TƯ VẤN HẠ TẦNG MẠNG TẠI TRƯỜNG ĐẠI HỌC KINH TẾ ĐÀ NẴNG

1. TƯ VẤN HẠ TẦNG MẠNG
TẠI TRƯỜNG ĐẠI HỌC KINH TẾ
ĐÀ NẴNG
EIS Confidential - April, 2003

2. Solution Proposal
Mục Lục
1 LỜI NÓI ĐẦU------------------------------------------------------------------------------------------------------------3
2 ĐỊNH HƯỚNG THIẾT KẾ--------------------------------------------------------------------------------------------4
2.1 NGUYÊN TẮC THIẾT KẾ--------------------------------------------------------------------------------------4
2.2 MÔ HÌNH KẾ THỪA --------------------------------------------------------------------------------------------5
2.3 YÊU CẦU CHÍNH CHO HẠ TẦNG MẠNG CỦA TRƯỜNG ĐHKT ĐN----------------------------7
2.4 CHỌN LỰA NHÀ SẢN XUẤT---------------------------------------------------------------------------------8
3 THIẾT KẾ MẠNG CAMPUS---------------------------------------------------------------------------------------13
3.1 MÔ TẢ BẢN VẼ THIẾT KẾ----------------------------------------------------------------------------------13
3.2 LỰA CHỌN THIẾT BỊ-----------------------------------------------------------------------------------------16
3.2.1 Center Switch--------------------------------------------------------------------------16
3.2.2 Distribution Switch và Access Switch---------------------------------------------17
4 CÁC PHÂN HỆ KHÁC TRONG MẠNG-------------------------------------------------------------------------18
4.1 PHÂN HỆ CÁP---------------------------------------------------------------------------------------------------18
4.2 PHÂN HỆ BẢO MẬT-------------------------------------------------------------------------------------------21
4.2.1 Cisco Secure Intrusion Detection System-----------------------------------------21
4.2.2 Cisco Security Agent------------------------------------------------------------------22
4.3 PHÂN HỆ QUẢN TRỊ MẠNG--------------------------------------------------------------------------------23
4.4 PHÂN HỆ TRUYỀN THÔNG---------------------------------------------------------------------------------25
4.5 PHÂN HỆ INTERNET VÀ TRUY CẬP TỪ XA----------------------------------------------------------25
5 DỰ TOÁN ĐẦU TƯ---------------------------------------------------------------------------------------------------29
6 TÀI LIỆU KỸ THUẬT THIẾT BỊ---------------------------------------------------------------------------------30
EIS confidential
2

3. Solution Proposal
1 LỜI NÓI ĐẦU
Ngày nay, CNTT được xem là một trong những yếu tố quan trọng ảnh hưởng đến sự
phát triển của nền kinh tế Thế Giới nói chung và kinh tế ở các quốc gia nói riêng, mặc dù
sức ảnh hưởng cũng như sự tiếp cận với công nghệ này đều mang những tính chất và đặc
trưng riêng của sự phát triển ở từng quốc gia. CNTT ảnh hưởng đến sự phát triển chung của
toàn nhân loại. Cùng với sự phát triển của nền kinh tế tri thức ở các nước Châu Á, Việt Nam
cũng đang cố gắng từng bước đưa CNTT vào tất cả các ngành nghề, các lĩnh vực khác nhau
trong xã hội nhằm tạo động lực thúc đẩy sự phát triển của nền kinh tế quốc gia, góp phần
vào sự nghiệp phát triển công nghiệp hóa và hiện đại hóa Đất nước.
CNTT ngày nay hầu như đi vào tất cả các lĩnh vực trong xã hội: kinh tế, giáo dục, giải
trí...và nó đã mang lại những thành quả rất đáng kể. Đối với các doanh nghiệp, các tổ chức
xã hội và các công ty thì CNTT đóng một vai trò hết sức quan trọng trong việc phát triển và
mở rộng việc sản xuất, kinh doanh và điều hành ..., tạo sự thuận lợi trong việc kinh doanh
cũng như trong vấn đề quản lý và điều hành.
Do vậy, cùng với sự phát triển mạnh mẽ của ngành CNTT hiện nay thì nhu cầu ứng
dụng những thành quả của CNTT vào hoạt động các tổ chức xã hội, công ty, doanh nghiệp
là điều dễ hiểu và cần thiết phải làm nhằm nâng cao chất lượng và hiệu quả kinh doanh của
các thành phần này. Nhu cầu đặt ra cho sự phát triển CNTT trong các thành phần này là:
• Trao đổi thông tin dữ liệu nhanh chóng và an toàn: việc trao đổi thông tin, dữ liệu
giữa các thành viên trong doanh nghiệp, giữa văn phòng trung tâm với các chi nhánh
được thực hiện một cách nhanh chóng và an toàn, tốc độ truyền tải thông tin cao, đáp
ứng nhu cầu hoạt động của doanh nghiệp.
• Có khả năng quản lý tập trung thông tin dữ liệu: xây dựng được mô hình quản lý
tập trung, tất cả dữ liệu được tập trung tại một nơi để vừa bảo mật thông tin vừa
thuận tiện cho việc quản lý và sao lưu dự phòng dữ liệu. Đồng thời với cách quản lý
tập trung từ văn phòng trung tâm có thể dễ dàng quản lý các văn phòng từ xa thông
qua sự hỗ trợ của các chương trình ứng dụng.
• Khả năng điều hành và quản trị từ xa: nhà doanh nghiệp có thể điều hành hoạt
động kinh doanh của mình từ xa thông qua hệ thống mạng. Do đó, tiết kiệm được chi
phí đi lại và nâng cao hiệu quả công tác quản lý và giúp Ban Giám Đốc doanh
nghiệp có thể kiểm soát toàn bộ hoạt động kinh doanh của doanh nghiệp mình thông
qua hệ thống mạng truy cập từ xa hoặc thông qua mạng Internet dù ở bất kỳ vị trí
nào trên thế giới.
EIS confidential
3

4. Solution Proposal
• Một giải pháp tích hợp đa dịch vụ thoại - dữ liệu - hình ảnh: với xu hướng phát
triển công nghệ mạng hiện nay thì các dịch vụ sẽ được tích hợp trên cùng một mạng
IP duy nhất. Nhờ vậy tận dụng được tối đa hạ tầng cơ sở đã đầu tư, dễ dàng trong
việc tích hợp nhiều loại hình dịch vụ khác nhau trên cùng một nền tảng giúp quản lý,
sử dụng và khai thác hiệu quả các ứng dụng của CNTT.
Bản đề xuất này nhằm mong muốn giúp những nhà lãnh đạo và quản lý thông tin đang
dự định xây dựng một hạ tầng thông tin mới cho trường có thể hiểu được các thành phần
cần thiết của một hệ thống mạng và dự toán kinh phí cho việc đầu tư, nó không tập trung đi
sâu vào việc phân tích các vấn đề kỹ thuật của việc triển khai cấu hình thiết bị
2 ĐỊNH HƯỚNG THIẾT KẾ
Về cơ bản, hệ thống mạng của trường là một mạng Campus có qui mô lớn với số lượng
các nút mạng lên tới 500, sẽ hỗ trợ các ứng dụng đào tạo từ xa đa phương tiện (dữ liệu, âm
thanh và hình ảnh) cho sinh viên cả trong và ngoài trường. Vì vậy, trường cần phải xây
dựng một hạ tầng mạng vững chắc, có năng lực lớn, có tính mở rộng và mềm dẻo, tính sẵn
sàng cao, khả năng dự phòng tối đa, và hỗ trợ các dịch vụ thông minh trên mạng.
Việc thiết kế một hạ tầng như vậy đòi hỏi phải có một cách tiếp cận đúng đắn trong quá
trính thiết kế. Các phương án được đề xuất trong tài liệu này dựa trên mô hình kế thừa cho
quá trình thiết kế mạng được xây dựng bởi Cisco Systems, một mô hính thiết kế được sử
dụng rộng rãi nhất hiện nay.
2.1 NGUYÊN TẮC THIẾT KẾ
Việc xây dựng hệ thống mạng hiện đại phải dựa trên một số nguyên tắc cơ bản sau:
o Đáp ứng các yêu cầu dịch vụ
o Chọn lựa các thiết bị đáp ứng được tốt yêu cầu của hệ thống.
o Sử dụng công nghệ tiên tiến của các hãng nổi tiếng trên thế giới
o Hệ thống có tốc độ cao, băng thông lớn
o An toàn và bảo mật cao
o Đảm bảo tính ổn định và đáng tin cậy
o Đảm bảo tính nhất quán của thông tin
EIS confidential
4

