M&E - IT Infrastructure

GIỚI THIỆU CHUNG

1.1.   TỔNG QUAN

Thiết kế hệ thống mạng kết nối LAN, WAN và bảo mật cho công ty với khả năng kết nối mềm dẻo, chính sách bảo mật cao,và khả năng mở rộng cho phép nâng cấp hệ thống và bảo trì dễ dàng. Các thiết bị kết nối luôn đáp ứng cho các kết nối tốc độ cao, và có khả năng mở rộng cho các kết nối dự phòng. Khả năng kết nối LAN tốc độ cao Thiết bị bảo mật mạnh mẽ không làm ảnh hưởng đến tốc độ của hệ thống Thiết kế hệ thống máy chủ AD, Mail,File với khả năng dự phòng cung cấp các dịch vụ cho các site chi nhánh.

1.2.   YÊU CẦU THIẾT KẾ

1.2.1.   CÁC YÊU CẦU CHÍNH

Xây dựng hệ thống firewall an toàn, hiệu quả, có khả năng kiểm soát dễ dàng tùy theo yêu cầu sử dụng

Xây dựng giải pháp hệ thống máy chủ mail đảm bảo nhanh chóng sẵn sàng, có khả năng chống Virus và Spam. Tối ưu hóa hệ thống tài nguyên mạng đang có và tối ưu hóa hiệu suất của hệ thống. Xây dựng hệ thống kết nối từ xa an toàn, hiệu quả dành cho các chi nhánh và người dùng di động  Xây dựng hệ thống kết nối dự phòng cho các điểm hiện có, đảm bảo đường truyền khi xảy ra sự cố, dễ dàng trong việc mở rộng. Khả năng nâng cấp từng phần dễ dàng, đảm bảo hiệu quả về kinh tế.

1.2.2.   HỆ THỐNG THIẾT BỊ CHUYỂN MẠCH

Hệ thống thiết bị chuyển mạch mạng trung tâm được thiết lập cho doanh nghiệp có nhiệm vụ kết nối các thiết bị đầu cuối của người sử dụng thuộc các phòng ban thành viên trong toàn công ty lại với nhau và kết nối chung với hệ thống mạng cung cấp dịch vụ tại đây. Qua đó, người sử dụng của CÔNG TY   sẽ có thể chia sẽ những nguồn tài nguyên dữ liệu chung với nhau kể cả trong cùng 1 site và khác site. Hệ thống mạng được thiết kế nhằm mục đích đáp ứng những nhu cầu khai thác sử dụng tại thời điểm hiện tại cũng như trong tương lai. Chính vì vậy, hệ thống phải mang tính hiện đại, phải có khả năng mở rộng cao và quan trọng là phải đáp ứng được hướng phát triển của công nghệ giao tiếp trong tương lai.

1.2.3.   HỆ THỐNG BẢO MẬT

Đây là hệ thống rất quan trọng và gần như mang vai trò không thể thiếu trong quá trình giao tiếp trao đổi dữ liệu trên một hạ tầng có qui mô như là CÔNG TY . Hệ thống này sẽ cho phép các nhà quản trị mạng của doanh nghiệp có thể thiết lập các chính sách bảo mật bên trong hệ thống của mình, cũng như ngăn chặn các sự tấn công, xâm nhập trái phép từ bên ngoài vào hệ thống. Phân hệ hệ thống này thường sẽ bao gồm các bộ thiết bị tường lửa chuyên dụng. Do đặc thù của nó là quản lý các vấn đề mang tính nhạy cảm trong quá trình giao tiếp dữ liệu, nên tính ổn định, hiệu quả và sẵn sàng cao là những đòi hỏi cần phải có và rất cần thiết.

1.2.4.   HỆ THỐNG KẾT NỐI WAN

Do đặc thù nằm ở các site khác nhau nên yêu cầu liên lạc giữa các site hết sức quan trọng. Để đảm bảo cho thông tin được truyền tải nhanh và độ ổn định cao, hệ thống cần co thiết bị kết nối WAN đạt các tiêu chí sau:

Có năng lực định tuyến cao.

Khả năng hoạt động liên tục.

