PHẦN I 4
LÝ THUYẾT 4
CHƯƠNG I 5
LÝ THUYẾT VỀ MẠNG 5
LAN (LOCAL AREA NETWORK) 5
I ./. CÁC KIẾN TRÚC MẠNG : 5
1.1. DẠNG ĐƯỜNG THẲNG (BUS) : 6
1.2. DẠNG VÒNG TRÒN (RING) : 7
1.3. DẠNG HÌNH SAO (STAR) 8
1.4. BẢNG SO SÁNH TÍNH NĂNG GIỮA CÁC CẤU TRÚC CỦA MẠNG LAN 10
1.5. MẠNG DẠNG KẾT HỢP : 11
II ./. PHÂN LOẠI MẠNG : 12
2.1 MẠNG CỤC BỘ (LAN): 13
2.2. MẠNG DIỆN RỘNG (WAN): 14
2.3. MẠNG CÁ NHÂN (PAN): 15
2.4. MẠNG TOÀN CẦU (GAN): 15
III ./. HỆ THỐNG CÁP MẠNG : 16
3.1. CÁP XOẮN: 16
3.2. CẮP ĐỒNG TRỤC: 17
3.3 CÁP QUANG : 18
3.4 CÁC YÊU CẦU CHO MỘT HỆ THỐNG CÁP : 19
3.5. BẢNG SO SÁNH KỸ THUẬT CÁC LOẠI CÁP : 20
IV./. HỆ THỐNG MẠNG KHÔNG DÂY : 21
4.1. THIẾT BỊ KHÔNG DÂY: 22
4.2 XÂY DỰNG MẠNG KHÔNG DÂY : 24
V./. CÁC CÔNG NGHỆ MẠNG LAN : 26
5.1. CÔNG NGHỆ CHUYỂN MẠCH THÔNG MINH (Switching): 26
5.2 CÔNG NGHỆ GIGABIT ETHERNET : 26
5.3 CÔNG NGHỆ ETHERCHANNEL: 27
5.4 CÔNG NGHỆ VLAN: 28
CHƯƠNG II 34
LÝ THUYẾT VỀ MẠNG 34
WAN (WIDE AREA NETWORK) 34
I. KHÁI NIỆM : 34
1.1. Địa phương hoạt động: 35
1.2. Tốc độ đường truyền và tỷ lệ lỗi trên đường truyền: 35
1.3. Chủ quan và điều hành của mạng: 36
1.4. Đường đi của thông tin trên mạng: 36
1.5. Dạng chuyền giao thông: 37
II. CÁC KIỂU TRUYỀN TÍN HIỆU TRONG WAN: 37
2.1. Truyền tín hiệu tương tự: 37
2.2. Trưyền tín hiệu số: 38
III. CÁC LOẠI HÌNH KẾT NỐI TRONG MẠNG WAN: 39
3.1. Kết nối dành riêng (Dedicated Connection): 39
3.2. Mạng chuyển mạch (circuit- switched network): 40
3.3. Mạng chuyển mạch gói (packet-swiched): 42
IV. CÁC DỊCH VỤ MẠNG DIỆN RỘNG: 43
4.1. PSTN: 43
4.2. Đường thuê riêng (Leased Line): 43
4.3. X.25: 44
4.4. Frame Relay: 45
4.5. ISDN (Intergrated Services Digital Network): 47
4.6. CHẾ ĐỘ TRUYỀN KHÔNG ĐỒNG BỘ ATM (Asynchoronous Trangfer Mode): 48
4.7. Đường vi sòng (Microware Links): 49
4.8. Đường vệ tinh (Satellite Links): 49
CHƯƠNG III 50
CÁC THIẾT BỊ KẾT NỐI MẠNG 50
I./. REPEATER (BỘ TIẾP SỨC): 50
II./. BRIDGE (CẦU NỐI): 52
III./. ROUTER : 57
IV./. GATEWAY (CỔNG NỐI): 60
V./. HUB (BỘ TẬP TRUNG): 62
VI./. SWITCH: 63
CHƯƠNG IV 64
THIẾT KẾ HỆ THỐNG MẠNG 64
I./. THIẾT KẾ HỆ THỐNG MẠNG LAN LOGIC: 64
II./. THIẾT KẾ HỆ THỐNG CABLING: 65
2.1./ CÁC PHƯƠNG ÁN THIẾT KẾ: 66
CHƯƠNG V 70
AN NINH MẠNG 70
I./. TẦN QUAN TRỌNG CỦA AN NINH MẠNG: 70
II./. CÁC CƠ CHẾ CHÔNG XÂM NHẬP TRÁI PHÉP: 71
III./ FIREWALL: 72
IV./ IDS – Instruction Detection System: 83
PHẦN II 85
THIẾT KẾT THI CÔNG 85
I./. TỔNG QUÁT: 86
1.1./ Đặt vấn đề: 86
1.2./ Hiện trạng hệ thống: 86
II./. YÊU CẦU DỰ ÁN: 87
2.1./ Đối tượng sử dụng: 87
2.2./ Vị trí đặt thiết bị: 87
2.3./ Kết nối thiết bị mạng: 87
2.4./ Sơ đồ đi dây mạng (giữa các tầng). 87
2.5./ Đánh số ổ tường: 87
III./. KỸ THUẬT THI CÔNG LẮP ĐẶT CHO HỆ THỐNG MẠNG: 88
3.1./ Giải pháp hệ thống mạng tập trung: 88
3.2./ Giải pháp hệ thống mạng phân tán: 89
3.3./ Sơ đồ đi dây mạng giữa các tầng: 91
3.4./ Yêu cầu dự án: 91
3.5./ Quá trình thi công hệ thống Cable mạng được thực hiện đảm bảo theo đúng các yêu cầu kỹ thuật: 91
3.6./ Sơ đồ logic hệ thống mạng toà nhà: 92
IV./. Thiết bị sử dụng: 94
4.1./ Catalyst 3548 XL: 94
4.2./ Cisco Catalyst 5509 Switch: 95
4.3./ Cisco 2621 – RPS: 98
V./. Các biên bản và cam kết khảo sát và đo lường thông số kỹ thuật mạng: 101
5.1./ Phiếu khảo sát mặt bằng: 101
5.2./ Thông tin về phòng: 103
5.3./ Biên bản tổng kết về hệ thống cáp mạng: 105
5.4./ Biên bản về node mạng: 106
KẾT LUẬN 107
HƯỚNG PHÁP TRIỂN 107
DANH MỤC TÀI LIỆU THAM KHẢO 108
109 trang |
Chia sẻ: lvcdongnoi | Lượt xem: 8653 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Xây dựng hệ thống mạng cho toà nhà cao tầng, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
hủ dộng (Active Hub): Hub chủ động có các linh kiện điện tử có thể khuyếch đại và xử lý các tín hiệu điện tử truyền giữa các thiết bị của mạng. Quá trình xử lý tín hiệu được gọi là tái sinh tín hiệu, nó làm cho tín hiệu trở nên tốt hơn, ít nhạy cảm với lỗi do vậy khoảng cách giữa các thiết bị có thể tăng lên. Tuy nhiên những ưu điểm đó cúng kéo theo giá thành của Hub chủ động cao hơn nhiều so với Hub bị động. Các mạng Token ring có xu hướng dùn Hub chủ động.
* Hub thông minh (Intelligent Hub): Cũng là Hub chủ động nhưng có thêm các chức năng mới so với loại trước, nó có thể có bộ vi xử lý của mình và bộ nhớ mà qua đó nó không chỉ cho phép điều khiển hoạt động thông qua các chương trình quản trị mạng mà nó có thể hoạt độngk như bộ tìm đường hay một cầu nối. Nó có thể cho phép tìm đường cho gói tin rất nhanh trên các cổng của nó, thay vi phát lại gói tin trên mọi cổng thì nó có thể chuyển mạch để phát trên một cổng có thể nối tới trạm đích.
