Đồ án Tìm hiểu kỹ thuật MegaWan và ứng dụng

ặt với đường dây thuê bao mới: 600.000 1.000.000 - Lắp đặt với đường dây thuê bao có sẵn và đủ điều kiện kỹ thuật: 300.000 700.000 Bảng 2-2: Bảng cước lắp đặt Chúng ta có thể chọn các băng thông từ 64 Kbps đến 2 Mbps với mức giá khác nhau phù hợp với nhu cầu sử dụng  của mình. 2.1.6. Các ưu, khuyết điểm của Mega WAN MegaWAN nó có được tất cả những lợi ích mà một mạng riêng ảo tin cậy (MRA TC/Trusted VPN) mang lại, trong đó lợi ích nổi bật nhất là: Cho phép kết nối các mạng máy tính của các công ty, doanh nghiệp với nhau thành một mạng riêng ảo trên các khoảng cách địa lý khác nhau. Chi phí thấp. Đây là giải pháp kết nối thông tin mới với chi phí thấp hơn nhiều so với các công nghệ trước đây như Leaseline, FrameRelay. Tính linh hoạt và ổn định cao theo các yêu cầu riêng biệt của khách hàng. MegaWAN còn mang lại cho khách hàng. Khai thác hiệu quả và mềm dẻo. Có khả năng triển khai cung cấp dịch vụ nhanh chóng và thuận tiện. Tầm với mở rộng, Nội tỉnh, Liên tỉnh, Quốc tế. Khả năng tương thích cao. Dịch vụ đa dạng: ADSL, ADSL2+, SHDSL. Tốc độ đa dạng, nx64K. Cho phép vừa sử dụng MRA vừa truy cập Internet trên cùng một đường dây thuê bao (nếu có nhu cầu). Hoạt động rất ổn định. Ưu nhược điểm VNN1260 MegaVNN MegaWan Truyền dữ liệu Kết nối VNN1260 cho phép chúng ta sử dụng fax, dữ liệu, thoại, dữ liệu tới Internet, dữ liệu tới các thiết bị khác. ADSL chỉ chuyển tải dữ liệu tới Internet. Sử dụng để kết nối mạng riêng ảo (VPN) để truyền số liệu và đồng thời kết vào Internet. Dùng chung VNN1260 ngắt truy nhập tới Internet khi chúng ta thực hiện cuộc gọi điện thoại hoặc Fax. MegaVNN cho phép vừa sử dụng Internet trong khi vẫn có thể thực hiện cuộc gọi đồng thời. Tương tự MegaVNN. Tốc độ VNN1260 chạy ở tốc độ cơ sở 56 kbps. MegaVNN có thể tải dữ liệu về với tốc độ tới 2 Mbps. Gấp 40 lần. Tốc độ đường lên và tốc độ đường xuống bằng nhau 2 Mbps. Khoảng cách sử dụng Khoảng cách thuê bao sử dụng Internet xa hơn. Khoảng cách sử dụng Internet của thuê bao có 1 giới hạn nhất định. Giống với MegaVNN. Ứng dụng Hạn chế 1 số dịch vụ gia tăng trên mạng. Có nhiều lợi thế khi phát triển các dịch vụ ứng dụng trên mạng như : Giáo dục và đào tạo từ xa, xem Video theo yêu cầu, trò chơi trực tuyến, nghe nhạc, hội nghị truyền hình... Giống với MegaVNN. Có cung cấp địa chỉ IP tĩnh. Thiết lập mạng riêng ảo trong và ngoài nước theo các IP có trước. Bảng 2-3: Ưu nhược điểm của mega wan 2.2. Các yêu cầu để triển khai Mega WAN có hiệu quả Chủ yếu có 4 yêu cầu chính như sau: Mạng WAN phải mềm dẻo, có khả năng đáp ứng được những thay đổi trong hoạt động kinh doanh của doanh nghiệp: Mạng WAN cần được thiết kế mềm dẻo, có khả năng thay đổi theo những thay đổi trong hoạt động kinh doanh của doanh nghiệp như mở thêm văn phòng, thay đổi nhà cung cấp nguyên liệu, thay đổi nhà phân phối, kênh bán hàng, v.v..., khi đó cấu trúc mạng và số nút mạng cũng cần được thay đổi theo. Khả năng khôi phục nhanh khi có sự cố, Khả năng này đặt ra yêu cầu gia tăng khả năng định tuyến lại lưu lượng thật nhanh chóng khi một điểm trung gian trên mạng hoặc 1 đường truyền dẫn bị đứt. Thông thường yêu cầu về thừoi gian khôi lục liên lạc trong khoảng 50 ms hay nhỏ hơn nếu như phục cho các lưu lượng thoại. Ngoài ra mạng WAN phải có khả năng mở rộng (các hệ số như tốc độ tối đa của kết nối WAN hay số lượng tối đa của các kênh ảo mà mạng đó hỗ trợ). Hội tụ hạ tầng mạng lưới (Convergence of Network Infrastructure): hợp nhất rất nhiều loại công nghệ (như ATM, Frame Relay), các giao thức (như IP, IPX, SNA) và các kiểu lưu lượng (như data, voice, và video) vào cùng một hạ tầng mạng duy nhất khi ấy chi phí hỗ trợ hạ tầng mạng sẽ giảm đáng kể so với hỗ trợ nhiều mạng lưới như trước. Cách ly lưu lượng (Traffic Isolation): nhằm hai mục đích: tăng tính bảo mật (chỉ truy cập được vào luồng lưu lượng của mình) và tính ổn định (các hoạt động của một thực thể chỉ ảnh hưởng đến thực thể đó) . 2.3. Phương pháp triển khai Vấn đề quy hoạch toàn mạng, điểm này rất quan trọng. Quy hoạch địa chỉ IP: Tức là khi tập đoàn cấp cho mỗi tỉnh một class B cho cả Viễn thông và Bưu chính (vì hồi xưa là 1). không biết là các tỉnh phân phối thế nào, theo chúng ta thì lấy ít nhất một block 64 class C, chẳng hạn 10.x.192.x/20, nhiều hơn càng tốt, có mấy lý do sau: Mỗi sở giao dịch nên cấp cho một block 64 địa chỉ  (/26) hoặc 128 địa chỉ (/25). Nên là 64 địa chỉ vì như vậy không quá phí, cũng không chi nhỏ hơn vì không cần thiết mà sau này mở rộng lại rất khó khăn. Chẳng hạn sở giao dịch lớn và muốn chia đôi cái mạng của họ, có thể tách thành hai block 32 địa chỉ mà không ảnh hưởng tới định tuyến chung trên trung tâm. Nếu một tỉnh có 200 sở giao dịch (chắc không đến đâu nhỉ) thì sẽ dành 50 class C ra để quy hoạch cho các sở giao dịch, 14 lớp còn lại cho các mục đích khác như đấu nối, Trung tâm THDT, các sở giao dịch to có thể cấp cả 1 class C, ... Như vậy bảng routing của tỉnh sẽ chỉ là các subnet /26 thống nhất, bảng routing bên MegaWAN làm cho mình cũng thống nhất, bảng routing sẽ clear và dễ làm hơn. Sai đâu biết ngay. Bảng routing của Post*Net cũng clear hơn nhiều, định tuyến cho mỗi tỉnh một block 10.x.192.x/20. Chẳng hạn mạng của mấy bác Viễn thông có lên mạng Post*Net chơi thì còn biết lối mà về không lại đi một đường, về một đường gặp firewall nó lại drop đi thì toi. Điều này càng có ý nghĩa khi làm IPSec Site-to-Site VPN, vì nó yêu cầu phải xác định rõ "source network" và "destination network". Đặc biệt khi dùng VPN làm dự phòng, cần làm floating route. Về mạng của từng tỉnh, quy hoạch IP trên cần thực hiện nghiêm túc vì mạng phức tạp hơn. Nhất là khi dùng VPN làm dự phòng, dự phòng này trước mắt có thể chưa chú trọng nhưng tương lai thế nào cũng phải làm, vì mấy lý do: MegaWAN thực ra cũng là mạng truy nhập thế nào chẳng có lúc đứt ADSL truy  nhập Internet thì có sẵn Dự phòng dùng IPSec trên nền Internet ADSL không phải trả thêm chi phí MegaWAN cũng phải trả tiền, nếu VPN chạy tốt có thể chuyển ngược lại MegaWAN thành dự phòng cho đỡ tốn chi phí. Về định tuyến, nếu dùng MegaWAN hay IPSec VPN ở các sở giao dịch thì vẫn nên đặt mấy entry cơ bản: 10.0.0.0/8 --> Trung tâm THDT 