Các DC sẽ tự động đồng bộ thông tin vào thời gian được định trước (có thể
thiết lập đồng bộ tài nguyên thông tin trên các DC vào thời điểm ít kết nối trao
đổi thông tin của người dùng nhất hoặc ngoài giờ làm việc). Mỗi khi có sự thay
đổi hay cập nhật thông tin trên mỗi site thì các DC sẽ tự động cập nhật (sao chép)
nội dung của dịch vụ thư mục thông qua kết nối mạng WANs. Ví dụ, khi đăng kí
tài kho ản cho một người dùng mạng, nhà quản trị có thể ngồi tại bất kì vị trí nào
trên m ạng Intranet để tạo mới người dùng đó. Sau khi tạo mới người dùng, thì
thông tin đó sẽ tự động cập nhật lên từng DC trong domain theo thời gian định
trước, người dùng có thể đăng nhập mạng tại bất kì vị trí n ào trong mạng
Intranet.
75 trang |
Chia sẻ: lylyngoc | Lượt xem: 2543 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Luận văn Xây dựng hệ thống thông tin mạng, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
m đều đã có 1 mạng cục bộ LAN. Khi đó họ có
thể xây dựng một mạng riêng ảo VPN để kết nối các mạng cục bộ đó trong 1
mạng riêng thống nhất.
Extranet-based: Khi một công ty có một mối quan hệ mật thiết với một
công ty khác (ví dụ như, một đồng nghiệp, nhà hỗ trợ hay khách hàng), họ có thể
xây dựng một mạng extranet VPN để kết nối kiểu mạng Lan với mạng Lan và
cho phép các công ty đó có thể làm việc trong một môi trường có chia sẻ tài
nguyên.
Lợi ích của VPN:
Mở rộng vùng địa lý có thể kết nối được
Tăng cường bảo mật cho hệ thống mạng
Giảm chi phí vận hành so với mạng WAN truyền thống
Giảm thời gian và chi phí truyền dữ liệu đến người dùng ở xa
Tăng cường năng suất
Giảm đơn giản hoá cấu trúc mạng
Hình 3.6: Kiến trúc mạng sử dụng 3 loại VPN
44
Cung cấp thêm một phương thức mạng toàn cầu
Cung cấp khả năng hỗ trợ thông tin từ xa
Cung cấp khả năng tương thích cho mạng băng thông rộng
Cung cấp khả năng sinh lợi nhuận cao hơn mạng WAN truyền thống
Một mạng VPN được thiết kế tốt sẽ đáp ứng được các yêu cầu sau:
Bảo mật (Security)
Tin cậy (Reliability)
Dễ mở rộng, nâng cấp (Scalability)
Quản trị mạng thuận tiện (Network management)
Quản trị chính sách mạng tốt (Policy management)
3.3.2. Tính bảo mật của VPN:
Một VPN được thiết kế tốt thường sử dụng vài phương pháp để duy trì kết
nối và giữ an toàn khi truyền dữ liệu:
Bức tường lửa: Một tường lửa (firewall) cung cấp biện pháp ngăn chặn
hiệu quả giữa mạng riêng của bạn với Internet. Bạn có thể sử dụng tường lửa
ngăn chặn các cổng được mở, loại gói tin được phép truyền qua và giao thức sử
dụng. Một vài sản phẩm VPN, chẳng hạn như router 1700 của Cisco, có thể nâng
cấp để bao gồm cả tường lửa bằng cách chạy Cisco IOS tương ứng ở trên router.
Bạn cũng nên có tường lửa trước khi bạn sử dụng VPN, nhưng tường lửa cũng có
thể ngăn chặn các phiên làm việc của VPN.
Mã hoá: Đây là quá trình mật mã dữ liệu khi truyền đi khỏi máy tính theo
một quy tắc nhất định và máy tính đầu xa có thể giải mã được. Hầu hết các hệ
thống mã hoá máy tính thuộc về 1 trong 2 loại sau:
Mã hoá sử dụng khoá riêng (Symmetric-key encryption)
Mã hoá sử dụng khoá công khai (Public-key encryption)
Trong hệ symmetric-key encryption, mỗi máy tính có một mã bí mật sử
dụng để mã hoá các gói tin trước khi truyền đi. Khoá riêng này cần được cài trên
mỗi máy tính có trao đổi thông tin sử dụng mã hoá riêng và máy tính phải biết
được trình tự giải mã đã được quy ước trrước. Mã bí mật thì sử dụng để giải mã
gói tin. Ví dụ; Khi tạo ra một bức thư mã hoá mà trong nội dung thư mỗi ký tự
45
được thay thế bằng ký tự ở sau nó 2 vị trí trong bảng ký tự . Như vậy A sẽ được
thay bằng C, và B sẽ được thay bằng D. Bạn đã nói với người bạn khoá riêng là
Dịch đi 2 vị trí (Shift by 2). Bạn của bạn nhận được thư sẽ giải mã sử dụng chìa
khoá riêng đó. Còn những người khác sẽ không đọc được nội dung thư.
Máy tính gửi mã hoá dữ liệu cần gửi bằng khoá bí mật (symetric key), sau
đó mã hoá chính khóa bí mật (symetric key) bằng khoá công khai của người
nhận (public key). Máy tính nhận sử dụng khoá riêng của nó (private key)
tương ứng với khoá public key để giải mã khoá bí mật (symetric key), sau đó sử
dụng khoá bí mật này để giải mã dữ liệu
Hệ Public-key encryption sử dụng một tổ hợp khoá riêng và khoá công
cộng để thực hiện mã hoá, giải mã. Khoá riêng chỉ sử dụng tại máy tính
đó, còn khoá công cộng được truyền đi đến các máy tính khác mà nó muốn trao
đổi thông tin bảo mật. Để giải mã dữ liệu mã hoá, máy tính kia phải sử dụng
khoá công cộng nhận được, và khoá riêng của chính nó. Một phần mềm mã hóa
công khai thông dụng là Pretty Good Privacy (PGP) cho phép mã hoá đựợc hầu
hết mọi thứ. Bạn có thể xem thêm thông tin tại trang chủ PGP.
(
Ứng dụng Giao thức bảo mật IPSec: Internet Protocol Security Protocol
cung cấp các tính năng bảo mật mở rộng bao gồm các thuật toán mã hóa và xác
thực tốt hơn. IPSec có hai chế độ mã hoá: kênh tunnel và lớp truyền tải
transport. Mã hoá kênh Tunnel mã hoá cả header và nội dung mỗi gói tin trong
Hình 3.7: Một hệ thông truy cập xa dựa trên VPN sử dụng IPSec
46
khi mã hoá lớp truyền tải chỉ mã hoá nội dung gói tin. Chỉ có những hệ thống sử
dụng IPSec tương thích mới có khả năng tiên tiến này. Mặc dù vậy, tất cả các
thiết bị phải sử dụng một khoá dùng chung và các tường lửa ở mỗi mạng phải có
chính sách cấu hình bảo mật tương đương nhau. IPSec có thể mã hoá dữ liệu
truyền giữa rất nhiều thiết bị, chẳng hạn như:
Từ router đến router
Từ firewall đến router
Từ PC đến router
Từ PC đến server
Máy chủ xác thực, xác nhận và quản lý tài khoản AAA Server
AAA: (Authentication, Authorization, Accounting Server) được sử dụng để
tăng tính bảo mật trong truy nhập từ xa của VPN. Khi một yêu cầu được gửi đến
để tạo nên một phiên làm việc, yêu cầu này phải đi qua một AAA server đóng via
trò proxy. AAA sẽ kiểm tra:
Bạn là ai (xác thực)
Bạn được phép làm gì (xác nhận)
Bạn đang làm gì (quản lý tài khoản)
Các thông tin về tài khoản sử dụng đặc biệt hữu ích khi theo dõi người dùng
nhằm mục đích bảo mật, tính hoá đơn, hoặc lập báo cáo.
3.3.3. Các kỹ thuật sử dụng trong VPN
Phụ thuộc vào kiểu VPN (truy nhập từ xa Remote-Access hay kết nối ngang
hàng Site-to-Site), bạn sẽ cần một số thành phần nhất định để hình thành VPN,
bao gồm:
Phần mềm máy trạm cho mỗi người dùng xa
Các thiết bị phần cứng riêng biệt, ví dụ như: bộ tập trung (VPN
Concentrator) hoặc tường lửa (Secure PIX Firewall)
Các máy chủ VPN sử dụng cho dịch vụ quay số
Máy chủ truy cập NAS (Network Access Server) dùng cho các người dùng
VPN ở xa truy nhập
Trung tâm quản lý mạng và chính sách VPN
47
Hiện nay do chưa có tiêu chuẩn rộng rãi để triển khai VPN, rất nhiều công
ty đã tự phát triển các giải pháp trọn gói cho riêng mình.
