CHƯƠNG 1:TỔNG QUAN VỂ QUẢN LÝ MẠNG CỦA NHÀ CUNG CẤP DỊCH VỤ INTERNET

2



N hư vậy, việc quản lý m ạng cũng có rất nhiều cách hiểu khác nhau, cũng như có rất

nhiều phạm vi khác nhau để có thể định nghĩa chính xác được công việc quản lý

mạng. Đ ối với m ột trường học, hay m ột công ty nào đó, việc quản lý m ạng chỉ là

quản lý các tài nguyên hiện có trên các m áy chủ, quản lý người dùng sử dụng các

nguồn tài nguyên đó. C òn đối với các quốc gia, hoặc các nhà cung cấp dịch vụ

Internet lớn, thì công việc quản lý m ạng được hiểu là quản lý toàn bộ tài nguyên

m ạng, tài nguyên về vùng địa chỉ IP được cấp phát, cũng như là toàn bộ các dữ liệu

trên m ạng đó. R iêng đối với công việc quản lý m ạng của nhà cung cấp dịch vụ

Internet, thì công việc quản lý m ạng còn bao gồm quản lý người dùng truy cập từ xa

vào hệ th ống m ạng đó, q u ản lý việc cấp phát, phân lớp địa chỉ IP cho người dùng,

quản lý hệ thống tính cước... [10]



1.2. Quản lý mạng của nhà cung cấp dịch vụ Internet

N hà cung cấp dịch vụ Internet là m ột công ty có khả năng cung cấp m ọi dịch vụ liên

quan đến các hoạt động trên Internet. Tuỳ vào từng quốc gia m à nhà cung cấp dịch

vụ có thể cung cấp được loại dịch vụ nào. V í dụ như ở M ỹ và các nước châu  u, các

dịch vụ trên Internet rất phát triển, và nhà cung cấp dịch vụ Internet có thể cung cấp

m ột cách đ a dạng rất nhiều dịch vụ dựa trên Internet, ví dụ là dịch vụ tìm kiếm

thông tin, dịch vụ nhắn tin, dịch vụ ngân hàng trực tuyến, dịch vụ điện thoại qua

Internet. C òn với m ột số nước đang phát triển, tuy nhà cung cấp dịch vụ Internet có

thể cung cấp được tất cả các dịch vụ yêu cầu nhưng do các cơ sở hạ tầng, chính sách

của các q u ố c gia đó m à các dịch vụ Internet chỉ hạn c h ế ở m ột số loại như là dịch vụ

tìm kiếm th ông tin trên Internet, dịch vụ thư điện tử, dịch vụ w ebsite... C ác hạn c h ế

về cơ sở hạ tầng của m ột số quốc gia đang phát triển như là hệ thống viễn thông,

m ạng xương sống quốc gia, hệ thống tổng đài là nguyên nhân khiến cho các quốc

gia đó k h ố n g thể phát triển được các địch vụ cấp cao trên Internet như là điện thoại

qua Internet, hội thảo trực tuyến qua Internet, thương m ại điện tử trên Internet...

H oặc do các chính sách của quốc gia đó không cho phép các dịch vụ trên Internet

cạnh tranh với các dịch vụ truyền thống làm cho m ột số dịch vụ trên Internet bị hạn

chế.



3



Vì vậy, đi sâu vào việc quản lý m ạng của nhà cung cấp dịch vụ Internet, quản lý

m ạng của m ột nhà cung cấp dịch vụ Internet ở m ột quốc gia n ào đó cũng sẽ có các

cấp độ khác nhau. V í dụ như là với m ột quốc gia phát triển, hệ thống truy cập từ xa

vào m ạng Internet của nhà cung cấp dịch vụ là hệ thống cáp quang, còn với m ột

quốc gia đang phát triển, hệ thống truy cập từ xa vào hệ thống m ạng Internet chỉ

bằng hệ thống điện thoại công cộng. N hư vậy dẫn đến các phương pháp cũng như kỹ

thuật quản lý hệ thống truy cập từ xa của nhà cung cấp dịch vụ Internet cũng sẽ khác

nhau.

