CNTT CỦA MB
Sau khi tỡm hiểu về hệ thống mạng hiện tại của MB ta cú thể đƣa ra một số nhận xột cơ bản.
2. 2. 1. Nhận xột chung về hệ thống mạng hiện tại của MB
thực hiện tự động hàng loạt nờn mất nhiều cụng thực hiện và khú quản lý.
Hệ thống địa chỉ khụng đồng bộ trong toàn mạng (hiện đang sử dụng 2 lớp mạng khỏc nhau cho mạng WAN và mạng LAN). Cỏc địa chỉ khụng đƣợc phõn theo cấp quản lý (trụ sở-chi nhỏnh) và khụng cú quy hoạch cụ thể dẫn đến khú khăn trong phõn bổ và mở rộng sau này (trong trƣờng hợp mở chi nhỏnh mới, thay đổi cấu trỳc quản lý,... ).
Mụ hỡnh mạng chƣa cú dự phũng nờn khi đƣờng mạng chớnh bị sự cố thỡ mất liờn lạc.
Hệ thống đó đƣợc trang bị cỏc thiết bị bảo vệ Firewall, VirusWall tuy nhiờn cỏc phõn lớp bảo vệ chƣa thớch hợp, cụ thể là cỏc lớp bảo vệ này khụng bảo vệ đƣợc đƣờng dữ liệu từ Router VCB vào trong mạng nội bộ.
Chƣa cú VLAN để phõn chia cỏc subnet. Mạng WAN chƣa cú cấu trỳc vựng miền, chƣa dựng cỏc giao thức định tuyến động đồng bộ toàn mạng nờn chỉ thớch hợp với mạng WAN nhỏ hiện tại chứ khụng thớch hợp với mụ hỡnh mở rộng trong tƣơng lai.
2. 2. 2. Định hƣớng thiết kế hệ thống mạng WAN
Hệ thống mạng MB bao gồm nhiều chi nhỏnh, phạm vi rộng khắp cả nƣớc (cấp TƢ, cấp tỉnh thành và cỏc chi nhỏnh cấp quận huyện). Chớnh vỡ vậy cần phải cú một cỏi nhỡn tổng thể trong việc xõy dựng giải phỏp mạng diện rộng-WAN ngay từ ban đầu, để sao cho hệ thống phải cú tớnh mở cao, dễ dàng nõng cấp mở rộng hệ thống theo từng giai đoạn sau này.
2. 2. 2. 1. Định hướng thiết kế mạng diện rộng
Định hƣớng thiết kế mạng diện rộng-WAN sẽ theo mụ hỡnh phõn lớp, chi tiết hoỏ nhiệm vụ của từng lớp, tối ƣu hoỏ năng lực xử lý của từng lớp, gúp phần tối ƣu
hoỏ quỏ trỡnh trao đổi dữ liệu trờn toàn mạng.
Hỡnh 2. 3: Mụ hỡnh kết nối mạng WAN phõn cấp
Lớp Backbone: Hay cũn gọi là lớp trục xƣơng sống, nú đƣợc thiết lập tại cỏc trung tõm vựng, cỏc trung tõm này đƣợc kết nối với nhau theo mụ hỡnh mạng lƣới (Full-mesh) thụng qua cỏc đƣờng Leased Line.
Lớp Distribution: Đƣợc xõy dựng tại cỏc Trung tõm Tỉnh, kết nối trực tiếp về lớp Backbone bằng cỏc đƣờng Leased Line.
Lớp Access: Dành cho cỏc chi nhỏnh Quận/Huyện kết nối đến tỉnh hoặc cung cấp cỏc dịch vụ ghộp nối cho khỏch hàng của MB.
Trong hinh là mụ hỡnh tổng thể phõn cấp mạng WAN. Về cơ bản việc thiết kế hệ thống phải đảm bảo đƣợc cỏc yếu tố sau:
1. Hạ tầng CNTT đỏp ứng đƣợc yờu cầu phỏt triển liờn tục của ứng dụng nghiệp vụ và quản lý.
2. Tận dụng đƣợc cụng nghệ, giải phỏp kỹ thuật và sản phẩm mới.
3. Hƣớng tới một hệ thống mạng số hội tụ tớch hợp đa dịch vụ (Digital Convergenced Network with Integrated Services).
4. Bảo vệ đầu tƣ (Investment Protection).
2. 2. 2. 2. Định hướng thiết kế phần ứng dụng
Định hƣớng thiết kế phần ứng dụng trong Trung tõm vựng sẽ tuõn theo nguyờn tắc thiết kế chung của cỏc hệ thống mạng lớn, đú là nguyờn tắc thiết kế theo mudule.