3.3.4. Kỹ thuật Tunneling
Hầu hết các VPN đều dựa trên tunneling để hình thành mạng riêng ảo trên
nền internet. Về cơ bản, tunneling là quá trình xử lý và đặt toàn bộ các gói
tin (packet) trong một gói tin khác và gửi đi trên mạng. Giao thức sinh ra các gói
tin được đặt tại cả hai điểm thu phát gọi là giao tiếp kênh - tunnel interface, ở
giao tiếp đó các gói tin truyền đi và đến.
Kênh thông tin yêu cầu bao giao thức khác nhau:
Giao thức sóng mang - Carrier protocol: (còn gọi là giao thức truyền tải)
giao thức này sử dụng trên mạng để thông tin về trạng thái đường truyền.
Giao thức đóng gói - Encapsulating protocol: bao gồm các giao thức
GRE, IPSec, L2F, PPTP, L2TP cho phép che giấu nội dung truyền
Giao thức gói - Passenger protocol: giao thức bao gồm IPX, NetBeui, IP
Tunneling rất tốt khi sử dụng cho VPN. Ví dụ, bạn có thể đặt một gói tin có giao
thức không hỗ trợ cho internet chẳng hạn như NetBeui vào trong một gói tin IP
và truyền nó đi an toàn thông qua mạng Internet. Hoặc là bạn có thể đặt một gói
tin sử dụng trong mạng riêng - không định tuyến được (non-routable) vào trong
một gói tin có địa chỉ IP toàn cầu (định tuyến được) – “globally unique IP
address” và dùng để mở rộng mạng riêng trên nền tảng mạng Internet.
Hình 3.8: Kiến trúc VPN Site-to-Site
48
Trong mô hình VPN Site-to-Site, bộ định tuyến dùng chung GRE (Generic
Routing Encapsulation) thường là giao thức đóng gói hỗ trợ cho việc đóng gói
bản tin giao thức gói và truyền đi trên mạng nhờ giao thức sóng mang - thường
dựa trên IP. Nó chứa các thông tin về kiểu gói tin được đóng gói, thông tin về kết
nối giữa máy chủ và máy khách. Thay thế cho GRE, IPSec trong Tunnel Mode
thường sử dụng như giao thức đóng gói. IPSec làm việc tốt trên cả hai mô hình
VPN Remote-Access và Site-to-Site. IPSec hỗ trợ cho cả hai giao thức này.
Trong mô hình VPN truy nhập từ xa, tunneling thường sử dụng PPP. Một
phần của giao thức TCP/IP, PPP là giao thức truyền tải cho các giao thức IP khác
khi thông tin trên mạng giữa các máy tính. Remote-Access VPN tunneling dựa
trên nền tảng PPP.
Mỗi giao thức được liệt kê dưới đây được xây dựng dựa trên nền giao thức
PPP và thường dùng trong VPN truy nhập từ xa.
L2F (Layer 2 Forwarding): do Cisco phát triển, L2F sẽ sử dụng bất kỳ một
cơ chế xác nhận do PPP hỗ trợ.
PPTP (Point-to-Point Tunneling Protocol): do PPTP Forum phát triển,
một nhóm cộng tác bao gồm US Robotics, Microsoft, 3COM, Ascend và ECI
Telematics. PPTP hỗ trợ cho mã hoá 40-bit và 128-bit được sử dụng trong bất kỳ
cơ chế xác nhận nào sử dụng trong PPP.
L2TP (Layer 2 Tunneling Protocol): được phát triển gần đây nhất, L2TP là
sản phẩm do các thành vỉên trong PPTP Forum hình thành nên, Cisco và IETF
(Internet Engineering Task Force). Nó tích hợp các tính năng của cả PPTP và
L2F, L2TP đồng thời cũng hỗ trợ IPSec.
L2TP có thể sử dụng như giao thức kênh thông tin - tunneling protocol
trong mô hình VPN Site-to-Site cũng như VPN tuy nhập từ xa. Trong thực tế,
L2TP có thể tạo kênh thông tin giữa:
Client và Router
NAS và Router
Router và Router
49
Tunneling giống như chuyên chở máy tính bằng xe ô tô. Nhà cung cấp
đóng gói chiếc máy tính (passenger protocol) vào trong hộp đựng (encapsulating
protocol) và đặt vào xe ô tô (carrier protocol) đang đỗ ở cổng nhà sản xuất (entry
tunnel interface). Ô tô (carrier protocol) sẽ chuyên chở cái máy tình đóng hộp
trên đường (Internet) đến nhà bạn (exit tunnel interface). Bạn nhận chiếc hộp rồi
mở ra (encapsulating protocol) và nhận lấy chiếc máy tính (passenger protocol).
Tunneling đơn giản là như vậy!
50
CHƯƠNG 4
PHÁT TRIỂN NGN TRONG MÔ HÌNH DOANH NGHIỆP
4.1. Khái niệm mạng NGN (Next Generation Network)
Do nhu cầu phát triển các dịch vụ thông tin mà kiến trúc mạng truyền thống
hiện nay không đáp ứng kịp với nhu cầu phát triển của doanh nghiệp, đòi hỏi phải
có một giải pháp mới hiệu quả và kinh tế hơn. Những dịch vụ mới được khai thác
đưa vào ứng dụng là thoại (VoIP), hội thảo truyền hình từ xa, chẩn đoán khám chữa
bệnh từ xa, thương mại điện tử, truyền âm thanh, video stream, dữ liệu tích hợp...
Kiến trúc mạng mới để phát triển các dịch vụ này được gọi là mạng thế hệ tiếp
theo NGN (Next Generation Network). NGN, một bước phát triển tiếp theo của
mạng trong lĩnh vực truyền thông, là kết hợp bởi ba mạng truyền thống- PSTN,
mạng không dây, mạng truyền dữ liệu (Internet). NGN kết hợp ba loại mạng này
Hình 4.1: Kiến trúc tổng quát của mạng NGN
51
thành một mạng truyền gói chung hoạt động hiệu quả, thông minh, và là trọng tâm
của ứng dụng công nghệ mới, đem lại khả năng phát triển dịch vụ.
Ba loại dịch vụ định hướng trong NGN gồm: dịch vụ hướng thời gian thực
(thoại), không thực (truyền gói), dịch vụ hướng nội dung, và dịch vụ hướng tác vụ.
Mạng NGN hướng dịch vụ đem lại cho nhà cung cấp dịch vụ nhiều lợi ích: an toàn,
tin cậy, hiệu quả kinh tế, và khả năng quản lý mạng thông minh hơn.
Kiến trúc NGN được xây dựng dựa trên chuẩn mở, ghép nối modul, dùng giao
thức chuẩn, và xây dựng các giao diện giao tiếp mở, dễ dàng ứng dụng cho các tổ
chức doanh nghiệp kết nối giao tiếp thông tin từ xa. Nó tập trung phát triển các dịch
vụ thoại, truyền dữ liệu... thông qua mạng truyền gói.
Định hướng sử dụng kiến trúc NGN có những lợi ích sau:
Giải pháp tiên tiến- xây dựng những cách thức làm việc mới
Kỹ thuật tiên tiến- Triển khai giải pháp tích hợp đa dịch vụ
Giá thành giảm- Sự cài đặt, điều khiển, bảo trì và sử dụng các dịch vụ mạng
Bỏ các điều lệ- cho phép nhà cung cấp khai thác nhiều dịch vụ mới mang
tính cạnh tranh.
