Luận văn Xây dựng hệ thống thông tin mạng

Các DC sẽ tự động đồng bộ thông tin vào thời gian được định trước (có thể thiết lập đồng bộ tài nguyên thông tin trên các DC vào thời điểm ít kết nối trao đổi thông tin của người dùng nhất hoặc ngoài giờ làm việc). Mỗi khi có sự thay đổi hay cập nhật thông tin trên mỗi site thì các DC sẽ tự động cập nhật (sao chép) nội dung của dịch vụ thư mục thông qua kết nối mạng WANs. Ví dụ, khi đăng kí tài kho ản cho một người dùng mạng, nhà quản trị có thể ngồi tại bất kì vị trí nào trên m ạng Intranet để tạo mới người dùng đó. Sau khi tạo mới người dùng, thì thông tin đó sẽ tự động cập nhật lên từng DC trong domain theo thời gian định trước, người dùng có thể đăng nhập mạng tại bất kì vị trí n ào trong mạng Intranet.

pdf75 trang | Chia sẻ: lylyngoc | Ngày: 23/11/2013 | Lượt xem: 1578 | Lượt tải: 10download
Bạn đang xem nội dung tài liệu Luận văn Xây dựng hệ thống thông tin mạng, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
m đều đã có 1 mạng cục bộ LAN. Khi đó họ có thể xây dựng một mạng riêng ảo VPN để kết nối các mạng cục bộ đó trong 1 mạng riêng thống nhất. Extranet-based: Khi một công ty có một mối quan hệ mật thiết với một công ty khác (ví dụ như, một đồng nghiệp, nhà hỗ trợ hay khách hàng), họ có thể xây dựng một mạng extranet VPN để kết nối kiểu mạng Lan với mạng Lan và cho phép các công ty đó có thể làm việc trong một môi trường có chia sẻ tài nguyên. Lợi ích của VPN:  Mở rộng vùng địa lý có thể kết nối được  Tăng cường bảo mật cho hệ thống mạng  Giảm chi phí vận hành so với mạng WAN truyền thống  Giảm thời gian và chi phí truyền dữ liệu đến người dùng ở xa  Tăng cường năng suất  Giảm đơn giản hoá cấu trúc mạng Hình 3.6: Kiến trúc mạng sử dụng 3 loại VPN 44  Cung cấp thêm một phương thức mạng toàn cầu  Cung cấp khả năng hỗ trợ thông tin từ xa  Cung cấp khả năng tương thích cho mạng băng thông rộng  Cung cấp khả năng sinh lợi nhuận cao hơn mạng WAN truyền thống  Một mạng VPN được thiết kế tốt sẽ đáp ứng được các yêu cầu sau:  Bảo mật (Security)  Tin cậy (Reliability)  Dễ mở rộng, nâng cấp (Scalability)  Quản trị mạng thuận tiện (Network management)  Quản trị chính sách mạng tốt (Policy management) 3.3.2. Tính bảo mật của VPN: Một VPN được thiết kế tốt thường sử dụng vài phương pháp để duy trì kết nối và giữ an toàn khi truyền dữ liệu: Bức tường lửa: Một tường lửa (firewall) cung cấp biện pháp ngăn chặn hiệu quả giữa mạng riêng của bạn với Internet. Bạn có thể sử dụng tường lửa ngăn chặn các cổng được mở, loại gói tin được phép truyền qua và giao thức sử dụng. Một vài sản phẩm VPN, chẳng hạn như router 1700 của Cisco, có thể nâng cấp để bao gồm cả tường lửa bằng cách chạy Cisco IOS tương ứng ở trên router. Bạn cũng nên có tường lửa trước khi bạn sử dụng VPN, nhưng tường lửa cũng có thể ngăn chặn các phiên làm việc của VPN. Mã hoá: Đây là quá trình mật mã dữ liệu khi truyền đi khỏi máy tính theo một quy tắc nhất định và máy tính đầu xa có thể giải mã được. Hầu hết các hệ thống mã hoá máy tính thuộc về 1 trong 2 loại sau:  Mã hoá sử dụng khoá riêng (Symmetric-key encryption)  Mã hoá sử dụng khoá công khai (Public-key encryption) Trong hệ symmetric-key encryption, mỗi máy tính có một mã bí mật sử dụng để mã hoá các gói tin trước khi truyền đi. Khoá riêng này cần được cài trên mỗi máy tính có trao đổi thông tin sử dụng mã hoá riêng và máy tính phải biết được trình tự giải mã đã được quy ước trrước. Mã bí mật thì sử dụng để giải mã gói tin. Ví dụ; Khi tạo ra một bức thư mã hoá mà trong nội dung thư mỗi ký tự 45 được thay thế bằng ký tự ở sau nó 2 vị trí trong bảng ký tự . Như vậy A sẽ được thay bằng C, và B sẽ được thay bằng D. Bạn đã nói với người bạn khoá riêng là Dịch đi 2 vị trí (Shift by 2). Bạn của bạn nhận được thư sẽ giải mã sử dụng chìa khoá riêng đó. Còn những người khác sẽ không đọc được nội dung thư. Máy tính gửi mã hoá dữ liệu cần gửi bằng khoá bí mật (symetric key), sau đó mã hoá chính khóa bí mật (symetric key) bằng khoá công khai của người nhận (public key). Máy tính nhận sử dụng khoá riêng của nó (private key) tương ứng với khoá public key để giải mã khoá bí mật (symetric key), sau đó sử dụng khoá bí mật này để giải mã dữ liệu Hệ Public-key encryption sử dụng một tổ hợp khoá riêng và khoá công cộng để thực hiện mã hoá, giải mã. Khoá riêng chỉ sử dụng tại máy tính đó, còn khoá công cộng được truyền đi đến các máy tính khác mà nó muốn trao đổi thông tin bảo mật. Để giải mã dữ liệu mã hoá, máy tính kia phải sử dụng khoá công cộng nhận được, và khoá riêng của chính nó. Một phần mềm mã hóa công khai thông dụng là Pretty Good Privacy (PGP) cho phép mã hoá đựợc hầu hết mọi thứ. Bạn có thể xem thêm thông tin tại trang chủ PGP. ( Ứng dụng Giao thức bảo mật IPSec: Internet Protocol Security Protocol cung cấp các tính năng bảo mật mở rộng bao gồm các thuật toán mã hóa và xác thực tốt hơn. IPSec có hai chế độ mã hoá: kênh tunnel và lớp truyền tải transport. Mã hoá kênh Tunnel mã hoá cả header và nội dung mỗi gói tin trong Hình 3.7: Một hệ thông truy cập xa dựa trên VPN sử dụng IPSec 46 khi mã hoá lớp truyền tải chỉ mã hoá nội dung gói tin. Chỉ có những hệ thống sử dụng IPSec tương thích mới có khả năng tiên tiến này. Mặc dù vậy, tất cả các thiết bị phải sử dụng một khoá dùng chung và các tường lửa ở mỗi mạng phải có chính sách cấu hình bảo mật tương đương nhau. IPSec có thể mã hoá dữ liệu truyền giữa rất nhiều thiết bị, chẳng hạn như:  Từ router đến router  Từ firewall đến router  Từ PC đến router  Từ PC đến server Máy chủ xác thực, xác nhận và quản lý tài khoản AAA Server AAA: (Authentication, Authorization, Accounting Server) được sử dụng để tăng tính bảo mật trong truy nhập từ xa của VPN. Khi một yêu cầu được gửi đến để tạo nên một phiên làm việc, yêu cầu này phải đi qua một AAA server đóng via trò proxy. AAA sẽ kiểm tra:  Bạn là ai (xác thực)  Bạn được phép làm gì (xác nhận)  Bạn đang làm gì (quản lý tài khoản) Các thông tin về tài khoản sử dụng đặc biệt hữu ích khi theo dõi người dùng nhằm mục đích bảo mật, tính hoá đơn, hoặc lập báo cáo. 3.3.3. Các kỹ thuật sử dụng trong VPN Phụ thuộc vào kiểu VPN (truy nhập từ xa Remote-Access hay kết nối ngang hàng Site-to-Site), bạn sẽ cần