Tiểu luận Nghiên cứu kiến trúc hệ thống mạng và bảo mật trung tâm dữ liệu áp dụng cho ABBank

TIỂU LUẬN ĐỀ TÀI: “NGHIÊN CỨU KIẾN TRÚC HỆ THỐNG MẠNG VÀ BẢO MẬT TRUNG TÂM DỮ LIỆU ÁP DỤNG CHO ABBANK.” HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG ---------------------------------------- ĐÀO VĂN NGỌC NGHIÊN CỨU KIẾN TRÚC HỆ THỐNG MẠNG VÀ BẢO MẬT TRUNG TÂM DỮ LIỆU ÁP DỤNG CHO ABBANK. Chuyên nghành: Truyền dữ liệu và Mạng máy tính Mã số: 60.48.15 TÓM TẮT LUẬN VĂN THẠC SỸ HÀ NỘI – 2011 Luận văn được hoàn thành tại: HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: TS. Đặng Hoài Bắc Phản biện 1: ……….………………………………..………………… Phản biện 2: ……………….….……………………….……………… Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông Vào lúc: …….. giờ ……. ngày ……. tháng …… năm ……… Có thể tìm hiểu luận văn tại: - Thư viện của Học viện Công nghệ Bưu chính Viễn thông 1 MỞ ĐẦU Công nghệ thông tin (CNTT) ngày nay hầu như đi vào tất cả các lĩnh vực trong xã hội: kinh tế, giáo dục, giải trí...và nó đã mang lại những thành quả rất đáng kể. Đối với các doanh nghiệp, các công ty tài chính, ngân hàng thì CNTT đóng một vai trò hết sức quan trọng trong việc phát triển và mở rộng doanh nghiệp, tạo thuận lợi trong việc kinh doanh cũng như trong vấn đề quản lý và điều hành, đặc biệt CNTT đóng vai trò quan trọng trong việc tạo ra sự khác biệt và nâng cao khả năng cạnh tranh giữa các ngân hàng trong thời hội nhập. Để hệ thống CNTT của các Ngân Hàng hoạt động có hiệu suất cao, tại thời điểm hiện nay các Ngân Hàng trong nước cũng đang từng bước phát triển thiết lập cho mình một hệ thống cơ sở hạ tầng hiện đại như: Hệ thống hạ tầng mạng hiện đại, Hệ thống quản lý dữ liệu tập trung; Hệ thống máy chủ có tính sẵn sàng cao (Clustering); Tối ưu hoá mạng nâng cao hiệu suất đường truyền (WAN Application Optimization); Giải pháp dự phòng thảm hoạ (Disaster Recovery); Giám sát hệ thống (Monitoring); Giải pháp an ninh bảo mật (Security) và phòng chống Virus xâm nhập mạng; Phòng chống sự tấn công, xâm nhập bất hợp pháp vào hệ thống; Quản trị hệ thống (System Management); Dịch vụ bảo hành bảo trì hệ thống nhằm đảm bảo hoạt động liên tục, thông suốt của hệ thống…... Ngoài ra, theo thống kê của tổ chức nghiên cứu thị trường toàn cầu - Gartner thì cơ sở hạ tầng truyền thống sẽ có nguy cơ bị quá tải do: Lưu trữ tăng từ 40% đến 70% mỗi năm; Mức độ sử dụng (máy chủ và hệ thống lưu trữ) tăng từ 15% đến 25% mỗi năm; Việc cấp nguồn và làm mát cũng tăng khoảng 30% tổng chi phí. Nhu cầu điện toán vẫn tiếp tục tăng trưởng; mật độ tủ Rack trong các phòng máy chủ đã tăng gấp đôi sau mỗi 8 năm kể từ năm 1992, mật độ thiết bị cũng cao hơn thông qua sử dụng máy chủ phiến, ảo hóa máy chủ và tập trung hóa máy chủ. Do đó, mật độ điện năng cũng đang gia tăng mạnh mẽ; chi phí về cơ sở hạ tầng vật lý (cấp nguồn, làm mát) sẽ ngang bằng, rồi vượt quá chi phí mua sắm trang thiết bị CNTT khi mà cấp nguồn và làm mát chiếm phần lớn ngân sách dành cho CNTT. 2 Chính vì vậy, việc nghiên cứu giải pháp mạng cho TTDL của Ngân hàng là yếu tố quyết định để đảm bảo tới khách hàng sự cam kết cung cấp các dịch vụ nhanh chóng, an toàn, ổn định và hiệu quả. Xuất phát từ những cơ sở khoa học và thực tiễn đó, em đã quyết định chọn đề tài: "Nghiên cứu Kiến trúc hệ thống mạng và bảo mật TTDL áp dụng cho Ngân hàng An Bình" cho luận văn tốt nghiệp. Nghiên cứu lý thuyết: Kiến trúc công nghệ mạng và bảo mật TTDL, kết hợp thực tiễn khảo sát, phân tích, đánh giá tình hình triển khai các giải pháp xây dựng hệ thống mạng và bảo mật TTDL đáp ứng nhu cầu phát triển CNTT hiện nay của các nước trên thế giới và tại Việt Nam. Đồng thời dựa trên cơ sở những kinh nghiệm đã tích lũy được trong thời gian qua. Từ đó, đề xuất xây dựng hệ thống mạng và bảo mật TTDL đảm bảo sự phát triển bên vững cung cấp nền tảng hạ tầng ổn định, an toàn bảo mật cho hệ thống CNTT của Ngân hàng An Bình. Vơi nội dung gồm 3 chương sau: Chương 1. Tổng quan hệ thống mạng TTDL. Chương 2. Một số nguyên tắc xây dựng kiến trúc Mạng và Bảo mật TTDL. Chương 3. Ứng dụng kiến trúc mạng & bảo mật cho TTDL ABBANK. Em xin chân thành cảm ơn thầy giáo TS. Đặng Hoài Bắc đã nhiệt tình hướng dẫn em, các cán bộ kỹ thuật Ngân hàng TMCP An Bình đã tạo mọi điều kiện thuận lợi và có những đóng