Công nghệ thông tin (CNTT) ngày nay hầu như đi vào tất cả các lĩnh vực
trong xã hội: kinh tế, giáo dục, giải trí.và nó đã mang lại những thành quả rất đáng
kể. Đối với các doanh nghiệp, các công ty tài chính, ngân hàng thì CNTT đóng một
vai trò hết sức quan trọng trong việc phát triển và mở rộng doanh nghiệp, tạo thuận
lợi trong việc kinh doanh cũng như trong vấn đề quản lý và điều hành, đặc biệt
CNTT đóng vai trò quan trọng trong việc tạo ra sự khác biệt và nâng cao khả năng
cạnh tranh giữa các ngân hàng trong thời hội nhập.
Để hệ thống CNTT của các Ngân Hàng hoạt động có hiệu suất cao, tại thời
điểm hiện nay các Ngân Hàng trong nước cũng đang từng bước phát triển thiết lập
cho mình một hệ thống cơ sở hạ tầng hiện đại như: Hệ thống hạ tầng mạng hiện đại,
Hệ thống quản lý dữ liệu tập trung; Hệ thống máy chủ có tính sẵn sàng cao
(Clustering); Tối ưu hoá mạng nâng cao hiệu suất đường truyền (WAN Application
Optimization); Giải pháp dự phòng thảm hoạ (Disaster Recovery); Giám sát hệ
thống (Monitoring); Giải pháp an ninh bảo mật (Security) và phòng chống Virus
xâm nhập mạng; Phòng chống sự tấn công, xâm nhập bất hợp pháp vào hệ thống;
Quản trị hệ thống (System Management); Dịch vụ bảo hành bảo trì hệ thống nhằm
đảm bảo hoạt động liên tục, thông suốt của hệ thống .
27 trang |
Chia sẻ: lvbuiluyen | Lượt xem: 3081 | Lượt tải: 3
Bạn đang xem trước 20 trang tài liệu Nghiên cứu kiến trúc hệ thống mạng và bảo mật trung tâm dữliệu áp dụng cho Abbank, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
TIỂU LUẬN
ĐỀ TÀI: “NGHIÊN CỨU KIẾN TRÚC HỆ
THỐNG MẠNG VÀ BẢO MẬT TRUNG TÂM
DỮ LIỆU ÁP DỤNG CHO ABBANK.”
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
----------------------------------------
ĐÀO VĂN NGỌC
NGHIÊN CỨU KIẾN TRÚC HỆ THỐNG MẠNG VÀ BẢO MẬT TRUNG
TÂM DỮ LIỆU ÁP DỤNG CHO ABBANK.
Chuyên nghành: Truyền dữ liệu và Mạng máy tính
Mã số: 60.48.15
TÓM TẮT LUẬN VĂN THẠC SỸ
HÀ NỘI – 2011
Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Người hướng dẫn khoa học: TS. Đặng Hoài Bắc
Phản biện 1: ……….………………………………..…………………
Phản biện 2: ……………….….……………………….………………
Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công
nghệ Bưu chính Viễn thông
Vào lúc: …….. giờ ……. ngày ……. tháng …… năm ………
Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông
1
MỞ ĐẦU
Công nghệ thông tin (CNTT) ngày nay hầu như đi vào tất cả các lĩnh vực
trong xã hội: kinh tế, giáo dục, giải trí...và nó đã mang lại những thành quả rất đáng
kể. Đối với các doanh nghiệp, các công ty tài chính, ngân hàng thì CNTT đóng một
vai trò hết sức quan trọng trong việc phát triển và mở rộng doanh nghiệp, tạo thuận
lợi trong việc kinh doanh cũng như trong vấn đề quản lý và điều hành, đặc biệt
CNTT đóng vai trò quan trọng trong việc tạo ra sự khác biệt và nâng cao khả năng
cạnh tranh giữa các ngân hàng trong thời hội nhập.