Mụ hỡnh hinh hoạ nhƣ trong hinh. Với mụ hỡnh này, một hệ thống thụng thƣờng sẽ cú những module sau:
Backbone Module: Là module kết nối tới những Trung tõm miền khỏc đối
với những hệ thống mạng lớn tổ chức theo mụ hỡnh nhiều Trung tõm miền. Backbone module sẽ gồm những thiết bị định tuyến cỡ lớn dũng world-class, khụng cần quỏ nhiều giao diện nhưng phải cú khả năng xử lý cao kết hợp với khả năng dự phũng trờn từng thành phần thiết bị.
Hỡnh: 2. 4 Thiết kế theo cỏc khối module
WAN Module: Là module dựng cho kết nối xuống cỏc đơn vị cấp dưới. WAN Module sẽ gồm những thiết bị định tuyến từ dũng mid-range đến high-end, khả năng cung cấp nhiều loại kết nối WAN đa dạng khỏc nhau (Frame relay, Leased line, ATM, E1/E3, ISDN PRI…) và điểm quan trọng là những thiết bị này thường cú mật độ cổng lớn (high-density port) bởi nú chịu trỏch nhiệm tập hợp cỏc kết nối WAN (WAN Aggregation).
DataCenter Module: Module rất quan trọng cho kết nối với khối mạng nội
bộ tại Trung tõm miền. Khối mạng nội bộ này gồm cú thiết bị của người sử dụng
đầu cuối, hệ thống mỏy chủ CSDL và ứng dụng tập trung (Server Farm), hệ thống quản trị CNTT.
Internet Module: Module phục vụ cho nhu cầu kết nối internet của người
sử dụng bờn trong và để cho phộp người sử dụng bờn ngoài truy cập vào những mỏy chủ dịch vụ cụng cộng bờn trong. Đối với những hệ thống đa miền, module internet sẽ được đặt tại mỗi Trung tõm miền. Thụng thường việc mở nhiều cổng kết nối internet khụng được khuyến khớch vỡ lý do an ninh và quản lý.
Remote Access/VPN Module: Chức năng ban đầu của module này là cung
cấp khả năng kết nối vào mạng bờn trong cho nhúm người dựng ở xa (người sử
dụng làm việc tại nhà hoặc đi cụng tỏc). Tựy thuộc vào khoảng cỏch kết nối và chớnh sỏch cụ thể mà cú thể lựa chọn dựng dial-in remote access (qua mạng ISDN / PSTN) hoặc remote access VPN (qua mạng Internet). Tuy nhiờn với những hệ
thống cú nhiều kết nối WAN quan trọng thỡ module này lại thường được dựng cho việc backup kết nối WAN.
Voice/Video Module: Module này thường cú ở những hệ thống đó được triển khai tương đối hoàn chỉnh. Khi đú phần về hạ tầng kết nối đó ổn định và khỏch hàng cú nhu cầu triển khai những dịch vụ gia tăng tận dụng hạ tầng mạng sẵn cú. Nếu
lớn qua việc tiết kiệm chi phớ sử dụng dịch vụ nếu phải thuờ lại của nhà cung cấp.
2. 3. KẾT LUẬN
Ngõn hàng MB cũng nhƣ những ngõn hàng khỏc của Việt Nam đều tồn tại một hệ thống cấu trỳc dịch vụ cơ bản đƣợc ngõn hàng chủ động bổ sung và phỏt triển trờn cơ sở đỏp ứng kịp thời cỏc nhu cầu ngày càng đa dạng của khỏch hàng núi riờng và của xó hội núi chung. Việc đỏp ứng là cần thiết tuy nhiờn cỏch làm từng nơi cú khi khỏc nhau, thiếu sự quản lý tập trung. Hệ thống thụng tin quản lý bằng vi tớnh ở cấp chi nhỏnh là chủ yếu. Thụng tin và cơ sở dữ liệu tập trung tại trung ƣơng đƣợc bỏo cỏo giỏn tiếp, khụng đƣợc cập nhật tức thời. Chớnh vỡ vậy việc quản lý tổng thể tại thời điểm bất kỳ là rất khú thực hiện.