góp quý báu để em có thể hoàn thành đề tài. Trong đề tài này chắc không thể tránh khỏi các thiếu sót. Em mong nhận được mọi ý kiến đóng góp để hoàn thiện hơn nữa nội dung nghiên cứu. Người thực hiện đề tài xin chân thành cảm ơn! 3 Chương 1 - TỔNG QUAN HỆ THỐNG MẠNG TRUNG TÂM DỮ LIỆU. 1.1. Giới thiệu. Trong chương 1 này em sẽ đi vào việc gới thiệu tổng quan về hệ thống mạng TTDL và một số các vấn đề đặt ra đối với TTDL, những thách thức của các nhà quản lý TTDL, đồng thời miêu tả các yêu cầu đặt ra đối với hệ thống mạng bảo mật TTDL như: yêu cầu chức năng, năng lực xử lý, tính sẵn sàng, độ ổn định. Và đi tới miêu tả sơ lược kiến trúc mạng từng vùng trong bức tranh tổng thể hệ thống mạng TTDL 1.2. Các vấn đề đặt ra đối với TTDL. Đối với bất kỳ một công ty, doanh nghiệp hay một tổ chức nào, TTDL chính là trái tim của hệ thống Công nghệ Thông tin. Một trong những mục tiêu hết sức quan trọng của TTDL là có được một cơ sở hạ tầng thống nhất, có khả năng phối kết hợp chặt chẽ các công nghệ ứng dụng, công nghệ mạng, công nghệ lưu trữ và công nghệ tính toán. 1.3. Các yêu cầu hệ thống mạng TTDL 1.3.1. Chức năng (Functionality) Với thiết kế kiến trúc mạng SONA và module hóa từng chức năng, các yêu cầu cụ thể được đề ra đều được đảm bảo rõ trên thiết kế hạ tầng mạng. - Lớp cơ sở hạ tầng mạng (Networked Infrastruture Layer) - Lớp các dịch vụ tương tác (Interactive Services Layer) - Lớp các dịch vụ mạng ứng dụng (Application Networking Services). 1.3.2. Năng lực xử lý (Performance) Do tính chất phức tạp khi tính toàn Năng Lực Xử Lý, người ta sẽ tập trung vào 3 yếu tố ảnh hưởng mà liên quan tới Năng Lực Xử Lý nhất để có thể nhận biết được một mạng, đó là: - Thời gian đáp ứng (Responsiveness) - Thông lượng (Throughtput) 4 - Tối ưu sử dụng (Utilization) 1.3.3. Khả năng mở rộng (Scalability). Mở rộng mềm là một điểm cũng khá là quan trọng. Người quản trị mạng sẽ phải có khả năng dự đoán được sự mở rộng của mạng để từ đó có thể xác định loại giao thức định tuyến sẽ được sử dụng trên mạng (nhằm tránh việc thay đổi giao thức định tuyến rất phức tạp) và có một quy hoạch về địa chỉ IP (IP Plan) phù hợp nhất với hệ thống mạng. 1.3.4. Độ ổn định (Availability). Kiến trúc mạng TTDL hỗ trợ các doanh nghiệp một chiến lược toàn diện nhằm đảm bảo tính liên tục trong kinh doanh. Đảm bảo tính kiên cường, mau phục hồi của kho dữ liệu: - Công nghệ kết nối WAN/MAN giữa các TTDL với tốc độ cao, độ trễ thấp. - Các công nghệ kéo dài mạng lưu trữ (SAN Extension). - Loại bỏ điểm chết của hệ thống máy chủ (Single-Point of Server Failure). - Mạng riêng ảo (VPN - Virtual Private Network). - Hệ thống lựa chọn TTDL (Global Site Selector). - Độ ổn định (Độ sẵn sàng) được tính toán như sau: Availability(Intrinsic) A i = MTBF / (MTBF + MTTR) 1.3.5. Khả năng bảo mật Các giải pháp bảo mật phải được triển khai trên nhiều lớp tại TTDL: Bảo mật hạ tầng, bảo mật thông tin, Quản trị/quy trình/chính sách, kiểm toán. 1.3.6. Khả năng quản lý (Manageability). Hệ thống mạng chỉ có thể được vận hành hiệu quả nếu được quản lý tốt. Khả năng quản lý cần đảm bảo các nội dung sau: - Quản lý lỗi (Fault Management). - Quản lý cấu hình (Configuration Management). - Kiểm toán hệ thống (Accounting Management) - Quản lý hiệu năng (Performance Management). - Quản lý an ninh (Security Management). 5 1.4. Kiến trúc tổng quan các vùng trong TTDL. 1.4.1. Hệ thống mạng máy chủ (Server Farm Network). Đề xuất TTDL một cơ sở hạ tầng mạng IP xây dựng dựa trên hệ thống chuyển mạch thông minh bằng cách cho phép chuyển mạch lưu trữ thông qua chuyển mạch IP, tăng cường sức mạnh cơ sở hạ tầng mạng IP cho TTDL. Khả năng tích hợp trực tiếp các dịch vụ quan trọng, mang tính sống còn đối với TTDL, như Firewall, IPS, Server Load Balancing, SSL Off-load… 1.4.2. Mạng lưu trữ (SAN - Storage Area Network). Xu hướng công nghệ đang chuyển dần từ hệ thống lưu trữ trực tiếp DAS (Direct-Attached Storage) sang hệ thống lưu trữ theo công nghệ SAN (Storage Area Network) nhằm nâng cao khả năng mở rộng và mức độ thông minh của hệ thống. 