Để hệ thống CNTT của các Ngân Hàng hoạt động có hiệu suất cao, tại thời
điểm hiện nay các Ngân Hàng trong nước cũng đang từng bước phát triển thiết lập
cho mình một hệ thống cơ sở hạ tầng hiện đại như: Hệ thống hạ tầng mạng hiện đại,
Hệ thống quản lý dữ liệu tập trung; Hệ thống máy chủ có tính sẵn sàng cao
(Clustering); Tối ưu hoá mạng nâng cao hiệu suất đường truyền (WAN Application
Optimization); Giải pháp dự phòng thảm hoạ (Disaster Recovery); Giám sát hệ
thống (Monitoring); Giải pháp an ninh bảo mật (Security) và phòng chống Virus
xâm nhập mạng; Phòng chống sự tấn công, xâm nhập bất hợp pháp vào hệ thống;
Quản trị hệ thống (System Management); Dịch vụ bảo hành bảo trì hệ thống nhằm
đảm bảo hoạt động liên tục, thông suốt của hệ thống…...
Ngoài ra, theo thống kê của tổ chức nghiên cứu thị trường toàn cầu - Gartner
thì cơ sở hạ tầng truyền thống sẽ có nguy cơ bị quá tải do: Lưu trữ tăng từ 40% đến
70% mỗi năm; Mức độ sử dụng (máy chủ và hệ thống lưu trữ) tăng từ 15% đến
25% mỗi năm; Việc cấp nguồn và làm mát cũng tăng khoảng 30% tổng chi phí. Nhu
cầu điện toán vẫn tiếp tục tăng trưởng; mật độ tủ Rack trong các phòng máy chủ đã
tăng gấp đôi sau mỗi 8 năm kể từ năm 1992, mật độ thiết bị cũng cao hơn thông
qua sử dụng máy chủ phiến, ảo hóa máy chủ và tập trung hóa máy chủ. Do đó, mật
độ điện năng cũng đang gia tăng mạnh mẽ; chi phí về cơ sở hạ tầng vật lý (cấp
nguồn, làm mát) sẽ ngang bằng, rồi vượt quá chi phí mua sắm trang thiết bị CNTT
khi mà cấp nguồn và làm mát chiếm phần lớn ngân sách dành cho CNTT.
2
Chính vì vậy, việc nghiên cứu giải pháp mạng cho TTDL của Ngân hàng là
yếu tố quyết định để đảm bảo tới khách hàng sự cam kết cung cấp các dịch vụ
nhanh chóng, an toàn, ổn định và hiệu quả.
Xuất phát từ những cơ sở khoa học và thực tiễn đó, em đã quyết định chọn
đề tài: "Nghiên cứu Kiến trúc hệ thống mạng và bảo mật TTDL áp dụng cho
Ngân hàng An Bình" cho luận văn tốt nghiệp.
Nghiên cứu lý thuyết: Kiến trúc công nghệ mạng và bảo mật TTDL, kết hợp
thực tiễn khảo sát, phân tích, đánh giá tình hình triển khai các giải pháp xây dựng hệ
thống mạng và bảo mật TTDL đáp ứng nhu cầu phát triển CNTT hiện nay của các
nước trên thế giới và tại Việt Nam.
Đồng thời dựa trên cơ sở những kinh nghiệm đã tích lũy được trong thời gian
qua. Từ đó, đề xuất xây dựng hệ thống mạng và bảo mật TTDL đảm bảo sự phát
triển bên vững cung cấp nền tảng hạ tầng ổn định, an toàn bảo mật cho hệ thống
CNTT của Ngân hàng An Bình. Vơi nội dung gồm 3 chương sau:
Chương 1. Tổng quan hệ thống mạng TTDL.
Chương 2. Một số nguyên tắc xây dựng kiến trúc Mạng và Bảo mật TTDL.
Chương 3. Ứng dụng kiến trúc mạng & bảo mật cho TTDL ABBANK.
Em xin chân thành cảm ơn thầy giáo TS. Đặng Hoài Bắc đã nhiệt tình
hướng dẫn em, các cán bộ kỹ thuật Ngân hàng TMCP An Bình đã tạo mọi điều kiện
thuận lợi và có những đóng góp quý báu để em có thể hoàn thành đề tài. Trong đề
tài này chắc không thể tránh khỏi các thiếu sót. Em mong nhận được mọi ý kiến
đóng góp để hoàn thiện hơn nữa nội dung nghiên cứu.
Người thực hiện đề tài xin chân thành cảm ơn!
