HỌC VIỆN CÔNG NGHỆ THÔNG TIN HỌC VIỆN CÔNG NGHỆ THÔNG TIN BÁCH KHOA BÁCH KHOA ĐỀ CƯƠNG TƯ VẤN THIẾT KẾ XÂY DỰNG HỆ THỐNG MẠNG CAMPUS CỦA VIỆN KHOA HỌC VIỆT NAM Phiên bản:0.1 Phiên bản:0.1 Đề cương TVTKXD VASTnet Publication Details Publication Details Change Record Version Date Author Purpose 0.1 Tuesday, 23 December, 2008 Tran Manh Thang Phan Thanh Liêm Created document. Document Properties File location: File name: Tai lieu TVTKXD VASTnet v0.1.doc Last updated: Document authorisation Document authorisation Released by BKACAD Page 2 of 51 Đề cương TVTKXD VASTnet Mục lục Mục lục 1. Mục tiêu và nội dung 3 2. Hiện trạng hệ thống 4 3. Yêu cầu của hệ thống mới 11 4. Đề xuất giải pháp nâng cấp 15 5. Đề xuất thiết bị và dự toán kinh phí 38 6. Kết luận 51 1. 1. Mục tiêu và nội dung Mục tiêu và nội dung Mục đích Mục tiêu của tài liệu nhằm đưa ra thực trạng của hệ thống mạng Campus hiện tại của Viện Khoa học và Công nghệ Việt Nam (VAST), phân tích các yêu cầu của hệ thống mạng mới cần xây dựng, từ đó xây dựng thiết kế cho hệ thống mạng mới đáp ứng các yêu cầu nguyên cứu, hợp tác phát triển và ứng dụng công nghệ. Nội dung Tài liệu gồm 5phần chính:  Phần 1: Hiện trạng hệ thống  Phần 2: Yêu cầu của hệ thống mới  Phần 3: Đề xuất giải pháp nâng cấp  Phần 4: Đề xuất thiết bị và dự toán kinh phí  Phần 5 : Kết luận Page 3 of 51 Đề cương TVTKXD VASTnet 2. 2. Hiện trạng hệ thống Hiện trạng hệ thống 2.1. 2.1. Hiện trạng hệ thống mạng Hiện trạng hệ thống mạng 2.1.1. 2.1.1. Hệ thống mạng Campus Hệ thống mạng Campus Mạng Campus của VAST được chia làm 2 thành phần: • Mạng VAST cũ, được xây dựng từ trước, gồm một số Viện thành viên của VAST. Bao gồm các tòa nhà: o A2: Page 4 of 51 Đề cương TVTKXD VASTnet o A4: Viện Toán o A10: Viện Sinh Thái o A18: Viện Hóa o A26: Viện Khoa Học Vật Liệu (VKHVL) o A11: Viện công nghệ sinh học (VCNSH) o B1 o B2 o Bảo Tàng Tự Nhiên • Mạng VAST Office, được xây dựng gần đây, phục phụ cho lãnh đạo, phòng ban chức năng, khối văn phòng. Bao gồm các tòa nhà o A1: Trung tâm tích hợp dữ liệu (TTTHDL) o A3: Viện Công nghệ Thông tin (Viện CNTT hay IOIT) o A7:Một số ban chức năng o A6: Trung tâm của hệ thống mạng là tòa nhà A3, từ đây, cáp quang tỏa đi các tòa nhà chính. Khoảng cách cáp quang là từ 100m đến 800m. Cáp quang sử dụng là cáp multimode, 2 sợi, 1 sợi chạy chính, 1 sợi dự phòng. Ngoài ra, các tòa nhà phụ nằm gần tòa nhà chính, khoảng cách dưới 100m cũng được nối về tòa nhà chính, thông qua cáp đồng UTP. Nhà A3 hiện tại cũng là trong tâm vận hành mạng (NOC). Cáp quang được cắm vào switch thông qua converter. Mạng VAST cũ sử dụng converter 100Base-FX, mạng VAST Office sử dụng converter 1000Base-FX. Công nghệ quang FX sử dụng với cáp multimode cho phép truyền xa lên đến 2km. Về thiết bị mạng, các tòa nhà A1, A3 và A7 đều được trang bị switch Layer 3 mới, có khả năng chia VLAN (01 x Cisco Catalyst 3550 và 02 x Cisco Catalyst 3560) và các switch access layer 2 (03 x Cisco Catalyst 2950). Các tòa nhà khác được trang bị không đồng nhất, chủ yếu là switch layer 2 làm access. Một số nơi vẫn còn sử dụng switch layer 2 cũ, không có khả năng chia VLAN, hoặc là hub công Page 5 of 51 Đề cương TVTKXD VASTnet nghệ chia sẻ băng thông 10Mbps. Mỗi một đơn vị có trên dưới 100 máy trạm, tùy vào quy mô. Page 6 of 51 Đề cương TVTKXD VASTnet Do tính chất quan trọng của mạng VAST Office, tại các tòa nhà A1 và A7, mạng Lan được phân ra thành các VLAN: • VLAN cho Lãnh đạo • VLAN cho các ban chức năng • VLAN cho khối văn phòng 2.1.2. 