THIẾT KẾ HỆ THỐNG MẠNG

đến nhóm người sử dụng khác truy xuất thông tin cở sở dữ liệu tại máy chủ hoặc

nhóm người đang sử dụng Internet.

* Tăng cường an ninh cho hệ thống: Bằng việc phân chia mạng thành các khối

logic khác nhau. Nhà quản trị có thể gán cho mỗi khối mạng một mức bảo mật

nhất định và nhờ vậy ngăn ngừa khả năng khai thác những lỗ hổng an ninh trên

mạng. Cụ thể như khối dành cho máy chủ sẽ được đặt mức bảo mật cao nhất và

được kiểm soát chặt chẽ.

* Quản trị và xử lý dễ dàng: Nhà quản trị dễ dàng hơn trong việc xác định nút

mạng đang gặp sự cố nhờ khoanh vùng theo đoan mạng logic của khối mạng đó.

việc xử lý lỗi nhờ đó sẽ nhanh chóng hơn và không làm ảnh hưởng đến những

khối mạng khác.

* Khả năng dự phòng và chia tải cao giữa các thiết bị: Giúp làm tăng giải

thông cho mạng và nâng cao độ an toàn.

* Sử dụng kiến trúc Module ghép nối các thành phần trong mạng để viwcj mở

rộng sẽ dễ dàng hơn cả về quy mô lân tính phức tạp của hệ thống.

Hình 4.1: mô hình các lớp mạng

Như trên ta thấy toàn hệ thống được chia ra thành các khối: Máy chủ / Người

sử dụng, Internet, mạng riêng (WAN), Dịch vụ dùng chung, Quản trị mạng. Các

khối này được liên kết với nhau bởi thiết bị tại Core Layer.

II./. THIẾT KẾ HỆ THỐNG CABLING:

Hệ thống cáp được thiết kế có cấu trúc theo tiêu chuẩn quốc tế (TIA/EIA 568 B), tốc độ cao, chống nhiễu và đảm bảo không bị lạc hậu trong vài chục năm.

* Hệ thống cáp Backbone dùng cáp quang đa mốt micron: có giải thông

cao, chống nhiễu và chống sét.

* Toàn bộ hệ thống cáp đến end user dùng cáp xoắn UTP Cat6, có giai

thông đáp ứng tôc độ Gbps.

Trang

NGUYỄN ĐÌNH CÔNG – 36CLTH



67



* Hệ thống cáp kết nối Server Farm, Router, Access Server có thể dùng cáp

xoắn UTP Cat6 hoặc cáp quang đa mốt.

* Hệ thống cáp, Outlet, Patch Panel, Rack,....... được thiết kế đáp ứng sử

dụng công nghệ VoIP và Video,...

* Hệ thống cáp phảp đi trong hệ thống Trunking System để đảm bảo thuận

lợi cho việc nâng cấp, thay thế hay bảo dương.

Hệ thống Trunking System để đi cáp sẽ bâo gồm ba phần chính:

•



Vertical Trunking System: Hệ thống mạng kỹ thuật theo chiều đứng

này hạy dọc theo chiều đứng của toà nhà (Thường được đặt trong

buồng kỹ thuật), đi từ tầng hầm lên đến tầng trên cùng.



•



Horizontal Trunking System: Hệ thống mạng kỹ thuật theo chiều

ngang này sẽ được chạy trên trần giả của từng tầng ( cách trần

khoảng 20 – 25 cm).



•



Local Cable System: Hệ thống ống kỹ thuật sẽ được đặt trong tường,

dọc từ trần xuống đến sàn của từng phòng để dẫn cáp từ Horizontal

Trunking System đên Outlet (End User).



2.1./ CÁC PHƯƠNG ÁN THIẾT KẾ:

2.1.1. Đặt thiết bị và đi dây tập trung:

Với phương an đặt thiết bị mạng tập trung và đi dây tới các tầng, hệ thống

sẽ giống như sau:

Cáp UTP 4-pair

Hộp đấu nối

Hộp đấu nối

Hộp đấu nối

Hộp đấu nối

Hộp đấu nối



Cáp 25 -pair

Tủ phối dây tại tầng 8

Core/Access Switch

Server



68

Hình 4.1: Mô hình đi dây mạng tập



Phương án đặt thiết bị tập trung là phương án tập trung tất cả các thiết bị mạng,

cáp mạng về tủ mạng tại phòng an ninh và quản trị mạng với ưu điểm là rễ quản

lý thiết bị tuy nhiên hơi cồng kềnh và tốc độ truyền dữ liệu không cao.

