Đồ án Tìm hiểu và ứng dụng Vlan cho bệnh viện nội tiết trung ương

Dựa trên những kết quả bước đầu đã đạt được trong bài báo cáo đồ án tốt nghiệp, chúng em đã tích lũy được một số kiến thức về công nghệ mạng VLAN để áp dụng vào thực tế để giải quyết vấn đề bài toán cho mạng LAN ảo của bệnh viện nội tiết trung ương. Bước đầu chúng em đã xây dựng được mô hình mạng thực hiện chia và định tuyến cho các VLAN. Dựa trên những gì chúng em đã làm được trong bài báo cáo thực tập chúng em tiếp tục nghiên cứu và triển khai về vấn đề bảo mật cho mô hình mạng của bệnh viện

doc49 trang | Chia sẻ: lylyngoc | Lượt xem: 3836 | Lượt tải: 2download
Bạn đang xem trước 20 trang tài liệu Đồ án Tìm hiểu và ứng dụng Vlan cho bệnh viện nội tiết trung ương, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
nh truyền thông được chia ra thành 7 tầng với những chức năng phân biệt cho từng tầng. Hai tầng đồng mức khi liên kết với nhau phải sử dụng một giao thức chung. Trong mô hình OSI có hai loại giao thức chính được áp dụng: giao thức có liên kết (connection – oriented) và giao thức không liên kết (connectionless) Giao thức có liên kết: trước khi truyền dữ liệu hai tầng đồng mức cần thiết lập một liên kết logic và các gói tin được trao đổi thông qua liên kết náy, việc có liên kết logic sẽ nâng cao độ an toàn trong truyền dữ liệu. Giao thức không liên kết: trước khi truyền dữ liệu không thiết lập liên kết logic và mỗi gói tin được truyền độc lập với các gói tin trước hoặc sau nó. Hình2.2: Mô hình 7 tầng OSI Như vậy với giao thức có liên kết, quá trình truyền thông phải gồm 3 giai đoạn phân biệt: Thiết lập liên kết (logic)–> Truyền dữ liệu –> Hủy bỏ liên kết (logic) Đối với giao thức không liên kết thì chỉ có duy nhất một giai đoạn truyền dữ liệu mà thôi. Mô hình TCP/IP Bộ giao thức TCP/IP, ngắn gọn là TCP/IP (tiếng Anh: Internet protocol suite hoặc IP suite hoặc TCP/IP protocol suite - bộ giao thức liên mạng), là một bộ các giao thức truyền thông cài đặt chồng giao thức mà Internet và hầu hết các mạng máy tính thương mại đang chạy trên đó. Bộ giao thức này được đặt tên theo hai giao thức chính của nó là TCP (Giao thức Điều khiển Giao vận) và IP (Giao thức Liên mạng). Chúng cũng là hai giao thức đầu tiên được định nghĩa Các lớp của mô hình tham chiếu TCP/IP : Hình2.3: Mô hình tham chiếu TCP/IP Mô hình tham chiếu TCP/IP tương tự như kiến trúc OSI nhưng chỉ có 4 lớp, sau đây là một số tính chất của các lớp trong mô hình tham chiếu TCP/IP : Application layer : quản lý các giao thức, như hỗ trợ việc trình bày, mã hóa và quản lý cuộc gọi. Lớp Application cũng hỗ trợ nhiều ứng dụng như : FTP (File Transfer Protocol), HTTP (Hypertext Transfer Protocol), SMTP (Simple Mail Transfer Protocol), DNS (Domain Name System), TFTP (Trivial File Transfer Protocol). Transport layer : đảm nhiệm việc vận chuyển từ nguồn đến đích. Tầng Transport đảm nhiệm việc truyền dữ liệu thông qua hai nghi thức TCP(Transmission Control Protocol) và UDP (User Datagram Protocol) Internet layer : đảm nhiệm việc chọn lựa đường đi tốt nhất cho các gói tin. Nghi thức được sử dụng chính ở tầng này là nghi thức IP (Internet Protocol). Network Interface : có tính chất tương tự như hai lớp Data Link và Physical của kiến trúc OSI. Một số thiết bị cấu thành mạng Thiết bị chuyển mạch switch Chuyển mạch là một quá trình thực hiện đấu nối và chuyển thông tin cho người sử dụng thông qua hạ tầng mạng viễn thông. Nói cách khác, chuyển mạch trong trong viễn thông bao gồm chức năng định tuyến cho thông tin và chức năng chuyển tiếp thông tin. Như vậy, theo khía cạnh thông tin thường khái miện chuyển mạch gắn liền với mạng và lớp liên kết dữ liệu trong mô hình OSI của tổ chức tiêu chuẩn quốc tế ISO. Bộ chuyển mạch là sự tiến hóa của cầu nối, nhưng có nhiều cổng và dùng các mạch tích hợp nhanh để giảm độ trễ của việc chuyển khung dữ liệu. Hình2.4: Phạm vi hoạt động của bộ chuyển mạch Nhiệm vụ của switch là chuyển tiếp các khung từ nhánh mạng này sang nhánh mạng khácmột cách có chọn lọc dựa vào địa chỉ MAC vủa máy tính. Để làm được điều này, switch cần phải duy trì trong bộ nhớ của mình một bảng địa chỉ cục bộ chứa vị trí của tất cả các máy tính trong mạng. Mỗi máy tính sẽ chiếm một mục từ trong bảng địa chỉ. Mỗi switch được thiết kế với một dung lượng bộ nhớ giới hạn. Và như thế, nó xác định khả năng phục vụ tối đa của một switch. Chúng ta không thể dùng switch để nối quá nhiều mạng với nhau. Switch là một thiết bị chọn lựa đường dẫn để gửi frame đến đích, switch hoạt động ở Lớp 2 của mô hình ISO. Switch quyết định chuyển frame dựa trên địa chỉ MAC, do đó switch được xếp vào thiết bị hoạt động ở Lớp 2. Chính nhờ switch lựa chọn đường dẫn để quyết định chuyển frame lên mạng LAN có thể hoạt động hiệu quả hơn. Switch nhận biết máy nào kết nối vào cổng của nó bằng cách đọc địa chỉ MAC nguồn trong frame mà nó nhận được. Khi hai máy thực hiện liên lạc với nhau, switch chỉ thiết lập một mạch ảo giữa hai cổng tương ứng mà không làm ảnh hưởng đến lưu thông trên các cổng khác. Do đó, mạng LAN có hiệu suất hoạt động cao thường sử dụng chuyển mạch toàn bộ. Switch tập trung các kết nối và quyết định chọn đường dẫn để truyền dữ liệu hiệu quả. Frame được chuyển mạch từ cổng nhận vào đến cổng phát ra. Mỗi cổng là một kết nối cung cấp chọn băng thông cho máy. Để chuyển frame hiệu quả giữa các cổng, switch lưu giữ một bảng địa chỉ. Khi switch nhận vào một frame, nó sẽ ghi địa chỉ MAC của máy gửi tương ứng với cổng mà nó nhận frame đó vào. Các đặc điểm chính của switch: Tách biệt giao thông trên từng đoạn mạng. Tăng nhiều hơn lượng băng thông dành cho mỗi người dùng bằng cách tạo ra miền đụng độ nhỏ hơn. Đặc điểm đầu tiên: Tách biệt giao thông trên từng đoạn mạng. switch chia hệ thống mạng ra thành các đơn vị cực nhỏ gọi là microsegment. Các segment như vậy cho phép các người dùng trên nhiều segment khác nhau có thể giử dữ liệu cùng một lúc mà không làm chậm các hoạt động của mạng. Bằng cách chia nhỏ hệ thống mạng, sẽ làm giảm lượng người dùng và thiết bị cùng chia sẻ một băng thông. Mỗi segment là một miền đụng độ riêng biệt. switch giới hạn lưu lượng băng thông chỉ chuyển gói tin đến đúng cổng cần thiết dựa trên địa chỉ MAC Lớp 2. Đặc điểm thứ hai: Switch là bảo đảm cung cấp băng thông nhiều hơn cho người dùng bằng cách tạo ra các miền đụng độ nhỏ hơn. Switch chia nhỏ mạng LAN thành