một số thành phần nhất định để hình thành VPN, bao gồm:  Phần mềm máy trạm cho mỗi người dùng xa  Các thiết bị phần cứng riêng biệt, ví dụ như: bộ tập trung (VPN Concentrator) hoặc tường lửa (Secure PIX Firewall)  Các máy chủ VPN sử dụng cho dịch vụ quay số  Máy chủ truy cập NAS (Network Access Server) dùng cho các người dùng VPN ở xa truy nhập  Trung tâm quản lý mạng và chính sách VPN 47 Hiện nay do chưa có tiêu chuẩn rộng rãi để triển khai VPN, rất nhiều công ty đã tự phát triển các giải pháp trọn gói cho riêng mình. 3.3.4. Kỹ thuật Tunneling Hầu hết các VPN đều dựa trên tunneling để hình thành mạng riêng ảo trên nền internet. Về cơ bản, tunneling là quá trình xử lý và đặt toàn bộ các gói tin (packet) trong một gói tin khác và gửi đi trên mạng. Giao thức sinh ra các gói tin được đặt tại cả hai điểm thu phát gọi là giao tiếp kênh - tunnel interface, ở giao tiếp đó các gói tin truyền đi và đến. Kênh thông tin yêu cầu bao giao thức khác nhau: Giao thức sóng mang - Carrier protocol: (còn gọi là giao thức truyền tải) giao thức này sử dụng trên mạng để thông tin về trạng thái đường truyền. Giao thức đóng gói - Encapsulating protocol: bao gồm các giao thức GRE, IPSec, L2F, PPTP, L2TP cho phép che giấu nội dung truyền Giao thức gói - Passenger protocol: giao thức bao gồm IPX, NetBeui, IP Tunneling rất tốt khi sử dụng cho VPN. Ví dụ, bạn có thể đặt một gói tin có giao thức không hỗ trợ cho internet chẳng hạn như NetBeui vào trong một gói tin IP và truyền nó đi an toàn thông qua mạng Internet. Hoặc là bạn có thể đặt một gói tin sử dụng trong mạng riêng - không định tuyến được (non-routable) vào trong một gói tin có địa chỉ IP toàn cầu (định tuyến được) – “globally unique IP address” và dùng để mở rộng mạng riêng trên nền tảng mạng Internet. Hình 3.8: Kiến trúc VPN Site-to-Site 48 Trong mô hình VPN Site-to-Site, bộ định tuyến dùng chung GRE (Generic Routing Encapsulation) thường là giao thức đóng gói hỗ trợ cho việc đóng gói bản tin giao thức gói và truyền đi trên mạng nhờ giao thức sóng mang - thường dựa trên IP. Nó chứa các thông tin về kiểu gói tin được đóng gói, thông tin về kết nối giữa máy chủ và máy khách. Thay thế cho GRE, IPSec trong Tunnel Mode thường sử dụng như giao thức đóng gói. IPSec làm việc tốt trên cả hai mô hình VPN Remote-Access và Site-to-Site. IPSec hỗ trợ cho cả hai giao thức này. Trong mô hình VPN truy nhập từ xa, tunneling thường sử dụng PPP. Một phần của giao thức TCP/IP, PPP là giao thức truyền tải cho các giao thức IP khác khi thông tin trên mạng giữa các máy tính. Remote-Access VPN tunneling dựa trên nền tảng PPP. Mỗi giao thức được liệt kê dưới đây được xây dựng dựa trên nền giao thức PPP và thường dùng trong VPN truy nhập từ xa. L2F (Layer 2 Forwarding): do Cisco phát triển, L2F sẽ sử dụng bất kỳ một cơ chế xác nhận do PPP hỗ trợ. PPTP (Point-to-Point Tunneling Protocol): do PPTP Forum phát triển, một nhóm cộng tác bao gồm US Robotics, Microsoft, 3COM, Ascend và ECI Telematics. PPTP hỗ trợ cho mã hoá 40-bit và 128-bit được sử dụng trong bất kỳ cơ chế xác nhận nào sử dụng trong PPP. L2TP (Layer 2 Tunneling Protocol): được phát triển gần đây nhất, L2TP là sản phẩm do các thành vỉên trong PPTP Forum hình thành nên, Cisco và IETF (Internet Engineering Task Force). Nó tích hợp các tính năng của cả PPTP và L2F, L2TP đồng thời cũng hỗ trợ IPSec. L2TP có thể sử dụng như giao thức kênh thông tin - tunneling protocol trong mô hình VPN Site-to-Site cũng như VPN tuy nhập từ xa. Trong thực tế, L2TP có thể tạo kênh thông tin giữa:  Client và Router  NAS và Router  Router và Router 49 Tunneling giống như chuyên chở máy tính bằng xe ô tô. Nhà cung cấp đóng gói chiếc máy tính (passenger protocol) vào trong hộp đựng (encapsulating protocol) và đặt vào xe ô tô (carrier protocol) đang đỗ ở cổng nhà sản xuất (entry tunnel interface). Ô tô (carrier protocol) sẽ chuyên chở cái máy tình đóng hộp trên đường (Internet) đến nhà bạn (exit tunnel interface). Bạn nhận chiếc hộp rồi mở ra (encapsulating protocol) và nhận lấy chiếc máy tính (passenger protocol). Tunneling đơn giản là như vậy! 50 CHƯƠNG 4 PHÁT TRIỂN NGN TRONG MÔ HÌNH DOANH NGHIỆP 4.1. Khái niệm mạng NGN (Next Generation Network) Do nhu cầu phát triển các dịch vụ thông tin mà kiến trúc mạng truyền thống hiện nay không đáp ứng kịp với nhu cầu phát triển của doanh nghiệp, đòi hỏi phải có một giải pháp mới hiệu quả và kinh tế hơn. Những dịch vụ mới được khai thác đưa vào ứng dụng là thoại (VoIP), hội thảo truyền hình từ xa, chẩn đoán khám chữa bệnh từ xa, thương mại điện tử, truyền âm thanh, video stream, dữ liệu tích hợp... Kiến trúc mạng mới để phát triển các dịch vụ này được gọi là mạng thế hệ tiếp theo NGN (Next Generation Network). NGN, một bước phát triển tiếp theo của mạng trong lĩnh vực truyền thông, là kết hợp bởi ba mạng truyền thống- PSTN, mạng không dây, mạng truyền dữ liệu (Internet). NGN kết hợp ba loại mạng này Hình 4.1: Kiến trúc tổng quát của mạng NGN 51 thành một mạng truyền gói chung hoạt động hiệu quả, thông minh, và là trọng tâm của ứng dụng công nghệ mới, đem lại khả năng phát triển dịch vụ. Ba loại dịch vụ định hướng trong NGN gồm: dịch vụ hướng thời gian thực (thoại), không thực (truyền gói), dịch vụ hướng nội dung, và dịch vụ hướng tác vụ. Mạng NGN hướng dịch vụ đem lại cho nhà cung cấp dịch vụ nhiều lợi ích: an toàn, tin cậy, hiệu quả kinh tế, và khả năng quản lý mạng thông minh hơn. Kiến trúc NGN được xây dựng dựa trên chuẩn mở, ghép nối modul, dùng giao thức chuẩn, và xây dựng các giao diện giao tiếp mở, dễ dàng ứng dụng cho các tổ chức doanh nghiệp kết nối giao tiếp thông tin từ xa. Nó tập trung phát triển các dịch vụ thoại, truyền dữ liệu... thông qua mạng truyền gói. Định hướng sử dụng kiến trúc NGN có những lợi ích sau:  Giải pháp tiên tiến- xây dựng những cách thức làm việc mới  Kỹ thuật tiên tiến- Triển khai giải pháp tích hợp đa dịch vụ  Giá thành giảm- Sự cài đặt, điều khiển, bảo trì và sử dụng các dịch vụ mạng  Bỏ các điều lệ- cho phép nhà cung cấp khai thác nhiều dịch vụ mới mang tính cạnh tranh.  