Từ những nhận xột trờn ta cú thể kết luận rằng việc phỏt triển mạng diện rộng của MB là rất cần thiết để đỏp ứng kịp thời và hiệu quả cỏc nhu cầu ngày càng phỏt triển của khỏch hàng và xó hội.
CHƢƠNG 3. THIẾT KẾ GIẢI PHÁP MẠNG DIỆN RỘNG NGÂN HÀNG THƢƠNG MẠI CỔ PHẦN QUÂN ĐỘI (MB)
3. 1. THIẾT KẾ PHÂN LỚP HỆ THỐNG KẾT NỐI
Sau khi phõn tớch hệ thống WAN/LAN hiện tại, tụi xin đề xuất mụ hỡnh kết nối hệ thống mới theo mụ hỡnh phõn lớp, cụ thể hoỏ cỏc khối chức năng, tối ƣu hoỏ hệ thống và dễ dàng cho việc mở rộng hệ thống trong những giai đoạn tiếp theo.
Hỡnh 3. 1: Mụ hỡnh kết nối mới
Theo mụ hỡnh kết nối mới, hệ thống mạng WAN/LAN tại trụ sở Điện Biờn Phủ sẽ khụng cũn giữ vai trũ trung tõm của kết nối WAN/Database Server nữa, mà chỉ cũn vai trũ làm 1 chi nhỏnh cấp Quận.
Hệ thống WAN/LAN tại Hội Sở Liễu Giai sẽ đúng vai trũ làm trung tõm CNTT của MB, toàn bộ cỏc kết nối WAN tới cỏc chi nhỏnh sẽ đƣợc tập trung về đõy, đồng thời hệ thống Database Server cũng sẽ đƣợc tập trung tại đõy.
3. 2. Thiết kế phõn hoạch địa chỉ IP và định tuyến cho hệ thống mới 3. 2. 1. Giải phỏp phõn hoạch IP
3. 2. 1. 1. Nguyờn tắc phõn hoạch địa chỉ IP
Phõn hoạch IP là một trong những nội dung quan trọng nhất của quỏ trỡnh thiết kế mạng. Hệ thống địa chỉ IP đƣợc phõn hoạch hợp lý sẽ là tiền đề để đảm bảo cho mạng cú thể hoạt động tốt, tối ƣu và dễ dàng nõng cấp mở rộng về sau cũng nhƣ thuận tiện hơn cho cỏc thao tỏc quản trị.
Việc phõn hoạch IP đối với hệ thống mạng WAN MB sẽ tuõn theo cỏc nguyờn tắc sau:
Sử dụng dải IP private đƣợc quy định trong RFC 1918 để đảm bảo khụng bị xung đột với cỏc hệ thống mạng Public khỏc khi mạng nội bộ cú kết nối vào cỏc hệ thống mạng cụng cộng. Cỏc dải IP private sẽ khụng đƣợc InterNIC cấp phỏt cho cỏc hệ thống cụng cộng nờn khụng cú trờn bảng định tuyến của cỏc Internet Router và khụng bị xung đột khi ta đƣa vào sử dụng. Cỏc dải địa chỉ IP private đƣợc quy định trong RFC 1918 gồm cú:
o Lớp A: 10. 0. 0. 0/8: từ 10. 0. 0. 1 đến 10. 255. 255. 254 o Lớp B: 172. 16. 0. 0/12: từ 172. 16. 0. 1 đến 172. 32. 255. 254 o Lớp C: 192. 168. 0. 0/16: từ 192. 168. 0. 1 đến 192. 168. 255. 254
Địa chỉ IP phải đƣợc phõn hoạch liờn tục theo từng cấp: Việc phõn hoạch IP liờn tục (contiguous subnets) là rất quan trọng bởi nú liờn quan đến việc rỳt gọn bảng định tuyến trờn Router. Cỏc Routes liền kề nhau sẽ đƣợc rỳt gọn thành một
routes duy nhất để giảm kớch thƣớc cho bảng định tuyến trờn Router và dễ kiểm soỏt thụng tin định tuyến.