1.4.3. Mạng kết nối các TTDL Khi xu hướng xây dựng TTDL tập trung ngày càng được củng cố và phát triển thì việc giảm thiểu thời gian gián đoạn, xảy ra sự cố bằng việc xây dựng TTDL dự phòng và thiết lập kết nối giữa TTDL chính và TTDL dự phòng càng trở nên quan trọng hơn bao giờ hết. 1.5. Kết luận. Chương 1 đã đi qua giới thiệu tổng quan hệ thống mạng TTDL, đồng thời nêu lên những khó khăn thách thức của các nhà quản lý TTDL, đưa ra các yêu cầu trong việc thiết kế hệ thống mạng TTDL, cũng như đưa ra một số phân tích về kiến trúc các phân vùng mạng và bảo mật trong TTDL giúp bạn đọc có thể hình dung bức tranh tổng thể hệ thống mạng TTDL. 6 Chương 2 - MỘT SỐ NGUYÊN TẮC XÂY DỰNG KIẾN TRÚC MẠNG VÀ BẢO MẬT TRUNG TÂM DỮ LIỆU. 2.1. Giới thiệu Kiến trúc mạng TTDL cung cấp nền tảng có khả năng mở rộng, cho phép các TTDL có thể áp dụng và triển khai các công nghệ và hệ thống truyền thống cũng như các công nghệ và hệ thống mới, đang phát triển mạnh, đảm bảo sự bền vững, tính sẵn sàng và khả năng mở rộng. 2.2. Nguyên tắc chung xây dựng hệ thống mạng. 2.2.1. Kiến trúc mạng theo mô hình phân cấp. Hiện nay có rất nhiều mô hình đang được áp dụng và triển khai trên thế giới song mô hình mạng phân cấp và thiết kế theo phân hệ hóa được nghiên cứu và phát triển hơn. 2.2.2. Kiến trúc mạng theo mô hình dự phòng. Việc thực hiện thiết kế dự phòng sẽ giúp tránh được trường hợp khi có 1 điểm trên hệ thống bị sự cố và ngưng hoạt động sẽ làm ngưng trệ toàn bộ hệ thống. Do đó, đối với các thiết bị quan trọng, có ảnh hưởng nhiều đến hệ thống cần phải được áp dụng các biện pháp dự phòng. 2.2.3. Kiến trúc mạng Ảo hóa. Khi xây dựng TTDL, bước tiếp theo của việc tập trung hóa (Data Center Consolidation) là bước thực hiện ảo hóa TTDL (Data Center Virtualization). Giai đoạn ảo hóa này cho phép người quản trị TTDL có thể tạo ra các lớp ảo, trừu tượng giữa các ứng dụng, hệ thống máy chủ và cơ sở hạ tầng mạng. Ảo hóa TTDL là việc tạo ra một thực thể logic từ các thực thể vật lý, hoặc là tạo ra nhiều thực thể logic từ một thực thể vật lý. Ảo hóa mở ra khả năng tận dụng một cách tối ưu nguồn tài nguyên hệ thống, hay nói cách khác là tăng hiệu suất sử dụng của hệ thống. 2.2.4. Kiến trúc mạng Module hóa 7 Hệ thống mạng được phân chia theo các khối chức năng và các khu vực rõ ràng. Các khối chức năng riêng biệt (Core , Management, Edge...) Việc module hóa hệ thống đảm bảo dễ dàng cho việc quản trị, vận hành, nâng cấp, thay đổi…Việc thay đổi, nâng cấp bên trong mỗi khối không gây ảnh hưởng đến các khối khác. Với mỗi khối chỉ quan tâm đến các khu vực còn lại trên khía cạnh giao diện vật lý giao tiếp và dịch vụ cung cấp. 2.3. Kiến trúc hệ thống mạng TTDL Mô hình Enterprise Composite Network chia hệ thống mạng thành 3 phân vùng chức năng vật lý cũng như luận điểm khác nhau gọi là 03 phân hệ Enterprise Campus, Enterprise Edge và Service Provider Edge. Hình 2.5 Mô hình Enterprise Composite Network 2.3.1. Phân hệ mạng Campus Đây là phân hệ cung cấp hệ thống mạng có hiệu năng, tính sẵng sàng và độ tin cậy cao. Phân hệ này chứa các thành phần mạng cần thiết có thể hoạt động một cách độc lập bên trong một phân khu địa lý nào đó với mỗi một phân khu địa lý có thể định nghĩa là một tòa nhà hay nhiều tòa nhà liên kết vật lý hoặc liên kết ảo với nhau. Cấu trúc mạng thiết kế theo dạng module và chia làm 3 lớp rõ ràng bao gồm: lớp distribution, lớp core và lớp access, nhiệm vụ và chức năng của từng lớp như sau: 8 2.3.1.1. Lớp Core Network Lớp này sẽ bao gồm các thiết bị chuyển mạch thông minh với năng lực xử lý nhanh, có khả năng hoạt động ở nhiều lớp trong mô hình 7 lớp OSI. 2.3.1.2. Lớp Distribution Network Lớp Distribution network sẽ làm trung gian kết nối giữa Lớp Core và Lớp Access với sự hỗ trợ của các thiết bị chuyển mạch có cấu hình tương đối, hoạt động được ở nhiều lớp trong mô hình OSI. Chức năng chính của Lớp Distribution là thực hiện các tính toán, phân bố kết nối vào hệ thống cho Lớp Access dựa trên các chính sách phân quyền chung được nhà quản trị đề ra 2.3.1.3. Lớp Access Network Lớp Access sẽ có nhiệm vụ chủ yếu là cung cấp kết nối cho người dùng đầu cuối vào hệ thống ở các tốc độ 10/100/1000 Mbps và một số máy chủ có kết nối 10Gbps. 2.3.2. Phân hệ mạng biên (Enterprise Edge). Phân hệ này dùng để tập trung các kết nối từ nhiều thành phần khác nhau tại vùng biên của mạng Enterprise. Chức năng chính của phân hệ mạng biên cho phép lọc các dòng dữ liệu từ các vùng biên của phân hệ và định tuyến vào phân khu chức năng tương ứng mạng Campus. Phân hệ Enterprise Edge được cấu thành bởi 04 phân hệ con như sau: 2.3.2.1. Phân vùng kết nối Internet Phân hệ này sẽ bao gồm các thiết bị như sau: Hệ thống router kết nối Internet. Phân hệ firewall. Hệ thống IPS. Hệ thống máy chủ web và mail. Hệ thống switch. 