Chuẩn công nghiệp- Giải pháp tích hợp và các hệ thống mở NGN có thể thực hiện nhiều các dịch vụ khác như hội thảo video, các dịch vụ multimedia khác yêu cầu dung lượng đến 10Mbps/1 người dùng. Thông lượng băng thông của mạng sẽ là một chìa khoá chính của NGN để cung cấp dịch vụ băng thông rộng cho nhiều người dùng. Như vậy, NGN sẽ tích hợp các công nghệ mobile băng thông rộng cho phép người dùng thông tin sử dụng các dịch vụ băng thông rộng bất kể việc sử dụng thiết bị đầu cuối ở một vị trí cố định, hay di động. Hơn nữa, theo như nghiên cứu khảo sát, tốc độ tăng trưởng băng thông hiện nay được đáp ứng phù hợp với nhu cầu phát triển các dịch vụ ứng dụng mạng. Những mạng NGN trở nên tin cậy, dễ nâng cấp hơn những mạng hiện có, và thiết lập được một môi trường thông tin gần gũi cuộc sống thực tại. Một phần quan trọng nhất là kiến trúc mạng lõi của NGN dùng kết nối cáp quang băng thông không hạn chế, truyền dữ liệu dạng gói, và có thể hỗ trợ đồng thời nhiều loại dịch vụ khác nhau. Các thành phần của NGN (như Switch, router...) có khả năng xử lý hoạt động trong môi trường mạng nhiều loại giao thức khác nhau, 52 dịch vụ khác nhau. NGN ban đầu phát triển trên cơ sở tích hợp với loại mạng chuyển mạch sẵn có và làm việc được với nhiều loại giao thức và chuẩn hiện có. Một số NGN được phát triển bởi những kiến trúc hoàn toàn mới, và một số thì lại phát triển NGN dựa trên kiến trúc mạng hiện có. 4.2. Đặc điểm NGN NGN có đặc điểm quan trọng nhất là mạng truyền gói tốc độ cao và khả năng cung cấp có kiểm soát các dịch vụ băng thông rộng. NGN có cả hai đặc điểm mềm dẻo và tin cậy. Cho dù NGN được phát triển theo nhiều hướng khác nhau nhưng có những đặc điểm chung như sau: Độc lập giao thức: Để tương ứng được với nhiều dạng thông tin, NGN cần có khả năng hoạt động được với nhiều loại giao thức truyền thông. Những mạng truyền thống được thiết kế để thực hiện truyền dẫn các loại dữ liậu như thoại, video hay dữ liệu. Như vậy nó dùng những loại mạng riêng sử dụng nhiều loại thiết bị khác nhau để hỗ trợ thông tin đa phương tiện IP Network Circuit Switched Network Users Hình 4.2: Mô tả hai kiến trúc mạng chạy nhiều dịch vụ khác nhau 53 Về cơ bản, sự độc lập giao thức là khả năng của mạng hoạt động được với bất kỳ giao thức nào được yêu cầu. cụm từ ‘protocol agnostic’ thường được sử dụng cho các thiết bị trong mạng NGN (ví dụ, các thiết bị có thể điều khiển IP, DSL, và ISDN đồng thời). Đặc tính này sẽ được triển khai hầu hết tại các ‘intelligent edge’ của mạng. Nâng cao khả năng của thiết bị đa chức năng luôn được các nhà quản lý viễn thông khai thác. Khi đó giá thành chi phí quản lý thiết bị được tiết kiệm. Thêm nữa là không gian thiết đặt cũng được hoạch định khi chỉ với một thiết bị thực hiện nhiều chức năng. Các đặc điểm khác nữa như giảm nguồn điện tiêu thụ khi dùng ít thiết bị. Sự tin cậy và mềm dẻo: Như tele-medicine, sự tin cậy và mềm dẻo của mạng là một sự bắt buộc, vì khi đó sức khoẻ bệnh nhân hoàn toàn phụ thuộc vào chất lượng thông tin được truyền để nhận được những mức cần thiết của sự mềm dẻo cà sự tin cậy của NGN thì cần nhiều công nghệ khác nhau và các thành phần dự phòng hơn so với những mạng hiện đang sử dụng. Khả năng điều khiển: Các nhà quản lý mạng có thể thiết kế, tuỳ biến, và tối ưu mạng để có thể giao tiếp được với nhiều loại phương tiện mạng và xử lý với nhiều yêu cầu mạng. Vấn đề chính là QoS (ví dụ, khả năng mạng cung cấp các mức dịch vụ để đảm bảo băng thông được cung cấp ổn định). Ví dụ, các ứng dụng thoại và hội thảo video không chấp nhận được khi có trễ hoặc sự mất gói. Vì vậy, những loại dịch vụ này cần QoS bảo đảm đầy đủ chức năng. Mặt khác, những ứng dụng như duyệt web có thể chấp nhận được sự mất gói thông tin và có thể được truyền lại mà không giảm chất lượng dịch vụ. Điều khiển gói tin trên mạng là một đặc tính quan trọng vì nó cho phép các nhà quản lý mạng và phần mềm quản lý mạng tối ưu việc sử dụng tài nguyên mạng bằng cách cân bằng động giữa tổng dung lượng được chỉ định đối với các ứng dụng thời gian thực và các ứng dụng quan trọng. Nhà quản lý mạng cũng cần điều khiển linh động đối với những dịch vụ truyền file. Và việc này được gọi là kỹ thuật xử lý 54 băng thông. Những đặc điểm của kỹ thuật xử lý băng thông của NGN khắc phục được những vấn đề về bảo đảm chất lượng dịch vụ trong môi trường mạng truyền gói hiện nay, và những vấn đề vềtiêu tốn băng thông như trong mạng chuyển mạch. Sự thiếu sót chung của những mạng chuyển mạch gói hiện tại là nó sẽ làm cho các nhà quản lý mạng viễn thông gặp khó khăn trong việc thực hiện QoS, điển hình là những phần thuộc kết nối đường truyền có thể sử dụng của nhà cung cấp thứ 3. Ví dụ, một cuộc gọi được khởi tạo từ một mạng với QoS hiệu quả có thể sẽ bị ngắt trên một mạng thuộc vị trí ở nước khác, nơi mà QoS kém hơn, dẫn đến một cuộc gọi chất lượng tồi. Khi sử dụng kỹ thuật xử lý lưu lượng, các nhà quản lý có thể định nghĩa các mức riêng biệt của dịch vụ và sau đó tổ chức nhóm theo từng mức dịch vụ mà các nhàn quản lý mạng khác cũng có khả năng xử lý lưu lượng chất lượng tương ứng. Quá trình xử lý như vậy sẽ làm thuận tiện hơn khi giao tiếp giữa các mạng khác nhau . Khả năng lập trình: NGN càng dễ lập trình và thay đổi cấu hình thì càng linh động khi sử dụng, và như vậy càng có thể đáp ứng tốt các yêu cầu người dùng khai thác các dịch vụ mới. Khả năng lập trình sẽ cho phép kỹ thuật xử lý lưu lượng và sự cấp phát tài nguyên động trong NGN thích ứng phù hợp nhanh đối với các yêu cầu hoặc dịch vụ mới. Sự hỗ trợ các sản phẩm phần mềm của nhà cung cấp thứ ba tuân theo các chuẩn được chỉ định rõ bởi API, dẫn đến khả năng kết hợp phát triển các phần mềm dễ dàng hơn. Tạo lập dịch vụ: Một đặc điểm quan trọng, hiện đại, thông minh của NGN là sử dụng toán tử API chuẩn mở dễ dàng tuỳ biến và tạo lập các dịch vụ mới trên những thiết bị hiện có. Trong nhiều mạng viễn thông hiện tại, các dịch vụ hoàn toàn phụ thuộc bởi nhà cung cấp thiết bị, dẫn đến sự thụ động và sự tốn kém khi khai thác sử dụng những dịch vụ mới Nâng cấp: Sự nâng cấp là một đặc tính quan trọng cho phép bảo vệ được NGN không bị lỗi thời. Để đối phó với sự gia tăng của tải mạng, các nhà quản lý mạng sẽ phải có tầm nhìn khả năng truyền dẫn của mạng (ví dụ, dự phòng đường cáp quang). Các thiết bị NGN sẽ cần được nâng cấp để cho phép gia tăng dung lượng cần dùng mà