Tầng 1-tầng vật lý: Tầng này liên quan đến mặt điện áp, kết nối vật lý của phương tiện truyền dẫn, và tín hiệu điện. Những giao thức thuộc lớp vật lý có thể là WDM (Wave Division Multiplexing), Ethernet và SDH.
Tầng 2-Tầng LKDL: Tầng này xử lý truyền dẫn dữ liệu tin cậy giữa các điểm vật lý trên mạng. Ví dụ các giao thức tầng này gồm: SDH, Ethernet, ATM, RPR, GMPLS.
Tầng 3-tầng mạng: Tầng mạng có chức năng định tuyến - chuyển thông tin giữa các điểm kết nối logic trên mạng. IP và ATM là những ví dụ của các giao thức lớp mạng. MPLS được dùng để bọc các gói IP tại lớp 3.
Tầng 4 – 7: Những tầng này bao gồm (transport, session, presentation and application) không tập trung vào kiến trúc hạ tầng cơ sở của mạng mà là phát triển các dịch vụ ứng dụng mạng.
Nhiều giao thức có thể được phân loại xếp chồng tuỳ thuộc vào từng loại mạng. Lược đồ sau chỉ ra một số ví dụ các kiến trúc xếp chồng giao thức xử lý các dịch vụ IP.
Protocols: Một số giao thức quan trọng làm nổi bật khả năng chuyển mạch gói được mô tả như sau:
• ATM (Asynchronous Transfer Mode)
• Ethernet
• SDH (Synchronous Digital Hierarchy)
• Internet Protocol (IP version4, IP version6)
IP ver6 sẽ giải quyết được vấn đề thiếu hụt địa chỉ IP trên mạng, với IP ver4 đạt được 4 tỉ thiết bị mạng được đánh địa chỉ, IP ver6 có dải địa chỉ luôn sẵn có cho nhu cầu gia tăng của các thiết bị mạng cũng như sự phát triển kết hợp nhiều loại mạng IP với nhau (ví dụ, WLAN, 3G)…Hơn nữa, địa chỉ IP được thiết kế để đơn giản hơn trong quá trình cấu hình. Sự thiết lập các địa chỉ Ipver6 có nhiều thuận lợi khi trong tương lai sẽ được dùng để đánh số thiết bị thoại cho NGN
Optical (DWDM) SDH ATM IP Optical (DWDM) ATM IP Optical (DWDM) IP SDH Optical (DWDM) IP Optical (DWDM) Ethernet IP Optical (DWDM) RPR IP
Hình 4.7: Một số phương pháp khác nhau cung cấp các dịch vụ IP bởi những cách tổ chức các lớp mạng khác nhau.
• RPR (Resilient Packet Ring): là một giao thức mới được IEEE (IEEE 802.17) định nghĩa để kết nối các thiết bị với nhau. RPR được thiết kế để kết nối mạng dữ liệu qua các mạng vòng quang (optical ring) trong MAN và WAN. Kỹ thuật này cho phép các công nghệ optical ring trở nên hiệu quả hơn khi truyền dữ liệu dạng gói. Nó giảm được trễ thời gian khi dùng cho những ứng dụng thời gian thực. RPR độc lập với lớp vật lý và chạy trên SDH (lớp vật lý) hoặc DWDM. RPR cũng có thể được ứng dụng trên mạng dùng công nghệ Ethernet có độ tin cậy cao.
