Thiết kế mạng Lan cho doanh nghiệp
Thiết kế, xây dựng hạ tầng truyền thông cho các đơn vị, tổ chức tạo điều kiện triển khai các ứng dụng nghiệp vụ và các dịch vụ gia tăng của đơn vị, tổ chức đó.
Mục tiêu chung được thể hiện qua các điểm cụ thể sau:
* Xây dựng hạ tầng truyền thông thống nhất, tốc độ cao đồng bộ.
* Quản trị hệ thống tập trung.d
* Phát triển các dịch vụ gia tăng trên mạng như Video conferencing, VoIP.
* Xây dựng hạ tầng cơ sở đảm bảo môi trường tiêu chuẩn cho trung tâm dữ liệu.
I.2.Nội dung thiết kế
* Xây dựng thiết kế mạng LAN, WAN cho các đơn vị, tổ chức.
* Xây dựng mạng trục WAN backbone.
* Xây dựng hệ thống an ninh mạng theo chiều sâu, nhiều lớp và sử dụng nhiều công nghệ khác nhau.
* Xây dựng hệ thống quản trị cấu hình trang thiết bị và giám sát kênh truyền thông.
* Xây dựng hạ tầng cơ sở trung tâm dữ liệu chính.
* Xây dựng thiết kế mạng cho trung tâm dữ liệu dự phòng.
* Xây dựng các dịch vụ mạng gia tăng như IP Telephony và Video Conferencing
II.Tổng quan về thiết kế
II.1.Định hướng kiến trúc
Trong phần này, chúng tôi xin giới thiệu sơ lược về một định hướng kiến trúc tiêu biểu được áp dụng trong việc xây dựng hạ tầng Công nghệ Thông tin cho các tổ chức và doanh nghiệp lớn. Đó là Định hướng Kiến trúc Dịch vụ (Service-Oriented Architecture - SOA).
Đây là kiến trúc khung (architectural framework) mang tính định hướng sự phát triển, mở rộng có mục đích đối với các hệ thống mạng lớn và là một cuộc cách mạng trong nhận thức về nền tảng mạng truyền thông hướng tới môi trường mạng thông tin thông minh (Intelligent information network) giúp cho việc tăng nhanh các khả năng ứng dụng, dịch vụ, mở rộng tiến trình kinh doanh và tất nhiên, kèm theo đó là lợi nhuận.
Service-Oriented Architecture:
Kiến trúc SOA gồm có 3 lớp:
* Lớp cơ sở hạ tầng mạng (networked infrasstructure layer): là lớp mạng liên kết các khối chức năng theo kiến trúc phân tầng, có trật tự.
* Lớp dịch vụ tương tác (Interactive services layer): bao gồm sự kết hợp một số kiến trúc mạng đầy đủ với nhau tạo thành các chức năng cho phép nhiều ứng dụng có thể sử dụng trên mạng.
* Lớp ứng dụng (Application layer): Bao gồm các loại ứng dụng cộng tác và nghiệp vụ. Các ứng dụng này kết hợp với các dịch vụ tương tác cung cấp ở lớp dưới sẽ giúp triển khai nhanh và hiệu quả
II.2.Các phương thức thiết kế
Trong phần này, chúng tôi xin giới thiệu sơ lược về các phương thức thiết kế mạng và bảo mật được sử dụng trong việc thiết kế các hệ thống mạng lớn và hiện đại của các tổ chức và doanh nghiệp lớn. Tương ứng với kiến trúc SOA là thuộc lớp Cơ sở hạ tầng mạng.
II.2.1.Phương thức thiết kế phân lớp - Hierarchical
Phương thức thiết kế phân lớp (Hierarchical) ra đời và trở thành một kiến trúc phổ biến trong gần chục năm gần đây, được áp dụng để thiết kế các hệ thống mạng với qui mô trung bình cho đến qui mô lớn. Phương thức thiết kế này sử dụng các lớp (layer) để đơn giản hóa các công việc trong thiết kế mạng. Mỗi lớp có thể tập trung vào các chức năng cụ thể, cho phép người thiết kế lựa chọn đúng các hệ thống và các tính năng cho mỗi lớp.