VI./. SWITCH:
Switch đôi khi được mô tả như là một Bridge có nhiều cổng. Trong khi một Bridge chỉ có 2 cổng để liên kết được 2 segment mạng với nhau, thì Switch lại có khả năng kết nối được nhiều segment lại với nhau tuỳ thuộc vào số cổng (port) trên Switch. Cũng giống như Bridge, Switch cũng "học" thông tin của mạng thông qua các gói tin (packet) mà nó nhận được từ các máy trong mạng. Switch sử dụng các thông tin này để xây dựng lên bảng Switch, bảng này cung cấp thông tin giúp các gói thông tin đến đúng địa chỉ.
Hình 3.12: Một dạng Switch
Ngày nay, trong các giao tiếp dữ liệu, Switch thường có 2 chức năng chính là chuyển các khung dữ liệu từ nguồn đến đích, và xây dựng các bảng Switch. Switch hoạt động ở tốc độ cao hơn nhiều so với Repeater và có thể cung cấp nhiều chức năng hơn như khả năng tạo mạng LAN ảo (VLAN).
CHƯƠNG IV
THIẾT KẾ HỆ THỐNG MẠNG
I./. THIẾT KẾ HỆ THỐNG MẠNG LAN LOGIC:
Hệ thống mạng LAN sẽ phân chia logic ra thành các khối khác nhau (Block). Mỗi khối sẽ được chia nhỏ hơn theo các phân đoạn khác nhau (segment). Mục đích của việc phân chia này nhằm:
* Tối ưu hoá hiệu năng của hệ thống: Việc truyền dữ liệu giữa nội bộ một khối mạng không làm ảnh hưởng nhiều đến băng thông của khối mạng khác Ví dụ như khi một nhóm người sử dữ liệu hoặc copy dữ liệu lẫn nhau thì không ảnh hưởng đến nhóm người sử dụng khác truy xuất thông tin cở sở dữ liệu tại máy chủ hoặc nhóm người đang sử dụng Internet.
* Tăng cường an ninh cho hệ thống: Bằng việc phân chia mạng thành các khối logic khác nhau. Nhà quản trị có thể gán cho mỗi khối mạng một mức bảo mật nhất định và nhờ vậy ngăn ngừa khả năng khai thác những lỗ hổng an ninh trên mạng. Cụ thể như khối dành cho máy chủ sẽ được đặt mức bảo mật cao nhất và được kiểm soát chặt chẽ.
* Quản trị và xử lý dễ dàng: Nhà quản trị dễ dàng hơn trong việc xác định nút mạng đang gặp sự cố nhờ khoanh vùng theo đoan mạng logic của khối mạng đó. việc xử lý lỗi nhờ đó sẽ nhanh chóng hơn và không làm ảnh hưởng đến những khối mạng khác.
* Khả năng dự phòng và chia tải cao giữa các thiết bị: Giúp làm tăng giải thông cho mạng và nâng cao độ an toàn.
* Sử dụng kiến trúc Module ghép nối các thành phần trong mạng để viwcj mở rộng sẽ dễ dàng hơn cả về quy mô lân tính phức tạp của hệ thống.
Hình 4.1: mô hình các lớp mạng
Như trên ta thấy toàn hệ thống được chia ra thành các khối: Máy chủ / Người sử dụng, Internet, mạng riêng (WAN), Dịch vụ dùng chung, Quản trị mạng. Các khối này được liên kết với nhau bởi thiết bị tại Core Layer.
II./. THIẾT KẾ HỆ THỐNG CABLING:
Hệ thống cáp được thiết kế có cấu trúc theo tiêu chuẩn quốc tế (TIA/EIA - 568 B), tốc độ cao, chống nhiễu và đảm bảo không bị lạc hậu trong vài chục năm.
* Hệ thống cáp Backbone dùng cáp quang đa mốt micron: có giải thông cao, chống nhiễu và chống sét.
* Toàn bộ hệ thống cáp đến end user dùng cáp xoắn UTP Cat6, có giai thông đáp ứng tôc độ Gbps.
* Hệ thống cáp kết nối Server Farm, Router, Access Server có thể dùng cáp xoắn UTP Cat6 hoặc cáp quang đa mốt.
* Hệ thống cáp, Outlet, Patch Panel, Rack,....... được thiết kế đáp ứng sử dụng công nghệ VoIP và Video,...
* Hệ thống cáp phảp đi trong hệ thống Trunking System để đảm bảo thuận lợi cho việc nâng cấp, thay thế hay bảo dương.
Hệ thống Trunking System để đi cáp sẽ bâo gồm ba phần chính:
Vertical Trunking System: Hệ thống mạng kỹ thuật theo chiều đứng này hạy dọc theo chiều đứng của toà nhà (Thường được đặt trong buồng kỹ thuật), đi từ tầng hầm lên đến tầng trên cùng.
Horizontal Trunking System: Hệ thống mạng kỹ thuật theo chiều ngang này sẽ được chạy trên trần giả của từng tầng ( cách trần khoảng 20 – 25 cm).
Local Cable System: Hệ thống ống kỹ thuật sẽ được đặt trong tường, dọc từ trần xuống đến sàn của từng phòng để dẫn cáp từ Horizontal Trunking System đên Outlet (End User).
2.1./ CÁC PHƯƠNG ÁN THIẾT KẾ:
2.1.1. Đặt thiết bị và đi dây tập trung:
Với phương an đặt thiết bị mạng tập trung và đi dây tới các tầng, hệ thống sẽ giống như sau:
Hình 4.1: Mô hình đi dây mạng tập trung
Cáp UTP 4-pair
Hộp đấu nối
Hộp đấu nối
Hộp đấu nối
Hộp đấu nối
Hộp đấu nối
Cáp 25 -pair
Tủ phối dây tại tầng 8
Core/Access Switch
Server
Phương án đặt thiết bị tập trung là phương án tập trung tất cả các thiết bị mạng, cáp mạng về tủ mạng tại phòng an ninh và quản trị mạng với ưu điểm là rễ quản lý thiết bị tuy nhiên hơi cồng kềnh và tốc độ truyền dữ liệu không cao.
* Cáp sử dụng là cáp đồng trục nên khoảng cách tối đa cho phép giữa các điểm kết nối quy định cho loại cáp này chỉ là 100m, khi vượt quá 100m thì tín hiệu sẽ suy yếu và việc kết nối không thực hiện được.
* Không có trục Backbone: Theo quy định của những hệ thống mạng phân lớp chỉ giữa lớp Core và lớp Access của mạng phải tục kết nối Backbone tôc độ cao ( tối thiểu 1Gbps và nâng lên 10 Gbps).Với loại cáo 25 – pair như hình vẽ trên thì tốc đội kết nối không lên được 1 Gbps ( do cổng dành cho cá đồng là Autosensing 10/100/1000 nên khi sử dụng cổng tốc độ 1000Mbps thì tốc độ thực tế sẽ dao động trong mức 10Mbps đến 1000Mbps).
* Không có dự phòng và ghép kết nối: Khi cáp điện nối gặp sự cố thì hệ thống sẽ không có đường để thay thế. Việc ghép nối để chia tải cũng không thực hiện được do thiếu kết nối Backbone.
* Khó khăn hơn khi triển khai và mở rộng: Cáp 25 – pair là loại cáp có thiết diện tương đối lớn và mỗi cáp 25 – pair chỉ phục vụ được cho 6 trạm làm việc. Đối với một tầng có vài chục đến vài chăm nút mạng thì sẽ cần nhiều đầu nối cáp 25 – pair và như vậy trục Backbone sẽ phải có kích thước lớn thì mới chứa được ngần ấy đầu cáp. Và càng về đến tầng 2, số lượng đầu cáp càng nhiều do vậy rất kho khăn khi quản lý và kéo cáp. Mỗi khi muốn mở rộng mạng thêm một số nút mạng cho mỗi tầng thì phải kéo thêm đầu cáp và như vậy là không khả thi.