• IntServ: Dịch vụ tích hợp được phát triển bởi IETF (Internet Engineering Task Force), là một nỗ lực để ứng dụng QoS vào mạng IP. Công việc của nó là gửi thông tin trên một băng thông được định sẵn theo mức yêu cầu của dịch vụ, việc này được thực hiện bởi RSVP (resource reservation protocol )
• DiffServ: Những dịch vụ hiện có nhận được QoS sử dụng nguyên lý gán cho mỗi gói IP một mức ưu tiên phân theo lớp dịch vụ, nó ảnh hưởng đến cái cách mà trong đó DiffServ cho phép các router điều khiển các gói
• Giao thức chuyển mạch nhãn MPLS (Multi Protocol Label Switching) và GMPLS (generalised multi-protocol label switching) là những chuẩn nổi bật của IETF. Nó cho phép quản lý lưu thông các gói IP bằng cách cộng thêm các nhãn (label) hoặc “tag” vào gói IP. Sự sử dụng các nhãn này cho phép phân biệt các đường truyền riêng. Như vậy, mỗi loại dịch vụ sẽ ứng từng QoS riêng biệt. Các router chuyển mạch nhãn làm chức năng cộng thêm các nhãn MPLS được cộng thêm vào gói IP, và sau đó chuyển tiếp đến các router chuyển mạch nhãn khác trong mạng MPLS. Hơn nữa, các chuyển mạch nhãn đa giao thức có thể được thực hiện trên mạng quang, và tạo ra một dạng GMPLS
• Control Plane Protocols: Có nhiều giao thức có chức năng dùng để điều khiển và giao tiếp dịch vụ thoại và các dịch vụ khác giữa các mạng chuyển mạch gói và chuyển mạch kênh. Những giao thức này cho phép các chức năng điều khiển cuộc gọi (ví dụ, thiết lập, huỷ bỏ) và các dịch vụ giá trị gia tăng trên mạng chuyển mạch gói. Những giao thức SIP (Session Initiation Protocol), MGCP (Media Gateway Control Protocol), MEGACO (MEdia GAteway COntrol , ITU-T H.248) and ITU-T H.323 đang được khai thác sử dụng trong NGN.
• Công nghệ quang: NGN có công nghệ chính yếu là công nghệ quang. Trong hầu hết trường hợp, các kết nối cáp quang sử dụng kỹ thuật WDM (wavelength division multiplexing ) để gia tăng khả năng và cho phép truyền dẫn nhiều loại dịch vụ độc lập trên cùng sợi cáp, như vậy sẽ làm đơn giản thiết bị đầu cuối mạng
Sau đây là một số thành phần chủ yếu của mạng quang:
• Ghép kênh phân chia theo bước sóng(Wavelength Division Multiplexing):
WDM cho phép truyền dẫn các dịch vụ khác nhau độc lập trên cùng sợi cáp quang, chính vì vậy đơn giản thiết bị đầu cuối mạng. WDM đạt được điều này bằng cách chỉ định rõ luồng dữ liệu riêng ứng với một bước sóng riêng (ví dụ, có 160 bước sóng, mỗi bước sóng có thể mang được dòng dữ liệu 10Gbps). carrying 10Gbit/s).
• Optical Add/Drop Multiplexing : Một vấn đề chung với mạng quang truyền thống là để thêm, nhận lại được thông tin thì trước hết tín hiệu quang cần được chuyển đổi ngược lại tín hiệu điện. Những sự chuyển đổi điện <-> quang như vậy yêu cầu những phần cứng trợ giúp khác gia tăng sự phức tạp, tiêu thụ nguồn…tiêu tốn tiền. Với giải pháp OADM (Optical Add/Drop Multiplexing ) được sử dụng sẽ hiệu quả về giá cũng như trễ sẽ bị hạn chế.
• Optical Switches/Cross connects: OXC (Optical switching ) phân tách các bước sóng quang riêng biệt và chuyển tiếp các bước sóng quang đến những tuyến khác nhau. Việc này loại bỏ nhu cầu sử dụng thiết bị chuyển đổi điện-quang.
• All Optical Networks: Mở rộng ý tưởng hơn nữa mang đến một khái niệm của mạng toàn quang AON (all optical network ), khi mà với AON thì chỉ có tín hiệu quang được truyền, sự chuyển đổi điện-quang chỉ xảy ra tại các điểm tạo/khai thác dữ liệu.
