Bài giảng Phân tích và thiết kế mạng - Chương 3: Thiết kế giải pháp mạng logic - Vũ Chí Cường
Chương 3:
1. Thiết kế mô hình
2. Gán địa chỉ và tên gọi
3. Lựa chọn các giao thức chuyển mạch và
tìm đường
4. Thiết kế các chiến lược an toàn mạng
5. Thiết kế các chiến lược quản trị mạng
Nguyên tắc thiết kế
. Mô hình phân cấp và module hóa
. Mô hình 3 lớp của Cisco
. Tính dư thừa trong thiết kế mạng
Thiết kế các thành phần mạng
. Các thành phần trong mô hình Cisco
. Thiết kế các thành phần trong mạng nội bộ
Một số ví dụ thiết kế
1
Mô hình mạng (network topology) là sơ đồ
dùng để biểu diễn về mặt hình học các
thành phần của mạng, các điểm kết nối,
các cộng đồng người dùng, ... (bản vẽ
kiến trúc)
Thiết kế mô hình mạng là bước đầu tiên
Nguyên tắc thiết kế: phân cấp và module
hóa
Tại sao phân cấp và module hóa lại quan
trọng trong thiết kế mạng?
Giảm công việc xử lý trên các thiết bị mạng
Chia nhỏ miền broadcast
Tăng tính đơn giản, dễ hiểu
Dễ thay đổi hoặc nâng cấp
Có khả năng co giãn quy mô của hệ thống
2
Lớp lõi (the core layer): bao gồm
các thiết bị định tuyến (router)
hoặc các thiết bị chuyển mạch
(switch) cao cấp đã được tối ưu hóa
cho các yêu cầu về tính sẵn sàng và
hiệu suất cao của hệ thống mạng
Lớp phân phối (the distribution
layer): bao gồm các router và các
switch triển khai các chính sách
mạng
Lớp truy xuất (the access layer):
cung cấp các kết nối với người sử
dụng thông qua các thiết bị chuyển
mạch cấp thấp hoặc các điểm truy
cập không dây.
Lớp lõi
.
Là trục xương sống của mạng, quan trọng, khi thiết kế cần đảm
bảo tính dư thừa (redundant) và độ tin cậy cao (highly reliable)
.
Khi cấu hình router cần sử dụng các tính năng định tuyến tối ưu
hóa thông lượng. Tránh sử dụng các bộ lọc gói tin hoặc các tính
năng ảnh hưởng đến tốc độ. Đảm bảo độ trễ thấp và khả năng
quản lý tốt
.
.
Hạn chế và nhất quán đường kính mạng để đảm bảo hiệu suất
ổn định và dễ xử lý sự cố. Khách hàng có thể tăng cường lớp
phân phối
Đối với các khách hàng có kết nối liên mạng, extranet, internet
▪
Lớp lõi bao gồm cả các đường kết nối liên mạng. Khuyến khích quản trị
mạng theo khu vực
▪
▪
▪
Hệ thống phát hiện xâm nhập (IDS – Intrusion Detection System)
Hệ thống chống xâm nhập (IPS – Intrusion Prevention System)
Hệ thống VPN
Lớp phân phối
. Là ranh giới giữa lớp lõi và lớp truy cập. Đảm nhận
nhiều chức năng
▪ Đảm bảo gửi dữ liệu đến từng phân đoạn mạng thành công
▪ Kiểm soát truy cập vào các tài nguyên mạng vì lý do an ninh
▪ Kiểm soát lưu lượng mạng vì lý do hiệu suất
▪ WLAN
▪ Định tuyến giữa các VLAN
▪ Đảm bảo chất lượng dịch vụ QoS (Quality of Services)
. Kết nối nhiều mạng chạy các giao thức khác nhau
(lớp truy cập sử dụng IGRP trong khi lớp lõi chạy
EIGRP)
. Che dấu thông tin chi tiết giữa 2 lớp lõi và lớp truy cập
3
Lớp Access
. Lớp truy xuất cung cấp khả năng truy cập cho
người dùng cục bộ.
. Đối với liên mạng, lớp truy cập dành cho
người dùng từ xa có thể sử dụng các công
nghệ mạng diện rộng như ISDN, Frame
Relay, DSL, model Analog,..
Redundant Network Design
Thiết kế mạng dư thừa là việc sao chép
các thành phần trong thiết kế mạng nhằm
cố gắng loại bỏ các thất bại có thể trong
vận hành mạng
Có 2 loại thiết kế dư thừa
. Dự phòng (Backup Paths): đảm bảo tính sẵn
sàng
. Chia tải (Load Sharing): đảm bảo tính hiệu
suất
Các thành phần mạng theo mô hình Cisco
Thiết kế các thành phần mạng nội bộ
4
Enterprise campus:
Là hệ thống kết nối và cung cấp dịch
vụ nội bộ của một mạng Campus
.