2.1.2. Đặt thiết bị phân tán tại các tầng:
Đề xuất thiết kế theo mô hình đặt thiết bị phân tán tại các tầng. Theo mô hình này mỗi tầng sẽ có một không gian dành riêng cho các thiết bị mạng (có thể đặt tại phòng kỹ thuật tại mỗi tầng). Kết nối từ trung tâm dữ liệu tại tầng 8 tới các thiết bị này sẽ sử dụng cáp quang loại Multimode 50 micron có khoảng cách tối đa lên được 1 km và tốc độ tối thiểu là 1 Gbps. Từ các thiết bị phân tán này sẽ kết nối tới trạm làm việc đầu cuối bằng cáp UTP 4 – pair Cat6. Từ các thiết bị phân tán này sẽ kết nối tới máy trạm làm việc đầu cuối bằng cáp UTP 4 – pair Cat6. Mô hình kết nối logic như sau:
Server
Core
Switch
Cáp quang
Multimode
Access Switch
Access Switch
Access Switch
Access Switch
Access Switch
Cáp UTP 4 – pair (Cat6)
Hình 4.1: Mô hình đi dây mạng phân tán
* Sử dụng trục Backbone cáp quang: Tốc độ cao từ 1 Gbps đến 10 Gbps, không bị nhiễu, khoảng cách kết nối lớn và điểm quan trọng là có kết nối dự phòng.
* Loại cáp từ Access Switch tới người sử dụng đầu cuối: Sử dụng loại cáp Cat6 (Catgory 6). Loại cáp này có những lớp vỏ bọc chống nhiễu đặc biệt và được thiết kế dành cho tốc độ truy nhập cao tới 1Gbps (1000 Mbps). Loại cáp Cat5 như thiết kế ban đầu không đạt được tốc đội 1000Mbps và chỉ dừng lại ở mức 1000Mbps.
* Quản lý dế dàng: Mặc dù thiết bị đặt phân tán tại các tầng nhưng vấn có thể quản lý tập trung dễ dàng từ trạm làm việc của nhà quản trị. Điều này là do những phần mềm truy quản trị mạng hiện nay được thiết kế rất thuân lợi cho nhà quản trị. Từ những màn hình làm việc của mình tại cơ quan hay thậm chí tại nhà riêng (dùng remote access), nhà quản trị có thể thay đổi cấu hình thiết bị, theo dõi hoạt động trên mạng, kiểm tra tình trang hoạt động của mạng và xem các báo cáo trực tiếp về những lỗi kết nối trên hệ thống.
CHƯƠNG V
AN NINH MẠNG
I./. TẦN QUAN TRỌNG CỦA AN NINH MẠNG:
Muốn bảo vệ một mạng khỏi những kẻ xâm nhập, ta hay tìm hiểu những nguyên nhân dẫn đến mất an toàn mạng máy tính:
* Sử dụng chung: Chính vì sự chia sẻ tài nguyên và các khối lượng công việc trên mạng đã làm tăng số người sủ dụng có khả năng truy cập tới các hệ thống được nối mạng, việc bảo vệ các tài nguyên đó tất nhiên sẽ phức tạp hơn nhiều so với trường hợp của máy tính đơn lẻ, một người sử dụng.
* Sự phức tạp của hệ thống: Có thể có nhiều hệ điều hành khác nhau trên mạng, mỗi hệ điều hành lại là một phần mềm rất tinh vi và trên đó lại cài đặt rất nhiều phần mềm khác nhau. Do đó hệ đièu hành cho mạng sẽ phức tạp hơn rất nhiều so với hệ điều hành cho từng hệ thống xử lý đơn lẻ. Vì vậy khó mà tin cậy được vào sự an toàn của một mạng nếu không có một hệ điều hành mạng lớn, được thiết kế đặc biệt cho vấn đề an ninh.
* Có qua nhiều mục tiêu tân công: Khi một tệp (file) được lưu trữ trong mọt máy chủ (host) ở xa, người sử dụng nó phải qua rất nhiều host khác mới có thể sử dụng được file đó. Mặc dù người quản trị của một host có thể thi hành các chính sách an ninh thật chặt chẽ nhưng nguời đó lại không thể làm gì với các host khác trong mạng. Người sử dụng phaỉ phụ thuộc vào các cơ chế điều khiển truy cập của tất cả các hệ thống này.
* Sự lạc danh: Một kể tấn công có thể tác động vào một hệ thông từ cách xa hàng ngàn Km mà có thẻ không bao giờ phải tiếp xúc với bất cứ người quản trị hay người sử dụng của hệ thống đó. Sự tân công có thể truyền qua nhiều host khác nhau nhăm nguỵ trang nguồn gốc của nó.
* Không biết đường dẫn: Có thể có nhiều đường dẫn từ host này sang host khác và người sủ dụng mạng hầu như không biết và không điều khiển được sự dẫn đường cho các thông điệp của họ.
Như trên ta thấy, an toàn mạng máy tính có thể bị đe doạ từ nhiều góc độ và nguyên nhân khác nhau. Đe doạ an ninh có thể xuất phát từ bên ngoài mạng nội bộ hoặc cũng có thể xuất phát từ ngay bên trong tổ chức. Do đó, việc đảm bảo an toàn cho mạng máy tính cũng cần phải có nhiều giải pháp cụ thể khác nhau. Tuy nhiên, tổng quát nhất có ba giải pháp: Giải pháp về phần cứng, Giải pháp về phần mềm và giải pháp về tổ chức.
II./. CÁC CƠ CHẾ CHÔNG XÂM NHẬP TRÁI PHÉP:
Bảo mật bằng Firewall là một biện pháp rất hiệu quả cho hệ thống mạng nhưng chưa thể khăng định răng hêj thống mạng đã an toàn tuyệt đối. Về nguyên tắc Firewall chỉ kiểm sóat truy cập khi kết nối đi qua Firewall nhưng nếu trong trường hợp tân công không đi qua Firewall thì tân công đó không thể bị chặn bởi Firewall. Trong trường hợp này cũng hay xảy ra khi tân công trong nội bộ một phần đoạn mạng. Cũng có những tình huống mà Hacker phát hiện ra những điểm yếu hay lỗ hổng bảo mật trên Firewall và các máy chủ công cộng để tìm cách xâm nhập vào hệ thống mạng và nắm quyền điều khiển máy chủ thì cúng cần phải có biện pháp để ngăn chặn sự xâm nhập đó.
Hình 5.1: Cơ chế chống xâm nhập trái phép
Access
Deny
Untrusted
Network
Hacker
Hacker
Hình vẽ trên mô tả trường hợp nếu Hacker tấn công từ bên ngoài thì sẽ bị chặn bởi Firewall. Nhưng nếu Hacker lại thuộc cùng phân đoạn mạng với nạn nhân (Hoậc Hacker vượt qua Firewall để xâm nhập vào phân đoạn mạng này) thì có thể tự do tân công vào máy tính nạn nhân.
Trên thực tế, phần lớn những trường hợp tân công mà được thực hiện thành công thì có xuất phát ngay từ bên trong hệ thống mạng và kẻ tân công lại chính là người dùng bên trong mạng. Để khắc phục tình trạng này người ta sử dụng giải pháp IDS (Intrusion Detection System) để phát hiện và ngăn chặn xâm nhập trái phép tại từng máy tính hau trên phân đoạn mạng. Firewall là một thiết bị hoạt động tương đối cứng nhắc, làm việc dựa trên những luật người ta đặt cho nó trong khi đó IDS sẽ hoạt động thông minh và mềm deo hơn nhiều.
III./ FIREWALL:
Internet cho phép chúng ta truy cập tới mọi nơi trên thế giới thông qua một số dịch vụ. Ngồi trước máy tính của mình bạn có thể biết được thông tin trên toàn cầu, nhưng cũng chính vì thế mà hệ thống máy tính của bạn có thể bị xâm nhập vào bất kỳ lúc nào mà bạn không hề được biết trước. Do vậy việc bảo vệ hệ thống là một vấn đề chúng ta đáng phải quan tâm. Người ta đã đưa ra khái niệm FireWall để giải quyết vấn đề này.
Hình 5.2: Một dạng hệ thống Firewall
Hình 5.2: một dạng Firewall
FireWall là Thuật ngữ FireWall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn. Trong Công nghệ mạng thông tin, FireWall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thông của một số thông tin khác không mong muốn.
Internet FireWall là một tập hợp thiết bị (bao gồm phần cứng và phần mềm) giữa mạng của một tổ chức, một công ty, hay một quốc gia (Intranet) và Internet:
( INTRANET - FIREWALL - INTERNET )
Trong một số trường hợp, Firewall có thể được thiết lập ở trong cùng một mạng nội bộ và cô lập các miền an toàn. Ví dụ như mô hình dưới đây thể hiện một mạng Firewall để ngăn cách phòng máy, người sử dụng và Internet.