nhiều đoạn mạng (segment) nhỏ. Mỗi segment này là một kết nối riêng giống như một làn đường riêng 100 Mb/s. Mỗi server có thể đặt trên một kết nối 100 Mb/s riêng. Trong các hệ thống mạng hiện nay Fast Ethernet switch được sử dụng làm đường trục chính cho mạng LAN, còn Ethernet switch hoặc Fast Ethernet hub được sử dụng kết nối xuống máy tính. Thời gian trễ của Ethernet switch Thời gian trể là thời gian từ lúc switch nhận frame vào cho đến khi switch đã chuyển hết frame ra cổng đích. Thời gian trể này phụ thuộc vào cấu hình chuyển mạch và lượng giao thông qua switch. Thời gian trễ được đo bằng đơn vị nhỏ hơn giây. Đối với thiết bị mạng hoạt động với tốc độ cao thì mỗi nano giây (ns) trễ hơn là một ảnh hưởng lớn đến hoạt động mạng. Chuyển mạch Lớp 2 và Lớp 3 Chuyển mạch là tiến trình nhận frame vào từ một cổng và chuyển frame ra tới một cổng khác. Router sử dụng chuyển mạch Lớp 3 để chuyển các gói đã được định tuyến xong. Switch sử dụng chuyển mạch Lớp 2 để chuyển frame. Sử khác nhau giữa chuyển mạch Lớp 2 và Lớp 3 là loại thông tin nằm trong frame được sử dụng để quyết định chọn cổng ra là khác nhau. Chuyển mạch Lớp 2 dựa trên thông tin là địa chỉ MAC. Còn chuyển mạch Lớp 3 là dựa trên địa chỉ lớp mạng (ví dụ như: địa chỉ IP). Chuyển mạch Lớp 2 nhìn vào địa chỉ MAC đích trong phần header của frame và chuyển frame ra đúng cổng dựa theo thông tin địa chỉ MAC trên bảng chuyển mạch. Bảng chuyển mạch được lưu trong bộ nhớ địa chỉ CAM ( Content Addressable Memory). Nếu switch lớp 2 không biết gửi frame vào port nào, cụ thể thì đơn giản là nó quảng bá frame ra tất cả các port của nó. Khi nhận được khi nhận được gói trả lời về, switch sẽ nhận địa chỉ mới vào CAM. Chuyển mạch Lớp 3 là một chức năng của Lớp mạng. Chuyển mạch Lớp 3 kiểm tra thông tin nằm trong phần header của Lớp 3 và đựa vào địa chỉ IP đó để chuyển gói. Dòng giao thông trong mạng chuyển mạch ngang hàng hoàn toàn khác với dòng giao thông trong mạng định tuyến hay mạng phân cấp. Trong mạng phân cấp dòng giao thông trong mạng được uyển chuyển hơn trong mạng ngang hàng. Khái niệm về collisont domain : Miền xung đột được định nghĩa là vùng mạng mà trong đó các khung phát ra có thể gây xung đột với nhau. Càng nhiều trạm trong cùng một miền xung đột thì sẽ làm tăng sự xung đột và làm giảm tốc độ truyền, vì thế mà miền xung đột còn có thể gọi là miền băng thông (các trạm trong cùng miền này sẽ chia sẻ băng thông của miền) một trong những nguyên nhân chính làm cho hoạt động của mạng không hiệu quả. Mỗi khi một đụng độ xảy ra trên một mạng, tất cả các hoạt động truyền dừng lại trong một khoảng thời gian. Khoảng thời gian ngưng tất cả hoạt động truyền này hay đổi và được xác định bởi một thuật toán vãn hồi (backoff) trong mỗi thiết bị mạng. Bộ nhớ đệm Ethernet switch sử dụng bộ đệm để giữ và chuyển frame. Bộ đệm còn được sử dụng khi cổng đích đang bận. Có hai loại bộ đệm có thể sử dụng để chuyển frame là bộ đệm theo cổng và bộ đệm chia sẻ. Trong bộ đệm theo cổng, frame được lưu thành từng đợt tương ứng với từng cổng nhận vào. Sau đó frame sẽ được chuyển sang hàng đợi của cổng đích khi tất cả các frame trước nó trong hàng đợi đã được chuyển hết. Như vậy một frame có thể làm cho tất cả các frame còn lại trong trong hàng đợi phải hoãn lại vì cổng đích của frame này đang bận. Ngay khi cổng đích còn đang trống thì cũng phải chờ một khoảng thời gian để chuyển hết frame đó. Bộ được chia sẻ để tất cả các frame vào chung một bộ nhớ. Tất cả các cổng của switch chia sẻ cùng một bộ đệm dung lượng bộ đệm phân bổ theo nhu cầu của mỗi cổng tại mỗi thời điểm. Frame được tự động đưa ra cổng phát. Nhờ cơ chế chia sẻ này, một frame nhận được từ cổng này không cần phải chuyển hàng đợi để phát ra cổng khác. Swicth giữ một sơ đồ cho biết frame nào tương ứng với cổng nào và sơ đồ này sẽ xóa đi sau khi đã truyền frame thành công. Bộ đệm được sử dụng theo dạng chia sẻ. Do đó lượng frame trong bộ đệm bị giới hạn bởi tổng dung lượng của bộ đệm chứ không phụ thuộc vào vùng đệm của từng cổng như dạng bộ đệm theo cổng. Do đó frame lớn có thể chuyển đi được và ít bị rớt gói hơn. Điều này rất quan trọng đố với chuyển mạch bất đồng bộ vì frame được chuyển giữa hai cổng có hai tốc độ khác nhau. Bộ đệm theo cổng lưu các frame theo hàng đợi tương ứng với từng cổng nhận vào. Bộ đệm chia sẻ lưu tất cả các frame vào chung một bộ nhớ. Tất cả các cổng trên switch chia sẻ cùng một vùng nhớ này. Phương pháp chuyển mạch Có hai phương pháp chuyển mạch: Store – and – forward: Nhận vào toàn bộ frame xong rồi mới bắt đầu chuyển đi. Switch đọc địa chỉ nguồn, đích và lọc frame nếu cần trước khi quyết định chuyển frame ra. Vì switch phải nhận xong toàn bộ frame rồi mới bắt đầu tiến trình chuyển mạch frame nên thời gian trễ càng lớn đối với frame càng lớn. Tuy nhiên nhờ vậy switch mới kiểm tra lỗi cho toàn bộ frame giúp khả năng phát hiện lỗi cao hơn. Cut – through: Frame được chuyển đi trước khi nhận xong toàn bộ frame. Chỉ cần địa chỉ đích có thể đọc được rồi là có thể chuyển frame ra. Phương pháp này làm giảm thời gian trễ nhưng đồng thời làm giảm khả năng phát hiện lỗi frame. Sau đây là hai chế độ chuyển mạch cụ thể theo phương pháp cut – through: Fast – forward: Chuyển mạch nhanh có thời gian gian trễ thấp nhất. Chuyển mạch nhanh sẽ chuyển frame ra ngay sau khi đọc được địa chỉ đích của frame mà không cần phải chờ nhận hết frame. Do đó cơ chế này không kiểm tra được frame nhận vào có bị lỗi hay không dù điều này không xảy ra thường xuyên và máy đích sẽ hủy gói tin nếu gói tin đó bị lỗi. Trong cơ chế chuyển mạch nhanh, thời gian trễ được tính từ lúc switch nhận vào bit đầu tiên cho đến khi switch phát ra bit đầu tiên. Fragment – free: cơ chế chuyển mạch này sẽ lọc bỏ các mảnh gãy do dụng độ gây ra trước khi bắt đầu chuyển gói. Hầu hết các frame bị lỗi trong mạng là những gãy của frame do bị đụng độ. Trong mạng hoạt động bình thường, một mảnh frame gãy do đụng độ gây ra phải nhỏ hơn 64 byte. Bất kỳ trong frame nào lớn hơn 64 byte đều xem là hợp lệ và thường không có lỗi. Do cơ chế chuyển mạch không mảnh gãy sẽ chờ nhận đủ 64byte đầu tiên của frame để bảo đảm frame nhận được không phải là một mảnh gãy do bị đụng độ rồi mới bắt đầu chuyển frame đi. Trong chế độ chuyển mạch này, thời gian trễ cũng được tính từ switch nhận được bit đầu tiên cho đến khi switch phát switch phát đi bit đầu tiên