không cần phải thay thế thiết bị khi đạt đến ngưỡng sử dụng 55 Mục đích tổng quát nữa là các thiết bị viễn thông có một đặc điểm quan trọng hơn rất nhiều là có thể lập trình, thích ứng nâng cấp với nhu cầu tương lai. 4.3. Triển khai NGN Kiến trúc và khả năng: Trong kiến trúc NGN có một khác nhau cơ bản với những mạng viễn thông chuyển mạch kênh truyền thống. Trong mạng chuyển mạch kênh truyền thống thì sự thông minh của mạng tập trung ở mức lõi của chuyển mạch trung tâm. Trong NGN, sự thông minh của nó (chuyển mạch, định tuyến) được phân tán và nhận được ngay tại bờ “adge” của mạng. Một thuận lợi chính khi kiến trúc mạng được thiết lập xử lý thông minh tại các vị trí tập trung là sự quản lý mạng được tập trung, dẫn đến giá thành quản lý giảm, mặt khác một mạng với sự thông minh phân tán sẽ mềm dẻo hơn khi gặp phải lỗi mạng. Kiến trúc cơ bản của NGN được bắt nguồn từ 3 thành phần chính sau:  Mức lõi đa dịch vụ (Multiservice Core)  Bờ rìa thông minh (Intelligent Edge)  Phân đoạn mạng truy nhập (Access Segment) Lõi đa dịch vụ: là một sự tập trung của mạng vận chuyển nhiều dịch vụ trên các đường kết nối quang tố độ cao (điển hình là các tốc độ Terabit/s hay Petabit/s). Phần mạng này hoạt động như một hệ thống truyền dẫn “long haul” kết nối các phân đoạn bờ rìa thông minh với nhau. Những thiết bị dùng cho lớp lõi thường là các Switch ATM, Switch SDH, và các router chuyển mạch. Hình 4.3: Kiến trúc mạng NGN 56 Bờ rìa thông minh: Tại các bờ rìa thông minh này tập trung sự thông minh của mạng. Đây là sự khác biệt điển hình với mạng chuyển mạch kênh truyền thống khi mà nó chỉ tập trung xử lý thông minh tại lớp chuyển mạch lõi của mạng. Mạng tại bờ rìa thông minh có thể điều khiển các loại dịch vụ thông tin khác nhau và kết nối với mạng lõi. Điều này cho phép triển khai các loại truy cập mạng khác nhau được kết nối liền lại với nhau tạo nên một bờ rìa thông minh. (ví dụ, DSL, leased lines, FWA). Các thành phần chung của một bờ rìa thông minh là những chuyển mạch mềm (softswitch) đa dịch vụ. Chúng có thể hoạt động trên bất kỳ các loại giao thức khác nhau. Khả năng tạo lập các dịch vụ mới là một đặc điểm quan trọng của một bờ rìa thông minh. Đặc điểm này cho phép người dùng tuỳ biến mạng của họ và cho phép các nhà cung cấp dịch vụ tạo lập và cung cấp các dịch vụ mới mà không cần sự can thiệp đến các nhà sản xuất thiết bị. Phân đoạn truy nhập: Phân đoạn truy nhập của NGN sẽ bao gồm nhiều công nghệ truy nhập băng thông rộng khác nhau. Khi càng nhiều dung lượng cần đến, thì mạng truy nhập chắc chắn phải dùng đến các công nghệ quang làm một phương tiện truyền dẫn chủ yếu. Giải pháp không dây băng thông rộng cũng đang được khai thác cho các ứng dụng mobile hay cầm tay (ví dụ, WLAN, mobile băng thông rộng). Hình sau mô tả các loại công nghệ truy nhập khác nhau có thể giao tiếp kết nối đến cùng một bờ rìa đa dịch vụ của NGN Hình 4.4: Mô tả các kết nối của dịch vụ đến bờ rìa đa dịch vụ 57 Sự hướng đến ứng dụng NGN có thể được triển khai trên bờ rìa cho tất cả các loại mạng hiện có như:  Các mạng kết nối giữa các quốc gia (thuộc kiến trúc mạng lõi)  Các mạng WAN (thuộc mạng lõi xây dựng trên mỗi quốc gia)  Các mạng doanh nghiệp (như mạng VPN)  Mạng đô thị và các mạng bờ rìa .  Mạng LAN  Mạng riêng của các cá nhân 4.4. Các thành phần của NGN chuẩn Một số các thành phần cơ bản của NGN bao gồm: Softswitches: Đây là những thiết bị có thể được lập trình để làm việc như một gateway cho phép thông tin giữa các mạng chuyển mạch gói (mạng IP), và mạng chuyển mạch truyền thống. softswitch có thể làm trung gian kết nối giữa các dịch vụ VoIP, hay dịch vụ dùng IP với mạng thoại chuyển mạch kênh xử lý tất cả các dịch vụ mà kiến trúc của hai mạng sử dụng. Hình 4.5: Các thành phần cơ bản trong NGN 58 DSLAM (Digital Subscriber Line Access Module): được dùng để kết nối nhiều người dùng DSL vào mạng. Một kết nối DSLAM đa dịch vụ được dùng cho mạng thoại cũng như mạng dữ liệu. Next Generation Edge Switch: Một chuyển mạch đa giao thức có thể hỗ trợ kết nối nhiều người dùng với các loại phương pháp truy nhập khác nhau (ví dụ, ISDN, Dial-up,…) đến mạng lõi NGN. Broadband Access Switch: Kết nối các mạng truy cập băng rộng (như mạng thuê bao băng thông rộng) trực tiếp đến mạng lõi NGN. Những dịch vụ nayg kết nối các đoạn mạng trực tiếp đến mạng lõi NGN. 4.5. Các công nghệ và các giao thức Tầng 1-tầng vật lý: Tầng này liên quan đến mặt điện áp, kết nối vật lý của phương tiện truyền dẫn, và tín hiệu điện. Những giao thức thuộc lớp vật lý có thể là WDM (Wave Division Multiplexing), Ethernet và SDH. Tầng 2-Tầng LKDL: Tầng này xử lý truyền dẫn dữ liệu tin cậy giữa các điểm vật lý trên mạng. Ví dụ các giao thức tầng này gồm: SDH, Ethernet, ATM, RPR, GMPLS. Tầng 3-tầng mạng: Tầng mạng có chức năng định tuyến - chuyển thông tin giữa các điểm kết nối logic trên mạng. IP và ATM là những ví dụ của các giao thức lớp mạng. MPLS được dùng để bọc các gói IP tại lớp 3. Hình 4.6: Ba tầng cuối cùng của tập giao thức NGN 59 Tầng 4 – 7: Những tầng này bao gồm (transport, session, presentation and application) không tập trung vào kiến trúc hạ tầng cơ sở của mạng mà là phát triển các dịch vụ ứng dụng mạng. Nhiều giao thức có thể được phân loại xếp chồng tuỳ thuộc vào từng loại mạng. Lược đồ sau chỉ ra một số ví dụ các kiến trúc xếp chồng giao thức xử lý các dịch vụ IP. Protocols: Một số giao thức quan trọng làm nổi bật khả năng chuyển mạch gói được mô tả như sau:  ATM (Asynchronous Transfer Mode)  Ethernet  SDH (Synchronous Digital Hierarchy)  Internet Protocol (IP version4, IP version6) IP ver6 sẽ giải quyết được vấn đề thiếu hụt địa chỉ IP trên mạng, với IP ver4 đạt được 4 tỉ thiết bị mạng được đánh địa chỉ, IP ver6 có dải địa chỉ luôn sẵn có cho nhu cầu gia tăng của các thiết bị mạng cũng như sự phát triển kết hợp nhiều loại mạng IP với nhau (ví dụ, WLAN, 3G)…Hơn nữa, địa chỉ IP được thiết kế để đơn giản hơn trong quá trình cấu hình. Sự thiết lập các địa chỉ Ipver6 có nhiều thuận lợi khi trong tương lai sẽ được dùng để đánh số thiết bị thoại cho NGN Optical (DWDM) SDH ATM IP Optical (DWDM) ATM IP Optical (DWDM) IP SDH Optical (DWDM) IP Optical (DWDM) Ethernet IP Optical (DWDM) RPR IP Hình 4.7: Một số phương pháp khác nhau cung cấp các dịch vụ IP bởi những cách tổ chức các lớp mạng khác nhau. 60  RPR (Resilient Packet Ring): là một giao thức mới được IEEE (IEEE 802.17) định nghĩa để kết nối các thiết bị với nhau. RPR được thiết kế để kết nối mạng dữ liệu qua các mạng vòng quang (optical ring) trong MAN và WAN. Kỹ thuật này cho phép các công nghệ optical ring trở nên hiệu quả hơn khi truyền dữ liệu dạng gói. Nó giảm được trễ thời gian khi dùng cho những ứng dụng thời gian thực. RPR độc lập với lớp vật lý và chạy trên SDH (lớp vật lý) hoặc DWDM. RPR cũng có thể được ứng dụng trên mạng dùng công nghệ Ethernet có độ tin cậy cao.  