Phương thức thiết kế Hierarchical gồm 3 lớp:
* Lớp Core: Có nhiệm vụ chuyển tiếp lưu thông với tốc độ cao nhất
* Lớp Distribution: Cung cấp các chính sách liên quan đến các hoạt động kết nối
* Lớp Access: Cung cấp truy cập cho các User/Workgroup vào mạng
Ví dụ về một hệ thống mạng thiết kế theo phương thức thiết kế Hierarchical:
II.2.2.Phương thức thiết kế theo mô đun - Modular
Phương thức thiết kế theo mô đun (Modular) được xem như là phương thức bổ xung cho phương thức thiết kế Hierarchical. Trong một hệ thống mạng qui mô lớn, nói chung sẽ bao gồm nhiều vùng mạng phục vụ các hoạt động và chức năng khác nhau. Việc thiết kế theo mô đun cho một hạ tầng mạng lớn bằng việc tách biệt các vùng mạng với chức năng khác nhau, cũng đang là một phương pháp thiết kế được sử dụng rộng rãi trong thiết kế hạ tầng mạng cho các doanh nghiệp, các công ty, và các tổ chức lớn (gọi tắt là Enterprise).
Phương thức thiết kế Modular có thể được chia làm ba vùng chính, mỗi vùng được tạo bởi các mô đun mạng nhỏ hơn:
* Enterprise campus: Bao gồm các module được yêu cầu để xây dựng một mạng campus đỏi hỏi tính sẵn sàng cao, tính mềm dẻo và linh hoạt.
* Enterprise edge: Hội tụ các kết nối từ các thành phần khác nhau tại phía rìa mạng của Enterprise. Vùng chức năng này sẽ lọc lưu thông từ các module trong Enterprise edge và gửi chúng vào trong vùng Enterprise campus. Enterprise edge bao gồm tất cả các thành phần thiết bị để đảm bảo truyền thông hiệu quả và bảo mật giữa Enterprise campus với các hệ thống bên ngoài, các đối tác, mobile users, và mạng Internet.
* Service provider edge: Các module trong vùng này được triển khai bởi các nhà cung cấp dịch vụ, chứ không thuộc về Enterprise. Các module trong Service provider edge cho phép truyền thông với các mạng khác sử dụng các công nghệ WAN và các ISPs khác nhau.
Ví dụ về một hệ thống mạng thiết kế theo phương thức thiết kế Modular:
II.2.3.Phương thức thiết kế bảo mật cho hệ thống mạng
Phương thức thiết kế bảo mật cho hệ thống mạng được sử dụng là Kiến trúc an ninh cho các Doanh nghiệp – SAFE (Security Architecture for Enterprise Networks), được xây dựng dựa trên nền tảng các công nghệ an ninh mạng tiên tiến nhất để bảo vệ các cuộc tấn công từ bên ngoài và bên trong của hệ thống mạng các doanh nghiệp. SAFE đem lại sự linh hoạt và khả năng mở rộng cao bao gồm khả năng dự phòng vật lý và cấu hình thiết bị khi có sự cố hay bị kẻ xấu tấn công vào hệ thống mạng. Khái niệm Module được sử dụng trong SAFE giúp cho việc tổ chức hệ thống an ninh được chặt chẽ và cho phép công việc thiết kế triển khai hệ thống an ninh mạng một cách linh hoạt theo từng Module một (Module by Module), trong khi vẫn đảm bảo được yêu cầu theo chính sách an ninh đặt ra cho từng giai đoạn.
Kiến trúc SAFE bao gồm các module sau:
* Corporate Internet Module: Corporate Internet Module tập trung chủ yếu các kết nối của người dùng bên trong hệ thống mạng (Internal user) truy cập Internet và các kết nối từ người dùng bên ngoài (Internet user) truy cập vào hệ thống các máy chủ Public Servers của doanh nghiệp như HTTP, FTP, SMTP và DNS. Ngoài ra trong Module này còn cung cấp dịch vụ truy cập từ xa bằng công nghệ VPN hay quay số truyền thống dial-up.