Cấu hình cơ bản của m ột nhà cung cấp dịch vụ Internet như sau:



Internet Service Provider Point



Of

Presence



( ^Protocols/ports^



Internal



Infrastructure



Controtfsecure

a cce ss



Hình 1: M ỏ hình cơ bản của nhà cung cấp dịch vụ Internet



M ô hình ở phía nhà cung cấp dịch vụ bao gồm 2 phần:

■ Đ iểm truy cập (PO P: Point o f Presence)

■ C ơ sở hạ tầng bên trong (Internal In frastructure)

Trong sơ đồ ở trên, người dùng kết nối vào nhà cung cấp dịch vụ Internet bằng m ạng

điện thoại công cộng. V iệc truy cập giữa người dùng và điểm truy cập được điều

khiển và bảo m ật. Còn cơ sở hạ tầng bên tro n g biểu diễn m ôi trường của nhà cung

cấp dịch vụ Internet, là nơi các dịch vụ chạy và các m áy chủ nằm trong đó. Các dịch

vụ trong cơ sở hạ tầng bên trong có thể là các dịch vụ cơ bản, các dịch vụ của cơ sở

hạ tầng, các dịch vụ giá trị gia tăng. K hi các thuê bao kết nối đến nhà cung cấp dịch

vụ Internet, họ có thể truy cập được các dịch vụ ở bên trong và ra Internet. [10]

Cấu trúc của POP:

PO P là điểm truy cập, nơi m à các thuê bao kết nối đến nhà cung cấp dịch vụ Internet

thông q u a m ạng điện thoại công cộng. PO P đảm bảo rằng người sử dụng phải có



4



chứng thực và quyền hạn hợp lệ để truy cập vào các m áy chủ của nhà cung cấp dịch

vụ Internet. H ình dưới m ô tả cấu trúc của PO P và chỉ ra các dịch vụ nào cần thiết

cho POP

•



—



DNS



LDAP



NAS



DH CP



NTP



RADIUS



Hình 2: Các dịch vụ của POP (Point o f Presence)



Các dịch vụ chạy ở PO P chỉ là những dịch vụ của cơ sở hạ tầng. Tối thiểu, m ột nhà

cung cấp dịch vụ Internet phải có m ột số dịch vụ cơ bản như là DNS (dịch vụ phân

giải tên m iền), D HCP (dịch vụ cấp phát địa chỉ IP động), RA D IU S (Dịch vụ chứng

thực truy cập từ xa). Yêu cầu được đặt ra là tất cả các dịch vụ này phải được coi là

trong suốt đối với người sử dụng, tức là người sử dụng không cần biết là kiến trúc

m ạng của nhà cung cấp dịch vụ Internet như thế nào.

Cấu trúc cơ sở ha táng:

Ở bên trong cơ sở hạ tầng, kiến trúc m ạng được chia thành hai lớp, và việc truy cập

vào m ỗi lớp này phải được bảo m ật và kiểm soát bằng m ột tập hợp các m áy chủ

tường lửa. V iệc phân chia m ạng thành nhiều lớp khác nhau sẽ làm đơn giản hoá quá

trình thiết k ế hệ thống, đồng thời nhiều lớp làm việc cùng nhau tạo thành m ột hệ

thống phức tạp sẽ giúp cho quản lý hệ thống m ạng và m ở rộng m ạng dễ dàng.



5



Kiến trúc của cơ sở hạ tầng được phân chia thành 7 lớp:

vrA

QlOẹ,



High-speeơ

trunk(s)



High-speed

trunk(s)

D M Z N e tw o rk



<:



Control/secure access



1



Services Network



c



Control/secure access



c



:>



Application Network



Controi/socure a cccss



:>



Content Network



<:



Control/secure access



V /



Staging Network



V



7



Hình 3: Kiến trúc 7 lớp của cơ sở hạ tầng mạng



M ỗi lớp m ạng có chức năng của riêng nó, và mỗi m ột dịch vụ được đặt trên một

hoặc nhiều lớp m ạng, tuỳ thuộc vào chức năng của nó. Phụ thuộc vào chức năng của

dịch vụ, m ột dịch vụ chạy trên m ột hoặc nhiều lớp, kết quả tạo nên một cấu trúc

phức tạp tận dụng được mức độ bảo m ật và mức độ xử lý tối ưu. Đ ồng thời, việc chia

m ạng thành các lớp khác nhau sẽ chia các vùng quảng bá và va chạm. Kiến trúc

m ạng như vậy sẽ cô lập các đường đi không cần thiết, điều này làm tăng đáp ứng

của m ạng và giảm được độ trễ. V í dụ, vì m ột lý do nào đó xuất hiện sự tràn các

thông tin quảng bá thì chỉ làm giảm sút hoạt động trong m ột lớp m ạng, còn các lớp

m ạng khác sẽ không bị ảnh hưởng.