2.1.2. Hệ thống phân hoạch dải IP, Domain name, AS number Hệ thống phân hoạch dải IP, Domain name, AS number VAST chưa có quy hoạch về IP private rõ ràng, các đơn vị đang tự ý sử dụng các dải nhỏ thuộc lớp mạng 10.0.0.0/8, chẳng hạn CP đang dùng dải 10.0.3.0/24, một số các đơn vị sử dụng IP thuộc 10.15.0.0/16. VAST cũng chưa đăng ký IP public và AS number. Hiện tại đang sử dụng khoảng 8 địa chỉ public để NAT tĩnh cho một số server, và Nat động cho các User ra Internet. VAST đang sử dụng domain VAST.AC.VN, tuy nhiên do ISP quản lý. 2.1.3. 2.1.3. Mô hình định tuyến Mô hình định tuyến Chưa có thông tin khảo sát. Page 7 of 51 Đề cương TVTKXD VASTnet 2.1.4. 2.1.4. Kết nối Internet và Vinaren Kết nối Internet và Vinaren Hiện tại, mới chỉ có một đường Internet duy nhất tại tòa nhà A1, phục vụ kết nối cho các thành viên. Đường đây là đường Lease line Internet, dung lượng 2Mbps trong nước là 512Kbps quốc tế. Các thành viên có thể sử dụng đường Internet này thông qua Proxy, hoặc sử dụng đường ADSL riêng. Mạng Vinaren chưa được kết nối vào mạng VAST, do vậy người dùng khi muốn sử dụng mạng Vinaren phải chuyển ra một mạng LAN riêng. Hiện tại VAST cũng vừa mới trang bị thêm một router Cisco 3845 để kết nối với Vinaren và Internet. 2.2. 2.2. Hiện trạng các dịch vụ Hiện trạng các dịch vụ VAST cung cấp cho người dùng một số dịch vụ như Web, chia sẻ file, Cơ sở dữ liệu. Trang Web và Email của VAST đang được đặt ở Netnam. Page 8 of 51 Đề cương TVTKXD VASTnet 2.3. 2.3. Hiện trạng hệ thống bảo mật Hiện trạng hệ thống bảo mật Hệ thống bảo mật chưa được đầu tư thích đáng. Hiện tại chỉ có một thiết bị Cisco FIX 515E làm gateway cho mạng Internet và một firewall Celectix Scorpio FV930 chạy phần của hãng checkpoint làm Firewall cho tòa nhà A1, phân chia mạng thành các vùng như DMZ, vùng VLAN Lãnh đạo, Vùng VLAN người dùng… Các server nằm hết trong cùng một vùng DMZ, bao gồm một số server quản trị, server web, server CSDL dùng chung. Các server này có tính chất quan trọng, độ ưu tiên về bảo mật khác nhau. Nếu hacker vượt qua được tường lửa, tấn công vào các server có độ ưu tiên kém, ít bảo mật hơn như các server quản trị, thì từ đó hacker có thể sử dụng làm bàn đạp, tấn công vào các server quan trọng hơn, chứa CSDL… Do vậy, thông thường người ta thường tách thành các vùng server riêng: • Vùng DMZ : Đặt các server public như HTTP, DNS, Proxy , email… • Vùng Internal Server: Đặt các server sử dụng trong mạng nội bộ như CSDL, FTP, DHCP, Domain Controller, các Ứng dụng khác… • Vùng Management Server: Các server quản trị băng thông, thiết bị mạng, iBMS, Antivirus,… Chính sách bảo mật cho máy trạm được quy định, nhưng chưa rõ ràng. 2.4. 