0.0.0.0/0-->InternetNên đặt thế vì sau nó có thể đi lên Post*Net hay đi đâu cũng được, phụ thuộc vào Trung tâm THDT tại Văn phòng Cty cho đâu thì đi, nếu ta mà định tuyến theo các lớp nhỏ thì sau này bảng định tuyến lớn, nhầm lẫn, mở rộng mạng phải làm lại định tuyến là chết dở Về kết nối, nên dùng G.SHDSL ở trung tâm, ADSL ở các sở giao dịch G.SHDSL downlink/uplink đối xứng, cần thiết cho trung tâm ADSL thiết bị rẻ, phổ biến, chi phí thuê cũng rẻ thích hợp cho làm các sở giao dịch Tính phổ biến của thiết bị rất quan trọng vì modem kết nối với cáp thuê bao nguy cơ bị sét, nguồn điện, ... rất lớn. Nếu dùng modem ADSL thì sẽ nhanh chóng kiếm một modem khác thay vì phải đợi bảo hành 2-3 tuần hoặc lâu hơn. Về thiết bị, nên dùng firewall tại các sở giao dịch lớn > 10 máy tính, cũng có mấy lý do: Nếu có nối Internet ADSL thì nhất thiết nên có firewall MegaWAN thực sự là MPLS trên nền NGN, thiết lập kiểu hub-to-spoke nếu xét trên phương diện mạng Bưu chình thì hub là Trung tâm, Văn phòng Cty nhưng cái hub thực sự chính là NGN, khi một note mạng (sở giao dịch) attack ra ngoài (virus chẳng hạn) thì ko chỉ trung tâm mạng bị nghẽn mà cả các sở giao dịch khác cũng chịu chung số phận. Nghĩa là chẵng có ai đi đâu được. Firewall có thể giúp nhanh chóng phát hiện và cách ly nguồn tấn công (IPS) Firewall có thể kết nối IPSec VPN Firewall có thể dùng định tuyến: hướng đi Internet, hướng đi Văn phòng cty, Post*Net, ... Không nên dùng Router như kiểu Cisco vì tính năng định tuyến thì tốt nhưng tính năng bảo mật thì kém, chi phí lại cao. Trên thế giới hiện nay chỉ có 4-5 thằng là chipset ADSL, tất cả các hãng làm modem đều mua của bọn này về, chế biến thêm tí, viết cái firmware nhét vào nên modem dù tốt nhất thì cũng rất hạn chế và khả năng quản lý connection nhất là khi dùng NAT, nếu dùng thêm IPSec thì càng hạn chế. Firewall có thể quản lý connection thay cho modem (hoạt động mode bridging) Firewall nhỏ hiện nay chi phí rất hợp lý 2.4. Công nghệ MPSL-VPN Công nghệ mới MPSL đã xuất hiện tại Việt Nam và hứa hẹn những năng lực hỗ trợ rất lớn của WAN cho các doanh nghiệp. Thực tế cho thấy, kết nối WAN bằng công nghệ MPSL-VPN có nhiều ưu điểm: tính bảo mật cao, khả năng nâng cấp thay đổi dễ dàng và linh hoạt trong việc thay đổi tốc độ, bổ sung nút mạng. Với những ưu điểm nổi bật này, công nghệ MPLS-VPN là xu hướng công nghệ tất yếu để kết nối mạng WAN trong nước và quốc tế cho các đơn vị , tổ chức trên cả nước. Công nghệ này được ứng dụng cho dịch vụ MegaWan- dịch vụ kết nối mạng WAN ứng dụng công nghệ mạng riêng ảo chuyển mạch nhã đa giao thức ( MPLS/VPN ) của tập đoàn Bưu Chính Viễn Thông Việt Nam ( VNPT ) 2.4.1. Giới thiệu công nghệ MPSL MPLS là thuật ngữ viết tắt cho Multi-Protocol Label Switching (chuyển mạch nhãn đa giao thức). Nguyên tắc cơ bản của MPLS là thay đổi các thiết bị lớp 2 trong mạng như các thiết bị chuyển mạch ATM thành các LSR (label-switching router-Bộ định tuyến chuyển mạch nhãn). LSR có thể được xem như một sự kết hợp giữa hệ thống chuyển mạch ATM với các bộ định tuyến truyền thống. Trên đường truyền dữ liệu, LSR đầu được gọi là Ingress LSR; LSR cuối cùng được gọi là Egress LSR; còn lại các LSR trung gian gọi là các Core LSR. Trong một mạng MPLS mỗi gói dữ liệu sẽ chứa một nhãn (label) dài 20 bit nằm trong tiêu đề MPLS (MPLS header) dài 32 bit. Đầu tiên, một nhãn sẽ được gán tại Ingress LSR để sau đó sẽ được chuyển tiếp qua mạng theo thông tin của bảng định tuyến. Khối chức năng điều khiển của mạng sẽ tạo ra và duy trì các bảng định tuyến này và đồng thời cũng có sự trao đổi về thông tin định tuyến với các nút (node) mạng khác. . *: LDP (Giao thức phân phối nhãn); OSPF (giao thức định tuyến truyền thống). Việc chia tách riêng hai khối chức năng độc lập nhau là: chuyển tiếp và điều khiển là một trong các thuộc tính quan trọng của MPLS. Khối chức năng điều khiển sử dụng một giao thức định tuyến truyền thống (ví dụ: OSPF) để tạo ra và duy trì một bảng chuyến tiếp. Khi gói dữ liệu đến một LSR, chức năng chuyển tiếp sẽ sử dụng thông tin ghi trong tiêu đề để tìm kiếm bảng chuyển tiếp phù hợp và LSR đó sẽ gán một nhãn vào gói tin và chuyển nó đi theo tuyến LSP (label-switched path: tuyến chuyển mạch nhãn). Tất cả các gói có nhãn giống nhau sẽ đi theo cùng tuyến LSP từ điểm đầu đến điểm cuối. Đây là điểm khác với các giao thức định tuyến truyền thống (có thể có nhiều tuyến đường nối giữa hai điểm). Các Core LSR sẽ bỏ qua phần tiêu đề lớp mạng của gói, khối chức năng chuyển tiếp của những LSR này sử dụng số cổng vào (input port number) và nhãn để thực hiện việc tìm kiếm bảng chuyển tiếp phù hợp rồi sau đó thay thế nhãn mới và chuyển ra ngoài vào tuyến LSP. Như vậy, Công nghệ MPLS là một dạng phiên bản của công nghệ IPoA (IP over ATM) truyền thống, nên MPLS có cả ưu điểm của ATM (tốc độ cao, QoS và điều khiển luồng) và của IP (độ mềm dẻo và khả năng mở rộng). Giải quyết được nhiều vấn đề của mạng hiện tại và hỗ trợ được nhiều chức năng mới, MPLS được cho là công nghệ mạng trục IP lý tưởng. MPLS dùng trong VPN: Cấu hình một mạng riêng ảo dựa trên MPLS có thể triển khai trên lớp 3 hoặc lớp 2 như sau: VPN/ MPLS lớp 3 Thường được xây dựng dựa trên tiêu chuẩn IETF RFC 2547bis. Lớp này của VPN chuyển tải lưu lượng qua mạng thông qua sử dụng đường hầm MPLS và giao thức báo hiệu MP-BGP (Multiprotocol Border Gateway Protocol) như minh họa trong hình 2-5 Trong đó, BB là định tuyến đường trục có thực hiện MPLS và có VRF thực hiện định tuyến trong VPN, còn BO là định tuyến tại điểm nhánh không chạy MPLS. Đây là các thức phổ biến nhất hiện nay, tuy nhiên các doanh nghiệp có thể ứng dụng MPLS trên các điểm nhánh để tăng thêm hiệu quả. Hai ưu điểm của loại VPN/ MPLS lớp 3 này là dựa trên các chuẩn truyền thống và dễ cung cấp. VPN/ MPLS lớp 2 Các dạng dựa trên Frame Relay và ATM là phổ biến và tự nó đã là đa giao thức nên các VPN/ MPLS lớp 2 như là một bước chuyển tiếp dễ dàng cho các doanh nghiệp, tổ chức hiện nay đang chạy các giao thức truyền thống nhưng có ý định chuyển sang mạng toàn IP trong thời gian tới. Một trong số các đặc điểm quan trọng của một VPN/ MPLS lớp 2 là khả năng tạo ra một đường hầm như là một tuyến LSP (minh họa theo hình 2-6). Đặc điểm khác nữa là khả năng sử dụng các giao thức điều khiển như giao thức phân phối nhãn LDP hay BGP để thiết lập các kênh ảo. 2.4.2. Lợi ích của MPLS với doanh nghiệp, tổ chức Với mạng sử dụng MPLS có rất nhiều các dịch vụ được cung cấp với chất lượng cao như: 1.      