Hình 5.3: Mô hình firewall ngăn cách Intranet và Internet
Các loại Firewall:
Firewall được chia làm 2 loại, gồm Firewall cứng và Firewall mềm:
Hình 5.4: Mô hình mạng sử dụng Firewall cứng
* Firewall cứng: Là những firewall được tích hợp trên Router.
+ Đặc điểm của Firewall cứng:
Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng, thêm quy tắc như firewall mềm)
Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và tầng Transport)
Firewall cứng không thể kiểm tra được nột dung của gói tin.
+ Ví dụ Firewall cứng: NAT (Network Address Translate).
Hình 5.5: Mô hình mạng sử dụng Firewall mềm
* Firewall mềm: Là những Firewall được cài đặt trên Server.
+ Đặc điểm của Firewall mềm:
Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng.
Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng)
Firewal mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa).
+ Ví dụ về Firewall mềm: Zone Alarm, Norton Firewall…
Chức năng chính của Firewall:
Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet. Cụ thể là:
- Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet).
- Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet).
- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
- Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
- Kiểm soát người sử dụng và việc truy nhập của người sử dụng.
- Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng.
Cấu trúc của FireWall:
* FireWall bao gồm :
Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc có chức năng router. Các phần mềm quản lí an ninh chạy trên hệ thống máy chủ. Thông thường là các hệ quản trị xác thực (Authentication), cấp quyền (Authorization) và kế toán (Accounting).
* Các thành phần của FireWall:
Một FireWall bao gồm một hay nhiều thành phần sau :
+ Bộ lọc packet (packet- filtering router).
+ Cổng ứng dụng (Application-level gateway hay proxy server).
+ Cổng mạch (Circuite level gateway).
Hình 5.7: Phần tử lọc gói tin TCP/IP
Bộ lọc paket (Paket filtering router):
* Nguyên lý hoạt động
Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCI/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS...) thành các gói dữ liệu (data pakets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng.
Hình 5.8: Mô hình OSI
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (packet header), dùng để cho phép truyền các packet đó ở trên mạng. Đó là:
- Địa chỉ IP nơi xuất phát ( IP Source address)
- Địa chỉ IP nơi nhận (IP Destination address)
- Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)
- Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)
- Cổng TCP/UDP nơi nhận (TCP/UDP destination port)
- Dạng thông báo ICMP ( ICMP message type)
- Giao diện packet đến ( incomming interface of packet)
- Giao diện packet đi ( outcomming interface of packet)
Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua firewall. Nếu không packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP...) được phép mới chạy được trên hệ thống mạng cục bộ.
* Ưu điểm
- Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được bao gồm trong mỗi phần mềm router.
- Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả.
* Hạn chế
- Việc định nghĩa các chế độlọc package là một việc khá phức tạp; đòi hỏi người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng packet header, và các giá trị cụ thể có thể nhận trên mỗi trường. Khi đòi hỏi vể sự lọc càng lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển.
- Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soát được nôi dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.
Cổng ứng dụng (application-level getway):
* Nguyên lý hoạt động:
Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy service. Proxy service là các bộ code đặc biệt cài đặt trên gateway cho từng ứng dụng. Nếu người quản trị mạng không cài đặt proxy code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do đó không thể chuyển thông tin qua firewall. Ngoài ra, proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà ngưòi quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khác.
Một cổng ứng dụng thường được coi như là một pháo đài (bastion host), bởi vì nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp đảm bảo an ninh của một bastion host là:
- Bastion host luôn chạy các version an toàn (secure version) của các phần mềm hệ thống (Operating system). Các version an toàn này được thiết kế chuyên cho mục đích chống lại sự tấn công vào Operating System, cũng như là đảm bảo sự tích hợp firewall.
- Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nó không thể bị tấn công. Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host.
- Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user password hay smart card.
- Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ nhất định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống.
- Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại.
- Mỗi proxy đều độc lập với các proxies khác trên bastion host. Điều này cho phép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ môt proxy đang có vấn để.
* Ưu điểm:
- Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập được bởi các dịch vụ.
- Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ ấy bị khoá.
- Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống.
- Luật lệ lọc filltering cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc packet.
* Hạn chế:
Yêu cầu các users thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt trên máy client cho truy nhập vào các dịch vụ proxy. Chẳng hạn, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước thôi. Tuy nhiên, cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng trên lệnh Telnet.
Cổng vòng (circuit-Level Gateway):
Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng. Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc packet nào.
Cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sự kiểm tra, lọc hay điều khiển các thủ tục Telnet nào.Cổng vòng làm việc như một sợi dây,sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài (outside connection). Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống firewall, nó che dấu thông tin về mạng nội bộ.
Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm lớn nhất là một bastion host có thể được cấu hình như là một hỗn hợp cung cấp Cổng ứng dụng cho những kết nối đến, và cổng vòng cho các kết nối đi. Điều này làm cho hệ thống bức tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tường lửa để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài.
Nhiệm vụ của Firewall:
* Nhiệm vụ cơ bản của FireWall là bảo vệ những vấn đề sau :
+ Dữ liệu : Những thông tin cần được bảo vệ do những yêu cầu sau:
- Bảo mât.
- Tính toàn vẹn.
- Tính kịp thời.
+ Tài nguyên hệ thống.
+ Danh tiếng của công ty sở hữu các thông tin cần bảo vệ.
* FireWall bảo vệ chống lại những sự tấn công từ bên ngoài.
+ Tấn công trực tiếp:
Cách thứ nhất là dùng phương pháp dò mật khẩu trực tiếp. Thông qua các chương trình dò tìm mật khẩu với một số thông tin về người sử dụng như ngày sinh, tuổi, địa chỉ v.v…và kết hợp với thư viện do người dùng tạo ra, kẻ tấn công có thể dò được mật khẩu của bạn. Trong một số trường hợp khả năng thành công có thể lên tới 30%. Ví dụ như chương trình dò tìm mật khẩu chạy trên hệ điều hành Unix có tên là Crack.
Cách thứ hai là sử dụng lỗi của các chương trình ứng dụng và bản thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được để chiếm quyền truy cập (có được quyền của người quản trị hệ thống).
+ Nghe trộm: Có thể biết được tên, mật khẩu, các thông tin chuyền qua mạng thông qua các chương trình cho phép đưa vỉ giao tiếp mạng (NIC) vào chế độ nhận toàn bộ các thông tin lưu truyền qua mạng.
+ Giả mạo địa chỉ IP.
+ Vô hiệu hoá các chức năng của hệ thống (deny service). Đây là kiểu tấn công nhằm làm tê liệt toàn bộ hệ thống không cho nó thực hiện các chức năng mà nó được thiết kế. Kiểu tấn công này không thể ngăn chặn được do những phương tiện tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng.
+ Lỗi người quản trị hệ thống.
+ Yếu tố con người với những tính cách chủ quan và không hiểu rõ tầm quan trọng của việc bảo mật hệ thống nên dễ dàng để lộ các thông tin quan trọng cho hacker.
Ngày nay, trình độ của các hacker ngày càng giỏi hơn, trong khi đó các hệ thống mạng vẫn còn chậm chạp trong việc xử lý các lỗ hổng của mình. Điều này đòi hỏi người quản trị mạng phải có kiến thức tốt về bảo mật mạng để có thể giữ vững an toàn cho thông tin của hệ thống. Đối với người dùng cá nhân, họ không thể biết hết các thủ thuật để tự xây dựng cho mình một Firewall, nhưng cũng nên hiểu rõ tầm quan trọng của bảo mật thông tin cho mỗi cá nhân, qua đó tự tìm hiểu để biết một số cách phòng tránh những sự tấn công đơn giản của các hacker. Vấn đề là ý thức, khi đã có ý thức để phòng tránh thì khả năng an toàn sẽ cao hơn.
Những hạn chế của firewall:
- Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ.
- Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không "đi qua" nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm.
- Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây.
Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của firewall.
