Đề tài cơ bản đã hoàn thành được nội dung và yêu cầu của một luận văn tốt
nghiệp thạc sĩ kỹ thuật song do thời gian thực hiện có hạn, nội dung không tránh
khỏi những thiếu sót nhất định. Tác giả mong nhận được các ý kiến đóng góp của
Hội đồng để bổ sung và hoàn thiện hơn nữa.
27 trang |
Chia sẻ: lylyngoc | Lượt xem: 3341 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Tiểu luận Nghiên cứu kiến trúc hệ thống mạng và bảo mật trung tâm dữ liệu áp dụng cho ABBank, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
TIỂU LUẬN
ĐỀ TÀI: “NGHIÊN CỨU KIẾN TRÚC HỆ
THỐNG MẠNG VÀ BẢO MẬT TRUNG TÂM
DỮ LIỆU ÁP DỤNG CHO ABBANK.”
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
----------------------------------------
ĐÀO VĂN NGỌC
NGHIÊN CỨU KIẾN TRÚC HỆ THỐNG MẠNG VÀ BẢO MẬT TRUNG
TÂM DỮ LIỆU ÁP DỤNG CHO ABBANK.
Chuyên nghành: Truyền dữ liệu và Mạng máy tính
Mã số: 60.48.15
TÓM TẮT LUẬN VĂN THẠC SỸ
HÀ NỘI – 2011
Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Người hướng dẫn khoa học: TS. Đặng Hoài Bắc
Phản biện 1: ……….………………………………..…………………
Phản biện 2: ……………….….……………………….………………
Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công
nghệ Bưu chính Viễn thông
Vào lúc: …….. giờ ……. ngày ……. tháng …… năm ………
Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông
1
MỞ ĐẦU
Công nghệ thông tin (CNTT) ngày nay hầu như đi vào tất cả các lĩnh vực
trong xã hội: kinh tế, giáo dục, giải trí...và nó đã mang lại những thành quả rất đáng
kể. Đối với các doanh nghiệp, các công ty tài chính, ngân hàng thì CNTT đóng một
vai trò hết sức quan trọng trong việc phát triển và mở rộng doanh nghiệp, tạo thuận
lợi trong việc kinh doanh cũng như trong vấn đề quản lý và điều hành, đặc biệt
CNTT đóng vai trò quan trọng trong việc tạo ra sự khác biệt và nâng cao khả năng
cạnh tranh giữa các ngân hàng trong thời hội nhập.
Để hệ thống CNTT của các Ngân Hàng hoạt động có hiệu suất cao, tại thời
điểm hiện nay các Ngân Hàng trong nước cũng đang từng bước phát triển thiết lập
cho mình một hệ thống cơ sở hạ tầng hiện đại như: Hệ thống hạ tầng mạng hiện đại,
Hệ thống quản lý dữ liệu tập trung; Hệ thống máy chủ có tính sẵn sàng cao
(Clustering); Tối ưu hoá mạng nâng cao hiệu suất đường truyền (WAN Application
Optimization); Giải pháp dự phòng thảm hoạ (Disaster Recovery); Giám sát hệ
thống (Monitoring); Giải pháp an ninh bảo mật (Security) và phòng chống Virus
xâm nhập mạng; Phòng chống sự tấn công, xâm nhập bất hợp pháp vào hệ thống;
Quản trị hệ thống (System Management); Dịch vụ bảo hành bảo trì hệ thống nhằm
đảm bảo hoạt động liên tục, thông suốt của hệ thống…...
Ngoài ra, theo thống kê của tổ chức nghiên cứu thị trường toàn cầu - Gartner
thì cơ sở hạ tầng truyền thống sẽ có nguy cơ bị quá tải do: Lưu trữ tăng từ 40% đến
70% mỗi năm; Mức độ sử dụng (máy chủ và hệ thống lưu trữ) tăng từ 15% đến
25% mỗi năm; Việc cấp nguồn và làm mát cũng tăng khoảng 30% tổng chi phí. Nhu
cầu điện toán vẫn tiếp tục tăng trưởng; mật độ tủ Rack trong các phòng máy chủ đã
tăng gấp đôi sau mỗi 8 năm kể từ năm 1992, mật độ thiết bị cũng cao hơn thông
qua sử dụng máy chủ phiến, ảo hóa máy chủ và tập trung hóa máy chủ. Do đó, mật
độ điện năng cũng đang gia tăng mạnh mẽ; chi phí về cơ sở hạ tầng vật lý (cấp
nguồn, làm mát) sẽ ngang bằng, rồi vượt quá chi phí mua sắm trang thiết bị CNTT
khi mà cấp nguồn và làm mát chiếm phần lớn ngân sách dành cho CNTT.
2
Chính vì vậy, việc nghiên cứu giải pháp mạng cho TTDL của Ngân hàng là
yếu tố quyết định để đảm bảo tới khách hàng sự cam kết cung cấp các dịch vụ
nhanh chóng, an toàn, ổn định và hiệu quả.
Xuất phát từ những cơ sở khoa học và thực tiễn đó, em đã quyết định chọn
đề tài: "Nghiên cứu Kiến trúc hệ thống mạng và bảo mật TTDL áp dụng cho
Ngân hàng An Bình" cho luận văn tốt nghiệp.
Nghiên cứu lý thuyết: Kiến trúc công nghệ mạng và bảo mật TTDL, kết hợp
thực tiễn khảo sát, phân tích, đánh giá tình hình triển khai các giải pháp xây dựng hệ
thống mạng và bảo mật TTDL đáp ứng nhu cầu phát triển CNTT hiện nay của các
nước trên thế giới và tại Việt Nam.
Đồng thời dựa trên cơ sở những kinh nghiệm đã tích lũy được trong thời gian
qua. Từ đó, đề xuất xây dựng hệ thống mạng và bảo mật TTDL đảm bảo sự phát
triển bên vững cung cấp nền tảng hạ tầng ổn định, an toàn bảo mật cho hệ thống
CNTT của Ngân hàng An Bình. Vơi nội dung gồm 3 chương sau:
Chương 1. Tổng quan hệ thống mạng TTDL.