.
Các thiết kế sẽ ưu tiên cho việc đảm
bảo tính sẵn sàng cao cho các điểm
truy cập dịch vụ của người dùng, hiệu
năng cao cho các ứng dụng Intranet
nội bộ, sự phân bố lưu lượng mạng
đều và cân bằng cho các module khác
nhau.
.
Các khối con:
▪
▪
▪
▪
▪
▪
Module Building Access
Module Building Distribution
Module Core (Backbone)
Module Server farm
Module Edge Distribution
Management Module
5
Enterprise edge: bao gồm
các dịch vụ của hệ thống
mạng
.
.
.
.
E-Commerce
Internet Connectivity
VPN/Remote access
SeWrvAiNce provider edge: bao
gồm các kết nối ra thế giới
bên ngoài
.
.
ISP (Internet Service Provider)
PSTN (Public Switched Telephone
Network)
.
Frame relay/ATM (Asynchronous
Transfer Mode)
Các thiết kế sẽ ưu tiên cho
tính bảo mật, tính dự phòng
Enterprise edge: bao gồm
các dịch vụ của hệ thống
mạng
.
.
.
.
E-Commerce
Internet Connectivity
VPN/Remote access
WAN
E-Commerce
.
.
.
.
Web servers
Application servers
Database servers
Security servers
Internet Connectivity
.
.
.
.
Email servers
DNS servers
Public web servers
Security servers
VPN/Remote access
.
.
.
Dial-up access concentrators
VPN concentrators
Firewall and IDS
WAN
6
7
1. Access Layer block:
2. Core/Distribution
block:
3. Server Farm block:
4. Internet Access
block:
5. DMZ block:
6. WAN block:
1. Access Layer block:
.
Cung cấp kết nối cho người
dùng cuối
.
Ưu tiên: cung cấp nhiều kết
nối downlink cho người
dùng đồng thời phải có
uplink tốc độ cao để kết nối
lên trên. Các thiết bị chỉ
cần hỗ trợ tính năng layer 2
2. Core/Distribution block:
3. Server Farm block:
4. Internet Access block:
5. DMZ block:
6. WAN block:
1. Access Layer block:
2. Core/Distribution block:
.
Distribution block: phân bố
lưu lượng và định tuyến
giữa các khu vực địa lý
khác nhau (giữa các tòa
nhà hoặc giữa các VLAN).
.
Core block: chịu trách
nhiệm kết nối các module
khác, sử dụng các core
switch lớn có hiệu năng
cao
3. Server Farm block:
4. Internet Access block:
5. DMZ block:
6. WAN block:
8
1. Access Layer block:
2. Core/Distribution block:
3. Server Farm block:
.
Module cung cấp kết nối
cho các máy chủ cung cấp
dịch vụ cho mạng nội bộ
(AD, DNS, DHCP, File,
Application, Database,...)
.
Có hệ thống Internal
Firewall bảo vệ
4. Internet Access block:
5. DMZ block:
6. WAN block:
1. Access Layer block:
2. Core/Distribution
block:
3. Server Farm block:
4. Internet Access block:
. Module cung cấp kết nối
Internet cho người dùng
nội bộ
. Ưu tiên: thiết bị hỗ trợ
định tuyến, NAT/PAT,
Firewall, Remote Access
VPN
5. DMZ block:
6. WAN block:
1. Access Layer block:
2. Core/Distribution
block:
3. Server Farm block:
4. Internet Access block:
5. DMZ block:
.
Module cung cấp kết
nối trực tiếp với
Internet Access block
để cung cấp các dịch
vụ của mạng nội bộ ra
ngoài Internet
6. WAN block:
9
1. Access Layer block:
2. Core/Distribution
block:
3. Server Farm block:
4. Internet Access block:
5. DMZ block:
6. WAN block:
. Module cung cấp kết nối
đến các chi nhánh
. Ưu tiên: hỗ trợ giao tiếp
WAN (serial, FTTH,
ADSL,...)