IV./ IDS – Instruction Detection System:
Đây là hình thức rất hay được sử dụng trên một hệ thống mạng hiện đại. Các thiết bị phần cứng IDS (được gọi là IDS Sensors) được đặt trên từng phân đoạn mạng có khả năng bị tân công và thực hiện phân tích dữ liệu vào ra toàn phân đoạn mạng này. Nó sẽ kết hợp được với các thiết bị bảo mật khác trong mạng như Router, Firewall phản ứng lại tân công khi xảy ra.
Sử dụng phương pháp này giúp việc mở rộng mạng được dễ dàng hơn, khi thêm thiết bị mới vào mạng (máy chủ) thì không cần phải thêm nhiều IDS Sensonrs.
Quá trình phát hiện và thông báo xâm nhập trái phép của IDS Sensors thực hiên theo các bước sau:
- Sensors sẽ thu các gói tin gửi đến mạng do nó quản lý qua cổng Monitoring.
- Nếu các gói tin bị phân mảnh thì IDS Sensors sẽ thực hiện ghép các thành phần phân mảnh lại để kiểm tra (việc phân mảnh sẽ giúp gói tin vượt qua Firewall mà không bị kiểm tra, bởi Firewall không thể làm việc với các gói tin bị phân mảnh), và so sánh với các luật đã được đặt sẵn để nhận dạng tấn công nếu có. Dạng tân công có thể đơn giản chỉ là thao tác cố gắng để truy cập một cổng dịch vụ trên một máy chủ nào đó hoặc có thể phức tạp như một chuỗi các hành động tấn công nhiều máy chủ một lúc trong một khoảng thời gian dài.
- Nếu phát hiẹn ra dấu hiệu tấn công thì IDS Sensors sẽ ghi lại tân công đó và thông báo cho nhà quản trị qua cổng Command.
- Phần mềm quản trị IDS Sensors thực hiện những hành động cần thiết để phản ứng lại tân công đó.
IDS Sensors có thể được cấu hình để phản ứng lại những dạng tân công nhất địn theo những cách sau:
- Cắt phiên làim việc với TCP (TCP Reset): Sensors có khả năng cắt ngang phiên làm việc đã được khởi tạo từ máy tính của Hacker đên máy tính bị tấn công.
- Chặn địa chỉ của kẻ tân công (IP Blocking): Sensors sẽ thông báo cho Router và tạo ra những ACL để chặn địa chỉ IP nguồn của kẻ tấn công.
- Ghi thông tin về phiên làm việc (IP Logging): Việc này nhằm thu thập thông tin về kẻ tấn công. Sensors sẽ ghi lại tất cả các gói tin đến mạng và gói tin đáp trả trong suốt khoảng thời gian cố găng xâm nhập của Hacker.
Blocking Auto or maentual block of offending IP address
TCP Reset Automatic kill of offending session
Kill the
Session
Block
attacker
Deny
Hình 5.9: Phương thức xử lý của IDS
Có hai phương thức để cấp giấy phép cho các trạm làm việc có thể sử dụng các tài nguyên trên mạng là: An ninh theo mức tài nguyên (Share – Level Security) và an ninh mức người dùng (User – Level Security) và một phương pháp bảo mật cao hơn là Firewall.
PHẦN II
THIẾT KẾT THI CÔNG
I./. TỔNG QUÁT:
1.1./ Đặt vấn đề:
Mục đích dự án này là xây dựng hệ thống mạng máy tính cho toà nhà dự án Công Ty Phát Triển Phần Mềm Quốc Tế Software hiện đại, đảm bảo đáp ứng yêu cầu và là mô hình mạng mẫu cho các công ty phân mềm trong tương lại
1.2./ Hiện trạng hệ thống:
* Toà nhà đang trong quá trình hoàn thiện phần xây dựng, bước sang giai đoạn cuối cùng đem vào sử dụng.
* Địa điểm Số 8 Trần Hưng Đạo.
* Tào nhà gồm 8 tầng, với diện tích mặt bằng 20m x 30m.
* Tầng trệt: Hệ thống cấp điện, nước, Gara ô tô.
* Tầng I: gồm 2 phòng là phòng giao dịch và phòng trưng bày sản phẩm.
* Tầng II – VI: Phòng làm việc.
* Tầng VII: Phòng giám đốc, phó giám đốc, phòng kết hoạch và nhân sự, phòng họp.
* Tầng VIII: Phòng an ninh, phòng kiểm tra và hoạn thiện sản phẩm.
* Các hệ thông công trình ngầm: điện, nước.
II./. YÊU CẦU DỰ ÁN:
2.1./ Đối tượng sử dụng:
- Dùng cho các dự án thiết kế phần mềm ứng dụng cho đời sống.
- Chức năng của các phòng đã được vạch rõ.
2.2./ Vị trí đặt thiết bị:
- Thiết bị mạng dự kiến được đặt tập trung phòng an ninh mạng tại tầng 8. Tuy nhiên với giải pháp được đặt ra thì phòng mạng được đặt tại tầng 8 cac thiết bị kết nối Switch được phân tán đền trên từng tầng.
- Máy tính, máy in, điện thoại đặt tại các phòng làm việc.
- Tại mỗi tầng đều có hộp thiết bị mạng đặt các đầu nối và Switch của mỗi tầng.
2.3./ Kết nối thiết bị mạng:
* Các cổng 10/100 Mbps cho các trạm làm việc.
* Cổng Gigabit (Gbps) kết nối các switch bằng cáp quang.
2.4./ Sơ đồ đi dây mạng (giữa các tầng).
* Tầng 1 đến tầng 8 đặt các Switch. Các Switch này được nối về tủ Switch trung tâm dùng cáp quang 1000 Mbs. Dùng day UTP Cat6 4 – pair nối từ Switch của tầng đến các tủ thiết bị từng phòng.
* Thiết bị chống sét và tiếp đất: Bảo vệ 10 đường điện thoại, các thiết bị trong toà nhà. Đi dây trục tiếp đảm bảo trệt tiêu các xung điện xuống đất.
2.5./ Đánh số ổ tường:
* Số có 3 chữ số: chữ số đầu tiên chỉ tầng, 2 chữ số tiếp theo chỉ thứ tự của ô tường trong tầng đó.
* Đánh số trong mỗi tầng theo quy tắc từ trên xuống dưới, trái sang phải (của bản vẽ).
* Mỗi ô tường đánh 2 số, tương ứng với 2 vị trí nối mạng (với RJ 45).
III./. KỸ THUẬT THI CÔNG LẮP ĐẶT CHO HỆ THỐNG MẠNG:
3.1./ Giải pháp hệ thống mạng tập trung:
Toàn bộ hệ thống mạng đều được tập trung mạng tức phòng an ninh mạng.Tất cả các hệ thống đấu phối dây hay các thiết bị kết nối mạng đều được đặt trong tủ mạng tại phòng anh ninh mạng. Với giải pháp này thì việc lựa chọn thiết bị quản lý rất dễ dàng. Trong những năm về trước thì giải pháp hệ thống mạng tập trung là giải pháp được đưa vào sử dụng nhiều nhất bới nó có một giá thành hợp lý cho người sử dụng và dễ dàng quản trị. Tuy nhiên do những nhu cầu thực tiễn hiên nay thì giải pháp này lai khó có thể đáp ứng được bởi tình mở rộng của nó như:
* Cáp sử dụng là cáp đồng trục nên khoảng cách tối đa cho phép giữa các điểm kết nối quy định cho loại cáp này chỉ là 100m, khi vượt quá 100m thì tín hiệu sẽ suy yếu và việc kết nối không thực hiện được.
* Không có trục Backbone: Theo quy định của những hệ thống mạng phân lớp chỉ giữa lớp Core và lớp Access của mạng phải tục kết nối Backbone tôc độ cao ( tối thiểu 1Gbps và nâng lên 10 Gbps).Với loại cáo 25 – pair như hình vẽ trên thì tốc đội kết nối không lên được 1 Gbps ( do cổng dành cho cá đồng là Autosensing 10/100/1000 nên khi sử dụng cổng tốc độ 1000Mbps thì tốc độ thực tế sẽ dao động trong mức 10Mbps đến 1000Mbps).