Chương 2. Một số nguyên tắc xây dựng kiến trúc Mạng và Bảo mật TTDL.
Chương 3. Ứng dụng kiến trúc mạng & bảo mật cho TTDL ABBANK.
Em xin chân thành cảm ơn thầy giáo TS. Đặng Hoài Bắc đã nhiệt tình
hướng dẫn em, các cán bộ kỹ thuật Ngân hàng TMCP An Bình đã tạo mọi điều kiện
thuận lợi và có những đóng góp quý báu để em có thể hoàn thành đề tài. Trong đề
tài này chắc không thể tránh khỏi các thiếu sót. Em mong nhận được mọi ý kiến
đóng góp để hoàn thiện hơn nữa nội dung nghiên cứu.
Người thực hiện đề tài xin chân thành cảm ơn!
3
Chương 1 - TỔNG QUAN HỆ THỐNG MẠNG TRUNG TÂM
DỮ LIỆU.
1.1. Giới thiệu.
Trong chương 1 này em sẽ đi vào việc gới thiệu tổng quan về hệ thống mạng
TTDL và một số các vấn đề đặt ra đối với TTDL, những thách thức của các nhà
quản lý TTDL, đồng thời miêu tả các yêu cầu đặt ra đối với hệ thống mạng bảo mật
TTDL như: yêu cầu chức năng, năng lực xử lý, tính sẵn sàng, độ ổn định. Và đi tới
miêu tả sơ lược kiến trúc mạng từng vùng trong bức tranh tổng thể hệ thống mạng
TTDL
1.2. Các vấn đề đặt ra đối với TTDL.
Đối với bất kỳ một công ty, doanh nghiệp hay một tổ chức nào, TTDL chính
là trái tim của hệ thống Công nghệ Thông tin. Một trong những mục tiêu hết sức
quan trọng của TTDL là có được một cơ sở hạ tầng thống nhất, có khả năng phối
kết hợp chặt chẽ các công nghệ ứng dụng, công nghệ mạng, công nghệ lưu trữ và
công nghệ tính toán.
1.3. Các yêu cầu hệ thống mạng TTDL
1.3.1. Chức năng (Functionality)
Với thiết kế kiến trúc mạng SONA và module hóa từng chức năng, các yêu
cầu cụ thể được đề ra đều được đảm bảo rõ trên thiết kế hạ tầng mạng.
- Lớp cơ sở hạ tầng mạng (Networked Infrastruture Layer)
- Lớp các dịch vụ tương tác (Interactive Services Layer)
- Lớp các dịch vụ mạng ứng dụng (Application Networking Services).
1.3.2. Năng lực xử lý (Performance)
Do tính chất phức tạp khi tính toàn Năng Lực Xử Lý, người ta sẽ tập trung
vào 3 yếu tố ảnh hưởng mà liên quan tới Năng Lực Xử Lý nhất để có thể nhận biết
được một mạng, đó là:
- Thời gian đáp ứng (Responsiveness)
- Thông lượng (Throughtput)
4
- Tối ưu sử dụng (Utilization)
1.3.3. Khả năng mở rộng (Scalability).
Mở rộng mềm là một điểm cũng khá là quan trọng. Người quản trị mạng sẽ
phải có khả năng dự đoán được sự mở rộng của mạng để từ đó có thể xác định loại
giao thức định tuyến sẽ được sử dụng trên mạng (nhằm tránh việc thay đổi giao thức
định tuyến rất phức tạp) và có một quy hoạch về địa chỉ IP (IP Plan) phù hợp nhất
với hệ thống mạng.
1.3.4. Độ ổn định (Availability).
Kiến trúc mạng TTDL hỗ trợ các doanh nghiệp một chiến lược toàn diện
nhằm đảm bảo tính liên tục trong kinh doanh. Đảm bảo tính kiên cường, mau phục
hồi của kho dữ liệu:
- Công nghệ kết nối WAN/MAN giữa các TTDL với tốc độ cao, độ trễ thấp.
- Các công nghệ kéo dài mạng lưu trữ (SAN Extension).
- Loại bỏ điểm chết của hệ thống máy chủ (Single-Point of Server Failure).
- Mạng riêng ảo (VPN - Virtual Private Network).
- Hệ thống lựa chọn TTDL (Global Site Selector).
- Độ ổn định (Độ sẵn sàng) được tính toán như sau:
Availability(Intrinsic) A i = MTBF / (MTBF + MTTR)
1.3.5. Khả năng bảo mật
Các giải pháp bảo mật phải được triển khai trên nhiều lớp tại TTDL: Bảo mật
hạ tầng, bảo mật thông tin, Quản trị/quy trình/chính sách, kiểm toán.
1.3.6. Khả năng quản lý (Manageability).
Hệ thống mạng chỉ có thể được vận hành hiệu quả nếu được quản lý tốt. Khả
năng quản lý cần đảm bảo các nội dung sau:
- Quản lý lỗi (Fault Management).
- Quản lý cấu hình (Configuration Management).
- Kiểm toán hệ thống (Accounting Management)
- Quản lý hiệu năng (Performance Management).
- Quản lý an ninh (Security Management).
5
1.4. Kiến trúc tổng quan các vùng trong TTDL.
1.4.1. Hệ thống mạng máy chủ (Server Farm Network).
Đề xuất TTDL một cơ sở hạ tầng mạng IP xây dựng dựa trên hệ thống
chuyển mạch thông minh bằng cách cho phép chuyển mạch lưu trữ thông qua
chuyển mạch IP, tăng cường sức mạnh cơ sở hạ tầng mạng IP cho TTDL.
Khả năng tích hợp trực tiếp các dịch vụ quan trọng, mang tính sống còn đối
với TTDL, như Firewall, IPS, Server Load Balancing, SSL Off-load…
1.4.2. Mạng lưu trữ (SAN - Storage Area Network).
Xu hướng công nghệ đang chuyển dần từ hệ thống lưu trữ trực tiếp DAS
(Direct-Attached Storage) sang hệ thống lưu trữ theo công nghệ SAN (Storage Area
Network) nhằm nâng cao khả năng mở rộng và mức độ thông minh của hệ thống.