2.4. Các nhận xét và khuyến nghị Các nhận xét và khuyến nghị  Các nhận xét: Sau nhiều năm đầu tư, hệ thống mạng đã lạc hậu, xuống cấp, không còn đáp ứng được các yêu cầu hiện tại. Việc đầu tư nâng cấp rời rạc, không có hệ thống, quy hoạch theo lộ trình rõ ràng. Mạng chưa có dự phòng, do vậy bất kì một thiết bị nào, gặp sự cố cũng ảnh hưởng đến người dùng. Một số thiết bị quan trọng như Firewall tại TTTHDL, Firewall cho Internet, Switch core gặp sự cố sẽ gây ảnh hưởng toàn bộ hệ thống. Mạng mang tính chất phẳng, chưa phân thành các lớp. Page 9 of 51 Đề cương TVTKXD VASTnet Ngày nay, ứng dụng trên Internet rất phát triển, các trang web không chỉ là Text mà chứa rất nhiều multimedia, flash… khiến cho nhu cầu băng thông Internet tăng chóng mặt. VAST hiện tại chỉ có 1 đường Internet, dung lượng thấp vừa đáp không đáp ứng được tính sẵn sàng cao, vừa không đáp ứng được nhu cầu nguyên cứu, hợp tác. Việc sử dụng tài nguyên của mạng Vinaren chưa thuận tiện và phổ cập đến người dùng cuối, do vậy chưa khai thác được nguồn tài nguyên vô cùng to lớn ở mạng Vinaren.  Các khuyến nghị: - Cần có kế hoạch đầu tư dài hạn nâng cấp hạ tầng công nghệ thông tin. - Phân lớp mạng theo từng khối, mô đun với chức năng của từng khối mạng được định nghĩa rõ ràng. - Tăng khả năng dự phòng ở những mô đun quan trọng. - Cần có quy hoạch địa chỉ IP, DNS thống nhất để các thành viên trong cả nước có thể kết nối được với nhau. - Tăng băng thông kết nối internet. - Quy hoạch lại định tuyến mạng Vinaren và Interent, đảm bảo trong suốt và phổ cập cho mọi người dùng. - Cần nâng cấp hệ thống bảo mật: o Tăng cường các Firewall, IPS có hiệu năng cao o Phân chia mạng thành các mô đun, để dễ dàng áp dụng các chính sách bảo mật. o Chú trọng phát triển, thực thi các chính sách bảo mật trên máy trạm, vì đây là nguồn lẫy nhiễm virus phổ biến. Page 10 of 51 [...].. .Đề cương TVTKXD VASTnet 3 Yêu cầu của hệ thống mới 3.1 Yêu cầu hệ thống mạng Campus  Yêu cầu chung của hệ thống Về tổng thể, mạng VAST Campus Network sẽ được xây dựng trên hạ tầng cáp quang mới, và được quản trị tập trung tại trung tâm mạng (NOC) mới xây dựng gần tòa nhà A1 mới sẽ có một số đặc điểm kỹ thuật sau: • VASTnet phải có kiến trúc mở: o Dễ dàng thêm/bớt các thành viên o Kết nối đa... để kết nối giữa các ISP trên mạng Internet, cũng như giữa các thành viên của mạng VINAREN/TEIN2 4.1.2 Quy hoạch tổng thể  Sơ đồ mạng tổng thể: Page 22 of 51 Đề cương TVTKXD VASTnet Page 23 of 51 Đề cương TVTKXD VASTnet Phân tích thiết kế hệ thống: Xuất phát từ yêu cầu của hệ thống, trong thời gian chuyển đổi này NOC sẽ được đặt tại tòa nhà A1 và sau này toàn bộ hệ thống sẽ chuyển sang NOC mới được xây. .. viên cùng kết nối vào mạng Vinaren, ta có thể trao đổi dữ liệu qua mạng Vinaren Ngoài ra, ta cũng có thể tạo các kênh VPN giữa các thành viên qua mạng Vinaren hoặc mạng Internet để kết nối hai mạng nội bộ này lại thành một mạng thống nhất Page 12 of 51 Đề cương TVTKXD VASTnet VPN Gateway có thể là Firewall, Router hay thiết bị chuyên dụng 3.4 Yêu cầu các dịch vụ Khi hệ thống đã được xây dựng đảm bảo... mạng VASTNet thu nhỏ • Thiết kế mang tính bảo mật cao Giữa các điểm giao nhau của mạng đều có các thiết bị Firewall, IPS để chặn tấn công • Thiết kế có tính bảo vệ đầu tư Các thiết bị đều có khả năng mở rộng khe cắm, mô đul Mạng Campus hỗ trợ nâng cấp lên 10G khi có nhu