* Không có dự phòng và ghép kết nối: Khi cáp điện nối gặp sự cố thì hệ thống sẽ không có đường để thay thế. Việc ghép nối để chia tải cũng không thực hiện được do thiếu kết nối Backbone.
* Khó khăn hơn khi triển khai và mở rộng: Cáp 25 – pair là loại cáp có thiết diện tương đối lớn và mỗi cáp 25 – pair chỉ phục vụ được cho 6 trạm làm việc. Đối với một tầng có vài chục đến vài chăm nút mạng thì sẽ cần nhiều đầu nối cáp 25 – pair và như vậy trục Backbone sẽ phải có kích thước lớn thì mới chứa được ngần ấy đầu cáp. Và càng về đến tầng 2, số lượng đầu cáp càng nhiều do vậy rất kho khăn khi quản lý và kéo cáp. Mỗi khi muốn mở rộng mạng thêm một số nút mạng cho mỗi tầng thì phải kéo thêm đầu cáp và như vậy là không khả thi.
3.2./ Giải pháp hệ thống mạng phân tán:
Theo giải pháp này mỗi tầng sẽ có một không gian dành riêng cho các thiết bị mạng (có thể đặt tại phòng kỹ thuật tại mỗi tầng). Kết nối từ trung tâm dữ liệu tại tầng 8 tới các thiết bị này sẽ sử dụng cáp quang loại Multimode 50 micron có khoảng cách tối đa lên được 1 km và tốc độ tối thiểu là 1 Gbps. Từ các thiết bị phân tán này sẽ kết nối tới trạm làm việc đầu cuối bằng cáp UTP 4 – pair Cat6.). Với nhu cầu thực tiễn hiện nay thì giải pháp toàn diện nhất sẽ là “Giai pháp hệ thống mạng phân tán” bởi tính mở rộng và truyền tốc độ cao. Tuy nhiên giá thành nắp đặt cho hệ thống mạng này khá cao bởi lựa chọn các thiết bị phải phù hợp và có tính mở rộng băng thông cao giá thành sẽ tốn kém.
* Sử dụng trục Backbone cáp quang: Tốc độ cao từ 1 Gbps đến 10 Gbps, không bị nhiễu, khoảng cách kết nối lớn và điểm quan trọng là có kết nối dự phòng.
* Loại cáp từ Access Switch tới người sử dụng đầu cuối: Sử dụng loại cáp Cat6 (Catgory 6). Loại cáp này có những lớp vỏ bọc chống nhiễu đặc biệt và được thiết kế dành cho tốc độ truy nhập cao tới 1Gbps (1000 Mbps). Loại cáp Cat5 như thiết kế ban đầu không đạt được tốc đội 1000Mbps và chỉ dừng lại ở mức 1000Mbps.
* Quản lý dế dàng: Mặc dù thiết bị đặt phân tán tại các tầng nhưng vấn có thể quản lý tập trung dễ dàng từ trạm làm việc của nhà quản trị. Điều này là do những phần mềm truy quản trị mạng hiện nay được thiết kế rất thuân lợi cho nhà quản trị. Từ những màn hình làm việc của mình tại cơ quan hay thậm chí tại nhà riêng (dùng remote access), nhà quản trị có thể thay đổi cấu hình thiết bị, theo dõi hoạt động trên mạng, kiểm tra tình trang hoạt động của mạng và xem các báo cáo trực tiếp về những lỗi kết nối trên hệ thống.
Tóm Lại: Với giải pháp như vậy thì việc lựa chọn cho việc thiết kế toà nhà Công Ty Phần Mềm Quốc Tế Software sẽ là giải pháp cho hệ thống mạng phân tán. Bởi với hệ thống mạng phân tán chúng ta có thể mở rộng các thiết bị và nó có đường truyền cao.
3.3./ Sơ đồ đi dây mạng giữa các tầng:
3.4./ Yêu cầu dự án:
* Tầng 1: 200 nút mạng.
* Tầng 2 đến 6: mỗi tầng 320 nút mạng.
* Tầng 7: 50 nút mạng.
* Tầng 8: 350 nút mạng.
Tổng cộng toàn bộ toà nhà có: 2200 nút mạng.
3.5./ Quá trình thi công hệ thống Cable mạng được thực hiện đảm bảo theo đúng các yêu cầu kỹ thuật:
Ngoài tuân theo các yêu cầu kỹ thụât dự án trong hồ sơ chào thầu, thì việc thi công phải đảm bảo các tiêu chuẩn khác như:
Bố trí Outlet mạng có 2 nút mạng RJ 45.
Hệ thống cáp quang đi xuyên qua các tầng được bảo vệ đặt trong ống tròn PVC phi 60.
Hệ thống cáp 4pair đi xuyên qua các tầng hay đi ngang đều trong loại ông ghen chữ nhật kích cỡ phù hợp.
Thiết bị sử dụng thi công là các thiết bị chuyên dùng.
Cáp không đi gần các nguồn gây nhiễu như: nguồn điện, mô tơ điện,…., gần vị trí có thể gây hư hại đến đường dây.
Switch và Patch Pannel được lắp đặt bảo vệ trong tử mạng.
Đảm bảo yếu tố kyc thuật như: chiều dài cáp, trở kháng, độ xuy hao… Các thông tin này sẽ được kiểm tra băng thiết bị đo chuyên dụng.
Các node mạng đều được đánh nhãn. Theo nguyên tắc:
Số có 3 chữ số, chứ số đầu tiên chỉ tầng, 2 chư số tiếp theo chỉ thứ tự của ô tường trong đó: đánh số trong một tầng theo nguyên tắc từ tren xuống dười, từ trái sang phải (Theo bản vẽ thiết kế).
Mỗi ô tường đánh 2 số, tương ứng với 2 vị trí nối mạng.
Vị trí ô tường: chiều cao lắp đặt khoảng 0,3 đên 0,4m so với nền nhà hoàn thiện
Chiều ca đường dây đi ngang cao 0,3 đên 0,4m so với nền nhà hoàn thiện (Cách đường dây điện 10 – 15cm).
Yếu tố mỹ quan rất được chú trọng trong quá trình thi công.
3.6./ Sơ đồ logic hệ thống mạng toà nhà:
PSTN
WAN
PC remote
Laptop
Cáp quang
1000Mbps
Cisco Catalyst 3524 XL
10/100Mbps
Pix 525
Cisco Router /Access Server 1621
Cisco Catalyst 3524 XL
Servers
Switch Trung Tâm Cisco Catalyst 5509
Hình 2: Sơ đồ Logic tòa nhà
3.7./ Sơ đồ bố trí các thiết bị trên từng tầng của tòa nhà:
IV./. Thiết bị sử dụng:
4.1./ Catalyst 3548 XL:
Catalyst 3548 XL là một trong những dòng sản phẩm mới nhất của họ Catalyst 3500 với cấu hình xác định gồm 48 cổng 10/100 Autosensing, 2 cổng 1000 Base X(GBIC) cho phép khả năng thực thi, tính mềm dẻo và khả năng quản trị cao.
Đặc tính chung Catalyst 3500:
Dòng sản phẩm này là giải pháp có tính năng cao đối với dòng Stackable Switching. Nó cho phép quản lý tất cả các cổng với một địa chỉ IP đơn và khả năng kết nối các switch không phụ thuộc vào tốc độ Stach Bú. Đặc biệt với công nghệ Clustering có thể cho phép khả năng quản lý tới 380 vổng với một địa chỉ IP và khả năng kết nối tới 16 Switches. Cũng như các sản phẩm khac trong họ Catalyst 3500, Catalyst 3548 XL được hộ trợ đầy đủ các đặc điểm của phần mềm Cisco IOS và phần mềm quản trị CVSM (Cisco Visual Switch Manager).
Một số lợi điểm của họ Catalyst 3500 XL:
* Khả năng thực thi cao: Backplane cho phép đạt tới 10 Gbps và có thể chuyền tới 8,8 triệu Packets/ giây đảm bảo có thể phát huy tối đa yêu cầu tốc độ đối với các cổng 10 BaseT/100 BaseTx và Gigabit Ethernet.