Số lƣợng địa chỉ IP và subnetmask phải đƣợc tớnh toỏn để phự hợp với số lƣợng host cú trong mạng đú và cú tớnh toỏn để đỏp ứng đƣợc khi số lƣợng host tăng lờn. Host ở đõy gồm những thiết bị mà cú thể đặt đƣợc IP: PC, Server, mỏy in, Gateway, Firewall...
Việc phõn hoạch IP phải chừa ra một dải IP dự phũng dựng cho cỏc mục đớch thử nghiệm và mục đớch mở rộng mạng khi cần thiết.
3. 2. 1. 2. Chớnh sỏch phõn hoạch IP cho MB
Hiện tại hệ thống mạng WAN của MB đang sử dụng địa chỉ lớp C, đặc điểm của địa chỉ lớp C nhƣ sau:
Chỉ phự hợp với hệ thống mạng WAN đơn giản cỡ vừa và nhỏ, mỗi phõn đoạn mạng chỉ cú thể tối đa là 254 địa chỉ IP hiệu dụng.
Khụng sử dụng trong hệ thống mạng WAN phõn cấp/phức tạp, vỡ nú liờn quan đến việc rỳt gọn bảng định tuyến trờn Router.
Căn cứ trờn định hƣớng/qui mụ phỏt triển mở rộng nhiều chi nhỏnh trờn toàn quốc của Ngõn Hàng MB, tụi đề xuất chuyển sang sử dụng vựng địa chỉ lớp A, vỡ đặc điểm của địa chỉ lớp A nhƣ sau:
Phự hợp với hệ thống mạng WAN phõn cấp/phức tạp.
Mỗi phõn đoạn mạng chỉ tuỳ theo nhu cầu cú thể đặt nhiều địa chỉ IP chứ khụng bị giới hạn là 254 địa chỉ IP nhƣ lớp C.
Dễ dàng cấu hỡnh rỳt gọn bảng định tuyến trờn Router.
và đƣợc chia thành 4 Subnet 10 bit đƣợc phõn bổ chi tiết nhƣ sau: 10. 0. 0. 0/10 dành cho khu vực phớa Bắc 10. 64. 0. 0/10 dành cho khu vực miền Trung 10. 128. 0. 0/10 dành cho khu vực phớa Nam 10. 192. 0. 0/10 dành để dự phũng
Mỗi khu vực sẽ chia ra làm 64 subnet 16 bit tƣơng ứng để sử dụng cho cỏc chi nhỏnh lớn cấp tỉnh thành trong khu vực với sự phõn bổ chi tiết nhƣ sau:
10. 0. 0. 0/16-10. 63. 0. 0/16, cho cỏc chi nhỏnh khu vực miền Bắc 10. 64. 0. 0/16-10. 127. 0. 0/16, cho cỏc chi nhỏnh khu vực miền Trung 10. 128. 0. 0/16-10. 191. 0. 0/16, cho cỏc chi nhỏnh khu vực miền Nam 10. 192. 0. 0/16-10. 254. 0. 0/16, dành để dự phũng
10. 255. 0. 0/16, cho cỏc kết nối liờn khu vực- CoreBackbone
Nhƣ vậy mỗi vựng sẽ cú tới 64 subnet trong khi đú mỗi miền sẽ khụng thể cú nhiều tới 64 chi nhỏnh cấp tỉnh nờn việc chia địa chỉ nhƣ vậy đảm bảo sẽ khụng bị thiếu địa chỉ về sau.
Cụ thể tại chi nhỏnh cấp tỉnh thành phố và cấp quận huyện sẽ chia cỏc dải địa chỉ nhƣ sau:
Trung tõm chớnh, Hội sở của mỗi miền (Hà Nội, TP HCM, Đà Nẵng) sẽ lấy địa chỉ mạng đầu tiờn trong dóy nờu ở trờn. Tỉnh tiếp theo trong miền đú sẽ lấy địa chỉ thứ hai và cứ thế. Trong trƣờng hợp này Hà Nội lấy địa chỉ mạng 10. 0. 0. 0, TP HCM lấy địa chỉ 10. 128. 0. 0 và Đà Nẵng lấy địa chỉ 10. 64. 0. 0 (tất cả dựng subnet mask 255. 255. 0. 0).