1.4.3. Mạng kết nối các TTDL
Khi xu hướng xây dựng TTDL tập trung ngày càng được củng cố và phát
triển thì việc giảm thiểu thời gian gián đoạn, xảy ra sự cố bằng việc xây dựng TTDL
dự phòng và thiết lập kết nối giữa TTDL chính và TTDL dự phòng càng trở nên
quan trọng hơn bao giờ hết.
1.5. Kết luận.
Chương 1 đã đi qua giới thiệu tổng quan hệ thống mạng TTDL, đồng thời
nêu lên những khó khăn thách thức của các nhà quản lý TTDL, đưa ra các yêu cầu
trong việc thiết kế hệ thống mạng TTDL, cũng như đưa ra một số phân tích về kiến
trúc các phân vùng mạng và bảo mật trong TTDL giúp bạn đọc có thể hình dung
bức tranh tổng thể hệ thống mạng TTDL.
6
Chương 2 - MỘT SỐ NGUYÊN TẮC XÂY DỰNG KIẾN
TRÚC MẠNG VÀ BẢO MẬT TRUNG TÂM DỮ LIỆU.
2.1. Giới thiệu
Kiến trúc mạng TTDL cung cấp nền tảng có khả năng mở rộng, cho phép các
TTDL có thể áp dụng và triển khai các công nghệ và hệ thống truyền thống cũng
như các công nghệ và hệ thống mới, đang phát triển mạnh, đảm bảo sự bền vững,
tính sẵn sàng và khả năng mở rộng.
2.2. Nguyên tắc chung xây dựng hệ thống mạng.
2.2.1. Kiến trúc mạng theo mô hình phân cấp.
Hiện nay có rất nhiều mô hình đang được áp dụng và triển khai trên thế giới
song mô hình mạng phân cấp và thiết kế theo phân hệ hóa được nghiên cứu và phát
triển hơn.
2.2.2. Kiến trúc mạng theo mô hình dự phòng.
Việc thực hiện thiết kế dự phòng sẽ giúp tránh được trường hợp khi có 1
điểm trên hệ thống bị sự cố và ngưng hoạt động sẽ làm ngưng trệ toàn bộ hệ thống.
Do đó, đối với các thiết bị quan trọng, có ảnh hưởng nhiều đến hệ thống cần phải
được áp dụng các biện pháp dự phòng.
2.2.3. Kiến trúc mạng Ảo hóa.
Khi xây dựng TTDL, bước tiếp theo của việc tập trung hóa (Data Center
Consolidation) là bước thực hiện ảo hóa TTDL (Data Center Virtualization). Giai
đoạn ảo hóa này cho phép người quản trị TTDL có thể tạo ra các lớp ảo, trừu tượng
giữa các ứng dụng, hệ thống máy chủ và cơ sở hạ tầng mạng.
Ảo hóa TTDL là việc tạo ra một thực thể logic từ các thực thể vật lý, hoặc là
tạo ra nhiều thực thể logic từ một thực thể vật lý. Ảo hóa mở ra khả năng tận dụng
một cách tối ưu nguồn tài nguyên hệ thống, hay nói cách khác là tăng hiệu suất sử
dụng của hệ thống.
2.2.4. Kiến trúc mạng Module hóa
7
Hệ thống mạng được phân chia theo các khối chức năng và các khu vực rõ
ràng. Các khối chức năng riêng biệt (Core , Management, Edge...)
Việc module hóa hệ thống đảm bảo dễ dàng cho việc quản trị, vận hành,
nâng cấp, thay đổi…Việc thay đổi, nâng cấp bên trong mỗi khối không gây ảnh
hưởng đến các khối khác. Với mỗi khối chỉ quan tâm đến các khu vực còn lại trên
khía cạnh giao diện vật lý giao tiếp và dịch vụ cung cấp.
2.3. Kiến trúc hệ thống mạng TTDL
Mô hình Enterprise Composite Network chia hệ thống mạng thành 3 phân
vùng chức năng vật lý cũng như luận điểm khác nhau gọi là 03 phân hệ Enterprise
Campus, Enterprise Edge và Service Provider Edge.
Hình 2.5 Mô hình Enterprise Composite Network
2.3.1. Phân hệ mạng Campus
Đây là phân hệ cung cấp hệ thống mạng có hiệu năng, tính sẵng sàng và độ
tin cậy cao. Phân hệ này chứa các thành phần mạng cần thiết có thể hoạt động một
cách độc lập bên trong một phân khu địa lý nào đó với mỗi một phân khu địa lý có
thể định nghĩa là một tòa nhà hay nhiều tòa nhà liên kết vật lý hoặc liên kết ảo với
nhau. Cấu trúc mạng thiết kế theo dạng module và chia làm 3 lớp rõ ràng bao gồm:
lớp distribution, lớp core và lớp access, nhiệm vụ và chức năng của từng lớp như
sau:
8
2.3.1.1. Lớp Core Network
Lớp này sẽ bao gồm các thiết bị chuyển mạch thông minh với năng lực xử lý
nhanh, có khả năng hoạt động ở nhiều lớp trong mô hình 7 lớp OSI.
2.3.1.2. Lớp Distribution Network
Lớp Distribution network sẽ làm trung gian kết nối giữa Lớp Core và Lớp
Access với sự hỗ trợ của các thiết bị chuyển mạch có cấu hình tương đối, hoạt động
được ở nhiều lớp trong mô hình OSI. Chức năng chính của Lớp Distribution là thực
hiện các tính toán, phân bố kết nối vào hệ thống cho Lớp Access dựa trên các chính
sách phân quyền chung được nhà quản trị đề ra
2.3.1.3. Lớp Access Network
Lớp Access sẽ có nhiệm vụ chủ yếu là cung cấp kết nối cho người dùng đầu
cuối vào hệ thống ở các tốc độ 10/100/1000 Mbps và một số máy chủ có kết nối
10Gbps.