2.3.2.2. Phân vùng kết nối tới đối tác (Extranet Network) Phân hệ Extranet được dùng để kết nối tới các đối tác như công ty chứng khoán, sàn vàng, SBV, liên minh thanh toán thẻ, thanh toán đối soát và bù trừ. 9 2.3.2.3. Phân vùng kết nối mạng diện rộng WAN Phân hệ này có chức năng cung cấp các kết nối đến các chi nhánh, văn phòng của doanh nghiệp. Hệ thống router sẽ cung cấp các đường kết nối cho các chi nhánh cấp 1, đường kết nối với các chi nhánh, văn phòng được dùng là đường kết nối số liệu trực tiếp và yêu cầu có dự phòng đường truyền. Nếu xảy ra sự cố, mọi thông lượng sẽ được chuyển sang đường kết nối dự phòng. 2.4. Kết luận. Chương 2 đã đi phân tích kiến trúc mạng của TTDL với tảng vững mạnh có khả năng mở rộng, về những nguyên tắc chung xây dựng hệ thống mạng như: kiến trúc theo mô hình phân cấp, dự phòng, ảo hóa, module hóa; từ đó đi đến phân tích chuyên sâu làm rõ kiến trúc của từng phân vùng trong mô hình hệ thống mạng và bảo mật của TTDL, đặt cơ sở nền móng cho công việc xác định mô hình thiết kế áp dụng cho ABBANK ở chương tiếp theo. 10 Chương 3 – ỨNG DỤNG KIẾN TRÚC MẠNG VÀ BẢO MẬT CHO TTDL ABBANK. 3.1. Giới thiệu. Như đã phân tích ở trên, hệ thống mạng phải được thiết kế dựa trên các tiêu chí, tiêu chuẩn quốc tế (phân cấp, dự phòng, Module hóa, Ảo hóa). 3.2. Thiết kế hệ thống mạng TTDL 3.2.1. Mô hình thiết kế. Hình 3.1 Mô hình tổng thể hệ thống mạng TTDL 3.2.2. Thuyết minh kỹ thuật cho các phân hệ. 3.2.2.1. Thuyết minh kỹ thuật vùng Internet 3.2.2.1.1. Phân tích lưu lượng đi từ ABBank ra Internet. Với lưu lượng đi ra Internet em sẽ thiết kế để gửi traffic ra đường 02 đường Internet FTTH. Khi thiết kế cho traffic được gửi ra Internet, cần định nghĩa loại 11 traffic nào sẽ được ra Internet kết hợp sử dụng giải pháp cân bằng tải mức gateway. Ở đây em sẽ sử dụng giao thức GLBP (Gateway LoadBalancing Protocol) trên các Router kết nối ra Internet. 3.2.2.1.2. Phân tích lưu lượng đi từ Internet vào. Như đã đề cập trước thì lưu lượng đi từ Internet vào sẽ thông qua 02 đường Leased Line dành riêng cho các dịch vụ được public ra Internet là VPN, Swift, Website, Internet Banking… Khi xây dựng hệ thống định tuyến Internet trung tâm tại TTDL ABBANK bằng mô hình Multi-Homing thông qua nhiều kênh kết nối đến các nhà cung cấp dịch vụ ISP thì kế hoạch triển khai bảng định tuyến để kết nối đến các ISP tuỳ thuộc vào chính sách và sự hỗ trợ của các ISP sở tại. Với giải pháp kết hợp trên sẽ giúp cho hệ thống định tuyến Internet trung tâm tại ABBank được xây dựng với kiến trúc dự phòng hoàn chỉnh. Mô hình kết nối của giải pháp sẽ được minh hoạ tổng quát qua sơ đồ kết nối vật lý như sau: 3.2.2.1.3. Giải pháp chia tải cho hệ thống internet. Cơ chế hoạt động của sự chia tải Load Sharing trong môi trường mạng kết nối với 2 ISP của hệ thống định tuyến Internet trung tâm tại ABBank thông qua giao thức BGP được minh hoạ qua sơ đồ kết nối tổng quát như sau: Hình 3.7 Mô hình cấu hình BGP Load Sharing 12 3.2.2.2. Thuyết minh kỹ thuật cho vùng mạng đối tác (Module Extranet) Trong Module này các thành phần sử dụng đều được thiết kế chạy dự phòng, lưu lượng dữ liệu trước khi vào mạng sẽ được kiểm soát bởi hai Firewall có thể ngăn chặn ngay từ bên ngoài những phần tử truy cập vào mạng với ý định xấu. 3.2.2.3. Thuyết minh kỹ thuật cho vùng mạng WAN (Module WAN). Theo như phân tích ở trên, hệ thống mạng được thiết kế theo mô hình phân cấp, ở phần này tập trung phân tích yêu cầu cho Module WAN đó là : tách hệ thống Core Router ra khỏi hệ thống Router đấu nối xuống các chi nhánh, phòng giao dịch và máy ATM (WAN module). Để làm được như vậy, em cũng phân cấp hệ thống WAN thành 03 mức là Core, Distribution và Access. 