Bridge mode, AP hoạt động hoàn toàn giống với Bridge không dây Thật vậy, AP trở thành Bridge khơng dây cấu hình theo cách Chỉ số AP thị trường có hỗ trợ chức Bridge, điều làm cho thiết bị có giá cao Bridge sử dụng để kết nối nhiều đoạn mạng có dây với kết nối không dây Client kết nối với Bridge kết nối có dây Hình 5.5 Bridge mode c) Repeater mode 136 Trong Repeater mode, AP có khả cung cấp đường kết nối khơng dây Upstream vào mạng có dây thay kết nối có dây bình thường Hình 5.6 Repeater mode Trong mơ hình mạng trên, AP hoạt động Root AP AP lại hoạt động Repeater không dây AP Repeater mode kết nối với Client AP kết nối với Upstream AP Client Không nên sử dụng AP Repeater mode trừ cần thiết vùng phủ sóng xung quanh AP Repeater mode phải chồng lên 50% Lúc làm giảm phạm vi Client kết nối đến AP Repeater mode Thêm vào đó, AP Repeater mode giao tiếp với client với Upstream AP thông qua kết nối không dây, điều làm giảm băng thông đoạn mạng không dây Thông thường nên Disable cổng Ethernet hoạt động AP Repeater mode 5.3.2 Thiết lập mạng Wireless LAN 1) Các mô hình mạng Wireless LAN a) Mơ hình mạng độc lập (IBSS) Mơ hình mạng IBSS (Independent Basic Service Set) cịn gọi mơ hình mạng Ad-hoc, mơ hình Client liên lạc trực tiếp với mà không cần AP hoạt động phạm vi hẹp sử dụng khoảng thời gian ngắn Khi kết thúc liên lạc mơ hình IBSS giải phóng Hình 5.7 Mơ hình mạng độc lập 137 b) Mơ hình mạng sở (BSS) Mơ hình mạng BSS (Basic Service Set) mơ hình mạng khơng dây Trong mơ hình có AP với nhiều Client Các Client kết nối với sóng Wireless AP giao tiếp thông qua AP, chúng kết nối trực tiếp với Hình 5.8 Mơ hình mạng sở c) Mơ hình mạng mở rộng (ESS) Trong mơ hình mạng ESS (Extended Service Set) có hai nhiều BSS kết nối với thông qua hệ thống phân phối Mục đích ESS tạo nhiều điểm truy cập cho Client nhằm tạo kết nối liên tục Client chuyển vùng Hầu hết nhà cung cấp dịch vụ khuyến nghị vùng phủ sóng AP chồng lên khoảng 10% - 15% để đảm bảo kết nối liên tục q trình chuyển vùng Hình 5.9 Mơ hình mạng mở rộng 138 2) Thiết lập mạng Wireless LAN sở Thiết kế mơ hình mạng khơng dây cho văn phịng nhỏ hình Thiết lập thơng số AP để mạng hoạt động Hình 5.10 Mơ hình mạng khơng dây Sau hoàn thành việc thiết kế, chọn Access Point (Linksys WRT300N) để bắt đầu thiết lập thông số Trên tab Setup -> Basic Setup, điền địa IP mặt nạ mạng cho Access Point mục IP Address Subnet Mask Tiếp theo, thiết lập để Access Point cung cấp địa IP động cho máy trạm (wireless client) mạng cách chọn Enabled mục DHCP Server, đồng thời điền địa IP bắt đầu vào mục Start IP Address Muốn cung cấp địa IP động cho tối đa máy tính, điền vào mục Maximum number of Users Hình 5.11 Mục Basic Setup 139 Trên tab Wireless -> Basic Wireless Settings, điền tên mạng khơng dây vào mục Network Name (SSID), ví dụ: HoangHac Đây tên máy trạm sử dụng để kết nối vào mạng không dây Tiếp theo, mục Wireless Security, chọn hình thức cấu hình chế độ bảo mật: Nếu với nơi cho phép truy cập khơng dây miễn phí (nơi cơng cộng, nhà hàng, ), mục Security Mode chọn Disabled Nếu với nơi yêu cầu khóa truy cập, mục Security Mode chọn phương pháp bảo mật phù hợp, sau điền khóa (key) Sau thực xong, bấm nút Save Settings để lưu thiết lập thực Hình 5.12 Mục Wireless Security Lưu ý: Nếu khơng điền khóa bước chọn tab Config Trong khung bên trái chọn tab Wireless, khung bên phải tương ứng điền khóa vào mục Key Đến đây, việc cấu hình thiết bị phát sóng hồn thành Tiếp theo sử dụng máy trạm để kết nối vào mạng không dây Để thực điều này, tab Physical máy PC (ở khung bên trái) Click chọn LinksysWMP300N Sau bấm vào biểu tượng Power để tắt máy PC Cuối Click chuột vào biểu tượng Wireless Interface góc phải kéo lên vị trí tương ứng máy PC 140 Hình 5.13 Lắp NIC Wireless cho PC Trên tab Desktop máy PC, Click chọn PC Wireless Trên tab Connect, bấm nút Refresh để hiển thị thông tin Access Point cấu hình, sau bấm nút Connect Nếu có thiết lập bảo mật cần điền khóa thiết lập Access Point bấm nút Connect lần Hình 5.14 Kết nối vào mạng Sau bước trên, máy PC kết nối thành công đến Access Point vừa cấu hình 141 Chƣơng THIẾT KẾ MẠNG 6.1 Các mơ hình thiết kế mạng 6.1.1 Mơ hình phân cấp (Hierarchical model) Hình 6.1 Mơ hình phân cấp Cấu trúc Lớp lõi (Core Layer) trục xương sống mạng (Backbone) thường dùng chuyển mạch có tốc độ cao (High speed switching), thường có đặc tính độ tin cậy cao, có cơng suất dư thừa, có khả tự khắc phục lỗi, có khả thích nghi cao, đáp ứng nhanh, dễ quản lý, có khả lọc gói, hay lọc tiến trình truyền mạng Lớp phân tán (Distribution Layer) gianh giới lớp truy nhập lớp lõi mạng Lớp phân tán thực chức đảm bảo gửi liệu đến phân đoạn mạng, đảm bảo an ninh-an tồn, phân đoạn mạng theo nhóm cơng tác, chia miền Broadcast/multicast, định tuyến LAN ảo, chuyển môi trường truyền dẫn, định tuyến miền, tạo biên giới miền định tuyến tĩnh động, thực lọc gói (theo địa chỉ, theo số hiệu cổng, ), thực chế đảm bảo chất lượng dịch vụ QoS Lớp truy nhập (Access Layer): Lớp truy nhập cung cấp khả truy nhập cho người dùng cục hay từ xa truy nhập vào mạng Thường thực chuyển mạch 142 Hiện có 03 điểm kết nối quang (Nhà A1, Nhà A3, Nhà C) nên số thiết bị mạng vật tư cho việc kết nối tính tốn hợp lý Trong tương lai, số điểm kết nối quang nhiều 03 điểm mua bổ sung thêm Core Switch 24 10/100/1000Mbps and SFP module phụ kiện đấu nối (Hộp đấu nối quang, cáp nhảy,…) Sơ đồ kết nối hệ thống mạng giai đoạn (GD1) tương lai sở - Hệ thống mạng Trường ĐHSPKT Nam Định chia thành Module (Internet Module, DMZ Module, Core Module, Internal Server) Module thực chức riêng biệt: + Module Internet: Dùng cho kết nối vào/ra Internet, kết nối VPN truy cập từ xa, kết nối vào truy xuất liệu người dùng bên mạng 196 + Server Farm: Nơi đặt máy chủ quan trọng (máy chủ nghiệp vụ, máy chủ sở liệu…) Đây vùng quan trọng nhất, chứa tài nguyên quan trọng Trường + Module DMZ: Vùng trung lập DMZ Module