N hư vậy, việc phân lớp cơ sở hạ tầng của m ạng có các ưu điểm sau:

■ Tăng hoạt động của m ạng bằng cách phân chia các vùng quảng bá và va

cham



6



■ Tăng cường bảo m ật thông qua việc phân chia các lớp với các mức độ bảo

m ật của các m áy chủ tường lửa khác nhau

■ Q uản lý và chuẩn đoán lỗi tốt hơn thông qua việc hệ thống m ạng đã chia

thành các lớp

Lớp đầu tiên của cơ sở hạ tầng m ạng bao giờ cũng là vùng D M Z (de-m ilitarized

zone). V ùng này là vùng chứa các dịch vụ cung cấp cho người sử dụng và được đặt

giữa nhà cung cấp dịch vụ Internet và người sử dụng. V ùng D M Z này ngăn cách

m ạng bên trong được bảo m ật và các m ạng không được bảo m ật khác (người dùng

Internet). H ình dưới đây m ô tả m ột vùng D M Z cơ bản:



External DNS

(secondary)



RA DIU S



DHCP

R elay Agent



News

Feeder



M ail Relay



NAS



NTP



C ache



FTP



G atew ays



Hình 4: Các thành phần của vùng DMZ (Delimited Zone)



Các dịch vụ chạy trong vùng D M Z thông thường là các dịch vụ dành cho người sử

dụng và là dịch vụ được truy cập trực tiếp từ Internet. Như vậy, do vấn đề bảo mật,

vùng D M Z này không bao giờ được giao tiếp trực tiếp với cơ sở hạ tầng m ạng ở bên

trong của nhà cung cấp dịch vụ Internet.

Các dịch vụ PO P thông thường được tích hợp vào trong vùng D M Z này, hoạt động

như hệ thống trung gian giữa nhà cung cấp dịch vụ Internet và Internet, nó cung cấp

các kênh kết nối m ở ra Internet, nhưng vẫn đảm bảo các truy cập bảo m ật và có thể

điều khiển được đến các dịch vụ của nhà cung cấp.



7



Phần còn lại của kiến trúc cơ sở hạ tầng bao gồm các lớp như sau:

■



Lớp m ạng ứng dụng (A pplication Network): Lớp m ạng này chứa các chương

trình ứng dụng của m ạng, thông thường kết hợp với lớp m ạng nội dung để

truy xuất dữ liệu, phục vụ cho các yêu cầu tìm kiếm thông tin dịch vụ trên

Internet. Với các nhà cung cấp dịch vụ Internet nhỏ, có thể không cần lớp

m ạng này nếu như các nội dung trang W eb của họ là tĩnh và không cần các

ứng dụng dành cho m áy chủ. Lớp m ạng này thực sự cần thiết nếu nhà cung

cấp dịch vụ Internet cần cung cấp các dịch vụ liên quan đến các chương trình

ứng dụng



■ Lớp m ạng nội dung (Content Network): Lớp m ạng này được coi là phần quan

trọng nhất của nhà cung cấp dịch vụ Internet vì tất cả thổng tin, cơ sở dữ liệu

được đặt tại lớp m ạng này, chính vì vậy lớp m ạng này phải được thiết k ế để

có thể được bảo m ật cao nhất. N hư vây, yêu cầu về thiết k ế cơ sở hạ tầng

m ạng sao cho không có m áy chủ nào hoặc dịch vụ nào trên Internet được

phép giao tiếp trực tiếp với các m áy chủ và dịch vụ nằm trong lớp m ạng này.

Tập trung thông tin và dữ liệu trong lớp m ạng này sẽ giúp cho việc quản lý

m ạng tốt hơn và bảo m ật hơn. Dưới đây là m ột số dịch vụ được đặt trong lớp

m ạng này:



- M ailStore



NFS



R elational

D atabase



Billing

System



Int/Ext DNS

(prim ary)



LDAP

(m aster)



Hình 5: Các dịch vụ trong lớp mạng nội dung



■ Lớp m ạng “ staging” : Lớp m ạng này được các nhà cung cấp dịch vụ Internet

sử dụng để cài đặt, cấu hình, phát triển và chạy thử dịch vụ. Trước khi một

dịch vụ nào đó được đưa ra cho người sử dụng, cần phải được kiểm tra trước.