Dễ dàng kết nối và nâng cấp

2.KIẾN TRÚC TỔNG THỂ HẠ TẦNG CNTT

2.1.   SƠ ĐỒ GIẢI PHÁP TỔNG THỂ

Kiến trúc tổng thể được đề xuất cho doanh nghiệp là hệ truyền thông tốc độ cao được thiết kế để kết nối các site lại với nhau, các máy tính, các thiết bị mạng và các thiết bị xử lý dữ liệu khác cùng hoạt động với nhau trong cùng 1 site. Chúng có thể kết nối lại với nhau trong một khu làm việc, hình thành hệ thống mạng xuyên suốt.Hệ thống mạng của doanh nghiệp được trang bị dự phòng ở tất cả các Layer. Các kết nối bên trong 1 site là kết nối LAN, thông qua các bộ chuyển mạch truy cập, tập trung kết nối trong các phòng. Tất cả các kết nối ở các site được kết nối về phòng điều hành trung tâm bằng router kết nối WAN, có thể kết nối vào hệ thống máy chủ được đặt tại  Datacenter  và kết nối ra internet

 

ình 1.   Kết nối tổng thể hệ thống mạng doanh nghiệp

Mô hình mạng tại doanh nghiệp sẽ được thiết kết dựa trên các phân hệ chức năng khác nhau và được kết

nối với nhau thành một mô hình tổng thể để hoạt động chung. Vì đây là mô hình kiến trúc chuẩn mang

tính tổng thể nên việc đầu tư cho hệ thống này có thể thực hiện từng phần kết hợp thay đổi điều chỉnh

chút ít về chủng loại thiết bị trong từng phân hệ, tùy theo quá trình phát triển chung của doanh nghiệp . Về

cơ bản thì hệ thống này bao gồm các phân hệ chức năng chính như sau:

·          Hệ thống switch cho site trung tâm với hai thiết bị được Stackwise cho phép nâng cao tốc độ

·         chuyển mạch.

·         Hệ thống truy cập Internet với cặp firewall chạy backup lẫn nhau và được cân bằng tải bằng thiết bị Link balancer cho phép tối ưu hóa băng thông đường truyền.

·         Hệ thống đường kết nối dự phòng, kết nối LAN-WAN có dự phòng

·         Hệ thống Antivirus, Anti-Spam và hệ thống E-mail.

Hệ thống được bảo vệ bởi firewall có tích hợp tính năng Anti Spam và Antivirus. Hệ thống firewall, bảo vệ toàn bộ hệ thống Server.ore switch: Đây là thiết bị chuyên dụng của thiết bị chuyển mạch Cisco (dòng Switch Catalyst Cisco )đây là dòng Switch L3  cho khả năng bảo mật caotrong mạng LAN.Cho phép xếp chồng nhiều switch Cisco thành 1 switch logic duy nhất giúp băng thông kết nối cao bằng công nghệ Stackwise  của Cisco. Thiết kế, xây dựng hệ thống E-mail được hosting tại doanh nghiệp với các phân hệ máy chủ mail được phân thành nhiều role khác nhau để đảm bảo tính bảo mật và hiệu suất hoạt động với việc phân chia các  chức năng riêng việc trên nền tảng phần mềm Exchange 2010.

2.1.1.   HỆ THỐNG CORE SWITCH

Chúng  tôi  đề  xuất  xây  dựng  hệ  thống  core  switch  cho  hệ  thống  máy  chủ  với  dòng  Switch  Cisco. Hệ thống Core Switch mới với các tiêu chí:

Đảm bảo tính chuẩn mực

Đảm bảo   khả năng thực thi

Đảm bảo khả năng mở rộng

Đảm bảo độ dự phòng cao

CÔNG TY đề xuất thiết kế mô hình Core Switch tại văn phòng tổng công ty CÔNG TY   theo mô hình phân lớp chuẩn:

 

                                 Hình 2.   Mô hình mạng phân lớp

2.1.2.   HỆ THỐNG KẾT NỐI WAN

Do đặc thù là một công ty có các chi nhánh khác nhau, hệ thống mạng WAN cho doanh nghiệp cần

đáp ứng những yêu cầu sau:

·         Kết nối truyền thông liên lạc giữa các site.

·         Băng thông kết nối.

·         Công nghệ hiện đại, tiên tiến, tương thích, dễ dàng triển khai và sử dụng.

·          Tính ổn định, tin cậy và mở rộng.

·          Có khả năng dự phòng cao

Với những yêu cầu trên chúng tôi đề nghị xây dựng hệ thống mạng WAN của doanh nghiệp với thiết bị định

tuyến kết nối WAN. Các Site sẽ nối về site trung tâm tại HCM.