dùng để đặt máy chủ Public Internet, cho phép truy cập từ Internet để cung cấp dịch vụ thư điện tử (Email), truy cập Web + Module Core: Vùng cốt lõi hệ thống mạng Vùng đảm bảo kết nối cho toàn mạng, phục vụ nhu cầu kết nối từ vùng trình bày Các Module phải có thiết bị an tồn bảo mật cần thiết thiết bị tường lửa (Firewall) để điều khiển truy cập Module Mơ hình kết nối hệ thống mạng giai đoạn 197 Mơ hình kết nối tổng thể hệ thống mạng kết nối với sở Sơ đồ kết nối tổng thể hệ thống mạng kết nối với sở 198 c) Giải pháp kết nối mạng LAN Để đảm bảo tính linh hoạt hiệu hoạt động hệ thống mạng, hệ thống mạng LAN Trường ĐHSPKT Nam Định sử dụng kết hợp công nghệ kết nối mạng LAN đây: - Công nghệ VLAN Các tòa nhà phân bổ chia thành VLAN khác với mục đích tăng hiệu xuất mạng (Giảm Broadcast) Việc chia VLAN đánh địa thực sau: Nhà A2: 192.168.2.0/24 Nhà A1: 192.168.1.0/24 Nhà A3: 192.168.3.0/24 Nhà C : 192.168.4.0/24 …………………… Vùng DMZ chia thành 01 VLAN riêng: 192.168.11.0/24 Vùng Server Farm chia thành VLAN: 192.168.2.0/28 Vùng User địa mạng tòa nhà tương ứng Để kết nối VLAN hay nói cách khác để máy tòa nhà giao tiếp với Core Switch Layer làm nhiệm vụ định tuyến kết nối VLAN - Công nghệ Routing VLAN Công nghệ VLAN dùng để phân tách mạng LAN tầng mơ hình tầng OSI, mạng LAN phân chia làm việc với lớp qua thiết bị có chức định tuyến (Router Core Switch Layer 3) Routing VLAN - Công nghệ VPN (Virtual Private Network) 199 + Mạng riêng ảo (VPN) mở rộng phạm vi mạng LAN mà không cần đường dây riêng Có thể dùng VPN để cấp quyền truy cập mạng cho người dùng di động từ xa, kết nối chi nhánh phân tán mặt địa lý thành mạng cho phép sử dụng từ xa trình ứng dụng dựa dịch vụ có trường + Thiết kế mạng riêng ảo VPN dựa đường truyền Internet ADSL kênh thuê bao riêng Dựa vào thiết bị mạng trường để thiết kế cấu hình VPN với mục đích cho giảng viên sinh viên bên ngồi mạng (bên ngồi mạng LAN) truy cập, sử dụng tài nguyên trường ngồi mạng LAN d) Mơ hình thiết kế hệ thống cáp mạng Hệ thống cáp đóng vai trị phương tiện truyền dẫn tín hiệu thiết bị mạng thiết bị mạng thiết bị đầu cuối (máy tính, máy in, ) Do hệ thống cáp đóng vai trị quan trọng khả thực thi hệ thống mạng thơng tin Dựa mơ hình theo kiểu hình phân lớp, tồn hệ thống mạng có lớp cáp kết nối phân thành cấp sau: Mơ hình thiết kế hệ thống cáp mạng Để đảm bảo nhu cầu sử dụng, hệ thống cáp kết nối trung tâm phân chia theo khoảng cách theo chủng loại kết nối: - Tất thiết bị chuyển mạch Patch Pannel đặt tủ mạng phòng máy chủ trung tâm liệu - Hệ thống máy chủ kết nối trực tiếp đến Core Switch - Kết nối Switch nhánh đến Core Switch sử dụng UTP Cat 5e (hoặc Cat 6) tốc độ truyền nhận liệu 1Gbps với khoảng cách < 100m - Kết nối từ máy trạm đến Switch nhánh sử dụng cáp AMP UTP Cat 6, khoảng cách tối đa 90m , tốc độ truyền nhận liệu Gbps 200 - Các đầu kết nối tập trung điểm đường cáp mạng ống Gen để đảm bảo an tồn, thẩm mỹ - Khi thi cơng hệ thống cáp mạng