2.3.2. Phân hệ mạng biên (Enterprise Edge).
Phân hệ này dùng để tập trung các kết nối từ nhiều thành phần khác nhau tại
vùng biên của mạng Enterprise. Chức năng chính của phân hệ mạng biên cho phép
lọc các dòng dữ liệu từ các vùng biên của phân hệ và định tuyến vào phân khu chức
năng tương ứng mạng Campus. Phân hệ Enterprise Edge được cấu thành bởi 04
phân hệ con như sau:
2.3.2.1. Phân vùng kết nối Internet
Phân hệ này sẽ bao gồm các thiết bị như sau: Hệ thống router kết nối
Internet. Phân hệ firewall. Hệ thống IPS. Hệ thống máy chủ web và mail. Hệ thống
switch.
2.3.2.2. Phân vùng kết nối tới đối tác (Extranet Network)
Phân hệ Extranet được dùng để kết nối tới các đối tác như công ty chứng
khoán, sàn vàng, SBV, liên minh thanh toán thẻ, thanh toán đối soát và bù trừ.
9
2.3.2.3. Phân vùng kết nối mạng diện rộng WAN
Phân hệ này có chức năng cung cấp các kết nối đến các chi nhánh, văn phòng
của doanh nghiệp. Hệ thống router sẽ cung cấp các đường kết nối cho các chi nhánh
cấp 1, đường kết nối với các chi nhánh, văn phòng được dùng là đường kết nối số
liệu trực tiếp và yêu cầu có dự phòng đường truyền. Nếu xảy ra sự cố, mọi thông
lượng sẽ được chuyển sang đường kết nối dự phòng.
2.4. Kết luận.
Chương 2 đã đi phân tích kiến trúc mạng của TTDL với tảng vững mạnh có
khả năng mở rộng, về những nguyên tắc chung xây dựng hệ thống mạng như: kiến
trúc theo mô hình phân cấp, dự phòng, ảo hóa, module hóa; từ đó đi đến phân tích
chuyên sâu làm rõ kiến trúc của từng phân vùng trong mô hình hệ thống mạng và
bảo mật của TTDL, đặt cơ sở nền móng cho công việc xác định mô hình thiết kế áp
dụng cho ABBANK ở chương tiếp theo.
10
Chương 3 – ỨNG DỤNG KIẾN TRÚC MẠNG VÀ BẢO MẬT
CHO TTDL ABBANK.
3.1. Giới thiệu.
Như đã phân tích ở trên, hệ thống mạng phải được thiết kế dựa trên các tiêu
chí, tiêu chuẩn quốc tế (phân cấp, dự phòng, Module hóa, Ảo hóa).
3.2. Thiết kế hệ thống mạng TTDL
3.2.1. Mô hình thiết kế.
Hình 3.1 Mô hình tổng thể hệ thống mạng TTDL
3.2.2. Thuyết minh kỹ thuật cho các phân hệ.
3.2.2.1. Thuyết minh kỹ thuật vùng Internet
3.2.2.1.1. Phân tích lưu lượng đi từ ABBank ra Internet.
Với lưu lượng đi ra Internet em sẽ thiết kế để gửi traffic ra đường 02 đường
Internet FTTH. Khi thiết kế cho traffic được gửi ra Internet, cần định nghĩa loại
11
traffic nào sẽ được ra Internet kết hợp sử dụng giải pháp cân bằng tải mức gateway.
Ở đây em sẽ sử dụng giao thức GLBP (Gateway LoadBalancing Protocol) trên các
Router kết nối ra Internet.
3.2.2.1.2. Phân tích lưu lượng đi từ Internet vào.
Như đã đề cập trước thì lưu lượng đi từ Internet vào sẽ thông qua 02 đường
Leased Line dành riêng cho các dịch vụ được public ra Internet là VPN, Swift,
Website, Internet Banking…
Khi xây dựng hệ thống định tuyến Internet trung tâm tại TTDL ABBANK
bằng mô hình Multi-Homing thông qua nhiều kênh kết nối đến các nhà cung cấp
dịch vụ ISP thì kế hoạch triển khai bảng định tuyến để kết nối đến các ISP tuỳ thuộc
vào chính sách và sự hỗ trợ của các ISP sở tại. Với giải pháp kết hợp trên sẽ giúp
cho hệ thống định tuyến Internet trung tâm tại ABBank được xây dựng với kiến trúc
dự phòng hoàn chỉnh. Mô hình kết nối của giải pháp sẽ được minh hoạ tổng quát
qua sơ đồ kết nối vật lý như sau:
3.2.2.1.3. Giải pháp chia tải cho hệ thống internet.
Cơ chế hoạt động của sự chia tải Load Sharing trong môi trường mạng kết
nối với 2 ISP của hệ thống định tuyến Internet trung tâm tại ABBank thông qua
giao thức BGP được minh hoạ qua sơ đồ kết nối tổng quát như sau:
Hình 3.7 Mô hình cấu hình BGP Load Sharing
12
3.2.2.2. Thuyết minh kỹ thuật cho vùng mạng đối tác (Module Extranet)
Trong Module này các thành phần sử dụng đều được thiết kế chạy dự phòng,
lưu lượng dữ liệu trước khi vào mạng sẽ được kiểm soát bởi hai Firewall có thể
ngăn chặn ngay từ bên ngoài những phần tử truy cập vào mạng với ý định xấu.
3.2.2.3. Thuyết minh kỹ thuật cho vùng mạng WAN (Module WAN).
Theo như phân tích ở trên, hệ thống mạng được thiết kế theo mô hình phân
cấp, ở phần này tập trung phân tích yêu cầu cho Module WAN đó là : tách hệ thống
Core Router ra khỏi hệ thống Router đấu nối xuống các chi nhánh, phòng giao dịch
và máy ATM (WAN module). Để làm được như vậy, em cũng phân cấp hệ thống
WAN thành 03 mức là Core, Distribution và Access.
3.2.2.3.1. Vùng mạng diện rộng lõi (Module WAN Core)
Hiện tại, mạng truyền dẫn core của hệ thống bao gồm các thiết bị định tuyến
đặt tại hội sở chính tại Hà Nội và hai trung tâm miền tại Đà Nẵng và thành phố Hồ
Chí Minh.