IntServ: Dịch vụ tích hợp được phát triển bởi IETF (Internet Engineering Task Force), là một nỗ lực để ứng dụng QoS vào mạng IP. Công việc của nó là gửi thông tin trên một băng thông được định sẵn theo mức yêu cầu của dịch vụ, việc này được thực hiện bởi RSVP (resource reservation protocol )  DiffServ: Những dịch vụ hiện có nhận được QoS sử dụng nguyên lý gán cho mỗi gói IP một mức ưu tiên phân theo lớp dịch vụ, nó ảnh hưởng đến cái cách mà trong đó DiffServ cho phép các router điều khiển các gói  Giao thức chuyển mạch nhãn MPLS (Multi Protocol Label Switching) và GMPLS (generalised multi-protocol label switching) là những chuẩn nổi bật của IETF. Nó cho phép quản lý lưu thông các gói IP bằng cách cộng thêm các nhãn (label) hoặc “tag” vào gói IP. Sự sử dụng các nhãn này cho phép phân biệt các đường truyền riêng. Như vậy, mỗi loại dịch vụ sẽ ứng từng QoS riêng biệt. Các router chuyển mạch nhãn làm chức năng cộng thêm các nhãn MPLS được cộng thêm vào gói IP, và sau đó chuyển tiếp đến các router chuyển mạch nhãn khác trong mạng MPLS. Hơn nữa, các chuyển mạch nhãn đa giao thức có thể được thực hiện trên mạng quang, và tạo ra một dạng GMPLS  Control Plane Protocols: Có nhiều giao thức có chức năng dùng để điều khiển và giao tiếp dịch vụ thoại và các dịch vụ khác giữa các mạng chuyển mạch gói và chuyển mạch kênh. Những giao thức này cho phép các chức năng điều khiển cuộc gọi (ví dụ, thiết lập, huỷ bỏ) và các dịch vụ giá trị gia tăng trên mạng chuyển mạch gói. Những giao thức SIP (Session Initiation Protocol), MGCP (Media Gateway Control Protocol), MEGACO (MEdia GAteway COntrol , ITU-T H.248) and ITU-T H.323 đang được khai thác sử dụng trong NGN. 61  Công nghệ quang: NGN có công nghệ chính yếu là công nghệ quang. Trong hầu hết trường hợp, các kết nối cáp quang sử dụng kỹ thuật WDM (wavelength division multiplexing ) để gia tăng khả năng và cho phép truyền dẫn nhiều loại dịch vụ độc lập trên cùng sợi cáp, như vậy sẽ làm đơn giản thiết bị đầu cuối mạng Sau đây là một số thành phần chủ yếu của mạng quang:  Ghép kênh phân chia theo bước sóng(Wavelength Division Multiplexing): WDM cho phép truyền dẫn các dịch vụ khác nhau độc lập trên cùng sợi cáp quang, chính vì vậy đơn giản thiết bị đầu cuối mạng. WDM đạt được điều này bằng cách chỉ định rõ luồng dữ liệu riêng ứng với một bước sóng riêng (ví dụ, có 160 bước sóng, mỗi bước sóng có thể mang được dòng dữ liệu 10Gbps). carrying 10Gbit/s).  Optical Add/Drop Multiplexing : Một vấn đề chung với mạng quang truyền thống là để thêm, nhận lại được thông tin thì trước hết tín hiệu quang cần được chuyển đổi ngược lại tín hiệu điện. Những sự chuyển đổi điện quang như vậy yêu cầu những phần cứng trợ giúp khác gia tăng sự phức tạp, tiêu thụ nguồn…tiêu tốn tiền. Với giải pháp OADM (Optical Add/Drop Multiplexing ) được sử dụng sẽ hiệu quả về giá cũng như trễ sẽ bị hạn chế.  Optical Switches/Cross connects: OXC (Optical switching ) phân tách các bước sóng quang riêng biệt và chuyển tiếp các bước sóng quang đến những tuyến khác nhau. Việc này loại bỏ nhu cầu sử dụng thiết bị chuyển đổi điện-quang.  All Optical Networks: Mở rộng ý tưởng hơn nữa mang đến một khái niệm của mạng toàn quang AON (all optical network ), khi mà với AON thì chỉ có tín hiệu quang được truyền, sự chuyển đổi điện-quang chỉ xảy ra tại các điểm tạo/khai thác dữ liệu.  Optical Access Networks: Công nghệ quang bắt đầu được sử dụng trong các phân đoạn mạng NGN gồm đường dẫn cáp quang đến building FTTB (fibre to the building ),đường dẫn cáp quang đến nhà FTTH (fibre to the home ). Sự bắt đầu từ các nước như Norway, Italy, France, Germany, Australia, Canada, Japan, Korea. Triển khai mạng quang thụ động PON (passive optical networks) hiện nay cho phép nhiều người dùng được nối kết hệ thống quang mà không cần triển khai thiết bị đắt tiền tại mỗi nút mạng. Những mạng nhiều người dùng sẽ có thể có những đường cáp quang kết nối trực tiếp đến nhà cung cấp dịch vụ của họ. 62 63 CHƯƠNG 5 THIẾT KẾ, XÂY DỰNG HỆ THỐNG THÔNG TIN 5.1. Giới thiệu Trong các phần mục của luận văn đề cập tương đối chi tiết nội dung và kiến thức cơ bản để triền khai một hệ thống thông tin. Để cụ thể một hệ thống thông tin được triển khai, ta phân tích hệ thống mạng của VĂN PHÒNG QUỐC HỘI. Để đáp ứng yêu cầu mở rộng diện tích làm việc cho các đại biểu chuyên trách, đội ngũ thư ký và các cán bộ phục vụ Quốc hội khoá XI, Văn phòng Quốc hội được phê duyệt để tiếp nhận khu trụ sở mới tại 37-Hùng Vương (trước đây là khu nhà khách của Văn phòng Chính phủ). Văn phòng Quốc hội đã triển khai việc tiếp nhận hai khu nhà 3 tầng và 5 tầng tại 37-Hùng Vương và di chuyển một số đơn vị thuộc Văn phòng Quốc hội sang khu trụ sở mới. Kế hoạch di chuyển một phần Văn phòng Quốc hội tới khu trụ sở mới bao gồm nhiều hạng mục khác nhau, một số hạng mục trong đó đã được hoàn thành, một số đang trong quá trình triển khai hoặc trong quá trình chuẩn bị. Một trong những hạng mục quan trọng nhất trong kế hoạch di chuyển đó là triển khai xây dựng một hệ thống thông tin tại khu trụ sở mới nhằm đảm bảo duy trì hoạt động liên tục của các đơn vị tại khu trụ sở mới. Trên cơ sở những hoạt động đang được tiến hành để tiếp nhận khu trụ sở mới, Văn phòng Quốc hội đồng ý phê duyệt dự án “Xây dựng hệ thống thông tin Văn phòng Quốc hội 37 – Hùng Vương”, với tổng dự toán là 6.166.658.366 (Sáu tỷ một trăm sáu mươi sáu triệu sáu trăm năm mươi tám nghìn ba trăm sáu mươi sáu đồng chẵn). Giải pháp kỹ thuật thiết kế hệ thống thông tin bao gồm các phần:  Hệ thống mạng tại 37 Hùng Vương  Hệ thống kết nối các địa điểm  Hệ thống truy nhập internet  Hệ thống phần mềm ứng dụng  Hệ thống bảo mật và an ninh thông tin  Kế hoạch triển khai. 64  Kế hoạch dự phòng. 