Thiết kế sơ đồ mạng ở tầng vật lý
Thiết kế sơ đồ mạng ở tầng liên kết dữ liệu
Thiết kế sơ đồ mạng ở tầng mạng
Sơ đồ đi dây cần phải được xem xét
. Thỏa mãn chủng loại cáp
. Thỏa mãn rằng buộc về băng thông và khoảng cách
địa lý của mạng
Các thành phần trong sơ đồ đi dây
. MDF (Main Distribution Facility) – Nơi phân phối
chính
. IDF (Intermediate Distribution Facility) – Nơi phân
phối trung gian
. Horizontal Cable –Cáp nganh
. Vertical Cable – Cáp đứng
. Patch Panel – Bảng cắm dây
10
11
Vị trị chính xác của các điểm tập trung nối kết MDF và IDFs
Kiểu và số lượng cáp được sử dụng để nối các IDF về MDF
Các đầu dây trên cáp phải được đánh số và ghi nhận sự nối
kết giữa các cổng trên các patch panel (HCC và VCC)
12
13
Bảng phân bố địa chỉ IP
Bảng tóm tắt về các mạng đã được phân bố, địa chỉ các giao
diện của router và bảng chọn đường của các router
Công ty XYZ là một công ty chuyên cung cấp dịch vụ viễn thông ở
Minh Khai. Gần đây công ty thuê 1 tòa nhà 2 tầng ở Bến Thủy và
mở rộng hoạt động tại đây. Tòa nhà chưa có hệ thống mạng và sơ
đồ sắp xếp như sau:
.
Tầng 1: Bảo vệ, Tổng hợp, Tài chính - Kế toán, Kỹ thuật, VHKT,… (hình vẽ)
.
Tầng 2: Giám đốc, Phòng họp, Phòng IT,… (hình vẽ)
Hãy thiết kế hệ thống mạng cho Chi nhánh với yêu cầu:
.
Vấn đề bảo mật phải được đặt lên hàng đầu. Phải có chính sách truy cập
hợp lý
.
Phòng Tài chính được tách biệt với các phòng ban khác và kết nối được
với Phòng Tài chính ở Công ty
.
.
.
.
Đảm bảo kết nối 24/7 với Công ty để phục vụ kinh doanh
Bộ phận quản trị ở Công ty có thể quản trị các thiết bị mạng ở chi nhánh
Không cho nhân viên gửi email ra ngoài, chỉ dùng mail của công ty
Không cho nhân viên sử dụng các phần mềm chat
14
15
Địa chỉ IP
. IP private
. IP public
Dịch vụ DHCP - Dynamic
Host Configuration
Protocol
. là một giao thức cho phép
cấp phát địa chỉ IP một
cách tự động cùng với các
cấu hình liên quan khác
một cách mặc định
Dịch vụ NAT – Network
AddressTranslate
. Là giao thức chuyển đổi
các địa chỉ IP private
trong mạng LAN thành
địa chỉ IP public để ra
ngoài Internet và ngược
lại
16
Tên gọi
. Domain Name
▪
▪
▪
▪
.com
.gov
.edu
…
. Dịch vụ DNS
▪ là một giao thức cho
phép thiết lập tương ứng
giữa địa chỉ IP và tên
miền trênInternet
VLAN – Virtual LAN
. là một kỹ thuật cho phép
tạo lập các mạng LAN
độc lập một cách logic
trên cùng một kiến trúc
hạ tầng vật lý
. Việc tạo lập nhiều mạng
LAN ảo trong cùng một
mạng cục bộ giúp giảm
thiểu vùng quảng bá
cũng như tạo thuận lợi
cho việc quản lý một
mạng cục bộ rộng lớn.
. VLAN tương đương như
mạng con.
Thiết bị
Port
VLAN
101
Mục đích
Switch 24 port 1->11
Kết nối máy tính các phòng ban
Kết nối cổng 0/0 của Firewall
Kết nối các máy tính PhòngTC-KT
Kết nối cổng 0/2 của Firewall
Dự phòng
12
101
13->17
18
102
102
19-20
21
101
101
101
101
Modem Quản trị
22
Modem Tài chính
23
Modem Kinh doanh
24
Kết nối cổng 0/1 của Firewall
17
Thiết bị
Port
0/0
0/1
0/2
0/3
0/4
0/5
0/6
Zone
Port switch VLAN Mục đích
Firewall 6
port
Trust
12
101
102
103
104
105
106
Kết nối các phòng ban
Kết nối Công ty
Quantri 24
Taichinh 18
DMZ
Kết nối PhòngTài chính
Kết nối máy chủ TC-KT
Kết nối Internet
UnTrust
Wifi
Wifi (chưa dùng)
Dự phòng
Domain: @tencongty.com,
@taichinh.tencongty.com,@quantri.tencongty.
