Bài giảng Phân tích và thiết kế mạng - Chương 3: Thiết kế giải pháp mạng logic

Chương 3:

1. Thiết kế mô hình

2. Gán địa chỉ và tên gọi

3. Lựa chọn các giao thức chuyển mạch và

tìm đường

4. Thiết kế các chiến lược an toàn mạng

5. Thiết kế các chiến lược quản trị mạng

 Nguyên tắc thiết kế

. Mô hình phân cấp và module hóa

. Mô hình 3 lớp của Cisco

. Tính dư thừa trong thiết kế mạng

 Thiết kế các thành phần mạng

. Các thành phần trong mô hình Cisco

. Thiết kế các thành phần trong mạng nội bộ

 Một số ví dụ thiết kế

1

 Mô hình mạng (network topology) là sơ đồ

dùng để biểu diễn về mặt hình học các

thành phần của mạng, các điểm kết nối,

các cộng đồng người dùng, ... (bản vẽ

kiến trúc)

 Thiết kế mô hình mạng là bước đầu tiên

 Nguyên tắc thiết kế: phân cấp và module

hóa

 Tại sao phân cấp và module hóa lại quan

trọng trong thiết kế mạng?

 Giảm công việc xử lý trên các thiết bị mạng

 Chia nhỏ miền broadcast

 Tăng tính đơn giản, dễ hiểu

 Dễ thay đổi hoặc nâng cấp

 Có khả năng co giãn quy mô của hệ thống

2



Lớp lõi (the core layer): bao gồm

các thiết bị định tuyến (router)

hoặc các thiết bị chuyển mạch

(switch) cao cấp đã được tối ưu hóa

cho các yêu cầu về tính sẵn sàng và

hiệu suất cao của hệ thống mạng

Lớp phân phối (the distribution

layer): bao gồm các router và các

switch triển khai các chính sách

mạng

Lớp truy xuất (the access layer):

cung cấp các kết nối với người sử

dụng thông qua các thiết bị chuyển

mạch cấp thấp hoặc các điểm truy

cập không dây.



Lớp lõi

.

Là trục xương sống của mạng, quan trọng, khi thiết kế cần đảm

bảo tính dư thừa (redundant) và độ tin cậy cao (highly reliable)

.

Khi cấu hình router cần sử dụng các tính năng định tuyến tối ưu

hóa thông lượng. Tránh sử dụng các bộ lọc gói tin hoặc các tính

năng ảnh hưởng đến tốc độ. Đảm bảo độ trễ thấp và khả năng

quản lý tốt

.

Hạn chế và nhất quán đường kính mạng để đảm bảo hiệu suất

ổn định và dễ xử lý sự cố. Khách hàng có thể tăng cường lớp

phân phối

Đối với các khách hàng có kết nối liên mạng, extranet, internet

▪

Lớp lõi bao gồm cả các đường kết nối liên mạng. Khuyến khích quản trị

mạng theo khu vực

▪

Hệ thống phát hiện xâm nhập (IDS – Intrusion Detection System)

Hệ thống chống xâm nhập (IPS – Intrusion Prevention System)

Hệ thống VPN

 Lớp phân phối

. Là ranh giới giữa lớp lõi và lớp truy cập. Đảm nhận

nhiều chức năng

▪ Đảm bảo gửi dữ liệu đến từng phân đoạn mạng thành công

▪ Kiểm soát truy cập vào các tài nguyên mạng vì lý do an ninh

▪ Kiểm soát lưu lượng mạng vì lý do hiệu suất

▪ WLAN

▪ Định tuyến giữa các VLAN

▪ Đảm bảo chất lượng dịch vụ QoS (Quality of Services)

. Kết nối nhiều mạng chạy các giao thức khác nhau

(lớp truy cập sử dụng IGRP trong khi lớp lõi chạy

EIGRP)

. Che dấu thông tin chi tiết giữa 2 lớp lõi và lớp truy cập

3

 Lớp Access

. Lớp truy xuất cung cấp khả năng truy cập cho

người dùng cục bộ.

. Đối với liên mạng, lớp truy cập dành cho

người dùng từ xa có thể sử dụng các công

nghệ mạng diện rộng như ISDN, Frame

Relay, DSL, model Analog,..