5.2. Phân tích yêu cầu Xây dựng danh sách các hạng mục công việc chính cần tiến hành trong dự án, cụ thể là: 1. Xây dựng hệ thống cơ sở hạ tầng mạng thông tin bao gồm hệ thống mạng LAN tại 37 Hùng Vương, hệ thống mạng kết nối với trụ sở Ngô Quyền và Bắc Sơn. Mạng LAN tại 37 Hùng Vương được thiết kế gồm có:  Hệ thống phòng máy chủ trung tâm được lắp đặt cho: o Hệ thống máy chủ nội bộ o Hệ thống máy chủ Intranet o Hệ thống kết nối các Switch  Hệ thống cáp mạng tại hai toà nhà A và D Kết nối trụ sở 37 Hùng Vương với trụ sở Ngô Quyền, và Bắc Sơn: Qua khảo sát đáng giá, chọn phương án kết nối dùng đường truyền tốc độ cao ISDN đã được lựa chọn vì các lý do:  Đường truyền ISDN là đường truyền số đồng bộ, độ an toàn dữ liệu trên đường truyền cao hơn rất nhiều so với PSTN; đường truyền ISDN truyền dữ liệu dựa trên việc ghép kênh thông tin, trong đó có một kênh báo hiệu có tác dụng giám sát và điều khiển luồng dữ liệu truyền đi.  Kết nối ISDN có tốc độ kết nối theo tính toán lý thuyết sẽ cao hơn khoảng 3 đến 5 lần (tính cho một đường 128Kbps) so với kết nối PSTN.  Tốc độ tạo lập kết nối ISDN rất nhanh, chỉ sau 1 giây quá trình kết nối đã hoàn thành. Đối với PSTN quá trình kết nối phải thực hiện trong vòng vài chục giây.  ISDN hỗ trợ cả tín hiệu truyền là âm thanh (Voice) và dữ liệu (data) trên cùng một đường truyền, do đó khả năng ứng dụng rất rộng, đáp ứng được các yêu cầu phức tạp của các ứng dụng được thiết kế trên hệ thống, đây chính là điểm mà PSTN không làm được. 2. Trang bị hệ thống máy chủ phục vụ hệ thống ứng dụng và dịch vụ. 65 Máy chủ là một trong những thành phần chính quyết định hiệu năng và độ tin cậy của toàn hệ thống. Trong các hệ thống mạng, máy chủ thường đóng vai trò cung cấp các dịch vụ ứng dụng cho các máy trạm như dịch vụ chia sẻ tệp, dịch vụ in ấn, dịch vụ thư điện tử. Để có thể thực hiện những công việc như vậy, máy chủ phải là các máy tính được thiết kế đặc biệt đạt hiệu năng và độ ổn định cao. Các máy chủ phải có khả năng xử lý đồng thời nhiều công việc và có các hệ thống dự phòng đầy đủ. Các máy chủ cũng phải có các thiết kế một cách chuyên dụng để đạt được tối ưu đối với công việc mà nó đảm trách. Khi thiết kế một hệ thống mạng, lựa chọn máy chủ là một bước quan trọng có vai trò quyết định đến khả năng thực thi của toàn bộ hệ thống. Hệ thống máy chủ tại 37 Hùng Vương được phân chia theo các chức năng phục vụ trong mạng. 3. Trang bị phần mềm hệ thống, phần mềm dịch vụ và phần mềm ứng dụng. Hệ thống thư điện tử:  Thiết lập hệ thống thư điện tử thông nhất trong toàn bộ Văn phòng Quốc hội, đảm bảo việc trao đổi thư điện tử giữa các thành viên trong văn phòng hiệu quả, dễ dàng, không phụ thuộc vào vị trí làm việc.  Hệ thống máy chủ Mail Server đặt tại 37 Hùng Vương, giao tiếp với hệ thống Internet E-mail, sử dụng một tên miền phân giải cho E-mail là QH.GOV.VN. Hệ thống cung cấp dịch vụ Web: Sử dụng Web Server IIS, sản phẩm của Microsoft cho phép người dùng trên mạng Internet truy cập tìm kiếm thông tin luật, thông tin dân nguyện…với CSDL SQL. 4. Kết nối đường Internet trực tiếp phục vụ nhu cầu truy nhập Internet của người sử dụng trong hệ thống thông tin Quốc hội.  Kết nối toàn bộ hệ thống mạng với Internet qua đường truyền thuê riêng, tốc độ 128 Kbps. Các thiết bị phục vụ kết nối Internet (Router, HTU, mail server, cache server ... ) sẽ được đặt tại phòng máy chủ tại 37 Hùng Vương  Hệ thống tại số 2 Bắc Sơn và 35 Ngô Quyền thông qua kết nối với 37 Hùng Vương (đường truyền ISDN) để truy nhập Internet 66 5. Cung cấp dịch vụ truy nhập từ xa, cho phép người dùng có thể dùng dịch vụ Dial-up quay số đăng nhập dịch vụ mạng VPQH  Hệ thống cho phép người sử dụng từ xa (ở nhà, hoặc nơi khác), kết nối vào mạng và làm việc bình thường thông qua đường điện thoại.  Máy chủ xác thực người dùng (Authentication, Authorization & Accounting – AAA server) được thiết đặt tại hệ thống mạng kết nối các server để giám sát các phiên liên lạc của người dùng từ xa. Firewall PIX được thiết đặt để cho phép trao đổi các thông tin xác thực và ghi log giữa router và AAA server  Cũng trên nhánh mạng kết nối giữa PIX firewall và router phục vụ truy nhập từ xa, còn có máy chủ phục vụ kết nối với hệ thống mạng của chính phủ (CPnet). Máy chủ này được kết nối với hệ thống mạng cục bộ qua firewall PIX, được kết nối với CPnet bằng phương thức quay số qua modem. 6. Trang bị hệ thống an ninh mạng và đưa ra các khuyến nghị đối với an ninh thông tin.  Đảm bảo ngăn chặn các truy nhập bất hợp pháp từ bên ngoài Internet vào hệ thống mạng của Văn phòng Quốc hội, cũng như các truy nhập không đúng thẩm quyền từ hệ thống mạng nội bộ vào các máy chủ, trong khi vẫn đảm bảo các truy nhập hợp pháp được thông suốt và hiệu quả  Chủ động phát hiện, ngăn chặn các hoạt động nguy hiểm  Ghi nhật ký (log) các hoạt động diễn ra trên hệ thống mạng 7. Trang bị máy trạm, các thiết bị văn phòng. 5.2. Thiết kế, xây dựng hạ tầng thông tin Hình bên dưới là sơ đồ tổng thể của toàn mạng của VPQH, ta thấy kiến trúc mạng bao gồm các khu vực thành phần kết nối qua thiết bị an ninh mạng Pix firewall 515 của Cisco. 2950-24 37 Hïng V­¬ng Firewall PIX 515 Router 3550- 12T PDC DNS Internet PSTN Leased line 128 Kbps Ng­êi dïng tõ xaRouter 2511 DatabaseWeb IDS Content Engine 172.18.x.x 172.19.1.x 172.19.2.x QH.GOV.VN Mail AAA CPnet 67 a. Đánh địa chỉ IP cho toàn mạng: Để đảm bảo hoạt động bình thường của hệ thống, địa chỉ mạng tại 37 Hùng Vương và tại 2 địa điểm trên phải thỏa mãn các yêu cầu sau:  Địa chỉ không trùng lặp  Sử dụng các địa chỉ IP dùng riêng (Private IP address): địa chỉ trong các lớp 10.x.x.x, 172.16.x.x đến 172.31.x.x và 192.168.x.x  Đảm bảo thay đổi ít nhất, tránh ảnh hưởng đến hoạt động của hệ thống hiện có. Trên cơ sở các yêu cầu này, địa chỉ IP phải được cấp phát và sử dụng như sau:  Hệ thống tại 35 Ngô Quyền o Địa chỉ mạng 172.16.x.x (netmask 255.255.0.0) o Router ISDN (dùng kết nối với 37 Hùng Vương) được đặt địa chỉ là 172.16.1.1 o Các thiết bị trên mạng sử dụng Router ISDN làm default gateway o Các máy chủ tại 35 Ngô Quyền được cấp phát địa chỉ tĩnh, các máy trạm được cấp phát địa chỉ động thông qua dịch vụ DHCP trên máy chủ.  