* Cáp sử dụng là cáp đồng trục nên khoảng cách tối đa cho phép giữa các điểm

kết nối quy định cho loại cáp này chỉ là 100m, khi vượt quá 100m thì tín hiệu sẽ

suy yếu và việc kết nối không thực hiện được.

* Không có trục Backbone: Theo quy định của những hệ thống mạng phân lớp

chỉ giữa lớp Core và lớp Access của mạng phải tục kết nối Backbone tôc độ cao (

tối thiểu 1Gbps và nâng lên 10 Gbps).Với loại cáo 25 – pair như hình vẽ trên thì

tốc đội kết nối không lên được 1 Gbps ( do cổng dành cho cá đồng là

Autosensing 10/100/1000 nên khi sử dụng cổng tốc độ 1000Mbps thì tốc độ thực

tế sẽ dao động trong mức 10Mbps đến 1000Mbps).



Trang

NGUYỄN ĐÌNH CÔNG – 36CLTH



69



* Không có dự phòng và ghép kết nối: Khi cáp điện nối gặp sự cố thì hệ thống

sẽ không có đường để thay thế. Việc ghép nối để chia tải cũng không thực hiện

được do thiếu kết nối Backbone.

* Khó khăn hơn khi triển khai và mở rộng: Cáp 25 – pair là loại cáp có thiết

diện tương đối lớn và mỗi cáp 25 – pair chỉ phục vụ được cho 6 trạm làm việc.

Đối với một tầng có vài chục đến vài chăm nút mạng thì sẽ cần nhiều đầu nối cáp

25 – pair và như vậy trục Backbone sẽ phải có kích thước lớn thì mới chứa được

ngần ấy đầu cáp. Và càng về đến tầng 2, số lượng đầu cáp càng nhiều do vậy rất

kho khăn khi quản lý và kéo cáp. Mỗi khi muốn mở rộng mạng thêm một số nút

mạng cho mỗi tầng thì phải kéo thêm đầu cáp và như vậy là không khả thi.

2.1.2. Đặt thiết bị phân tán tại các tầng:

Đề xuất thiết kế theo mô hình đặt thiết bị phân tán tại các tầng. Theo mô hình

này mỗi tầng sẽ có một không gian dành riêng cho các thiết bị mạng (có thể đặt

tại phòng kỹ thuật tại mỗi tầng). Kết nối từ trung tâm dữ liệu tại tầng 8 tới các

thiết bị này sẽ sử dụng cáp quang loại Multimode 50 micron có khoảng cách tối

đa lên được 1 km và tốc độ tối thiểu là 1 Gbps. Từ các thiết bị phân tán này sẽ kết

nối tới trạm làm việc đầu cuối bằng cáp UTP 4 – pair Cat6. Từ các thiết bị phân

tán này sẽ kết nối tới máy trạm làm việc đầu cuối bằng cáp UTP 4 – pair Cat6.

Mô hình kết nối logic như sau:



70



Access Switch

Cáp UTP 4 – pair

(Cat6)

Server



Access Switch

Core

Switch



Access Switch



Access Switch



Cáp quang

Multimode



Trang

NGUYỄN ĐÌNH CÔNG – 36CLTH



Access Switch



71



Hình 4.1: Mô hình đi dây mạng phân

* Sử dụng



tán



trục



Backbone



cáp quang: Tốc độ cao từ 1 Gbps đến 10 Gbps, không bị nhiễu, khoảng cách kết

nối lớn và điểm quan trọng là có kết nối dự phòng.

* Loại cáp từ Access Switch tới người sử dụng đầu cuối: Sử dụng loại cáp

Cat6 (Catgory 6). Loại cáp này có những lớp vỏ bọc chống nhiễu đặc biệt và

được thiết kế dành cho tốc độ truy nhập cao tới 1Gbps (1000 Mbps). Loại cáp

Cat5 như thiết kế ban đầu không đạt được tốc đội 1000Mbps và chỉ dừng lại ở

mức 1000Mbps.

* Quản lý dế dàng: Mặc dù thiết bị đặt phân tán tại các tầng nhưng vấn có

thể quản lý tập trung dễ dàng từ trạm làm việc của nhà quản trị. Điều này là do

những phần mềm truy quản trị mạng hiện nay được thiết kế rất thuân lợi cho nhà

quản trị. Từ những màn hình làm việc của mình tại cơ quan hay thậm chí tại nhà

riêng (dùng remote access), nhà quản trị có thể thay đổi cấu hình thiết bị, theo dõi

hoạt động trên mạng, kiểm tra tình trang hoạt động của mạng và xem các báo cáo

trực tiếp về những lỗi kết nối trên hệ thống.



72



CHƯƠNG V

AN NINH MẠNG

I./. TẦN QUAN TRỌNG CỦA AN NINH MẠNG:

Muốn bảo vệ một mạng khỏi những kẻ xâm nhập, ta hay tìm hiểu những

nguyên nhân dẫn đến mất an toàn mạng máy tính:

* Sử dụng chung: Chính vì sự chia sẻ tài nguyên và các khối lượng công việc

trên mạng đã làm tăng số người sủ dụng có khả năng truy cập tới các hệ thống

được nối mạng, việc bảo vệ các tài nguyên đó tất nhiên sẽ phức tạp hơn nhiều so

với trường hợp của máy tính đơn lẻ, một người sử dụng.

* Sự phức tạp của hệ thống: Có thể có nhiều hệ điều hành khác nhau trên

mạng, mỗi hệ điều hành lại là một phần mềm rất tinh vi và trên đó lại cài đặt rất

nhiều phần mềm khác nhau. Do đó hệ đièu hành cho mạng sẽ phức tạp hơn rất

Trang

NGUYỄN ĐÌNH CÔNG – 36CLTH



73



nhiều so với hệ điều hành cho từng hệ thống xử lý đơn lẻ. Vì vậy khó mà tin cậy

được vào sự an toàn của một mạng nếu không có một hệ điều hành mạng lớn,

được thiết kế đặc biệt cho vấn đề an ninh.

* Có qua nhiều mục tiêu tân công: Khi một tệp (file) được lưu trữ trong mọt

máy chủ (host) ở xa, người sử dụng nó phải qua rất nhiều host khác mới có thể

sử dụng được file đó. Mặc dù người quản trị của một host có thể thi hành các

chính sách an ninh thật chặt chẽ nhưng nguời đó lại không thể làm gì với các host

khác trong mạng. Người sử dụng phaỉ phụ thuộc vào các cơ chế điều khiển truy

cập của tất cả các hệ thống này.

* Sự lạc danh: Một kể tấn công có thể tác động vào một hệ thông từ cách xa

hàng ngàn Km mà có thẻ không bao giờ phải tiếp xúc với bất cứ người quản trị

hay người sử dụng của hệ thống đó. Sự tân công có thể truyền qua nhiều host

khác nhau nhăm nguỵ trang nguồn gốc của nó.

* Không biết đường dẫn: Có thể có nhiều đường dẫn từ host này sang host

khác và người sủ dụng mạng hầu như không biết và không điều khiển được sự

dẫn đường cho các thông điệp của họ.

Như trên ta thấy, an toàn mạng máy tính có thể bị đe doạ từ nhiều góc độ và

nguyên nhân khác nhau. Đe doạ an ninh có thể xuất phát từ bên ngoài mạng nội

bộ hoặc cũng có thể xuất phát từ ngay bên trong tổ chức. Do đó, việc đảm bảo an

toàn cho mạng máy tính cũng cần phải có nhiều giải pháp cụ thể khác nhau. Tuy

nhiên, tổng quát nhất có ba giải pháp: Giải pháp về phần cứng, Giải pháp về phần

mềm và giải pháp về tổ chức.

II./. CÁC CƠ CHẾ CHÔNG XÂM NHẬP TRÁI PHÉP:

Bảo mật bằng Firewall là một biện pháp rất hiệu quả cho hệ thống mạng nhưng

chưa thể khăng định răng hêj thống mạng đã an toàn tuyệt đối. Về nguyên tắc

Firewall chỉ kiểm sóat truy cập khi kết nối đi qua Firewall nhưng nếu trong

trường hợp tân công không đi qua Firewall thì tân công đó không thể bị chặn bởi

74



Firewall. Trong trường hợp này cũng hay xảy ra khi tân công trong nội bộ một

phần đoạn mạng. Cũng có những tình huống mà Hacker phát hiện ra những điểm

yếu hay lỗ hổng bảo mật trên Firewall và các máy chủ công cộng để tìm cách

xâm nhập vào hệ thống mạng và nắm quyền điều khiển máy chủ thì cúng cần

phải có biện pháp để ngăn chặn sự xâm nhập đó.

Deny



Hacke



Untrusted

Network



Access



Hacke



Hình 5.1: Cơ chế chống xâm nhập trái phép



Hình vẽ trên mô tả trường hợp nếu Hacker tấn công từ bên ngoài thì sẽ bị chặn

bởi Firewall. Nhưng nếu Hacker lại thuộc cùng phân đoạn mạng với nạn nhân

(Hoậc Hacker vượt qua Firewall để xâm nhập vào phân đoạn mạng này) thì có

thể tự do tân công vào máy tính nạn nhân.

Trang

NGUYỄN ĐÌNH CÔNG – 36CLTH



75



Trên thực tế, phần lớn những trường hợp tân công mà được thực hiện thành

công thì có xuất phát ngay từ bên trong hệ thống mạng và kẻ tân công lại chính là

người dùng bên trong mạng. Để khắc phục tình trạng này người ta sử dụng giải

pháp IDS (Intrusion Detection System) để phát hiện và ngăn chặn xâm nhập trái

phép tại từng máy tính hau trên phân đoạn mạng. Firewall là một thiết bị hoạt

động tương đối cứng nhắc, làm việc dựa trên những luật người ta đặt cho nó

trong khi đó IDS sẽ hoạt động thông minh và mềm deo hơn nhiều.

III./ FIREWALL:

Internet cho phép chúng ta truy cập tới mọi nơi trên thế giới thông qua một

số dịch vụ. Ngồi trước máy tính của mình bạn có thể biết được thông tin trên toàn

cầu, nhưng cũng chính vì thế mà hệ thống máy tính của bạn có thể bị xâm nhập

vào bất kỳ lúc nào mà bạn không hề được biết trước. Do vậy việc bảo vệ hệ thống

là một vấn đề chúng ta đáng phải quan tâm. Người ta đã đưa ra khái niệm

FireWall để giải quyết vấn đề này.



Hình 5.2: Một dạng hệ thống Firewall

Hình 5.2: một dạng Firewall

FireWall



là



Thuật ngữ



FireWall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn

chế hoả hoạn. Trong Công nghệ mạng thông tin, FireWall là một kỹ thuật được

tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép nhằm bảo vệ các

76



nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thông của một số

thông tin khác không mong muốn.

Internet FireWall là một tập hợp thiết bị (bao gồm phần cứng và phần mềm)

giữa mạng của một tổ chức, một công ty, hay một quốc gia (Intranet) và Internet:

( INTRANET - FIREWALL - INTERNET )

Trong một số trường hợp, Firewall có thể được thiết lập ở trong cùng một mạng

nội bộ và cô lập các miền an toàn. Ví dụ như mô hình dưới đây thể hiện một

mạng Firewall để ngăn cách phòng máy, người sử dụng và Internet.



Các loại

Firewall:



Hình 5.3: Mô hình firewall ngăn cách Intranet và



Firewall được chia làm 2 loại, gồm Firewall cứng và Firewall mềm:

Hình 5.4: Mô hình mạng sử dụng Firewall cứng

* Firewall cứng: Là những firewall được tích hợp trên Router.

+ Đặc điểm của Firewall cứng:

- Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng,

thêm quy tắc như firewall mềm)

Trang

NGUYỄN ĐÌNH CÔNG – 36CLTH



77