Chuẩn công nghiệp- Giải pháp tích hợp và các hệ thống mở
NGN có thể thực hiện nhiều các dịch vụ khác như hội thảo video, các dịch vụ
multimedia khác yêu cầu dung lượng đến 10Mbps/1 người dùng. Thông lượng băng
thông của mạng sẽ là một chìa khoá chính của NGN để cung cấp dịch vụ băng
thông rộng cho nhiều người dùng. Như vậy, NGN sẽ tích hợp các công nghệ mobile
băng thông rộng cho phép người dùng thông tin sử dụng các dịch vụ băng thông
rộng bất kể việc sử dụng thiết bị đầu cuối ở một vị trí cố định, hay di động. Hơn
nữa, theo như nghiên cứu khảo sát, tốc độ tăng trưởng băng thông hiện nay được
đáp ứng phù hợp với nhu cầu phát triển các dịch vụ ứng dụng mạng. Những mạng
NGN trở nên tin cậy, dễ nâng cấp hơn những mạng hiện có, và thiết lập được một
môi trường thông tin gần gũi cuộc sống thực tại.
Một phần quan trọng nhất là kiến trúc mạng lõi của NGN dùng kết nối cáp
quang băng thông không hạn chế, truyền dữ liệu dạng gói, và có thể hỗ trợ đồng
thời nhiều loại dịch vụ khác nhau. Các thành phần của NGN (như Switch, router...)
có khả năng xử lý hoạt động trong môi trường mạng nhiều loại giao thức khác nhau,
52
dịch vụ khác nhau. NGN ban đầu phát triển trên cơ sở tích hợp với loại mạng
chuyển mạch sẵn có và làm việc được với nhiều loại giao thức và chuẩn hiện có.
Một số NGN được phát triển bởi những kiến trúc hoàn toàn mới, và một số thì lại
phát triển NGN dựa trên kiến trúc mạng hiện có.
4.2. Đặc điểm NGN
NGN có đặc điểm quan trọng nhất là mạng truyền gói tốc độ cao và khả năng
cung cấp có kiểm soát các dịch vụ băng thông rộng. NGN có cả hai đặc điểm mềm
dẻo và tin cậy. Cho dù NGN được phát triển theo nhiều hướng khác nhau nhưng có
những đặc điểm chung như sau:
Độc lập giao thức:
Để tương ứng được với nhiều dạng thông tin, NGN cần có khả năng hoạt động
được với nhiều loại giao thức truyền thông. Những mạng truyền thống được thiết kế
để thực hiện truyền dẫn các loại dữ liậu như thoại, video hay dữ liệu. Như vậy nó
dùng những loại mạng riêng sử dụng nhiều loại thiết bị khác nhau để hỗ trợ thông
tin đa phương tiện
IP Network
Circuit Switched Network
Users
Hình 4.2: Mô tả hai kiến trúc mạng chạy nhiều dịch vụ khác nhau
53
Về cơ bản, sự độc lập giao thức là khả năng của mạng hoạt động được với bất
kỳ giao thức nào được yêu cầu. cụm từ ‘protocol agnostic’ thường được sử dụng
cho các thiết bị trong mạng NGN (ví dụ, các thiết bị có thể điều khiển IP, DSL, và
ISDN đồng thời). Đặc tính này sẽ được triển khai hầu hết tại các ‘intelligent edge’
của mạng.
Nâng cao khả năng của thiết bị đa chức năng luôn được các nhà quản lý viễn
thông khai thác. Khi đó giá thành chi phí quản lý thiết bị được tiết kiệm. Thêm nữa
là không gian thiết đặt cũng được hoạch định khi chỉ với một thiết bị thực hiện
nhiều chức năng. Các đặc điểm khác nữa như giảm nguồn điện tiêu thụ khi dùng ít
thiết bị.
Sự tin cậy và mềm dẻo: Như tele-medicine, sự tin cậy và mềm dẻo của mạng
là một sự bắt buộc, vì khi đó sức khoẻ bệnh nhân hoàn toàn phụ thuộc vào chất
lượng thông tin được truyền
để nhận được những mức cần thiết của sự mềm dẻo cà sự tin cậy của NGN thì cần
nhiều công nghệ khác nhau và các thành phần dự phòng hơn so với những mạng
hiện đang sử dụng.
Khả năng điều khiển: Các nhà quản lý mạng có thể thiết kế, tuỳ biến, và tối
ưu mạng để có thể giao tiếp được với nhiều loại phương tiện mạng và xử lý với
nhiều yêu cầu mạng. Vấn đề chính là QoS (ví dụ, khả năng mạng cung cấp các mức
dịch vụ để đảm bảo băng thông được cung cấp ổn định). Ví dụ, các ứng dụng thoại
và hội thảo video không chấp nhận được khi có trễ hoặc sự mất gói. Vì vậy, những
loại dịch vụ này cần QoS bảo đảm đầy đủ chức năng. Mặt khác, những ứng dụng
như duyệt web có thể chấp nhận được sự mất gói thông tin và có thể được truyền lại
mà không giảm chất lượng dịch vụ.
Điều khiển gói tin trên mạng là một đặc tính quan trọng vì nó cho phép các
nhà quản lý mạng và phần mềm quản lý mạng tối ưu việc sử dụng tài nguyên mạng
bằng cách cân bằng động giữa tổng dung lượng được chỉ định đối với các ứng dụng
thời gian thực và các ứng dụng quan trọng. Nhà quản lý mạng cũng cần điều khiển
linh động đối với những dịch vụ truyền file. Và việc này được gọi là kỹ thuật xử lý
54
băng thông. Những đặc điểm của kỹ thuật xử lý băng thông của NGN khắc phục
được những vấn đề về bảo đảm chất lượng dịch vụ trong môi trường mạng truyền
gói hiện nay, và những vấn đề vềtiêu tốn băng thông như trong mạng chuyển mạch.
Sự thiếu sót chung của những mạng chuyển mạch gói hiện tại là nó sẽ làm cho các
nhà quản lý mạng viễn thông gặp khó khăn trong việc thực hiện QoS, điển hình là
những phần thuộc kết nối đường truyền có thể sử dụng của nhà cung cấp thứ 3. Ví
dụ, một cuộc gọi được khởi tạo từ một mạng với QoS hiệu quả có thể sẽ bị ngắt trên
một mạng thuộc vị trí ở nước khác, nơi mà QoS kém hơn, dẫn đến một cuộc gọi
chất lượng tồi. Khi sử dụng kỹ thuật xử lý lưu lượng, các nhà quản lý có thể định
nghĩa các mức riêng biệt của dịch vụ và sau đó tổ chức nhóm theo từng mức dịch vụ
mà các nhàn quản lý mạng khác cũng có khả năng xử lý lưu lượng chất lượng tương
ứng. Quá trình xử lý như vậy sẽ làm thuận tiện hơn khi giao tiếp giữa các mạng
khác nhau .
Khả năng lập trình: NGN càng dễ lập trình và thay đổi cấu hình thì càng linh
động khi sử dụng, và như vậy càng có thể đáp ứng tốt các yêu cầu người dùng khai
thác các dịch vụ mới. Khả năng lập trình sẽ cho phép kỹ thuật xử lý lưu lượng và sự
cấp phát tài nguyên động trong NGN thích ứng phù hợp nhanh đối với các yêu cầu
hoặc dịch vụ mới. Sự hỗ trợ các sản phẩm phần mềm của nhà cung cấp thứ ba tuân
theo các chuẩn được chỉ định rõ bởi API, dẫn đến khả năng kết hợp phát triển các
phần mềm dễ dàng hơn.
Tạo lập dịch vụ: Một đặc điểm quan trọng, hiện đại, thông minh của NGN là
sử dụng toán tử API chuẩn mở dễ dàng tuỳ biến và tạo lập các dịch vụ mới trên
những thiết bị hiện có. Trong nhiều mạng viễn thông hiện tại, các dịch vụ hoàn
toàn phụ thuộc bởi nhà cung cấp thiết bị, dẫn đến sự thụ động và sự tốn kém khi
khai thác sử dụng những dịch vụ mới
Nâng cấp: Sự nâng cấp là một đặc tính quan trọng cho phép bảo vệ được
NGN không bị lỗi thời. Để đối phó với sự gia tăng của tải mạng, các nhà quản lý
mạng sẽ phải có tầm nhìn khả năng truyền dẫn của mạng (ví dụ, dự phòng đường
cáp quang). Các thiết bị NGN sẽ cần được nâng cấp để cho phép gia tăng dung
lượng cần dùng mà không cần phải thay thế thiết bị khi đạt đến ngưỡng sử dụng
55
Mục đích tổng quát nữa là các thiết bị viễn thông có một đặc điểm quan trọng hơn
rất nhiều là có thể lập trình, thích ứng nâng cấp với nhu cầu tương lai.