* Hỗi trợ khả năng hoạt động ở chế đội Full-duplex với tất cả các cổng cho phép đạt tới 200Mbps với cổng 10/100 và tới 2 Gbps với cổng 1000 Base X.
* Với 4Mb bộ nhớ dùng chung của cổng đảm bảo khả năng chuyển dữ liệu giữa các cổng là nhanh nhất và an toàn nhất đáp ứng các yêu cầu đối với các ứng dụng đồi hỏi yêu cầu cao về chất lương truyền dữ liệu.
* Dế dàng trong việc mơ rộng: Với 2 cổng GBIC cho phép dễ dàng trong việc kết nối các Switches (Stackble). Đặc biệt với công nghệ Clustering cho phép khả năng mở rộng kết nối tới 16 Catalyst 3548 XL.
* Tích hợp với giải pháp Cisco IOS Switching: kết hợp với các đặc điểm mới của Cisco IOS cho phép Catalyst 3548 XL nâng cao khả năng thực thi, dễ dàng trong quản trị cũng như tăng cường khả năng bảo mật.
* Với công nghệ FastEtherChannel và Gigabit EhterChannel cho phép dải thông kết nối đạt từ 400Mbps tới 4Gbps giữa các Catalyst Switch, routers hoặc Servers.
* Với CGMP (Cisco Group Management Protocol) cho phép tối Switch tự chọn và tự động chuyển IP Multicast tới đích giúp cho tối ưu Multicast Traffic .
* VLAN Trunk có thể tạo với bất lỳ cổng nào sủ dụng chuẩn 802.1Q hoặc cấu trúc ISL VLAN đảm bảo khả năng mềm dẻo trong việc cấu hình VLAN.
* Dế dàng trong quản trị: hô trợ khả năng quản trị thông qua Terminal, từ xa qua Telnet, qua giao diện Web, SNMP, RMON hoặc qua các công cụ quản trị CiscoWorks 2000 của Cisco.
4.2./ Cisco Catalyst 5509 Switch:
Catalyst 5590 là bộ chuyển mạch đựoc thiết kế cho các giải pháp mạng của các doanh nghiệp hay cơ quan lớn có yêu cầu về tốc đọ và tính ổn đinh cao. Catalyst 5509 có 9 Slot và nó phù hợp cả hai loại mạng trong một toà nhà lớn và xương sống (Backnone) mạng nối nhiều toà nhà.
Giải pháp kết nối đường trục chính của hẹ thống mạng với giá hợp lý và độ mềm dẻo mở rộng cao, Catalyst 5509 hộ trợ mật độ thiết bị Module cao, chuyển mạch Token Ring hay chuyển mạch 10/100/1000 Ethernet.
Catalyst 5509 có thể hỗ trợ chuyển mạch lưu lượng dày đặc với qua mạch kết nối 15AMP. Cho phép dễ dàng cài đặt trong hầu hết các môi trường mạng liên toà nhà hay trong một toà nhà lớn.
Catalyst 5509 cúng hỗ trợ các đặc tính nâng cao như tự động đặt lọc sự quảng bá của các dao thức bảo đảm giá trị băng lượng, chế độ Multicast thông minh để điều khiển các luồng âm thanh, hình ảnh và cân băng băng thông trên các đường liên kết dự phòng.
Catalyst 5509 tạo ra một giải pháp cho trục chính tố độ Gigabit Ethernet đáp ứng các yêu cầu băng thông và sự tăng trưởng mạng của các tố chức và doanh nghiệp lớn hiện nay, bằng sự hỗ trợ lên đến 38 Ports Gigabit Ethernet và có thể công nghệ Ghép kênh Gigabit (Cisco Gigabit EtherChannel), cho phép nhiều đường kết nối tốc độ Gigabit Ethernet như 1 đường kết nối logic cho phép lên đên 8 Gbps (Khả năng song công) truyền đến thiết bị mạng khác.
Kích thước Catalyst 5509 vừa với giá đỡ chuẩn 19 inch (48.26 cm) và tất cả thành phần hệ thống dễ dàng lắp đặt.
Kiến trúc:
Kiến trúc Catalyst 5509 có hiệu suất chuyển mạch trong 9 khe cắm Module. Hạ tầng chuyển mạch khung dữ liệu tôc độ cao sử dụng chế đọ hangd đợi vào/ra (input/output queue mode).
Khả năng chuyển mạch mềm dẻo Unicast và multicast cho các ứng dụng Multimedia.
Kiến trúc Catalyst 5509 phân phối ban đầu băng băng thông 3.6 Gbps trên tất cả các cổng, và có khả năng mở rộng lên đến 50 Gbps.
Với các Module chuyển mạch hỗ trợ chuyển mạch tại chỗ và thêm khả năng chuyển tiếp.
Kiến trúc Catalyst 5000 duy trì hai đường truyền chính (Bus) trong phần cứng với 1 Bus quản lý thông tin và 1 Bus để sắp xếp và điều kiển.
Bus quản lý là đường đơn mạng thông tin cấu hình để mỗi Module và thống kê thống tin từ mỗi Module đến bộ Supervisor Engine.
Hỗ trợ các chuẩn giao thức mạng:
IEEE 802.1Q, 802.1P, 802.3X.
Ethernet: IEEE 802.3, 10 BaseT và 10 BaseFL.
Fast Ethernet: IEEE 802.3u, 100BaseTX, 100BaseFX.
Gigabit Ethernet: IEEE 802.3z.
Đồng thời, giải pháp sử dụng Catalyst 5509 cũng có tính bảo vệ đầu tư cao nhờ khả năng tích hợp và hỗ trợ các Module của họ Catalyst 5000, Catalyst 8510 và LightStream 1010. Catalyst 5509 có thể thay thế nóng cá Modul, bộ nguồn và quạt khi đảm bảo khả năng sẵn sàng rất cao cho mạng khi khai thác. Với khả năng dự phòng kép cho bộ chuyển mạch, bộ nguồn, và Passive Backplane đảm bảo tính dự phong cao cho toàn bộ hệ thống đáp ứng được các yêu cầu về khả năng sẵn sàng của hệ thống mạng.
Các Module sử dụng vơi Catalyst 5500:
* Supervior Engine III ư/NFFF II – A: là Module hỗ trợ công nghệ mạch lớp 2 và lớp 3, hỗ trợ khả năng quản lý mạng, hỗ trợ công nghệ Gigabit Ethernet, có hỗ trợ công nghệ NetFlow - kết hợp tính đơn giản và tốc đọ của công nghệ chuyển mạch và tính thông minh, khả năng mở rộng của công nghệ định tuyến. có đầy đủ cho khả năng địng tuyến đa thủ tục, cho phép có được khả năng chuyển mạch cho IP, IPX, IP multicast ở tốc độ hàng triệu Packets/ giây.
* 9 - Port Gigabit EthernetChannel Switching Module w/o GBICs: Đây là Module 9 cổng Gigabit GIC hôic trợ Gigabit EtherChannel không có bộ chuyển đổi GBIC.
* 1000 Base – S X – Short wavelength – GBIC (Multimode only): Bộ chuyển đổi giao tiếp Gigabit Ethernet sóng ngắn – giao tiếp cáp quang Multi – mode.
* 24 – port 10/100TX Switch Module –Module:Gồm 24 cổng có khả năng tự động nhận biết tốc độ 10/100, hỗ trợ FastEtherChanel, tất cả các cổng hỗ trợ VLAN Trungking chuẩn 802.1Q.
4.3./ Cisco 2621 – RPS:
Cũng như các sản phảm trong họ Cisco 2600 Series, Cisco 2621 – RPS là một router đa dịch vụ được thiết kế với cấu trúc Module nhằm phục hợp với yêu cầu công nghệ của doanh nghiệp, hôc trợ đầy đủ các dich vụ tich hợp như Voice, Data, Qos cho phép uyển chuyển trong thiết kế và sử dụng. Tạo thuận lợi trong việc tích hợp hệ thống và tối ưu băng thông cũng như giảm chi phí đầu tư cơ bản và nâng cấp. Mặt khác Cisco 2621 – RPS được hôc trợ đầy đủ bởi phần mềm IOS của Cisco. Đây là một trong các phần mềm có tính năng rất cao hỗ trợ đầy đủ các yêu cầu kết nối Dialup, ISDN, IP, ATM, X.25, Frame Relay… hộ trợ Lan – Lan routing, an toàn dữ liệu và kiểm soát truy cập… đặc biệt là khả năng hôc trợ được cả các chuẩn và công nghệ trong tương lai do tính Module hoá và thiết kế mở.