 Redundant Network Design

 Thiết kế mạng dư thừa là việc sao chép

các thành phần trong thiết kế mạng nhằm

cố gắng loại bỏ các thất bại có thể trong

vận hành mạng

 Có 2 loại thiết kế dư thừa

. Dự phòng (Backup Paths): đảm bảo tính sẵn

sàng

. Chia tải (Load Sharing): đảm bảo tính hiệu

suất

 Các thành phần mạng theo mô hình Cisco

 Thiết kế các thành phần mạng nội bộ

4



Enterprise campus:

Là hệ thống kết nối và cung cấp dịch

vụ nội bộ của một mạng Campus

.

Các thiết kế sẽ ưu tiên cho việc đảm

bảo tính sẵn sàng cao cho các điểm

truy cập dịch vụ của người dùng, hiệu

năng cao cho các ứng dụng Intranet

nội bộ, sự phân bố lưu lượng mạng

đều và cân bằng cho các module khác

nhau.

.

Các khối con:

▪

Module Building Access

Module Building Distribution

Module Core (Backbone)

Module Server farm

Module Edge Distribution

Management Module

5



Enterprise edge: bao gồm

các dịch vụ của hệ thống

mạng

.

E-Commerce

Internet Connectivity

VPN/Remote access

Se^Wrv^Ai^Nce provider edge: bao

gồm các kết nối ra thế giới

bên ngoài

.

ISP (Internet Service Provider)

PSTN (Public Switched Telephone

Network)

.

Frame relay/ATM (Asynchronous

Transfer Mode)



Các thiết kế sẽ ưu tiên cho

tính bảo mật, tính dự phòng

 Enterprise edge: bao gồm

các dịch vụ của hệ thống

mạng

.

E-Commerce

Internet Connectivity

VPN/Remote access

WAN



E-Commerce

.

Web servers

Application servers

Database servers

Security servers

Internet Connectivity

.

Email servers

DNS servers

Public web servers

Security servers



VPN/Remote access

.

Dial-up access concentrators

VPN concentrators

Firewall and IDS

WAN

6

7

1. Access Layer block:

2. Core/Distribution

block:

3. Server Farm block:

4. Internet Access

block:

5. DMZ block:

6. WAN block:

1. Access Layer block:

.

Cung cấp kết nối cho người

dùng cuối

.

Ưu tiên: cung cấp nhiều kết

nối downlink cho người

dùng đồng thời phải có

uplink tốc độ cao để kết nối

lên trên. Các thiết bị chỉ

cần hỗ trợ tính năng layer 2

2. Core/Distribution block:

3. Server Farm block:

4. Internet Access block:

5. DMZ block:

6. WAN block:

1. Access Layer block:

2. Core/Distribution block:

.

Distribution block: phân bố

lưu lượng và định tuyến

giữa các khu vực địa lý

khác nhau (giữa các tòa

nhà hoặc giữa các VLAN).

.

Core block: chịu trách

nhiệm kết nối các module

khác, sử dụng các core

switch lớn có hiệu năng

cao

3. Server Farm block:

4. Internet Access block:

5. DMZ block:

6. WAN block:

8

1. Access Layer block:

2. Core/Distribution block:

3. Server Farm block:

.

Module cung cấp kết nối

cho các máy chủ cung cấp

dịch vụ cho mạng nội bộ

(AD, DNS, DHCP, File,

Application, Database,...)

.

Có hệ thống Internal

Firewall bảo vệ

4. Internet Access block:

5. DMZ block:

6. WAN block:

1. Access Layer block:

2. Core/Distribution

block:

3. Server Farm block:

4. Internet Access block:

. Module cung cấp kết nối

Internet cho người dùng

nội bộ

. Ưu tiên: thiết bị hỗ trợ

định tuyến, NAT/PAT,

Firewall, Remote Access

VPN

5. DMZ block:

6. WAN block:

1. Access Layer block:

2. Core/Distribution

block:

3. Server Farm block:

4. Internet Access block:

5. DMZ block:

.

Module cung cấp kết

nối trực tiếp với

Internet Access block

để cung cấp các dịch

vụ của mạng nội bộ ra

ngoài Internet

6. WAN block:

9

1. Access Layer block:

2. Core/Distribution

block:

3. Server Farm block:

4. Internet Access block:

5. DMZ block:

6. WAN block:

. Module cung cấp kết nối

đến các chi nhánh

. Ưu tiên: hỗ trợ giao tiếp

WAN (serial, FTTH,

ADSL,...)