tịa nhà, việc thi cơng thực theo phương án sau: Mơ hình thi cơng cáp UTP tòa nhà nhiều tầng - Đối với hệ thống kết nối mạng máy tính cục LAN cho hệ thống mạng tòa nhà Trường ĐHSPKT Nam Định, việc lựa chọn thiết bị mạng, việc lựa chọn phụ kiện mạng đóng vai trò quan trọng định đến khả hoạt động toàn thể hệ thống: + Thiết bị chuyển mạch trung tâm (Core Switch lớp 3) dạng Rack, có cổng Gigabit cáp đồng (10/100/1000Base-Tx) khe cắm chuẩn SFP (Small Form Factor) + Thiết bị chuyển mạch Switch nhánh nhà Switch dạng Rack, với cổng 10/100Base-TX cổng kết nối Gigabit cáp đồng, với Switch việc sử dụng cáp UTP Cat kết nối Switch đạt tốc độ 1Gbps phạm vi 100m + Các máy chủ kết nối trực tiếp tới thiết bị chuyển mạch Core Switch lớp + Ổ cắm mạng Wallbox, Patch Panel: Wallbox, Patch Panel phải đảm bảo tốc độ 100 Mbps hỗ trợ lên Gbps tương lai Các đầu dây mạng phòng người sử dụng đấu vào hộp Wallbox Máy tính nối với hộp Wallbox thông qua đoạn dây Patch 2m 3m 201 + Tủ thiết bị: Các thiết bị mạng đặt tủ thiết bị chuyên dụng (Comrack) sử dụng Patch Panel để gài đầu dây Từ Patch Panel đến Switch sử dụng đoạn dây Patch Cable m 3m để đảm bảo ổn định, dễ bảo trì tính thẩm mỹ mạng Các tủ thiết bị đặt phòng máy chủ Tủ mạng 27U cho vùng mạng phân phối, tủ mạng 10U treo tường cho tòa nhà (hoặc tầng tịa nhà có nhiều nút mạng) 2) Thiết kế hệ thống an ninh, bảo mật a) Nguyên tắc thiết kế Để thiết kế hệ thống an ninh, bảo mật cần xác định mối đe dọa tài nguyên hệ thống thơng tin trường Phân tích mối đe dọa ảnh hưởng trực tiếp đến tài nguyên thể bảng đây: Phân tích mối đe dọa STT Các tài nguyên Hệ thống phần cứng 1.1 Các máy chủ trường 1.2 1.3 1.4 2.1 2.2 3.1 4.1 5.1 Virus: Tấn công ứng dụng máy chủ gây ngừng hoạt động hệ thống Các Virus viết dạng Cookies, JavaScript Applet Phá máy chủ: Hacker truy nhập vào máy chủ, thay đổi nội dung, thay đổi dịch vụ máy chủ, ngừng máy chủ Các thiết bị mạng Mạng bị chia nhỏ thiết bị mạng bị hỏng bị công Các thiết bị lưu trữ bên Thiết bị lưu trữ bên bị hỏng Virus hay Hacker Thiết bị lưu trữ bên bị lấy trộm Máy Client phịng Bị kẻ lạ cơng, truy nhập bất hợp pháp hay chuyên môn trường chỉnh sửa thông tin máy chủ Hệ thống mạng Hệ thống mạng trường Mạng hoạt động khơng bình thường khối lượng liệu lớn liên tục xuất mạng (do Hacker cơng hay gói liệu không rõ địa chạy quẩn) Dữ liệu truyền mạng Dữ liệu truyền mạng bị giải mã/phá hoại thay đổi nội dung Hệ thống phần mềm ứng dụng Hệ thống phần mềm quản lý Hệ thống phần mềm ứng dụng bị phá hoại đào tạo Virus hay Hacker làm thay đổi chức hay vận hành sai Các liệu người sử dụng Tên truy cập mật Dữ liệu người sử dụng bị đánh cắp người sử dụng Các CSDL chương trình Các liệu hệ thống máy Dữ liệu bị thay đổi 202 STT Phân tích mối đe dọa Các tài nguyên chủ Người sử dụng 6.1 Các cán sử dụng vận hành Các cán vận hành sai quy trình, sai chức hệ thống phòng ban, gây mát liệu khoa Người sử dụng làm hỏng ứng dụng nhầm lẫn Người sử dụng thực