5. Solution Proposal
o Dể thay đổi và nâng cấp
o Chuẩn hoá hệ thống theo mô hình mở
o Giá thành hợp lý và hiệu quả cao
o Đáp ứng được những đòi hỏi về kinh tế
o Đáp ứng hoạt động của các ứng dụng
o Khả năng quản lý tập trung, quản lý từ xa.
o Hiệu suất cao.
2.2 MÔ HÌNH KẾ THỪA
Mô hình kế thừa được phân ra làm ba tầng phân biệt, như được minh hoạ ở hình 2.1
Hình 2.1 : Hierarchical Network Design
Những tầng này là access layer, distribution layer, và core layer. Mỗi tầng có các đặc
tính mà cung cấp cả các chức năng logic và vật lý tại điểm thích hợp trong mạng campus.
Tầng Access
Là nơi giao tiếp trực tiếp với các người dùng (end users), cung cấp cho các end users
môi trường truy cập vào hệ thống mạng. Các chức năng chính của layer này như sau:
• Chia sẻ băng thông
• Chuyển mạch các gói tin
EIS confidential
5

6. Solution Proposal
• Cung cấp các dịch vụ ở layer 2 như phân chia VLAN để giảm tín hiệu
Broadcast giúp tận dụng tối ưu băng thông cho đường truyền mạng, cấu hình
an ninh cho các cổng giao tiếp trên bộ chuyển mạch bằng công nghệ MAC
Address Filtering tránh sự xâm nhập trái phép của các máy tính từ bên ngoài
truy cập vào hệ thống mạng nội bộ…
Tầng Distribution
Là điểm kết nối trung gian giữa lớp Access và lớp Core, Lớp Distribution có rất
nhiều vai trò, là lớp quyết định các chính sách của hệ thống với các chức năng như
sau:
• Tập hợp VLAN (VLAN aggregation).
• Truy cập riêng lẻ hoặc theo từng nhóm.
• Xác định broadcast domain hoặc multicast domain.
• Bảo mật và thực hiện các chức năng kết nối dựa trên chính sách thông qua cơ
chế access list và lọc packet.
• Chuyển đổi giữa các phương tiện truyền thông (media translations).
• Chất lượng dịch vụ.
Tầng Core
Lớp Core thường được xem là lớp Backbone của hệ thống mạng Campus, cung cấp
kết nối tốc độ cao đến tất cả các thiết bị ở lớp distribution, thực hiện chức năng
chính là chuyển mạch (switching) các traffic trên mạng một cách nhanh chóng nhất.
Các chức năng chính của lớp core như sau :
• Thông lượng rất cao và chuyển mạch các frames hoặc các gói dữ liệu một
cách nhanh nhất
• Không thực hiện các thao tác không cần thiết đến packet (access list và lọc
packet)
• Không xử lý chức năng tầng 3, trừ phi cần thiết và rất nhanh
• Khả năng dự phòng và phục hồi để đạt tính sẵn sàng cao
• Thích ứng nhanh với sự thay đổi trên mạng.
• Độ trễ thấp, khả năng quản lý tốt.
EIS confidential
6

7. Solution Proposal
• Cung cấp các truy cập đến các khối khác như khối WAN
Hầu hết mạng Campus gồm hai thành phần chính: LAN Switch và Router. Bằng việc
phân chia hệ thống mạng thành các broadcast domain khác nhau và kết nối các broadcast
domains này lại với nhau dựa trên chức năng định tuyến lớp 3 của thiết bị, nhà quản trị
mạng có thể lọc các lưu thông broadcast, kết nối các nhóm/workgroup đa giao thức và hỗ
trợ tính bảo mật của lưu thông theo các cấp độ khác nhau.
Campus là mạng được ứng dụng chủ yếu trên công nghệ switching, công nghệ này
được xây dựng trên các lớp khác nhau của mô hình OSI, ứng với mỗi lớp thì công nghệ
switching có các đặc điểm và các ưu nhược điểm khác nhau. Công nghệ switching có thể
được ứng dụng ở các lớp khác nhau như: Layer 2 switching, Layer 3 switching, Layer 4
switching, Multilayer switching.....Các ưu điểm của công nghệ multilayer switching bao
gồm:
• Có tốc độ kết nối cao của công nghệ switching lớp 2: 10Mbps, 100Mbps, 1000Mbps
• Có mật độ cổng cao của công nghệ switching, một thiết bị switching lớp 3 có thể
cung cấp lên đến 300-400 cổng giao tiếp 10/100 hay trên 100 cổng giao tiếp gigabit.
• Có tốc độ xử lý packet cao lên đến hàng trăm Mbps
• Có khả năng phân làm nhiều vùng địa chỉ khác nhau như thiết bị router, làm giảm
xung độ tín hiệu broadcast.
• Tăng cường độ an toàn của hệ thống vì mỗi thành phần trên mạng khi cần thiết có
thể chia thành một subnet riêng và các thành phần này không thể nhìn thấy nhau như
trên một mạng LAN được
• Đơn giản và tiết kiệm về mặt thiết bị cho các kết nối đầu cuối.
2.3 YÊU CẦU CHÍNH CHO HẠ TẦNG MẠNG CỦA TRƯỜNG ĐHKT
ĐN
• Hệ thống các thiết bị mạng được trang bị cho trường phải là những thiết bị áp dụng
các công nghệ hiện đại nhằm đảm bảo cho hệ thống đầu tư mới có thể sử dụng tối
thiểu trong vòng 5 năm mà không bị lỗi thời và hệ thống được thiết kế có khả năng
mở rộng cao nhằm tiết kiệm chi phí cho việc nâng cấp về sau.
• Hệ thống có khả năng hoạt động liên tục 24/24h và 7ngày/1tuần
• Có khả năng tích hợp việc truyền dẫn tín hiệu khác như Video, Voice,....trong tương
lai khi có nhu cầu trang bị
EIS confidential
7

8. Solution Proposal
• Đảm bảo tính an ninh và bảo mật dữ liệu cho các máy chủ.
• Việc bảo hành, bảo trì, nâng cấp và thay đổi phù hợp với nhu cầu phát sinh của
trường một cách tiện lợi và tiết kiệm.
Quan điểm thiết kế nói chung là vừa phải đảm bảo nhu cầu hiện tại nhưng phải sẵn sàng
cho sự phát triển trong tương lai. Sự phát triển này bao gồm cả số điểm kết nối, số lượng
người dùng, số lượng dịch vụ, phương thức kết nối…
2.4 CHỌN LỰA NHÀ SẢN XUẤT
Đi chung với xu hướng phát triển CNNT hiện nay thì việc cung cấp các thiết bị CNTT
với chất lượng ngày càng cao hơn đối với từng ứng dụng công nghệ là điều tất yếu phải xảy
ra. Theo xu hướng trước đây thì các thiết bị được sản xuất chỉ cho từng công nghệ rời rạc và
được lắp ghép với nhau để tạo nên một hệ thống mạng chung – thời gian sống của các sản
phẩm ngắn do công nghệ thay đổi quá nhanh chóng.
Nhưng ngày nay, xu hướng tích hợp đa dịch vụ và qui tụ trên nền tảng của công nghệ
IP đang là xu hướng chung phát triển – người sử dụng đòi hỏi việc đơn giản trong quản lý
và đầu tư. Chính vì vậy các sản phẩm đa dịch vụ là điểm nóng trong công nghệ sản xuất các
sản phẩm CNTT hiện nay.
Chọn lựa sản phẩm để xây dựng một hệ thống mạng CNTT không chỉ là việc chọn
lựa các sản phẩm chỉ đủ để đáp ứng các yêu cầu cơ bản được đặt ra mà còn phải là các sản
phẩm đáp ứng và đi theo được các xu hướng phát triển CNTT hiện nay và có thể nhìn thấy
được trong tương lai. Các yêu cầu đặt ra với các thiết bị được sử dụng tối thiểu phải đáp ứng
các yêu cầu như sau:
• Các thiết bị có khả năng tích hợp đa dịch vụ, đa lớp trên chung một nền tảng thiết
bị chính và có khả năng nâng cấp thay đổi theo thời gian cũng như theo xu hướng
phát triển chung. Các dịch vụ tích hợp bao gồm Data, Video, Voice … với các công
nghệ IP, Frame Realy, ATM qua các môi trường truyền dẫn như cáp đồng hoặc cáp
quang với tốc độ cao.
• Cho phép đầu tư từng phần theo từng giai đoạn phát triển nhằm tiết kiệm kinh phí
đầu tư với cấu trúc modular là yêu cầu bắt buộc. Việc nâng cấp các tính năng của
thiết bị được thông qua cả phần cứng và phần mềm.
• Khả năng quản trị tập trung và đơn giản trong việc khắc phục sự cố trên thiết bị.
• Vòng đời và khả năng thích nghi của thiết bị cao – không bị ảnh hưởng bởi việc
thay đổi công nghệ
EIS confidential
8