Hệ thống tại 2 Bắc Sơn o Địa chỉ mạng 172.17.x.x (netmask 255.255.0.0) 68 o Router ISDN (dùng kết nối với 37 Hùng Vương) được đặt địa chỉ là 172.17.1.1 o Các thiết bị trên mạng sử dụng Router ISDN làm default gateway o Các máy chủ tại 2 Bắc Sơn được cấp phát địa chỉ tĩnh, các máy trạm được cấp phát địa chỉ động thông qua dịch vụ DHCP trên máy chủ.  Hệ thống tại 37 Hùng Vương o Địa chỉ mạng LAN: 172.18.x.x (netmask 255.255.0.0) o Địa chỉ hệ thống mạng máy chủ 172.19.1.x (netmask 255.255.255.0) o Địa chỉ hệ thống phục vụ người dùng kết nối từ xa 172.19.2.x (netmask 255.255.255.0) o Địa chỉ hệ thống phục vụ kết nối với 2 Bắc Sơn và 35 Ngô Quyền 172.19.3.x (netmask 255.255.255.0) o Địa chỉ hệ thống mạng kết nối với Internet do nhà cung cấp dịch vụ kết nối Internet (ISP) quy định o Địa chỉ các giao tiếp mạng của Firewall PIX được đánh tương ứng với các hệ thống mạng mà nó kết nối o Các thiết bị trên mạng sử dụng Firewall PIX làm default gateway. o Các máy chủ được cấp phát địa chỉ tĩnh, các máy trạm được cấp phát địa chỉ động thông qua dịch vụ DHCP trên máy chủ. o Firewall PIX làm nhiệm vụ chuyển đổi địa chỉ đối với các yêu cầu truy nhập Internet.  Các kết nối ISDN Các kết nối ISDN từ 2 Bắc Sơn và 35 Ngô Quyền về 37 Hùng Vương sử dụng địa chỉ tương ứng là 172.19.4.x và 172.19.5.x cho các yêu cầu đấu nối (ISDN interface của router) b. Khu vực mạng LAN tại 37 Hùng Vương: Bao gồm hệ thống các Catalyst (Switch) kết nối theo kiến trúc phân lớp (lớp lõi là 2 Catalyst 3550 12T của Cisco, lớp phân phối và truy nhập gồm có các Catalyst 2950-24 ), các máy trạm được kết nối đên các cổng của lớp lớp phân phối và truy nhập. 69 Máy chủ quản lý mạng: Gồm máy chủ cài đặt hệ điều hành Win2000 Server, cài đặt dịch vụ Active Directorry. c. Giao tiếp kết nối các trụ sở 37 Hùng Vương, Bắc Sơn, Ngô Quyền: Tại 37 Hùng Vương thiết lập 2 kênh truyền ISDN. Tại 35 Ngô Quyền và 2 Bắc Sơn mỗi điểm có 1 kênh truyền ISDN. Đường truyền ISDN được nối từ số 2 Bắc Sơn và 35 Ngô Quyền về 37 Hùng Vương, tốc độ đường truyền là 128 kbps (kênh 2B+D), trong đó bao gồm 2 kênh thông tin (2B) và 1 kênh báo hiệu (1D), mỗi kênh B có tốc độ là 64kbps. Mỗi đường truyền ISDN sẽ tương ứng với 1 số điện thoại ISDN, tức là việc quay số từ 2 văn phòng về 37 Hùng vương sẽ tương tự như việc quay trực tiếp về số điện thoại ISDN được cấp. Hệ thống router tại 37 Hùng Vương, 2 Bắc Sơn và 35 Ngô Quyền được thiết lập để sử dụng đường truyền ISDN ở chế độ Dial-on-demand. Mỗi khi có yêu cầu gửi thông tin, hệ thống tự động thiết lập kết nối qua thao tác quay số ISDN của điểm tương ứng. Sau khi sử dụng xong kênh truyền, nếu sau một thời gian (do người quản trị hệ thống quy định) không có thông tin truyền trên đường, hệ thống sẽ tự ngắt kết nối. Hệ thống tại số 2 Bắc Sơn và 35 Ngô Quyền gồm 2 mạng LAN riêng biệt, được thiết đặt để sử dụng các router kết nối về 37 Hùng Vương như Default Gateway. Thông qua router 37 Hùng Vương, 2 điểm này cũng có thể liên lạc được với nhau.  Cần thuê dịch vụ ISDN từ nhà cung cấp (Cục Bưu điện Trung ương).  Sử dụng 01 network module 4-cổng ISDN cho Router 2611, có gắn sẵn modem ISDN tương thích NT1  Trang bị router ISDN cho các điểm 2 Bắc Sơn và 35 Ngô Quyền để kết nối về 37 Hùng Vương sử dụng loại Cisco 1720 với các module ISDN có modem NT-1. d. Kết nối khai thác dịch vụ Internet: Hệ thống kết nối Internet được xây dựng để phục vụ nhu cầu tìm kiếm và trao đổi thông tin với thế giới, phục vụ cho các nhiệm vụ chính trị của cơ quan Quốc hội Việt Nam. Hệ thống mạng của Quốc hội được kết nối với Internet bằng đường kết 70 nối Internet trực tiếp đến nhà cung cấp dịch vụ Internet (ISP). Để đảm bảo phục vụ các yêu cầu truy nhập Internet của một lượng người dùng tương đối lớn (hơn 400 người), kết nối Internet trong giai đoạn hiện tại phải có tốc độ 128 Kbps. Trong tương lai cần nâng cấp đường truyền khi nhu cầu sử dụng tăng và điều kiện kinh phí cho phép. Hệ thống kết nối Internet bao gồm 01 router (Cisco router 2651), thiết bị kết nối leased line NTU/HTU, và thiết bị cache (lưu trữ đệm, chọn loại Cisco Content Engine 560) hỗ trợ tăng tốc truy cập Internet, chức năng của các thiết bị như sau:  Router: Thực hiện chức năng định tuyến giữa hệ thống mạng cơ quan Quốc hội và mạng Internet. Router cũng được sử dụng làm bức tường ngăn đầu tiên chặn các ý đồ tấn công từ Internet, sử dụng các tính năng lọc gói trên router.  NTU/HTU : Là modem đầu cuối cho kết nối lased-line tốc độ cao (chọn loại Datacraft HTU-2). Cho phép tốc độ truyền dẫn số liệu đồng bộ đạt được từ 64Kbps- 2Mbps.  Content Engine: hỗ trợ đường truyền Internet, khi có một người sử dụng đã vào một trang nào đó thì trang này tự động được lưu vào trong cache theo các quy luật định trước. Những người tiếp theo truy nhập vào cùng một trang sẽ truy nhập thông tin từ máy chủ cache thay vì phải truy nhập ra Internet. Máy chủ cache nên là máy chủ chuyên dụng với phần mềm hệ thống và phần mềm ứng dụng chuyên dụng để đảm bảo tối ưu hoá đường truyền cũng như giảm được nguy cơ về an ninh. e. An ninh thông tin mạng: Việc đảm bảo an toàn thông tin cho hệ thống thông tin tại Văn phòng Quốc hội được xây dựng trên nhiều lớp  Thành phần quan trọng, đóng vai trò trung tâm của việc đảm bảo an toàn thông tin là firewall, có nhiệm vụ phân tách hệ thống mạng thành các thành phần với các yêu cầu về an toàn thông tin, bảo mật khác nhau.  Firewall cho phép thiết lập các quy tắc kiểm soát kết nối giữa các máy trạm (client) và máy chủ (server) trong các thành phần khác nhau của mạng, qua đó giới hạn việc truy nhập từ Internet trực tiếp vào mạng bên trong. Các máy 71 tính trên Internet chỉ được phép làm việc với máy chủ thư tín tại 37 Hùng Vương để trao đổi thư, trong khi các máy tính trên mạng nội bộ có thể được truy nhập vào Internet một cách dễ dàng.  Firewall cũng giới hạn việc truy nhập trực tiếp của các máy trạm trong hệ thống mạng của Văn phòng Quốc hội vào các máy chủ của hệ thống Internet/intranet. Chỉ có các dịch vụ cho phép truy nhập tự do mới được mở trên firewall (bao gồm Web, gửi/nhận thư qua SMTP/POP3/IMAP, tra cứu tên DNS, truyền file ...). Các dịch vụ khác chỉ mở đối với các máy quản trị hệ thống hay các máy đủ thẩm quyền.  