cầu Page 26 of 51 Đề cương TVTKXD VASTnet (1): Thành viên muốn sử dụng đường Internet riêng phải đầu tư một thiết bị router/switch... giảm yêu cầu về băng thông • Hệ thống Gid Computing, ngày nay với nhiều bài toán kỹ thuật vượt qua khỏi khả năng tính toán của mốt máy tính do đó hệ thống gid computing ra đời cho phép kết nối nghiều máy tính với nhau để cung giải quyết một bài toán chung Là thành viên của mạng VINAREN, viện VAST yêu cầu xây dựng hệ thống gid compurting, hệ thống này sẽ được kết nối với các hệ thống gid compurting khác... chủ dịch vụ, hệ thống máy chủ Internal và kết nối ra ngoài Internet • Hệ thống bảo mật phải tự động cập nhật các lỗ hổng về bảo mật, hệ thống phải tự động phát hiện tấn công và ngăn chặn kịp thời Page 14 of 51 Đề cương TVTKXD VASTnet • Hệ thống phải mềm dẻo trong việc tạo ra các chính sách về bảo mật, các signature để phát hiện tấn công 3.6 Yêu cầu về chuyển đổi hệ thống Việc chuyển đổi hệ thống diễn... Bảng trên chỉ mang tính chất minh họa Bẳng thiết kế chi tiết sẽ được trình bày trong tài liệu thiết kế chi tiết 4.2 Đề xuất phương án nâng cấp giai đoạn 1  Các công việc cần thực hiện trong giai đoạn này: • Xây dựng trung tâm điều hành tạm thời ở nhà A1 o Lắp đặt hệ thống chuyển mạch Core switch o Xây dựng hệ thống cáp quang mới từ các thành viên về A1 Chú ý, hệ thống cáp mới phải có đủ độ dài để sau... chuyển sang NOC mới được xây dựng bên cạnh tòa nhà A1 Song về quy hoạch tổng thể của hệ thống vẫn không thay đổi và được thiết kế như sau: Hệ thống sẽ được chia ra làm các vùng riêng biệt với các chức năng và vai tò khác nhau bao gồm các vùng sau:  Vùng kết nối ra bên ngoài (Outside): • Vùng này có nhiệm vụ kết nối mạng VAST với các hệ thống mạng khác như VINAREN,Cpnet và mạng Internet • Yêu cầu của... có vai trò quan trong như mail trong hệ thống mạng, dịch vụ web được xây dựng với mục đích quảng bá các thông tin của viện VAST và các Page 13 of 51 Đề cương TVTKXD VASTnet thông tin cuả các đơn vị chức năng Hệ thống web server phải đảm bảo nhưng yêu cầu như web server phải được xây dựng trên công nghệ web mới nhất, phải cập nhật được những lỗ hổng về bảo mật… • Hệ thống CSDL phải đảm bảo tính đồng bộ,... bảo mật cao thì việc xây dựng và tự quản lý hệ thống dịch vụ là rất cần thiết Việc này sẽ làm cho hệ thống dịch vụ chủ động hơn trong việc mở rộng các dịch vụ mới, giảm chi phí cho việc hosting các dịch vụ ở bên ngoài • Dịch vụ Email là dịch vụ phổ biến và quan trọng đôi với bất kỳ hệ thống mạng nào Hệ thống Email server phải đảm bảo cung cấp đủ tài nguyên cho cho các người dùng, hệ thống phải đảm bảo . VASTnet 2. 2. Hiện trạng hệ thống Hiện trạng hệ thống 2.1. 2.1. Hiện trạng hệ thống mạng Hiện trạng hệ thống mạng 2.1.1. 2.1.1. Hệ thống mạng Campus Hệ thống mạng Campus Mạng Campus của VAST được. CÔNG NGHỆ THÔNG TIN HỌC VIỆN CÔNG NGHỆ THÔNG TIN BÁCH KHOA BÁCH KHOA ĐỀ CƯƠNG TƯ VẤN THIẾT KẾ XÂY DỰNG HỆ THỐNG MẠNG CAMPUS CỦA VIỆN KHOA HỌC VIỆT NAM Phiên bản:0.1 Phiên bản:0.1 Đề cương. 10 of 51 Đề cương TVTKXD VASTnet 3. 3. Yêu cầu của hệ thống mới Yêu cầu của hệ thống mới 3.1. 3.1. Yêu cầu hệ thống mạng Campus Yêu cầu hệ thống mạng Campus  Yêu cầu chung của hệ thống Về