3.2.2.3.1. Vùng mạng diện rộng lõi (Module WAN Core) Hiện tại, mạng truyền dẫn core của hệ thống bao gồm các thiết bị định tuyến đặt tại hội sở chính tại Hà Nội và hai trung tâm miền tại Đà Nẵng và thành phố Hồ Chí Minh. Thực hiện truyền dữ liệu bằng IP Routing Layer-3 trên lớp mạng Backbone. Router nhận dạng các backbone peer dựa trên địa chỉ IP Address kết hợp với định tuyến lớp 3 thông minh. 3.2.2.3.2. Phân vùng mạng diện rộng phân phối (Module WAN Distribute) Cung cấp kết nối cho lớp Access để giảm tải cho Core Router Thực hiện truyền dữ liệu bằng IP Routing Layer-3 lên lớp mạng Backbone. 3.2.2.3.3. Phân vùng mạng diện rộng truy nhập (Module WAN Access) Lớp mạng WAN lớp Access là lớp mạng tại các chi nhánh Ngân hàng. Lớp mạng này kết nối trực tiếp về lớp Distribution tại các TTDLMô hình thiết kế tại một điểm (một chi nhánh) trong lớp Access. 3.2.2.4. Thuyết minh kỹ thuật phân hệ mạng người dùng (Campus network). Đây là vùng mà dùng để kết nối tới toàn bộ người dùng và kết nối tới hệ thống máy chủ. Như đã được trình bầy, hệ thống được thiết kế phân cấp: Core, 13 Distribution, Access. Vấn đề đặt ra cho Module này liên quan tới lớp 2 là chủ yếu như VLAN, STP, VTP…. 3.2.2.4.1. Thuyết minh các hoạt động của lớp 2. Dự kiến số lượng thiết bị truy nhập dành cho người dùng là rất lớn, do vậy đề xuất sử dụng dòng thiết bị hỗ trợ PoE (cho IP Phone). Ở hình 3.13, ta có thể hình dung như sau: frame từ HostA đến HostC sẽ ngẫu nhiên chọn Link 1 hoặc Link 2 tuỳ vào thuật toán Hash. Hình 3.13 Mô hình chia VLAN và kết nối Etherchanel Một câu hỏi được đặt ra khi chúng ta sử dụng nhiều đường kết nối lên Switch distribution chính là: liệu có tồn tại một quá trình loop các frame trên hệ thống và hậu quả là tạo thành “broadcast storm” không? Câu trả lời là: “Có” do có rất nhiều các đường link nên tạo bảng MAC trên Switch sẽ ghi lại thành một địa chỉ MAC nguồn trên nhiều cổng Switch khác nhau. Để giải quyết vấn đề loop này, toàn bộ các thiết bị mặc định đã được sử dụng tính năng Spanning-tree. Hình 3.14 Mô hình tổng quan của STP 14 Bên cạnh những tính năng dự phòng cho đường link giữa switch access và switch distribution, em sẽ sử dụng thêm một số các tính năng ưu việt khác như Port Fast, BPDU Gurad, Root Guard, Loop Guard, Backbone Fast…. 3.2.2.4.2. Thuyết minh bảo mật thiết bị mạng người dùng. Một vài phương án bảo mật tại Module này có thể được liệt kê như sau: - Sử dụng 802.1x Authentication - Sử dụng Dynamic ARP Inspection - Sử dụng Port Security - Sử dụng Private VLAN - Sử dụng Storm-Control. - Sử dụng DHCP Snooping 3.2.2.5. Thuyết minh kỹ thuật cho vùng Mạng Lõi (Module Core). Phân vùng Mạng Lõi tại ABBANK được dùng làm trung tâm để kết nối tới toàn bộ các vùng khác trên mạng. 3.2.2.5.1. Tối ưu hóa chuyển mạch Để tối ưu xử lý theo kiến trúc chuẩn và tận dụng năng lực xử lý của thiết bị, thiết bị Mạng Lõi core sẽ chia thành các thiết bị ảo khác nhau. Đồng thời sử dụng công nghệ FCoE chuyển mạch lưu trữ trên nền Ethernet kết hợp với VDC để chia thiết bị chuyển mạch mạng lõi thành phân vùng chuyển mạch cho lưu trữ theo mô hình 3.19 dưới đây Hình 3.19 Mô hình ảo hóa thiết bị chuyển mạch mạng lõi 15 Như chúng ta đã biết, giới hạn lớn nhất của công nghệ Etherchannel đó là nó chỉ hoạt động giữa 2 thiết bị. Và khi sử dụng STP giữa các Switch do cơ chế chống loop của STP nên dữ liệu chỉ chạy qua một kết nối từ cổng fowarding, cổng còn lại sẽ ở trạng thái block, do đó không tận dụng được tất cả các kết nối uplink giữa các switch. Để giải quyết vấn đề này đề xuất sử dụng giải pháp vPC thay thế cho STP như vậy dữ liệu sẽ được loadbalacing trên cả 2 đường, không chỉ cho phép tận dụng được tối đa khả năng của các đường truyền cũng như các cổng trên switch mà vPC còn cho phép thời gian hội tụ rất nhanh khi một trong các kết nối vPC bị lỗi. Vậy trong mô hình kết nối hình tam giác, một thiết bị kết nối tới 2 thiết bị khi đó công nghệ vPC ( virtual PortChannel ) giúp chạy Multichassis Etherchannel và ngăn chặn xảy ra loop trong hệ thống mạng. Hình 3.20 Mô hình giải pháp kết nối vPC 3.2.2.5.2. Tối ưu hóa định tuyến Giao thức định tuyến dự định được sử dụng sẽ là OSPF, công thức tính Metric cho OSPF sẽ là: Metric = ReferenceBandwidth/Bandwidth (trong đó giá trị mặc định của Reference Bandwidth mà OSPF sử dụng 108) Vậy nên, nếu các đường link chỉ hoạt động ở tốc độ 100Mbps thì OSPF sẽ tính toán chính xác. Và chúng ta sẽ có Metric như sau: Metric = 108/100.000.000 = 1 Tuy nhiên, nếu tốc độ lớn 100 Mbps thì kết quả sẽ ra sao? Lúc