Đặc điểm thiết bị:
- Processor : Motorola MPC860 50 Mhz.
- System Memory : 2 DIMM Slots hỗ trợ 16 tới 64 Mb.
- Flash Memory : 1 DIMM Slots hỗ trợ 4-16Mb.
- Cổng Console và Auxiliary hỗ trợ tốc độ tới 115.2 Kbps.
- 2 cổng 10/100 Mbps Auto-sesing Ethernet.
- 1 Network Module Slots.
- 2 Wan Interface Card Slots.
- 1 Advanced Integration Slots.
Một số lợi điểm khi sử dụng giải pháp Cisco 2621 – RPS:
- Hỗ trợ tích hợp nhiều dich vụ gồm Voice/fax/data.
- Có cấu trúc Module, có thể dùng chung với Cisco 1600, 1700, 3600 series tạo điều kiện thuận lợi cho việc lựa chọn cấu hình phù hợp thuận lợi cho quá trình đầu tư. Với ATM Slots cho phép đưa thêm các dịch vụ mới như khả năng nén dữ liệu, mã hoá dữ liệu không cần sử dụn giao tiếp bên ngoài.
- Tính ổn định: Với phần mềm Cisco IOS, RPS Option (Redendant power supply) cho phép Cisco 2621 – RPS đạt được tính ổn định cao trong qúa trình thực thi.
- Hỗ trợ các giải pháp tổng thể: Với các Module cho phép Cisco 2621 –RPS có thể tích hợp nhiều chức năng của CSU/DCUs, NTI devices, modems, Firewall,…. Trong một thiết bị không cần phảp sử dụng các thiết bị khác.
- Với Cisco IOS cho phép Cisco 2621 –RPS có được đầy đủ các ưu điểm về khả năng routing, bảo mật, quản trị , khả năng kết nối Dialup, ISDN, IP, ATM, X.25,…….
- Cung cấp đầy đủ các tính năng cần thiết của mộ hệ thống RAS như khả năng quản lý truy cập với AAA hỗ trợ những phương thức thông dụng như PAP, CHAP hay các công nghệ tiên tiến như Dialback. Cung cấp cơ chế quản lý thông minh như lọc gói, quản lý phân cấp.
- Cho phép thiết lập kết nối VPN giứa các mạng LAN hay truy nhập từ xa tới trung tâm dữ liệu thông qua Internet hay Intranet với mức bảo mật cao.
- Dễ dàng quản trị qua giao tiếp Terminal, telnet hoặc từ các công cụ quản trị của Cisco như : CiscoWorks, CiscWorks 2000 và Cisco View….
V./. Các biên bản và cam kết khảo sát và đo lường thông số kỹ thuật mạng:
5.1./ Phiếu khảo sát mặt bằng:
Kèm theo sơ đoò mặt bằng của đơn vị sẽ được làm mạng.
Người liên hệ:
Đơn vị làm mạng:
Địa chỉ liên hệ:
Số điên thoại: Fax:.....................................................
Người khảo sát:
Địa chỉ liên hệ:
Số điện thoại: Fax:.....................................................
Thông tin khảo sát:
Số tầng của tào nhà:
Số tầng sẽ lắp đặt mạng:
Phòng thông tin thuộc tầng nào: Số phòng:............................
Tổng số nút mạng cần thực hiện:
Số nút mạng của tầng 1:
Số nút mạng của tầng 2:
Số nút mạng của tầng n:
Tình trạng của hệ thống cũ ( qui mô, hệ điều hành, các ứng dụng nghiệp vụ chính......).
Đã có hệ thống mạng trước đây hay chưa: Có Không
Nếu có, thì mô hình mạng là gi:
Hệ điều hành mạng là gi:
Đã có bao nhiêu người dùng mang:
Vai trò của hệ thống mạng mới đối với hệ mạng cũ là: Hoà nhập
Độc lập
Khi đi dây mạng được phép:
Khoan tường: Đội dày tường (cm).
Khoan trần độ dày trần (cm):
Chạy ngầm cáp Chạy ống ghen Chạy bên ngoài toà nhà
Đi dây thấp Đi dây cao
5.2./ Thông tin về phòng:
Phòng
Số nút mạng
Chiều
dài
Chiều
rộng
Chiều
cao
Ghi chú
Kết Luận:
Căn cứ vào kế hoạch triển khai hệ thống mạng tại:
Hôm nay, hai bên chúng tôi gồm:
Bên A:
Bên B:
Cùng tiến hành khảo sát mặt bằng, thiết kế hệ thống và nhất trí với những điểm mô tả trên đây là đúng thao thực tế và nhất trí với thông tin có trong bản khảo sát này. Mọi sự thay đổi phải được nhất trí của cả hai bên.
Đại diên Bên A
Đại diện Bên B
5.3./ Biên bản tổng kết về hệ thống cáp mạng:
Kèm theo
* Sơ đồ thiết kế chi tiết đã được duyệt.
* Bản thống kê chi tiết về thông số cho từng nút mạng (từ đồng hồ đo).
Tên nút
Phòng
Kết quả đo
Độ dài cáp
Trở kháng
Độ suy
hao
5.4./ Biên bản về node mạng:
Người lắp đặt:
Vị trí node:
Số thứ tự nút mạng:
Loại máy:
Loại Card mạng:
Hệ điều hành đang sử dụng:
Cấu hính cài đặt:
Đã được cài đặt vào mạng: Đã vào mạng Chưa vào mạng
Tình trạng hoạt động các ứng dụng:
Các thông tin khác:
KẾT LUẬN
Như ta đã thấy hệ thống các công trình ngày càng mọc lên, song song với đó hệ thống mạng được phát triển theo. Vấn đề là giải pháp phải được đặt nên hàng đầu và phải đưa ra được những tiêu chí hoàn thiện nhất cho toà nhà của mình thi công.
Như giải pháp về hệ thống mạng cho toà nhà cao tầng là một đề tài có tính ứng dụng cao đem lại nhiều lợi ích cho người sử dụng.
Tuy nhiên với đồ án trên có thiếu nhiều vấn đề để xây dựng một toà nhà và đó là hướng phát triển cho đồ án của em sau này.
HƯỚNG PHÁP TRIỂN
* Với giải pháp toàn diện của hệ thống toà nhà là phải đầy đủ tính tiện lợi, dế sử dụng và an toàn.
* Trong thời gian tới em sẽ cố gắng xây dựng thêm một số hệ thống cho toà nhà như:
- Xây dựng hệ thống điện thoại và tổng đài điện thoại.
- Xây dựng hệ thống Camera.
.......
* Rất nhiều vấn đề để xây dựng một hệ thống tào nhà thông minh, tuy nhiên trong khuôn khô có hạn nên đồ án của em chỉ dùng ở mức “Thiết kế hệ thống mạng cho toà nhà”
DANH MỤC TÀI LIỆU THAM KHẢO
Trong quá trình thực hiện và thiết kế giải pháp, có rất nhiều nguồn tài liệu liên quan đến “THIẾT KẾ HỆ THỐNG MẠNG”. Một trong những nguồn tài liệu sẵn có và dễ kiếm đó là Internet. Một số tài liệu được thu nhập từ những luận văn hay các dự án của các sinh viên các trường kỹ thuật và cả những nhà thiết kế.
[1]. Karen fang Allan Leinwand. Network Management A Practical Perspective.
[2]. Network Management System Protocol.
[3]. Smoot Carl-Mitchell,John S.Quarterman. Practical Internetworking with TCP/IP and UNIX.
[4]. http:// www.quantrimang.com.vn
[5].http:// www.Planet.com.vn
[6].http:// www.thongtinmang.con.vn
[7].http:// www.Support.vnn.vn
[8].http:// www.vietnamnet.com.vn
Các file đính kèm theo tài liệu này:
- Xây dựng hệ thống mạng cho toà nhà cao tầng.docx