CễNG TY ĐIỆN LỰC HẢI PHềNGCễNG TY ĐIỆN LỰC HẢI PHềNG
II. PHƯƠNG ÁN THỰC HIỆN
2.3 Thuyết minh hệ thống kết nối
Hệ thống trung tâm của điện lực Hải Phòng hiện tại đang nằm rải rác và không có khả năng đồng bộ cao. Điều này sẽ dẫn đến những khó khăn rất lớn trong quá trình hỗ trợ duy trì hoạt động mạng và khắc phục sự cố. Các thiết bị không được trang bị đồng bộ sẽ làm giảm đáng kể khả năng hoạt động của lưu lượng mạng.
Mô tả mô hình
Trên switch layer 3 ta thực hiện chia VLAN cho các đơn vị, hệ thống mạng trung tâm sẽ trực thuộc VLAN 1 và là VLAN quản lý. Việc thực hiện chia VLAN trên switch sẽ đem lại những lợi điểm sau :
Tăng cường hiệu năng hoạt động của hệ thống, miền broadcast domain được chia nhỏ thành các miền broadcast domain nhỏ hơn, giúp cho hệ thống mạng của Hải Phòng PC giảm thiểu được ảnh hưởng của broadcast và virus vào toàn bộ hệ thống so với mạng phẳng.
Tăng cường khả năng bảo mật của hệ thống, có thể mềm dẻo hơn trong quá trình thực hiện áp các chính sách về quản lý truy xuất vào các miền broadcast domain khác nhau dựa trên cấu hình các thiết bị layer 3.
Thực hiện routing trực tiếp trên switch Layer 3 sẽ đem lại hiệu quả hoạt động cao hơn so với sử dụng router, nhờ việc xử lý hoàn toàn thực hiện trên phần cứng.
Mỗi vùng VLAN sẽ được cấp một dải địa chỉ IP riêng theo quy hoạch, giúp cho việc routing và summary các route dễ dàng, nhằm tăng cường hiệu năng hoạt động của router và giảm kích cỡ của bảng định tuyến sử dụng trên router.
Theo mô hình kết nối logic như trên, hệ thống mạng máy tính của Hải Phòng PC được thiết kế theo mô hình phân cấp 3 lớp của Cisco, dựa theo mô hình này, sẽ tăng cường tốt nhất cho khả năng của hệ thống về :
o Quản lý tập trung.
o Phân cấp dịch vụ chính xác
o Tăng cường khả năng bảo mật và giám sát hệ thống o Dễ dàng mở rộng hệ thống cũng như dịch vụ về sau.
Trên router thực hiện các chức năng routing các route summary vào mạng WAN của Tổng công ty, các phân cấp dịch vụ dùng chung thực hiện trong mạng WAN tổng công ty. Đảm bảo hệ thống luôn hoạt động thông suốt.
Router còn có khả năng cung cấp thêm dịch vụ truy nhập từ xa thông qua kết nối quay số vào hệ thống mạng điện thoại công cộng, phương án này có thể được sử dụng cho các đơn vị thực hiện truy xuất từ xa vào hệ thống mạng công ty trong trường hợp không có kết nối leased line hoặc đường kết nối chính bị sự cố.
Các kết nối trong nội bộ mạng trung tâm của Điện lực Hải Phòng sẽ được thực hiện với tốc độ cao – high speed, từ 100 Mbps trở lên. Kết nối WAN tới mạng WAN EVN và các đơn vị sẽ thực hiện với tốc độ 2Mbps thông qua đường quang.
Ngoài các chính sách phân quyền trong hệ thống dựa trên yêu cầu về dịch vụ, các chính sách về bảo mật và quản trị hệ thống cũng được quy hoạch theo yêu cầu thực tế và mô hình mạng đưa ra.
Dựa trên mô hình kết nối mới ta nhận thấy :
Các Server cung cấp dịch vụ ra ngoài internet sẽ được đưa vào miền DMZ, mọi truy xuất vào dịch vụ, truy xuất tới các server này đều được quản lý và giám sát bởi Firewall cứng. Điều này sẽ làm giảm tối đa khả năng tấn công từ bên ngoài vào các dịch vụ public của công ty. Tăng khả năng sẵn sàng của hệ thống, đảm bảo chất lượng dịch vụ.
Các Server sẽ được phân loại làm 2 loại :
o Các server công ty (Enterprise Server) : Thực hiện cung cấp dịch vụ cho toàn bộ hệ thống các user tại mạng LAN trung tâm cũng như đơn vị, đây là các server dùng chung có ý nghĩa quan trọng quyết định tới hoạt động cung cấp dịch vụ trong hệ thống mạng của công ty. Các server này sẽ được tập trung vào cùng một miền cung cấp dịch vụ - Server Farm nhằm :
Tăng cường khả năng quản lý tập trung các thiết bị.
Dễ dàng và nhanh chóng khắc phục được sự cố
Tăng cường thêm khả năng quản trị tập trung dựa trên các chính sách thực hiện trên các server và miền server farm, thực hiện tại các thiết bị mạng.