Lớp m ạng này luôn luôn có hai vùng là vùng phát triển và vùng kiểm tra



8



D eveloping 1

Area



Testing

Area



1



Hình 6: Vùng phát triển và kiểm tra



■ Lớp m ạng quản lý (M anagem ent N etw ork): Lớp m ạng này là m ột m ôi trường

bảo m ật, được thiết k ế riêng biệt cho hệ thống, cho m ạng và quản lý bảo mật

cho nhà cung cấp dịch vụ Internet. Lớp m ạng này luôn luôn được cấu hình

tách rời khỏi hệ thống của người sử dụng, có nghĩa là lớp m ạng này là m ột

môi trường quản trị riêng biệt, được ngăn cách bởi các chính sách truy cập

bảo m ật. Theo kiến trúc của cơ sở hạ tầng, nhà cung cấp dịch vụ Internet có

thể phán tách được lớp m ạng quản lý này bằng các bộ chuyển m ạch m ạng

nằm đằng sau các tường lửa bảo mật. Cần hạn chế việc truy cập vào vùng này

bằng các quyền quản lý m ạng đặc biệt.



Hình 7: Các thành phần của vùng quản lý



■ Lớp m ạng dự phòng (Backup N etw ork): N hà cung cấp dịch vụ Internet cần

phải xây dựng lớp m ạng dự phòng trong các trường hợp cần thiết, ví dụ như

trong các trường hợp hệ thống hỏng hóc. Đối với nhà cung cấp dịch vụ

Internet nhỏ thì có thể không cần lớp m ạng dự phòng hoặc đặt lớp m ạng dự

phòng này ở bên trong lớp m ạng quản lý. Còn đối với nhà cung cấp dịch vụ

Internet vừa và lớn thì bắt buộc phải có lớp m ạng dự phòng này.

D inh nghĩa các thành phán của m ang:

Sau khi đã xác định được kiến trúc của m ạng, nhà cung cấp dịch vụ Internet cần

định nghĩa các thành phần của m ạng (các thiết bị m ạng như là bộ định tuyến, bộ

chuyển m ạch, các hệ thống cân bằng tải...) phù hợp nhất với các dịch vụ và thiết kế

logic tổng quát.



9



N hư đã nói ở phần trên, phương pháp luận để thiết k ế m ạng cho nhà cung cấp dịch

vụ Internet cho thấy rằng m ột hệ thống m ạng tổng quát cần phải được phân chia

thành m ột kiến trúc N lớp có thứ bậc. M ỗi lớp trong m ô hình có các chức năng độc

lập với chức năng của các lớp khác. Tuy nhiên, các lớp phải được thiết k ế sao cho

chúng được tương thích với nhau và hỗ trợ hoàn toàn cho nhau. M ỗi lớp thành phần

của m ạng cung cấp được các chức năng cần thiết cho m ạng. Các lớp này không cần

khai báo như các thực thể vật lý riêng biệt nhau. M ỗi lớp có thể được khai báo với sự

kết hợp của các thiết bị chuyển m ạch lớp 2 và các thiết bị định tuyến của lớp 3.

T hông thường, m ột m ô hình m ạng phân lớp có ba lớp như sau:



Hình 8: M ô hình m ạng đuợc phân thành 3 lớp



Lớp lõi (core layer) cung cấp sự liên kết tối ưu giữa các vị trí khác nhau. T hông

thường lớp này lớp xương sống chuyển m ạch tốc độ cao của m ạng, và nó có các đặc

điểm sau:

■



Đ ộ tin cậy



■



Đ ộ dư thừa



■



Đ ộ dung lỗi



■



Đ ộ trễ thấp



Lớp này chủ yếu được dùng để liên kết các các vùng xa nhau về m ặt địa lý, kết nối

các trung tâm dữ liệu hoặc các trung tâm điều khiển m ạng.