Tải tin cho các mạng số liệu, Internet và thoại quốc gia. Lưu lượng thoại được chuyển dần sang mạng trục MPLS quốc gia. Mạng này sẽ thay thế dần mạng trục TDM quốc gia đang hoạt động. 2.      Cung cấp dịch vụ truy nhập Internet tốc độ cao tại một số địa phương trọng điểm trên toàn quốc. Bước đầu hình thành mạng trục quốc gia trên cơ sở công nghệ gói. 3.      Cung cấp dịch vụ truyền số liệu tốc độ cao cho các doanh nghiệp, tổ chức như Ngân hàng, các hãng thông tấn báo chí. 4.      Cung cấp dịch vụ mạng riêng ảo VPN cho các công ty xuyên quốc gia và các doanh nghiệp, tổ chức lớn. Đây đang được coi như dịch vụ quan trọng nhất tác động đến việc thay đổi cơ cấu kinh doanh và tăng khả năng cạnh tranh của các nhà khai thác. 5.      Cung cấp dịch vụ Video. Đối với các doanh nghiệp, tổ chức, loại hình mạng riêng ảo trên mạng diện rộng đang là nhu cầu bức thiết nhất và thể hiện lợi ích rõ ràng với hoạt động của các đối tượng này. Để một công ty đạt được các mục tiêu kinh doanh, hạ tầng mạng riêng phải được tỏa rộng theo mọi hướng. Mạng MPLS có khả năng hỗ trợ hàng nghìn mạng riêng ảo chỉ trên một hạ tầng vật lý duy nhất nhờ đặc điểm phân chia nhiệm vụ đã giảm bớt yêu cầu kết nối ngang hàng hoàn toàn đầu- cuối qua mạng. Xét về khả năng hỗ trợ VPN, các hạ tầng mạng riêng ảo truyền thống dựa trên các công nghệ cũ như leased line, X25, ATM không thể đáp ứng được thực trạng đa dạng về yêu cầu, đa dạng về chất lượng dịch vụ của hàng loạt các đối tượng khách hàng như hiện nay. Đây sẽ là lý do khiến các nhà cung cấp dịch vụ này phải chuyển hướng sang một mô hình cung cấp khác hiệu quả hơn. Sự đa dạng của cả yêu cầu và chất lượng có thể minh họa theo 3 nhóm đối tượng có những yêu cầu rất khác nhau như sau: Do đó, giải pháp đưa ra là phải xây dựng một mạng mềm dẻo và đa dịch vụ. Mạng này phải tích hợp được các dịch vụ của intranet, extranet, Internet và hỗ trợ cho mô hình vpn đa dịch vụ. Sự xuất hiện của MPLS đã đưa ra được một giải pháp như thế và sẽ là sự lựa chọn ưu tiên của các nhà cung cấp. 2.4.3. Mô hình thực tế ứng dụng MPLS trong mạng riêng Sau đây, tôi xin đưa ra hai ví dụ triển khai mạng riêng ảo dựa trên MPLS. Trong ví dụ thứ nhất, một tổ chức tài chính vận hành một mạng riêng kết nối một số các đơn vị trực thuộc, tất cả những đơn vị này đều yêu cầu một kết nối riêng về trung tâm nhưng thỉnh thoảng mới thực hiện kết nối. các đơn vị trực thuộc này lại có nhu cầu kết nối rất khác nhau, có đơn vị chỉ yêu cầu dịch vụ email được hiệu quả nhất trong khi những đơn vị khác lại cần truy cập rất lớn và có các ứng dụng tương tác cần thời gian thực như là các cuộc gọi VOIP. Giải pháp cho loại này là một mạng MPLS sử dụng công nghệ VPN/MPLS lớp 3 như trong hình 2-5. Trong ví dụ thứ hai, một doanh nghiệp sở hữu và vận hành một mạng riêng để phục vụ cho các khối phòng ban hay văn phòng ở xa kết nối tới một số ứng dụng quan trọng. Doanh nghiệp này muốn nâng cấp sự hỗ trợ dần lên theo cách sau: • Phân tách logic các lưu lượng phòng ban- Thông qua mô hình mạng nội bộ ảo VLANs chia tách lưu lượng này trên hạ tầng mạng LAN và họ muốn duy trì sự chia tách này trên mạng WAN với tính bảo mật cao. • Triển khai VOIP tới tất cả các phòng ban chức năng và chi nhánh. • Truy nhập vào các ứng dụng tương tác thời gian thực – trong trường hợp này, thường là dạng mô hình trung tâm phân phối cuộc gọi cần có các tham số về thời gian đáp ứng và hiệu năng cao. Giải pháp đưa ra là triển khai mô hình MPLS theo công nghệ VPN/MPLS lớp 3 như hình 2-8 minh họa). Các lưu lượng thoại và dữ liệu trong mạng LAN ảo sẽ được dẫn tới các VRF tại các bộ định tuyến văn phòng chi nhánh và khi ấy chuyển tải thông qua mạng WAN đến các vị trí ở xa khác. Để đáp ứng cho nhu cầu bảo mật, giải pháp này có thể sử dụng IPSec. Ngoài ra, định tuyến nội bộ có thể được cấu hình để mà nếu có một trong số các liên kết chính bị đứt, tất cả lưu lượng có thể được định tuyến lại trong 50 ms đến các tuyến thay thế khác để đảm bảo liên tục các phiên cho tất cả người dùng.  2.4.4. MPLS VPN tại Việt Nam Tại Việt nam, MPLS hiện đang được xúc tiến xây dựng trong mạng truyền tải của Tổng công ty BCVT Việt nam (VNPT). Với dự án VoIP hiện đang triển khai, VNPT đã thiết lập mạng trục MPLS với 3 LSR lõi. Các LSR biên sẽ được tiếp tục đầu tư và mở rộng tại các địa điểm có nhu cầu lớn như Hải Phòng, Quảng Ninh ở phía Bắc, Đà Nẵng, Khánh Hoà... ở miền Trung, Bình Dương, Đồng Nai, Bà Rịa - Vũng Tàu... ở miền Nam. Hiện nay VNPT cung cấp dịch vụ MEGA-WAN với các loại hình dịch vụ VPN MPLS như sau. - VNPT MPLS VPN lớp 2 với đặc trưng là kết nối point – point với lớp truyền giữa là ATM, Ethernet, FR. Triển khai là các dịch vụ ADSL, G.SHDSL kéo từ mạng của VNPT tới các CE và khách hàng tự quản lý việc định tuyến. Ưu điểm của VPN lớp 2 là: không yêu cầu bất cứ một sự thay đổi nào từ phía mạng hiện có của khách hàng; Mức độ riêng tư phụ thuộc vào policy của khách hàng; Khách hàng tự quản lý việc định tuyến từ PCE – PCE; Các giao thức hỗ trợ cho cả Unicast và Multicast. Loại này phù hợp với các doanh nghiệp vừa và nhỏ, có mô hình mạng không phức tạp. Ít khả năng mở rộng và chỉ là công nghệ lớp 2 (ATM, FR, Ethernet trong suốt trên MPLS).   - VNPT MPLS VPN lớp 3: Công nghệ truyền dẫn vẫn là ADSL và G.SHDSL qua các DSLAM. Topo mạng là Full-Mesh. Trong dịch vụ này VNPT sẽ quản lý việc định tuyến, còn người dùng chỉ việc phó mặc việc đó cho VNPT. VPN lớp 3 của VNPT sử dụng giao thức định tuyến tĩnh, RIPv2, OSPF, BGP. Dịch vụ này có chi phí khá thấp vì chỉ cần một thiết bị định tuyến và không cần trình độ quản lý cao, do nhà cung cấp dịch vụ đã quản lý hộ người dùng. Tuy nhiên dịch vụ này cũng có một số giới hạn đó là người dùng không có khả năng tự quản lý định tuyến được như dịch vụ Wan lớp 2. Các chính sách bảo mật như firewall hoặc mã hoá được đặt ở CPE chứ không phải ở PE, do đó người dùng phải có kiến thức về bảo mật. - Các dịch vụ an ninh, bảo đảm cho VPN: Sử dụng IPsec cho việc đảm bảo an ninh trên MPLS. Bảo mật ở cả lớp 2 và lớp 3 trong mô hình OSI. Cam kết về chất lượng các ứng dụng và kết nối toàn cầu. Người dùng tuỳ biến cấu hình bảo mật. Với mạng riêng dựa trên MPLS các doanh nghiệp, tổ chức hoàn toàn có thể đạt được các mục tiêu của mình như: điều khiển nhiều hơn trên hạ tầng mạng, có được dịch vụ hiệu năng và độ tin cậy tốt hơn, cung cấp đa lớp dịch vụ tới người sử dụng, mở rộng an toàn, đảm bảo hiệu năng đáp ứng theo yêu cầu của ứng dụng, hỗ trợ hội tụ đa công nghệ và đa kiểu lưu lượng trên cùng một mạng đơn. Tuy nhiên, các đơn vị này khi chọn lựa nhà cung cấp phần cứng cần phải cẩn thận và phải căn cứ trên nhiều góc độ và tiêu chí đánh giá khác nhau. Ví dụ có thể căn cứ các tài liệu đánh giá hiệu năng sản phẩm của các đơn vụ truyền thông, bức tranh phát triển của nhà cung cấp đó cả về chiều rộng và chiều sâu. Nhờ ưu điểm vượt trội của chất lượng dịch vụ qua mạng IP và là phương án triển khai VPN mới khắc phục được nhiều vấn đề mà các công nghệ ra đời trước nó chưa giải quyết được, MPLS thực sự là một lựa chọn hiệu quả trong triển khai hạ tầng thông tin doanh nghiệp. Chương 3 GIẢI PHÁP XÂY DỰNG ỨNG DỤNG KỸ THUẬT MEGA WAN VÀO TRƯỜNG ĐẠI HỌC DUY TÂN Khi mạng được mở rộng trên một phạm vi rộng thì thiết bị nối mạng đầu tiên người ta phải sử dụng là các Router. Các Router là các thiết bị mạng hoạt động ở lớp 3 trong mô hình OSI. Nhiệm vụ chính của nó thực hiện các quyết định chọn đường cho các gói tin khi chúng được gửi từ mạng này qua mạng khác. Chính vì vậy, việc thiết kế mạng WAN và kết nối các WAN này (kỹ thuật MegaWan) xoay quanh các vấn đề thiết bị, kỹ thuật chọn đường sao cho tối ưu nhất… Hàng loạt các giải pháp mới ra đời mà ta đã đề cập ở các phần trước đã mang lại những biến đổi lớn trong cấu trúc hạ tầng mạng riêng của các người dùng doanh nghiệp, tổ chức, mà ở đây chúng ta muốn đề cập ứng dụng MegaWan vào trường ĐH DUY TÂN. Cấu trúc phổ biến hiện nay không còn xuất hiện ở dạng nội bộ LAN mà đã chuyển sang mô hình diện rộng WAN (Wide Area Network) và kết nối lại thành MegaWan.Với MegaWAN, các doanh nghiệp, tổ chức dần mở cánh cửa văn phòng mình vươn rộng khắp cả nước và ra ngoài biên giới, và kết nối thường trực với tất cả chi nhánh, khách hàng, nhà cung cấp, nhà phân phối đại lý… Trước khi tiến hành thiết kế ứng dụng kỹ thuật megawan này, chúng ta sẽ giới thiệu tổng quan về Đại Học Duy Tân. 3.1. Giới thiệu Trường Đại học Duy Tân nằm trên địa bàn trung tâm thành phố Đà Nẵng, thành phố lớn nhất miền Trung, có rất nhiều lợi thế về địa lí, khí hậu, giao thông và hạ tầng cơ sở. Đà Nẵng là cửa ngõ đến các di tích văn hoá thế giới (được UNESCO công nhận) như vườn quốc gia Phong Nha-Kẻ Bàng, cố đô Huế, phố cổ Hội An, thánh địa Mỹ Sơn, và nhiều thắng cảnh nổi tiếng khác như biển Non Nước, Ngũ Hành Sơn, bảo tàng Chàm, khu nghỉ mát Bà Nà . Những thuận lợi mà thiên nhiên ban tặng cho thành phố Đà Nẵng này đã làm Đại học Duy Tân trở thành nơi lý tưởng để học tập và vui chơi. Đại học Duy Tân được thành lập năm 1994 theo quyết định số 666/TTg của Thủ Tướng chính phủ. Là trường đại học ngoài khối công lập đầu tiên của miền Trung, đại học Duy Tân với hơn 200 giảng viên cơ hữu và 6000 sinh viên chính quy (tính đến năm 2005) đã và đang đáp ứng nhu cầu của miền Trung và đất nước đang trong quá trình hội nhập và phát triển. Với 5 cơ sở đào tạo (tổng diện tích là 37,000 m²), trong đó có 4 cơ sở ở trung tâm thành phố Đà Nẵng. Hiện tại Đại học Duy Tân có quan hệ quốc tế với trên 50 trường đại học trên khắp thế giới ở các nước như Mỹ, Canada, Úc, Singapore, New Zealand, ... 3.1.1. Nhân lực Đây là đơn vị có nhu cầu cao về nguồn nhân lực và thường biến động theo yêu cầu mỗi năm. Biểu đồ nhân lực Tổng số nhân viên Kỹ sư CNTT 2001 2002 2003 2004 2005 2008* 2010* 0 50 100 150 200 250 300 350 400 450 500 Hình*: (Nguồn thông tin từ ĐH Duy Tân) 3.1.2. Lĩnh vực hoạt động Hoạt động trong lĩnh vực giáo dục và đào tạo . Đào tạo và phát triển nguồn nhân lực CNTT. Thực hiện các dịch vụ công nghệ thông tin và Internet. Thực hiện các liên kết quốc tế và trong nước trong lĩnh vực CNTT. 3.1.3. Sơ đồ chức năng về ĐH Duy Tân Trường ĐH Duy Tân với 5 cơ sở đào tạo, nhưng chủ yếu tòa nhà 184 Nguyễn Văn Linh là trụ sở chính của trường với nhiều phòng ban, các Khoa, phòng chức năng và quản lý đặt tại đây. Chức năng: Quản lý mọi hoạt động trong lĩnh vực công nghệ thông tin, phân phối chức năng cụ thể đến các phòng ban, khoa… Địa Chỉ Trụ Sở Chính: 184 Nguyễn Văn Linh, TP Đà Nẵng. Địa Chỉ Các Cơ Sở: 21 Nguyễn Văn Linh, TP Đà Nẵng. 209 Phan Thanh, TP Đà Nẵng. 5A Quang Trung, TP Đà nẵng. Phường Hòa Khánh Nam- Liên Chiểu, TP Đà Nẵng. Cơ cấu tổ chức của ĐH Duy Tân bao gồm: Hình 3-1: Sơ đồ tổ chức Đại Học Duy Tân 3.2. Xây dựng giải pháp ứng dụng kỹ thuật MegaWan trong ĐH Duy Tân hiện nay 3.2.1. Các yêu cầu Yêu cầu đặt ra là giải pháp để các thành viên ở các chi nhánh có thể truy cập được dữ liệu các cơ sở đến trung tâm tại 184 Nguyễn Văn Linh phục vụ cho công tác đào tạo, quản lý học viên, quản lý nhân sự, quan hệ trong và ngoài nước… Giải pháp kết nối phù hợp Cấu trúc mạng đơn giản An toàn bảo mật cao Dễ quản trị Giá thành phù hợp Giảm thiểu chi phí so với các công nghệ tương đồng. Tính ổn định và khả năng mở. (Trong tương lai có thể nâng cấp các kỹ thuật mới trên nền tảng đã có). Tích hợp nhiều loại dữ liệu khác nhau: VoiceIP, VideoIP, CameraIP … Thích ứng với nhiều loại công nghệ kết nối khác nhau ( FR, ATM, Leased line, ADSL…) 3.2.2. Lựa chọn các giải pháp mạng 3.2.2.1. Leased line: Đây là giải pháp trung tâm phải thuê một đường line riêng để kết nối mạng giữa văn phòng tới các chi nhánh. Dịch vụ này có ưu điểm là luôn luôn sẵn sàng kết nối, tốc độ ổn định, độ bảo mật cao nhưng ngược lại là giá thành của nó rất là cao. Chi phí lắp đặt tốn kém. Hình 3-2: Leased line (PPP): Điểm nối điểm 3.2.2.2. Công nghệ Frame Relay Nếu như dùng Frame Relay (FR) – công nghệ chuyển mạch gói đã lỗi thời- để kết nối mạng WAN, người sử dụng sẽ phải gặp những khó khăn chủ yếu sau : các thiết bị đầu nồi FR đắt, khả năng hổ trợ của các nhà sản xuất hạn chế, khả năng nâng cấp về tốc độ và dịch vụ kém, việc vận hành, khai thác mạng phức tạp, chi phí thuê