Xuống đến cỏc chi nhỏnh nhỏ hơn ở cấp quận huyện, lớp mạng của tỉnh (hoặc thành phố) đú sẽ đƣợc chia nhỏ hơn thành 254 mạng nhỏ khỏc nhau để cấp cho cỏc quận huyện. Do mỗi tỉnh thành phố chắc chắn cú khụng quỏ 254 chi nhỏnh cấp quận huyện nờn việc phõn chia nhƣ vậy sẽ đảm bảo khụng bị thiếu địa chỉ. Tại từng chi nhỏnh cấp quận huyện sẽ cú tới 254 địa chỉ cú thể dựng để cấp cho
cỏc trạm làm việc, mỏy chủ... Và đặc biệt, do kết nối từ cỏc chi nhỏnh quận huyện lờn chi nhỏnh tỉnh là kết nối quay số (cú thể quay số từ mỏy chủ, từ router hoặc trạm làm việc) nờn địa chỉ của cỏc mỏy remote access client này sẽ đƣợc router trờn chi nhỏnh tỉnh cấp tự động trong dải địa chỉ quản lý của mỡnh.
Việc cấp địa chỉ cho cỏc mỏy trạm thuộc chi nhỏnh đƣợc sử dụng theo phƣơng phỏp động để đảm bảo trỏnh xung đột nhƣ khi ngƣời dựng tự đặt ra. Cụng việc này sẽ đƣợc đảm nhận bởi mỏy chủ DHCP hoặc chức năng DHCP trờn Router. Tuy nhiờn, một số thiết bị quan trọng cần phải cú địa chỉ tĩnh để đảm bảo sự ổn định khi truy nhập thiết bị đú (mỏy chủ, mỏy in mạng, cổng Ethernet của Router, Firewall... )
3. 2. 1. 3. Phõn hoạch cụ thể IP mới cho hệ thống
Dải IP cho thiết bị lớp Core nối cỏc trung tõm vựng (HN, ĐN và Tp HCM, WAN IP liờn vựng).
Dải IP của cổng Loopback của thiết bị router core để điều khiển thụng tin sẽ đƣợc qui ƣớc là: HN-10. 255. 255. 1/32, Tp HCM-10. 255. 255. 2/32 và ĐN-10. 255. 255. 3
Dải IP của cổng WAN của thiết bị lớp Core nối cỏc trung tõm vựng (HN, ĐN và Tp HCM, WAN IP liờn vựng) sẽ đƣợc qui uớc là dải 10. 255. 254. x/24, với b là số cụ thể của mỗi kết nối. và dải này cú thể đƣợc chia nhỏ thành 64 dải /30 khỏc
Dải IP cấp cho một Tỉnh sẽ là 10. a. 0. 0/16 với a đƣợc qui uớc là số của mỗi Tỉnh.
Dải IP của cổng Loopback của thiết bị router tại Tỉnh để điều khiển thụng tin sẽ đƣợc qui ƣớc là: 10. a. 255. 1/32, miền bắc a = 0 tới 63, miền trung a = 64 tới 127, miền nam a = 128 tới 191.
Dải IP của cổng WAN của thiết bị tại Tỉnh nối lờn trung tõm vựng (WAN IP nội vựng) sẽ đƣợc qui ƣớc là: 10. a (đầu tiờn). 254. b/30, với b là số cụ thể của mỗi kết nối, miền bắc sẽ là 10. 0. 254. b, miền trung sẽ là 10. 64. 254. b, miền nam sẽ là 10. 128. 254. b.
Dải IP của cỏc lớp mạng từ 10. a. 0. 0/24 đến 10. a. 253. 0/24 sẽ đƣợc cấp cho mạng cỏc chi nhỏnh quận/huyện trong Tỉnh đú.
Dải IP cấp cho một Quận/Huyện thuộc Tỉnh sẽ nhƣ sau:
Dải IP của cổng Loopback của thiết bị router tại Quận/Huyện để điều khiển thụng tin sẽ đƣợc qui ƣớc là: 10. a. 255. c/32, với c là số thứ tự tăng dần từ 2 tới 254.
Dải IP của cổng WAN của thiết bị tại Quận/Huyện nối lờn trung tõm