Dễ dàng thực hiện các phương án dự phòng.
o Các server phục vụ cho các nhóm chức năng khác nhau (Workgroup Server) : Thực hiện các chức năng giành riêng cho các nhóm chức năng.
Ví dụ : Server tài chính kế toàn, chạy các chương trình tài chính kế toàn sẽ được đặt tại phòng tài chính kế toàn và chỉ cho phép các user tài chính kế toàn sử dụng các ứng dụng trên server này. Việc thực hiện các server work-group như vậy sẽ đem lại những ưu điểm sau :
Các đơn vị tự quản lý những nguồn tài nguyên riêng trong nhóm.
Luồng dữ liệu được tăng cường tính bảo mật trong nhóm nội bộ.
Không làm tiêu tốn băng thông mạng bởi những nguồn lưu lượng không có ý nghĩa truyền trên hệ thống đến các nhóm chức năng khác.
Đối với các kết nối tới hệ thống server farm khi đã được thực hiện tập trung tại một vị trí. Đối với những server mang dữ liệu quan trọng cần được thực hiện các
phương án dự phòng về đường truyền cũng như dự phòng về dịch vụ cho hệ thống (dự phòng Server).
Thiết bị Firewall cứng sẽ được tích hợp luôn tính năng VPN Server dựa trên flatforrm nhằm tăng cường khả năng xử lý của hệ thống và tăng tính bảo mật của các truy nhập vào hệ thống từ bên ngoài internet, trên Firewall này ta sẽ cấu hình thực hiện quá trình VPN cho các user remote từ bên ngoài vào trong mạng và từ bên trong ra bên ngoài, sang các mạng khác. Đồng thời thực hiện đặt các chính sách phân quyền cho các nhóm user trong hệ thống.
Các truy nhập từ trong local sẽ được cho phép sử dụng nguồn tài nguyên nội bộ trong hệ thống dựa trên chính sách phân quyền truy nhập từ nhà quản trị. Ví dụ : Phòng kỹ thuật chỉ có thể sử dụng được nguồn tài nguyên của phòng kỹ thuật mà không thể xem các thông tin trong nguồn tài nguyên của phòng tài chính kế toán.
Mô tả phương thức thực hiện
Thực hiện cấu hình hệ thống theo mô hình đưa ra.
Thực hiện quy hoạch lại IP theo quy hoạch chuẩn ban đầu. Cấu hình lại các thiết bị mạng liên quan.
Cấu hình Firewall theo yêu cầu đảm bảo tính bảo mật. Đối với các dịch vụ public bên ngoài như Web, email ta thực hiện NAT tĩnh trên Firewall để đảm bảo cho dịch vụ luôn hoạt động ổn định. Thực hiện phân quyền nghiêm ngặt, như chỉ cho các dịch vụ Web (http, https, www trên máy web server) và dịch vụ truyền file (FTP trên máy shared file server) được up ra ngoài internet với nội dung được quản lý.
Cấu hình chặn tất cả các loại tấn công từ bên ngoài vào hệ thống inside và DMZ. Cung cấp quyền truy xuất cho các accout nội bộ.
Trên hệ thống máy chủ cấu hình dịch vụ và phân quyền truy xuất cho các users theo đúng các cấp chức năng.
Máy chủ DC/ DHCP/ DNS thực hiện cấu hình quản lý và phân quyền cho toàn bộ các users trong hệ thống, cung cấp dịch vụ DNS và DHCP.
Máy chủ Application cung cấp các dịch vụ dùng chung cho tất cả các user trong hệ thống hay cho các user thuộc khối quản lý, khối trung tâm. Ví dụ : Máy chủ Viễn thông, CMIS, FMIS
Máy chủ Monitor giám sát toàn bộ hoạt động hệ thống mạng của Điện lực Hải Phòng, đưa ra các cảnh báo và thống kê các lỗi xảy ra. Giúp cho khả năng khắc phục sự cố được dễ dàng, nhanh chóng và nguồn dữ liệu quý giá khi thực hiện tối ưu hệ thống dựa trên các báo cáo thống kê về hoạt động của hệ thống.
Trên Switch Layer 3 thực hiện cấu hình routing interVLAN, routing internet và routing tới mạng WAN. Thực hiện áp các Access Control List tránh cho việc virus lan truyền trong mạng, đặt các chính sách truy nhập lớp mạng.
Tại router thực hiên routing vào mạng WAN EVN, thực hiện cấu hình QoS cho HNTH, cấu hình remote access cho dialup.
Kết luận
Với các yếu tố thực hiện như trên, mô hình đưa ra đảm bảo đáp ứng được đầy đủ các yêu cầu về kỹ thuật cũng như trong quá trình quản lý giám sát hệ thống. Việc áp các chính sách đưa ra theo yêu cầu của đơn vị sẽ được thực hiện trong quá trình cấu hình các thiết bị cho phù hợp.