đường truyền không rẻ hơn sử dụng kênh thuê riêng. Dịch vụ truyền số liệu mạng diện rộng dựa trên công nghệ chuyển mạch khung. Hoạt động ở mức lien kết trong mô hình OSI, thích hợp cho việc truyền số liệu với tốc độ lớn. Cho phép truyền tải dữ liệu cao lên tới 45 Mbps. Hình 3-3: Công nghệ Frame Relay ứng dụng trong mạng WAN 3.2.2.3. Công nghệ VPN-MPLS Giới thiệu chung MPLS là thuật ngữ viết tắt cho Multi-Protocol Label Switching (chuyển mạch nhãn đa giao thức). Nguyên tắc cơ bản của MPLS là thay đổi các thiết bị lớp 2 trong mạng như các thiết bị chuyển mạch ATM thành các LSR (label-switching router-Bộ định tuyến chuyển mạch nhãn). LSR có thể được xem như một sự kết hợp giữa hệ thống chuyển mạch ATM với các bộ định tuyến truyền thống. Trên đường truyền dữ liệu, LSR đầu được gọi là Ingress LSR; LSR cuối cùng được gọi là Egress LSR; còn lại các LSR trung gian gọi là các Core LSR. Trong một mạng MPLS mỗi gói dữ liệu sẽ chứa một nhãn (label) dài 20 bit nằm trong tiêu đề MPLS (MPLS header) dài 32 bit. Đầu tiên, một nhãn sẽ được gán tại Ingress LSR để sau đó sẽ được chuyển tiếp qua mạng theo thông tin của bảng định tuyến. Khối chức năng điều khiển của mạng sẽ tạo ra và duy trì các bảng định tuyến này và đồng thời cũng có sự trao đổi về thông tin định tuyến với các nút (node) mạng khác. Thực hiện tạo “ đường hầm ” bằng cách gán nhãn gói tin tại thiết bị chuyển mạch của nhà cung cấp dịch vụ, và chuyển các gói dữ liệu trong mạng trên cơ sở nhãn đã gán. Hình 3-4: Mô hình mạng VPN-Tunnel VPN MPLS- Công nghệ chuyển mạch nhãn đa giao thức Công nghệ MPLS ( Multi Protocol Label Switching) được tổ chức quốc tế IETF chính thức đưa ra vào cuối năm 1997, đã phát triển nhanh chóng trên toàn cầu. Công nghệ mạng riêng ảo VPN MPLS đã đưa ra một ý tưởng khác biệt hoàn toàn so với công nghệ truyền thống, đơn giản hóa quá trình tạo “đường hầm” trong mạng riêng ảo bằng cơ chế gán nhãn gói tin (Label) trên thiết bị mạng của nhà cung cấp. Thay vì bạn phải tự thiết lập, quản trị, và đầu tư những thiết bị đắt tiền, VPN MPLS sẽ giúp doanh nghiệp giao trách nhiệm này cho nhà cung cấp – đơn vị có đầy đủ năng lực, thiết bị và công nghệ bảo mật tốt hơn nhiều cho mạng của doanh nghiệp. Hình 3-5: Mô hình mạng riêng ảo VPN MPLS Theo đánh giá của Diễn đàn công nghệ Ovum năm 2005, VPN MPLS là công nghệ nhiều tiềm năng, đang bước vào giai đoạn phát triển mạnh mẽ nhờ những tính năng ưu việt hơn hẳn những công nghệ truyền thống. Dự kiến cuối năm 2010, VPN MPLS sẽ dần thay thế hoàn toàn các công nghệ mạng truyền thống đã lạc hậu và là tiền đề tiến tới một hệ thống mạng băng rộng – Mạng thế hệ mới NGN ( Next Generation Network) Bảng 3-1: Bảng đánh giá của diễn đàn công nghệ Ovum năm 2005 VPN/VNN- Dịch vụ mạng riêng ảo VPN/MPLS tại VDC Công nghệ VPN MPLS chính thức được VDC đưa vào triển khai ứng dụng thử nghiệm thành công và đưa vào khai thác từ năm 2003. Năm 2004, giải pháp VPN MPLS của VDC đã dàng Cúp vàng Công nghệ thông tin IT Week 14 và được mở rộng khai thác trên khắp 64 tỉnh thành trên cả nước với thương hiệu VPN/VNN Giải pháp VPN/VNN MPLS của VDC được ứng dụng triển khai dựa trên công nghệ chuyển giao và thiết bị của Cisco, với mục tiêu tạo ra một giải pháp mạng an toàn bảo mật tối ưu, độ trễ thấp, và tích hợp với mọi ứng dụng dữ liệu như Data, Voice, Video.. Bảng 3-2: Dịch vụ mạng riêng ảo MPLS do VDC cung cấp Hình 3-6: Mô hình cung cấp dịch vụ VPN/VNN trên nền MPLS tại VDC VPN/VNN MPLS của VDC sử dụng kết nối Local loop – phân đoạn kết nối từ phía khách hàng tới POP MPLS của VDC - qua một đường kênh riêng Leased Line tốc độ cao. Khác với các công nghệ VPN trên Internet (PPTP, L2TP, VPN IP sec), cơ chế “đường hầm” được thiết lập hoàn toàn trong MPLS core của VDC. Mỗi kết nối VPN sẽ thiết lập một “đường hầm” riêng biệt bằng cơ chế gán nhãn và chuyển tiếp gói IP ( Label Swiching). Mỗi kết nối VPN chỉ nhận 01 giá trị nhãn (Label) duy nhất do thiết bị định tuyến MPLS trong mạng cung cấp, do vậy, mỗi “đường hầm” trong MPLS core là riêng biệt hoàn toàn. Với khả năng che giấu địa chỉ mạng lõi ( MPLS core), mọi tấn công mạng (Hacker) như DDoS, IP snoofing, Label snoofing... sẽ trở nên vô nghĩa. VPN/VNN- Ưu điểm vượt trội Công nghệ tiên tiến Công nghệ chuyển mạch nhãn đa giao thức MPLS (Multi Protocol Label Switching) là công nghệ mới nhất đang được ứng dụng tại đa số các quốc gia lớn ( Nhật, Mỹ, Singapore..) Chi phí đầu tư hiệu quả • Tận dụng khả năng xử lý của các thiết bị trong mạng core MPLS của VDC. Giảm các chi phí đầu tư thiết bị đắt tiền tại đầu khách hàng.• Đáp ứng mô hình điểm – đa điểm, cho phép kết nối mạng riêng với chỉ 1 đường kênh vật lý duy nhất • Chi phí sử dụng rẻ hơn tới 50% so với công nghệ truyền thống Bảo mật an toàn Riêng biệt hoàn toàn với sự kết hợp của : - Bảo mật tuyệt đối trên mạng core MPLS của VDC - Bảo mật tối ưu trên kênh Leased Line riêng (local loop) Khả năng mở rộng đơn giản • Khi có nhu cầu thiết lập thêm chi nhánh hoặc điểm giao dịch, khách hàng chỉ cần đăng kí thêm điểm kết nối với VDC mà không cần bất cứ một đầu tư lại gì trên mạng hiện có • Mọi cầu hình kết nối đều thực hiện tại mạng core MPLS của VDC, thành viên mạng không cần bất kì một cầu hình nào. Đơn giản hóa quản trị IT • Với quá trình quản trị và thiết lập VPN tại mạng core MPLS của VDC sẽ giúp đơn giản hóa tối đa công việc quản trị IT trong hoạt động của doanh nghiệp. • Nhận được nhiều hỗ trợ từ nhà cung cấp. • Giảm các chi phí đầu tư thiết bị đắt tiền và phức tạp. Tốc độ cao, đa ứng dụng và cam kết QoS • VPN MPLS cho phép chuyển tải dữ liệu lên tới tốc độ Gbps qua hệ thống truyền dẫn cáp quang • Không chỉ là Data, VPN MPLS tại VDC có thể triển khai đầy đủ các ứng dụng về thời gian thực như VoIP, Video Conferencing với độ trễ thấp nhất. • Cung cấp các khả năng cam kết tốc độ và băng thông tối thiểu ( QoS). VPN/VNN- So sánh với các công nghệ mạng riêng khác So sánh về ưu điểm công nghệ Bảng 3-3: So sánh ưu điểm công nghệ So sánh về xu hướng công nghệ ` Theo đánh giá của Diễn đàn công nghệ Ovum năm 2005, VPN MPLS là công nghệ nhiều tiềm năng, đang bước vào giai đoạn phát triển mạnh mẽ nhờ những tính năng ưu việt hơn hẳn những công nghệ truyền thống. Dự kiến cuối năm 2010, VPN