công tác chuyển đổi số
Mô hình tổng quan kết nối mạng TSLCD LAN, WAN, Trung tâm dữ liệu theo chuẩn các mô hình Bộ Thông tin và Truyền thông đưa ra, hình 3.2.
40
41
Mô hình tập trung lưu lượng WAN về điểm quản lý tại Trung tâm dữ liệu Sở Thông tin và Truyền thông tỉnh Hải Dương, hình 3.3.
Hình 3.3: Mô hình tập trung lưu lượng WAN về điểm quản lý của địa phương
- Hạ tầng TSLCD cấp II tạo kết nối điểm - đa điểm từ các đơn vị trực thuộc về điểm tập trung mạng WAN của Sở thông tin và truyền thông tỉnh Hải Dương. Tại các điểm tập trung mạng WAN này thực hiện chuyển tiếp lưu lượng từ các đơn vị (Sở, Ban, ngành, các UBND Huyện, Thành phố, Thị xã và UBND xã, phường, thị trấn) đến các ứng dụng tại Trung tâm dữ liệu đặt tại Sở Thông tin và Truyền thông tỉnh Hải Dương.
- Để đảm bảo kết nối về TTDL của Tỉnh được thông suốt và an toàn thì tại các Huyện, Thành phố, Thị xã và các Sở, Ban ngành, ngoài việc trang bị đường truyền mạng diện rộng WAN để kết nối vào mạng nội bộ chung của Tỉnh, cần phải
42
có một đường Internet của đơn vị kết nối dự phòng thay thế khi đường truyền SLCD gặp sự cố nhưng phải đảm bảo an toàn, bảo mật.
- Đường truyền kết nối từ TTDL tại Sở TTTT thiết kế có kênh truyền dự phòng 1+1 để đảm bảo kết nối thông suốt liên tục và san tải khi cần thiết.
Sơ đồ kết nối tổng quan mạng TSLCD tỉnh Hải Dương như bên dưới.
Hình 3.4: Sơ đồ kết nối tổng quan mạng TSLCD tỉnh Hải Dương
Hệ thống mạng từ các UBND xã, phường, thị trấn sẽ kết nối về Trung tâm tích hợp dữ liệu đặt tại Sở Thông tin và Truyền thông. Với mô hình kết nối này sẽ phù hợp với chủ trương toàn Tỉnh tập trung về một hệ thống dùng chung, đảm bảo thuận tiện trong công tác quản lý, quy hoạch chung của Tỉnh.
• Kết nối chi tiết tại Tỉnh ủy, UBND tỉnh và các Sở, Ban, ngành và các
Huyện, Thành phố, Thị xã như sau:
- Sử dụng cáp quang kết nối mạng truyền số liệu chuyên dùng.
+ Tại Sở Thông tin và Truyền thông (điểm đặt Trung tâm dữ liệu của Tỉnh): Sử dụng đường truyền tốc độ 100Mbps.
+ Tại Tỉnh ủy, UBND tỉnh: Sử dụng đường truyền tốc độ 20Mbps phục vụ các điểm cầu tập trung cho họp Hội nghị truyền hình, các Trung tâm điều hành thông minh tập trung của Tỉnh.
43
+ Tại UBND Huyện, Thành phố, Thị xã và Sở, Ban, ngành: Sử dụng đường truyền tốc độ 5Mbps.
- Giữ nguyên hiện trạng các đường truyền Internet hiện tại của đơn vị Huyện, Thành phố, Thị xã và Sở, Ban, ngành. Cấu hình dự phòng kết nối IPSec cho mạng TSLCD qua hướng Internet, đảm bảo khi đường truyền số liệu chuyên dụng bị sự cố thì kết nối dự phòng qua Internet. Kết nối đa hướng (multi-home): Một hệ thống mạng độc lập sẽ có khả năng kết nối nhiều hướng (peering hoặc transit) với các mạng độc lập khác, với các DNVT (ISP) khác để kết nối vào mạng Internet, khi có sự cố hướng này sẽ tự động chạy theo hướng khác và ngược lại mà không bị gián đoạn dịch vụ, đồng thời có thể linh hoạt trong điều hướng để sử dụng hiệu quả băng thông kết nối trên các kênh truyền theo nhu cầu.