đó, OSPF sẽ coi toàn bộ những đường link với tốc 100Mbps, 1Gbps, 10Gbps là như nhau. Do vậy, OSPF sẽ không đưa ra được tuyến đường tối ưu nhất. Ứng dụng cơ chế hoạt 16 động này của OSPF vào thiết kế hệ thống mạng, em xin đưa ra phương án thay đổi cách thức tính toán của OSPF trên mạng để có thể tối ưu được băng thông 1Gbps, 10Gbps bằng cách sử dụng Reference Bandwidth là 1011 (hay 100.000.000.000). Lúc đó OSPF sẽ tính toán Metric chính xác hơn. Lấy vị dụ: Metric cho đường tốc độ 100Mbps là: 1011/100.000.000= 1000 Metric cho đường có tốc độ 1Gbps là: 1011/1.000.000.000 = 100 Metric cho đường có tốc độ 10Gbps là: 1011/10.000.000.000 = 10 Với việc phân biệt được Metric khác nhau trên các đường link khác nhau sẽ giúp cho OSPF hoạt động chính xác hơn. 3.2.2.5.3. Tối ưu hóa bảo mật thiết bị mạng lõi. Như đã phân tích ở nhiều mục trước, Module Core được thiết kế sao cho tối ưu hóa được khả năng chuyển mạch và định tuyến. - Lớp hai: Database VLAN sẽ được cấu hình password để chống lại việc đồng bộ trái phép. - Lớp ba: Giao thức OSPF sẽ được yêu cầu xác thực MD5. 3.2.2.5.4. Tối ưu hóa dự phòng cho gateway Đề giải quyết vấn đề down Gateway, người ta đã xây dựng một thuật toán tự động chuyển đổi Gateway khi một trong các gateway bị down. Có rất nhiều giao thức dự phòng dành cho Gateway mà các thiết bịi hỗ trợ chính là HSRP, VRRP, GLBP, IRDP. Tuy nhiên, với hệ thống mạng tại ABBank em đề xuất sử dụng GLBP làm giao thức dự phòng cho Gateway. Em sẽ phân tích kết nối tới một Module làm ví dụ để có thể hình dung được cơ chế hoạt động của giao thức dự phòng này. 3.2.2.6. Thuyết minh kỹ thuật phân vùng mạng Lưu trữ. Hệ thống lưu trữ: bao gồm các thiết bị lưu trữ, hệ thống máy tính, hay các ứng dụng chạy trên nó, và một phần rất quan trọng là các phần mềm điều khiển, quá trình truyền thông tin qua mạng. 17 3.2.3. Tính toán phân hoạch IP 3.2.3.1. Nguyên tắc phân hoạch địa chỉ IP. Nhằm hỗ trợ tối đa khả năng mở rộng của hệ thống, sử dụng địa chỉ lớp A (10.0.0.0 – 10.255.255.255) để phân chia cho toàn bộ hệ thống mạng. 3.2.3.2. Dự kiến quy hoạch lớp mạng của TTDL. Theo tính toán sử dụng lớp mạng A để làm dải mạng quy hoạch cho toàn bộ hệ thống mạng ABBANK - Lớp mạng: 10.0.0.0/8 - Subnet: 255.0.0.0. - Host Range: 10.0.0.1 tới 10.255.255.254. Trong đó phân hoạch cụ thể được thiết kế theo hình cây lấy lớp mạng gốc là lớp A và phân xuống cho Khu vực và cho TTDL, mạng LAN cho các chi nhánh, ATM, địa chỉ mạng WAN tới Chi nhánh, ATM như bảng 3.1 sau: Bảng 3.1 Bảng phân hoạch địa chỉ IP. STT Địa chỉ IP SubNetMask Ghi chú 10.0.0.0/8 255.0.0.0 Lớp mạng toàn bộ hệ thống. I 10.0.0.0/11 255.224.0.0 Địa chỉ dùng cho Miền Bắc I.1 10.0.0.0/16 255.255.0.0 Địa chỉ dùng cho KV Hà Nội&TTDL I.1.1 10.0.0.0/18 255.255.192.0 TTDL Hà Nội I.1.1.1 10.0.0.0/19 255.255.224.0 Địa chỉ IP mạng và bảo mật tại TTDL 1 10.0.0.0/24 255.255.255.0 subnet zero 2 10.0.1.0/24 255.255.255.0 VLAN 1 Quản trị thiết bị mạng 3 10.0.2.0/24 255.255.255.0 VLAN 2 Kết nối phân vùng WAN … …….. …….. ……………. 31 10.0.31.0/24 255.255.255.0 Dự phòng I.1.1.2 10.0.32.0/19 255.255.224.0 Lớp mạng cho Máy chủ TTDL 1 10.0.32.0/24 255.255.255.0 subnet zero … …….. ………… ………………………… 18 31 10.0.63.0/24 255.255.255.0 Dự phòng I.1 10.1.0.0/16 255.255.0.0 Chi nhánh tỉnh 1 …….. ………………. ……….. ……………….. I.31 10.31.0.0/16 255.255.0.0 Chi nhánh tỉnh 31 II 10.32.0.0/11 255.224.0.0 Địa chỉ dùng cho KV Miền Nam III 10.64.0.0/11 255.224.0.0 Địa chỉ dùng cho KV Miền Trung IV 10.96.0.0/11 255.224.0.0 Địa chỉ dùng cho mạng WAN IV.1 10.96.0.0/16 255.255.0.0 WAN chính IV.2 10.100.0.0/16 255.255.0.0 WAN dự phòng 3.2.4. Thiết kế hệ thống an ninh tại TTDL. 3.2.4.1. Mô hình thiết kế hệ thống an ninh mạng TTDL. Đảm bảo an ninh thông tin là một yêu cầu rất quan trọng đối với hệ thống mạng của ngân hàng. Hệ thống cần đảm bảo an toàn thông tin từ trong ra ngoài, từ ngoài vào trong, và từ vùng biên mạng tới vùng lõi mạng. Hạ tầng bảo mật đảm bảo tính toàn vẹn, tính sẵn sàng, an toàn, được chia thành các miền an ninh như sau: - Miền an ninh thiết bị người sử dụng - Miền an ninh phân vùng mạng truy nhập. - Miền an ninh phân vùng mạng lõi. 3.2.4.2. Thuyết minh thiết kế hệ thống an ninh mạng 3.2.4.2.1. Bảo mật tại lớp mạng biên. Phân hệ mạng biên bao gồm những