4.3. Triển khai NGN
Kiến trúc và khả năng: Trong kiến trúc NGN có một khác nhau cơ bản với
những mạng viễn thông chuyển mạch kênh truyền thống. Trong mạng chuyển mạch
kênh truyền thống thì sự thông minh của mạng tập trung ở mức lõi của chuyển
mạch trung tâm. Trong NGN, sự thông minh của nó (chuyển mạch, định tuyến)
được phân tán và nhận được ngay tại bờ “adge” của mạng.
Một thuận lợi chính khi kiến trúc mạng được thiết lập xử lý thông minh tại các
vị trí tập trung là sự quản lý mạng được tập trung, dẫn đến giá thành quản lý giảm,
mặt khác một mạng với sự thông minh phân tán sẽ mềm dẻo hơn khi gặp phải lỗi
mạng.
Kiến trúc cơ bản của NGN được bắt nguồn từ 3 thành phần chính sau:
Mức lõi đa dịch vụ (Multiservice Core)
Bờ rìa thông minh (Intelligent Edge)
Phân đoạn mạng truy nhập (Access Segment)
Lõi đa dịch vụ: là một sự tập trung của mạng vận chuyển nhiều dịch vụ trên
các đường kết nối quang tố độ cao (điển hình là các tốc độ Terabit/s hay Petabit/s).
Phần mạng này hoạt động như một hệ thống truyền dẫn “long haul” kết nối các
phân đoạn bờ rìa thông minh với nhau. Những thiết bị dùng cho lớp lõi thường là
các Switch ATM, Switch SDH, và các router chuyển mạch.
Hình 4.3: Kiến trúc mạng NGN
56
Bờ rìa thông minh: Tại các bờ rìa thông minh này tập trung sự thông minh của
mạng. Đây là sự khác biệt điển hình với mạng chuyển mạch kênh truyền thống khi
mà nó chỉ tập trung xử lý thông minh tại lớp chuyển mạch lõi của mạng. Mạng tại
bờ rìa thông minh có thể điều khiển các loại dịch vụ thông tin khác nhau và kết nối
với mạng lõi. Điều này cho phép triển khai các loại truy cập mạng khác nhau được
kết nối liền lại với nhau tạo nên một bờ rìa thông minh. (ví dụ, DSL, leased lines,
FWA).
Các thành phần chung của một bờ rìa thông minh là những chuyển mạch mềm
(softswitch) đa dịch vụ. Chúng có thể hoạt động trên bất kỳ các loại giao thức khác
nhau. Khả năng tạo lập các dịch vụ mới là một đặc điểm quan trọng của một bờ rìa
thông minh. Đặc điểm này cho phép người dùng tuỳ biến mạng của họ và cho phép
các nhà cung cấp dịch vụ tạo lập và cung cấp các dịch vụ mới mà không cần sự can
thiệp đến các nhà sản xuất thiết bị.
Phân đoạn truy nhập: Phân đoạn truy nhập của NGN sẽ bao gồm nhiều công
nghệ truy nhập băng thông rộng khác nhau. Khi càng nhiều dung lượng cần đến, thì
mạng truy nhập chắc chắn phải dùng đến các công nghệ quang làm một phương tiện
truyền dẫn chủ yếu. Giải pháp không dây băng thông rộng cũng đang được khai
thác cho các ứng dụng mobile hay cầm tay (ví dụ, WLAN, mobile băng thông
rộng).
Hình sau mô tả các loại công nghệ truy nhập khác nhau có thể giao tiếp kết nối đến
cùng một bờ rìa đa dịch vụ của NGN
Hình 4.4: Mô tả các kết nối của dịch vụ đến bờ rìa đa dịch vụ
57
Sự hướng đến ứng dụng NGN có thể được triển khai trên bờ rìa cho tất cả các
loại mạng hiện có như:
Các mạng kết nối giữa các quốc gia (thuộc kiến trúc mạng lõi)
Các mạng WAN (thuộc mạng lõi xây dựng trên mỗi quốc gia)
Các mạng doanh nghiệp (như mạng VPN)
Mạng đô thị và các mạng bờ rìa .
Mạng LAN
Mạng riêng của các cá nhân
4.4. Các thành phần của NGN chuẩn
Một số các thành phần cơ bản của NGN bao gồm:
Softswitches: Đây là những thiết bị có thể được lập trình để làm việc như một
gateway cho phép thông tin giữa các mạng chuyển mạch gói (mạng IP), và mạng
chuyển mạch truyền thống. softswitch có thể làm trung gian kết nối giữa các dịch
vụ VoIP, hay dịch vụ dùng IP với mạng thoại chuyển mạch kênh xử lý tất cả các
dịch vụ mà kiến trúc của hai mạng sử dụng.
Hình 4.5: Các thành phần cơ bản trong NGN
58
DSLAM (Digital Subscriber Line Access Module): được dùng để kết nối
nhiều người dùng DSL vào mạng. Một kết nối DSLAM đa dịch vụ được dùng cho
mạng thoại cũng như mạng dữ liệu.
Next Generation Edge Switch: Một chuyển mạch đa giao thức có thể hỗ trợ
kết nối nhiều người dùng với các loại phương pháp truy nhập khác nhau (ví dụ,
ISDN, Dial-up,…) đến mạng lõi NGN.
Broadband Access Switch: Kết nối các mạng truy cập băng rộng (như mạng
thuê bao băng thông rộng) trực tiếp đến mạng lõi NGN. Những dịch vụ nayg kết nối
các đoạn mạng trực tiếp đến mạng lõi NGN.
4.5. Các công nghệ và các giao thức
Tầng 1-tầng vật lý: Tầng này liên quan đến mặt điện áp, kết nối vật lý của
phương tiện truyền dẫn, và tín hiệu điện. Những giao thức thuộc lớp vật lý có thể là
WDM (Wave Division Multiplexing), Ethernet và SDH.
Tầng 2-Tầng LKDL: Tầng này xử lý truyền dẫn dữ liệu tin cậy giữa các điểm
vật lý trên mạng. Ví dụ các giao thức tầng này gồm: SDH, Ethernet, ATM, RPR,
GMPLS.
Tầng 3-tầng mạng: Tầng mạng có chức năng định tuyến - chuyển thông tin
giữa các điểm kết nối logic trên mạng. IP và ATM là những ví dụ của các giao thức
lớp mạng. MPLS được dùng để bọc các gói IP tại lớp 3.
Hình 4.6: Ba tầng cuối cùng của tập giao thức NGN
59
Tầng 4 – 7: Những tầng này bao gồm (transport, session, presentation and
application) không tập trung vào kiến trúc hạ tầng cơ sở của mạng mà là phát triển
các dịch vụ ứng dụng mạng.
Nhiều giao thức có thể được phân loại xếp chồng tuỳ thuộc vào từng loại
mạng. Lược đồ sau chỉ ra một số ví dụ các kiến trúc xếp chồng giao thức xử lý các
dịch vụ IP.
Protocols: Một số giao thức quan trọng làm nổi bật khả năng chuyển mạch
gói được mô tả như sau:
ATM (Asynchronous Transfer Mode)
Ethernet
SDH (Synchronous Digital Hierarchy)
Internet Protocol (IP version4, IP version6)
IP ver6 sẽ giải quyết được vấn đề thiếu hụt địa chỉ IP trên mạng, với IP ver4
đạt được 4 tỉ thiết bị mạng được đánh địa chỉ, IP ver6 có dải địa chỉ luôn sẵn có cho
nhu cầu gia tăng của các thiết bị mạng cũng như sự phát triển kết hợp nhiều loại
mạng IP với nhau (ví dụ, WLAN, 3G)…Hơn nữa, địa chỉ IP được thiết kế để đơn
giản hơn trong quá trình cấu hình. Sự thiết lập các địa chỉ Ipver6 có nhiều thuận lợi
khi trong tương lai sẽ được dùng để đánh số thiết bị thoại cho NGN
Optical
(DWDM)
SDH
ATM
IP
Optical
(DWDM)
ATM
IP
Optical
(DWDM)
IP
SDH
Optical
(DWDM)
IP
Optical
(DWDM)
Ethernet
IP
Optical
(DWDM)
RPR
IP
Hình 4.7: Một số phương pháp khác nhau cung cấp các dịch vụ IP
bởi những cách tổ chức các lớp mạng khác nhau.