9. Solution Proposal
• Hỗ trợ của nhà sản xuất, bao gồm việc hỗ trợ khắc phục sự cố, nâng cấp công nghệ
theo thời gian…. Điều này bắt buộc nhà sản xuất phải có văn phòng tại Việt nam và
có các nhà phân phối chuyên nghiệp tại Việt Nam trong vấn đề hỗ trợ khách hàng
sau bán hàng.
Hiện tại ở Việt Nam có khá nhiều các nhà sản xuất thiết bị Viễn Thông từ nước ngoài
đầu tư tìm kiếm thị trường, tuy nhiên xét cho cùng thì chỉ có 04 nhà sản xuất có khả năng
cung cấp các thiết bị cho mạng truyền thông là Nortelnetwork, Intel, Cisco System và
Lucent. Tuy nhiên mỗi nhà sản xuất có những điểm mạnh yếu khác nhau và để lựa chọn
sảm phẩm cần có một sự phân tích các điểm mạnh/yếu của các nhà sản xuất này. Nhưng
nhìn chung Cisco Systems hiện vẫn là tập đoàn sản xuất có uy tín vàc chiếm thị phần cao
nhất thế giới về các sản phẩm kết nối mạng.
Các hãng sản xuất nói chung
Các hãng sản xuất khác mặc dù vẫn có các sản phẩm như Swicth đa lớp, Swicth lớp 2,
Router …. nhưng thị phần của các sản phẩm này tại Việt Nam không cao và có những điểm
yếu nhất định như:
• Multi Layer Swicth: có sản xuất tuy nhiên về thị phần tại Việt nam đối với sản phẩm
này thì chưa có. Nếu so sánh với các thiết bị Swicth lớp 3 của Cisco (cụ thể là dòng
thiết bị Catalyst 6500 Series) thì yếu hơn nhiều về mật độ cổng giao tiếp, số lượng
các giao tiếp, công nghệ tích hợp, khả năng xử lý backplane …
• Về High-end Router: chủ yếu tập trung hỗ trợ định tuyến cho data thuần túy trên nền
tảng IP, ATM.... Không có khả năng tích hợp truyền các dịch vụ khác như Voice,
Video…( không phù hợp với yêu cầu tích hợp đa dịch vụ và khó khăn trong việc
quản trị.
• Các Swicth lớp 2: Có thể gọi là được cho các doanh nghiệp thuộc thị trường vừa và
nhỏ nhưng nếu so sánh về giá cả và khả năng đồng bộ theo yêu cầu của Hanel SP thì
sẽ là không phù hợp. (so sánh với thiết bị của Cisco). Nhưng khả năng xử lý nội tại
so với Cisco thì thấp hơn khá nhiều.
• Khả năng hỗ trợ của nhà sản xuất: Có văn phòng tại VN nhưng không tập trung vào
việc phát triển kỹ thuật và hỗ trợ sau bán hàng – không có những Local Partner hoạt
động mang tính chất chuyên nghiệp mà chỉ tập trung vào việc bán hàng trên thị
trường SMB là chính.
Cisco Systems
Là một hãng sản xuất thiết bị CNTT gần như chiếm thị phần cao nhất trên toàn cầu hiện
nay và có thị phần khá lớn tại Việt Nam (cung cấp sản phẩm cho nhiều nhà cung cấp dịch
EIS confidential
9

10. Solution Proposal
vụ lớn tại Việt Nam như VDC, Saigon Postel, các Trung tâm Công nghệ phần mềm như
SaiGon Software Park, Haiphong SP, Danang SP, …các toà nhà công nghệ cao tại các thành
phố lớn và rất nhiều các doanh nghiệp vừa và nhỏ khác. Các sản phẩm được cung cấp với
chất lượng cao, khả năng hoạt động ổn định và tích hợp nhiều loại công nghệ, dịch vụ trên
nền chung. Tập trung vào 02 thiết bị chính là Multi Layer swicth và Router để phân tích sẽ
nhận thấy có các điểm sau:
• Multi-Layer Swicth: không chỉ hỗ trợ lớp 3 mà còn hỗ trợ các dịch vụ lớp 4 và lên
đến lớp 7 (Application Layer). Khả năng cung cấp mật độ cổng cao với nhiều giao
tiếp khác như Ethernet 10/100/1000/10000 Mbps, ATM, Token Ring, Frame Relay,
Serial….cho phép tích hợp các dịch vụ gia tăng trên nền IP như Voice over IP,
Video over IP. Khả năng xử lý gói và chuyển mạch nội tại cao (so sánh với Avaya
và Nortel)
• High-End Router: Thị phần khá cao tại Việt Nam (đặc biệt là dòng sản phẩm 7500).
Cho phép tích hợp thêm dịch vụ như Voice, Video với các công nghệ IP, FR,
ATM… để truyền chung với data trên nên chung của thiết bị mà không yêu cầu đầu
tư thêm nhiều các thiết bị rời rạc khác.
• Khả năng hỗ trợ của nhà sản xuất: Có văn phòng tại VN và các chính sách tập trung
vào việc hỗ trợ khách hàng thông qua việc phát triển các chương trình huấn luyện
khách hàng, tìm kiếm các Partner chuyên nghiệp để hỗ trợ khách hàng (thông qua
việc cấp chứng chỉ chuyên nghiệp…) và hiện nay đã có các Partner đáp ứng đầy đủ
các yêu cầu về chính sách của chính nhà sản xuất trong việc hỗ trợ khách hàng sau
bán hàng.
Cisco System, một trong các tập đoàn hàng đầu về lĩnh vực mạng. Công ty được thành
lập cuối năm 1984 bởi một nhóm nhà khoa học máy vi tính từ trường đại học Stanford, đang
tìm một phương thức dễ dàng hơn cho việc kết nối các hệ thống máy tính khác nhau. Cisco
xuất khẩu sản phẩm đầu tiên của mình vào năm 1986. Từ đó, Cisco đã phát triển lên thành
một tập đoàn đa quốc gia với hơn 26140 nhân viên, 225 văn phòng bán hàng và hỗ trợ trên
75 nước. Các giải pháp mạng của Cisco kết nối người dùng với người dùng, kết nối các máy
tính và kết nối các hệ thống mạng với nhau, cho phép người sử dụng truy cập hoặc chuyển
tải các dữ liệu điện tử mà không cần quan tâm đến sự khác biệt về thời gian, không gian và
sự khác biệt về hệ thống mạng mà họ đang sử dụng.
Khách hàng có thể sử dụng giải pháp End-to-End của Cisco để xây dựng cơ sở hạ tầng
thông tin phù hợp nhất cho chính họ hoặc để kết nối với hệ thống mạng khác. Một giải pháp
End-to-end với cấu trúc mạng thông dụng có thể đảm bảo chắc chắn cho việc thực hiện các
EIS confidential
10

11. Solution Proposal
dịch vụ mạng tới tất cả người sử dụng đầu cuối. Cisco là thương hiệu duy nhất có khả năng
cung cấp đồng bộ và toàn bộ những yếu tố cần thiết trên.
Đối tượng khách hàng mà Cisco chú trọng phục vụ đó là:
- Tổ chức và doanh nghiệp lớn (Enterprise)- Quy mô tổ chức lớn với nhu cầu phức
tạp về mạng, thường phải kết nối nhiều hệ thống mạng tại nhiều vùng khác nhau.
Tổ chức và doanh nghiệp lớn bao gồm: tập đoàn, cơ quan chính phủ, viện đào tạo,
phúc lợi xã hội, các trung tâm thương mại, tòa nhà công nghệ cao, ...
- Các nhà cung cấp dịch vụ (Service Providers)- Các công ty cung cấp dịch vụ
thông tin bao gồm các nhà cung cấp dịch vụ viễn thông, Internet, các công ty cung
cấp dịch vụ liên lạc viễn tuyến có dây hoặc không dây.
- Doanh nghiệp vừa và nhỏ- Là những công ty chỉ cần hệ thống mạng phục vụ cho
công việc kinh doanh của chính mình và phục vụ cho việc kết nối Internet hay kết
nối hệ thống mạng với đối tác.
Khác với các công ty hoạt động trong lĩnh vực công nghệ khác, Cisco không tiếp cận
với khách hàng theo hướng cứng nhắc: đem 1 công nghệ áp dụng cho tất cả mọi nhu cầu
khác nhau và coi đó là câu trả lời duy nhất cho khách hàng. Luận điểm của Cisco là nghe
các đòi hỏi từ khách hàng, xử lý bằng tất cả các công nghệ thích hợp có thể lựa chọn và trả
lời cho khách hàng bằng một danh sách các lựa chọn công nghệ hợp lý. Cisco xây dựng,
phát triển sản phẩm và giải pháp dựa trên các chuẩn công nghiệp được áp dụng rộng rãi trên
toàn thế giới. Và trong một vài trường hợp cá biệt, chính các công nghệ được Cisco xây
dựng đã trở thành chuẩn quốc tế.
Liên tục hàng ngày, Cisco và các khách hàng của mình đã không ngừng chứng minh
rằng mạng và Internet có thể làm các công ty thay đối căn bản phương thức kinh doanh có
lợi nhất. Cisco đã mô tả sự thay đối này bằng một khái niệm “Global Networked Business”
(Kinh doanh mạng toàn cầu). Khái niệm này chỉ ra rằng: một doanh nghiệp hay tổ chức ở
bất kỳ quy mô nào sử dụng các thông tin và liên lạc qua mạng (networking) để xây dựng
nên mối quan hệ tương tác mạnh mẽ với các đối tác quan trọng. Kinh Doanh Mạng Toàn
Cầu dùng mô hình tự trợ giúp (seft-help) truy cập thông tin, mô hình này hiệu quả và đảm
bảo hơn nhiều so với mô hình truyền thống là thông tin được lưu giữ bởi một số người có
trách nhiệm và sẽ được chia sẻ khi một số người này cảm thấy muốn chia sẻ. Chính bản thân
Cisco cũng là một điển hình cho mô hình Kinh doanh mạng toàn cầu. Bằng việc sử dụng các
ứng dụng mạng trên Internet và trên mạng nội bộ, Cisco đã tiết kiệm được chi phí vận hành
mạng mỗi năm khoảng 550 triệu Đô La Mỹ đồng thời thoả mãn khách hàng được tốt hơn,
dành được ưu thế cạnh tranh cao hơn trong các lĩnh vực như: hỗ trợ khách hàng, order sản
phẩm và giảm thời gian giao hàng. Ngày nay, trang Web của Cisco là một trong những trang
EIS confidential
11