phân vùng: WAN, Extranet (partners), Internet, DMZ. Đây là miền quan trọng tham gia vào tất cả các dịch vụ và cũng là miền tiềm ẩn nhiều nguy cơ nhất. Để giải quyết các vấn đề trên kiến nghị sử dụng giải pháp bảo mật là sự kết hợp các hệ thống khác nhau như: Firewall, Proxy, Web Sercurrity Gateway, IPS, DLP, Web Application Firewall để đảm bảo an toàn các ứng dụng của Ngân hàng. 19 3.2.4.2.2. Bảo mật mạng lõi. Vùng mạng lõi nơi ngăn cách giữa hệ thống vùng máy chủ quan trọng (Server farm) và vùng mạng biên, do vậy rất cần xây dựng hệ thống bảo mật với sự kết hợp giữa tường lửa, IPS, hệ thống nhận dạng truy nhập để kiểm soát truy cập từ vùng mạng biên vào vùng mạng lõi và kiểm soát truy cập của người sử dụng các ứng dụng, dịch vụ được cài đặt trên các máy chủ trong vùng server farm. Kiến nghị sử dụng hệ thống bảo mật vùng mạng lõi với nhiều lớp bảo vệ, và của hãng khác so với giải pháp bảo mật cho phân hệ mạng biên : - Lớp Firewall - Lớp IPS 3.2.4.2.3. Bảo mật mức người dùng (mạng truy nhập). Bảo mật mức người dùng (mạng truy nhập) là yếu tố quan trọng giúp giảm nguy cơ an ninh an toàn thông tin, kiến nghị sử dụng phần mềm tường lửa, diệt virus được cài đặt trên máy người dùng, kết hợp với việc xác thực thông qua AD – Active Directory để quản trị tập trung. Đồng thời kết hợp với triển khai giải pháp kiểm soát truy nhập mạng (NAC - Network Access Control). 3.2.5. Thiết kế và tối ưu hóa định tuyến cho mạng ABBANK 3.2.5.1. Vai trò của việc định tuyến Định tuyến là chức năng cơ bản của Router nhằm đưa gói tin tới mạng đích theo yêu cầu từ mạng nguồn. Một giải pháp thiết kế định tuyến hợp lý sẽ góp phần không nhỏ giúp làm tăng tốc độ ứng dụng trên mạng, tiết kiệm băng thông truyền, tận dụng khả năng xử lý của Router, tăng tính dự phòng và đơn giản hóa các thao tác quản trị. 3.2.5.2. Giải pháp sử dụng định tuyến tĩnh Định tuyến tĩnh (static routing) là việc nhà quản trị tự xác định các mạng đích và điểm đến tiếp (next hop) để tới mạng đích đó, có nghĩa là với một mạng đích như vậy thì sẽ chuyển gói tin tới Router nào. Ví dụ như sau về một dòng lệnh định tuyến tĩnh: ip route 10.192.64.0 255.255.255.0 10.65.4.1 20 Với phương pháp này nhà quản trị sẽ phải thao tác bằng tay (manual) nhập các giá trị định tuyến vào cấu hình Router do đó sử dụng định tuyến tĩnh có một số bất cập. 3.2.5.3. Giải pháp sử dụng định tuyến động Định tuyến động (dynamic routing) là một giải pháp tốt cho việc giải quyết bài toán quản lý và cập nhật route khi hệ thống mạng trở nên lớn về quy mô và số lượng thiết bị. 3.2.5.4. Giải pháp định tuyến đối với Hệ thống mạng WAN. Dựa trên những phân tích trên và để đáp ứng tốt nhất quy mô phát triển cũng như hoạt động nghiệp vụ của ABBank, Đề xuất sử dụng giải pháp định tuyến động OSPF. Về cơ bản các OSPF Area dùng cho Backbone và OSPF Area dùng cho mỗi miền sẽ được cấu trúc như sau: 3.2.5.5. Phương án cân bằng tải và dự phòng Như đã phân tích ở trên, hệ thống mạng của ngân hàng ABBANK sử dụng giao thức định tuyên OSPF. Đây là giao thức định tuyến cho phép tự động cân bằng tải và dự phòng đường truyền. Tuy nhiên, muốn OSPF có thể cân băng tải được chỉ khi toàn bộ các đường kết nối WAN phải có giá trị Cost bằng nhau. Nếu chúng ta manually thay đổi giá trị cost trên các đường truyền có tốc độ khác nhau để có cost bằng nhau sẽ khiến cho quá trình load balancing không hiệu quả. Giải pháp đưa ra là: Tạo Tunnel và cho OSPF chạy trên các Tunnel đó thay vì chạy trực tiếp trên interface kết nối. 3.2.5.6. Phương án sử dụng tối ưu hóa đường truyền (Quality of Service). Cách thức xây dựng QoS sẽ được tuân thủ theo 3 bước dưới đây: - Bước 1: Xác định loại ứng dụng cần được làm QoS (hay còn gọi là Classification). - Bước 2: Đánh dấu các ứng dụng cần làm QoS - Bước 3: Thiết lập policy cho các ứng dụng cần làm QoS - Bước 4: Gán policy vào cổng giao tiếp. 21 Bảng 3.2 Phân loại dữ liệu thực hiện QoS Loại dữ liệu Mô tả Cách thức cấu hình Voice Khi không cấu hình QoS cho loại dữ liệu này một số lỗi sẽ xảy ra như: Cuộc gọi bị disconnect, bị méo tiếng, người nghe không biết là người gõi đã kết thúc hay chưa Sử dụng cách thức cấu hình là LLQ (Low Latency Queuing). Video Đây là loại dữ liệu hình ảnh, nếu không sử dụng QoS sẽ khiến cho hình ảnh bị mất, bị trễ hoặc