nhiều công việc khác hệ thống làm giảm tốc độ hệ thống Người sử dụng chạy chương trình lại không ngồi cạnh bên máy Tạo hội cho người lạ sử dụng bất hợp pháp chương trình Bảng nguyên tắc thiết kế b) Thiết kế hệ thống an ninh, bảo mật Giải pháp bảo mật an toàn liệu áp dụng cho Trường ĐHSPKT Nam Định xây dựng sở kết hợp giải pháp sau: Giải pháp chống truy nhập bất hợp pháp Giải pháp bảo vệ hệ thống phần cứng Giải pháp bảo mật hệ điều hành Giải pháp bảo mật phần mềm ứng dụng Giải pháp bảo mật Cơ sở liệu Giải pháp phịng chống Virus Giải pháp kiểm sốt nội dung thông tin mạng - Giải pháp chống truy nhập bất hợp pháp Giải pháp chống truy nhập bất hợp pháp xây dựng sở sau: + Định danh, xác thực người sử dụng hệ thống + Sử dụng hệ thống Firewall + Bảo vệ hình Screen Saver Windows máy trạm làm việc - Định danh người sử dụng Mỗi người sử dụng hệ thống (cán phòng ban chuyên môn) cấp tên mật truy nhập vào hệ thống Mỗi truy nhập vào hệ thống người sử dụng phải khai báo tên mật Hệ thống bảo mật an toàn người sử dụng có tên mật khác cho mức: + Mức hệ thống: Mỗi người sử dụng truy nhập vào mạng thông qua kết nối từ xa phải gõ tên mật + Mức hệ điều hành: Mỗi người sử dụng truy nhập vào máy chủ để chạy ứng dụng phải gõ tên mật 203 + Mức sở liệu: Mỗi người sử dụng truy nhập vào CSDL phải gõ tên mật + Mức chương trình ứng dụng: Mỗi người sử dụng truy nhập vào ứng dụng để khai thác ứng dụng phải gõ tên mật - Hệ thống Firewall Trong công nghệ mạng thông tin, Firewall kỹ thuật tích hợp vào hệ thống mạng để chống lại việc truy cập trái phép nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập vào hệ thống Phần bên mạng nội (LAN) chia làm khu vực: khu vực vành đai khu vực bảo mật Khu vực vành đai hay gọi DMZ có bảo mật tương đối nhằm cho phép bên ngồi truy cập vào Khu vực thường đặt Web Server,… Khu vực bảo mật nằm bên hệ thống mạng mà khơng cho phép bên ngồi truy cập vào chưa phép người quản trị mạng, khu vực chứa máy chủ nội máy PC người dùng hệ thống Về mặt chức hệ thống, Firewall thành phần đặt hai mạng để kiểm soát tất việc lưu thông truy cập chúng với nhau, bao gồm: + Tất trao đổi liệu từ ngược lại phải thực thông qua Firewall + Chỉ trao đổi phép chế độ an ninh hệ thống mạng nội quyền lưu thông qua Firewall Về mặt vật lý, Firewall gồm nhiều hệ thống máy chủ/Firewall chuyên dùng kết nối với chọn đường có chức chọn đường Firewall đảm bảo gói phép vào mạng LAN phải đáp ứng nguyên tắc định (chính sách bảo mật) mà nhân viên quản trị mạng thiết lập Để sử dụng Firewall cách hiệu quả, cần phải xây dựng sách bảo mật tốt chặt chẽ Với Firewall, kiểm tra truy cập vào mạng sử dụng dịch vụ Firewall hoạt động theo cách: + Từ chối chấp nhận gói tin dựa danh sách địa nguồn không chấp nhận + Cho phép từ chối gói tin dựa danh sách địa cổng đích khơng chấp nhận - Bảo mật phần mềm ứng dụng Giải pháp ngăn chặn việc thay đổi phần mềm ứng dụng nguyên nhân sửa đổi File cách bất hợp pháp hay Virus Giải pháp bao