* Campus Module: Campus Module chủ yếu tập trung các máy trạm làm việc, hệ thống máy chủ và kiến trúc chuyển mạch lớp 2 và lớp 3. Campus Module bao gồm nhiều thành phần hợp nhất thành một Module thống nhất được mô tả bằng mô hình kết nối tổng quát sau:
Campus Module có cấu trúc thiết kế tương tự mô hình mạng Campus truyền thống và cũng được chia theo 3 lớp là Core, Distribution và Access Layer. Tuy nhiên ở lớp Access thì Campus Module được phân làm 3 Module bảo vệ gồm Building Module (users), Management Module và Server Module. Với sự phân cấp bảo vệ trong Campus Module giúp cho việc thiết lập hệ thống an ninh mạng được linh động và độc lập giữa các Module, nhờ vậy công việc tổ chức và quản trị trở nên dễ dàng hơn và giúp cho doanh nghiệp có thể mở rộng, gia cố và khắc phục các vấn đề an toàn cho hệ thống mạng khi có sự cố xảy ra.
* WAN Module: WAN Module chỉ có một kết nối duy nhất đến các mạng khác cách xa nhau về mặt địa lý thông qua các đường truyền thuê bao riêng. Các khả năng có thể bảo vệ các cuộc tấn công vào WAN Module gồm:
o IP spoofing-IP spoofing có thể được ngăn chặn thông qua Layer 3 filtering
o Unauthorized access—Tránh các truy cập trái phép bằng việc giới hạn và kiểm soát các kiểu giao thức sử dụng từ chi nhánh kết nối về Trung tâm thông qua Router
II.2.4.Nguyên lý thiết kế hệ thống bảo mật
An ninh mạng phải được thiết lập dựa trên các nguyên tắc sau:
* Bảo vệ có chiều sâu (defense in depth): Hệ thống phải được bảo vệ theo chiều sâu, phân thành nhiều tầng và tách thành nhiều lớp khác nhau. Mỗi tầng và lớp đó sẽ được thực hiện các chính sách bảo mật hay ngăn chặn khác nhau. Mặt khác cũng là để phòng ngừa khi một tầng hay một lớp nào đó bị xâm nhập thì xâm nhập trái phép đó chỉ bó hẹp trong tầng hoặc lớp đó thôi và không thể ảnh hưởng sang các tầng hay lớp khác.
* Sử dụng nhiều công nghệ khác nhau: Không nên tin cậy vào chỉ một công nghệ hay sản phẩm công nghệ bảo đảm an ninh cho mạng của một hãng nào đó. Bởi nếu như sản phẩm của hãng đó bị hacker tìm ra lỗ hổng thì dễ dàng các sản phẩm tương tự của hãng đó trong mạng cũng sẽ bị xuyên qua và việc phân tầng, phân lớp trong chính sách phòng vệ là vô nghĩa. Vì vậy khi tiến hành phân tầng, tách lớp, nên sử dụng nhiều sản phẩm công nghệ của nhiều hãng khác nhau để hạn chế nhược điểm trên. Đồng thời sử dụng nhiều cộng nghệ và giải pháp bảo mật kết hợp để tăng cường sức mạnh hệ thống phòng vệ như phối hợp Firewall làm công cụ ngăn chặn trực tiếp, IDS làm công cụ "đánh hơi", phản ứng phòng vệ chủ động, Anti-virus để lọc virus...v.v
* Các tiêu chuẩn đáp ứng: Các sản phẩm bảo mật phải đáp ứng một số chứng nhận tiêu chuẩn như Common Criteria, ISO/IEC 15408:2005 và ISO/IEC 18405:2005 EAL4, ICSA Firewall và VPN, FIPS-140
Anh Ngọc (Nguồn ANCO INC)
