2. Thiết kế và thực hiện
2.2.Mô hình Mạng và phần cứng
1.0. Lựa chọn thiết bị Mạng
Hiện nay trên thế giới có nhiều hãng sản xuất thiết bị mạng, nh−ng chỉ có một số hãng chiếm đ−ợc thị phần lớn là: Cisco, BayNetwork, Lucent, 3COM...
Chúng tôi lựa chọn sản phẩm thiết bị của Cisco vì:
Sản phẩm Router của hãng Cisco chiếm khoảng 70% thị phần sản phẩm về thiết bị mạng trên thế giới.
Phần mềm IOS (Internetworking Operating System) trong các thiết bị mạng của Cisco đ−ợc đánh giá là tốt nhất, luôn luôn đ−ợc phát triển đáp ứng nhu cầu ngày càng tăng.
Phần mềm IOS của Cisco có thêm các dịch vụ FireWall, Encryption để đảm bảo an ninh mạng.
Sản phẩm Router của Cisco đa dạng về chủng loại, phần mềm có thể lựa chọn các loại giao thức và dịch vụ tuỳ theo nhu cầu của ng−ời dùng.
Trên mạng của Tổng Công ty hiện đang sử dụng nhiều thiết bị mạng của Cisco, nhiều thiết bị có thể đ−ợc tái sử dụng.
Cisco có hệ thống các Trung tâm đào tạo có quy mô tại các vùng trên thế giới và hiện nay tại Việt Nam có các Trung tâm đào tạo Cisco đặt tại Thành phố Hồ Chí Minh và Hà Nội. Do đó việc hỗ trợ trong vấn đề đào tạo kỹ thuật viên Cisco tại Việt Nam đ−ợc dễ dàng.
2.0. Thiết kế mô hình mạng
Để phục vụ tốt việc quản trị hệ thống và tăng c−ờng khả năng thực thi của mạng, cần phải phân định mạng thành các lớp phân cấp nh− sau:
Lớp Core:
Sử dụng giải pháp Switch có hỗ trợ các cổng 10/100 Mbps cho các kết nối mạng LAN ở gần (<100 mét) và sẵn sàng cung cấp các slot cho cổng GBIC cho việc kết nối mạng LAN to LAN với khoảng cách từ xa trên 100 mét cho đến hàng chục km. Vì vậy lớp Core sẽ tập trung vào sản phẩm Cisco 3524 XL (24 port 10/100, 2 slot GBIC).
Lớp Core sẽ cung cấp các cổng 10/100Mbps, hoặc GBIC đến các lớp:
- Kết nối tới lớp Distribution (là các Switch phân bổ tại các khu vực tập trung trong mạng LAN tại các đơn vị: Khu vực Văn phòng, các ban trực thuộc Tổng Công ty, hoặc trung tâm mạng của Văn phòng,…
- Kết nối trực tiếp với các máy chủ phục vụ ứng dụng chính trong mạng hỗ trợ Gigabits (VD: Database Server,…)
Lớp Distribution:
Lớp Distribution sử dụng cho các kết nối tập trung cho các khu vực có l−u l−ợng sử dụng lớn (khu vực điều hành sản xuất kinh doanh, khu vực văn phòng, hoặc điểm tập trung của mạng các ban, khối trực thuộc).
Đối với các điểm này, thiết bị lựa chọn sử dụng là các switch có 12 port 10/100, hoặc 24 port 10/100 tuỳ theo số l−ợng máy trạm; và sử dụng các switch có cổng GBIC nếu cần kết nối sử dụng cáp quang đến trung tâm mạng.
Lớp Access để sử dụng cho từng nhóm máy trạm gần nhau, không đòi hỏi l−u l−ợng dữ liệu lớn (VD: các nhóm máy của khu vực văn phòng, máy của ng−ời dùng ở khu vực các ban,…).
Thiết bị mạng sử dụng cho lớp này có thể sử dụng thiết bị Switch/Hub 10/100Mbps, với một đ−ờng kết nối Uplink tới thiết bị Switch của lớp Distribution.
Mô hình mẫu:
Hình 22.Mô hình phân lớp mạng
Theo mô hình này, chức năng của từng thiết bị trong mạng nh− sau:
Router 2621 : Làm nhiệm vụ kết nối mạng của Văn phòng với mạng Internet. Router 3662 : Remote Access Server
Switch 4006 : Center Switch kết nối các máy chủ dịch vụ Intranet và các mạng LAN khác.