- Bổ sung 01 Router và 01 Switch (đối với các điểm lắp mới): Thực chất,
Router để tích hợp 2 đường truyền dữ liệu khác nhau (1 đường qua Internet, 1 đường TSLCD), Switch tương thích với Router để đấu được nhiều thiết bị Access. Vì Router thường chỉ 4 cổng LAN và 1 cổng WAN. Sử dụng thiết bị Router Cisco
ISR4331-Sec/K9 03 giao tiếp GE routing, Switch Cisco 3650 layer 3 tại 03 điểm cấp Tỉnh, Switch Cisco 2960X layer 2 đảm bảo năng lực và tính năng kết nối với qui mô Sở, Ban, ngành.
Hình 3.5: Kết nối chi tiết tại Tỉnh ủy, UBND tỉnh, các Sở, Ban, ngành và các Huyện, Thành phố, Thị xã
44
a. Phân tích lựa chọn giải pháp, công nghệ cho kết nối Tỉnh ủy, UBND tỉnh, các Sở, Ban, ngành và các Huyện, Thành phố, Thị xã:
Thiết bị định tuyến tại phụ lục 3; Thiết bị Switch layer 3 tại phụ lục 4; Thiết
bị chuyển mạch layer 2 tại phụ lục 5.
• Kết nối chi tiết tại UBND xã, phường, thị trấn như sau:
- Sử dụng cáp quang kết nối mạng truyền số liệu chuyên dùng.
+ Tại UBND xã, phường, thị trấn: Sử dụng đường truyền tốc độ 2Mbps. - Triển khai kết nối bằng cáp quang trực tiếp, qua thiết lập kênh VPN L2/L3. Sử dụng thiết bị sẵn có của các đơn vị cung cấp cho thuê kênh Truyền số liệu chuyên dùng. Ví dụ: Thiết bị GPON ONT iGate GW040H phục vụ cho việc kết nối các dịch vụ viễn thông cáp quang tốc độ cao của VNPT.
Hình 3.6: Kết nối chi tiết tại UBND xã, phường, thị trấn
b. Phân tích lựa chọn giải pháp, công nghệ cho kết nối tại UBND xã, phường, thị trấn: Thiết bị định tuyến tại phụ lục 6.
c. Đường truyền:
Yêu cầu về pháp lý: Phải có văn bản xác nhận đủ điều kiện cung cấp dịch vụ cho mạng TSLCD của Bộ thông tin và Truyền thông.
45
d. Yêu cầu kỹ thuật về dịch vụ kênh truyền:
-Tất cả kênh truyền sử dụng công nghệ MPLS, phương tiện truyền dẫn
quang.
-Kênh truyền được cung cấp với tốc độ tối thiểu, tối đa như trong thiết kế.
-Đảm bảo chất lượng kênh truyền:
+ Băng thông: ≥ 97% + Độ trễ: ≤ 100 ms + Mất gói tin: ≤ 0,2%
e. Giải pháp đề xuất:
* Đề xuất mô hình kết nối tổng quan cho toàn Tỉnh:
- Từ các yêu cầu đặt ra như đã nêu ra ở trên, chúng tôi xin đề xuất mô hình kết nối an toàn, bảo mật cho các đơn vị trên toàn Tỉnh như sau:
✓ Tại các Huyện, Thành phố, Thị xã và Sở, Ban, ngành:
- Kết nối về Trung tâm dữ liệu của Tỉnh: Để đảm bảo kết nối về TTDL của Tỉnh được thông suốt và an toàn thì tại các Huyện, Thành phố, Thị xã và các Sở, Ban, ngành ngoài việc trang bị đường truyền mạng diện rộng để kết nối vào mạng nội bộ chung của Tỉnh, cần phải có một đường Internet của đơn vị kết nối dự phòng thay thế khi đường truyền SLCD gặp sự cố nhưng phải đảm bảo an toàn, bảo mật.