đó. Thời gian trễ của mỗi chế độ chuyển mạch phụ thuộc vào cách mà switch chuyển frame như thế nào. Để chuyển frame được nhanh hơn, switch đã bớt thời gian kiểm tra lỗi frame đi nhưng làm như vậy lại làm tăng dữ liệu cần truyền lại. Router (Bộ tìm đường) Hình2.5: Một số dòng router của cisco Cấu tạo của một router tương tự như một máy tính bao gồm các thành phần chính: CPU, ROM, RAM, NVRAM, Flash memory, interface. Router là một thiết bị hoạt động trên tầng 3, nó có thể tìm được đường đi tốt nhất cho các gói tin qua nhiều kết nối để đi từ trạm gửi thuộc mạng đầu đến trạm nhận thuộc mạng cuối. Router có thể được sử dụng trong việc nối nhiều mạng với nhau và cho phép các gói tin có thể đi theo nhiều đường khác nhau để tới đích. Khi xử lý một gói tin Router phải tìm được đường đi của gói tin qua mạng. Để làm được điều đó Router phải tìm được đường đi tốt nhất trong mạng dựa trên các thông tin nó có về mạng, thông thường trên mỗi Router có một bảng chỉ đường (Router table). Dựa trên dữ liệu về Router gần đó và các mạng trong liên mạng, Router tính được bảng chỉ đường (Router table) tối ưu dựa trên một thuật toán xác định trước. Cáp Cáp dùng làm phương tiện truyền dẫn kết nối giữa các thành phần của mạng với nhau. Trong mô hình OSI cáp được coi là thiết bị tầng 1. Cáp đồng trục mảnh 10Base2 Cáp đồng trục dày 10Base5 Cáp xoắn đôi 10BaseT Cáp quang Chi phí Đắt hơn cáp xoắn đôi Đắt hơn cáp mảnh Rẻ nhất Đắt nhất Độ dài đường chạy tối đa 185m 500m 100m Dài đến vài Km Chống nhiễu Tốt Tốt Không tốt Rất tốt Tốc độ truyền 10Mbps 10Mbps 10Mbps Có thể đến 2Gbps Hình2.6: Một số loại cáp thông dụng Card mạng Card mạng (hay còn gọi là NIC card hay Adapter card) là thiết bị nối kết giữa máy tính và cáp mạng. Chúng thường giao tiếp với máy tính qua các khe cắmCác chức năng chính của card mạng: Chuẩn bị dữ liệu đưa lên mạng: trước khi đưa lên mạng, dữ liệu phải được chuyển từ dạng byte, bit sang tín hiệu điện để có thể truyền trên cáp. Gửi dữ liệu đến máy tính khác. Kiểm soát luồng dữ liệu giữa máy tính và hệ thống cáp. Gateway Gateway dùng để kết nối các mạng không thuần nhất chẳng hạn như các mạng cục bộ và các mạng máy tính lớn (Mainframe), do các mạng hoàn toàn không thuần nhất nên việc chuyển đổi thực hiện trên cả 7 tầng của hệ thống mở OSI. Thường được sử dụng nối các mạng LAN vào máy tính lớn. Gateway có các giao thức xác định trước thường là nhiều giao thức, một Gateway đa giao thức thường được chế tạo như các Card có chứa các bộ xử lý riêng và cài đặt trên các máy tính hoặc thiết bị chuyên biệt. Hoạt động của Gateway thông thường phức tạp hơn là Router nên thông suất của nó thường chậm hơn và thường không dùng nối mạng LAN -LAN. Những cấu trúc chính của mạng cục bộ Hình2.7: Các loại cấu trúc chính của mạng cục bộ Đường thẳng Vòng Tròn Hình sao Ứng dụng Tốt cho trường hợp mạng nhỏ và mạng có giao thông thấp và lưu lượng dữ liệu thấp Tốt cho trường hợp mạng có số trạm ít hoạt động với tốc độ cao,không cách nhau xa lắm hoặc mạng có lưu lượng dữ liệu phân bố không đều. hiên nay mạng sao là cách tốt nhất cho trường hợp phải tích hợp dữ liệu và tín hiệu tiếng. Các mạng đện thoại công cộng có cấu trúc này Độ phức tạp Tương đối không phức tạp Đòi hỏi thiết bị tương đối phức tạp.Mặt khác việc đưa thông điệp đi trên tuyến là đơn giản, vì chỉ có 1 con đường, trạm phát chỉ cần biết địa chỉ của trạm nhận, các thông tin để dẫn đường khác thì không cần thiết Mạng sao được xem là khá phức tạp. Các trạm được nối với thiết bị trung tâm và lần lượt hoạt động như thiết bị trung tâm hoặc nối được tới các dây dẫn truyền từ xa Hiệu suất Rất tốt dưới tải thấp có thể giảm hiệu suất rất mau khi tải tăng Có hiệu quả trong trường hợp lượng lưu thông cao và khá ổn định nhờ sự tăng chậm thời gian trễ và sự xuoáng caáp so với các mạng khác Tốt cho trường hợp tải vừa tuy nhiên kích thước và khả năng , suy ra hiệu suất của maïng phụ thuộc trực tiếp vào sức mạnh của thiết bị trung tâm. Tổng phí Tương đối thấp đặc biệt do nhiều thiết bị đã phát triển hòa chỉnh và bán sảm phẩm ở thị trường .Sự dư thừa kênh truyền được khuyến để giảm bớt nguy cơ xuất hiện sự cố trên mạng Phải dự trù gấp đôi nguồn lực hoặc phải có 1 phương thức thay thế khi 1 nút không hoạt động nếu vẫn muốn mạng hoạt động bình thường Tổng phí rất cao khi làm nhiêm vụ của thiết bị trung tâm, thiết bị trung tâm ï không được dùng vào việc khác .Số lượng dây riêng cũng nhiều. Nguy cơ Một trạm bị hỏng không ảnh hưởng đến cả mạng. Tuy nhiên mạng sẽ có nguy cơ bị tổn hại khi sự cố trên đường dây dẫn chính hoặc có vấn đề với tuyến. Vấn đề trên rất khó xác định được lại rất dễ sửa chữa Một trạm bị hỏng có thể ảnh hưởng đến cả hệ thống vì các trạm phục thuộc vào nhau. Tìm 1 repeater hỏng rất khó ,vả lại việc sửa chữa thẳng hay dùng mưu mẹo xác định điểm hỏng trên mạng có địa bàn rộng rất khó Độ tin cậy của hệ thống phụ thuộc vào thiết bị trung tâm, .nếu bị hỏng thì mạng ngưng hoạt động Sự ngưng hoạt động tại thiết bị trung tâm thường không ảnh hưởng đến toàn bộ hệ thống . Khả năng mở rộng Việc thêm và định hình lại mạng này rất dễ.Tuy nhiên việc kết nối giữa các máy tính và thiết bị của các hãng khác nhau khó có thể vì chúng phải có thể nhận cùng địa chỉ và dữ liệu Tương đối dễ thêm và bớt các trạm làm việc mà không phải nối kết nhiều cho mỗi thay đổi Giá thành cho việc thay đổi tương đối thấp Khả năng mở rộâng hạn chế, đa số các thiết bị trung tâm chỉ chịu đựng nổi 1 số nhất định liên kết. Sự hạn chế về tốc độ truyền dữ liệu và băng tần thường được đòi hỏi ở mỗi người sử dụng. Các hạn chế này giúp cho các chức năng xử lý trung tâm không bị quá tải bởi tốc độ thu nạp tại tại cổng truyền và giá thành mỗi cổng truyền của thiết bị trung tâm thấp . Mạng LAN ảo (VLAN)[2],[3] Tổng quan về VLAN[2],[4],[5] Mạng LAN là một mạng cục bộ (viết tắc của Local Area Network), được định nghĩa là tất cả các máy tính trong cùng một miền quảng bá (broadcast domain). Cần nhớ rằng các router (bộ định tuyến) chặn bản tin quảng bá, trong khi switch (bộ chuyển mạch) chỉ chuyển tiếp chúng. Mạng LAN có nhiều quy mô và mức độ phức tạp khác nhau, nó có thể chỉ liên kết vài ba máy tính cá nhân và dùng chung một thiết bị ngoại vi đắt tiền như máy in lazer chẳng hạn. Các hệ thống phức tạp hơn thì có máy tính trung tâm (Máy chủ Server) cho phép những người dùng trao đổi thông tin với nhau và thâm nhập vào các cơ sở dữ liệu dùng chung. Phạm vi ứng dụng của mạng LAN- Mạng LAN thường được sử dụng để kết nối các máy tính trong gia đình, trong một phòng Game, phòng NET, trong một toà nhà của Cơ quan, Trường học.