12. Solution Proposal
Web thương mại lớn nhất, với 84% các giao dịch mua bán sản phẩm của chính công ty được
tiến hành thông qua Web.
Như câu chuyện thành công của một tập đoàn lớn nhất nước Mỹ, Cisco giờ đây là một
trong 2 công ty với khả năng tài chính lớn nhất thế giới, trị giá vốn thị trường khoảng 450 tỉ
USD (thống kế tháng 3, 2000), trên cả giá trị của các công ty nổi tiếng như: Exxon, IBM và
Coca-cola. Không chỉ lớn hơn các đối thủ cạnh tranh, Cisco còn là công ty hoạt động tốt
nhất và có sự ổn định về tài chính nhất trên nước Mỹ.
Xác định nhà sản xuất
Dựa vào các yếu tố được phân tích trên để chọn lựa thiết bị để xây dựng hệ thống mạng
CNTT cho trường ĐHKT ĐN, chúng tôi quyết định chọn lựa các dòng sản phẩm của Cisco
trong việc tư vấn dự án này dựa trên các yếu tố chính như sau:
• Khả năng xử lý của thiết bị
• Khả năng đồng bộ thiết bị trên toàn hệ thống mạng
• Khả năng quản trị thống nhất và tập trung
• Khả năng hỗ trợ dịch vụ và công nghệ trên thiết bị
• Khả năng tồn tại của thirết bị trong các điều kiện thay đổi công nghệ- ứng dụng và
khả năng tương thích, mở rộng của thiết bị trong tương lai
• Khả năng hỗ trợ của nhà sản xuất/cung cấp sau bán hàng.
Với các phân tích trên, để xây dựng hệ thống mạng tại ĐHKT ĐN cho việc tích hợp các
ứng dụng dữ liệu, thoại, hình ảnh, chúng tôi quyết định sử dụng các dòng sản phẩm của
Cisco vừa có thể đảm bảo xây dựng một hệ thống mạng mang tính mở vừa có được sự hỗ
trợ tốt nhất của nhà sản xuất. Một yếu tố không kém phần quan trọng nữa là tại Việt Nam,
EIS được xác định là đối tác chiến lược chính của Cisco Systems trong việc cung cấp các
giải pháp tổng thể, cung cấp thiết bị và các dịch vụ hỗ trợ kỹ thuật đầy đủ cho các hệ thống
mạng Tin học, Viễn thông. Vì thế EIS được sự hỗ trợ hợp tác toàn diện từ tập đoàn Cisco về
mọi mặt. Đây cũng là một lợi thế rất lớn cho các khách hàng của EIS cả về mặt giá cả và hỗ
trợ dịch vụ kỹ thuật sau bán hàng.
EIS confidential
12

13. Solution Proposal
3 THIẾT KẾ MẠNG CAMPUS
3.1 MÔ TẢ BẢN VẼ THIẾT KẾ
Mạng Campus của trường kết nối các mạng LAN tại các toà nhà như khu Hành Chính
(nơi này cũng là nơi đặt các máy chủ quan trọng), khu nhà mới, khu làm việc B, khu giảng
đường, thư viện và khu ký túc xá. Việc phân bổ các nút mạng theo dự định của trường tại
mỗi khu vực như sau :
• Khu giảng đường : 360 nút
• Khu nhà mới : 60 nút
• Khu hành chính : 30 nút
• Khu nhà làm việc B : 20 nút
• Khu thư viện : 20 nút
• Khu ký túc xá : 20 nút
Dựa trên mô hình kế thừa, các thiết bị tại mỗi tầng - các thiết bị nói đến ở đây chính là
các thiết bị chuyển mạch (switch) có khả năng thực hiện một hoặc đồng thời cả chuyển
mạch Layer 2, Layer 3, Layer 4 - được phân bổ vào từng khu vực như sau :
Khu giảng đường
Gồm các thiết bị chuyển mạch tại tầng Access và tầng Distribution, hay gọi là
Access switch và Distribution switch. Khu giảng đường gồm có 3 tầng, với mật độ
nút mạng dày đặc. Do vậy, Distribution switch phải có một hiệu suất mạnh để xử lý
toàn bộ số lượng lưu thông từ các Access switch. Ngoài ra, Distribution switch cũng
có thể được lựa chọn để đóng vai trò là một Access switch. Các Distribution switch
sẽ được kết nối về Center Switch qua cổng tốc độ 1000 Mbps trên GBIC-Gigabit
Interface Convertor dùng cáp đồng hoặc cáp quang tuỳ thuộc vào khoảng cách giữa
hai switch.
Khu hành chính
Thiết bị chuyển mạch tại tầng Core, được gọi là Center Switch sẽ được đặt tại đây.
Center Switch là một thiết bị chuyển mạch đa tầng (multilayer switch - xử lý đồng
thời Layer 2, Layer 3, Layer 4 switching). Center Switch này sẽ cung cấp các giao
tiếp GBIC kết nối đến các Distribution switch ở các khu nhà còn lại. Hệ thống các
máy chủ ứng dụng và Database được kết nối trực tiếp vào Center Switch . Khu hành
chính có số lượng nhỏ các máy trạm, nên các máy này cũng sẽ được kết nối trực tiếp
vào Center Switch mà vẫn không ảnh hưởng đến hiệu suất của thiết bị.
EIS confidential
13

14. Solution Proposal
Các khu nhà khác
Số lượng các nút mạng tại đây là nhỏ, vì vậy, thiết bị chuyển mạch tại những vị trí
này sẽ đóng vai trò là Access switch và Distribution switch. Các switch này sẽ được
kết nối về Center Switch qua các giao tiếp trên GBIC.
Hình 3.1 : Sơ đồ kết nối
EIS confidential
14

15. Solution Proposal
EIS confidential
15

16. Solution Proposal
3.2 LỰA CHỌN THIẾT BỊ
3.2.1 Center Switch
Thiết bị switch trung tâm tại đây nên có các yêu cầu kỹ thuật cơ bản như sau:
• Khả năng hoạt động ở lớp 2/3/4
• Thông lượng của thiết bị cao cho việc quản lý các gói dữ liệu, tốc độ chuyển mạch
backplane trên thiết bị cao
• Khả năng định tuyến giữa các VLAN
• Chuyển đổi và tương thích các phương tiện truyền thông khác nhau để truyền tải đa
dạng các loại dữ liệu trên mạng: data, voice, video....
• Khả năng thực hiện các chính sách an toàn và kết nối thông qua access list hoặc gói
dữ liệu
• Khả năng sẵn sàng cao ( dự phòng và mở rộng )
• Khả năng đáp ứng đa dạng các loại cổng giao tiếp 10/100/1000 Mbps, mật độ cổng
giao tiếp cao.
• Khả năng quản lý dễ dàng thông qua các trình ứng dụng SNMP, Telnet, TFTP,
RMON....
Nhằm đáp ứng các yêu cầu đặt ra như trên, chúng tôi sử dụng thiết bị Catalyst 4507R
của Cisco với card xử lý cao cấp Supervisor Engine IV. Cisco Catalyst 4507 là một sản
phẩm thuộc dòng Cisco Catalyst 4500 -một dòng mới thuộc họ Cisco Catalyst 4000. Cisco
Catalyst 4507R có 7 slot (khe) để gắn Supervisor và các module chức năng có khả năng
cung cấp đầy đủ các kiểu giao diện. Đặc biệt, Cisco Catalyst 4507R được thiết kế cho phép
dự phòng nóng card xử lý cao cấp Supervisor Engine IV mà các thiết bị khác thuộc dòng
Catalyst 4000 không có và chỉ có ở các họ Cisco Catalyst cao hơn như Cisco Catalyst 6500,
8500 . Với khả năng dự phòng này, hệ thống mạng sẽ có khả năng phục hồi và giảm thiểu
tối đa thời gian thời gian chết khi xảy ra sự cố. Một card Supervisor Engine IV sẽ được cấu
hình làm chủ (active) và chịu trách nhiệm cho hoạt động bình thường cuả hệ thống. Card
thứ hai sẽ được cấu hình ở trạng thái chờ (standby), giám sát hoạt động của Supervisor
chính. Khi premary Supervisor bị hỏng, secondary Supervisor sẽ tự động nhận quyền điều
khiển chassis (khung) 4507R. Các Supervisor được thiết kế cho phép thay thế nóng (hot-
swapping) để không làm ngưng hệ thống.
EIS confidential
16