3
Chương 1 - TỔNG QUAN HỆ THỐNG MẠNG TRUNG TÂM
DỮ LIỆU.
1.1. Giới thiệu.
Trong chương 1 này em sẽ đi vào việc gới thiệu tổng quan về hệ thống mạng
TTDL và một số các vấn đề đặt ra đối với TTDL, những thách thức của các nhà
quản lý TTDL, đồng thời miêu tả các yêu cầu đặt ra đối với hệ thống mạng bảo mật
TTDL như: yêu cầu chức năng, năng lực xử lý, tính sẵn sàng, độ ổn định. Và đi tới
miêu tả sơ lược kiến trúc mạng từng vùng trong bức tranh tổng thể hệ thống mạng
TTDL
1.2. Các vấn đề đặt ra đối với TTDL.
Đối với bất kỳ một công ty, doanh nghiệp hay một tổ chức nào, TTDL chính
là trái tim của hệ thống Công nghệ Thông tin. Một trong những mục tiêu hết sức
quan trọng của TTDL là có được một cơ sở hạ tầng thống nhất, có khả năng phối
kết hợp chặt chẽ các công nghệ ứng dụng, công nghệ mạng, công nghệ lưu trữ và
công nghệ tính toán.
1.3. Các yêu cầu hệ thống mạng TTDL
1.3.1. Chức năng (Functionality)
Với thiết kế kiến trúc mạng SONA và module hóa từng chức năng, các yêu
cầu cụ thể được đề ra đều được đảm bảo rõ trên thiết kế hạ tầng mạng.
- Lớp cơ sở hạ tầng mạng (Networked Infrastruture Layer)
- Lớp các dịch vụ tương tác (Interactive Services Layer)
- Lớp các dịch vụ mạng ứng dụng (Application Networking Services).
1.3.2. Năng lực xử lý (Performance)
Do tính chất phức tạp khi tính toàn Năng Lực Xử Lý, người ta sẽ tập trung
vào 3 yếu tố ảnh hưởng mà liên quan tới Năng Lực Xử Lý nhất để có thể nhận biết
được một mạng, đó là:
- Thời gian đáp ứng (Responsiveness)
- Thông lượng (Throughtput)
4
- Tối ưu sử dụng (Utilization)
1.3.3. Khả năng mở rộng (Scalability).
Mở rộng mềm là một điểm cũng khá là quan trọng. Người quản trị mạng sẽ
phải có khả năng dự đoán được sự mở rộng của mạng để từ đó có thể xác định loại
giao thức định tuyến sẽ được sử dụng trên mạng (nhằm tránh việc thay đổi giao thức
định tuyến rất phức tạp) và có một quy hoạch về địa chỉ IP (IP Plan) phù hợp nhất
với hệ thống mạng.
1.3.4. Độ ổn định (Availability).
Kiến trúc mạng TTDL hỗ trợ các doanh nghiệp một chiến lược toàn diện
nhằm đảm bảo tính liên tục trong kinh doanh. Đảm bảo tính kiên cường, mau phục
hồi của kho dữ liệu:
- Công nghệ kết nối WAN/MAN giữa các TTDL với tốc độ cao, độ trễ thấp.
- Các công nghệ kéo dài mạng lưu trữ (SAN Extension).
- Loại bỏ điểm chết của hệ thống máy chủ (Single-Point of Server Failure).
- Mạng riêng ảo (VPN - Virtual Private Network).
- Hệ thống lựa chọn TTDL (Global Site Selector).
- Độ ổn định (Độ sẵn sàng) được tính toán như sau:
Availability(Intrinsic) A i = MTBF / (MTBF + MTTR)
1.3.5. Khả năng bảo mật
Các giải pháp bảo mật phải được triển khai trên nhiều lớp tại TTDL: Bảo mật
hạ tầng, bảo mật thông tin, Quản trị/quy trình/chính sách, kiểm toán.
1.3.6. Khả năng quản lý (Manageability).
Hệ thống mạng chỉ có thể được vận hành hiệu quả nếu được quản lý tốt. Khả
năng quản lý cần đảm bảo các nội dung sau:
- Quản lý lỗi (Fault Management).
- Quản lý cấu hình (Configuration Management).
- Kiểm toán hệ thống (Accounting Management)
- Quản lý hiệu năng (Performance Management).