- Giải pháp xây dựng đường kết nối dự phòng được đề xuất là tạo thêm các kết nối VPN site-to-site từ các các Huyện, Thành phố, Thị xã và các Sở, Ban, ngành về TTDL của Tỉnh để làm kết nối dự phòng. Kết nối VPN site-to-site được tạo và thiết lập hoạt động ở chế độ dự phòng, khi đường truyền SLCD (đường truyền chính kết nối về TTDL) gặp sự cố thì đường kết nối VPN site-to-site sẽ chuyển sang chế độ chạy chính cho đến khi đường truyền SLCD được khôi phục, nó sẽ chuyển về chế độ hoạt động dự phòng và đường SLCD sẽ trở lại chạy chính. Để làm được điều này thì tại TTDL phải trang bị và xây dựng 1 hệ thống VPN server để chấp nhận các kết nối VPN site-to-site từ các đơn vị thông qua Internet và các đơn vị cần trang bị một thiết bị router hoặc tận dụng lại các tường lửa có hỗ trợ VPN site-to- site để tạo kết nối VPN về TTDL.
46
- Kết nối Internet: Các Huyện, Thành phố, Thị xã và các Sở, Ban, ngành sử dụng đường Internet đang sử dụng của mình, để đảm bảo kết nối VPN luôn luôn được duy trì khi đường TSLCD gặp sự cố.
- Kết nối đa hướng (multi-home): Một hệ thống mạng độc lập sẽ có khả năng kết nối nhiều hướng (peering hoặc transit) với các mạng độc lập khác, với các DNVT (ISP) khác để kết nối vào mạng Internet, khi có sự cố hướng này sẽ tự động chạy theo hướng khác và ngược lại mà không bị gián đoạn dịch vụ, đồng thời có thể linh hoạt trong điều hướng để sử dụng hiệu quả băng thông kết nối trên các kênh truyền theo nhu cầu.
✓ Tại các UBND xã, phường, thị trấn:
- Triển khai kết nối bằng cáp quang trực tiếp, qua thiết lập kênh VPN L2/L3. Sử dụng thiết bị sẵn có của các đơn vị cung cấp cho thuê kênh Truyền số liệu chuyên dùng kết nối về Trung tâm dữ liệu của Tỉnh.
- Kết nối Internet: Sử dụng riêng, không kết nối trực tiếp vào cổng của thiết bị Truyền số liệu chuyên dùng đặt tại xã, phường, thị trấn.
✓ Mô hình kết nối tổng quát từ các đơn vị trong toàn Tỉnh về Trung tâm tích hợp dữ liệu của Tỉnh:
Hình 3.7: Mô hình kết nối tổng quát từ các đơn vị trong toàn Tỉnh về Trung tâm THDL của Tỉnh
47
* Đề xuất phân hoạch địa chỉ IP:
Quy hoạch IP và băng thông kênh truyền cho Khối Tỉnh, Huyện, Thành phố,
Thị xã và các Sở, Ban, ngành tại phụ lục 7.
Quy hoạch IP và băng thông kênh truyền cho Khối UBND xã, phường, thị
trấn tại phụ lục 8.
Việc quy hoạch mở rộng dải địa chỉ IPv4 theo dải 10.88.xx.xx được Cục Bưu điện Trung ương cấp cho tỉnh Hải Dương. Hệ thống thiết bị đáp ứng yêu cầu nâng cấp chuyển đổi theo quy hoạch dải địa chỉ IPv6 trong tương lai.