17. Solution Proposal
Cisco Catalyst 4507R với Supervisor Engine IV có kết cấu chuyển mạch 64 Gbps và tốc
độ forward 48 Mpps cho tất cả lưu thông layer 2, layer 3 và layer 4. Thêm vào đó, đây là
một hệ thống được thiết kế tối ưu cho các ứng dụng đa phương tiện như các ứng dụng đào
tạo của trường ĐHKT sẽ xây dựng.
Giả sử trong cấu hình này chỉ sử dụng một card Supervisor Engine IV. Như vậy, Cisco
Catalyst 4507R còn 6 slot, 1 slot để cắm Supervisor dự phòng và 5 slot cắm các module
chức năng. Trong 5 slot này, hai slot sẽ được sử dụng để cắm module có 6 cổng GBIC để
cung cấp các kết nối tới Distribution switch và module có 48 cổng 10/100 Mbps để kết nối
các server và các máy tính tại khu hành chính. 3 slot còn lại cho phép hệ thống có thể mở
rộng trong tương lai để cắm các module khác mà hỗ trợ thoại IP, hay mở rộng các cổng giao
tiếp.
Chi tiết về sản phẩm này xin tham khảo phần tài liệu của nhà sản xuất trong mục 6
3.2.2 Distribution Switch và Access Switch
Như đã đề cập, khu giảng đường có số lượng nút mạng lớn, nên tại đây cần trang bị
một Distribution switch có hiệu suất mạnh. Chúng tôi lựa chọn Catalyst 4006 với
Supervisor Engine IV, giá thành không hơn Catalyst 4006 với Supervisor Engine III mà
được nhà sản xuất hỗ trợ thêm nhiều tính năng mới cho card Supervisor Engine IV. Chúng
ta không thể sử dụng Catalyst 4006 với Supervisor Engine II vì Supervisor Engine II không
hỗ trợ các tính năng của lớp distribution, nó chỉ đơn giản forward lưu thông tầng 2. Việc sử
dụng Catalyst 4006 với Supervisor Engine IV sẽ làm nhẹ bớt gánh nặng xử lý cho switch
trung tâm, là Catalyst 4507R. Catalyst 4006 cũng đóng vai trò là một Access switch tại đây.
Catalyst 4006 cũng có 6 slot và sẽ được sử dụng hết số slot này như sau :
• Một slot để cắm Supervisor Engine IV (bắt buộc phải có, vì đây có thể xem
như là một bộ xử lý trung tâm của thiết bị)
• Một slot để cắm module có 6 cổng GBIC để kết nối các Access switch tại
các phòng còn lại trong khu giảng đường và kết nối về switch trung tâm.
• 4 slot còn lại sẽ cắm module cung cấp 48 cổng 10/100 Mbps, như vậy, số
nút mạng dành cho end-user mà 4006 cung cấp là 192 nút
Các Access switch được đề xuất là Cisco Catalyst 2950G-48 (48 port 10/100 Mbps và 2
GBIC) và Cisco Catalyst 2950G-24 (24 port 10/100 Mbps và 2 GBIC) có thể được phân bổ
như sau :
EIS confidential
17

18. Solution Proposal
• Tại khu giảng đường, chúng ta cần thêm ít nhất 160 cổng, do vậy, cần thêm 4 Cisco
Catalyst 2950G-48, cung cấp thêm 192 cổng 10/100 Mbps. Tuỳ thuộc vào việc phân
bổ số nút cho mỗi tầng sau này, có thể thực hiện xếp chồng các switch này hoặc tách
riêng chúng ra, rồi sau đó kết nối về Catalyst 4006 qua các cổng GBIC dùng cáp
đồng vì khoảng cách giữa các switch Catalyst 2950 với Catalyst 4006 dưới 100m.
• Tại khu nhà mới, dùng một Catalyst 2950G-48 và một Catalyst 2950G-24. Hai
switch này sẽ được kết nối với nhau có thể qua cổng 10/100 Mbps hoặc qua cổng
GBIC dùng cáp đồng. Sau đó, sẽ được kết nối trực tiếp về switch trung tâm qua cổng
GBIC dùng cáp đồng vì khoảng cách giữa khu nhà mới với khu hành chính dưới
100m
• Khu nhà làm việc B, khu ký túc xá, và thư viện dùng tương ứng một Catalyst
2950G-24. Các switch này cũng sẽ kết nối về switch trung tâm qua cổng GBIC dùng
cáp quang vì khoảng cách giữa các khu này với khu hành chính hơn 100m
Chi tiết về sản phẩm này xin tham khảo phần tài liệu của nhà sản xuất trong mục 6
4 CÁC PHÂN HỆ KHÁC TRONG MẠNG
4.1 PHÂN HỆ CÁP
Hệ thống cáp mạng máy tính (gọi tắt là hệ thống cáp mạng hay hệ thống cáp) là thành
phần không thể thiếu được trong một hệ thống hạ tầng công nghệ thông tin. Tuy hệ thống
cáp chỉ là những thành phần thụ động (passive) nhưng việc thiết kế và chọn lựa cũng không
kém phần phức tạp.
Vì hệ thống cáp chủ yếu phục vụ cho hệ thống mạng máy tính nên ngoài những qui
định và tiêu chuẩn riêng, việc thiết kế hệ thống cáp còn phụ thuộc chặt chẻ vào kiến trúc của
hệ thống mạng máy tính, vào cách bố trí các thiết bị của hệ thống mạng máy tính. Chúng tôi
xin giới thiệu hai kiến trúc thiết kế cáp tiêu biểu :
• Hệ thống cáp mạng theo kiểu tập trung
• Hệ thống cáp mạng theo kiểu phân tán
a) Hệ thống cáp mạng theo kiểu tập trung
Hệ thống cáp này phục vụ cho cách bố trí thiết bị theo kiểu tập trung của hệ thống
mạng máy tính. Trong cách này, tất cả các thiết bị mạng như switch, hub, repeater đều lắp
đặt chung tại một điểm thường gọi là phòng thiết bị. Từ đây, cáp được nối thẳng đến các
EIS confidential
18

19. Solution Proposal
thiết bị đầu cuối như các workstation, máy in… mà không phải qua một thiết bị trung gian
nào.
Trong trường hợp này, hệ thống thường là một loại cáp duy nhất mà ở đây sẽ là loại
cáp xoắn UTP category 5. Thiết bị mạng tại phòng thiết bị có thể là một thiết bị duy nhất
hay nhiều thiết bị được kết nối chồng (stack) hay kết nối liên tiếp (daisy-chain). Hình bên
dưới đây sẽ cho ta thấy kết nối của hệ thống cáp mạng theo kiểu tập trung.
Ưu điểm:
• Tiết kiệm chi phí và không gian lắp đặt thiết bị vì chỉ đầu tư cho hệ thống một phòng
thiết bị duy nhất. Không phải trang bị phòng cho các vị trí phân tán ở mỗi tầng. Các
phòng thiết bị ngoài việc chiếm không gian, chúng còn phải được trang bị một số tiện ít
khác như điện, lạnh, ánh sáng, hệ thống liên lạc, hệ thống chữa cháy, hệ thống bảo vệ…
• Dễ sử dụng, quản lý, vận hành và xử lý sự cố. Do hệ thống cáp thông suốt từ thiết bị
đầu cuối đến phòng thiết bị trung tâm nên khi sử dụng và khai thác, chỉ cần nhân viên xử
lý tại phòng thiết bị trung tâm.
• Do chỉ trang bị thiết bị tại phòng thiết bị trung tâm nên thuận tiện cho việc chọn lựa
các loại thiết bị có mật độ cổng cao, có kiến trúc module hóa, có khả năng dự phòng và
EIS confidential
19

20. Solution Proposal
thay để nóng. Điều đó giúp cho hệ thống có được độ tin cậy cao nhất, có khả năng hoạt
động liên tục và dễ dàng mở rộng hay nâng cấp.
Khuyết điểm:
• Không sử dụng được trong những tòa nhà có quá nhiều tầng hay những khu vực quá
rộng vì vượt qua khoảng cách cho phép của cáp. Trong trường hợp này, bắt buộc phải
dùng cáp theo kiến trúc phân tán.
• Tốn nhiều cáp cho trục đứng nối giữa các tầng vì cáp tại tất cả các trạm đầu cuối đều
nối về trung tâm bằng cách đi qua các tầng. Đồng thời cũng chiếm không gian của các lỗ
thông tầng.
• Tập trung nhiều cáp tại phòng thiết bị trung tâm, dẫn đến phức tạp trong việc sử
dụng và khai thác. Tuy nhiên, đều này sẽ được khắc phục bằng các phương pháp đánh
dấu và đặt mã số cáp một cách khoa học.
b) Hệ thống cáp mạng theo kiểu phân tán
Hệ thống cáp theo kiểu này sử dụng cho kiến trúc mạng phân tán. Trong kiến trúc
này, thiết bị mạng không nằm tập trung tại một điểm mà phân tán tại nhiều vị trí khác nhau.
Thông thường là mỗi tầng sẽ có một thiết bị mạng riêng và kết nối lại với nhau qua một
thiết bị mạng trung tâm. Như vậy, các thiết bị đầu cuối như workstation, máy in chỉ được
kết nối vào các thiết bị mạng trung gian tại mỗi tầng. Từ các thiết bị này mới kết nối đến
thiết bị mạng trung tâm.
Trong trường hợp này, cáp sẽ được cắt làm hai phần. Phần một từ các trạm đầu cuối đến
phòng thiết bị ở mỗi tầng dùng cáp xoắn UTP category 5. Phần hai từ phòng này đến phòng
thiết bị trung tâm với hai lựa chọn là cáp quang và cáp đồng. Tuy nhiên, cáp quang sẽ tốt
hơn và thường được sử dụng. Kết nối giữa các thiết bị là theo kiểu daisy-chain. Hình 2.2
bên dưới đây sẽ cho ta thấy kết nối của hệ thống cáp mạng theo kiểu phân tán này.
Ưu điểm:
• Đáp ứng được yêu cầu rộng về không gian cho các tòa nhà có nhiều tầng hay các
khu vực có mặt bằng rộng mà bán kính của nó vượt khỏi khoảng cách cho phép của cáp
đồng.
• Đơn giản cho hệ thống cáp liên tầng vì sử dụng các cáp quang với số lượng rất thấp.
• Số lượng cáp tại phòng thiết bị trung tâm ít, đơn giản trong việc vận hành.
Khuyết điểm:
EIS confidential
20

21. Solution Proposal
• Tốn nhiều chi phí và không gian cho việc lắp đặt thiết bị. Thực tế cho thấy, nếu
không dành không gian riêng cho các thiết bị ở từng tầng thì dẫn đến tình trạng mất an
ninh và không kiểm soát được. Nếu trang bị mỗi tầng một phòng thiết bị riêng thì rất tốn
kém.
• Tốn kém trong việc vận hành, sử dụng, khai thác và xử lý sự cố. Không thể làm tất
cả mọi việc từ phòng thiết bị trung tâm (phần mềm quản lý mạng không thể thay đổi hay
kiểm tra các kết nối cáp). Các nhân viên quản lý phải tới từng tầng để kiểm tra thiết bị
và kết nối.
• Vì lắp đặt nhiều thiết bị phân tán nên không thể lựa chọn các thiết bị mạnh, có độ tin
cậy và khả năng dự phòng, nâng cấp tốt được. Chưa kể sẽ rất lãng phí nếu có những tầng
chỉ có một hai máy trạm.
4.2 PHÂN HỆ BẢO MẬT
4.2.1 Cisco Secure Intrusion Detection System
Cisco Secure Intrusion Detection System hay Cisco Secure IDS là một thiết bị phần
cứng kiểm tra các loại và nội dung của các packet trên mạng. Việc sử dụng và truy cập trái
phép có thể được thực một trong hai cách: phát hiện việc sử dụng sai bằng cách tìm những
tấn công đã biết “chữ ký” nó rất giống cách mà một phần mềm diệt virus dò tìm virus; phát
hiện sự truy cập bất bình thường bằng cách tìm những hành động bất bình thường dựa trên
profile của user và hoạt động của ứng dụng. Cisco Secure IDS có lợi thế là có thể bảo vệ cả
EIS confidential
21

22. Solution Proposal
hệ thống trên toàn bộ network segment. Khả năng này nói chung giúp việc triển khai Cisco
Secure IDS dễ dàng và chi phí vừa phải.
Cisco Secure IDS phát hiện việc sử dụng sai bằng việc kiểm tra cả phần dữ liệu và
phần header của một packet. Các tấn công dựa trên nội dung xuất phát từ phần dữ liệu và
các tấn công dựa trên phạm vi (context) xuất phát từ phần header của packet.
Cisco Secure Intrusion Detection System là hệ thống dò tìm xâm nhập mạng real-
time cho phép bảo vệ mạng bên trong, extranet. Hệ thống sử dụng các sensor là các thiết bị
mạng tốc độ cao dùng để phân tích từng gói packet để dò tìm các hoạt động khả nghi trên
mạng. Nếu luồng dữ liệu trên mạng thể hiện là một hoạt động trái phép hay một sự tấn công
thì các Sensor sẽ phát hiện sự sai phạm này ngay lập tức (real-time), chuyển cảnh báo đến
nhà quản trị mạng và tống khứ kẻ phá hoạt này ra khỏi mạng.
Sản phẩm phù hợp với qui mô của trường là Cisco IDS 4250. Chi tiết kỹ thuật về thiết bị xin
tham khảo mục 6
4.2.2 Cisco Security Agent
Cisco Security Agent – CSA bao gồm một cổng quản lý/điều khiển (Management
Console) đặt ngay trên máy chủ Windows 2000 và các phân hệ (agents) được triển khai tại
các Host nơi có các dữ liệu quan trọng như database servers, work stations. Các agent này
dùng giao thức HTTP và Secure Sockets Layer-SSL (128 bit SSL) cho các giao tiếp quản lý
và cho sự trao đổi thông tin giữa các agent và cổng quản lý/điều khiển.
CSA được cài ngay trên hệ điều hành và nó có thể can thiệp và thẩm định những
lệnh gọi phần mềm được làm trong hệ điều hành và hạt nhân hệ thống (kernel). Nói chung,
CSA thực hiện việc giám sát xâm nhập real-time (thời gian thực), phát hiện, ngăn cản những
hành động phá hoại bằng việc phân tích những sự kiện ở mức kernel, thông tin log của hệ
thống, và những hành động mạng trên server. Cơ sở dữ liệu tấn công bao gồm những khả
năng nhận diện tấn công sau đây:
• Tấn công cá nhân (Individual attack) – bảo vệ hệ thống những tấn công đơn giản
nhằm khai thác dữ liệu sử dụng quá trình tìm kiếm những hành vi tác động vào hệ điều
hành hoặc ứng dụng đã được biết, ví dụ, MDAC, GetAdmin.
• Tấn công chung (Generic attack) - bảo vệ nguyên cả loại tấn công ‘khai thác’ trực
tiếp đến hệ điều hành và ứng dụng, bao trùm cả những tấn công không biết lẫn đã biết.
• Bảo vệ tài nguyên (Resource protection) – ngăn cản sự truy cập phá hoại đến
nguồn tài nguyên hệ thống, bao gồm những quá trình, dịch vụ, đăng ký khóa, password
file, cơ chế xác thực, v.v…
EIS confidential
22