MPLS sẽ dần thay thế hoàn toàn các công nghệ mạng truyền thống đã lạc hậu và là tiền đề tiến tới một hệ thống mạng băng rộng – Mạng thế hệ mới NGN ( Next Generation Network) Bảng 3-4: So sánh về xu hướng công nghệ So sánh chi phí sử dụng VPN MPLS tiết kiệm hơn tới 50% - càng nhiều điểm càng tiết kiệm Bảng 3-5: So sánh chi phí sử dụng Bản chất công nghệ Cải tiến tính năng chuyển mạch của mạng IP hiện tại. Dữ liệu được chuyển dựa trên các nhãn. Dữ liệu chuyển không dựa trên các bảng định tuyến sẵn MPLS- Sự kết hợp giữ IP & ATM Hình 3-7: Công nghệ MPLS Tính linh hoạt trong chuyển mạch IP có thể dùng phần mềm hoặc phần cứng. Chất lượng và nhãn chuyển mạch của ATM. Hoạt động của MPLS MPLS hoạt động dựa trên nguyên tắc gán nhãn dữ liệu. Nhãn dữ liệu được gán tại phần mạng ngoài ( edge of the Network ). Hoạt động tương thích với các chuyển mạch ATM và bộ định tuyến IP. Việc gán nhãn không liên quan đến các Router khác trong mạng. Lợi ích của MPLS Với mạng sử dụng MPLS có rất nhiều các dịch vụ được cung cấp với chất lượng cao như sau: Tải tin cho các mạng số liệu, Internet và thoại quốc gia. Lưu lượng thoại được chuyền dần sang mạng trục MPLS quốc gia. Mạng này sẽ thay thế dần mạng trục TDM quốc gia đang hoạt động. Cung cấp dịch vụ truy nhập internet tốc độ cao tại một số địa phương trọng điểm trên toàn quốc. Bước đầu hình thành mạng trục quốc gia trên cơ sở công nghệ gói. Cung cấp dịch vụ truyền số liệu tốc độ cao cho các doanh nghiệp , tổ chức như ngân hang, bưu điện, các trường học ở xa kết nối nhau mà cụ hể ở đây là trường ĐH Duy Tân. Cung cấp dịch vụ mạng riêng ảo VPN cho các công ty xuyên quốc gia và các doanh nghiệp , trường học lớn… Đây đang được coi như dịch vụ quan trọng nhất tác động đến việc thay đổi cơ cấu kinh doanh và tăng khả năng kết nối thông tin qua lại một cách có hiệu quả tốt nhất. 3.3. Thiết kế và cài đặt mạng MegaWan cho Đại Học Duy Tân 3.3.1. Khảo Sát, phân tích 3.3.1.1. Khảo sát hiện trạng Hiện nay Đại Học Duy Tân là một mô hình đào tạo đa ngành nghề và đa lĩnh vực, và nhiều loại hình đào tạo khác nhau như: chính qui dài hạn, liên thông, bằng hai…và số lượng sinh viên không ngừng tăng nhanh mỗi năm, dự kiến đến năm 2020 lên đến 20.000 sinh viên. Với nhu cầu đó, đòi hỏi cần phải có một hệ thống mạng có khả năng mở rộng, ổn định cao…tích hợp các loại hình đào tạo khác nhau nên việc xây dựng giải pháp tổng thể về hạ tầng mạng cho trường ĐH Duy Tân là không thể thiếu được. Qua quá trình khảo sát tại Đại học Duy Tân, chúng ta có một số số liệu như sau. Tòa nhà 184 Nguyễn Văn Linh Tòa nhà này bao gồm 12 tầng Tầng 1 là tiền sảnh đặt 1Switch ( SW ) + 2 PCs. Tầng 2 bao gồm Trung tâm Xúc tiến Việc làm, Đoàn TN, được đặt 10 PCs + 1SW+ 1printer (PR). Tầng 3 bao gồm Khoa Xây Dựng, phòng thực hành số 5, được đặt 50 PCs + 1SW + 1PR. Tầng 4 bao gồm Văn phòng HĐQT, Giảng đường A1, được đặt 5 PCs + 1SW + 1PR. Tầng 5 bao gồm Khoa Kiến trúc, Giảng đường B1, được đặt 5 PCs + 1SW + 1PR. Tầng 6 bao gồm Phòng Tổ chức nhân sự, Giảng đường C1, được đặt 5 PCs + 1SW + 1PR. Tầng 7 bao gồm ClassRoom, Giảng đường D1, được đặt 5 PCs + 1SW. Tầng 8 bao gồm Multimedia Lab, Khoa Du Lịch, CIT Network, được đặt 60PCs + 1Cable Hub 184NVL + 3PR. Tầng 9 bao gồm Khoa Ngoại Ngữ, Khoa CNTT, Khoa Kế Toán, được đặt 20 PCs + 1SW + 4PR. Tầng 10 bao gồm CIT-Resource, CIT- Soft, phòng truyền thống, được đặt 10 PCs + 1SW + 2PR. Tầng 11 là các phòng học của NIIT, được đặt khoảng 50PCs + 1SW. Tầng 12 là President, Meeting room được đặt 1SW. Tòa nhà 209 Phan Thanh Tòa nhà này bao gồm 7 tầng Tầng 1 bao gồm phòng QLSV, Văn phòng,phòng Y tế, lab3, lab4, được đặt một cable hub 209PT nối về phòng thanh tra của tòa nhà 209&184 bằng cable 100/1000 Mbps+60PCs+3PR. Tầng 2 bao gồm comp lab1, comp lab2 với hơn 50 PCs. Tầng 3 gồm giảng đường A, compt lab6, đặt 4 port cho mỗi phòng nối vào cable 10/100 Mbps. Tầng 4 gồm classroom 2-3-4-5, đặt tại mỗi phòng 2 port. Tầng 5 gồm hall B-C đặt 4port. Tầng 6 gồm hall D-E cũng đặt 4 port Tầng 7 là thư viện của ĐHDT với hơn 20PCs+1PR. Tòa nhà nối 184 NVL & 209 PT Tòa nhà này gồm 7 tầng Tầng 1 gồm THCN,Cty Du Lịch được đặt một cable hub với dây Fiber Optic về CIT+4port UTP+2PR+10PCs. Tầng 2 gồm phòng thanh tra, hiệu trưởng, có 4 port UTP+ 2PR + 5PCs. Tầng 3 gồm phòng đào tạo, đặt 4 port UTP + 20PCs +2 PR. Tầng 4 gồm classroom, TT Olympia, đặt 4 Port UTP +5 PCs +1PR. Tầng 5 gồm classroom 7, tổ toán, đặt 4port UTP+5 PCs+1PR. Tầng 6 gồm classroom 8, MacLenin, đặt 4port TP+5PCs+1PR. Tầng 7 gồm classroom 9, TT.ĐTTX, đặt 4port+5 PCs+1PR. Tòa nhà 21 Nguyễn Văn Linh Toàn nhà này gồm 6 tầng Tầng 1 gồm phòng KHTC, đặt 1SW+ 5 PCs+ 1PR. Tầng 2 gồm phòng CIT, phòng thực hành mạng,đặt 1SW+10PCs+1PR. Từ tầng 3 đến tầng 6 là các phòng học ,riêng tầng 5 là phòng thực hành có khoảng 50PCs+1SW… Ước tính sau khi khảo sát tại các cơ sở của trường có tất cả 10 phòng máy, mỗi phòng khoảng 50PCs, cùng với Cán Bộ Giảng Viên cũng lên tới khoảng hơn 600PCs. Ngoài ra còn có 9 Access Point (AP) để phục vụ nhu cầu kết nối mạng không dây Wireless của trường. Nhận Xét: Mô hình kết nối mạng hiện nay của trường là VPN Site To Site. Ưu Điểm: Dễ quản trị, có tính bảo mật tương đối cao, có khả năng mở rộng, chi phí không lớn Nhược điểm: Nếu muốn mở rộng mô hình này thành Site To Multisite gặp một số khó khăn như: Cần thay đổi một số kết cấu, trang thiết bị . Tích hợp các dịch vụ khác như VoiceIP, VideoIP, CameraIP… thì băng thông không thể đáp ứng Các cơ sở yêu cầu thường xuyên kết nối đồng thời truy cập dữ liệu đến trung tâm dữ liệu thì kỹ thuật này không hỗ trợ được. Do đó, giải pháp được lựa chọn là Site To MultiSte dựa trên kỹ thuật MegaWan. 