• Optical Access Networks: Công nghệ quang bắt đầu được sử dụng trong các phân đoạn mạng NGN gồm đường dẫn cáp quang đến building FTTB (fibre to the building ),đường dẫn cáp quang đến nhà FTTH (fibre to the home ). Sự bắt đầu từ các nước như Norway, Italy, France, Germany, Australia, Canada, Japan, Korea. Triển khai mạng quang thụ động PON (passive optical networks) hiện nay cho phép nhiều người dùng được nối kết hệ thống quang mà không cần triển khai thiết bị đắt tiền tại mỗi nút mạng. Những mạng nhiều người dùng sẽ có thể có những đường cáp quang kết nối trực tiếp đến nhà cung cấp dịch vụ của họ.
CHƯƠNG 5
THIẾT KẾ, XÂY DỰNG HỆ THỐNG THÔNG TIN 5.1. Giới thiệu
Trong các phần mục của luận văn đề cập tương đối chi tiết nội dung và kiến thức cơ bản để triền khai một hệ thống thông tin. Để cụ thể một hệ thống thông tin được triển khai, ta phân tích hệ thống mạng của VĂN PHÒNG QUỐC HỘI.
Để đáp ứng yêu cầu mở rộng diện tích làm việc cho các đại biểu chuyên trách, đội ngũ thư ký và các cán bộ phục vụ Quốc hội khoá XI, Văn phòng Quốc hội được phê duyệt để tiếp nhận khu trụ sở mới tại 37-Hùng Vương (trước đây là khu nhà khách của Văn phòng Chính phủ). Văn phòng Quốc hội đã triển khai việc tiếp nhận hai khu nhà 3 tầng và 5 tầng tại 37-Hùng Vương và di chuyển một số đơn vị thuộc Văn phòng Quốc hội sang khu trụ sở mới. Kế hoạch di chuyển một phần Văn phòng Quốc hội tới khu trụ sở mới bao gồm nhiều hạng mục khác nhau, một số hạng mục trong đó đã được hoàn thành, một số đang trong quá trình triển khai hoặc trong quá trình chuẩn bị. Một trong những hạng mục quan trọng nhất trong kế hoạch di chuyển đó là triển khai xây dựng một hệ thống thông tin tại khu trụ sở mới nhằm đảm bảo duy trì hoạt động liên tục của các đơn vị tại khu trụ sở mới.
Trên cơ sở những hoạt động đang được tiến hành để tiếp nhận khu trụ sở mới, Văn phòng Quốc hội đồng ý phê duyệt dự án “Xây dựng hệ thống thông tin Văn phòng Quốc hội 37 – Hùng Vương”, với tổng dự toán là 6.166.658.366 (Sáu tỷ một trăm sáu mươi sáu triệu sáu trăm năm mươi tám nghìn ba trăm sáu mươi sáu đồng chẵn).
Giải pháp kỹ thuật thiết kế hệ thống thông tin bao gồm các phần: • Hệ thống mạng tại 37 Hùng Vương
• Hệ thống kết nối các địa điểm • Hệ thống truy nhập internet • Hệ thống phần mềm ứng dụng
• Hệ thống bảo mật và an ninh thông tin • Kế hoạch triển khai.
• Kế hoạch dự phòng.
5.2. Phân tích yêu cầu
Xây dựng danh sách các hạng mục công việc chính cần tiến hành trong dự án, cụ thể là:
1. Xây dựng hệ thống cơ sở hạ tầng mạng thông tin bao gồm hệ thống mạng LAN tại 37 Hùng Vương, hệ thống mạng kết nối với trụ sở Ngô Quyền và Bắc Sơn.
Mạng LAN tại 37 Hùng Vương được thiết kế gồm có:
• Hệ thống phòng máy chủ trung tâm được lắp đặt cho: o Hệ thống máy chủ nội bộ
o Hệ thống máy chủ Intranet o Hệ thống kết nối các Switch
• Hệ thống cáp mạng tại hai toà nhà A và D
Kết nối trụ sở 37 Hùng Vương với trụ sở Ngô Quyền, và Bắc Sơn:
Qua khảo sát đáng giá, chọn phương án kết nối dùng đường truyền tốc độ cao ISDN đã được lựa chọn vì các lý do:
• Đường truyền ISDN là đường truyền số đồng bộ, độ an toàn dữ liệu trên đường truyền cao hơn rất nhiều so với PSTN; đường truyền ISDN truyền dữ liệu dựa trên việc ghép kênh thông tin, trong đó có một kênh báo hiệu có tác dụng giám sát và điều khiển luồng dữ liệu truyền đi.