- Cự ly của mạng LAN giới hạn trong phạm vi có bán kính khoảng 100m- Các máy tính có cự ly xa hơn thông thường người ta sử dụng mạng Internet để trao đổi thông tin. Mô hình mạng không có VLAN là một mạng phẳng (flat network) vì nó hoạt động chuyển mạch ở Lớp 2. Một mạng phẳng là một niểm quảng bá (broadcast), mỗi gói quảng bá từ một host nào đó đều đến được các host còn lại trong mạng. Mỗi cổng trong switch là một miền đụng độ (collision), vì vậy người ta sử dụng switch để chia nhỏ miền collision, nhưng nó không ngăn được miền quảng bá. Vấn đề băng thông: trong một số trường hợp một mạng Campus ở lớp 2 có thể mở thêm một số tòa nhà cao tầng nữa, hay một số người dùng tăng lên thì nhu cầu sử dụng băng thông cũng tăng, do đó khả năng thực thi của mạng cũng giảm. Vấn đề bảo mật: mỗi người dùng nào cũng có thể thấy các người dùng khác trong cùng một mạng phẳng (flat network), do đó rất khó bảo mật. Vấn đề về cân bằng tải: trong mạng phẳng ta không thể thực hiện truyền trên nhiều đường đi, vì lúc đó mạng dễ bị vòng lặp, tạo nên cơn bão quảng bá (broardcast storm) ảnh hưởng đến băng thông của đường truyền. Do đó không thể chia tải (còn gọi là cân bằng tải). Để giải quyết vấn đề trên, ta đưa ra giải pháp VLAN. VLAN (Virtual Local Area Network) được định nghĩa là một nhóm logic các thiết bị mạng, và được thiết lập dựa trên các yếu tố như chức năng, bộ phận, ứng dụng…của công ty. Mỗi VLAN là một mạng con logic được tạo ra trên switch, còn gọi là đoạn hay miền quảng bá (broadcast). VLAN (Virtual Local Area Network) được định nghĩa là một nhóm logic các thiết bị mạng, và được thiết lập dựa trên các yếu tố như chức năng, bộ phận, ứng dụng…của công ty. Mỗi VLAN là một mạng con logic được tạo ra trên switch, còn gọi là đoạn hay miền quảng bá (broadcast). VLAN là một mạng LAN ảo. Về mặt kỹ thuật, VLAN là một miền quảng bá được tạo bởi các switch. Bình thường thì router đóng vai tạo ra miền quảng bá. Đối VLAN thì có thể tạo ra miền quảng bá.VLAN là một kỹ thuật kết hợp chuyển mạch lớp 2 và định tuyến lớp 3 để giới hạn miền đụng độ và miền quảng bá. VLAN còn được sử dụng để bảo mật giữa các nhóm VLAN theo chức năng mỗi nhóm. VLAN với cách phân nguồn tài nguyên và user theo logic đã làm tăng hiệu quả hoạt động của toàn hệ thống mạng. Các công ty, tổ chức thường sử dụng VLAN để phân nhóm user theo logic mà không cần quan tâm đến vị trí vật lý của họ. Với VLAN, mạng có khả năng phát triển, bảo mật và quản lý tốt hơn vì router trong cấu VLAN có thể ngăn gói quảng bá, bảo mật và quản lý dòng lưu lượng mạng. VLAN là công cụ mạnh trong thiết kế cấu hình mạng. Hình2.8: Mô hình mạng LAN ảo Khái niệm về VLAN VLAN là một nhóm các thiết bị mạng không giới hạn theo vị trí vật lý hoặc theo LAN switch mà chúng kết nối vào. VLAN là một segment mạng theo logic dựa trên chức năng, đội nhóm, hoặc ứng dụng của một tổ chức chứ không phụ thuộc vào vị trí vật lý hay kết nối vật lý trong mạng. Tất cả các trạm và server được sử dụng bởi cùng một nhóm làm việc sẽ được đặt trong cùng VLAN bất kể vị trí hay kết nối vật lý của chúng. Mọi công việc cấu hình VLAN hoặc thay đổi cấu hình VLAN điều được thực hiện trên phần mềm mà không cần thay đổi cáp và thiết bị vật lý. Một máy trạm trong một VLAN chỉ được liên lạc với file server trong cùng VLAN với nó. VLAN được nhóm theo chức năng logic và mỗi VLAN là một miền quảng bá, do đó gói dữ liệu chỉ được chuyển mạch trong cùng một VLAN. VLAN có khả năng mở rộng, bảo mật và quản lý mạng tốt hơn. Router trong cấu trúc VLAN thực hiện ngăn chặn quảng bá, bảo mật và quản lý nguồn giao thông mạng. Switch không thể chuyển mạch giao thông giữa các VLAN khác nhau. Giao thông giữa các VLAN phải được định tuyến qua router. Miền quảng bá với VLAN và router Một VLAN là một niềm quảng bá được tạo nên một hay nhiều switch. Hình2.9: Miền quảng bá trên 3 switch khác nhau Trong hình 2.9 cho thấy tạo 3 miền quảng bá riêng biệt trên ba switch như thế nào. Định tuyến Lớp 3 cho phép router chuyển gói giữa các miền quảng bá với nhau. Hình2.10: Miền quảng bá trên một switch Trong hình 2.10 chúng ta thấy 3 VLAN tức là 3 miền quảng bá khác nhau được tạo ra trên một switch và một router. Router sẽ sử dụng định tuyến Lớp 3 để chuyển giao thông giữa 3 VLAN. Switch trong hình trên sẽ truyền frame lên cổng giao tiếp của router khi: Gói dữ liệu là gói quảng bá. Gói dữ liệu có địa chỉ MAC đích là một trong các địa chỉ MAC của router. Nếu máy trạm 1 trong VLAN Kỹ thuật muốn gửi dữ liệu cho máy trạm 2 trong VLAN Bán hàng, hai máy này nằm trong 2 miền quảng bá khác nhau, thuộc hai mạng khác nhau, do đó địa chỉ MAC đích trong gói dữ liệu sẽ địa chỉ MAC của default gateway của máy trạm 1. Vì vậy địa chỉ MAC đích của gói dữ liệu sẽ là địa MAC của tổng Fa0/0 trên router. Gói dữ liệu được chuyển đến router, bằng định tuyến IP, router sẽ chuyên gói đúng VLAN Bán hàng. Nếu máy trạm 1 trong VLAN Kỹ thuật muốn gửi gói dữ liệu cho máy trạm 2 trong cùng một VLAN thì địa chỉ MAC đích của gói dữ liệu sẽ chính là địa chỉ MAC của máy trạm 2. Tóm lại, switch sẽ xử lý chuyển mạch gói dữ liệu khi có chia VLAN như sau: Đối với mỗi VLAN switch có một bảng chuyển mạch riêng tương ứng. Nếu switch nhận được gói dữ liệu từ một port nằm trong VLAN 1 chẳng hạn , thì switch sẽ tìm địa chỉ MAC đích trong bảng chuyển mạch của VLAN mà thôi. Đồng thời switch sẽ học địa chỉ MAC nguồn trong gói dữ liệu và ghi vào bảng chuyển mạch của VLAN 1 nếu địa chỉ này chưa được biết. Sau đó switch quyến định chuyển gói dữ liệu. Switch nhận frame vào từ VLAN nào thì switch chỉ học địa chỉ nguồn của frame và tìm địa chỉ đích cho frame trong một bảng chuyển mạch tương ứng với VLAN đó. Hoạt động của VLAN[6],[9] Mỗi port trên switch có thể gán cho một VLAN khác nhau. Các port nằm trong cùng một VLAN sẽ chia sẻ gói quảng bá với nhau. Các port không nằm trong cùng VLAN sẽ không chia sẻ gói quảng bá với nhau. Nhờ đó mạng LAN hoạt động hiệu quả hơn. Hình2.11: VLAN cố định Thành viên cố định của VLAN được xác định theo port. Khi thiết bị kết nối vào một port của switch, tuỳ theo port thuộc loại VLAN nào thì thiết bị sẽ nằm trong VLAN đó. Mặc định, tất cả các port trên một switch