- Quản lý an ninh (Security Management).
5
1.4. Kiến trúc tổng quan các vùng trong TTDL.
1.4.1. Hệ thống mạng máy chủ (Server Farm Network).
Đề xuất TTDL một cơ sở hạ tầng mạng IP xây dựng dựa trên hệ thống
chuyển mạch thông minh bằng cách cho phép chuyển mạch lưu trữ thông qua
chuyển mạch IP, tăng cường sức mạnh cơ sở hạ tầng mạng IP cho TTDL.
Khả năng tích hợp trực tiếp các dịch vụ quan trọng, mang tính sống còn đối
với TTDL, như Firewall, IPS, Server Load Balancing, SSL Off-load…
1.4.2. Mạng lưu trữ (SAN - Storage Area Network).
Xu hướng công nghệ đang chuyển dần từ hệ thống lưu trữ trực tiếp DAS
(Direct-Attached Storage) sang hệ thống lưu trữ theo công nghệ SAN (Storage Area
Network) nhằm nâng cao khả năng mở rộng và mức độ thông minh của hệ thống.
1.4.3. Mạng kết nối các TTDL
Khi xu hướng xây dựng TTDL tập trung ngày càng được củng cố và phát
triển thì việc giảm thiểu thời gian gián đoạn, xảy ra sự cố bằng việc xây dựng TTDL
dự phòng và thiết lập kết nối giữa TTDL chính và TTDL dự phòng càng trở nên
quan trọng hơn bao giờ hết.
1.5. Kết luận.
Chương 1 đã đi qua giới thiệu tổng quan hệ thống mạng TTDL, đồng thời
nêu lên những khó khăn thách thức của các nhà quản lý TTDL, đưa ra các yêu cầu
trong việc thiết kế hệ thống mạng TTDL, cũng như đưa ra một số phân tích về kiến
trúc các phân vùng mạng và bảo mật trong TTDL giúp bạn đọc có thể hình dung
bức tranh tổng thể hệ thống mạng TTDL.
6
Chương 2 - MỘT SỐ NGUYÊN TẮC XÂY DỰNG KIẾN
TRÚC MẠNG VÀ BẢO MẬT TRUNG TÂM DỮ LIỆU.
2.1. Giới thiệu
Kiến trúc mạng TTDL cung cấp nền tảng có khả năng mở rộng, cho phép các
TTDL có thể áp dụng và triển khai các công nghệ và hệ thống truyền thống cũng
như các công nghệ và hệ thống mới, đang phát triển mạnh, đảm bảo sự bền vững,
tính sẵn sàng và khả năng mở rộng.
2.2. Nguyên tắc chung xây dựng hệ thống mạng.
2.2.1. Kiến trúc mạng theo mô hình phân cấp.
Hiện nay có rất nhiều mô hình đang được áp dụng và triển khai trên thế giới
song mô hình mạng phân cấp và thiết kế theo phân hệ hóa được nghiên cứu và phát
triển hơn.
2.2.2. Kiến trúc mạng theo mô hình dự phòng.
Việc thực hiện thiết kế dự phòng sẽ giúp tránh được trường hợp khi có 1
điểm trên hệ thống bị sự cố và ngưng hoạt động sẽ làm ngưng trệ toàn bộ hệ thống.
Do đó, đối với các thiết bị quan trọng, có ảnh hưởng nhiều đến hệ thống cần phải
được áp dụng các biện pháp dự phòng.
2.2.3. Kiến trúc mạng Ảo hóa.
Khi xây dựng TTDL, bước tiếp theo của việc tập trung hóa (Data Center
Consolidation) là bước thực hiện ảo hóa TTDL (Data Center Virtualization). Giai
đoạn ảo hóa này cho phép người quản trị TTDL có thể tạo ra các lớp ảo, trừu tượng
giữa các ứng dụng, hệ thống máy chủ và cơ sở hạ tầng mạng.
Ảo hóa TTDL là việc tạo ra một thực thể logic từ các thực thể vật lý, hoặc là
tạo ra nhiều thực thể logic từ một thực thể vật lý. Ảo hóa mở ra khả năng tận dụng
một cách tối ưu nguồn tài nguyên hệ thống, hay nói cách khác là tăng hiệu suất sử
dụng của hệ thống.
