Nghiên cứu kiến trúc hệ thống mạng và bảo mật trung tâm dữliệu áp dụng cho Abbank

TIỂU LUẬN ĐỀ TÀI: “NGHIÊN CỨU KIẾN TRÚC HỆ THỐNG MẠNG VÀ BẢO MẬT TRUNG TÂM DỮ LIỆU ÁP DỤNG CHO ABBANK.” HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG ---------------------------------------- ĐÀO VĂN NGỌC NGHIÊN CỨU KIẾN TRÚC HỆ THỐNG MẠNG VÀ BẢO MẬT TRUNG TÂM DỮ LIỆU ÁP DỤNG CHO ABBANK. Chuyên nghành: Truyền dữ liệu và Mạng máy tính Mã số: 60.48.15 TÓM TẮT LUẬN VĂN THẠC SỸ HÀ NỘI – 2011 Luận văn được hoàn thành tại: HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: TS. Đặng Hoài Bắc Phản biện 1: ……….………………………………..………………… Phản biện 2: ……………….….……………………….……………… Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông Vào lúc: …….. giờ ……. ngày ……. tháng …… năm ……… Có thể tìm hiểu luận văn tại: - Thư viện của Học viện Công nghệ Bưu chính Viễn thông 1 MỞ ĐẦU Công nghệ thông tin (CNTT) ngày nay hầu như đi vào tất cả các lĩnh vực trong xã hội: kinh tế, giáo dục, giải trí...và nó đã mang lại những thành quả rất đáng kể. Đối với các doanh nghiệp, các công ty tài chính, ngân hàng thì CNTT đóng một vai trò hết sức quan trọng trong việc phát triển và mở rộng doanh nghiệp, tạo thuận lợi trong việc kinh doanh cũng như trong vấn đề quản lý và điều hành, đặc biệt CNTT đóng vai trò quan trọng trong việc tạo ra sự khác biệt và nâng cao khả năng cạnh tranh giữa các ngân hàng trong thời hội nhập. Để hệ thống CNTT của các Ngân Hàng hoạt động có hiệu suất cao, tại thời điểm hiện nay các Ngân Hàng trong nước cũng đang từng bước phát triển thiết lập cho mình một hệ thống cơ sở hạ tầng hiện đại như: Hệ thống hạ tầng mạng hiện đại, Hệ thống quản lý dữ liệu tập trung; Hệ thống máy chủ có tính sẵn sàng cao (Clustering); Tối ưu hoá mạng nâng cao hiệu suất đường truyền (WAN Application Optimization); Giải pháp dự phòng thảm hoạ (Disaster Recovery); Giám sát hệ thống (Monitoring); Giải pháp an ninh bảo mật (Security) và phòng chống Virus xâm nhập mạng; Phòng chống sự tấn công, xâm nhập bất hợp pháp vào hệ thống; Quản trị hệ thống (System Management); Dịch vụ bảo hành bảo trì hệ thống nhằm đảm bảo hoạt động liên tục, thông suốt của hệ thống…... Ngoài ra, theo thống kê của tổ chức nghiên cứu thị trường toàn cầu - Gartner thì cơ sở hạ tầng truyền thống sẽ có nguy cơ bị quá tải do: Lưu trữ tăng từ 40% đến 70% mỗi năm; Mức độ sử dụng (máy chủ và hệ thống lưu trữ) tăng từ 15% đến 25% mỗi năm; Việc cấp nguồn và làm mát cũng tăng khoảng 30% tổng chi phí. Nhu cầu điện toán vẫn tiếp tục tăng trưởng; mật độ tủ Rack trong các phòng máy chủ đã tăng gấp đôi sau mỗi 8 năm kể từ năm 1992, mật độ thiết bị cũng cao hơn thông qua sử dụng máy chủ phiến, ảo hóa máy chủ và tập trung hóa máy chủ. Do đó, mật độ điện năng cũng đang gia tăng mạnh mẽ; chi phí về cơ sở hạ tầng