3.3.1.2. Phân tích yêu cầu Mục tiêu hệ thống: Hệ thống MegaWan của trường được thiết kế nhằm tạo một liên kết hai chiều từ các cơ sở đến trung tâm theo mô hình Site To MultiSite , với yêu cầu thường xuyên, mục đích xây dựng trên cơ sở chính kết nối đến các cơ sở còn lại. Nối các LAN ở các phòng ban thành WAN và kết nối các WAN đó lại để có mô hình MegaWan hoàn chỉnh. Các hệ thống có tính ổn định, chính xác cao. Đảm bảo tốt đầu tư ban đầu cho hệ thống. Mở rộng thêm các tính năng mới theo nhu cầu phục vụ dạy học tiên tiến đặc biệt là mô hình giảng dạy trực tuyến. Yêu cầu: Cho phép kết nối toàn bộ các máy tính ở các cơ sở với tốc độ 100Mbps, 1000Mbps… Giải quyết tốt lưu lượng băng thông chính giữa các cơ sở. Kết nối được Internet qua cổng ADSL (SHDSL) với tốc độ cao. Có thiết kế cáp dự phòng với số lượng tối thiểu là 2 cổng UTP. Được thiết kế để đáp ứng một cách đầy đủ nhu cầu khai thác thông tin từ trung tâm mạng đến các chi nhánh và tới Internet. Hỗ trợ các cách thức kết nối mạng diện rộng với các cơ sở theo đường truyền Leased Line, Frame relay, xDSL, MegaWan… Thực hiện việc quảng bá hình ảnh ĐẠI HỌC DUY TÂN thông qua 2 kênh thuê riêng tới hai nhà cung cấp dịch vụ là IXP/ISP. Thiêt bị kết nối được chọn từ các hang cung cấp thiết bị mạng nổi tiếng như Cisco,Cnet, Noter … 3.3.2. Mô hình Hình 3-8 : Mô hình kết nối MegaWan tổng thể của ĐH Duy Tân è Với mô hình tổng thể này, ĐHDT tòa nhà 184 bao gồm 4 đường ADSL với tố độ 4Mbps và một đường Leasead line với tốc độ 1,5Mbps. Tòa nhà 21 NVL chỉ có một đường ADSL với tốc độ 4Mbps. 3.3.3. Lựa chọn phương án kết nối Với các ưu khuyết điểm tôi đã trình bày từ (trang 46-51), ( trang 67-74 ) so sánh với các dịch vụ khác, kết nối WAN dùng công nghệ mạng riêng ảo VPN MPLS (còn gọi là MegaWan) là phương án kết nối mà em xin đưa ra để tham khảo, nhằm mục đích áp dụng cho ĐHDT trong tương lai. 3.3.4. Dự thảo mô hình mạng Tòa nhà 184 NVL Hình 3-9: Sơ đồ chạy cable mạng Hình 3-10 : Sơ đồ đấu nối giữa các khu vực Hình 3-11: Sơ đồ đấu nối Switch Tòa nhà 21 NVL Hình 3-12: Sơ đồ tòa nhà 21NVL 3.3.5. Mô hình kết nối WAN sử dụng Leased Line của trường hiện nay Hình 3-13: Kết nối WAN theo dạng Leased line 3.3.6.Kết nối các cơ sở lại qua MegaWan dùng công nghệ MPLS/VPN Hình 3-14: Sơ đồ kết nối qua GRE Tunnel è Có thể nói, đối với các doanh nghiệp, tổ chức, trường học, loại hình mạng riêng ảo trên mạng diện rộng đang là nhu cầu bức thiết nhất và thể hiện lợi ích rõ rang với hoạt động của các đối tượng này. Để một công ty đạt được mục tiêu kinh doanh, hạ tầng mạng riêng phải được tỏa rộng đi mọi hướng. Mạng MPLS có khả năng hổ trợ hàng nghìn mạng riêng ảo chỉ trên một hạ tầng vật lý duy nhất nhờ đặc điểm phân chia nhiệm vụ đã giảm bớt yêu cầu kết nối ngang hàng hoàn toàn đầu-cuối qua mạng. Xét về khả năng hỗ trợ VPN , các hạ tầng mạng riêng ảo truyền thống dựa trên các công nghệ cũ như: Leased Line, X25, ATM… không thể đáp ứng được thực trạng đa dạng về yêu cầu, đa dạng về chất lượng dịch vụ của hàng loạt các khách hàng như hiện nay. Do đó, giải pháp mà tôi đưa ra ở đây là phải xây dựng một mạng có tính mềm dẻo và đa dạng dịch vụ. Mạng này phải tích hợp được các dịch vụ của Intranet, Extranet, Internet và hỗ trợ cho mô hình VPN đa dịch vụ. Sự xuất hiện kỹ thuật MegaWan dựa trên nền mạng thế hệ mới NGN đã đáp ứng được các yêu cầu trên, đó cũng là sự lựa chọn ưu tiên của em. Hình 3-15: Sơ đồ kết nối MegaWan ứng dụng công nghệ NGN 3.3.7. Lựa chọn thiết bị Tại 184NVL Phần cứng Thiết bị kết nối Router 2650 server, Access Point Đường truyền ADSL, SHDSL Server Server(Intel® Pentium® 4 Processor 3 GHz , 1MB L2 cache, 800MHz FSB- 512MB PC2700 ECC SDRAM) Bảo mật Tích hợp sẵn trên Router 2650 server Phần mềm Trên Server Windows2003 Server (ISA 2004) Bảo mật Các chính sách có tích hợp sẵn trong Windows 2003 Server ( ISA 2004) Tại 21NVL Phần cứng Thiết bị kết nối Router 2650 client Đường truyền ADSL, SHDSL Server Server(Intel® Pentium® 4 Processor 3 GHz , 1MB L2 cache, 800MHz FSB- 512MB PC2700 ECC SDRAM) Bảo mật Tích hợp sẵn trên Router 2650 client Phần mềm Trên Client Windows2003 pro (Windows XP) Trên Server Windows2003 Server (ISA 2004) Bảo mật Các chính sách có tích hợp sẵn trong Windows 2003 pro, (Windows XP) Ngoài ra còn có các loại cáp như: Cable UTP CAT 5 với tốc độ 10/100Mbps, 100/1000 Mbps, và Cable Fiber Optic… 3.3.8. Các bước cài đặt Kết nối vật lý các site lại + Đi dây + Kết nối các Server + Kết nối các Router, Switch… Cài đặt cấu hình Server,Client, Router, FireWall… Kiểm tra toàn bộ hệ thống, vận hành ứng dụng. Sơ đồ IP và Subneting STT Đơn Vị Subnet IP Cấp Phát Subnet Mask 1 TrungTâm e-CamDus 172.16.0.32/27 172.16.0.33->.62 255.255.255.22 2 Khoa CNTT 172.16.1.0/28 172.16.1.1->.14 255.255.255.24 3 Khoa Ngoại Ngữ 172.16.1.16/28 172.16.1.17->.30 255.255.255.24 4 Khoa QTKD&DL 172.16.1.32/28 172.16.1.33->.47 255.255.255.24 5 Khoa Kế Toán 172.16.1.48/28 172.16.1.48->.62 255.255.255.24 6 Phòng Đào Tạo 172.16.1.64/28 172.16.1.65->.78 255.255.255.24 7 Văn Phòng 172.16.1.80/28 172.16.1.81->.94 255.255.255.24 8 Phòng QLSV 172.16.1.96/28 172.16.1.97->.110 255.255.255.24 9 Trung tâm tin học 172.16.1.112/2 172.16.1.113->.12 255.255.255.24 10 Phòng bảo trì 172.16.1.128/2 172.16.1.129->.14 255.255.255.24 11 VP-HĐQT 172.16.1.144/2 172.16.1.145->.15 255.255.255.24 12 Các đơn vị khác 172.16.1.160/2 172.16.1.161->.17 255.255.255.24 13 Phòng thực hành số 1 172.16.2.0/26 172.16.2.1-> 255.255.255.19 14 Phòng thực hành số 2 172.16.2.64/26 172.16.2.65-> 255.255.255.19 15 Phòng thực hành số 3 172.16.2.128/2 172.16.2.129-> 255.255.255.19 16 Phòng thực hành số 4 172.16.2.192/2 172.16.2.193-> 255.255.255.19 17 Phòng thực hành số 5 172.16.3.0/26 172.16.3.1->.62 255.255.255.19 18 Phòng Internet SV 172.16.3.64/26 172.16.3.65-> 255.255.255.19 19 Phòng Internet GV1 172.16.3.128/2 172.16.3.129-> 255.255.255.19 20 Phòng Internet GV2 172.16.3.192/2 172.16.3.193-> 255.255.255.19 Bảng 3-6 : Sơ đồ IP & Subneting 3.3.9. Đảm bảo an ninh mạng Bản thân các Router thường đã tích hợp sẵn chức năng FireWall trong phần mềm điều hành IOS của nó . Ta có thể đặt chế độ an ninh trên từng cổng của Router theo chức năng chế độ khác nhau. Trong bất cứ một doanh nghiệp, công ty, trường học nào cũng có một đường nối quan trọng nhất cần phải đặt chứ năng Firewall là cổng nối tới Internet . Firewall làm nhiệm vụ ngăn chặn và bảo mật các máy tính của mạng nội bộ với mạng Internet phía bên ngoài. Như vậy, một giao tiếp mạng của Firewall sẽ kết nối với phân mạng bên trong và một giao tiếp mạng sẽ kết nối với phân mạng Internet công cộng. Việc thiết đặt các chế độ an ninh được thực hiện thông qua việc cấu hình cho Router. Ta có thể đặt chế độ lọc gói tin để Router tự động kiểm tra địa chỉ các