gồm: + Phân quyền truy nhập vào thư mực chứa chương trình thực ứng dụng + Chạy tự động ứng dụng 204 + Kiểm sốt ngày, tháng, kích thước File chứa chương trình thực Danh sách File phiên chạy lưu trữ người quản trị có trách nhiệm kiểm tra kích thước, ngày tháng File để tránh việc thay đổi bất hợp pháp nội dung File - Bảo mật sở liệu Giải pháp bảo mật sở liệu phòng chống việc chép, sửa đổi liệu bất hợp pháp người sử dụng hệ thống Giải pháp bảo mật sở liệu gồm: + Bảo mật tên mật mức sở liệu hệ điều hành: Người quản trị phân quyền truy nhập vào sở liệu cho số người sử dụng Người sử dụng bình thường khơng có quyền truy nhập vào sở liệu + Giải pháp phân quyền người sử dụng: Được áp dụng để tránh việc sử dụng sai chức cán vận hành hệ thống Mỗi người sử dụng vào hệ thống có tên, mật quyền truy cập vào số chức hệ thống + Sử dụng bảo mật cho sở liệu quan trọng + Ghi vào nhật ký thay đổi mặt liệu người sử dụng - Phòng chống Virus Giải pháp phòng chống Virus kiến nghị sử dụng chương trình phịng chống Virus theo dạng Server-Client, quản lý tập trung Đây dịng sản phẩm Anti-virus dành cho đơn vị Nó bảo vệ đơn điểm mạng Sử dụng nhiều công nghệ quét, bao gồm so mẫu, kiểm soát hành vi dựa vào tập luật, sản phẩm bảo vệ đơn vị khỏi loại Virus 3) Hệ thống lưu phục hồi liệu Dữ liệu trình quản lý đào tạo sinh viên lớn Dữ liệu lưu trữ mãi nhiên theo yêu cầu hệ thống phải có khả xử lý, lưu trữ, phân tích, tổng hợp số liệu trình học tập sinh viên Sau sinh viên trường tùy theo quy định yêu cầu quản lý mà trường lưu trữ tiếp hay cất sang chỗ khác Có phương thức lưu liệu: - Sao lưu đầy đủ: Dùng để lưu tất thông tin chọn, không quan tâm đến việc thơng tin lưu trữ vào thời điểm lần lưu trước Phương pháp cho phép lưu đầy đủ nhất, tốn thời gian phương tiện lưu Hơn nữa, lưu đầy đủ thực ngừng toàn hoạt động hệ thống - Sao lưu gia tăng: Dùng để lưu tất thơng tin có thay đổi cập nhật so với lần lưu gần trước Phương thức cho phép tiết kiệm tối đa thời gian, đồng thời cho phép thực lưu trực tuyến hệ thống hoạt động 205 - Sao lưu khác biệt: Dùng để lưu tất thơng tin có thay đổi cập nhật so với lần lưu đầy đủ gần trước Phương thức phức tạp thực ngừng toàn hoạt động hệ thống Phương án thiết kế hệ thống lưu trữ/phục hồi cho loại liệu sau: Định kỳ Hình lưu thức Cơ sở liệu Hàng ngày Đầy đủ chương (sau làm trình ứng dụng việc, 17h), định thời làm tự động nhờ tính Backup Loại liệu Chương trình nguồn tài liệu liên quan đến phiên ứng dụng Các File văn đính kèm Khi có thay Đầy đủ đổi, nâng cấp phiên ứng dụng Nơi lưu Ghi trữ Đĩa cứng - Trong trường hợp xảy máy chủ cố, liệu phục hồi đến ngày hôm trước Dữ liệu phát sinh ngày đến có cố gõ lại dựa số liệu lưu cứng - Quản trị hệ thống xác định thời gian thực Backup Đĩa cứng Được thực quản trị máy chủ hệ thống Hàng ngày Gia Đĩa cứng Được thực quản trị (nếu có phát tăng máy chủ hệ thống sinh) Bảng phương án thiết kế hệ thống lưu trữ phục hồi 4) Thiết kế hệ thống máy chủ a) Yêu