Với mô hình trên sẽ đảm bảo cho hệ thống có các yếu tố sau :
Tăng cường hiệu năng hoạt động của hệ thống một cách tối ưu tùy theo yêu cầu nhiệm vụ của từng đơn vị, từng nhóm users...
Tăng cường khả năng quản trị tập trung của hệ thống.
Quản lý truy xuất và phân quyền tập trung dễ dàng.
Tăng cường khả năng bảo mật trong hệ thống.
Giúp cho việc giám sát và khắc phục sự cố nhanh chóng.
Khả năng mở rộng dễ dàng.
Với mô hình phân cấp, các lớp thiết bị được phân chia quyền và cấu hình chức năng một cỏch rừ ràng, điều này cũng là một lợi thế đối với người nắm hệ thống và chuyển giao hệ thống sẽ dễ dàng và khoa học hơn.
Hệ thống kế nối WAN cho các đơn vị
Sơ đồ logic của hệ thống kết nối tới các đơn vị.
Thuyết minh và phương án thực hiện
Dựa trên mô hình kết nối vật lý và logic ở trên ta thực hiện như sau :
Tại mỗi đơn vị được quy hoạch một dải địa chỉ IP theo quy hoạch chuẩn và được chia thành một VLAN riêng.
Đường internet của các đơn vị sẽ được quản lý và dùng chung với đường mạng trên của Trung tâm.
Các default gateway sẽ được thực hiện tại switch Layer 3, tại các interface VLAN, switch này cũng có chức năng routing giữa các mạng trong hệ thống.
Hiện tại hệ thống mạng của các đơn vị còn nhỏ gọn, được kết nối tới mạng trung tâm thông qua các đường cáp quang và được chuyên đổi trực tiếp sang chuẩn Ethernet. Tại các đơn vị thực hiện thiết bị kết nối WAN đồng thời cũng là thiết bị kết nối các user là hệ thống Switch hp 2524, 24 port Ethernet 10/100 BaseT.
Mô hình :
Để thực hiện được các yêu cầu chia VLAN đối với các đơn vị thực hiện kết nối chung chuyển thông qua đường quang của đơn vị khác lên tông công ty, ta thực hiện cấu hình VLAN trên switch của đơn vị tại các port nối tới user. Tại các port nối các switch với nhau được cấu hình trunk.
Đối với các đơn vị kết nối trực tiếp tới switch Layer 3, ta thực hiện cấu hình VLAN trực tiếp trên các Switch Layer3.
Tại Switch Layer 3 sẽ thực hiện routing cho các đơn vị vào hệ thống mạng trung tâm cũng như mạng EVN WAN.
Đối với những luồng dữ liệu truy xuất ra internet sẽ được switch layer 3 routing tới Firewall. Tại Firewall sẽ thực hiện các luật quản lý việc truy xuất ra internet và quản lý nội dung truy nhập, chống các tấn công từ bên ngoài vào hệ thống của trung tâm cũng như của các đơn vị.
Các đơn vị có khả năng sử dụng các ứng dụng và nguồn tài nguyên dùng chung trong pham vị phân quyền được quy hoạch cho các đơn vị.
Với cách thực hiện theo mô hình trên sẽ có những lợi điểm sau :
Mô hình hệ thống các đơn vị thực hiện độc lập, các lỗi hệ thống chỉ mang tính cục bộ.
Phân nhỏ các đơn vị thành các broadcast domain sẽ giúp giảm bớt sự tiêu tốn băng thông bởi các gói tin broadcast vô nghĩa trong mạng, giảm ảnh hưởng Virus từ một đơn vị tới các đơn vị khác.
Đảm bảo phân quyền và quản lý tập trung, tân dụng tối đa nguồn tài nguyên dùng chung.
Bên cạnh đó là các nhược điểm :
Switch layer 3 sẽ là thiết bị tập trung hầu hết băng thông, với khả năng xử lý của switch các luồng lưu lượng này hoàn toàn có khả năng được đáp ứng tốt về hiệu năng hoạt động. Tuy nhiên, khi có sự cố gây hỏng switch toàn bộ hệ thống sẽ bị gián đoan.
Kết nối internet phục vụ cho Trung tâm và các đơn vị, đồng thời cũng có khả năng được sử dụng làm kết nối VPN đối với remote access users. Do đó để quản trị và sử dụng hiệu quả kết nối internet cần :
o Tốc độ truyền cao đảm bảo cho hoạt động hệ thống o Phân quyền truy xuất tới internet hợp lý
o Trình độ quản trị của quản trị mạng phải được đào tạo bài bản, để có khả năng quản trị hệ thống hoạt động tốt.
Để khắc phục các nhược điểm trên cần :
Trang bị switch dự phòng cho Switch Layer 3 tại trung tâm. Yêu cầu về thiết bị dựng phòng gồm :
Switch Layer 3 hoặc layer 2 có khả năng cấu hình VLAN.
Cấu hình cao để hỗ trợ là điểm tập trung cho các luồng lưu lượng và đảm bảo hoạt động ổn định
Có cấu hình dự phòng trên thiết bị router tương ứng với thiết bị dự phòng.