vật lý (cấp nguồn, làm mát) sẽ ngang bằng, rồi vượt quá chi phí mua sắm trang thiết bị CNTT khi mà cấp nguồn và làm mát chiếm phần lớn ngân sách dành cho CNTT. 2 Chính vì vậy, việc nghiên cứu giải pháp mạng cho TTDL của Ngân hàng là yếu tố quyết định để đảm bảo tới khách hàng sự cam kết cung cấp các dịch vụ nhanh chóng, an toàn, ổn định và hiệu quả. Xuất phát từ những cơ sở khoa học và thực tiễn đó, em đã quyết định chọn đề tài: "Nghiên cứu Kiến trúc hệ thống mạng và bảo mật TTDL áp dụng cho Ngân hàng An Bình" cho luận văn tốt nghiệp. Nghiên cứu lý thuyết: Kiến trúc công nghệ mạng và bảo mật TTDL, kết hợp thực tiễn khảo sát, phân tích, đánh giá tình hình triển khai các giải pháp xây dựng hệ thống mạng và bảo mật TTDL đáp ứng nhu cầu phát triển CNTT hiện nay của các nước trên thế giới và tại Việt Nam. Đồng thời dựa trên cơ sở những kinh nghiệm đã tích lũy được trong thời gian qua. Từ đó, đề xuất xây dựng hệ thống mạng và bảo mật TTDL đảm bảo sự phát triển bên vững cung cấp nền tảng hạ tầng ổn định, an toàn bảo mật cho hệ thống CNTT của Ngân hàng An Bình. Vơi nội dung gồm 3 chương sau: Chương 1. Tổng quan hệ thống mạng TTDL. Chương 2. Một số nguyên tắc xây dựng kiến trúc Mạng và Bảo mật TTDL. Chương 3. Ứng dụng kiến trúc mạng & bảo mật cho TTDL ABBANK. Em xin chân thành cảm ơn thầy giáo TS. Đặng Hoài Bắc đã nhiệt tình hướng dẫn em, các cán bộ kỹ thuật Ngân hàng TMCP An Bình đã tạo mọi điều kiện thuận lợi và có những đóng góp quý báu để em có thể hoàn thành đề tài. Trong đề tài này chắc không thể tránh khỏi các thiếu sót. Em mong nhận được mọi ý kiến đóng góp để hoàn thiện hơn nữa nội dung nghiên cứu. Người thực hiện đề tài xin chân thành cảm ơn! 3 Chương 1 - TỔNG QUAN HỆ THỐNG MẠNG TRUNG TÂM DỮ LIỆU. 1.1. Giới thiệu. Trong chương 1 này em sẽ đi vào việc gới thiệu tổng quan về hệ thống mạng TTDL và một số các vấn đề đặt ra đối với TTDL, những thách thức của các nhà quản lý TTDL, đồng thời miêu tả các yêu cầu đặt ra đối với hệ thống mạng bảo mật TTDL như: yêu cầu chức năng, năng lực xử lý, tính sẵn sàng, độ ổn định. Và đi tới miêu tả sơ lược kiến trúc mạng từng vùng trong bức tranh tổng thể hệ thống mạng TTDL 1.2. Các vấn đề đặt ra đối với TTDL. Đối với bất kỳ một công ty, doanh nghiệp hay một tổ chức nào, TTDL chính là trái tim của hệ thống Công nghệ Thông tin. Một trong những mục tiêu hết sức quan trọng của TTDL là có được một cơ sở hạ tầng thống nhất, có khả năng phối kết hợp chặt chẽ các công nghệ ứng dụng, công nghệ mạng, công nghệ lưu trữ và công nghệ tính toán. 1.3. Các yêu cầu hệ thống mạng TTDL 1.3.1. Chức năng (Functionality) Với thiết kế kiến trúc mạng SONA và module hóa từng chức năng, các yêu cầu cụ thể được đề ra đều được đảm bảo rõ trên thiết kế hạ tầng mạng. - Lớp cơ sở hạ tầng mạng (Networked Infrastruture Layer) - Lớp các dịch vụ tương tác (Interactive Services Layer) - Lớp các dịch vụ mạng ứng dụng (Application Networking Services). 