60
RPR (Resilient Packet Ring): là một giao thức mới được IEEE (IEEE 802.17)
định nghĩa để kết nối các thiết bị với nhau. RPR được thiết kế để kết nối mạng dữ
liệu qua các mạng vòng quang (optical ring) trong MAN và WAN. Kỹ thuật này
cho phép các công nghệ optical ring trở nên hiệu quả hơn khi truyền dữ liệu dạng
gói. Nó giảm được trễ thời gian khi dùng cho những ứng dụng thời gian thực. RPR
độc lập với lớp vật lý và chạy trên SDH (lớp vật lý) hoặc DWDM. RPR cũng có thể
được ứng dụng trên mạng dùng công nghệ Ethernet có độ tin cậy cao.
IntServ: Dịch vụ tích hợp được phát triển bởi IETF (Internet Engineering Task
Force), là một nỗ lực để ứng dụng QoS vào mạng IP. Công việc của nó là gửi thông
tin trên một băng thông được định sẵn theo mức yêu cầu của dịch vụ, việc này được
thực hiện bởi RSVP (resource reservation protocol )
DiffServ: Những dịch vụ hiện có nhận được QoS sử dụng nguyên lý gán cho
mỗi gói IP một mức ưu tiên phân theo lớp dịch vụ, nó ảnh hưởng đến cái cách mà
trong đó DiffServ cho phép các router điều khiển các gói
Giao thức chuyển mạch nhãn MPLS (Multi Protocol Label Switching) và
GMPLS (generalised multi-protocol label switching) là những chuẩn nổi bật của
IETF. Nó cho phép quản lý lưu thông các gói IP bằng cách cộng thêm các nhãn
(label) hoặc “tag” vào gói IP. Sự sử dụng các nhãn này cho phép phân biệt các
đường truyền riêng. Như vậy, mỗi loại dịch vụ sẽ ứng từng QoS riêng biệt. Các
router chuyển mạch nhãn làm chức năng cộng thêm các nhãn MPLS được cộng
thêm vào gói IP, và sau đó chuyển tiếp đến các router chuyển mạch nhãn khác trong
mạng MPLS. Hơn nữa, các chuyển mạch nhãn đa giao thức có thể được thực hiện
trên mạng quang, và tạo ra một dạng GMPLS
Control Plane Protocols: Có nhiều giao thức có chức năng dùng để điều
khiển và giao tiếp dịch vụ thoại và các dịch vụ khác giữa các mạng chuyển mạch
gói và chuyển mạch kênh. Những giao thức này cho phép các chức năng điều khiển
cuộc gọi (ví dụ, thiết lập, huỷ bỏ) và các dịch vụ giá trị gia tăng trên mạng chuyển
mạch gói. Những giao thức SIP (Session Initiation Protocol), MGCP (Media
Gateway Control Protocol), MEGACO (MEdia GAteway COntrol , ITU-T H.248)
and ITU-T H.323 đang được khai thác sử dụng trong NGN.
61
Công nghệ quang: NGN có công nghệ chính yếu là công nghệ quang. Trong
hầu hết trường hợp, các kết nối cáp quang sử dụng kỹ thuật WDM (wavelength
division multiplexing ) để gia tăng khả năng và cho phép truyền dẫn nhiều loại dịch
vụ độc lập trên cùng sợi cáp, như vậy sẽ làm đơn giản thiết bị đầu cuối mạng
Sau đây là một số thành phần chủ yếu của mạng quang:
Ghép kênh phân chia theo bước sóng(Wavelength Division Multiplexing):
WDM cho phép truyền dẫn các dịch vụ khác nhau độc lập trên cùng sợi cáp quang,
chính vì vậy đơn giản thiết bị đầu cuối mạng. WDM đạt được điều này bằng cách
chỉ định rõ luồng dữ liệu riêng ứng với một bước sóng riêng (ví dụ, có 160 bước
sóng, mỗi bước sóng có thể mang được dòng dữ liệu 10Gbps). carrying 10Gbit/s).
Optical Add/Drop Multiplexing : Một vấn đề chung với mạng quang truyền
thống là để thêm, nhận lại được thông tin thì trước hết tín hiệu quang cần được
chuyển đổi ngược lại tín hiệu điện. Những sự chuyển đổi điện quang như vậy
yêu cầu những phần cứng trợ giúp khác gia tăng sự phức tạp, tiêu thụ nguồn…tiêu
tốn tiền. Với giải pháp OADM (Optical Add/Drop Multiplexing ) được sử dụng sẽ
hiệu quả về giá cũng như trễ sẽ bị hạn chế.
Optical Switches/Cross connects: OXC (Optical switching ) phân tách các
bước sóng quang riêng biệt và chuyển tiếp các bước sóng quang đến những tuyến
khác nhau. Việc này loại bỏ nhu cầu sử dụng thiết bị chuyển đổi điện-quang.
All Optical Networks: Mở rộng ý tưởng hơn nữa mang đến một khái niệm của
mạng toàn quang AON (all optical network ), khi mà với AON thì chỉ có tín hiệu
quang được truyền, sự chuyển đổi điện-quang chỉ xảy ra tại các điểm tạo/khai thác
dữ liệu.
Optical Access Networks: Công nghệ quang bắt đầu được sử dụng trong các
phân đoạn mạng NGN gồm đường dẫn cáp quang đến building FTTB (fibre to the
building ),đường dẫn cáp quang đến nhà FTTH (fibre to the home ). Sự bắt đầu từ
các nước như Norway, Italy, France, Germany, Australia, Canada, Japan, Korea.
Triển khai mạng quang thụ động PON (passive optical networks) hiện nay cho phép
nhiều người dùng được nối kết hệ thống quang mà không cần triển khai thiết bị đắt
tiền tại mỗi nút mạng. Những mạng nhiều người dùng sẽ có thể có những đường
cáp quang kết nối trực tiếp đến nhà cung cấp dịch vụ của họ.
62
63
CHƯƠNG 5
THIẾT KẾ, XÂY DỰNG HỆ THỐNG THÔNG TIN
5.1. Giới thiệu
Trong các phần mục của luận văn đề cập tương đối chi tiết nội dung và kiến
thức cơ bản để triền khai một hệ thống thông tin. Để cụ thể một hệ thống thông tin
được triển khai, ta phân tích hệ thống mạng của VĂN PHÒNG QUỐC HỘI.
Để đáp ứng yêu cầu mở rộng diện tích làm việc cho các đại biểu chuyên trách,
đội ngũ thư ký và các cán bộ phục vụ Quốc hội khoá XI, Văn phòng Quốc hội được
phê duyệt để tiếp nhận khu trụ sở mới tại 37-Hùng Vương (trước đây là khu nhà
khách của Văn phòng Chính phủ). Văn phòng Quốc hội đã triển khai việc tiếp nhận
hai khu nhà 3 tầng và 5 tầng tại 37-Hùng Vương và di chuyển một số đơn vị thuộc
Văn phòng Quốc hội sang khu trụ sở mới. Kế hoạch di chuyển một phần Văn phòng
Quốc hội tới khu trụ sở mới bao gồm nhiều hạng mục khác nhau, một số hạng mục
trong đó đã được hoàn thành, một số đang trong quá trình triển khai hoặc trong quá
trình chuẩn bị. Một trong những hạng mục quan trọng nhất trong kế hoạch di
chuyển đó là triển khai xây dựng một hệ thống thông tin tại khu trụ sở mới nhằm
đảm bảo duy trì hoạt động liên tục của các đơn vị tại khu trụ sở mới.
Trên cơ sở những hoạt động đang được tiến hành để tiếp nhận khu trụ sở mới,
Văn phòng Quốc hội đồng ý phê duyệt dự án “Xây dựng hệ thống thông tin Văn
phòng Quốc hội 37 – Hùng Vương”, với tổng dự toán là 6.166.658.366 (Sáu tỷ một
trăm sáu mươi sáu triệu sáu trăm năm mươi tám nghìn ba trăm sáu mươi sáu đồng
chẵn).
Giải pháp kỹ thuật thiết kế hệ thống thông tin bao gồm các phần:
Hệ thống mạng tại 37 Hùng Vương
Hệ thống kết nối các địa điểm
Hệ thống truy nhập internet
Hệ thống phần mềm ứng dụng
Hệ thống bảo mật và an ninh thông tin
Kế hoạch triển khai.
64
Kế hoạch dự phòng.