Thực hiện truyền dữ liệu bằng IP Routing Layer-3 trên lớp mạng Backbone.
Router nhận dạng các backbone peer dựa trên địa chỉ IP Address kết hợp với định
tuyến lớp 3 thông minh.
3.2.2.3.2. Phân vùng mạng diện rộng phân phối (Module WAN Distribute)
Cung cấp kết nối cho lớp Access để giảm tải cho Core Router Thực hiện
truyền dữ liệu bằng IP Routing Layer-3 lên lớp mạng Backbone.
3.2.2.3.3. Phân vùng mạng diện rộng truy nhập (Module WAN Access)
Lớp mạng WAN lớp Access là lớp mạng tại các chi nhánh Ngân hàng. Lớp
mạng này kết nối trực tiếp về lớp Distribution tại các TTDLMô hình thiết kế tại một
điểm (một chi nhánh) trong lớp Access.
3.2.2.4. Thuyết minh kỹ thuật phân hệ mạng người dùng (Campus
network).
Đây là vùng mà dùng để kết nối tới toàn bộ người dùng và kết nối tới hệ
thống máy chủ. Như đã được trình bầy, hệ thống được thiết kế phân cấp: Core,
13
Distribution, Access. Vấn đề đặt ra cho Module này liên quan tới lớp 2 là chủ yếu
như VLAN, STP, VTP….
3.2.2.4.1. Thuyết minh các hoạt động của lớp 2.
Dự kiến số lượng thiết bị truy nhập dành cho người dùng là rất lớn, do vậy
đề xuất sử dụng dòng thiết bị hỗ trợ PoE (cho IP Phone). Ở hình 3.13, ta có thể hình
dung như sau: frame từ HostA đến HostC sẽ ngẫu nhiên chọn Link 1 hoặc Link 2
tuỳ vào thuật toán Hash.
Hình 3.13 Mô hình chia VLAN và kết nối Etherchanel
Một câu hỏi được đặt ra khi chúng ta sử dụng nhiều đường kết nối lên Switch
distribution chính là: liệu có tồn tại một quá trình loop các frame trên hệ thống và
hậu quả là tạo thành “broadcast storm” không? Câu trả lời là: “Có” do có rất nhiều
các đường link nên tạo bảng MAC trên Switch sẽ ghi lại thành một địa chỉ MAC
nguồn trên nhiều cổng Switch khác nhau. Để giải quyết vấn đề loop này, toàn bộ
các thiết bị mặc định đã được sử dụng tính năng Spanning-tree.
Hình 3.14 Mô hình tổng quan của STP
14
Bên cạnh những tính năng dự phòng cho đường link giữa switch access và
switch distribution, em sẽ sử dụng thêm một số các tính năng ưu việt khác như Port
Fast, BPDU Gurad, Root Guard, Loop Guard, Backbone Fast….
3.2.2.4.2. Thuyết minh bảo mật thiết bị mạng người dùng.
Một vài phương án bảo mật tại Module này có thể được liệt kê như sau:
- Sử dụng 802.1x Authentication
- Sử dụng Dynamic ARP Inspection
- Sử dụng Port Security
- Sử dụng Private VLAN
- Sử dụng Storm-Control.
- Sử dụng DHCP Snooping
3.2.2.5. Thuyết minh kỹ thuật cho vùng Mạng Lõi (Module Core).
Phân vùng Mạng Lõi tại ABBANK được dùng làm trung tâm để kết nối tới
toàn bộ các vùng khác trên mạng.
3.2.2.5.1. Tối ưu hóa chuyển mạch
Để tối ưu xử lý theo kiến trúc chuẩn và tận dụng năng lực xử lý của thiết bị,
thiết bị Mạng Lõi core sẽ chia thành các thiết bị ảo khác nhau. Đồng thời sử dụng
công nghệ FCoE chuyển mạch lưu trữ trên nền Ethernet kết hợp với VDC để chia
thiết bị chuyển mạch mạng lõi thành phân vùng chuyển mạch cho lưu trữ theo mô
hình 3.19 dưới đây
Hình 3.19 Mô hình ảo hóa thiết bị chuyển mạch mạng lõi
15
Như chúng ta đã biết, giới hạn lớn nhất của công nghệ Etherchannel đó là nó
chỉ hoạt động giữa 2 thiết bị. Và khi sử dụng STP giữa các Switch do cơ chế chống
loop của STP nên dữ liệu chỉ chạy qua một kết nối từ cổng fowarding, cổng còn lại
sẽ ở trạng thái block, do đó không tận dụng được tất cả các kết nối uplink giữa các
switch. Để giải quyết vấn đề này đề xuất sử dụng giải pháp vPC thay thế cho STP
như vậy dữ liệu sẽ được loadbalacing trên cả 2 đường, không chỉ cho phép tận dụng
được tối đa khả năng của các đường truyền cũng như các cổng trên switch mà vPC
còn cho phép thời gian hội tụ rất nhanh khi một trong các kết nối vPC bị lỗi. Vậy
trong mô hình kết nối hình tam giác, một thiết bị kết nối tới 2 thiết bị khi đó công
nghệ vPC ( virtual PortChannel ) giúp chạy Multichassis Etherchannel và ngăn chặn
xảy ra loop trong hệ thống mạng.
Hình 3.20 Mô hình giải pháp kết nối vPC
3.2.2.5.2. Tối ưu hóa định tuyến
Giao thức định tuyến dự định được sử dụng sẽ là OSPF, công thức tính
Metric cho OSPF sẽ là:
Metric = ReferenceBandwidth/Bandwidth (trong đó giá trị mặc định của
Reference Bandwidth mà OSPF sử dụng 108)
Vậy nên, nếu các đường link chỉ hoạt động ở tốc độ 100Mbps thì OSPF sẽ
tính toán chính xác. Và chúng ta sẽ có Metric như sau:
Metric = 108/100.000.000 = 1
Tuy nhiên, nếu tốc độ lớn 100 Mbps thì kết quả sẽ ra sao? Lúc đó, OSPF sẽ
coi toàn bộ những đường link với tốc 100Mbps, 1Gbps, 10Gbps là như nhau. Do
vậy, OSPF sẽ không đưa ra được tuyến đường tối ưu nhất. Ứng dụng cơ chế hoạt
16
động này của OSPF vào thiết kế hệ thống mạng, em xin đưa ra phương án thay đổi
cách thức tính toán của OSPF trên mạng để có thể tối ưu được băng thông 1Gbps,
10Gbps bằng cách sử dụng Reference Bandwidth là 1011 (hay 100.000.000.000).