đều nằm trong VLAN quản lý. VLAN quản lý luôn luôn là VLAN 1 và chúng ta không thể xoá VLAN này được. Sau đó chúng ta có thể cấu hình gán port vào các VLAN khác. VLAN cung cấp băng thông tin nhiều hơn cho user so với mạng chia sẻ. Trong mạng chia sẻ, các user cùng chia sẻ một băng thông trong mạng đó, càng nhiều user trong một mạng chia sẻ thì lượng băng thông càng thấp hơn và hiệu suất hoạt động càng giảm đi. Thành viên động của VLAN được cấu hình bằng phần mềm quản lý mạng. Bạn có thể sử dụng CiscoWorks 2000 hoặc CiscoWorks for Switch Internetworks để tạo VLAN động. VLAN động cho phép các định thành viên dựa theo địa chỉ MAC của thiết bị kết nối vào switch chứ không còn xác định theo port nữa. Khi thiết bị kết nối vào switch, switch sẽ tìm trong cơ sở dữ liệu của nó để xác định thiết bị này thuộc loại VLAN nào. Hình2.12: VLAN động Cấu hình VLAN bằng các phần mềm VLAN quản lý tập trung.C Có thể chia VLAN theo địa chỉ MAC, địa chỉ lôgic hoặc theo loại giao thức. Không cần quản lý nhiều ở các tủ nối dây nữa vì thiết bị kết nối vào mạng thuộc VLAN nào là tuỳ theo địa chỉ của thiết bị đó đã được gán vào VLAN. Có khả năng thông báo cho quản trị mạng khi có một user lạ, không có trong cơ sở dữ liệu kết nối vào mạng. Xác định thành viên VLAN theo port tức là port đã được gán vào VLAN nào thì thiết bị kết nối vào port đó thuộc VLAN đó, không phụ thuộc vào thiết bị kết nối là thiết bị gì, địa chỉ bao nhiêu. Với cách chia VLAN theo port như vậy, tất cả các user kết nối vào cùng một port sẽ nằm trong cùng một VLAN. Một user hay nhiều user có thể kết nối vào một port và sẽ không nhận thấy là có sự tồn tại của VLAN. Cách chia VLAN này giúp việc quản lý đơn giản hơn vì không cần tìm trong cơ sở dữ liệu phức tạp để xác định thành viên của mỗi VLAN. Người quản trị mạng có trách nhiệm cấu hình VLAN bằng tay và cố định. Mỗi một port trên switch cũng hoạt động giống như một port trên bridge. Bridge sẽ chặn luồng lưu lượng nếu nó không cần thiết phải đi ra ngoài segment. Nếu gói dữ liệu cần phải chuyển qua bridge và switch không biết địa chỉ đích hoặc gói nhận được là gói quảng bá thì mới chuyển ra tất cả các port nằm trong cùng miền quảng bá với port nhận gói dữ liệu vào. Hình2.13: Chia VLAN theo port Ưu điểm của VLAN Lợi ích của VLAN là cho phép người quản trị mạng tổ chức mạng theo logic chức không theo vật lý nữa. Nhờ đó những công việc sau thực hiện dễ dàng hơn: Có tính linh động cao: di chuyển máy trạm trong LAN dễ dàng. Thêm máy trạm vào LAN dễ dàng: Trên một switch nhiều cổng, có thể có thể cấu hình VLAN khác nhau cho từng cổng, do đó dễ dàng kết nối thêm các máy tính với các VLAN. Thay đổi cấu hình LAN dễ dàng. Kiểm soát giao thông mạng dễ dàng. Gia tăng bảo mật: Các VLAN khác nhau không truy cập được vào nhau (trừ khi có khai báo định tuyến). Tiết kiệm băng thông của mạng: do VLAN có thể chia nhỏ LAN thành các đoạn (là một vùng quảng bá). Khi một gói tin quảng bá, nó sẽ được truyền đi chỉ trong một VLAN duy nhất, không không truyền đi ở các VLAN khác nên giảm lưu lượng quảng bá, tiết kiệm băng thông đường truyền. Có thể tạo ra mạng LAN ảo, tạo ra các nhóm làm việc không phụ thuộc vàovị trí của thiết bị, chẳng hạn, những người thuộc cùng nhóm nghiên cứu không cần ngồi cùng một phòng hay cùng một tầng trong toà nhà mà vẫn là các thành viên trong một mạng LAN ảo. Các loại VLAN[2],[3],[6] Có 3 loại thành viên VLAN để xác định và kiểm soát việc xử lý các gói dữ liệu: VLAN dựa trên cổng (port based VLAN): mỗi cổng (Ethernet hoặc Fast Ethernet) được gắn với một VLAN xác định. Do đó mỗi máy tính/ thiết bị host kết nối một cổng của switch đều phụ thuộc vào VLAN đó. Đây là cách cấu hình VLAN đơn giản và phổ biến nhất. VLAN theo địa chỉ MAC ( MAC address based VLAN): mỗi địa chỉ MAC được gán tới một VLAN nhất định. Cách cấu hình này rất phức tạp và khó khăn trong việc quản lý. VLAN theo giao thức (protocol based VLAN): tương tự với VLAN dựa trên địa chỉ MAC nhưng sử dụng địa chỉ IP thay cho địa chỉ MAC. Cách cấu hình này không thông dụng. Hình2.14: Loại thành viên VLAN Số lượng VLAN phụ thuộc vào các yếu sau: Dòng giao thông. Loại ứng dụng . Sự quản lý mạng. Sự phân nhóm. Ngoài một yếu tố quan trọng mà chúng ta cần quan tâm là kích thước của switch và sơ đồ chia địa chỉ IP. Ví dụ: Một mạng sử dụng địa chỉ mạng có 24 bit subnet mask, như vậy mỗi subnet mask có tổng cộng 254 địa chỉ host. Nên sử dụng nối tương một – một giữa VLAN và IP subnet. Do mỗi VLAN tương ứng với một IP subnet mask, có tối đa 254 thiết bị. Phần header của frame sẽ đóng gói lại và điều chỉnh để có thêm dòng thông tin về VLAN ID trước khi frame được truyền lên đường truyền kết nối giữa switch. Công việc này gọi là dán nhãn cho frame. Sau đó phần hearder của frame. Sau đó, phần hearder của frame được trả lại như cũ trức khi truyền xuống thiết bị đích. Có hai phương pháp chủ yếu dán nhãn là Intr – Switch Link (ISL) và 802.1Q.ISL từng được dùng phổ biến nhưng bây giờ đang thay thế bởi 802Q.1. Cấu hình VLAN[2],[6] Cấu hình VLAN theo vật lý VLAN từ đầu cuối - đến - đầu cuối cho phép phân nhóm nguồn tài nguyên sử dụng, ví dụ như phân nhóm user theo server sử dụng, nhóm dự án và theo phòng ban... Mục tiêu của VLAN từ đầu đến cuối - đến - đầu cuối là giữ 80% giao thông trong nội bộ của VLAN. Chính vì xu hướng sử dụng và phân bố tài nguyên mạng khác đi nên hiện nay VLAN thường được tạo ra theo giới hạn của địa lý. Phạm vi địa lý có thể lớn bằng cả một toà nhà hoặc cũng có thể chỉ nhỏ với một switch. Trong cấu trúc VLAN này. Tỷ lệ lưu lượng sẽ là 20/80, 20% giao thông trong nội bộ VLAN và 80% giao thông đi ra ngoài VLAN. Điểm này có nghĩa là lưu lượng phải đi qua thiết bị lớp 3 mới đến được 80% nguồn tài nguyên. Kiểu thiết kế này cho phép việc truy cập nguồn tài nguyên được thống nhất Cấu hình VLAN cố định VLAN cố định là VLAN được cố hình theo port trên switch bằng các phần mềm quản lý hoặc cấu hình trực tiếp trên switch. Các port đã được gán vào VLAN nào thì nó sẽ giữ nguyên cấu hình VLAN đó cho đến khi thay đổi bằng lệnh. Đây là cấu trúc VLAN theo địa lý, các user phải đi qua thiết bị lớp 3 mới truy cập 80% tài nguyên mạng. Loại VLAN cố định hoạt động tốt trong những mạng có đặc điểm sau: Sự di chuyển trong mạng được quản lý và kiểm soát. Có phần mềm quản lý VLAN mạnh để cấu hình port trên switch. Không dành nhiều tải cho hoạt động duy trì địa