Switch 3548, 2950T kết nối các máy trong các LAN và kết nối với Switch trung tâm.
3.0. Địa chỉ IP và cách đặt tên vùng cho toàn mạng
Một số quy tắc khi đánh địa chỉ IP
Địa chỉ IP của các máy trạm trong từng mạng riêng của các Ban đ−ợc đánh bắt đầu từ địa chỉ thứ hai của lớp mạng đ−ợc cấp cho ban đó. Ví dụ, lớp mạng cấp cho ban Viễn thông là 10.1.12.0/24 thì các máy trạm trong mạng sẽ đ−ợc đánh địa chỉ từ 10.1.12.2 đến 10.1.12.254
Default gateway cho các máy trạm trong từng mạng là địa chỉ IP đầu tiên trong lớp mạng đ−ợc cấp cho mạng đó. Ví dụ, default gateway cho tất cả các máy trạm trong Ban Viễn thông là 10.1.12.1/24
DNS: Server ứng dụng chạy BIND sẽ quản lý DNS cho toàn bộ mạng nội bộ của VNPT.
Tổ chức địa chỉ IP
Bảng phân bố địa chỉ IP cho các đơn vị trong Tổng Công ty B−u chính Viễn thông Việt Nam STT Đơn vị Địa chỉ IP/Subnet VLAN ID Module/ Port
Các đơn vị đặt tại 18 Nguyễn Du
1 Văn phòng TCT – 18 Nguyễn Du 10.1.1.0/24 11 2/3-18
2 Ban thi đua truyền thống 10.1.6.0/24 12 2/28
3 Ban tổ chức cán bộ lao động 10.1.7.0/24 13 2/29
4 Ban Kế hoạch 10.1.8.0/24 14 2/30
5 Ban đầu t− phát triển 10.1.9.0/24 15 2/31
6 Ban kế toán thống kê tài chính 10.1.10.0/24 16 2/32
7 Ban hợp tác quốc tế 10.1.11.0/24 17 2/33
STT Đơn vị Địa chỉ IP/Subnet VLAN ID Module/ Port 9 Internal gateway 192.168.2.0/24 19 2/19 10 DMZ Network 192.168.1.0/24
Nối riêng trên 01 Switch 2950 Các đơn vị đặt tại 57A Huỳnh Thúc Kháng
11 Văn phòng TCT – 57A Huỳnh Thúc
Kháng 10.1.32.0/24 31
12 Trung tâm điều hành – Ban Viễn
thông 10.1.33.0/24 32
13 Ban Khoa học Công nghệ – công
nghiệp 10.1.34.0/24 33
14 Ban kiểm toán nội bộ 10.1.35.0/24 34
15 Ban Bảo vệ 10.1.36.0/24 35
16 Ban B−u chính 10.1.37.0/24 36
17 Ban giá c−ớc tiếp thị 10.1.38.0/24 37
18 Ban thanh tra 10.1.39.0/24 38
19 Ban Vinasat 10.1.40.0/24 39
20 Ban quản lý dự án phúc lợi B−u điện 10.1.41.0/24 40 21 Ban phát triển B−u chính Viễn thông
nông thôn 10.1.42.0/24 41
Bảng 6. Bảng phân bố địa chỉ IP cho các cơ quan VP Tổng Công ty
Tổ chức đặt tên vùng
Nhằm thống nhất về tên gọi và đặt tên vùng cho các ban và bộ phận cần thống nhất cách đặt tên nh− sau:
Tên domain vùng Intranet của Tổng công ty B−u Chính Viễn thông: VNPT Các ban sẽ sử dụng tên viết tắt theo quy định hiện hành để làm domain vùng. Nh− vậy, domain vùng của các Ban sẽ là: zzz.VNPT.
Ví dụ nếu mã của ban của Viễn thông là: VT thì domain vùng của ban Viễn thông sẽ là: VT.VNPT
4.0. Cấu hình hệ thống mạng
Internal Gateway
Internal Gateway là một cổng trong 32 cổng của Switch. Cổng này đ−ợc kết nối với cổng “Inside” của PIX Firewall. Đây chính là default gateway của toàn bộ hệ thống mạng.