• Kết nối ISDN có tốc độ kết nối theo tính toán lý thuyết sẽ cao hơn khoảng 3 đến 5 lần (tính cho một đường 128Kbps) so với kết nối PSTN.
• Tốc độ tạo lập kết nối ISDN rất nhanh, chỉ sau 1 giây quá trình kết nối đã hoàn thành. Đối với PSTN quá trình kết nối phải thực hiện trong vòng vài chục giây.
• ISDN hỗ trợ cả tín hiệu truyền là âm thanh (Voice) và dữ liệu (data) trên cùng một đường truyền, do đó khả năng ứng dụng rất rộng, đáp ứng được các yêu cầu phức tạp của các ứng dụng được thiết kế trên hệ thống, đây chính là điểm mà PSTN không làm được.
Máy chủ là một trong những thành phần chính quyết định hiệu năng và độ tin cậy của toàn hệ thống. Trong các hệ thống mạng, máy chủ thường đóng vai trò cung cấp các dịch vụ ứng dụng cho các máy trạm như dịch vụ chia sẻ tệp, dịch vụ in ấn, dịch vụ thư điện tử.
Để có thể thực hiện những công việc như vậy, máy chủ phải là các máy tính được thiết kế đặc biệt đạt hiệu năng và độ ổn định cao. Các máy chủ phải có khả năng xử lý đồng thời nhiều công việc và có các hệ thống dự phòng đầy đủ. Các máy chủ cũng phải có các thiết kế một cách chuyên dụng để đạt được tối ưu đối với công việc mà nó đảm trách. Khi thiết kế một hệ thống mạng, lựa chọn máy chủ là một bước quan trọng có vai trò quyết định đến khả năng thực thi của toàn bộ hệ thống.
Hệ thống máy chủ tại 37 Hùng Vương được phân chia theo các chức năng phục vụ trong mạng.
3. Trang bị phần mềm hệ thống, phần mềm dịch vụ và phần mềm ứng dụng.
Hệ thống thư điện tử:
• Thiết lập hệ thống thư điện tử thông nhất trong toàn bộ Văn phòng Quốc hội, đảm bảo việc trao đổi thư điện tử giữa các thành viên trong văn phòng hiệu quả, dễ dàng, không phụ thuộc vào vị trí làm việc.
• Hệ thống máy chủ Mail Server đặt tại 37 Hùng Vương, giao tiếp với hệ thống Internet E-mail, sử dụng một tên miền phân giải cho E-mail là QH.GOV.VN.
Hệ thống cung cấp dịch vụ Web:
Sử dụng Web Server IIS, sản phẩm của Microsoft cho phép người dùng trên mạng Internet truy cập tìm kiếm thông tin luật, thông tin dân nguyện…với CSDL SQL.
4. Kết nối đường Internet trực tiếp phục vụ nhu cầu truy nhập Internet của người sử dụng trong hệ thống thông tin Quốc hội.
• Kết nối toàn bộ hệ thống mạng với Internet qua đường truyền thuê riêng, tốc độ 128 Kbps. Các thiết bị phục vụ kết nối Internet (Router, HTU, mail server, cache server ... ) sẽ được đặt tại phòng máy chủ tại 37 Hùng Vương
• Hệ thống tại số 2 Bắc Sơn và 35 Ngô Quyền thông qua kết nối với 37 Hùng Vương (đường truyền ISDN) để truy nhập Internet
5. Cung cấp dịch vụ truy nhập từ xa, cho phép người dùng có thể dùng dịch vụ Dial-up quay số đăng nhập dịch vụ mạng VPQH
• Hệ thống cho phép người sử dụng từ xa (ở nhà, hoặc nơi khác), kết nối vào mạng và làm việc bình thường thông qua đường điện thoại.