 Thiết kế sơ đồ mạng ở tầng vật lý

 Thiết kế sơ đồ mạng ở tầng liên kết dữ liệu

 Thiết kế sơ đồ mạng ở tầng mạng

 Sơ đồ đi dây cần phải được xem xét

. Thỏa mãn chủng loại cáp

. Thỏa mãn rằng buộc về băng thông và khoảng cách

địa lý của mạng

 Các thành phần trong sơ đồ đi dây

. MDF (Main Distribution Facility) – Nơi phân phối

chính

. IDF (Intermediate Distribution Facility) – Nơi phân

phối trung gian

. Horizontal Cable –Cáp nganh

. Vertical Cable – Cáp đứng

. Patch Panel – Bảng cắm dây

10

11



Vị trị chính xác của các điểm tập trung nối kết MDF và IDFs

Kiểu và số lượng cáp được sử dụng để nối các IDF về MDF

Các đầu dây trên cáp phải được đánh số và ghi nhận sự nối

kết giữa các cổng trên các patch panel (HCC và VCC)

12

13



Bảng phân bố địa chỉ IP

Bảng tóm tắt về các mạng đã được phân bố, địa chỉ các giao

diện của router và bảng chọn đường của các router



Công ty XYZ là một công ty chuyên cung cấp dịch vụ viễn thông ở

Minh Khai. Gần đây công ty thuê 1 tòa nhà 2 tầng ở Bến Thủy và

mở rộng hoạt động tại đây. Tòa nhà chưa có hệ thống mạng và sơ

đồ sắp xếp như sau:

.

Tầng 1: Bảo vệ, Tổng hợp, Tài chính - Kế toán, Kỹ thuật, VHKT,… (hình vẽ)

.

Tầng 2: Giám đốc, Phòng họp, Phòng IT,… (hình vẽ)

Hãy thiết kế hệ thống mạng cho Chi nhánh với yêu cầu:

.

Vấn đề bảo mật phải được đặt lên hàng đầu. Phải có chính sách truy cập

hợp lý

.

Phòng Tài chính được tách biệt với các phòng ban khác và kết nối được

với Phòng Tài chính ở Công ty

.

Đảm bảo kết nối 24/7 với Công ty để phục vụ kinh doanh

Bộ phận quản trị ở Công ty có thể quản trị các thiết bị mạng ở chi nhánh

Không cho nhân viên gửi email ra ngoài, chỉ dùng mail của công ty

Không cho nhân viên sử dụng các phần mềm chat

14

15

 Địa chỉ IP

. IP private

. IP public

 Dịch vụ DHCP - Dynamic

Host Configuration

Protocol

. là một giao thức cho phép

cấp phát địa chỉ IP một

cách tự động cùng với các

cấu hình liên quan khác

một cách mặc định

 Dịch vụ NAT – Network

AddressTranslate

. Là giao thức chuyển đổi

các địa chỉ IP private

trong mạng LAN thành

địa chỉ IP public để ra

ngoài Internet và ngược

lại

16

 Tên gọi

. Domain Name

▪

.com

.gov

.edu

…

. Dịch vụ DNS

▪ là một giao thức cho

phép thiết lập tương ứng

giữa địa chỉ IP và tên

miền trênInternet

 VLAN – Virtual LAN

. là một kỹ thuật cho phép

tạo lập các mạng LAN

độc lập một cách logic

trên cùng một kiến trúc

hạ tầng vật lý

. Việc tạo lập nhiều mạng

LAN ảo trong cùng một

mạng cục bộ giúp giảm

thiểu vùng quảng bá

cũng như tạo thuận lợi

cho việc quản lý một

mạng cục bộ rộng lớn.

. VLAN tương đương như

mạng con.

Thiết bị

Port

VLAN

101

Mục đích

Switch 24 port 1->11

Kết nối máy tính các phòng ban

Kết nối cổng 0/0 của Firewall

Kết nối các máy tính PhòngTC-KT

Kết nối cổng 0/2 của Firewall

Dự phòng

12

101

13->17

18

102

19-20

21

101

Modem Quản trị

22

Modem Tài chính

23

Modem Kinh doanh

24

Kết nối cổng 0/1 của Firewall

17

Thiết bị

Port

0/0

0/1

0/2

0/3

0/4

0/5

0/6

Zone

Port switch VLAN Mục đích

Firewall 6

port

Trust

12

101

102

103

104

105

106

Kết nối các phòng ban

Kết nối Công ty

Quantri 24

Taichinh 18

DMZ

Kết nối PhòngTài chính

Kết nối máy chủ TC-KT

Kết nối Internet

UnTrust

Wifi

Wifi (chưa dùng)

Dự phòng

 Domain: @tencongty.com,

@taichinh.tencongty.com,@quantri.tencongty.