1.3.2. Năng lực xử lý (Performance) Do tính chất phức tạp khi tính toàn Năng Lực Xử Lý, người ta sẽ tập trung vào 3 yếu tố ảnh hưởng mà liên quan tới Năng Lực Xử Lý nhất để có thể nhận biết được một mạng, đó là: - Thời gian đáp ứng (Responsiveness) - Thông lượng (Throughtput) 4 - Tối ưu sử dụng (Utilization) 1.3.3. Khả năng mở rộng (Scalability). Mở rộng mềm là một điểm cũng khá là quan trọng. Người quản trị mạng sẽ phải có khả năng dự đoán được sự mở rộng của mạng để từ đó có thể xác định loại giao thức định tuyến sẽ được sử dụng trên mạng (nhằm tránh việc thay đổi giao thức định tuyến rất phức tạp) và có một quy hoạch về địa chỉ IP (IP Plan) phù hợp nhất với hệ thống mạng. 1.3.4. Độ ổn định (Availability). Kiến trúc mạng TTDL hỗ trợ các doanh nghiệp một chiến lược toàn diện nhằm đảm bảo tính liên tục trong kinh doanh. Đảm bảo tính kiên cường, mau phục hồi của kho dữ liệu: - Công nghệ kết nối WAN/MAN giữa các TTDL với tốc độ cao, độ trễ thấp. - Các công nghệ kéo dài mạng lưu trữ (SAN Extension). - Loại bỏ điểm chết của hệ thống máy chủ (Single-Point of Server Failure). - Mạng riêng ảo (VPN - Virtual Private Network). - Hệ thống lựa chọn TTDL (Global Site Selector). - Độ ổn định (Độ sẵn sàng) được tính toán như sau: Availability(Intrinsic) A i = MTBF / (MTBF + MTTR) 1.3.5. Khả năng bảo mật Các giải pháp bảo mật phải được triển khai trên nhiều lớp tại TTDL: Bảo mật hạ tầng, bảo mật thông tin, Quản trị/quy trình/chính sách, kiểm toán. 1.3.6. Khả năng quản lý (Manageability). Hệ thống mạng chỉ có thể được vận hành hiệu quả nếu được quản lý tốt. Khả năng quản lý cần đảm bảo các nội dung sau: - Quản lý lỗi (Fault Management). - Quản lý cấu hình (Configuration Management). - Kiểm toán hệ thống (Accounting Management) - Quản lý hiệu năng (Performance Management). - Quản lý an ninh (Security Management). 5 1.4. Kiến trúc tổng quan các vùng trong TTDL. 1.4.1. Hệ thống mạng máy chủ (Server Farm Network). Đề xuất TTDL một cơ sở hạ tầng mạng IP xây dựng dựa trên hệ thống chuyển mạch thông minh bằng cách cho phép chuyển mạch lưu trữ thông qua chuyển mạch IP, tăng cường sức mạnh cơ sở hạ tầng mạng IP cho TTDL. Khả năng tích hợp trực tiếp các dịch vụ quan trọng, mang tính sống còn đối với TTDL, như Firewall, IPS, Server Load Balancing, SSL Off-load… 1.4.2. Mạng lưu trữ (SAN - Storage Area Network). Xu hướng công nghệ đang chuyển dần từ hệ thống lưu trữ trực tiếp DAS (Direct-Attached Storage) sang hệ thống lưu trữ theo công nghệ SAN (Storage Area Network) nhằm nâng cao khả năng mở rộng và mức độ thông minh của hệ thống. 