Lúc đó OSPF sẽ tính toán Metric chính xác hơn. Lấy vị dụ:
Metric cho đường tốc độ 100Mbps là: 1011/100.000.000= 1000
Metric cho đường có tốc độ 1Gbps là: 1011/1.000.000.000 = 100
Metric cho đường có tốc độ 10Gbps là: 1011/10.000.000.000 = 10
Với việc phân biệt được Metric khác nhau trên các đường link khác nhau sẽ
giúp cho OSPF hoạt động chính xác hơn.
3.2.2.5.3. Tối ưu hóa bảo mật thiết bị mạng lõi.
Như đã phân tích ở nhiều mục trước, Module Core được thiết kế sao cho tối
ưu hóa được khả năng chuyển mạch và định tuyến.
- Lớp hai: Database VLAN sẽ được cấu hình password để chống lại việc
đồng bộ trái phép.
- Lớp ba: Giao thức OSPF sẽ được yêu cầu xác thực MD5.
3.2.2.5.4. Tối ưu hóa dự phòng cho gateway
Đề giải quyết vấn đề down Gateway, người ta đã xây dựng một thuật toán tự
động chuyển đổi Gateway khi một trong các gateway bị down. Có rất nhiều giao
thức dự phòng dành cho Gateway mà các thiết bịi hỗ trợ chính là HSRP, VRRP,
GLBP, IRDP. Tuy nhiên, với hệ thống mạng tại ABBank em đề xuất sử dụng GLBP
làm giao thức dự phòng cho Gateway. Em sẽ phân tích kết nối tới một Module làm
ví dụ để có thể hình dung được cơ chế hoạt động của giao thức dự phòng này.
3.2.2.6. Thuyết minh kỹ thuật phân vùng mạng Lưu trữ.
Hệ thống lưu trữ: bao gồm các thiết bị lưu trữ, hệ thống máy tính, hay các
ứng dụng chạy trên nó, và một phần rất quan trọng là các phần mềm điều khiển, quá
trình truyền thông tin qua mạng.
17
3.2.3. Tính toán phân hoạch IP
3.2.3.1. Nguyên tắc phân hoạch địa chỉ IP.
Nhằm hỗ trợ tối đa khả năng mở rộng của hệ thống, sử dụng địa chỉ lớp A
(10.0.0.0 – 10.255.255.255) để phân chia cho toàn bộ hệ thống mạng.
3.2.3.2. Dự kiến quy hoạch lớp mạng của TTDL.
Theo tính toán sử dụng lớp mạng A để làm dải mạng quy hoạch cho toàn bộ
hệ thống mạng ABBANK
- Lớp mạng: 10.0.0.0/8
- Subnet: 255.0.0.0.
- Host Range: 10.0.0.1 tới 10.255.255.254.
Trong đó phân hoạch cụ thể được thiết kế theo hình cây lấy lớp mạng gốc là
lớp A và phân xuống cho Khu vực và cho TTDL, mạng LAN cho các chi nhánh,
ATM, địa chỉ mạng WAN tới Chi nhánh, ATM như bảng 3.1 sau:
Bảng 3.1 Bảng phân hoạch địa chỉ IP.
STT Địa chỉ IP SubNetMask Ghi chú
10.0.0.0/8 255.0.0.0 Lớp mạng toàn bộ hệ thống.
I 10.0.0.0/11 255.224.0.0 Địa chỉ dùng cho Miền Bắc
I.1 10.0.0.0/16 255.255.0.0 Địa chỉ dùng cho KV Hà Nội&TTDL
I.1.1 10.0.0.0/18 255.255.192.0 TTDL Hà Nội
I.1.1.1 10.0.0.0/19 255.255.224.0 Địa chỉ IP mạng và bảo mật tại TTDL
1 10.0.0.0/24 255.255.255.0 subnet zero
2 10.0.1.0/24 255.255.255.0 VLAN 1 Quản trị thiết bị mạng
3 10.0.2.0/24 255.255.255.0 VLAN 2 Kết nối phân vùng WAN
… …….. …….. …………….
31 10.0.31.0/24 255.255.255.0 Dự phòng
I.1.1.2 10.0.32.0/19 255.255.224.0 Lớp mạng cho Máy chủ TTDL
1 10.0.32.0/24 255.255.255.0 subnet zero
… …….. ………… …………………………
18
31 10.0.63.0/24 255.255.255.0 Dự phòng
I.1 10.1.0.0/16 255.255.0.0 Chi nhánh tỉnh 1
…….. ………………. ……….. ………………..
I.31 10.31.0.0/16 255.255.0.0 Chi nhánh tỉnh 31
II 10.32.0.0/11 255.224.0.0 Địa chỉ dùng cho KV Miền Nam
III 10.64.0.0/11 255.224.0.0 Địa chỉ dùng cho KV Miền Trung
IV 10.96.0.0/11 255.224.0.0 Địa chỉ dùng cho mạng WAN
IV.1 10.96.0.0/16 255.255.0.0 WAN chính
IV.2 10.100.0.0/16 255.255.0.0 WAN dự phòng
3.2.4. Thiết kế hệ thống an ninh tại TTDL.
3.2.4.1. Mô hình thiết kế hệ thống an ninh mạng TTDL.
Đảm bảo an ninh thông tin là một yêu cầu rất quan trọng đối với hệ thống
mạng của ngân hàng. Hệ thống cần đảm bảo an toàn thông tin từ trong ra ngoài, từ
ngoài vào trong, và từ vùng biên mạng tới vùng lõi mạng. Hạ tầng bảo mật đảm
bảo tính toàn vẹn, tính sẵn sàng, an toàn, được chia thành các miền an ninh như
sau:
- Miền an ninh thiết bị người sử dụng
- Miền an ninh phân vùng mạng truy nhập.