2.2.4. Kiến trúc mạng Module hóa
7
Hệ thống mạng được phân chia theo các khối chức năng và các khu vực rõ
ràng. Các khối chức năng riêng biệt (Core , Management, Edge...)
Việc module hóa hệ thống đảm bảo dễ dàng cho việc quản trị, vận hành,
nâng cấp, thay đổi…Việc thay đổi, nâng cấp bên trong mỗi khối không gây ảnh
hưởng đến các khối khác. Với mỗi khối chỉ quan tâm đến các khu vực còn lại trên
khía cạnh giao diện vật lý giao tiếp và dịch vụ cung cấp.
2.3. Kiến trúc hệ thống mạng TTDL
Mô hình Enterprise Composite Network chia hệ thống mạng thành 3 phân
vùng chức năng vật lý cũng như luận điểm khác nhau gọi là 03 phân hệ Enterprise
Campus, Enterprise Edge và Service Provider Edge.
Hình 2.5 Mô hình Enterprise Composite Network
2.3.1. Phân hệ mạng Campus
Đây là phân hệ cung cấp hệ thống mạng có hiệu năng, tính sẵng sàng và độ
tin cậy cao. Phân hệ này chứa các thành phần mạng cần thiết có thể hoạt động một
cách độc lập bên trong một phân khu địa lý nào đó với mỗi một phân khu địa lý có
thể định nghĩa là một tòa nhà hay nhiều tòa nhà liên kết vật lý hoặc liên kết ảo với
nhau. Cấu trúc mạng thiết kế theo dạng module và chia làm 3 lớp rõ ràng bao gồm:
lớp distribution, lớp core và lớp access, nhiệm vụ và chức năng của từng lớp như
sau:
8
2.3.1.1. Lớp Core Network
Lớp này sẽ bao gồm các thiết bị chuyển mạch thông minh với năng lực xử lý
nhanh, có khả năng hoạt động ở nhiều lớp trong mô hình 7 lớp OSI.
2.3.1.2. Lớp Distribution Network
Lớp Distribution network sẽ làm trung gian kết nối giữa Lớp Core và Lớp
Access với sự hỗ trợ của các thiết bị chuyển mạch có cấu hình tương đối, hoạt động
được ở nhiều lớp trong mô hình OSI. Chức năng chính của Lớp Distribution là thực
hiện các tính toán, phân bố kết nối vào hệ thống cho Lớp Access dựa trên các chính
sách phân quyền chung được nhà quản trị đề ra
2.3.1.3. Lớp Access Network
Lớp Access sẽ có nhiệm vụ chủ yếu là cung cấp kết nối cho người dùng đầu
cuối vào hệ thống ở các tốc độ 10/100/1000 Mbps và một số máy chủ có kết nối
10Gbps.
2.3.2. Phân hệ mạng biên (Enterprise Edge).
Phân hệ này dùng để tập trung các kết nối từ nhiều thành phần khác nhau tại
vùng biên của mạng Enterprise. Chức năng chính của phân hệ mạng biên cho phép
lọc các dòng dữ liệu từ các vùng biên của phân hệ và định tuyến vào phân khu chức
năng tương ứng mạng Campus. Phân hệ Enterprise Edge được cấu thành bởi 04
phân hệ con như sau:
2.3.2.1. Phân vùng kết nối Internet
Phân hệ này sẽ bao gồm các thiết bị như sau: Hệ thống router kết nối
Internet. Phân hệ firewall. Hệ thống IPS. Hệ thống máy chủ web và mail. Hệ thống
switch.
2.3.2.2. Phân vùng kết nối tới đối tác (Extranet Network)
Phân hệ Extranet được dùng để kết nối tới các đối tác như công ty chứng
khoán, sàn vàng, SBV, liên minh thanh toán thẻ, thanh toán đối soát và bù trừ.
9
2.3.2.3. Phân vùng kết nối mạng diện rộng WAN
Phân hệ này có chức năng cung cấp các kết nối đến các chi nhánh, văn phòng
của doanh nghiệp. Hệ thống router sẽ cung cấp các đường kết nối cho các chi nhánh
cấp 1, đường kết nối với các chi nhánh, văn phòng được dùng là đường kết nối số
liệu trực tiếp và yêu cầu có dự phòng đường truyền. Nếu xảy ra sự cố, mọi thông
lượng sẽ được chuyển sang đường kết nối dự phòng.