chỉ MAC của thiết bị đầu cuối và điều cỉnh bảng địa chỉ. VLAN động thì không phụ thuộc vào cổng trên switch VLAN Trunking Protocol (VTP)[2],[6],[7] Giới thiệu về VLAN Trunking Protocol (VTP) VTP là giao thức hoạt động ở lớp 2 trong mô hình OSI. VTP giúp cho việc cấu hình VLAN luôn hoạt động đồng nhất khi thêm, xóa, sửa thông tin về VLAN trong hệ thống mạng. Trong khuôn khổ môi trường chuyển mạch VLAN. Một đường Trunk là một đường kết nối point - to- point để hổ trợ các VLAN trên các switch liên kết với nhau. Một đường cấu hình Trunk sẽ gộp nhiều đường liên kết ảo trên một đường liên kết vật lý để chuyể tín hiệu từ các VLAN trên các switch với nhau dựa trên một đường cáp vật lý. Vai trò của VTP là duy trì cấu hình VLAN thông qua admin domain của mạng. VTP Lớp 2 một giao thức Lớp 2 sử dụng các Trunk Frame để quản lý việc thêm bớt, xóa và đổi tên các VLAN trên một domain. Thêm nữa, VTP cho phép tập trung các thay đổi tới tất cả các switch trong mạng. Thông điệp VTP được đóng gói trong một chuẩn CISCO là giao thức ISL hoặc IEEE 802.1q và sau đó đi qua các liên kết Trunk tới các thiết bị khác. Lợi ích của VTP VTP có thể cấu hình không đúng, khi sự thay đổi tạo ra. Các cấu hình không đúng có thể tổng hợp trong trường hợp thống kê các vi phạm nguyên tắc bảo mật. bởi vì các kế nối VLAN bị chồng chéo khi các VLAN bị đặt trùng tên. Các cấu hình không đúng này có thể bị cắt kết nối khi chúng được ánh xạ từ một kiểu LAN tới một kiểu LAN khác. VTP cung cấp các lợi ích sau: Cấu hình đúng các VLAN qua mạng. Hệ thống ánh xạ cho phép 1 VLAN được trunk qua các môi trường truyền hỗn hợp. Giống như ánh xạ các VLAN Enthernet tới các đường truyền tốc độ cao như ATM, LANE, hoặc FDDI. Theo dõi chính xác kiểm tra VLAN Báo động về việc thêm vào các VLAN. Dễ dàng thêm mới VLAN Trước khi thiết lập các VLAN, ta phải thiết lập một miền quản lý (management domain) trong phạm vi những thứ mà ta kiểm tra các VLAN trong mạng. Các switch trong cùng một miền quản lý chia sẽ thông tin VLAN với các VLAN khác và một số switch có thể tham gia vào chỉ một miền quản lý VTP. Các switch ở khác miền không chia sẻ thông tin VTP. Các switch sử dụng giao thức VTP thì trên mỗi cổng trunk của nó có: Miền quản lý(managment domain) Số cấu hình Biết được VLAN và các thông số cụ thể. Miền VTP (VTP domain) Một miền VTP (VTP domain) được tạo ra một hay nhiều các thiết bị đa kết nối để chia sẻ trên cùng một tên miền VTP. Mỗi switch chỉ có thể có một miền VTP. Khi một thông điệp VTP truyền tới các switch trong mạng, thì tên miền phải chính xác để thông tin truyền qua. Đóng gói VTP với ISL Frame: VTP header có nhiều kiểu trên một thông điệp VTP, có 4 kiểu thường được tìm thấy trên tất cả các thông điệp VTP: Phiên bản giao thức VTP – 1 hoặc 2 Kiểu thông điệp VTP – 1 trong 4 kiểu Độ dài tên của miền quản lý Tên miền quản lý VTP flood thông điệp quảng bá (advertisement) qua VTP domain 5 phút một lần, hoặc có sự thay đổi xảy ra trong cấu hình VLAN. Một VTP advertisement bao gồm có revision – number, tên VLAN (vlan name), số hiệu VLAN (vlan number), và thông tin về các switch có port gắn với mỗi VLAN. Bằng sự cấu hình VTP Server và việc truyền bá thông tin thông qua advertisement , tất cả các switch đều biết về tên VLAN và số hiệu của VLAN của tất cả các VLAN. Một trong những thành phần quan trọng của VTP advertisement là tham số revision number. Mỗi lần VTP Server điều chỉnh thông số VLAN, nó tăng revision – number lên 1, rồi sau đó VTP Server mới gửi VTP advertisement đi. Khi một switch nhận một VTP advertisement với revision – number lớn hơn, nó sẽ cập nhật cấu hình VLAN. Các chế độ VTP VTP hoạt động ở một trong 3 chế độ: Server Client Transparent Nếu một Switch ở chế độ VTP server có thể tạo, chỉnh sửa, xóa VLAN. VTP server lưu cấu hình VLAN trong NVRAM của nó. VTP server gửi thông điệp ra tất cả các port trunk của nó. Switch ở chế độ VTP Client không tạo, chỉnh sửa và xóa thông tin. VTP Client có chức năng đáp ứng theo mọi sự thay đổi của VLAN từ server và gửi thông điệp ra tất cả các port trunk của nó. VTP Client không lưu cấu hình trong VNRAM mà chỉ đặt trên RAM vì nó thể có học cấu hình VLAN từ server. Do đó chế độ client rất hữu dụng khi switch không đủ bộ nhớ để lưu một lượng lớn thông tin VLAN. Switch ở chế độ transparent sẽ nhận và chuyển tiếp (forward) các VTP update do các switch do các switch khác gửi đến mà không quan tâm đến nội dung của các thông điệp này. Nếu transparent switch nhận thông tin cập nhật VTP nó cũng không cập nhật vào cơ sở của nó, đồng thời nếu cấu hình VLAN của nó có gì thay đổi, nó cũng không gửi thông tin cập nhật cho các switch khác. Trên transparent switch chỉ có một việc duy nhất là chuyển tiếp thông điệp VTP. Switch hoạt động ở chế độ transprarent - mode chỉ có thể tạo ra VLAN cục bộ. Các vlan này sẽ không quảng bá đến các switch khác. STP (Spanning Tree Protocol)[2],[6],[7] Trạng thái của STP Để tham dự vào STP,mỗi port phải trải qua những trạng thái sau: Disable: port bị shutdown bởi người quản trị. Blocking: sau khi port khởi tạo, nó sẽ bắt đầu ở trạng thái block và không thể nhận hay truyền dữ liệu hay thêm địa chỉ MAC vào trong table của nó. Nó chỉ có thể nhận được gói BPDU hay nói cách khác port trong chế độ standby để tránh bridge loop. Listen: port chuyển từ trạng thái block sang trạng thái listen. Lúc này port vẫn chưa được nhận và chuyển data. Tuy nhiên, nó có nhận và gửi BPDU để tham gia quá trình STP. Nếu port đó trở thành root port hay designed port thì nó có thể gửi BPDU sang những switch khác nhưng nếu nó không thành root port hay designed port thì nó trở về trạng thái block. Learning: sau khoảng thời gian Forward Delay trong trạng thái listen, port sẽ chuyển sang trạng thái learning. Port có thể gửi và nhận BPDU và có thể học địa chỉ MAC mới và gi nó vào trong table của mình. Forwarding: sau khoảng thời gian forward delay ở trạng thái learning, port có thể chuyển sang trạng thái forwarding. Ở trạng thái này, port có thể nhận và gửi data và gói BPDU, thu thập địa chỉ MAC trong bảng table của nó. Đây là trạng thái với chức năng đầy đủ của port trong STP. Switch có thể cho port chuyển sang trạng thái forwarding nếu không phát hiện link dự phòng( hay loop) hay nếu port đó có đường đi tốt nhất đến root bridge. Bộ đếm thời gian của STP STP có ba bộ đếm thời gian để đảm bảo rằng network hội tụ trước