1.4.3. Mạng kết nối các TTDL Khi xu hướng xây dựng TTDL tập trung ngày càng được củng cố và phát triển thì việc giảm thiểu thời gian gián đoạn, xảy ra sự cố bằng việc xây dựng TTDL dự phòng và thiết lập kết nối giữa TTDL chính và TTDL dự phòng càng trở nên quan trọng hơn bao giờ hết. 1.5. Kết luận. Chương 1 đã đi qua giới thiệu tổng quan hệ thống mạng TTDL, đồng thời nêu lên những khó khăn thách thức của các nhà quản lý TTDL, đưa ra các yêu cầu trong việc thiết kế hệ thống mạng TTDL, cũng như đưa ra một số phân tích về kiến trúc các phân vùng mạng và bảo mật trong TTDL giúp bạn đọc có thể hình dung bức tranh tổng thể hệ thống mạng TTDL. 6 Chương 2 - MỘT SỐ NGUYÊN TẮC XÂY DỰNG KIẾN TRÚC MẠNG VÀ BẢO MẬT TRUNG TÂM DỮ LIỆU. 2.1. Giới thiệu Kiến trúc mạng TTDL cung cấp nền tảng có khả năng mở rộng, cho phép các TTDL có thể áp dụng và triển khai các công nghệ và hệ thống truyền thống cũng như các công nghệ và hệ thống mới, đang phát triển mạnh, đảm bảo sự bền vững, tính sẵn sàng và khả năng mở rộng. 2.2. Nguyên tắc chung xây dựng hệ thống mạng. 2.2.1. Kiến trúc mạng theo mô hình phân cấp. Hiện nay có rất nhiều mô hình đang được áp dụng và triển khai trên thế giới song mô hình mạng phân cấp và thiết kế theo phân hệ hóa được nghiên cứu và phát triển hơn. 2.2.2. Kiến trúc mạng theo mô hình dự phòng. Việc thực hiện thiết kế dự phòng sẽ giúp tránh được trường hợp khi có 1 điểm trên hệ thống bị sự cố và ngưng hoạt động sẽ làm ngưng trệ toàn bộ hệ thống. Do đó, đối với các thiết bị quan trọng, có ảnh hưởng nhiều đến hệ thống cần phải được áp dụng các biện pháp dự phòng. 2.2.3. Kiến trúc mạng Ảo hóa. Khi xây dựng TTDL, bước tiếp theo của việc tập trung hóa (Data Center Consolidation) là bước thực hiện ảo hóa TTDL (Data Center Virtualization). Giai đoạn ảo hóa này cho phép người quản trị TTDL có thể tạo ra các lớp ảo, trừu tượng giữa các ứng dụng, hệ thống máy chủ và cơ sở hạ tầng mạng. Ảo hóa TTDL là việc tạo ra một thực thể logic từ các thực thể vật lý, hoặc là tạo ra nhiều thực thể logic từ một thực thể vật lý. Ảo hóa mở ra khả năng tận dụng một cách tối ưu nguồn tài nguyên hệ thống, hay nói cách khác là tăng hiệu suất sử dụng của hệ thống. 2.2.4. Kiến trúc mạng Module hóa 7 Hệ thống mạng được phân chia theo các khối chức năng và các khu vực rõ ràng. Các khối chức năng riêng biệt (Core , Management, Edge...) Việc module hóa hệ thống đảm bảo dễ dàng cho việc quản trị, vận hành, nâng cấp, thay đổi…Việc thay đổi, nâng cấp bên trong mỗi khối không gây ảnh hưởng đến các khối khác. Với mỗi khối chỉ quan tâm đến các khu vực còn lại trên khía cạnh giao diện vật lý giao tiếp và dịch vụ cung cấp. 2.3. Kiến trúc hệ thống mạng TTDL Mô hình Enterprise Composite Network chia hệ thống mạng thành 3 phân vùng chức năng vật lý cũng như luận điểm khác nhau gọi là 03 phân hệ Enterprise Campus, Enterprise Edge và Service Provider Edge. Hình 2.5 Mô hình Enterprise Composite Network 2.3.1. Phân hệ mạng Campus Đây là phân hệ cung cấp hệ thống mạng có hiệu năng, tính sẵng sàng và độ tin cậy cao. Phân hệ này chứa các thành phần mạng cần thiết có thể hoạt động một cách độc lập bên trong một phân khu địa lý nào đó với mỗi một phân khu địa lý có thể định nghĩa là một tòa nhà hay nhiều tòa nhà liên kết vật lý hoặc liên kết ảo với nhau. Cấu trúc mạng thiết kế theo dạng module và chia làm 3 lớp rõ ràng bao gồm: lớp distribution, lớp core và lớp access, nhiệm vụ và chức năng của từng lớp như sau: 8 2.3.1.1. Lớp Core Network Lớp này sẽ bao gồm các thiết bị chuyển mạch thông minh với năng lực xử lý nhanh, có khả năng hoạt động ở nhiều lớp trong mô hình 7 lớp OSI. 2.3.1.2. Lớp Distribution Network Lớp Distribution network sẽ làm trung gian kết nối giữa Lớp Core và Lớp Access với sự hỗ trợ của các thiết bị chuyển mạch có cấu hình tương đối, hoạt động được ở nhiều lớp trong mô hình OSI. Chức năng chính của Lớp Distribution là thực hiện các tính toán, phân bố kết nối vào hệ thống cho Lớp Access dựa trên các chính sách phân quyền chung được nhà quản trị đề ra 2.3.1.3. Lớp Access Network Lớp Access sẽ có nhiệm vụ chủ yếu là cung cấp kết nối cho người dùng đầu cuối vào hệ thống ở các tốc độ 10/100/1000 Mbps và một số máy chủ có kết nối 10Gbps. 2.3.2. Phân hệ mạng biên (Enterprise Edge). Phân hệ này dùng để tập trung các kết nối từ nhiều thành phần khác nhau tại vùng biên của mạng Enterprise. Chức năng chính của phân hệ mạng biên cho phép lọc các dòng dữ liệu từ các vùng biên của phân hệ và định tuyến vào phân khu chức năng tương ứng mạng Campus. Phân hệ Enterprise Edge được cấu thành bởi 04 phân hệ con như sau: 2.3.2.1. Phân vùng kết nối Internet Phân hệ này sẽ bao gồm các thiết bị như sau: Hệ thống router kết nối Internet. Phân hệ firewall. Hệ thống IPS. Hệ thống máy chủ web và mail. Hệ thống switch. 2.3.2.2. Phân vùng kết nối tới đối tác (Extranet Network) Phân hệ Extranet được dùng để kết nối tới các đối tác như công ty chứng khoán, sàn vàng, SBV, liên minh thanh toán thẻ, thanh toán đối soát và bù trừ. 9 2.3.2.3. Phân vùng kết nối mạng diện rộng WAN Phân hệ này có chức năng cung cấp các kết nối đến các chi nhánh, văn phòng của doanh nghiệp. Hệ thống router sẽ cung cấp các đường kết nối cho các chi nhánh cấp 1, đường kết nối với các chi nhánh, văn phòng được dùng là đường kết nối số liệu trực tiếp và yêu cầu có dự phòng đường truyền. Nếu xảy ra sự cố, mọi thông lượng sẽ được chuyển sang đường kết nối dự phòng. 2.4. Kết luận. Chương 2 đã đi phân tích kiến trúc mạng của TTDL với tảng vững mạnh có khả năng mở rộng, về những nguyên tắc chung xây dựng hệ thống mạng như: kiến trúc theo mô hình phân cấp, dự phòng, ảo hóa, module hóa; từ đó đi đến phân tích chuyên sâu làm rõ kiến trúc của từng phân vùng trong mô hình hệ thống mạng và bảo mật của TTDL, đặt cơ sở nền móng cho công việc xác định mô hình thiết kế áp dụng cho ABBANK ở chương tiếp theo. 10 Chương 3 – ỨNG DỤNG KIẾN TRÚC MẠNG VÀ BẢO MẬT CHO TTDL ABBANK. 3.1. Giới thiệu. Như đã phân tích ở trên, hệ thống mạng phải được thiết kế dựa trên các tiêu chí, tiêu chuẩn quốc tế (phân cấp, dự phòng, Module hóa, Ảo hóa). 3.2. Thiết kế hệ thống mạng TTDL 3.2.1. Mô hình thiết kế. Hình 3.1 Mô hình tổng thể hệ thống mạng TTDL 3.2.2. Thuyết minh kỹ thuật cho các phân hệ. 3.2.2.1. Thuyết minh kỹ thuật vùng Internet 3.2.2.1.1. Phân tích lưu lượng đi từ ABBank ra Internet. Với lưu lượng đi ra Internet em sẽ thiết kế để gửi traffic ra đường 02 đường Internet FTTH. Khi thiết kế cho traffic được gửi ra Internet, cần định nghĩa loại 11 traffic nào sẽ được ra Internet kết hợp sử dụng giải pháp cân bằng tải mức gateway. Ở đây em sẽ sử dụng giao thức GLBP (Gateway LoadBalancing Protocol) trên các Router kết nối ra Internet. 3.2.2.1.2. Phân tích lưu lượng đi từ Internet vào. Như đã đề cập trước thì lưu lượng đi từ Internet vào sẽ thông qua 02 đường Leased Line dành riêng cho các dịch vụ được public ra Internet là VPN, Swift, Website, Internet Banking… Khi xây dựng hệ thống định tuyến Internet trung tâm tại TTDL ABBANK bằng mô hình Multi-Homing thông qua nhiều kênh kết nối đến các nhà cung cấp dịch vụ ISP thì kế hoạch triển khai bảng định tuyến để kết nối đến các ISP tuỳ thuộc vào chính sách và sự hỗ trợ của các ISP sở tại. Với giải pháp kết hợp trên sẽ giúp cho hệ thống định tuyến Internet trung tâm tại ABBank được xây dựng với kiến trúc dự phòng hoàn chỉnh. Mô hình kết nối của giải pháp sẽ được minh hoạ tổng quát qua sơ đồ kết nối vật lý như sau: 3.2.2.1.3. Giải pháp chia tải cho hệ thống internet. Cơ chế hoạt động của sự chia tải Load Sharing trong môi trường mạng kết nối với 2 ISP của hệ thống định tuyến Internet trung tâm tại ABBank thông qua giao thức BGP được minh hoạ qua sơ đồ kết nối tổng quát như sau: Hình 3.7 Mô hình cấu hình BGP Load Sharing 12 3.2.2.2. Thuyết minh kỹ thuật cho vùng mạng đối tác (Module Extranet) Trong Module này các thành phần sử dụng đều được thiết kế chạy dự phòng, lưu lượng dữ liệu trước khi vào mạng sẽ được kiểm soát bởi hai Firewall có thể ngăn chặn ngay từ bên ngoài những phần tử truy cập vào mạng với ý định xấu. 3.2.2.3. Thuyết minh kỹ thuật cho vùng mạng WAN (Module WAN). Theo như phân tích ở trên, hệ thống mạng được thiết kế theo mô hình phân cấp, ở phần này tập trung phân tích yêu cầu cho Module WAN đó là : tách hệ thống Core Router ra khỏi hệ thống Router đấu nối xuống các chi nhánh, phòng giao dịch và máy ATM (WAN module). Để làm được như vậy, em cũng phân cấp hệ thống WAN thành 03 mức là Core, Distribution và Access. 3.2.2.3.1. Vùng mạng diện rộng lõi (Module WAN Core) Hiện tại, mạng truyền dẫn core của hệ thống bao gồm các thiết bị định tuyến đặt tại hội sở chính tại Hà Nội và hai trung tâm miền tại Đà Nẵng và thành phố Hồ Chí Minh. Thực hiện truyền dữ liệu bằng IP Routing Layer-3 trên lớp mạng Backbone. Router nhận dạng các backbone peer dựa trên địa chỉ IP Address kết hợp với định tuyến lớp 3 thông minh. 3.2.2.3.2. Phân vùng mạng diện rộng phân phối (Module WAN Distribute) Cung cấp kết nối cho lớp Access để giảm tải cho Core Router Thực hiện truyền dữ liệu bằng IP Routing Layer-3 lên lớp mạng Backbone. 3.2.2.3.3. Phân vùng mạng diện rộng truy nhập (Module WAN Access) Lớp mạng WAN lớp Access là lớp mạng tại các chi nhánh Ngân hàng. Lớp mạng này kết nối trực tiếp về lớp Distribution tại các TTDLMô hình thiết kế tại một điểm (một chi nhánh) trong lớp Access. 3.2.2.4. Thuyết minh kỹ thuật phân hệ mạng người dùng (Campus network). Đây là vùng mà dùng để kết nối tới toàn bộ người dùng và kết nối tới hệ thống máy chủ. Như đã được trình bầy, hệ thống được thiết kế phân cấp: Core, 13 Distribution, Access. Vấn đề đặt ra cho Module này liên quan tới lớp 2 là chủ yếu như VLAN, STP, VTP…. 3.2.2.4.1. Thuyết minh các hoạt động của lớp 2. Dự kiến số lượng thiết bị truy nhập dành cho người dùng là rất lớn, do vậy đề xuất sử dụng dòng thiết bị hỗ trợ PoE (cho IP Phone). Ở hình 3.13, ta có thể hình dung như sau: frame từ HostA đến HostC sẽ ngẫu nhiên chọn Link 1 hoặc Link 2 tuỳ vào thuật toán Hash. Hình 3.13 Mô hình chia VLAN và kết nối Etherchanel Một câu hỏi được đặt ra khi chúng ta sử dụng nhiều đường kết nối lên Switch distribution chính là: liệu có tồn tại một quá trình loop các frame trên hệ thống và hậu quả là tạo thành “broadcast storm” không? Câu trả lời là: “Có” do có rất nhiều các đường link nên tạo bảng MAC trên Switch sẽ ghi lại thành một địa chỉ MAC nguồn trên nhiều cổng Switch khác nhau. Để giải quyết vấn đề loop này, toàn bộ các thiết bị mặc định đã được sử dụng tính năng Spanning-tree. Hình 3.14 Mô hình tổng quan của STP 14 Bên cạnh những tính năng dự phòng cho đường link giữa switch access và switch distribution, em sẽ sử dụng thêm một số các tính năng ưu việt khác như Port Fast, BPDU Gurad, Root Guard, Loop Guard, Backbone Fast…. 3.2.2.4.2. Thuyết minh bảo mật thiết bị mạng người dùng. Một vài phương án bảo mật tại Module này có thể được liệt kê như sau: - Sử dụng 802.1x Authentication - Sử dụng Dynamic ARP Inspection - Sử dụng Port Security - Sử dụng Private VLAN - Sử dụng Storm-Control. - Sử dụng DHCP Snooping 3.2.2.5. Thuyết minh kỹ thuật cho vùng Mạng Lõi (Module Core). Phân vùng Mạng Lõi tại ABBANK được dùng làm trung tâm để kết nối tới toàn bộ các vùng khác trên mạng. 3.2.2.5.1. Tối ưu hóa chuyển