2.4. Kết luận.
Chương 2 đã đi phân tích kiến trúc mạng của TTDL với tảng vững mạnh có
khả năng mở rộng, về những nguyên tắc chung xây dựng hệ thống mạng như: kiến
trúc theo mô hình phân cấp, dự phòng, ảo hóa, module hóa; từ đó đi đến phân tích
chuyên sâu làm rõ kiến trúc của từng phân vùng trong mô hình hệ thống mạng và
bảo mật của TTDL, đặt cơ sở nền móng cho công việc xác định mô hình thiết kế áp
dụng cho ABBANK ở chương tiếp theo.
10
Chương 3 – ỨNG DỤNG KIẾN TRÚC MẠNG VÀ BẢO MẬT
CHO TTDL ABBANK.
3.1. Giới thiệu.
Như đã phân tích ở trên, hệ thống mạng phải được thiết kế dựa trên các tiêu
chí, tiêu chuẩn quốc tế (phân cấp, dự phòng, Module hóa, Ảo hóa).
3.2. Thiết kế hệ thống mạng TTDL
3.2.1. Mô hình thiết kế.
Hình 3.1 Mô hình tổng thể hệ thống mạng TTDL
3.2.2. Thuyết minh kỹ thuật cho các phân hệ.
3.2.2.1. Thuyết minh kỹ thuật vùng Internet
3.2.2.1.1. Phân tích lưu lượng đi từ ABBank ra Internet.
Với lưu lượng đi ra Internet em sẽ thiết kế để gửi traffic ra đường 02 đường
Internet FTTH. Khi thiết kế cho traffic được gửi ra Internet, cần định nghĩa loại
11
traffic nào sẽ được ra Internet kết hợp sử dụng giải pháp cân bằng tải mức gateway.
Ở đây em sẽ sử dụng giao thức GLBP (Gateway LoadBalancing Protocol) trên các
Router kết nối ra Internet.
3.2.2.1.2. Phân tích lưu lượng đi từ Internet vào.
Như đã đề cập trước thì lưu lượng đi từ Internet vào sẽ thông qua 02 đường
Leased Line dành riêng cho các dịch vụ được public ra Internet là VPN, Swift,
Website, Internet Banking…
Khi xây dựng hệ thống định tuyến Internet trung tâm tại TTDL ABBANK
bằng mô hình Multi-Homing thông qua nhiều kênh kết nối đến các nhà cung cấp
dịch vụ ISP thì kế hoạch triển khai bảng định tuyến để kết nối đến các ISP tuỳ thuộc
vào chính sách và sự hỗ trợ của các ISP sở tại. Với giải pháp kết hợp trên sẽ giúp
cho hệ thống định tuyến Internet trung tâm tại ABBank được xây dựng với kiến trúc
dự phòng hoàn chỉnh. Mô hình kết nối của giải pháp sẽ được minh hoạ tổng quát
qua sơ đồ kết nối vật lý như sau:
3.2.2.1.3. Giải pháp chia tải cho hệ thống internet.
Cơ chế hoạt động của sự chia tải Load Sharing trong môi trường mạng kết
nối với 2 ISP của hệ thống định tuyến Internet trung tâm tại ABBank thông qua
giao thức BGP được minh hoạ qua sơ đồ kết nối tổng quát như sau:
Hình 3.7 Mô hình cấu hình BGP Load Sharing
12
3.2.2.2. Thuyết minh kỹ thuật cho vùng mạng đối tác (Module Extranet)
Trong Module này các thành phần sử dụng đều được thiết kế chạy dự phòng,
lưu lượng dữ liệu trước khi vào mạng sẽ được kiểm soát bởi hai Firewall có thể
ngăn chặn ngay từ bên ngoài những phần tử truy cập vào mạng với ý định xấu.