10



Lớp phân phối (distribution layer) của m ạng là điểm phân định ranh giới giữa lớp lõi

(core layer) và lớp truy cập (access layer). Lớp này có nhiều vai trò như là:

■ Chính sách (Policy)

■ Bảo m ật

■ Phân định ranh giới giữa các giao thức định tuyến động và tĩnh

■ Đ ịnh tuyến giữa các m ạng nội bộ ảo (VLAN: V irtual Local A rea Netw ork)

■ Phân chia các vùng quảng bá và va chạm

Lóp phân phối này m ô tả việc phân chia các dịch vụ m ạng đến các VLA N ở trong

môi trường m ạng. Lớp này xác định vị trí của xương sống m ạng và thông thường là

giao diện quang (FDDI: fiber distributed data interface), Fast Ethernet, và G igabit

Ethernet.

Lớp truy cập (access layer) luôn luôn chứa m ột hoặc nhiều V LA N để cung cấp việc

truy cập vào các dịch vụ m ạng. Lớp truy cập này là nơi hầu hết tất cả hệ thống kết

nối đến m ạng, thông thường là Fast Ethernet, G igabit Ethernet, FDDI. Trong môi

trường m ạng như là các nhà cung cấp dịch vụ Internet bao gồm nhiều m ạng công ty,

hoặc doanh nghiệp, lớp truy cập thông thường là nơi các m áy chủ W eb, thư điện tử,

m áy chủ tường lửa kết nối vào. Chức năng chủ yếu của lớp truy cập này là kết nối

nhiều m ạng nội bộ tới lớp phân phối (distribution layer), cung cấp việc phân chia

m ạng m ột cách logic, và cách ly các giao dịch quảng bá giữa giữa các vùng đã phản

chia. Các lớp truy cập ở đây được hiểu là các switch và các m ôi trường chia sẻ băng

thông. [10]

K ết luân:

Phần trên đề cập đến khái niệm về quản lý m ạng, đồng thời so sánh phạm vi của

công việc quản lý m ạng, từ m ột m ạng đơn giản như m ạng được hình thành từ vài

m áy tính trong m ột văn phòng, đến những m ạng cực kỳ phức tạp như m ạng của nhà

cung cấp dịch vụ Internet. Với m ô hình m ạng của nhà cung cấp dịch vụ Internet, do

có các đặc điểm riêng về các thiết bị viễn thông trên m ạng cũng như các dịch vụ

m ạng m à ta có thể tính toán các phương pháp cụ thể để quản lý m ạng thích hợp.



11



Phần tiếp theo là một m ô hình m ạng cụ thể của m ột nhà cung cấp dịch vụ Internet

và các đặc điểm chính của m ạng này, trên cơ sở đó xem xét các phương pháp hiệu

quả để quản lý mô hình m ạng đó.



12



CHƯƠNG 2:

MÔ HÌNH MẠNG LONG-REACH ETHERNET

CỦA NHÀ CƯNG CẤP DỊCH v ụ INTERNET

N hư đã thấy ở phần trên, ta có thể nói rằng m ô hình m ạng của m ột nhà cung cấp

dịch vụ Internet quy m ô vừa và lớn là khá phức tạp. M ồ hình m ạng như vậy bao gồm

tất cả các lớp, từ lớp hạ tầng truyền thông đến cấu trúc các m áy chủ dịch vụ, hoặc

đến các dịch vụ cung cấp cho người dùng. Bất kỳ m ô hình m ạng nào, dù đơn giản

hay phức tạp cũng phải thoả m ãn m ột m ục tiêu cung cấp m ột cách tốt nhất các dịch

vụ cho người dùng. Dưới đây là m ột m ô hình m ạng cụ thể, được phát triển từ kiến

trúc m ạng m ở của nhà cung cấp dịch vụ Internet, có tên gọi là Long-R each Ethernet

(LRE). Đặc điểm nổi bật của m ô hình L R E là không sử dụng m ạng điện thoại công

cộng để truy cập từ xa m à dùng hệ thống thu phát không dây và hệ thống đường

điện thoại (không cần tín hiệu) trong các toà nhà để truy cập m ạng với tốc độ cao.

K iến trúc của m ô hình truy cập từ xa gồm 2 thành phần:

a. Sử dụng đường truyền viba để kết nối m ạng giữa các toà nhà với nhau



A nten

định hướng



N hà cung cấp

dịch vụ Internet



K hách hàng