bị nhòe hình…. Sử dụng cách thức cấu hình là LLQ Data Không yêu cầu thời gian thực, nhưng nếu không cấu hình QoS, hệ thống sẽ coi toàn bộ các dữ liệu là như nhau, do vậy khi dữ liệu tới Router sẽ được coi như nhau. Câu hỏi được đặt ra là: Một số dữ liệu quan trọng cần được gửi trước? Một số dữ liệu khác cho phép trễ ? Cách xử lý sẽ ra sao. Có thể sử dụng LLQ cho một số loại dữ liệu yêu cầu xử lý nhanh như các giao dich ngân hàng, giao dịch chuyển tiền… một số các dữ liệu khác không đòi hỏi phải xử lý ngay lập tức như FTP.. ta có thể sử dụng phương án cấu hình CBWFQ (Class-Based Weight Fair Queuing) 3.3. Kết luận Đi từ việc phân tích những khó khăn và thách thức của hệ thống mạng và bảo mật TTDL đối với các doanh nghiệp và nhà quản trị mạng ở chương 1, hay những phân tích về kiến trúc mạng theo các tiêu chí, tiêu chuẩn quốc tế của từng thành phần trong những phân vùng mạng và bảo mật của TTDL tại chương 2 em đã đi tới xây dựng mô hình kiến trúc mạng và bảo mật TTDL khuyến nghị áp dụng cho ABBANK tại chương 3, trong mô hình thiết kế yêu cầu tuân thủ các nguyên tắc, hay các tiêu chuẩn quốc tế trong việc xây dựng kiến trúc mạng TTDL như: tính sẵn sàng, khả năng mở rộng, bảo mật, …cùng với đó là đưa ra khuyến nghị sử dụng giao thức định tuyến đảm bảo phù hợp, phương thức bảo mật cho từng phân vùng 22 đảm bảo có chiều sâu, và các giải pháp đảm bảo tính ổn định, sẵn sàng của hệ thống như STP, GLBP, VPC, VDC. Từ đó hòan thiện được mô hình, giải pháp, cách thức triển khai hệ thống mạng và bảo mật TTDL của ABBANK. KẾT LUẬN VÀ KHUYẾN NGHỊ Qua bài viết có thể thấy TTDL đóng vai trò tối quan trọng trong hạ tầng Công nghệ thông tin của doanh nghiệp nói chung và của các doanh nghiệp hoạt động trong lĩnh vực Tài chính, Ngân hàng và Bảo hiểm nói riêng. Xu hướng phát triển của TTDL bao gồm xu hướng tập trung hóa (Consolidation), ảo hóa (Virtualization) và tự động hóa (Automation). Khi xây dựng TTDL, ba yếu tố cốt yếu của TTDL cần được đảm bảo, đó là khả năng bảo vệ (Protect), khả năng tối ưu hóa (Optimization), và khả năng phát triển (Grow). Đồng thời giải pháp Trung tâm dư liệu là sự kết hợp của rất nhiều công nghệ khác nhau, từ công nghệ mạng, công nghệ lưu trữ đến công nghệ truyền dẫn. Đề tài đã giới thiệu kiến trúc mạng theo các tiêu chuẩn quốc tế SONA đi tới phân tích các phân vùng mạng trong TTDL qua đó đã kiến nghị áp dụng cho hệ thống của ABBANK như: công nghệ ảo hóa, công nghệ FCOE, VPC, VDC và kiến nghị sử dụng giao thức hay thuật toán nhằm nâng cao tính sẵn sàng ổn định của hệ thống mạng kết hợp với phân tích giải pháp. 23 Đề tài cơ bản đã hoàn thành được nội dung và yêu cầu của một luận văn tốt nghiệp thạc sĩ kỹ thuật song do thời gian thực hiện có hạn, nội dung không tránh khỏi những thiếu sót nhất định. Tác giả mong nhận được các ý kiến đóng góp của Hội đồng để bổ sung và hoàn thiện hơn nữa. Một số hướng nghiên cứu tiếp theo của đề tài là: - Nghiên cứu các giải pháp bảo mật nâng cao cho hệ thống mạng đảm bảo an ninh an toàn dữ liệu (giải pháp phát hiện ngăn chặn truy nhập mức host, hoàn thiện chống thất thoát dữ liệu người dùng, hòan thiện giải pháp kiểm soát truy nhập mạng, xây dựng các hệ thống phát liện lỗ hổng bảo mật…) - Tiếp tục nghiên cứu tối ưu hóa hệ thống mạng: giải pháp cân bằng tải mức mạng tới mức ứng dụng áp dụng cho nhiều TTDL, hay giải pháp tối ưu hóa băng thông mạng... - Tiếp tục nghiên cứu hòan thiện giải pháp chuyển mạch hội tụ (FCOE), hay các kỹ thuật vPC, VDC là những kỹ thuật giúp khắc phục những điểm yếu công nghệ trước đây STP. 24 DANH MỤC TÀI LIỆU THAM KHẢO [1] Cisco Validated Design: Cisco Data Center Infrastructure 2.5 Design Guide March 9, 2010 [2] Cisco Systems, Inc.170 West Tasman Drive San Jose, CA 95134-1706 USA: Data Center High Availability Clusters Design Guide – Nov 2005. [3] Designing Cisco Network Service Architectures 05.08.07 [4]Guide to Intrusion Detection and Prevention Systems (IDPS)– Recommendations of the National Institute of Standards and Technology (NIST), February 2007 [5] Mike Herbert: Evolution of the Data Center Access Architecture [6] Internet Security Systems: www.iss.net/products/product_sections/Server_Protection.html [7] Intrusion Prevention Systems: the Next Step in the Evolution of IDS: