Thiết kế mạng Lan cho doanh nghiệp

Thiết kế, xây dựng hạ tầng truyền thông cho các đơn vị, tổ chức tạo điều kiện triển
khai các ứng dụng nghiệp vụ và các dịch vụ gia tăng của đơn vị, tổ chức đó.

Mục tiêu chung được thể hiện qua các điểm cụ thể sau:

• Xây dựng hạ tầng truyền thông thống nhất, tốc độ cao đồng bộ.
• Quản trị hệ thống tập trung.
• Phát triển các dịch vụ gia tăng trên mạng như Video conferencing, VoIP.
• Xây dựng hạ tầng cơ sở đảm bảo môi trường tiêu chuẩn cho trung tâm dữ
liệu.

I.2.Nội dung thiết kế

• Xây dựng thiết kế mạng LAN, WAN cho các đơn vị, tổ chức.
• Xây dựng mạng trục WAN backbone.
• Xây dựng hệ thống an ninh mạng theo chiều sâu, nhiều lớp và sử dụng nhiều
công nghệ khác nhau.
• Xây dựng hệ thống quản trị cấu hình trang thiết bị và giám sát kênh truyền
thông.
• Xây dựng hạ tầng cơ sở trung tâm dữ liệu chính.
• Xây dựng thiết kế mạng cho trung tâm dữ liệu dự phòng.
• Xây dựng các dịch vụ mạng gia tăng như IP Telephony và Video
Conferencing

II.Tổng quan về thiết kế

II.1.Định hướng kiến trúc

Trong phần này, chúng tôi xin giới thiệu sơ lược về một định hướng kiến trúc tiêu
biểu được áp dụng trong việc xây dựng hạ tầng Công nghệ Thông tin cho các tổ
chức và doanh nghiệp lớn. Đó là Định hướng Kiến trúc Dịch vụ (Service-Oriented
Architecture - SOA).

Đây là kiến trúc khung (architectural framework) mang tính định hướng sự phát triển,
mở rộng có mục đích đối với các hệ thống mạng lớn và là một cuộc cách mạng trong
nhận thức về nền tảng mạng truyền thông hướng tới môi trường mạng thông tin
thông minh (Intelligent information network) giúp cho việc tăng nhanh các khả năng
ứng dụng, dịch vụ, mở rộng tiến trình kinh doanh và tất nhiên, kèm theo đó là lợi
nhuận.

Service-Oriented Architecture:
Kiến trúc SOA gồm có 3 lớp:

• Lớp cơ sở hạ tầng mạng (networked infrasstructure layer): là lớp mạng liên

kết các khối chức năng theo kiến trúc phân tầng, có trật tự.
• Lớp dịch vụ tương tác (Interactive services layer): bao gồm sự kết hợp một
số kiến trúc mạng đầy đủ với nhau tạo thành các chức năng cho phép nhiều
ứng dụng có thể sử dụng trên mạng.
• Lớp ứng dụng (Application layer): Bao gồm các loại ứng dụng cộng tác và
nghiệp vụ. Các ứng dụng này kết hợp với các dịch vụ tương tác cung cấp ở
lớp dưới sẽ giúp triển khai nhanh và hiệu quả

II.2.Các phương thức thiết kế

Trong phần này, chúng tôi xin giới thiệu sơ lược về các phương thức thiết kế mạng
và bảo mật được sử dụng trong việc thiết kế các hệ thống mạng lớn và hiện đại của
các tổ chức và doanh nghiệp lớn. Tương ứng với kiến trúc SOA là thuộc lớp Cơ sở
hạ tầng mạng.

II.2.1.Phương thức thiết kế phân lớp - Hierarchical

Phương thức thiết kế phân lớp (Hierarchical) ra đời và trở thành một kiến trúc phổ
biến trong gần chục năm gần đây, được áp dụng để thiết kế các hệ thống mạng với
qui mô trung bình cho đến qui mô lớn. Phương thức thiết kế này sử dụng các lớp
(layer) để đơn giản hóa các công việc trong thiết kế mạng. Mỗi lớp có thể tập trung
vào các chức năng cụ thể, cho phép người thiết kế lựa chọn đúng các hệ thống và
các tính năng cho mỗi lớp.