- Miền an ninh phân vùng mạng lõi.
3.2.4.2. Thuyết minh thiết kế hệ thống an ninh mạng
3.2.4.2.1. Bảo mật tại lớp mạng biên.
Phân hệ mạng biên bao gồm những phân vùng: WAN, Extranet (partners),
Internet, DMZ. Đây là miền quan trọng tham gia vào tất cả các dịch vụ và cũng là
miền tiềm ẩn nhiều nguy cơ nhất.
Để giải quyết các vấn đề trên kiến nghị sử dụng giải pháp bảo mật là sự kết
hợp các hệ thống khác nhau như: Firewall, Proxy, Web Sercurrity Gateway, IPS,
DLP, Web Application Firewall để đảm bảo an toàn các ứng dụng của Ngân hàng.
19
3.2.4.2.2. Bảo mật mạng lõi.
Vùng mạng lõi nơi ngăn cách giữa hệ thống vùng máy chủ quan trọng
(Server farm) và vùng mạng biên, do vậy rất cần xây dựng hệ thống bảo mật với sự
kết hợp giữa tường lửa, IPS, hệ thống nhận dạng truy nhập để kiểm soát truy cập từ
vùng mạng biên vào vùng mạng lõi và kiểm soát truy cập của người sử dụng các
ứng dụng, dịch vụ được cài đặt trên các máy chủ trong vùng server farm.
Kiến nghị sử dụng hệ thống bảo mật vùng mạng lõi với nhiều lớp bảo vệ, và
của hãng khác so với giải pháp bảo mật cho phân hệ mạng biên :
- Lớp Firewall
- Lớp IPS
3.2.4.2.3. Bảo mật mức người dùng (mạng truy nhập).
Bảo mật mức người dùng (mạng truy nhập) là yếu tố quan trọng giúp giảm
nguy cơ an ninh an toàn thông tin, kiến nghị sử dụng phần mềm tường lửa, diệt
virus được cài đặt trên máy người dùng, kết hợp với việc xác thực thông qua AD –
Active Directory để quản trị tập trung. Đồng thời kết hợp với triển khai giải pháp
kiểm soát truy nhập mạng (NAC - Network Access Control).
3.2.5. Thiết kế và tối ưu hóa định tuyến cho mạng ABBANK
3.2.5.1. Vai trò của việc định tuyến
Định tuyến là chức năng cơ bản của Router nhằm đưa gói tin tới mạng đích
theo yêu cầu từ mạng nguồn. Một giải pháp thiết kế định tuyến hợp lý sẽ góp phần
không nhỏ giúp làm tăng tốc độ ứng dụng trên mạng, tiết kiệm băng thông truyền,
tận dụng khả năng xử lý của Router, tăng tính dự phòng và đơn giản hóa các thao
tác quản trị.
3.2.5.2. Giải pháp sử dụng định tuyến tĩnh
Định tuyến tĩnh (static routing) là việc nhà quản trị tự xác định các mạng
đích và điểm đến tiếp (next hop) để tới mạng đích đó, có nghĩa là với một mạng
đích như vậy thì sẽ chuyển gói tin tới Router nào. Ví dụ như sau về một dòng lệnh
định tuyến tĩnh: ip route 10.192.64.0 255.255.255.0 10.65.4.1
20
Với phương pháp này nhà quản trị sẽ phải thao tác bằng tay (manual) nhập
các giá trị định tuyến vào cấu hình Router do đó sử dụng định tuyến tĩnh có một số
bất cập.
3.2.5.3. Giải pháp sử dụng định tuyến động
Định tuyến động (dynamic routing) là một giải pháp tốt cho việc giải quyết
bài toán quản lý và cập nhật route khi hệ thống mạng trở nên lớn về quy mô và số
lượng thiết bị.
3.2.5.4. Giải pháp định tuyến đối với Hệ thống mạng WAN.
Dựa trên những phân tích trên và để đáp ứng tốt nhất quy mô phát triển cũng
như hoạt động nghiệp vụ của ABBank, Đề xuất sử dụng giải pháp định tuyến động
OSPF. Về cơ bản các OSPF Area dùng cho Backbone và OSPF Area dùng cho mỗi
miền sẽ được cấu trúc như sau:
3.2.5.5. Phương án cân bằng tải và dự phòng
Như đã phân tích ở trên, hệ thống mạng của ngân hàng ABBANK sử dụng
giao thức định tuyên OSPF. Đây là giao thức định tuyến cho phép tự động cân bằng
tải và dự phòng đường truyền. Tuy nhiên, muốn OSPF có thể cân băng tải được chỉ
khi toàn bộ các đường kết nối WAN phải có giá trị Cost bằng nhau. Nếu chúng ta
manually thay đổi giá trị cost trên các đường truyền có tốc độ khác nhau để có cost
bằng nhau sẽ khiến cho quá trình load balancing không hiệu quả.
Giải pháp đưa ra là: Tạo Tunnel và cho OSPF chạy trên các Tunnel đó thay
vì chạy trực tiếp trên interface kết nối.
3.2.5.6. Phương án sử dụng tối ưu hóa đường truyền (Quality of Service).
Cách thức xây dựng QoS sẽ được tuân thủ theo 3 bước dưới đây:
- Bước 1: Xác định loại ứng dụng cần được làm QoS (hay còn gọi là
Classification).
- Bước 2: Đánh dấu các ứng dụng cần làm QoS
- Bước 3: Thiết lập policy cho các ứng dụng cần làm QoS
- Bước 4: Gán policy vào cổng giao tiếp.
21
Bảng 3.2 Phân loại dữ liệu thực hiện QoS
Loại dữ liệu Mô tả Cách thức cấu hình
Voice
Khi không cấu hình QoS cho loại
dữ liệu này một số lỗi sẽ xảy ra
như: Cuộc gọi bị disconnect, bị
méo tiếng, người nghe không biết
là người gõi đã kết thúc hay chưa
Sử dụng cách thức cấu hình là LLQ
(Low Latency Queuing).