* Đề xuất mô hình triển khai cho Sở, Ban, ngành, Huyện, Tp, Thị xã: Sơ đồ kết nối:
- Do các dịch vụ dùng chung của đơn vị (như Web, Một cửa điện tử, Phần mềm QLVB,...) sẽ được tập trung tại TTDL của Tỉnh, nên nhu cầu bảo mật tại các đơn vị sẽ không đòi hỏi quá cao. Vì vậy, mô hình mạng tại các Sở, Ban ngành Tỉnh và Huyện, Thành phố, Thị xã được đề xuất chuẩn hóa theo mô hình như sau:
Hình 3.8: Sơ đồ kết nối mạng đơn vị Sở, Ban, ngành, Huyện, Thành phố, Thị xã Thuyết minh kỹ thuật Sơ đồ kết nối:
+ Đặc điểm: Mô hình mạng được chia ra làm 2 phân vùng: - Vùng mạng ngoài (Internet).
- Vùng mạng trong (nội bộ) bao gồm các máy tính cá nhân, máy chủ của cơ quan, đơn vị.
48
- Các thiết bị trong mạng nội bộ chỉ có thể truy cập Internet một chiều từ trong ra ngoài nhờ sự ngăn cách của tường lửa.
- Đối với những đơn vị, cơ quan có sử dụng đường truyền kết nối mạng chuyên ngành được áp dụng với một số máy tính tạo thành vùng mạng chuyên ngành. Các máy tính nằm trong những khu vực khác trong đơn vị, cơ quan không được truy cập vào vùng mạng dành riêng này.
- Các máy chủ nội bộ được đặt vào trong một VLAN riêng và cung cấp dịch vụ cho các máy tính cho các VLAN phòng ban khác (các dịch vụ mà máy chủ cung cấp chỉ sử dụng nội bộ).
+ Đường truyền, thiết bị sử dụng:
❖ Đường truyền
Đơn vị, cơ quan sử dụng đường truyền chuyên ngành thì sẽ triển khai theo hướng dẫn chuyên ngành.
❖ Tường lửa, WAN router
Sử dụng thiết bị router tích hợp tường lửa cứng. ❖ Hệ thống chuyển mạch
Sử dụng hệ thống chuyển mạch 2 lớp:
- Hệ thống chuyển mạch Trung tâm (sử dụng Switch Core lớp 3) đóng vai trò định tuyến giữa các phân vùng mạng cục bộ và phân quyền truy cập cho các phân vùng mạng khác nhau.
- Hệ thống chuyển mạch lớp 2 (sử dụng Access Switch) cung cấp kết nối từ các máy tính trong mạng đến hệ thống chuyển mạch Trung tâm và phân chia các phân vùng mạng.
+ Cài đặt, cấu hình:
❖ Hệ thống chuyển mạch
Hệ thống chuyển mạch được cấu hình để cung cấp các tính năng sau:
- Máy tính của người dùng ở các phân vùng mạng cục bộ có thể kết nối và truy cập Internet.
- Các máy tính trong mạng nội bộ có thể truy xuất các dịch vụ được cung cấp bởi các máy chủ nội bộ.
49
- Chỉ cho phép các máy tính nằm trong phân vùng mạng chuyên ngành trong nội bộ có thể liên lạc được với vùng mạng chuyên ngành bên ngoài.
- Không cho phép các máy tính ở các phân vùng mạng nội bộ khác nhau liên lạc với nhau.
- Có thể thiết lập các tính năng phòng chống tấn công mạng cục bộ. ❖ Tường lửa, WAN Router
- WAN Router và tường lửa được cấu hình chức năng định tuyến (Route hoặc NAT) để các máy tính bên trong mạng nội bộ có thể truy cập Internet. Cấu hình tường lửa cho phép hoặc cấm các truy cập tùy theo nhu cầu của đơn vị, cơ quan.
- Tường lửa cung cấp tính năng ngăn chặn và phát hiện tấn công (IDS, IPS). - Đối với phần mềm nội bộ: Nội dung mô tả yêu cầu kỹ thuật cần đáp ứng của phần mềm nội bộ theo quy định tại Điều 18 Nghị định 73/2019/NĐ-CP và các nội dung khác quy định tại điểm c khoản 1 Điều 27 Nghị định 73/2019/NĐ-CP.