5.2. Phân tích yêu cầu
Xây dựng danh sách các hạng mục công việc chính cần tiến hành trong dự án,
cụ thể là:
1. Xây dựng hệ thống cơ sở hạ tầng mạng thông tin bao gồm hệ thống
mạng LAN tại 37 Hùng Vương, hệ thống mạng kết nối với trụ sở Ngô Quyền và
Bắc Sơn.
Mạng LAN tại 37 Hùng Vương được thiết kế gồm có:
Hệ thống phòng máy chủ trung tâm được lắp đặt cho:
o Hệ thống máy chủ nội bộ
o Hệ thống máy chủ Intranet
o Hệ thống kết nối các Switch
Hệ thống cáp mạng tại hai toà nhà A và D
Kết nối trụ sở 37 Hùng Vương với trụ sở Ngô Quyền, và Bắc Sơn:
Qua khảo sát đáng giá, chọn phương án kết nối dùng đường truyền tốc độ cao
ISDN đã được lựa chọn vì các lý do:
Đường truyền ISDN là đường truyền số đồng bộ, độ an toàn dữ liệu trên
đường truyền cao hơn rất nhiều so với PSTN; đường truyền ISDN truyền dữ
liệu dựa trên việc ghép kênh thông tin, trong đó có một kênh báo hiệu có tác
dụng giám sát và điều khiển luồng dữ liệu truyền đi.
Kết nối ISDN có tốc độ kết nối theo tính toán lý thuyết sẽ cao hơn khoảng 3
đến 5 lần (tính cho một đường 128Kbps) so với kết nối PSTN.
Tốc độ tạo lập kết nối ISDN rất nhanh, chỉ sau 1 giây quá trình kết nối đã
hoàn thành. Đối với PSTN quá trình kết nối phải thực hiện trong vòng vài
chục giây.
ISDN hỗ trợ cả tín hiệu truyền là âm thanh (Voice) và dữ liệu (data) trên
cùng một đường truyền, do đó khả năng ứng dụng rất rộng, đáp ứng được các
yêu cầu phức tạp của các ứng dụng được thiết kế trên hệ thống, đây chính là
điểm mà PSTN không làm được.
2. Trang bị hệ thống máy chủ phục vụ hệ thống ứng dụng và dịch vụ.
65
Máy chủ là một trong những thành phần chính quyết định hiệu năng và độ tin
cậy của toàn hệ thống. Trong các hệ thống mạng, máy chủ thường đóng vai trò cung
cấp các dịch vụ ứng dụng cho các máy trạm như dịch vụ chia sẻ tệp, dịch vụ in ấn,
dịch vụ thư điện tử.
Để có thể thực hiện những công việc như vậy, máy chủ phải là các máy tính
được thiết kế đặc biệt đạt hiệu năng và độ ổn định cao. Các máy chủ phải có khả
năng xử lý đồng thời nhiều công việc và có các hệ thống dự phòng đầy đủ. Các máy
chủ cũng phải có các thiết kế một cách chuyên dụng để đạt được tối ưu đối với công
việc mà nó đảm trách. Khi thiết kế một hệ thống mạng, lựa chọn máy chủ là một
bước quan trọng có vai trò quyết định đến khả năng thực thi của toàn bộ hệ thống.
Hệ thống máy chủ tại 37 Hùng Vương được phân chia theo các chức năng
phục vụ trong mạng.
3. Trang bị phần mềm hệ thống, phần mềm dịch vụ và phần mềm ứng dụng.
Hệ thống thư điện tử:
Thiết lập hệ thống thư điện tử thông nhất trong toàn bộ Văn phòng Quốc hội,
đảm bảo việc trao đổi thư điện tử giữa các thành viên trong văn phòng hiệu
quả, dễ dàng, không phụ thuộc vào vị trí làm việc.
Hệ thống máy chủ Mail Server đặt tại 37 Hùng Vương, giao tiếp với hệ thống
Internet E-mail, sử dụng một tên miền phân giải cho E-mail là QH.GOV.VN.
Hệ thống cung cấp dịch vụ Web:
Sử dụng Web Server IIS, sản phẩm của Microsoft cho phép người dùng trên
mạng Internet truy cập tìm kiếm thông tin luật, thông tin dân nguyện…với CSDL
SQL.
4. Kết nối đường Internet trực tiếp phục vụ nhu cầu truy nhập Internet của
người sử dụng trong hệ thống thông tin Quốc hội.
Kết nối toàn bộ hệ thống mạng với Internet qua đường truyền thuê riêng, tốc
độ 128 Kbps. Các thiết bị phục vụ kết nối Internet (Router, HTU, mail server,
cache server ... ) sẽ được đặt tại phòng máy chủ tại 37 Hùng Vương
Hệ thống tại số 2 Bắc Sơn và 35 Ngô Quyền thông qua kết nối với 37 Hùng
Vương (đường truyền ISDN) để truy nhập Internet
66
5. Cung cấp dịch vụ truy nhập từ xa, cho phép người dùng có thể dùng dịch
vụ Dial-up quay số đăng nhập dịch vụ mạng VPQH
Hệ thống cho phép người sử dụng từ xa (ở nhà, hoặc nơi khác), kết nối vào
mạng và làm việc bình thường thông qua đường điện thoại.
Máy chủ xác thực người dùng (Authentication, Authorization & Accounting –
AAA server) được thiết đặt tại hệ thống mạng kết nối các server để giám sát
các phiên liên lạc của người dùng từ xa. Firewall PIX được thiết đặt để cho
phép trao đổi các thông tin xác thực và ghi log giữa router và AAA server
Cũng trên nhánh mạng kết nối giữa PIX firewall và router phục vụ truy nhập
từ xa, còn có máy chủ phục vụ kết nối với hệ thống mạng của chính phủ
(CPnet). Máy chủ này được kết nối với hệ thống mạng cục bộ qua firewall
PIX, được kết nối với CPnet bằng phương thức quay số qua modem.
6. Trang bị hệ thống an ninh mạng và đưa ra các khuyến nghị đối với an ninh
thông tin.
Đảm bảo ngăn chặn các truy nhập bất hợp pháp từ bên ngoài Internet vào hệ
thống mạng của Văn phòng Quốc hội, cũng như các truy nhập không đúng
thẩm quyền từ hệ thống mạng nội bộ vào các máy chủ, trong khi vẫn đảm bảo
các truy nhập hợp pháp được thông suốt và hiệu quả
Chủ động phát hiện, ngăn chặn các hoạt động nguy hiểm
Ghi nhật ký (log) các hoạt động diễn ra trên hệ thống mạng
7. Trang bị máy trạm, các thiết bị văn phòng.
5.2. Thiết kế, xây dựng hạ tầng thông tin
Hình bên dưới là sơ đồ tổng thể của toàn mạng của VPQH, ta thấy kiến trúc
mạng bao gồm các khu vực thành phần kết nối qua thiết bị an ninh mạng Pix
firewall 515 của Cisco.
2950-24
37 Hïng V¬ng
Firewall
PIX 515
Router
3550-
12T
PDC
DNS
Internet
PSTN
Leased line
128 Kbps
Ngêi dïng
tõ xaRouter
2511
DatabaseWeb
IDS
Content
Engine
172.18.x.x
172.19.1.x
172.19.2.x
QH.GOV.VN
Mail
AAA
CPnet
67
a. Đánh địa chỉ IP cho toàn mạng:
Để đảm bảo hoạt động bình thường của hệ thống, địa chỉ mạng tại 37 Hùng
Vương và tại 2 địa điểm trên phải thỏa mãn các yêu cầu sau:
Địa chỉ không trùng lặp
Sử dụng các địa chỉ IP dùng riêng (Private IP address): địa chỉ trong các lớp
10.x.x.x, 172.16.x.x đến 172.31.x.x và 192.168.x.x
Đảm bảo thay đổi ít nhất, tránh ảnh hưởng đến hoạt động của hệ thống hiện
có.
Trên cơ sở các yêu cầu này, địa chỉ IP phải được cấp phát và sử dụng như sau:
Hệ thống tại 35 Ngô Quyền
o Địa chỉ mạng 172.16.x.x (netmask 255.255.0.0)
o Router ISDN (dùng kết nối với 37 Hùng Vương) được đặt địa chỉ là
172.16.1.1
o Các thiết bị trên mạng sử dụng Router ISDN làm default gateway
o Các máy chủ tại 35 Ngô Quyền được cấp phát địa chỉ tĩnh, các máy trạm
được cấp phát địa chỉ động thông qua dịch vụ DHCP trên máy chủ.