Video
Đây là loại dữ liệu hình ảnh, nếu
không sử dụng QoS sẽ khiến cho
hình ảnh bị mất, bị trễ hoặc bị
nhòe hình….
Sử dụng cách thức cấu hình là LLQ
Data
Không yêu cầu thời gian thực,
nhưng nếu không cấu hình QoS,
hệ thống sẽ coi toàn bộ các dữ liệu
là như nhau, do vậy khi dữ liệu tới
Router sẽ được coi như nhau. Câu
hỏi được đặt ra là: Một số dữ liệu
quan trọng cần được gửi trước?
Một số dữ liệu khác cho phép trễ ?
Cách xử lý sẽ ra sao.
Có thể sử dụng LLQ cho một số
loại dữ liệu yêu cầu xử lý nhanh
như các giao dich ngân hàng, giao
dịch chuyển tiền… một số các dữ
liệu khác không đòi hỏi phải xử lý
ngay lập tức như FTP.. ta có thể sử
dụng phương án cấu hình CBWFQ
(Class-Based Weight Fair Queuing)
3.3. Kết luận
Đi từ việc phân tích những khó khăn và thách thức của hệ thống mạng và bảo
mật TTDL đối với các doanh nghiệp và nhà quản trị mạng ở chương 1, hay những
phân tích về kiến trúc mạng theo các tiêu chí, tiêu chuẩn quốc tế của từng thành
phần trong những phân vùng mạng và bảo mật của TTDL tại chương 2 em đã đi tới
xây dựng mô hình kiến trúc mạng và bảo mật TTDL khuyến nghị áp dụng cho
ABBANK tại chương 3, trong mô hình thiết kế yêu cầu tuân thủ các nguyên tắc,
hay các tiêu chuẩn quốc tế trong việc xây dựng kiến trúc mạng TTDL như: tính sẵn
sàng, khả năng mở rộng, bảo mật, …cùng với đó là đưa ra khuyến nghị sử dụng
giao thức định tuyến đảm bảo phù hợp, phương thức bảo mật cho từng phân vùng
22
đảm bảo có chiều sâu, và các giải pháp đảm bảo tính ổn định, sẵn sàng của hệ thống
như STP, GLBP, VPC, VDC. Từ đó hòan thiện được mô hình, giải pháp, cách thức
triển khai hệ thống mạng và bảo mật TTDL của ABBANK.
KẾT LUẬN VÀ KHUYẾN NGHỊ
Qua bài viết có thể thấy TTDL đóng vai trò tối quan trọng trong hạ tầng
Công nghệ thông tin của doanh nghiệp nói chung và của các doanh nghiệp hoạt
động trong lĩnh vực Tài chính, Ngân hàng và Bảo hiểm nói riêng. Xu hướng phát
triển của TTDL bao gồm xu hướng tập trung hóa (Consolidation), ảo hóa
(Virtualization) và tự động hóa (Automation). Khi xây dựng TTDL, ba yếu tố cốt
yếu của TTDL cần được đảm bảo, đó là khả năng bảo vệ (Protect), khả năng tối ưu
hóa (Optimization), và khả năng phát triển (Grow). Đồng thời giải pháp Trung tâm
dư liệu là sự kết hợp của rất nhiều công nghệ khác nhau, từ công nghệ mạng, công
nghệ lưu trữ đến công nghệ truyền dẫn.
Đề tài đã giới thiệu kiến trúc mạng theo các tiêu chuẩn quốc tế SONA đi tới
phân tích các phân vùng mạng trong TTDL qua đó đã kiến nghị áp dụng cho hệ
thống của ABBANK như: công nghệ ảo hóa, công nghệ FCOE, VPC, VDC và kiến
nghị sử dụng giao thức hay thuật toán nhằm nâng cao tính sẵn sàng ổn định của hệ
thống mạng kết hợp với phân tích giải pháp.
23
Đề tài cơ bản đã hoàn thành được nội dung và yêu cầu của một luận văn tốt
nghiệp thạc sĩ kỹ thuật song do thời gian thực hiện có hạn, nội dung không tránh
khỏi những thiếu sót nhất định. Tác giả mong nhận được các ý kiến đóng góp của
Hội đồng để bổ sung và hoàn thiện hơn nữa.
Một số hướng nghiên cứu tiếp theo của đề tài là:
- Nghiên cứu các giải pháp bảo mật nâng cao cho hệ thống mạng đảm bảo
an ninh an toàn dữ liệu (giải pháp phát hiện ngăn chặn truy nhập mức
host, hoàn thiện chống thất thoát dữ liệu người dùng, hòan thiện giải pháp
kiểm soát truy nhập mạng, xây dựng các hệ thống phát liện lỗ hổng bảo
mật…)
- Tiếp tục nghiên cứu tối ưu hóa hệ thống mạng: giải pháp cân bằng tải
mức mạng tới mức ứng dụng áp dụng cho nhiều TTDL, hay giải pháp tối
ưu hóa băng thông mạng...
- Tiếp tục nghiên cứu hòan thiện giải pháp chuyển mạch hội tụ (FCOE),
hay các kỹ thuật vPC, VDC là những kỹ thuật giúp khắc phục những
điểm yếu công nghệ trước đây STP.
24
DANH MỤC TÀI LIỆU THAM KHẢO
[1] Cisco Validated Design: Cisco Data Center Infrastructure 2.5 Design Guide
March 9, 2010
[2] Cisco Systems, Inc.170 West Tasman Drive San Jose, CA 95134-1706
USA: Data Center High Availability Clusters Design Guide – Nov 2005.
[3] Designing Cisco Network Service Architectures 05.08.07
[4]Guide to Intrusion Detection and Prevention Systems (IDPS)– Recommendations
of the National Institute of Standards and Technology (NIST), February 2007
[5] Mike Herbert: Evolution of the Data Center Access Architecture
[6] Internet Security Systems:
www.iss.net/products/product_sections/Server_Protection.html
[7] Intrusion Prevention Systems: the Next Step in the Evolution of IDS:
Các file đính kèm theo tài liệu này:
- td_1362122730_1362122730_3789.pdf