- Đối với xây lắp mạng, lắp đặt thiết bị công nghệ thông tin và các phụ kiện: Các chỉ tiêu kỹ thuật, tiêu chuẩn áp dụng trong triển khai mua sắm, lắp đặt, cài đặt, kiểm tra và hiệu chỉnh thiết bị; Danh mục thiết bị mua sắm, lắp đặt, cài đặt và các thông số kỹ thuật của thiết bị; Thuyết minh giải pháp thiết kế mạng, đường truyền, hạ tầng kỹ thuật, an toàn thông tin, cấp điện, chống sét, hệ thống làm mát, tính toán băng thông đường truyền (kèm theo sơ đồ, nếu có); Thống kê khối lượng công tác xây lắp, thiết bị chủ yếu của hạng mục chính và phụ; Các thuyết minh khác có liên quan (nếu cần thiết).
* Đề xuất mô hình triển khai cho Trung tâm dữ liệu đặt tại Sở Thông tin và Truyền thông tỉnh Hải Dương:
Trung tâm dữ liệu là nơi tập trung mọi kết nối của đơn vị Sở, Ban, ngành, Huyện, Thành phố, Thị xã và xã, phường, thị trấn. Thiết kế ngoài việc đảm bảo kết nối còn yêu cầu đảm bảo tính an toàn và bảo mật thông tin cho Trung tâm dữ liệu. Chính vì vậy đề xuất theo mô hình chuẩn hóa như sau:
50
Hình 3.9: Mô hình triển khai cho TTDL đặt tại Sở TTTT tỉnh Hải Dương Thuyết minh kỹ thuật:
- Sử dụng đường truyền Internet để kiểm soát lưu lượng người dùng trong Sở Thông tin và Truyền thông, cập nhật các máy chủ nội bộ khi có nhu cầu kết nối.
- Sử dụng đường truyền Internet để Public những ứng dụng ra ngoài Internet như máy chủ Web, Mail,…
- Sử dụng đường truyền WAN hoặc kết nối VPN L2/L3 tập trung kết nối từ đơn vị Sở, Ban, ngành, Huyện, Thành phố, Thị xã và xã, phường, thị trấn đến Trung tâm dữ liệu.
+ Thiết bị:
- Firewall thực hiện chức năng NAT và cân bằng tải cho kết nối Internet, ngoài ra thực hiện chức năng Public máy chủ ứng dụng ra ngoài Internet.
- Switch Layer thực hiện nhiệm vụ định tuyến và chuyển mạch toàn bộ hệ thống mạng Trung tâm dữ liệu.
- Router và Firewall WAN thực hiện chức năng gom định tuyến từ đơn vị lên Trung tâm dữ liệu.
51
+ Cài đặt và cấu hình:
- Switch Layer cấu hình chia VLAN cho từng đơn vị chức năng và phân
vùng theo mô hình thiết kế.
- Router được cấu hình định tuyến tĩnh hoặc định tuyến động để tập trung route từ đơn vị lên Trung tâm dữ liệu.
- Firewall được cấu hình Policy (chính sách) theo luồng dữ liệu đã được phân hoạch.
* Đề xuất mô hình triển khai cho xã, phường, thị trấn: Sơ đồ kết nối:
- Do các dịch vụ dùng chung của đơn vị (như Web, Một cửa điện tử, Phần mềm QLVB,...) sẽ được tập trung tại Trung tâm dữ liệu của Tỉnh, nên nhu cầu bảo mật tại các đơn vị sẽ không đòi hỏi quá cao. Vì vậy, mô hình mạng tại các UBND xã, phường, thị trấn được đề xuất chuẩn hóa theo mô hình như sau:
Hình 3.10: Mô hình triển khai cho xã, phường, thị trấn Thuyết minh kỹ thuật Sơ đồ kết nối:
+ Đặc điểm:
- Vùng mạng trong (nội bộ) bao gồm các máy tính cá nhân, máy chủ của cơ