Khu vực DMZ
Khu vực DMZ của mạng VNPT đ−ợc kết nối với hệ thống thông qua một Cisco 2950 Switch. Switch này đ−ợc nối vào một cổng Ethernet trên PIX Firewall. Giao dịch giữa các máy chủ trên mạng đ−ợc định tuyến bởi PIX Firewall. Tuy nhiên địa chỉ IP của các máy trong DMZ sẽ không là vùng địa chỉ Internet (203.162.x.x) mà ta đặt riêng một lớp địa chỉ nội bộ cho vùng này và địa chỉ đ−ợc chọn là 192.168.x.x, các máy này sẽ đ−ợc NAT địa chỉ thành các địa chỉ Internet đ−ợc cấp.
Bên cạnh đó, Router 3662 (Network Access Server) cũng đ−ợc kết nối vào DMZ Switch. Khi đó, mỗi khi một ng−ời dùng quay số vào hệ thống sẽ đ−ợc cấp địa chỉ IP trong khoảng 192.168.x.200 đến 192.168.x.254.
Sơ đồ phân chia cổng và các VLAN trên Switch 4006 đ−ợc thể hiện trong hình vẽ d−ới đây:
3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34
Hình 23.Sơ đồ phân chia cổng và VLAN trên Switch Chú thích:
Trên Switch, ta chia 32 cổng thành 10 VLAN
Các cổng từ 20-27 thuộc VLAN1 (VLAN ngầm định của hệ thống)
Các cổng từ 28-34 lần l−ợt đ−ợc gán cho các VLAN từ 12-18. Mỗi VLAN là một mạng riêng của một ban trong khu vực 18 Nguyễn Du
Cổng 19 thuộc VLAN19 – Cổng này đ−ợc cấu hình làm Internal Gateway Các cổng từ 3-18 thuộc VLAN11
Cấu hình cơ bản
Để đảm bảo cho hệ thống mạng nội bộ và mạng DMZ của hệ thống, kiến trúc bức t−ờng lửa đ−ợc kết nối nh− trên, hình thành nên 3 kết nối đến 3 khu vực mạng con đ−ợc chia thành các cấp độ an toàn khác nhau:
Thông số các cổng kết nối:
Cổng Firewall Tên Địa chỉ IP Mức độ an toàn
Tốc độ Ghi chú
Ethernet0 Outside 203.162.x.x 0 100 Kết nối tới Internet Ethernet1 Inside 192.168.2.2 100 100 Kết nối với mạng nội
bộ
Ethernet2 DMZ 192.168.1.1 90 100 Kết nối với mạng DMZ
Bảng 7. Thông số các cổng kết nối Bảng định tuyến đ−ợc thiết lập trên Firewall nh− sau:
Cổng Firewall Mạng đích Địa chỉ Gateway Sử dụng giao thức RIP (C/K)
Outside 0.0.0.0 (Internet) 203.162.x.x C Outside 203.162.x.x/x Kết nối trực tiếp C DMZ 192.168.1.0 Kết nối trực tiếp C Inside 192.168.2.0 Kết nối trực tiếp C
Inside 10.1.0.0/16s 192.168.2.1 C
Bảng 8. Bảng định tuyến
An toàn bảo mật mạng
Để đảm bảo tính an toàn cho hệ thống mạng, giải pháp đ−ợc thực hiện bao gồm các biện pháp:
Sử dụng hệ thống Firewall và IDS Thiết lập Access list
Thiết lập VLAN:
Việc thiết lập VLAN đ−ợc thực hiện trên 32 cổng của Switch. Mỗi VLAN có thể chứa một hoặc nhiều cổng. Các VLAN đ−ợc thiết lập trong hệ thống đ−ợc mô tả chi tiết trong bảng địa chỉ IP
Định tuyến giữa giữa các VLAN:
Trên Cisco 4006L3 Switch có 02 cổng Internal và 02 cổng External Gigabit. Hai cổng Internal đ−ợc dùng làm đ−ờng trunking cho toàn bộ các VLAN tại 18 Nguyễn Du. Hai cổng external đ−ợc dùng để kết nối về 57A Huỳnh Thúc Kháng và đồng thời làm trunking cho toàn bộ các VLAN tại đó. Module Router trên Switch này sẽ làm nhiệm vụ định tuyến giữa các VLAN.