gói tin đến và quyết định có cho phép gởi tiếp hay là không, hoặc là có thể đặt chế độ lọc giao thức , dịch vụ bằng việc đọc các số hiệu cổng trên các gói tin. An toàn hơn ta có thể thiết lập đồng thời nhiều chế độ , nhiều mức an ninh khác nhau. Với biện pháp này các truy nhập trái phép sẽ không thể truy nhập vào mạng được… Hình 3-16: Mô hình Firewall tổng quan 3.3.10. Kế hoạch thực hiện STT Mô tả công việc Ngày 1 7 9 10 12 13 14 1 Lắp đặt hạ tầng mạng cơ sở 2 Kết nối vật lý giữa các site 3 Cài đặt máy chủ, DCs 4 Vận hành, triển khai và thử nghiệm các chương trình ứng dụng, các dịch vụ v.v… 5 Kiểm tra toàn diện, đánh giá kết quả, báo cáo Bảng 3-7: Kế hoạch thực hiện công việc. 3.4. Dự trù kinh phí Đơn vị : VND Thiết bị mạng : (………………VND) Thiết bị máy chủ và máy trạm : (………………VND) Hệ thống Rack Cabinet và cáp mạng : (………………VND) Thiết bị sửa chữa, bảo trì, bảo dưỡng : (………………VND) Chi phí trả Internet hàng tháng : ( Trên 40 triệu VND ) Tổng kinh phí dự kiến : (………………VND ) Bảng 3-8: Bảng dự trù kinh phí thực hiện Chương 4 ĐÁNH GIÁ VÀ HƯỚNG PHÁT TRIỂN ĐỀ TÀI 4.1. Đánh giá kết quả thực hiện Qua quá trình tìm hiểu thực hiện đề tài này, tôi nhận thấy: Hiểu được kỹ thuật Megawan Cách triển khai mô hình mạng cụ thể cho doanh nghiệp, trường học trên nền mạng VPN. Việc lựa chọn, tích hợp các giải pháp và kỹ thuật liên quan để nâng cao hiệu quả trong triển khai các mạng có qui mô tương đối lớn. Cài đặt và lựa chọn thiết bị phù hợp.đã đáp ứng được những nội dung đề ra và hoàn thành đúng thời gian qui định. Ngoài ra, việc nghiên cứu đề tài này góp phần hoàn thiện cho kiến thức mà chưa được hoàn thiện ở trường đối với sinh viên ngành kỹ thuật mạng. Đề tài đạt được là tính thực tiễn cao, đối với sinh viên năm cuối khoa Công Nghệ Thông Tin chuẩn bị ra trường và bắt tay vào công việc thực tế thì kinh nghiệm có được từ những ngày thực tập và một đề tài mang tính thực tế cao là một điều vô cùng quý giá cho bản thân em… Tuy nhiên đề tài này vẫn còn một số hạn chế nhất định: - Chưa chỉ rõ những khó khăn trong quá trình triển khai. - Các giải pháp nêu trên đề tài này cần có môi trường thực hiện. - Dự toán kinh phí chưa chính xác. 4.2. Hướng phát triển Với tốc độ phát triển như vũ bảo của công nghệ thông tin như hiện nay, những phần mềm ứng dụng nói chung và hệ thống mạng máy tính để kết nối các máy tính lại với nhau nói riêng đã ngày càng trở nên không thể thiếu trong các doanh nghiệp, trường học, vì vậy đề tài thiết kế mạng LAN&WAN và tìm hiểu kỹ thuật MegaWan ngày trở nên phổ biến và đóng góp quan trọng vào việc phát triển ứng dụng cho mạng máy tính cũng như nhu cầu nối kết các Lan,Wan thành MegaWan lại để phục vụ cho việc trao đổi thông tin và dữ liệu, trong tương lai những công nghệ mới sẽ ra đời kèm theo đó là những ứng dụng đòi hỏi mạng phải có băng thông cao mới có thể đáp ứng được. Hy vọng rằng, đề tài phần nào sẽ hỗ trợ cho những ai có nhu cầu ứng dụng công nghệ MegaWan vào hoạt động kinh doanh của công ty, doanh nghiệp, trường học của mình. Em xin chân thành cảm ơn… KẾT LUẬN Qua tìm hiểu về chuyên đề này, em thấy bản thân mình còn nhiều thiếu sót cần phải học hỏi. Tuy nhiên qua chuyên đề này có phần nào đó giúp em hiểu được kỹ thuật MegaWan và ứng dụng việc xây dựng mạng MegaWan vào trường Đại Học Duy Tân. Chuyên đề này tuy đã hoàn thành nhưng còn nhiều thiếu sót và khuyết điểm, nhưng lần đầu tiên làm chuyên đề này thì không thể tránh khỏi được, rất mong sự hướng dẫn và chỉ bảo của thầy để em có thể tìm hiểu sâu hơn và có thể hoàn thành tốt hơn. Em xin chân thành cảm ơn. TÀI LIỆU THAM KHẢO Tiếng Việt [1] Nguyễn Gia Như. Bài giảng thiết kế mạng. Khoa Công Nghệ Thông Tin, Đại Học Duy Tân, 1-2006. [2] Nguyễn Minh Nhật. Bài giảng Mã hóa và An Toàn Mạng.Khoa, Công Nghệ Thông Tin, Đại Học Duy Tân, 5-2007. [3] Mạng căn bản. Nhà xuất bản thống kê. [4] Giáo trình hệ thống mạng máy tính CCNA. [5] Công nghệ máy tính. Nhà xuất bản Bưu Điện. Tiếng Anh: [6] LAN design Manual. BICSI. [7] ISP network design. IBM. Website: [8] www.google.com [9] www.quantrimang.com [10] www.manguon.com [11] www.diendantinhoc.com [12] www.tapchibcvt.gov.vn/News/PrintView.aspx?ID=16548 [13] www.athena.com.vn/ebook/detail_ebook.php?id=33 [14] www.athena.com.vn/ebook/detail_ebook.php?id=33&p=2 [15] www.support.vnn.vn/sanpham_dichvu/content.asp?dv=92&dvc=112 [16] www.duytan.edu.vn/webduytan/ PHỤ LỤC CÁC THUẬT NGỮ QUAN TRỌNG MPLS Multi Protocol Lable Switching AAA Authentication, Authorization, Account ACK Acknowlegment ADSL Asymmetric Digital Subscriber Line AES Advanced encryption standard AES Advanced Encryption Standard AP Access point ASK Amplitude shift keying CCK Complementary Code Keying CDMA Code Divison Multiple Access CPE Customer Premises Equipment CSMA/CA Carrier Sense Multiple Access /Collision CTS Clear To Send DCS Dynamic Channel Selection DHCP Dynamic Host Configuration Protocol DSSS Direct Sequence Spread Strectrum EAP Extensible Authentication Protocol EAP Extensible Authentication Protocol ESS Extended Service Set FDD Frequency Division Duplexing FDMA Frequency Division Multiple Access FHSS Frequency Hopping Spread Spectrum FIPS Federal Information Processing Standard FSK Frequency Shift keying ICV Integrity Check Value IDS Intrusion Detection System IEEE Institute of Electrical and Electronics Engineers IMS Industrial, Scientific and Medical MAC Media Access Control NIST National Institute of Standards and Technology OFDM Orthogonal Frequency Division Multiplexing PCMCIA Personal Computer Memory Card International Association PDA Personal digital assistant QoS Quality of Service QPSK Quardrature Phase Shift Keying RADIUS Remote Authentication Dial _ In User Service RTS Request To Send SSIDs Service Set Identifiers VPN Virtual Private Network WDMZ Wireless DeMilitarized Zone WECA Wireless Ethernet Compatibility Alliance uh WEP Wired Equivalent Privacy WEP Wired Equivalent Privacy Wi-fi Wireless fidelity FR Frame Relay RIP Routing Information Protocol OSPF Open Shortest Parth First ISP Internet Service Provider GRE Generic Routing Encapsulaoin NAS Network Access Server ISDN Intergrated Services Digital Network PPP Point To Point TCP Transmission Control Protocol