Hệ thống sử dụng các tính năng của hệ điều hành, đặc biệt là hệ điều hành Windows 2000 và Windows NT 4.0 để đảm bảo mức an ninh thông tin bên trong mạng nội bộ, bao gồm: o Thiết lập các chính sách về mật khẩu: độ dài, độ phức tạp, thời gian tối thiểu và tối đa sử dụng nhằm tránh lộ mật khẩu của người sử dụng o Thiết lập các chính sách về quyền của người sử dụng trong hệ thống mạng: quyền chia sẻ file, máy in, quyền đăng nhập vào máy chủ và máy trạm .... o Phân quyền truy nhập vào các tài nguyên của hệ thống một cách hợp lý. Thiết bị firewall được chọn là Cisco PIX 515:  PIX 525 với 6 cổng Ethernet 10/100 Mbps (2 cổng có sẵn trên thiết bị, card 4 cổng 10/100) và 2 cổng Gigabit sử dụng cáp quang  Tốc độ băng thông lên đến 330 Mbps, số kết nối đồng thời đến 280.000 Đây là thiết bị có năng lực xử lý rất lớn, vượt xa băng thông của kết nối Internet của Văn phòng Quốc hội (dự kiến chỉ lên đến 2 Mbps, giai đoạn đầu chỉ có 128 Kbps). 5.3. Thiết kế, xây dựng dịch vụ quản lý và ứng dụng mạng 5.3.1. Dịch vụ quản lý mạng Dịch vụ Active Directory cho phép quản lý các thông tin liên quan đến người dùng và các tài nguyên trên hệ thống mạng một cách tập trung, mềm dẻo. 72 Dịch vụ này được tích hợp trong hệ điều hành Windows 2000 (bản server) cho phép thiết lập các hệ thống mạng với quy mô và bố trí vật lý đa dạng, quản lý tập trung, tạo điều kiện về hạ tầng cơ sở cho các ứng dụng mạng. Do các đặc tính này, dịch vụ Active Directory (AD) được sử dụng để quản lý người dùng và các tài nguyên trên hệ thống mạng một cách thống nhất. Dựa vào kiến trúc vật lý của hệ thống, ta chia mạng của VPQH làm ba site khi thiết lập dịch vụ Active Directory.  Các site tương ứng với các điểm 2 Bắc Sơn, 35 Ngô Quyền, 37 Hùng Vương.  Các site có cùng chung domain và được lấy tên là QH.GOV.VN  AD Chính (Main AD) được đặt tại 37 Hùng Vương  Các AD phụ trợ (Additional AD) được đặt tại hai site còn lại  Các AD còn được gọi là các Domain Controller (DC). Các DC sẽ tự động đồng bộ thông tin vào thời gian được định trước (có thể thiết lập đồng bộ tài nguyên thông tin trên các DC vào thời điểm ít kết nối trao đổi thông tin của người dùng nhất hoặc ngoài giờ làm việc). Mỗi khi có sự thay đổi hay cập nhật thông tin trên mỗi site thì các DC sẽ tự động cập nhật (sao chép) nội dung của dịch vụ thư mục thông qua kết nối mạng WANs. Ví dụ, khi đăng kí tài khoản cho một người dùng mạng, nhà quản trị có thể ngồi tại bất kì vị trí nào trên mạng Intranet để tạo mới người dùng đó. Sau khi tạo mới người dùng, thì thông tin đó sẽ tự động cập nhật lên từng DC trong domain theo thời gian định trước, người dùng có thể đăng nhập mạng tại bất kì vị trí nào trong mạng Intranet. 5.3.2. Cài đặt, và quản lý dịch vụ E-mail Thiết lập một máy chủ thư điện tử tại 37 Hùng Vương, được đặt tại một nhánh mạng riêng, kết nối với Internet và các hệ thống khác thông qua firewall PIX. Máy chủ thư điện tử tại 37 Hùng Vương đóng vai trò chính trong hệ thống thư của Văn phòng Quốc hội, bao gồm:  Quản lý toàn bộ người dùng hệ thống thư của Văn phòng Quốc hội 73  Nhận thư từ Internet gửi đến người dùng của domain QH.GOV.VN (cũng như các domain khác mà Văn phòng Quốc hội sẽ sử dụng sau này)  Cung cấp dịch vụ POP3 và IMAP cho phép người dùng nhận thư tại máy trạm. Trong đó đặc biệt chú trọng dịch vụ IMAP  Cung cấp dịch vụ WebMail cho người sử dụng gửi/nhận thư qua giao diện Web.  Lưu trữ và thực hiện các quy tắc kiểm soát thư: Chặn thư rác (spam) và thư có nội dung không được phép, thông qua cơ chế kiểm duyệt nội dung thư.  Quét và diệt virus trên hệ thống thư.  Tạo và duy trì các chính sách liên quan đến việc sử dụng hệ thống thư: dung lượng tối đa của hòm thư (mail box quota), kích thước tối đa của file gửi kèm, số lượng thư tối đa được lưu trữ .... Để thực hiện các nhiệm vụ này, phần mềm được sử dụng làm server thư điện tử cần có khả năng thiết đặt các quy tắc mềm dẻo, quản lý được nhiều domain, cho phép quản trị từ xa và có khả năng hỗ trợ dịch vụ thư điện tử qua giao diện Web (Web-mail).Máy chủ thư điện tử tại Văn phòng Quốc hội sẽ sử dụng phần mềm Mail Server MDaemon. 74 KẾT LUẬN 1. Kết quả Sau thời gian nghiên cứu và học tập về đề tài em đã hoàn thành xong đề tài và trình bày chi tiết những gì mình đã đạt được. Tuy nhiên, do thời gian và khă năng có hạn, vì vậy đề tài không tránh khỏi những thiếu sót và chưa phải là đề tài tối ưu nhất vì vậy em kính mong thầy cô giáo xem xét, chỉ bảo để đề tài của em hoàn thiện hơn 2.Mức hoàn thành công việc Đề tài do em nghiên cứu đã tương đối hoàn chỉnh và đã đạt được một số yêu cầu mà thầy cô đưa ra, tuy nhiên vẫn còn một số vấn đề em chưa giải quyết được và còn chưa chặt chẽ. 3.Hướng phát triển trong tương lai Với khoa học kĩ thuật ngày càng phát triển mạnh mẽ như hiện nay thì việc thiét kế các hệ thống quản lý cũng phải nâng cấp nhiều hơn và chặt chẽ hơn trong công việc bảo mật,mã hoá dữ liệu đem lại nhiều lợi ích cho người quản lý cũng như người sử dụng.Vì vậy hương phát triển của đề tài sẽ đi sâu hơn về bảo mật và quản lý tài nguyên. 75 TÀI LIỆU THAM KHẢO: 1. Andrew S.Tanenbaum- Mạng máy tính - Bản dịch của Hồ Anh Phong- Nhà xuất bản thống kê –2001 2. Cisco Systems Inc. – Cisco Internetworking Design Guide – 1/2000 (Network Design.pdf) 3. Daren L.Spohn-Data network design-McGraw Hill-1997 4. Internetworking with TCP/IP, Douglas E.Comer, Prentice Hall, 1997 5. Neil J.Gunther- The practical performance analyst (Performance- by- design techniques for distributed system)- McGraw Hill-1998 6. M. Tamer Ozsu- Principles of Distributed Database Systems- Patrick Valduriez 7. Thomas m.Connlly- Database Systems (A practical Approach to Design, Implementation, and Management)-Carolyn E.Begg. 8. TCP/IP and related protocol,Uyless Black, Mc Graw –Hill 9. Voice and Data Internetworking, Gilbert Held, NXB Mc Graw- Hill,1998 10. Nguyễn Thúc Hải - Mạng máy tính và các hệ thống mở -N.XBGD –1999. 11. Nguyễn Hồng Sơn – Giáo trình hệ thống mạng máy tính CCNA – Nhà xuất bản giáo dục-2001 12. 13. 14. 15. 16. 17. 18. 19. 20. 21.

Các file đính kèm theo tài liệu này:

  • pdf2296_9942.pdf