Data center

Có đường kết nối Internet cung cấp dịch vụ kết nối Internet cho toàn công ty

Đường kết nối Leased Line tốc độ dự kiến là 2Mbps thông qua Router của Cisco cung cấp kết nối đến các

chi nhánh về các hệ thống máy chủ đặt tại trụ sở chính công ty (TCT)

Các chi nhánh

Các chi nhánh kết nối về TCT bằng kết nối Leased Line tốc độ dự kiến cho mỗi chi nhánh là 512Kbps

thông qua Router Cisco.

2.2.   GIẢI PHÁP BẢO MẬT VÀ KẾT NỐI VPN

2.2.1.   SỰ THIẾT YẾU CỦA HỆ THỐNG BẢO MẬT

Đối với yếu tố về giải pháp và các chiến lược an ninh an toàn cho hệ thống mạng thì yếu tố đầu tiên và có thể coi là quan trọng nhất là việc định hình và hoạch định các chiến lược về kiến trúc của hệ thống an ninh mạng. Và bước đầu tiên trong phần này chúng tôi đề xuất cho doanh nghiệp chiến lược cho việc phát triển hệ thống an ninh mạng với những mục tiêu chính như sau:

Cần có chiến lược tổng thể cho việc đảm bảo an ninh mạng.

·         Hệ thống an ninh cần xây dựng với mô hình bảo nhiều tầng khác nhau dựa trên cơ sở các ứng  dụng.

·         Trong mỗi tầng ứng dụng cần phân thành những lớp bảo vệ khác nhau.

·         Giải pháp tổng thể cần hoạch định các chính sách và quy trình thực hiện cũng như chống lại việc phản ứng nhanh khi có tấn công.

·         Cũng cần có thiết bị – quy trình cho việc tự động cập nhật các dạng tấn công mới định kỳ và các phương pháp phòng chống.

·         Cần xây dựng một hệ thống quản lý – điều khiển và giảm sát chức năng cũng như quy trình của các thiết bị an ninh được đưa vào mạng.

Trong đề xuất giải pháp an ninh cho hệ thống mạng của doanh nghiệp, chúng tôi sẽ dựa vào một nguyên tắc chiến lược cho việc phát triển giải pháp an ninh mạng của hãng Cisco System – hãng đứng đầu trên thế giới cho trong lĩnh vực sản xuất và cung cấp các giải pháp công nghệ thông tin, đặc biệt là trong lĩnh vực đảm bảo an ninh cho các hệ thống mạng. Chiến lược này dựa trên nguyên tắc mà từ đó những nhà đầu tư có thể tự chủ động quản lý và bảo vệ chính môi trường mạng của họ trên cơ sở tích hợp các giải pháp/sản phẩm an ninh khác nhau phù hợp với chính hệ thống của họ – giải pháp này có tên là “Self-defending Network” – cung cấp một cái nhìn tổng thể đến những người quản trị mạng cho các vấn đề an ninh trên mạng.

Nhằm tăng tính bảo mật cũng như dễ quản lý, tất cả các máy chủ cũng như người dùng có cùng chính sách sẽ được nhóm vào một VLAN hay một LAN. Trong thiết kế mạng cho doanh nghiệp sử dụng công nghệ VLAN chúng ta sẽ phát huy tốt các ưu điểm sau:

·         VLAN tạo ra vùng broadcast riêng: phạm vi broadcast chỉ giới hạn đối với các thành viên của

·         VLAN đó, cách ly hoàn toàn với các VLAN khác, điều này giúp chúng ta tránh được hiện tượng bão broadcast làm quá tải thiết bị chuyển mạch.

·         VLAN cho phép tạo ra các mạng con (subnet) ảo, các thành viên của VLAN không cần phải gắn nối trên cùng thiết bị vật lý. Nó có thể nằm bất cứ vị trí nào trong LAN.

·         Việc gán các thành viên cho 1 VLAN có thể thực hiện dựa vào số hiệu cổng trên switch hoặc địa chỉ MAC của thiết bị.

·         Làm tăng hiệu quả sử dụng băng thông trong mạng do giải quyết được vấn đề mở rộng mạng thông qua việc phân nhỏ các vùng Broadcast.

·         VLAN cho phép ta triển khai được một số biện pháp an ninh nhờ thiết lập các chính sách định tuyến giữa các VLAN (Inter-VLAN)

·         VLAN cho phép ta chia sẻ tải bằng cách cho phép truyền dữ liệu trên nhiều đường cùng một lúc. Cách ly các vấn đề về lỗi thiết bị.