cầu thiết kế: - Hệ thống đại Tiêu chí hệ thống đáp ứng yêu cầu khác có mối quan hệ tương hỗ với khả mở rộng, phù hợp với xu hướng công nghệ giới quan trọng đáp ứng yêu cầu ngày cao công tác nghiệp vụ Để đáp ứng yêu cầu hệ thống sau thiết kế, triển khai phải lựa chọn tảng công nghệ tiên tiến có xu hướng tương lai máy chủ hãng lớn (IBM, HP, Sun, Dell ), kiến trúc máy chủ tiên tiến (kiến trúc vi xử lý 64bit, xử lý đa luồng-multithread ), hệ quản trị sở liệu hàng đầu (Oracle, DB2,SQL ), ngôn ngữ lập trình mạnh & xu hướng tồn cầu (Java, Microsoft Net, ), hệ điều hành có sức mạnh công nghệ chiếm ưu (Unix, Linux, Windows-64bit Server ) - Khả mở rộng: Hệ thống hạ tầng kỹ thuật phải đảm bảo khả dễ nâng cấp hãng cung cấp cam kết hỗ trợ khả nâng cấp khoảng thời gian tương đối (3- 206 năm) Khả nâng cấp yêu cầu quan trọng tăng trưởng khối lượng liệu số lượng người sử dụng Khả nên tập trung vào: + Khả nâng cấp máy chủ sở liệu (database server), máy chủ ứng dụng (application server) máy chủ web (web server) dung lượng nhớ RAM, dung lượng lưu trữ liệu (Hard Disks), số lượng vi xử lý (Processor); + Khả nâng cấp thiết bị lưu trữ liệu lưu (backup server, ) tích hợp cao Các thiết bị sau thiết kế triển khai phải đảm bảo khả tích hợp cao để tận dụng mạnh cơng nghệ tồn hệ thống, tận dụng tài nguyên hệ thống nâng cấp công nghệ Bên cạnh hệ thống phần mềm (hệ điều hành, hệ quản trị sở liệu, phần mềm dùng chung, phần mềm ứng dụng ) phải đảm bảo khả để hoàn thiện ―kho‖ liệu đầu mối khai thác liệu tập trung, thống - Tính tiêu chuẩn Để đáp ứng yêu cầu hệ thống đại, công nghệ tiên tiến, tính mở, khả tích hợp cao tiền đề khơng thể thiếu ―tính tiêu chuẩn‖ Ở hệ thống sau triển khai phải đáp ứng yêu cầu cao tiêu chuẩn quốc tế, tiêu chuẩn Việt Nam tiêu chuẩn nội riêng Trong tiêu chuẩn quốc tế mang tính quy chuẩn chuyên nghiệp thiết phải đáp ứng - Bảo hành bảo trì hệ thống Một nhiệm vụ lâu dài trước bắt tay xây dựng vận hành hệ thống phải coi trọng cơng tác bảo hành bảo trì hệ thống, bao gồm hệ thống phần cứng chương trình phần mềm Mọi hạng mục đầu tư phải đảm bảo cam kết chặt chẽ bảo hành bảo trì từ nhà cung cấp tư vấn dịch vụ Cam kết bảo hành bảo trì phần cứng phải đảm bảo yếu tố như: thời gian bảo hành, khả bảo hành chỗ, khả thay thiết bị sau thời gian ngắn, cam kết bảo hành bảo trì thiết bị khoảng thời gian tương đối (3-6 năm) Cam kết bảo hành bảo trì chương trình phần mềm phải đảm bảo yếu tố như: thời gian bảo hành sau nghiệm thu hợp đồng, hình thức bảo hành chỗ, hình thức hỗ trợ, kinh phí trì thời gian bảo hành b) Thiết kế hệ thống máy chủ Hệ thống máy chủ (Server Farm) kết nối trực tiếp vào Core Switch thông qua Firewall để đảm bảo tốc độ truy cập tính bảo mật 207 FW/IPS Server Farm DB Cluster SAS Anti Virus Server Proxy Server Hệ thống máy chủ Các máy chủ làm nhiệm vụ: - Máy chủ Antivirus dùng để quét virus, ngăn chặn lây lan virus qua mạng Máy chủ đề xuất sử dụng 01 x Intel® Xeon® E5630 2.53Ghz, 