com

 Địa chỉ trongVLAN

. VLAN101: các phòng ban – 192.168.1.0/24

. VLAN102: quản trị – 192.168.2.0/24

. VLAN103: phòngTài chính – 192.168.3.0/24

. VLAN104: máy chủTC-KT – 192.168.4.0/24

. VLAN105: internet – 192.168.5.0/24

. VLAN106:wifi – 192.168.6.0/24

 Địa chỉ cho VLAN101

. 192.168.1.10-192.168.1.60 – dành cho máy trạm

. 192.168.1.1 – gateway trên Firewall

. 192.168.1.2 – địa chỉ quản lý của Switch

 Địa chỉ cho VLAN102

. 192.168.2.1 – gateway

. 192.168.2.2 – Dự phòng

. 192.168.2.3 – Modem ADSL Quản trị

. 192.168.2.4 – Modem ADSLTài chính

. 192.168.2.5 – Modem ADSL Bán hàng

 Địa chỉ cho VLAN103

. 192.168.3.10-192.168.3.60 – dành cho máy trạm

. 192.168.3.1 – gateway trên Firewall

18

 Địa chỉ choVLAN104

. 192.168.4.1 – gateway trên firewall

. 192.168.4.2 – Máy chủ tài chính

 Địa chỉ choVLAN105

. 192.168.5.1 – gateway trên firewall

. 192.168.5.2 – Modem ADSL internet

 Giao thức chuyển mạch

. Spanning Tree Protocol

. VLAN Trunking Protocol: ISL (Inter-Switch Link)

và 802.1Q

 Giao thức tìm đường

. Static route

. Dynamic route

▪ IGP vs EGP (ngoại mạng vs trong mạng)

▪ Distance – vector vs Link – state (gửi bảng định tuyến vs gửi

bảng trạng thái đường link)

▪ Classful vs Classless (không kèm subnet-mask và kèm subnet-

mask)



RIP1, RIP2 (Routing Information Protocol)

.

Giao thức Distance-vector

Gửi bảng định tuyến cho router láng giềng 30s/lần,lặp lại để lan truyền

toàn mạng

.

Sử dụng thuật toán Bellman-Ford

Số metric < 15. Sử dụng 15 router là tối đa



OSPF (Open Shortest Path First)

.

Giao thức link-state

Các router sau khi có thông tin toàn mạng sẽ sử dụng thuật toán

Dijkstra để tìm đường đi và xây dựng bảng định tuyến

IGRP, EIGRP (Enhanced Interior Gateway Routing Protocol)

.

Giao thức Distance-vector cải tiến (giao thức lai – hybrid)

Gửi thông tin cho láng giềng và chỉ cập nhật khi có thay đổi

Sử dụng thuật toán DUAL (Diffusing Update Algorithm)

19

 Một số khái niệm

. Theo một nghĩa rộng thì an ninh-an toàn mạng

dùng riêng, hay mạng nội bộ là giữ không cho ai

làm cái mà mạng nội bộ đó không muốn cho làm

. Các vấn đề về an ninh – an toàn mạng cần quan tâm

▪

Tính bảo mật: Bảo đảm tài nguyên mạng không bị tiếp xúc, bị

sử dụng bởi những người không có thẩm quyền

Tính toàn vẹn: Đảm bảo không có việc sử dụng, và sửa đổi nếu

không được phép

Tính sẵn dùng: Tài nguyên trên mạng luôn được bảo đảm

không thể bị chiếm giữ bởi người không có quyền

Việc xác thực: Thực hiện xác định người dùng được quyền

dùng một tài nguyên nào đó như thông tin hay tài nguyên phần

mềm và phần cứng trên mạng

 Các bước thiết kế xây dựng

. Xác định cần bảo vệ cái gì ?

. Xác định bảo vệ khỏi các loại tấn công nào ?

. Xác định các mối đe dọa an ninh có thể ?

. Xác định các công cụ để bảo đảm an ninh ?

. Xây dựng mô hình an ninh-an toàn

. => Hệ thống tường lửa (firewall), Hệ thống phát hiện

xâm nhập (IDS/IPS), Hệ thống bảo mật thông tin.

 Tường lửa – Firewall

. Tường lửa là một thuật

ngữ dùng mô tả những

thiết bị hay phần mềm

có nhiệm vụ lọc những

thông tin đi vào hay đi ra

một hệ thống mạng hay

máy tính theo những quy

định đã được cài đặt

trước đó

. Tường lửa luôn được lắp

đặt ở vùng biên giới của

hệ thống mạng

20

Bài giảng Phân tích và thiết kế mạng - Chương 3: Thiết kế giải pháp mạng logic - Vũ Chí Cường