khi bridge loop hình thành: Hello time: là khoảng thời gian Configuration BPDU được gửi bởi root bridge. Mặc định là 2 giây. Forward delay: là khoảng thời gian switch port chuyển từ trạng thái listening sang trạng thái learning. Max( maximum) Age: là khoảng thời gian switch lưu lại BPDP trước khi loại bỏ nó. Trong khi thực hiện STP, mỗi cổng của switch giữ một bản sao của "tốt nhất" BPDU mà nó đã nghe. Nếu các cổng của switch mất liên lạc với nguồn của BPDU, switch các giả sử rằng một sự thay đổi cấu trúc liên kết đã xảy ra sau khi Max Age thời gian trôi qua và do đó, các BPDU được loại bỏ. Mặc định Max Age là 20 giây. Cấu hình Spanning Tree Protocol STP root bridge Mặc định thì STP có hiệu lực cho tất cả các active VLAN nhưng có thể vì một số lí do nào đó nó đã bị vô hiệu hóa thì chúng ta có thể bật lại STP bằng câu lệnh: Switch(config)# spanning-tree vlan vlan-id (Vlan-id: xác định VLAN nào ở port muốn bật tính năng STP) Để cấu hình cho root bridge ta cần phải: Cấu hình một root switch Cấu hình root switch thứ hai đề phòng trường hợp root switch chính bị sự cố. Đầu tiên, để cấu hình root bridge bạn phải biết tất cả các giá trị của switch có trong hệ thống và chúng ta sẽ set giá trị ưu tiên của root bridge là nhỏ nhất. Switch(config)# spanning-tree vlan vlan-list priority bridge-priority Trong đó: bridge-priority: có giá trị mặc định là 32768 nhưng chúng ta có thể gán giá trị của nó từ 0-65535. Hay ta cũng có thể dùng một lệnh để một switch có thể tự động và trực tiếp thành root bridge: Switch(config)# spanning-tree vlan vlan-id root {primary | secondary} [diameter diameter] Từ khóa primary làm cho switch trở thành root bridge. Câu lệnh này làm cho giá trị ưu tiên của switch nhỏ hơn giá trị ưu tiên của root bridge hiện thời. Từ khóa second làm cho switch trở thành root bridge thứ hai và nó sẽ trở thành root bridge chính khi root bridge chính gặp sự cố. Redundant Link Convergence Khi hệ thống gặp sự cố ở một link nào đó gây ra sự thay đổi trong hệ thống mạng thì yêu cầu cấp bách nhất là thời gian hội tụ của hệ thống phải nhanh để đảm bảo tính sẵn sàng cao. Có một số phương pháp làm cho STP hội tụ nhanh hơn nếu đường truyền xảy ra sự cố: Portfast: khả năng kết nối nhanh hơn được thiết lập ở access-layer cho các máy trạm. Uplinkfast: cho phép uplinh nhanh từ access-layer lên distribution-layer. Backbonefast: cho phép hội tụ nhanh ở hệ thống backbone hay switch core-layer sau khi cấu trúc spanning tree thay đổi. CHƯƠNG 3: ỨNG DỤNG HỆ THỐNG VLAN CHO BÊNH VIỆN NỘI TIẾT TRUNG ƯƠNG 3.1 Giới thiệu chung về bệnh viện[8] 3.1.1 Tổng quan Bệnh viện Nội tiết TW được thành lập theo quyết định số 906/BYT-QĐ ngày 16/09/1969. Trong những ngày đầu, chức năng nhiệm vụ của bệnh viện là tạo ra một mạng lưới hoạt động phòng chống bệnh bướu cổ từ Trung ương đến địa phương. Mặc dù ra đời trong hoàn cảnh chiến tranh chống mỹ ác liệt nhưng bệnh viện Nội tiết trung ương đã hoàn thành những trọng trách của mình, góp phần không nhỏ trong công cuộc đẩy lùi bệnh bướu cổ cho đồng bào miền núi các tỉnh phía Bắc. Bắt đầu từ những năm 80, bệnh viện đã hợp tác với các tổ chức quốc tế để thực hiện chương trình phòng chống các Rối loạn thiếu iốt (RLTI) - với mục tiêu: “Năm 2005, thanh toán tình trạng thiếu iốt ở trẻ em trên toàn quốc”. Để đáp ứng tình hình và nhiệm vụ mới, ngày 15/07/2000 Bộ Trưởng Bộ Y tế đã có Quyết định số 2229/QĐ-BYT quy định lại chức năng và nhiệm vụ của Bệnh viện Nội tiết. Từ đây bệnh viện đã có những bước chuyển mình lớn trong công tác điều trị các bệnh Nội tiết và Chuyển hoá, đặc biệt là bệnh Đái tháo đường. Để phù hợp với nhu cầu cho người bệnh, hoàn thành tốt nhiệm vụ chăm sóc sức khoẻ cho nhân dân, bệnh viện đã thành lập khoa Ngoại, khoa Xạ trị và tăng cường hiện đại hóa các khoa Cận lâm sàng. Bệnh nhân đến khám và điều trị tại bệnh viện ngày càng tăng. Uy tín của bệnh viện, của các thầy thuốc chuyên khoa ngày càng được nâng cao. Năm 2000, bệnh viện đã tổ chức thành công Hội nghị khoa học toàn quốc về chuyên ngành Nội tiết và Chuyển hóa lần thứ nhất, từ đó đến nay, Bệnh viện đã mở nhiều khóa học nâng cao trình độ chuyên môn cho hàng trăm bác sỹ, y tá điều dưỡng làm công tác trong chuyên ngành Nội tiết - Chuyển hóa của 64 tỉnh thành. Năm 2002, Thủ tướng chính phủ tại quyết định số 77/2002/TTg ngày 17/6/2002 về việc phê duyệt chương trình phòng chống một số bệnh không lây nhiễm giai đoạn 2002 – 2010 đã đưa ra mục tiêu của Dự án phòng chống đái tháo đường là giảm tỷ lệ mắc, biến chứng và tử vong của bệnh đái tháo đường. + Giảm 50 % các yếu tố gây nguy cơ phát triển bệnh đái tháo đường trong cộng đồng. + Điều trị và lập danh sách theo dõi, hướng dẫn để 100 % người bệnh đái tháo đường đã được phát hiện có thể tự quản lý bệnh tật. Năm 2008 theo quyết định 172/2008/QD-TTg ngày 19/12/2008 của Thủ tướng Chính phủ về việc bổ xung Quyết định số 108/2007/QD-TTg ngày 17/7/2007 của Thủ tướng Chính phủ phê duyệt Chương trình mục tiêu Quốc gia phòng, chống một số bệnh xã hội, bệnh dịch nguy hiểm và HIV/AIDS giai đoạn 2006-2010 với mục tiêu chung đến năm 2010 là giảm tỷ lệ mắc, biến chứng và tử vong của bệnh đái tháo đường cụ thể: + Phấn đấu đạt 50% người dân trong cộng đồng hiểu biết về bệnh đái tháo đường và các yếu tố nguy cơ đối với sức khỏe do bệnh đái tháo đường gây ra. + Giảm tỷ lệ mắc bệnh đái tháo đường không được phát hiện trong cộng đồng xuống dưới 60%. + Xây dựng, triển khai và duy trì mô hình quản lý bệnh đái tháo đường trên phạm vi cả nước. + Theo dõi và điều trị có hệ thống 50% số người mắc bệnh đái tháo đường đã được phát hiện theo phác đồ của Bộ Y tế quy định. Bệnh viện Nội tiết được Bộ Y tế giao nhiệm vụ thực hiện Dự án phòng chống đái tháo đường, ngay từ năm 2000 đã tiếp cận với các tổ chức quốc tế, tranh thủ viện trợ, sự trợ giúp về kỹ thuật từ các chuyên gia hàng đầu trên thế giới, từ Châu Á, Châu Âu … và sự cam kết của chính phủ trong việc phòng chống bệnh đái tháo đường đã từng bước đạt được một số thành tựu nhất định như sau: - Tham mưu cho Bộ Y tế phối hợp các Bộ ban ngành đã xây dựng được thông tư liên bộ Bộ Y tế và Bộ Nội vụ về hệ thống các Trung tâm Nội tiết trong toàn quốc (Xây dựng chức năng, nhiệm vụ). - Xây dựng tài liệu về phòng và quản lý bệnh ĐTD. - Điều tra dịch tễ học bệnh ĐTD và yếu tố nguy cơ trong toàn quốc. - Xây dựng mô hình điểm về phòng chống ĐTD tại Thái Bình, Thanh