Hệ thống tại 2 Bắc Sơn
o Địa chỉ mạng 172.17.x.x (netmask 255.255.0.0)
68
o Router ISDN (dùng kết nối với 37 Hùng Vương) được đặt địa chỉ là
172.17.1.1
o Các thiết bị trên mạng sử dụng Router ISDN làm default gateway
o Các máy chủ tại 2 Bắc Sơn được cấp phát địa chỉ tĩnh, các máy trạm
được cấp phát địa chỉ động thông qua dịch vụ DHCP trên máy chủ.
Hệ thống tại 37 Hùng Vương
o Địa chỉ mạng LAN: 172.18.x.x (netmask 255.255.0.0)
o Địa chỉ hệ thống mạng máy chủ 172.19.1.x (netmask 255.255.255.0)
o Địa chỉ hệ thống phục vụ người dùng kết nối từ xa 172.19.2.x (netmask
255.255.255.0)
o Địa chỉ hệ thống phục vụ kết nối với 2 Bắc Sơn và 35 Ngô Quyền
172.19.3.x (netmask 255.255.255.0)
o Địa chỉ hệ thống mạng kết nối với Internet do nhà cung cấp dịch vụ kết
nối Internet (ISP) quy định
o Địa chỉ các giao tiếp mạng của Firewall PIX được đánh tương ứng với
các hệ thống mạng mà nó kết nối
o Các thiết bị trên mạng sử dụng Firewall PIX làm default gateway.
o Các máy chủ được cấp phát địa chỉ tĩnh, các máy trạm được cấp phát địa
chỉ động thông qua dịch vụ DHCP trên máy chủ.
o Firewall PIX làm nhiệm vụ chuyển đổi địa chỉ đối với các yêu cầu truy
nhập Internet.
Các kết nối ISDN
Các kết nối ISDN từ 2 Bắc Sơn và 35 Ngô Quyền về 37 Hùng Vương sử dụng
địa chỉ tương ứng là 172.19.4.x và 172.19.5.x cho các yêu cầu đấu nối (ISDN
interface của router)
b. Khu vực mạng LAN tại 37 Hùng Vương:
Bao gồm hệ thống các Catalyst (Switch) kết nối theo kiến trúc phân lớp (lớp
lõi là 2 Catalyst 3550 12T của Cisco, lớp phân phối và truy nhập gồm có các
Catalyst 2950-24 ), các máy trạm được kết nối đên các cổng của lớp lớp phân phối
và truy nhập.
69
Máy chủ quản lý mạng: Gồm máy chủ cài đặt hệ điều hành Win2000 Server,
cài đặt dịch vụ Active Directorry.
c. Giao tiếp kết nối các trụ sở 37 Hùng Vương, Bắc Sơn, Ngô Quyền:
Tại 37 Hùng Vương thiết lập 2 kênh truyền ISDN. Tại 35 Ngô Quyền và 2 Bắc
Sơn mỗi điểm có 1 kênh truyền ISDN.
Đường truyền ISDN được nối từ số 2 Bắc Sơn và 35 Ngô Quyền về 37 Hùng
Vương, tốc độ đường truyền là 128 kbps (kênh 2B+D), trong đó bao gồm 2 kênh
thông tin (2B) và 1 kênh báo hiệu (1D), mỗi kênh B có tốc độ là 64kbps.
Mỗi đường truyền ISDN sẽ tương ứng với 1 số điện thoại ISDN, tức là việc
quay số từ 2 văn phòng về 37 Hùng vương sẽ tương tự như việc quay trực tiếp về số
điện thoại ISDN được cấp.
Hệ thống router tại 37 Hùng Vương, 2 Bắc Sơn và 35 Ngô Quyền được thiết
lập để sử dụng đường truyền ISDN ở chế độ Dial-on-demand. Mỗi khi có yêu cầu
gửi thông tin, hệ thống tự động thiết lập kết nối qua thao tác quay số ISDN của
điểm tương ứng. Sau khi sử dụng xong kênh truyền, nếu sau một thời gian (do
người quản trị hệ thống quy định) không có thông tin truyền trên đường, hệ thống sẽ
tự ngắt kết nối.
Hệ thống tại số 2 Bắc Sơn và 35 Ngô Quyền gồm 2 mạng LAN riêng biệt,
được thiết đặt để sử dụng các router kết nối về 37 Hùng Vương như Default
Gateway. Thông qua router 37 Hùng Vương, 2 điểm này cũng có thể liên lạc được
với nhau.
Cần thuê dịch vụ ISDN từ nhà cung cấp (Cục Bưu điện Trung ương).
Sử dụng 01 network module 4-cổng ISDN cho Router 2611, có gắn sẵn
modem ISDN tương thích NT1
Trang bị router ISDN cho các điểm 2 Bắc Sơn và 35 Ngô Quyền để kết nối
về 37 Hùng Vương sử dụng loại Cisco 1720 với các module ISDN có modem
NT-1.
d. Kết nối khai thác dịch vụ Internet:
Hệ thống kết nối Internet được xây dựng để phục vụ nhu cầu tìm kiếm và trao
đổi thông tin với thế giới, phục vụ cho các nhiệm vụ chính trị của cơ quan Quốc hội
Việt Nam. Hệ thống mạng của Quốc hội được kết nối với Internet bằng đường kết
70
nối Internet trực tiếp đến nhà cung cấp dịch vụ Internet (ISP). Để đảm bảo phục vụ
các yêu cầu truy nhập Internet của một lượng người dùng tương đối lớn (hơn 400
người), kết nối Internet trong giai đoạn hiện tại phải có tốc độ 128 Kbps. Trong
tương lai cần nâng cấp đường truyền khi nhu cầu sử dụng tăng và điều kiện kinh phí
cho phép.
Hệ thống kết nối Internet bao gồm 01 router (Cisco router 2651), thiết bị kết
nối leased line NTU/HTU, và thiết bị cache (lưu trữ đệm, chọn loại Cisco Content
Engine 560) hỗ trợ tăng tốc truy cập Internet, chức năng của các thiết bị như sau:
Router: Thực hiện chức năng định tuyến giữa hệ thống mạng cơ quan Quốc
hội và mạng Internet. Router cũng được sử dụng làm bức tường ngăn đầu
tiên chặn các ý đồ tấn công từ Internet, sử dụng các tính năng lọc gói trên
router.
NTU/HTU : Là modem đầu cuối cho kết nối lased-line tốc độ cao (chọn loại
Datacraft HTU-2). Cho phép tốc độ truyền dẫn số liệu đồng bộ đạt được từ
64Kbps- 2Mbps.
Content Engine: hỗ trợ đường truyền Internet, khi có một người sử dụng đã
vào một trang nào đó thì trang này tự động được lưu vào trong cache theo
các quy luật định trước. Những người tiếp theo truy nhập vào cùng một
trang sẽ truy nhập thông tin từ máy chủ cache thay vì phải truy nhập ra
Internet. Máy chủ cache nên là máy chủ chuyên dụng với phần mềm hệ
thống và phần mềm ứng dụng chuyên dụng để đảm bảo tối ưu hoá đường
truyền cũng như giảm được nguy cơ về an ninh.
e. An ninh thông tin mạng:
Việc đảm bảo an toàn thông tin cho hệ thống thông tin tại Văn phòng Quốc hội
được xây dựng trên nhiều lớp
Thành phần quan trọng, đóng vai trò trung tâm của việc đảm bảo an toàn
thông tin là firewall, có nhiệm vụ phân tách hệ thống mạng thành các thành
phần với các yêu cầu về an toàn thông tin, bảo mật khác nhau.
Firewall cho phép thiết lập các quy tắc kiểm soát kết nối giữa các máy trạm
(client) và máy chủ (server) trong các thành phần khác nhau của mạng, qua
đó giới hạn việc truy nhập từ Internet trực tiếp vào mạng bên trong. Các máy
71
tính trên Internet chỉ được phép làm việc với máy chủ thư tín tại 37 Hùng
Vương để trao đổi thư, trong khi các máy tính trên mạng nội bộ có thể được
truy nhập vào Internet một cách dễ dàng.
Firewall cũng giới hạn việc truy nhập trực tiếp của các máy trạm trong hệ
thống mạng của Văn phòng Quốc hội vào các máy chủ của hệ thống
Internet/intranet. Chỉ có các dịch vụ cho phép truy nhập tự do mới được mở
trên firewall (bao gồm Web, gửi/nhận thư qua SMTP/POP3/IMAP, tra cứu
tên DNS, truyền file ...). Các dịch vụ khác chỉ mở đối với các máy quản trị
hệ thống hay các máy đủ thẩm quyền.