23. Solution Proposal
CSA là phần mềm bảo vệ trên server do đó sẽ được cài trên những máy server nào
cần được bảo vệ. Những máy server nào có dữ liệu mật hoặc có chứa thông tin nhạy cảm
cần được bảo mật thì nên được cài CSA để phòng chống và phát hiện xâm nhập.
Mô hình cài đặt CSA
CSA có thể dò tìm những truy cập bất thường vào hệ thống theo thời gian thực (real-
time). Nó kiểm tra việc xâm nhập vào hệ thống thông qua chính sách an ninh được định
trước và những hành động bất thường đối với server, và nó sẽ ngăn cản những hành động
làm tổn hại đến server đồng thời phát sinh email gởi đến người quản trị để thông báo về
những sự kiện liên quan tới security.
Chúng tôi khuyến nghị trường nên đầu tư hệ thống CSA cho các máy chủ chứa các dữ liệu
quan trọng.
4.3 PHÂN HỆ QUẢN TRỊ MẠNG
Để quản trị một hạ tầng mạng qui mô lớn của trường ĐHKT ĐN, chúng tôi đề nghị sử
dụng giải pháp quản trị mạng của Cisco. CiscoWorks2000 LAN Management Solution
(LMS) là bộ giải pháp quản trị trong họ sản phẩm quản trị mạng CiscoWorks2000 của
Cisco. Đây là bộ công cụ quản trị bằng giao diện Web cho việc cấu hình, quản lý, theo dõi
và phát hiện lỗi trên mạng Campus. Phần mềm sử dụng cho việc quản trị hằng ngày các dịch
vụ và kết nối trên mạng. Những công cụ này bao gồm hiển thị sơ đồ, cấu hình thiết bị, phân
tích đường dẫn ở lớp 2/lớp 3, theo dõi lưu lượng, tracking…
Campus Manager
Campus Manager là một bộ ứng dụng web được thiết kế cho việc quản trị hằng ngày mạng
chuyển mạch của Cisco.
EIS confidential
23

24. Solution Proposal
• Phát hiện và hiển thị 1 cách thông minh các mạng lớp 2 trên bản đồ kết nối
• Cấu hình các mạng VLAN, mạng LANE và các dịch vụ ATM
• Hiển thị trạng thái và kết nối dựa trên các thông tin lấy từ SNMP
• Nhận dạng cấu hình lớp 2
• Có công cụ trace để phát hiện các vấn đề về kết nối giữa các thiết bị đầu cuối cũng
như các thiết bị ở lớp 2 và lớp 3
• Tự định vị người dùng bằng địa chỉ MAC, địa chỉ IP, tên đăng nhập của NT hay
Netware hoặc các host Unix
Content Flow Monitor
Content Flow Monitor là ứng dụng theo dõi hiệu suất mạng để cân bằng tải trên mạng.
• Cho phép người quản trị mạng tăng hiệu suất bằng cách thêm vào các thành phần
cân bằng tải như LocalDirector
• Giảm độ phức tạp của việc quản trị
• Cung cấp các thống kê hiệu suất như là tổng số các luồng và cache entry, tổng số kết
nối và số lượng gói đến mỗi server…
TrafficDirector
TrafficeDirectorr là ứng dụng theo dõi và phát hiện lỗi của các traffic trên mạng có dùng
RMON. Cho phép người quản trị sớm phát hiện các vấn đề về mạng trước khi nó xảy ra.
• Sử dụng với Cisco SwitchProbe để đo hiệu suất kết nối
• Phát hiện và giải quyết các lỗi cũng như cung cấp số liệu thống kê, đồ thị và báo cáo
theo thời gian thực
• Có thể thu thập dữ liệu nếu dùng chung với các SwitchProbe của Cisco
Resource Manager Essentials
Đây là ứng dụng quản trị mạnh trong hệ thống mạng lớn.
• Cung cấp việc lưu trữ và quản trị các thay đổi của thiết bị
• Công cụ cấu hình và quản lý phần mềm
• Phân tích mạng và các thông tin được ghi lại
EIS confidential
24

25. Solution Proposal
CiscoView
Là ứng dụng quản trị bằng hiển trị sơ đồ các thiết bị theo kiểu đồ hoạ.
• Có thể có được các thông tin chi tiết bất cứ nơi nào, lúc nào
Hiển thị đồ họa các thiết bị với các màu cho các trạng thái khác nhau
4.4 PHÂN HỆ TRUYỀN THÔNG
Phân hệ truyền thông được xây dựng với mục đích chính là để kết nối và định tuyến
mạng Campus của trường đến hệ thống mạng tại Viện Đại Học Đà Nằng. Các kết nối này sẽ
được thực hiện thông qua các đường cáp quang có sẵn từ viện Đại Học Đà Nằng đến trường
ĐHKT ĐN. Đường cáp quang sẽ được kết nối trực tiếp vào switch trung tâm của trường qua
cổng GBIC sẵn có trên chassis 4507R.
4.5 PHÂN HỆ INTERNET VÀ TRUY CẬP TỪ XA
Hiện tại phân hệ này chưa triển khai trong giai đoạn đầu. Nhưng trong tương lai, nhà
trường muốn cho phép sinh viên ở nhà hoặc ở bất kỳ đâu có thể tham gia vào các chương
trình đào tạo từ xa mà trường cung cấp thì phân hệ này cần phải có.
Phân hệ Internet được thiết kế dùng để cho phép các cán bộ và sinh viên trong trường
có thể truy cập Internet trực tuyến. Bên cạnh dịch vụ truy cập Internet, phân hệ Internet còn
cung cấp cho người dùng các dịch vụ Mail/Web, mỗi thành viên bên trong có một địa chỉ
mail riêng và đồng thời có thể xây dựng các trang Web riêng của trường để giới thiệu,
quảng bá hình ảnh của trường.
Phân hệ Internet dùng làm cầu nối giữa trường và môi trường mạng công cộng bên
ngoài, tạo một môi trường trao đổi thông tin giữa các cán bộ, giáo viên, sinh viên trong
trường với môi trường mạng Internet. Trong khi đó, hệ thống truy cập từ xa sẽ phục vụ cho
các thành viên trong trường khi đi công tác ở xa hoặc ở nhà có thể truy cập vào mạng
campus của trường thông qua mạng điện thoại công cộng PSTN bằng kỹ thuật modem quay
số truyền thống giúp việc trao đổi dữ liệu và cập nhật thông tin cho người dùng được thực
hiện thông suốt không bị ảnh hưởng về mặt không gian và thời gian truy cập mạng.
Hình minh hoạ phân hệ Internet và truy cập từ xa
EIS confidential
25

26. Solution Proposal
Các thành phần chủ yếu để xây dựng hệ thống mạng kết nối internet và truy cập từ xa chi
tiết như sau:
• Internet Router: thực hiện việc định tuyến và cung cấp các cổng giao tiếp cho kết nối
Leased Line của trường với nhà cung cấp dịch vụ Internet như VDC, ETC hay
Vietel.
• Remote Access Router: thực hiện việc định tuyến và cung cấp cổng giao tiếp kết nối
với mạng điện thoại PSTN bằng kỹ thuật truyền thống dial-up connection, hỗ trợ
tính năng mạng riêng ảo VPN và IOS-Base Firewall chống sự xâm nhập mạng trái
phép từ bên ngoài và tương tác với AAA Server để xác thực và phân quyền truy cập
cho người dùng tuỳ theo chính sách an ninh của MARINA. Có thể tích hợp chức
năng truy cập từ xa vào vào Internet Router.
• Cache Engine: làm nhiệm vụ lưu lại dữ liệu Web đã được truy cập trước đó, do đó
cho phép các truy cập khác có cùng nội dung Web đã truy cập trước đó sẽ được lấy
thẳng tại Cache Engine thay vì phải truy cập lại đến Web Servers bên ngoài giúp tối
ưu hoá băng thông kết nối Internet và giảm thời gian chờ đợi để download thông tin
cho người sử dụng.
• Firewall : Việc xây dựng hệ thống an ninh bảo mật mạng đóng một vai trò khá quan
trọng. Phương pháp bảo mật truyền thống là phân quyền truy cập mạng bằng
Username/Password. Tuy nhiên để đảm bảo độ an toàn ở mức độ cao hơn thì cần
thiết lập một hệ thống có khả năng ngăn chặn sự truy cập trái phép từ bên ngoài bằng
nhiều hình thức tinh vi khác nhau. Vì vậy, ngoài các cơ chế bảo mật truyền thống,
EIS confidential
26