3.2.2.3. Thuyết minh kỹ thuật cho vùng mạng WAN (Module WAN).
Theo như phân tích ở trên, hệ thống mạng được thiết kế theo mô hình phân
cấp, ở phần này tập trung phân tích yêu cầu cho Module WAN đó là : tách hệ thống
Core Router ra khỏi hệ thống Router đấu nối xuống các chi nhánh, phòng giao dịch
và máy ATM (WAN module). Để làm được như vậy, em cũng phân cấp hệ thống
WAN thành 03 mức là Core, Distribution và Access.
3.2.2.3.1. Vùng mạng diện rộng lõi (Module WAN Core)
Hiện tại, mạng truyền dẫn core của hệ thống bao gồm các thiết bị định tuyến
đặt tại hội sở chính tại Hà Nội và hai trung tâm miền tại Đà Nẵng và thành phố Hồ
Chí Minh.
Thực hiện truyền dữ liệu bằng IP Routing Layer-3 trên lớp mạng Backbone.
Router nhận dạng các backbone peer dựa trên địa chỉ IP Address kết hợp với định
tuyến lớp 3 thông minh.
3.2.2.3.2. Phân vùng mạng diện rộng phân phối (Module WAN Distribute)
Cung cấp kết nối cho lớp Access để giảm tải cho Core Router Thực hiện
truyền dữ liệu bằng IP Routing Layer-3 lên lớp mạng Backbone.
3.2.2.3.3. Phân vùng mạng diện rộng truy nhập (Module WAN Access)
Lớp mạng WAN lớp Access là lớp mạng tại các chi nhánh Ngân hàng. Lớp
mạng này kết nối trực tiếp về lớp Distribution tại các TTDLMô hình thiết kế tại một
điểm (một chi nhánh) trong lớp Access.
3.2.2.4. Thuyết minh kỹ thuật phân hệ mạng người dùng (Campus
network).
Đây là vùng mà dùng để kết nối tới toàn bộ người dùng và kết nối tới hệ
thống máy chủ. Như đã được trình bầy, hệ thống được thiết kế phân cấp: Core,
13
Distribution, Access. Vấn đề đặt ra cho Module này liên quan tới lớp 2 là chủ yếu
như VLAN, STP, VTP….
3.2.2.4.1. Thuyết minh các hoạt động của lớp 2.
Dự kiến số lượng thiết bị truy nhập dành cho người dùng là rất lớn, do vậy
đề xuất sử dụng dòng thiết bị hỗ trợ PoE (cho IP Phone). Ở hình 3.13, ta có thể hình
dung như sau: frame từ HostA đến HostC sẽ ngẫu nhiên chọn Link 1 hoặc Link 2
tuỳ vào thuật toán Hash.
Hình 3.13 Mô hình chia VLAN và kết nối Etherchanel
Một câu hỏi được đặt ra khi chúng ta sử dụng nhiều đường kết nối lên Switch
distribution chính là: liệu có tồn tại một quá trình loop các frame trên hệ thống và
hậu quả là tạo thành “broadcast storm” không? Câu trả lời là: “Có” do có rất nhiều
các đường link nên tạo bảng MAC trên Switch sẽ ghi lại thành một địa chỉ MAC
nguồn trên nhiều cổng Switch khác nhau. Để giải quyết vấn đề loop này, toàn bộ
các thiết bị mặc định đã được sử dụng tính năng Spanning-tree.
Hình 3.14 Mô hình tổng quan của STP
14
Bên cạnh những tính năng dự phòng cho đường link giữa switch access và
switch distribution, em sẽ sử dụng thêm một số các tính năng ưu việt khác như Port
Fast, BPDU Gurad, Root Guard, Loop Guard, Backbone Fast….
3.2.2.4.2. Thuyết minh bảo mật thiết bị mạng người dùng.
Một vài phương án bảo mật tại Module này có thể được liệt kê như sau:
- Sử dụng 802.1x Authentication
- Sử dụng Dynamic ARP Inspection
- Sử dụng Port Security
- Sử dụng Private VLAN
- Sử dụng Storm-Control.
- Sử dụng DHCP Snooping
3.2.2.5. Thuyết minh kỹ thuật cho vùng Mạng Lõi (Module Core).
Phân vùng Mạng Lõi tại ABBANK được dùng làm trung tâm để kết nối tới
toàn bộ các vùng khác trên mạng.
3.2.2.5.1. Tối ưu hóa chuyển