Phương thức thiết kế Hierarchical gồm 3 lớp:

• Lớp Core: Có nhiệm vụ chuyển tiếp lưu thông với tốc độ cao nhất
 • Lớp Distribution: Cung cấp các chính sách liên quan đến các hoạt động kết
nối
• Lớp Access: Cung cấp truy cập cho các User/Workgroup vào mạng

Ví dụ về một hệ thống mạng thiết kế theo phương thức thiết kế Hierarchical:

II.2.2.Phương thức thiết kế theo mô đun - Modular

Phương thức thiết kế theo mô đun (Modular) được xem như là phương thức bổ xung
cho phương thức thiết kế Hierarchical. Trong một hệ thống mạng qui mô lớn, nói
chung sẽ bao gồm nhiều vùng mạng phục vụ các hoạt động và chức năng khác
nhau. Việc thiết kế theo mô đun cho một hạ tầng mạng lớn bằng việc tách biệt các
vùng mạng với chức năng khác nhau, cũng đang là một phương pháp thiết kế được
sử dụng rộng rãi trong thiết kế hạ tầng mạng cho các doanh nghiệp, các công ty, và
các tổ chức lớn (gọi tắt là Enterprise).

Phương thức thiết kế Modular có thể được chia làm ba vùng chính, mỗi vùng được
tạo bởi các mô đun mạng nhỏ hơn:

• Enterprise campus: Bao gồm các module được yêu cầu để xây dựng một
mạng campus đỏi hỏi tính sẵn sàng cao, tính mềm dẻo và linh hoạt.
• Enterprise edge: Hội tụ các kết nối từ các thành phần khác nhau tại phía rìa
mạng của Enterprise. Vùng chức năng này sẽ lọc lưu thông từ các module
trong Enterprise edge và gửi chúng vào trong vùng Enterprise campus.
Enterprise edge bao gồm tất cả các thành phần thiết bị để đảm bảo truyền
 thông hiệu quả và bảo mật giữa Enterprise campus với các hệ thống bên
ngoài, các đối tác, mobile users, và mạng Internet.
• Service provider edge: Các module trong vùng này được triển khai bởi các
nhà cung cấp dịch vụ, chứ không thuộc về Enterprise. Các module trong
Service provider edge cho phép truyền thông với các mạng khác sử dụng các
công nghệ WAN và các ISPs khác nhau.

Ví dụ về một hệ thống mạng thiết kế theo phương thức thiết kế Modular:

II.2.3.Phương thức thiết kế bảo mật cho hệ thống mạng

Phương thức thiết kế bảo mật cho hệ thống mạng được sử dụng là Kiến trúc an ninh
cho các Doanh nghiệp – SAFE (Security Architecture for Enterprise Networks), được
xây dựng dựa trên nền tảng các công nghệ an ninh mạng tiên tiến nhất để bảo vệ
các cuộc tấn công từ bên ngoài và bên trong của hệ thống mạng các doanh nghiệp.
SAFE đem lại sự linh hoạt và khả năng mở rộng cao bao gồm khả năng dự phòng
vật lý và cấu hình thiết bị khi có sự cố hay bị kẻ xấu tấn công vào hệ thống mạng.
Khái niệm Module được sử dụng trong SAFE giúp cho việc tổ chức hệ thống an ninh
được chặt chẽ và cho phép công việc thiết kế triển khai hệ thống an ninh mạng một
cách linh hoạt theo từng Module một (Module by Module), trong khi vẫn đảm bảo
được yêu cầu theo chính sách an ninh đặt ra cho từng giai đoạn.

Kiến trúc SAFE bao gồm các module sau:

 • Corporate Internet Module: Corporate Internet Module tập trung chủ yếu các
kết nối của người dùng bên trong hệ thống mạng (Internal user) truy cập
Internet và các kết nối từ người dùng bên ngoài (Internet user) truy cập vào
hệ thống các máy chủ Public Servers của doanh nghiệp như HTTP, FTP,
SMTP và DNS. Ngoài ra trong Module này còn cung cấp dịch vụ truy cập từ
xa bằng công nghệ VPN hay quay số truyền thống dial-up.
• Campus Module: Campus Module chủ yếu tập trung các máy trạm làm việc,
hệ thống máy chủ và kiến trúc chuyển mạch lớp 2 và lớp 3. Campus Module
bao gồm nhiều thành phần hợp nhất thành một Module thống nhất được mô
tả bằng mô hình kết nối tổng quát sau:

Campus Module có cấu trúc thiết kế tương tự mô hình mạng Campus truyền thống
và cũng được chia theo 3 lớp là Core, Distribution và Access Layer. Tuy nhiên ở lớp
Access thì Campus Module được phân làm 3 Module bảo vệ gồm Building Module
(users), Management Module và Server Module. Với sự phân cấp bảo vệ trong
Campus Module giúp cho việc thiết lập hệ thống an ninh mạng được linh động và
độc lập giữa các Module, nhờ vậy công việc tổ chức và quản trị trở nên dễ dàng hơn
và giúp cho doanh nghiệp có thể mở rộng, gia cố và khắc phục các vấn đề an toàn
cho hệ thống mạng khi có sự cố xảy ra.

• WAN Module: WAN Module chỉ có một kết nối duy nhất đến các mạng khác
cách xa nhau về mặt địa lý thông qua các đường truyền thuê bao riêng. Các
khả năng có thể bảo vệ các cuộc tấn công vào WAN Module gồm:
o IP spoofing-IP spoofing có thể được ngăn chặn thông qua Layer 3
filtering
o Unauthorized access—Tránh các truy cập trái phép bằng việc giới hạn
và kiểm soát các kiểu giao thức sử dụng từ chi nhánh kết nối về Trung
tâm thông qua Router

II.2.4.Nguyên lý thiết kế hệ thống bảo mật

An ninh mạng phải được thiết lập dựa trên các nguyên tắc sau:

• Bảo vệ có chiều sâu (defense in depth): Hệ thống phải được bảo vệ theo
chiều sâu, phân thành nhiều tầng và tách thành nhiều lớp khác nhau. Mỗi
tầng và lớp đó sẽ được thực hiện các chính sách bảo mật hay ngăn chặn
khác nhau. Mặt khác cũng là để phòng ngừa khi một tầng hay một lớp nào đó
bị xâm nhập thì xâm nhập trái phép đó chỉ bó hẹp trong tầng hoặc lớp đó thôi
và không thể ảnh hưởng sang các tầng hay lớp khác.
• Sử dụng nhiều công nghệ khác nhau: Không nên tin cậy vào chỉ một công
nghệ hay sản phẩm công nghệ bảo đảm an ninh cho mạng của một hãng nào
đó. Bởi nếu như sản phẩm của hãng đó bị hacker tìm ra lỗ hổng thì dễ dàng
các sản phẩm tương tự của hãng đó trong mạng cũng sẽ bị xuyên qua và việc
phân tầng, phân lớp trong chính sách phòng vệ là vô nghĩa. Vì vậy khi tiến
hành phân tầng, tách lớp, nên sử dụng nhiều sản phẩm công nghệ của nhiều
hãng khác nhau để hạn chế nhược điểm trên. Đồng thời sử dụng nhiều cộng
nghệ và giải pháp bảo mật kết hợp để tăng cường sức mạnh hệ thống phòng
vệ như phối hợp Firewall làm công cụ ngăn chặn trực tiếp, IDS làm công cụ
"đánh hơi", phản ứng phòng vệ chủ động, Anti-virus để lọc virus...v.v
• Các tiêu chuẩn đáp ứng: Các sản phẩm bảo mật phải đáp ứng một số chứng
nhận tiêu chuẩn như Common Criteria, ISO/IEC 15408:2005 và ISO/IEC
18405:2005 EAL4, ICSA Firewall và VPN, FIPS-140

Anh Ngọc (Nguồn ANCO INC)