12M Cache, 16GB RAM DDR3 có khả mở rộng lên tới 144GB RAM DDR3,Cho phép quản lý hàng trăm máy trạm mạng LAN Thiết bị lưu trữ HDD 04x300GB 10k hotplug , cấu hình RAID ( địi hỏi tối thiểu 03 HDD) 01 hotspare để đảm bảo cho việc bảo vệ liệu khả truy xuất liệu nhanh chóng Sở dĩ chọn 04 HDD 300GB thay chọn 04 HDD 146GB chi phí cho việc mua 04 x 146GB 10K gần tương đương với chi phí cho việc mua 04 x 300GB 10K - Máy chủ Proxy cho phép quản lý việc vào/ra Internet Cũng tương tự máy chủ Antivirus việc lựa chọn 04 HDD x 300GB 10K, processor, RAM DDR3 - Máy chủ sở liệu (CSDL) sử dụng cho việc quản lý chạy ứng dụng CSDL Máy chủ đề xuất sử dụng 02 x Intel® Xeon® E7540 2.00GHz, 18M cache, 6Core Dịng chip E7500 series cải thiện đáng kể hiệu khả tiết kiệm điện so với dịng chip cũ E7400 series Vì tính chất riêng máy chủ CSDL yêu cầu phần cứng phải mạnh đặc biệt yêu cầu processor nhớ RAM lớn nên việc sử dụng dòng chip E7500 series công nghệ RAM 32GB RAM DDR3 RDIMM cho phép mở rộng lên 512GB RAM hoàn toàn đáp ứng yêu cầu hiệu hệ thống chạy CSDL khả nâng cấp mở rộng sau Vì CDSL lưu hồn toàn HDD nên máy chủ CSDL sử dụng 02 x 146GB 10k hotplug , cấu hình RAID ( Mirror) chạy Clustering để đảm bảo cho việc bảo vệ liệu , độ sẵn sàng cao khả truy xuất liệu - Máy chủ Portal: Để chạy phần mềm cổng thông tin điện tử - Máy chủ DC: Cung cấp khả dự phòng tự động chuyển đổi dự phòng hai nhiều domain controller triển khai domain Nó tự động quản lý truyền thơng domain controller để bảo đảm mạng trì 208 Người dùng truy cập vào tất tài nguyên mạng thông qua chế đăng nhập lần Căn vào chiến lược phát triển Trường ĐHSPKT Nam Định Các máy chủ chạy với cấu hình RAID (Redundant Array of Independent Disks) RAID để đảm bảo an toàn mặt liệu 209 TÀI LIỆU THAM KHẢO [1] Th.s Ngô Bá Hùng, Thiết kế cài đặt mạng, Đại học Cần Thơ, 2005 [2] GV Vũ Khánh Quý, Giáo trình mạng doanh nghiệp, Đại học Sư phạm Kỹ thuật Hưng Yên [3] Giáo trình Thiết kế xây dựng mạng LAN-WAN, Đề án 112, 2004 [4] Nguyễn Hồng Sơn, Giáo trình mạng máy tính CCNA, NXB Lao động xã hội, 2004 [5] Gilbert Held, Ethernet Networks: Design, Implementation, Operation, Management, 2003 [6] Internetworking Design Basics, Cisco Press 2003 210 ... A 25 5 .25 5 .22 4.0 B 25 5.0.0 .25 5 C 25 5 .22 4 .25 5.0 D 25 5 .25 5 .25 5 .22 4 90) Một mạng lớp C cần chia thành mạng sử dụng Subnet Mask sau đây? A 25 5 .25 5 .22 4.0 B 25 5.0.0 .25 5 C 25 5 .25 5 .25 5.1 92 D 25 5 .25 5 .25 5 .22 4... A 25 5 .24 8.0.0 B 25 5 .25 5 .25 5.1 C 25 5 .25 5 .25 5 .24 8 D 25 5 .25 5 .25 5. 128 81) Một mạng lớp A mượn bit để chia Subnet Subnet Mask là: A 25 5 .25 5 .25 4.1 92 B 25 5 .25 4.0.0 C 25 5 .24 8.0.0 D 25 5 .25 5 .25 5 .25 4 82) ... A 25 5 .25 5 .25 4.0 B 25 5 .25 5 .25 4.1 92 C 25 5 .25 5 .25 5 .24 0 D 25 5 .25 5 .25 5 .25 4 86) Một mạng lớp B cần chia thành mạng sử dụng Subnet Mask sau đây? A 25 5 .25 5 .22 4.0 B 25 5.0.0 .25 5 C 25 5 .25 5.1 92. 0 D 25 5 .25 5 .25 5 .22 4