27. Solution Proposal
cần trang bị một Firewall chuyên nghiệp để ngăn các cuộc truy cập trái phép từ bên
ngoài bằng các hình thức như port scanning và hacking. Cisco PIX Firewall cho
phép lọc những địa chỉ inbound và outbound để ngăn cản việc giả mạo IP bằng việc
kiểm tra địa chỉ IP nguồn của những gói dữ liệu (packet). Tính năng Flood Guard và
Flood Defender giúp ngăn cản những tấn công DoS (Denial of Service) vào dịch vụ
AAA hoặc thông qua giao thức TCP. Ngoài ra, PIX firewall ngăn chặn ActiveX
được chèn vào những trang web hoặc ứng dụng khác và lọc những đoạn code Java
nguy hiểm và Java applets bằng việc không cho download về hệ thống. Ngoài ra
Cisco PIX Firewall hỗ trợ nhiều giao thức khác nhau và các ứng dụng cụ thể giúp
bảo vệ những truy cập SMTP từ bên ngoài vào hệ thống messaging server ở bên
trong thông qua chức năng Mail Guard. PIX cũng hỗ trợ những ứng dụng
multimedia như RealAudio, Streamworks, CU-SeeMe, VDO Live, Internet phone,
IRC, Vxtreme và những giao thức Real Time Streaming Protocol (RTSP).
Lựa chọn thiết bị
a) Internet router
• Đủ mạnh và hoạt động ổn định để cung cấp kết nối truy cập Internet thông suốt giữa
toàn bộ mạng của trường với mạng Internet. Muốn như vậy thiết bị Router này phải
có tốc độ chuyển mạch cao và phải đảm bảo được tính dự phòng cần thiết cho các
hoạt động của hệ thống.
• Router phải cho phép sử dụng nhiều loại module giao tiếp khác nhau để cung cấp
các loại cổng giao tiếp cho kết nối đến nhà cung cấp dịch vụ Internet, cổng giao tiếp
cho các truy cập từ xa qua modem.
• Router phải đảm bảo được tính mở của hệ thống, nghĩa là nó phải luôn sẵn sàng và
dễ dàng trong việc nâng cấp mở rộng hệ thống trong tương lai.
• Hỗ trợ tính năng thoại và các giao tiếp phù hợp để thực hiện chức năng của một
voice gateway cho sau này khi có nhu cầu sử dụng Voice qua mạng Internet.
Có thể sử dụng thiết bị Router Cisco 3725 của Cisco, Router này thuộc dòng sản phẩm
Cisco Router 3700 series có kiến trúc dưới dạng modular. Cấu hình thiết bị Router Cisco
3725 router gồm 2 cổng 10/100 FE đã tích hợp sẵn trên khung thiết bị, 2 khe cắm để cắm
các module mạng, 3 khe cắm để cắm các card giao tiếp WAN.
b) Firewall
Trong phân hệ Internet thì Firewall đóng một vai trò khá quan trọng. Có rất nhiều loại
Firewall khác nhau như Firewall dựa trên phần mềm cho các hệ điều hành Windows NT,
Unix, Firewall dựa trên phần mềm tích hợp trên các Router, Firewall dựa trên thiết bị phần
cứng… Vì thế việc chọn lựa một Firewall thích hợp cho hệ thống để bảo đảm tính an ninh,
EIS confidential
27

28. Solution Proposal
độ tin cậy cao, khả năng dễ mở rộng trong tương lai cũng cần phải được cân nhắc sao cho
hợp lý. Trong phân hệ này chúng tôi xin đề nghị chọn thiết bị phần cứng CiscoSecure PIX
FireWall 515E làm thiết bị an ninh cho hệ thống với những lý do như sau:
• Trước hết là phải đề cập đến tính tương thích của Firewall với Router trong phân hệ
Internet, mỗi một loại hình Firewall đều có những yêu cầu khác nhau cho việc hỗ trợ
các router gateway, có thể Firewall loại này sẽ hỗ trợ tốt khi sử dụng router này
nhưng đối với router khác thì không phát huy được hết các tính năng. Cho nên
CiscoSecure PIX FireWall 515E sẽ được chọn để làm việc chung với Cisco router
Cisco 3725.
• CiscoSecure PIX Firewall 515E là một thiết bị phần cứng đã được tích hợp sẵn
software bên trong và hoạt động một cách độc lập không phụ thuộc vào các yếu tố
về nền tảng ứng dụng như yêu cầu về cấu hình phần cứng, môi trường ứng dụng
(Windows NT, Unix…) vì thế làm đơn giản hoá hệ thống và quản trị thiết bị được dễ
dàng hơn.
• Dễ dàng quản trị và phân cấp mức độ an ninh cho hệ thống mạng bên trong nhờ yếu
tố sử dụng các giao tiếp vật lý (ports) để nối đến các mạng cấp thấp, cho phép mở
rộng thêm cổng giao tiếp vật lý bất kỳ lúc nào khi có nhu cầu trong tương lai. Một
điểm nữa cũng khá quan trọng cần được đề cập đến là khả năng mở rộng cao và mức
độ đầu tư thấp.
• Việc dùng CiscoSecure PIX FireWall 515E sẽ an toàn hơn các dạng Firewall dựa
trên các hệ điều hành hoặc Firewall dựa trên các phần mềm tích hợp trong router vì
không phụ thuộc vào các yếu tố về nền tảng, khi các ứng dụng nền tảng hoạt động
không tốt cũng không làm giảm mức độ an ninh của Firewall và không làm ảnh
hưởng đến hệ thống chung. Việc quản trị cũng sẽ đơn giản hơn, không đòi hỏi người
quản trị phải có trình độ chuyên môn cao mới có thể điều hành cũng như xử lý khi
có sự cố xảy ra cho Firewall.
• Một đặc tính nổi bật của PIX 515E là hỗ trợ Stateful Failover. Lựa chọn cấu hình
Stateful Failover bảo đảm tính sẵn sàng cao và làm giảm tối đa các hỏng hóc riêng lẻ
ảnh hưởng đến hoạt động của hệ thống. Với hai thiết bị PIX có cấu hình hoàn toàn
giông nhau chạy song song, nếu PIX chính không hoạt động, quyền điều khiển sẽ
được tự động chuyển sang PIX dự phòng.
c) Cache Engine
Đây là thiết bị lưu trữ tạm các thông tin web thường được sử dụng để giảm lưu lượng
truy cập Internet qua gateway. Điều này sẽ tiết kiệm được chi phí thuê bao Internet và gia
tăng tốc độ truy cập Internet cho các thành viên trong trường sử dụng dịch vụ Internet trực
tiếp và gián tiếp. Thiết bị được sử dụng ở đây là sản phẩm phần cứng Cisco Cache Engine
EIS confidential
28

29. Solution Proposal
500 series cho phép điều khiển các truy cập bằng cách sử dụng giao thức Web Cache
Communication Protocol (WCCP) trong phần mềm Cisco IOS để tạo ra bộ nhớ ảo truy cập
nhanh nhằm lưu trữ các trang Web đã được load trước đó, giúp cho các router liên kết lại
các địa chỉ Web thông qua Network cache. Ngoài ra, Cisco Cache Engine còn hỗ trợ việc
kiểm tra đúng sai về lỗi và ngăn chặn các lỗi xảy ra trong quá trình load Web, cho phép
nhận các đường truyền tải từ một hoặc nhiều router. Với cổng ethernet 10/100 Base-TX trên
Cisco Cache Engine được nối trực tiếp đến Cisco 3725 router hiện có của phân hệ Internet,
Web Cache Communication Protocol (WCCP) sẽ lọc các gói tin để xác định các gói tin nào
sẽ được hoặc không được trả gían tiếp từ Cache Engine. Khi người dùng có một yêu cầu về
tài nguyên từ một Web server, trước hết Router sẽ gửi các yêu cầu đó đến Cache Engine,
nếu các dữ liệu đó đã được ghi nhận trên bộ nhớ khi đó Cache Engine sẽ gửi lại các dữ liệu
yêu cầu cho người dùng. Mặt khác trong quá trình truyền tải dữ liệu yêu cầu từ Web Server
về đến người dùng song song đó Cache Engine cũng sẽ lưu trữ một bản copy vào trong bộ
nhớ cache của nó, với những dữ liệu được lưu trong bộ nhớ cache của nó, Cache Engine
không những giải quyết các yêu cầu một cách nhanh chóng cho một người dùng mà cho cả
nhiều người dùng muốn truy cập đồng thời đến cùng một tài nguyên lưu trữ trên Cache
Engine. Thiết bị này được cung cấp để góp phần tạo nên cân bằng tải cho hệ thống và tăng
được tốc độ của người sử dụng khi hoạt động truy cập Internet cũng như một số dịch vụ qua
Internet.
Với các yêu cầu như trên thì thiết bị được chọn bổ sung vào phân hệ Internet là thiết bị
Cache Engine 565 của hãng Cisco.
d) Remote Access router
Để thiết lập hệ thống truy cập từ xa vào hệ thống mạng của trường, có thể sử dụng một
router riêng chuyên làm chức năng này. Tuy vậy, chúng ta cũng có thể sử dụng Internet
Router như một Remote Access router băng các trang bị thêm các module có modem gắn
sẵn.
Có thể đầu tư Cisco Router 2611XM làm 1 Remote Access router. Cisco Router 2611XM
gồm 1 slot network module hỗ trợ giao tiếp tích hợp 16 Analog modem và 2 cổng giao tiếp
10/100 Mbps để kết nối vào mạng LAN nội bộ. Ngoài ra Cisco Router 2611 cho phép thực
hiện tính năng VPN và Firewall thông qua phần mềm hệ thống IOS để bảo vệ an ninh cho
hệ thống mạng của trường.
5 DỰ TOÁN ĐẦU TƯ
EIS confidential
29

30. Solution Proposal
6 TÀI LIỆU KỸ THUẬT THIẾT BỊ
EIS confidential
30