com
Địa chỉ trongVLAN
. VLAN101: các phòng ban – 192.168.1.0/24
. VLAN102: quản trị – 192.168.2.0/24
. VLAN103: phòngTài chính – 192.168.3.0/24
. VLAN104: máy chủTC-KT – 192.168.4.0/24
. VLAN105: internet – 192.168.5.0/24
. VLAN106:wifi – 192.168.6.0/24
Địa chỉ cho VLAN101
. 192.168.1.10-192.168.1.60 – dành cho máy trạm
. 192.168.1.1 – gateway trên Firewall
. 192.168.1.2 – địa chỉ quản lý của Switch
Địa chỉ cho VLAN102
. 192.168.2.1 – gateway
. 192.168.2.2 – Dự phòng
. 192.168.2.3 – Modem ADSL Quản trị
. 192.168.2.4 – Modem ADSLTài chính
. 192.168.2.5 – Modem ADSL Bán hàng
Địa chỉ cho VLAN103
. 192.168.3.10-192.168.3.60 – dành cho máy trạm
. 192.168.3.1 – gateway trên Firewall
18
Địa chỉ choVLAN104
. 192.168.4.1 – gateway trên firewall
. 192.168.4.2 – Máy chủ tài chính
Địa chỉ choVLAN105
. 192.168.5.1 – gateway trên firewall
. 192.168.5.2 – Modem ADSL internet
Giao thức chuyển mạch
. Spanning Tree Protocol
. VLAN Trunking Protocol: ISL (Inter-Switch Link)
và 802.1Q
Giao thức tìm đường
. Static route
. Dynamic route
▪ IGP vs EGP (ngoại mạng vs trong mạng)
▪ Distance – vector vs Link – state (gửi bảng định tuyến vs gửi
bảng trạng thái đường link)
▪ Classful vs Classless (không kèm subnet-mask và kèm subnet-
mask)
RIP1, RIP2 (Routing Information Protocol)
.
.
Giao thức Distance-vector
Gửi bảng định tuyến cho router láng giềng 30s/lần,lặp lại để lan truyền
toàn mạng
.
.
Sử dụng thuật toán Bellman-Ford
Số metric < 15. Sử dụng 15 router là tối đa
OSPF (Open Shortest Path First)
.
.
Giao thức link-state
Các router sau khi có thông tin toàn mạng sẽ sử dụng thuật toán
Dijkstra để tìm đường đi và xây dựng bảng định tuyến
IGRP, EIGRP (Enhanced Interior Gateway Routing Protocol)
.
.
.
Giao thức Distance-vector cải tiến (giao thức lai – hybrid)
Gửi thông tin cho láng giềng và chỉ cập nhật khi có thay đổi
Sử dụng thuật toán DUAL (Diffusing Update Algorithm)
19
Một số khái niệm
. Theo một nghĩa rộng thì an ninh-an toàn mạng
dùng riêng, hay mạng nội bộ là giữ không cho ai
làm cái mà mạng nội bộ đó không muốn cho làm
. Các vấn đề về an ninh – an toàn mạng cần quan tâm
▪
▪
▪
▪
Tính bảo mật: Bảo đảm tài nguyên mạng không bị tiếp xúc, bị
sử dụng bởi những người không có thẩm quyền
Tính toàn vẹn: Đảm bảo không có việc sử dụng, và sửa đổi nếu
không được phép
Tính sẵn dùng: Tài nguyên trên mạng luôn được bảo đảm
không thể bị chiếm giữ bởi người không có quyền
Việc xác thực: Thực hiện xác định người dùng được quyền
dùng một tài nguyên nào đó như thông tin hay tài nguyên phần
mềm và phần cứng trên mạng
Các bước thiết kế xây dựng
. Xác định cần bảo vệ cái gì ?
. Xác định bảo vệ khỏi các loại tấn công nào ?
. Xác định các mối đe dọa an ninh có thể ?
. Xác định các công cụ để bảo đảm an ninh ?
. Xây dựng mô hình an ninh-an toàn
. => Hệ thống tường lửa (firewall), Hệ thống phát hiện
xâm nhập (IDS/IPS), Hệ thống bảo mật thông tin.
Tường lửa – Firewall
. Tường lửa là một thuật
ngữ dùng mô tả những
thiết bị hay phần mềm
có nhiệm vụ lọc những
thông tin đi vào hay đi ra
một hệ thống mạng hay
máy tính theo những quy
định đã được cài đặt
trước đó
. Tường lửa luôn được lắp
đặt ở vùng biên giới của
hệ thống mạng
20
Tải về để xem bản đầy đủ
Bạn đang xem 20 trang mẫu của tài liệu "Bài giảng Phân tích và thiết kế mạng - Chương 3: Thiết kế giải pháp mạng logic - Vũ Chí Cường", để tải tài liệu gốc về máy hãy click vào nút Download ở trên
File đính kèm:
- bai_giang_phan_tich_va_thiet_ke_mang_chuong_3_thiet_ke_giai.pdf