Hóa và mở rộng ra Bình thuận, Đắc lăk dựa vào hợp tác quốc tế với Quỹ Đái tháo đường Thế giới và Tổ chức Y tế Thế giới. - Điều tra sàng lọc phát hiện sớm bệnh đái tháo đường tại cộng đồng. - Tập huấn chuyên môn cho bác sỹ và điều dưỡng viên các tuyến. - Tuyên truyền về bệnh đái tháo đường trên các phương tiện thông tin đại chúng. - Tăng cường chuyên môn về các bệnh nội tiết cho tuyến dưới theo đề án 1816. Trải qua bao tháng năm thử thách, bệnh viện Nội tiết trung ương đã và đang khẳng định đúng vị trí của mình. 3.1.2 Chức năng nhiệm vụ Vị trí chức năng: - Là đơn vị sự nghiệp y tế, chịu sự lãnh đạo toàn diện và trực tiếp của Bộ trưởng Bộ Y tế; chịu sự chỉ đạo nghiệp vụ của các cơ quan chức năng Nhà nước. - Là tuyến cuối cùng khám, chữa bệnh chuyên khoa Nội tiết và Rối loạn chuyển hóa. Nhiệm vụ: - Thực hiện khám chữa bệnh, giải quyết cấp cứu, tiếp nhận điều trị nội trú và ngoại trú bệnh nhân thuộc chuyên khoa Nội tiết và các bệnh về Rối loạn chuyển hóa; tham gia khám sức khỏe định kỳ và giám định phám y khi được cơ quan có thẩm quyền trưng cầu. - Nghiên cứu, ứng dụng những tiến bộ khoa học kỹ thuật để điều trị phòng bệnh trong lĩnh vực chuyên khoa, kết hợp y học cổ truyền và y học hiện đại trong điều trị và phòng bệnh. - Phối hợp với các trường Đại học, cơ sở đào tạo Đại học và sau Đại học, đào tạo lại, nâng cao trình độ chuyên khoa cho cán bộ y tế ở các tuyến. Là cơ sở thực hành của các trường Đại học, Cao đẳng và Trung học y dược. - Giúp Bộ trưởng Bộ Y tế chỉ đạo về mặt chuyên môn kỹ thuật, nâng cao chất lượng cấp cứu, chẩn đoán, điều trị chuyên khoa đối với các khoa, bộ phận Nội tiết thuộc bệnh viện đa khoa tuyến Trung ương, tuyến tỉnh, Thành phố trực thuộc Trung ương và tổ chức xây dựng mạng lưới phòng chống bệnh đái tháo đường và các bệnh về Rối loạn chuyển hóa. - Định kỳ tổng kết kinh nghiệm và đề xuất với Bộ trưởng phương hướng, kế hoạch, biện pháp, phát triển chuyên khoa Nội tiết và các bệnh về Rối loạn chuyển hóa. - Kết hợp với y tế cơ sở thực hiện chăm sóc sức khỏe ban đầu và các mục tiêu y tế tại cộng đồng. - Mở rộng mối quan hệ với các nước, các tổ chức, cá nhân trong khu vực trên thế giới thuộc chuyên ngành Nội tiết và các bệnh về Rối loạn chuyển hóa trên các mặt nghiên cứu khoa học, đào tạo cán bộ… - Quản lý tổ chức và cộng sản được giao đúng mục đích đạt hiệu quả kinh tế và theo đúng quy định của pháp luật. 3.1.3 Phương hướng nhiệm vụ - Không ngừng nâng cao trình độ chuyên môn nghiệp vụ và có nhiều cán bộ với học vị cao hơn trước đây. - Thực hiện dự án quốc gia phòng chống bệnh đái tháo đường trong toàn quốc. - Đào tạo bác sỹ CK I chuyên ngành Nội tiết cho các cán bộ y tế. Từng bước thiết lập và xây dựng cơ sở thực tập cho sinh viên y khoa, Không ngừng hiện đại hóa trang thiết bị, đặc biệt là xây dựng một Labo chuẩn mực phù hợp với nền y học tiên tiến. 3.1.4 Quy hoạch và xây dựng Ngày 17-11, Bệnh viện Nội tiết trung ương đã khánh thành cơ sở 2 - giai đoạn I. Cơ sở này được triển khai xây dựng trên diện tích 15.845m2 tại thôn Văn Điển, xã Tứ Hiệp, huyện Thanh Trì, quy mô 400 giường bệnh, tổng mức đầu tư trên 362 tỷ đồng. Việc cơ sở mới của Bệnh viện Nội tiết trung ương đi vào hoạt động góp phần giải quyết vấn đề quá tải trong khám và điều trị chuyên khoa ở tuyến trung ương. Nhân dịp này, bệnh viện được Thủ tướng Chính phủ tặng Bằng khen, ghi nhận kết quả thực hiện tốt quy chế dân chủ ở cơ sở, nâng cao chất lượng khám chữa bệnh. 3.1.5 Thành tích Tập thể: Bằng khen, cờ thi đua “Bệnh viện tình thương”, “Bệnh viện xuất sắc toàn diện” của Bộ Y tế và Công đoàn ngành Y tế Việt Nam (2001,2002,2003) Bằng khen của Thủ tướng Chính phủ (2003) Huân chương lao động hạng 3 (2004) Cá nhân: 01 đồng chí đã được tặng Bằng khen của Thủ tướng Chính phủ (2003), Huy chương “Vì thế hệ trẻ” của Ban Chấp hành trung ương Đoàn Thanh niên Cộng sản Hồ Chí Minh (2004). 01 đồng chí đã được nhận giải thưởng Quốc tế ALGEPA (1994) về công tác phòng chống bệnh bướu cổ địa phương 06 đồng chí đã được tặng Huy chương “Vì sự nghiệp xây dựng tổ chức Công đoàn” của Ban Chấp hành Tổng Liên đoàn Lao động Việt Nam (2004) 19 đồng chí được tặng huy chương “Vì sự nghiệp bảo vệ sức khoẻ nhân dân” (2003) thành tích KẾT LUẬN Đánh giá chung Trong quá trình nghiên cứu và thực hiện đề tài dưới sự định hướng của thầy hướng dẫn, bài báo cáo đã đạt được một số kết quả như: Tìm hiểu được một cách tổng quan các vấn đề về công nghệ mạng LAN ảo Đặc biệt việc tạo VLAN kết hợp với các giao thức STP, VTP giúp chúng đạt hiệu quả tốt hơn Bằng cách hiểu bản chất của lý thuyết VLAN và qua khảo sát mô hình mạng của bệnh viện nội tiết trung ương. Chúng em đã thiết kế và xây dựng mô hình mạng sử dụng chia VLAN áp dụng cho bệnh viện nội tiết trung ương Hướng phát triển đề tài Dựa trên những kết quả bước đầu đã đạt được trong bài báo cáo đồ án tốt nghiệp, chúng em đã tích lũy được một số kiến thức về công nghệ mạng VLAN để áp dụng vào thực tế để giải quyết vấn đề bài toán cho mạng LAN ảo của bệnh viện nội tiết trung ương. Bước đầu chúng em đã xây dựng được mô hình mạng thực hiện chia và định tuyến cho các VLAN. Dựa trên những gì chúng em đã làm được trong bài báo cáo thực tập chúng em tiếp tục nghiên cứu và triển khai về vấn đề bảo mật cho mô hình mạng của bệnh viện Để góp phần thúc đẩy sự phát triển công nghệ thông tin cũng như những kiến thức của bản thân về hiện tại và sau này. Mở rộng việc thiết kế, nghiên cứu phát triển cho các đồ án cao hơn nữa đặc biệt là lĩnh vực bảo mật. Hoàn thành hơn nữa về việc thiết kế lắp đặt hệ thống mạng hoàn chỉnh, phù hợp với yêu cầu của bệnh viện nội tiết trung ương. Trong quá trình thực hiện đề tài này, do kiến thức chưa sâu sắc, kinh nghiệm thực tế chưa nhiều nên đề tài chắc chắn không thiếu khỏi những hạn chế và sai sót, rất mong sự đóng góp ý kiến của thầy cô để đề tài hoàn thiện hơn. TÀI LIỆU THAM KHẢO Tài liệu tiếng Việt [1].TS.Phạm Thế Quế - Công nghệ mạng máy tính – NXB Thông tin và Truyền Thông – Xuất bản năm 2010 Tài liệu tiếng Anh [2] Wayne Lewis - LAN Switching and Wireless: CCNA Exploration Companion Guide - Cisco Networking Academy Program [3] Cisco LAN Switching Fundamentals - Barnes, David; Sakandar, Basir – năm xuất bản 2004 Website [4] [5] [6] [7] [8] benhviennoitiettrunguong.com.vn [9] và một số trang web khác

Các file đính kèm theo tài liệu này:

  • docdo_an_5804.doc
Luận văn liên quan