Hệ thống sử dụng các tính năng của hệ điều hành, đặc biệt là hệ điều hành
Windows 2000 và Windows NT 4.0 để đảm bảo mức an ninh thông tin bên
trong mạng nội bộ, bao gồm:
o Thiết lập các chính sách về mật khẩu: độ dài, độ phức tạp, thời gian
tối thiểu và tối đa sử dụng nhằm tránh lộ mật khẩu của người sử dụng
o Thiết lập các chính sách về quyền của người sử dụng trong hệ thống
mạng: quyền chia sẻ file, máy in, quyền đăng nhập vào máy chủ và
máy trạm ....
o Phân quyền truy nhập vào các tài nguyên của hệ thống một cách hợp
lý.
Thiết bị firewall được chọn là Cisco PIX 515:
PIX 525 với 6 cổng Ethernet 10/100 Mbps (2 cổng có sẵn trên thiết bị, card
4 cổng 10/100) và 2 cổng Gigabit sử dụng cáp quang
Tốc độ băng thông lên đến 330 Mbps, số kết nối đồng thời đến 280.000
Đây là thiết bị có năng lực xử lý rất lớn, vượt xa băng thông của kết nối
Internet của Văn phòng Quốc hội (dự kiến chỉ lên đến 2 Mbps, giai đoạn đầu chỉ có
128 Kbps).
5.3. Thiết kế, xây dựng dịch vụ quản lý và ứng dụng mạng
5.3.1. Dịch vụ quản lý mạng
Dịch vụ Active Directory cho phép quản lý các thông tin liên quan đến
người dùng và các tài nguyên trên hệ thống mạng một cách tập trung, mềm dẻo.
72
Dịch vụ này được tích hợp trong hệ điều hành Windows 2000 (bản server) cho
phép thiết lập các hệ thống mạng với quy mô và bố trí vật lý đa dạng, quản lý tập
trung, tạo điều kiện về hạ tầng cơ sở cho các ứng dụng mạng.
Do các đặc tính này, dịch vụ Active Directory (AD) được sử dụng để quản
lý người dùng và các tài nguyên trên hệ thống mạng một cách thống nhất.
Dựa vào kiến trúc vật lý của hệ thống, ta chia mạng của VPQH làm ba site
khi thiết lập dịch vụ Active Directory.
Các site tương ứng với các điểm 2 Bắc Sơn, 35 Ngô Quyền, 37 Hùng
Vương.
Các site có cùng chung domain và được lấy tên là QH.GOV.VN
AD Chính (Main AD) được đặt tại 37 Hùng Vương
Các AD phụ trợ (Additional AD) được đặt tại hai site còn lại
Các AD còn được gọi là các Domain Controller (DC).
Các DC sẽ tự động đồng bộ thông tin vào thời gian được định trước (có thể
thiết lập đồng bộ tài nguyên thông tin trên các DC vào thời điểm ít kết nối trao
đổi thông tin của người dùng nhất hoặc ngoài giờ làm việc). Mỗi khi có sự thay
đổi hay cập nhật thông tin trên mỗi site thì các DC sẽ tự động cập nhật (sao chép)
nội dung của dịch vụ thư mục thông qua kết nối mạng WANs. Ví dụ, khi đăng kí
tài khoản cho một người dùng mạng, nhà quản trị có thể ngồi tại bất kì vị trí nào
trên mạng Intranet để tạo mới người dùng đó. Sau khi tạo mới người dùng, thì
thông tin đó sẽ tự động cập nhật lên từng DC trong domain theo thời gian định
trước, người dùng có thể đăng nhập mạng tại bất kì vị trí nào trong mạng
Intranet.
5.3.2. Cài đặt, và quản lý dịch vụ E-mail
Thiết lập một máy chủ thư điện tử tại 37 Hùng Vương, được đặt tại một
nhánh mạng riêng, kết nối với Internet và các hệ thống khác thông qua firewall
PIX.
Máy chủ thư điện tử tại 37 Hùng Vương đóng vai trò chính trong hệ thống
thư của Văn phòng Quốc hội, bao gồm:
Quản lý toàn bộ người dùng hệ thống thư của Văn phòng Quốc hội
73
Nhận thư từ Internet gửi đến người dùng của domain QH.GOV.VN (cũng
như các domain khác mà Văn phòng Quốc hội sẽ sử dụng sau này)
Cung cấp dịch vụ POP3 và IMAP cho phép người dùng nhận thư tại máy
trạm. Trong đó đặc biệt chú trọng dịch vụ IMAP
Cung cấp dịch vụ WebMail cho người sử dụng gửi/nhận thư qua giao diện
Web.
Lưu trữ và thực hiện các quy tắc kiểm soát thư: Chặn thư rác (spam) và thư
có nội dung không được phép, thông qua cơ chế kiểm duyệt nội dung thư.
Quét và diệt virus trên hệ thống thư.
Tạo và duy trì các chính sách liên quan đến việc sử dụng hệ thống thư: dung
lượng tối đa của hòm thư (mail box quota), kích thước tối đa của file gửi
kèm, số lượng thư tối đa được lưu trữ ....
Để thực hiện các nhiệm vụ này, phần mềm được sử dụng làm server thư
điện tử cần có khả năng thiết đặt các quy tắc mềm dẻo, quản lý được nhiều
domain, cho phép quản trị từ xa và có khả năng hỗ trợ dịch vụ thư điện tử qua
giao diện Web (Web-mail).Máy chủ thư điện tử tại Văn phòng Quốc hội sẽ sử
dụng phần mềm Mail Server MDaemon.
74
KẾT LUẬN
1. Kết quả
Sau thời gian nghiên cứu và học tập về đề tài em đã hoàn thành xong đề
tài và trình bày chi tiết những gì mình đã đạt được. Tuy nhiên, do thời gian và
khă năng có hạn, vì vậy đề tài không tránh khỏi những thiếu sót và chưa phải là
đề tài tối ưu nhất vì vậy em kính mong thầy cô giáo xem xét, chỉ bảo để đề tài
của em hoàn thiện hơn
2.Mức hoàn thành công việc
Đề tài do em nghiên cứu đã tương đối hoàn chỉnh và đã đạt được một số
yêu cầu mà thầy cô đưa ra, tuy nhiên vẫn còn một số vấn đề em chưa giải quyết
được và còn chưa chặt chẽ.
3.Hướng phát triển trong tương lai
Với khoa học kĩ thuật ngày càng phát triển mạnh mẽ như hiện nay thì việc
thiét kế các hệ thống quản lý cũng phải nâng cấp nhiều hơn và chặt chẽ hơn
trong công việc bảo mật,mã hoá dữ liệu đem lại nhiều lợi ích cho người quản lý
cũng như người sử dụng.Vì vậy hương phát triển của đề tài sẽ đi sâu hơn về bảo
mật và quản lý tài nguyên.
75
TÀI LIỆU THAM KHẢO:
1. Andrew S.Tanenbaum- Mạng máy tính - Bản dịch của Hồ Anh Phong- Nhà
xuất bản thống kê –2001
2. Cisco Systems Inc. – Cisco Internetworking Design Guide – 1/2000
(Network Design.pdf)
3. Daren L.Spohn-Data network design-McGraw Hill-1997
4. Internetworking with TCP/IP, Douglas E.Comer, Prentice Hall, 1997
5. Neil J.Gunther- The practical performance analyst (Performance- by-
design techniques for distributed system)- McGraw Hill-1998
6. M. Tamer Ozsu- Principles of Distributed Database Systems- Patrick
Valduriez
7. Thomas m.Connlly- Database Systems (A practical Approach to Design,
Implementation, and Management)-Carolyn E.Begg.
8. TCP/IP and related protocol,Uyless Black, Mc Graw –Hill
9. Voice and Data Internetworking, Gilbert Held, NXB Mc Graw- Hill,1998
10. Nguyễn Thúc Hải - Mạng máy tính và các hệ thống mở -N.XBGD –1999.
11. Nguyễn Hồng Sơn – Giáo trình hệ thống mạng máy tính CCNA – Nhà
xuất bản giáo dục-2001
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
Các file đính kèm theo tài liệu này:
- 2296_9942.pdf