• Máy chủ xác thực người dùng (Authentication, Authorization & Accounting – AAA server) được thiết đặt tại hệ thống mạng kết nối các server để giám sát các phiên liên lạc của người dùng từ xa. Firewall PIX được thiết đặt để cho phép trao đổi các thông tin xác thực và ghi log giữa router và AAA server • Cũng trên nhánh mạng kết nối giữa PIX firewall và router phục vụ truy nhập
từ xa, còn có máy chủ phục vụ kết nối với hệ thống mạng của chính phủ (CPnet). Máy chủ này được kết nối với hệ thống mạng cục bộ qua firewall PIX, được kết nối với CPnet bằng phương thức quay số qua modem.
6. Trang bị hệ thống an ninh mạng và đưa ra các khuyến nghị đối với an ninh thông tin.
• Đảm bảo ngăn chặn các truy nhập bất hợp pháp từ bên ngoài Internet vào hệ thống mạng của Văn phòng Quốc hội, cũng như các truy nhập không đúng thẩm quyền từ hệ thống mạng nội bộ vào các máy chủ, trong khi vẫn đảm bảo các truy nhập hợp pháp được thông suốt và hiệu quả
• Chủ động phát hiện, ngăn chặn các hoạt động nguy hiểm • Ghi nhật ký (log) các hoạt động diễn ra trên hệ thống mạng
7. Trang bị máy trạm, các thiết bị văn phòng.
5.2. Thiết kế, xây dựng hạ tầng thông tin
Hình bên dưới là sơ đồ tổng thể của toàn mạng của VPQH, ta thấy kiến trúc mạng bao gồm các khu vực thành phần kết nối qua thiết bị an ninh mạng Pix firewall 515 của Cisco.
2950-24 37 Hïng V ¬ng Firewall PIX 515 Router 2611XM Router 3550- 12T ISDN 128 Kbps PDC DNS Internet PSTN Leased line 128 Kbps Ng êi dïng tõ xa Router 2511 ISDN BDC DNS Database Web IDS Content Engine 172.18.x.x 172.19.4.x 172.19.5.x 172.19.1.x 172.19.2.x 172.19.3.x 2 B¾c S¬n BDC DNS ISDN Router 35 Ng« QuyÒn QH.GOV.VN Mail AAA CPnet
a. Đánh địa chỉ IP cho toàn mạng:
Để đảm bảo hoạt động bình thường của hệ thống, địa chỉ mạng tại 37 Hùng Vương và tại 2 địa điểm trên phải thỏa mãn các yêu cầu sau:
• Địa chỉ không trùng lặp
• Sử dụng các địa chỉ IP dùng riêng (Private IP address): địa chỉ trong các lớp 10.x.x.x, 172.16.x.x đến 172.31.x.x và 192.168.x.x
• Đảm bảo thay đổi ít nhất, tránh ảnh hưởng đến hoạt động của hệ thống hiện có.
Trên cơ sở các yêu cầu này, địa chỉ IP phải được cấp phát và sử dụng như sau: • Hệ thống tại 35 Ngô Quyền
o Địa chỉ mạng 172.16.x.x (netmask 255.255.0.0)
o Router ISDN (dùng kết nối với 37 Hùng Vương) được đặt địa chỉ là 172.16.1.1
o Các thiết bị trên mạng sử dụng Router ISDN làm default gateway
o Các máy chủ tại 35 Ngô Quyền được cấp phát địa chỉ tĩnh, các máy trạm được cấp phát địa chỉ động thông qua dịch vụ DHCP trên máy chủ.
• Hệ thống tại 2 Bắc Sơn
o Router ISDN (dùng kết nối với 37 Hùng Vương) được đặt địa chỉ là 172.17.1.1
o Các thiết bị trên mạng sử dụng Router ISDN làm default gateway
o Các máy chủ tại 2 Bắc Sơn được cấp phát địa chỉ tĩnh, các máy trạm được cấp phát địa chỉ động thông qua dịch vụ DHCP trên máy chủ. • Hệ thống tại 37 Hùng Vương