Bài giảng Thiết kế và xây dựng mạng LAN và WAN - Chương 3: Mạng WAN và thiết kế mạng WAN - Trần Bá Nhiệm

pdf 142 trang ngocly 150
Bạn đang xem 20 trang mẫu của tài liệu "Bài giảng Thiết kế và xây dựng mạng LAN và WAN - Chương 3: Mạng WAN và thiết kế mạng WAN - Trần Bá Nhiệm", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfbai_giang_thiet_ke_va_xay_dung_mang_lan_va_wan_chuong_3_mang.pdf

Nội dung text: Bài giảng Thiết kế và xây dựng mạng LAN và WAN - Chương 3: Mạng WAN và thiết kế mạng WAN - Trần Bá Nhiệm

  1.  QTSC-ITA THIẾT KẾ VÀ XÂY DỰNG MẠNG LAN VÀ WANLAN VÀ THIẾT XÂYMẠNG VÀ DỰNG KẾ Mạng WAN WAN mạng thiết kế và WAN Mạng  Chương 3 Chương
  2. Objectives TA I - • Các kiến thức cơ bản về WAN, các công SC T Q nghệ và các thiết bị dùng cho kết nối WAN ; so sánh và đánh giá các công nghệ này • Phương pháp thiết kế WAN • Thiết kế WAN cho Trung tâm Thông tin của một Bộ, ngành mà chúng tôi đã triển khai trong thực tế.
  3. Các kiến thức cơ bản về WAN TA I • Khái niệm về WAN - SC T Q • Một số công nghệ kết nối cơ bản dùng cho WAN • Giao thức kết nối WAN cơ bản trong mạng TCP/IP • Các thiết bị dùng cho kết nối WAN • Đánh giá và so sánh một số công nghệ dùng cho kết nối WAN
  4. Khái niệm về WAN TA I - SC T Q • Mạng WAN là gì ? • Các lợi ích và chi phí khi kết nối WAN • Những điểm cần chú ý khi thiết kế WAN
  5. Mạng WAN là gì ? TA I - • Wide Area Networks – WAN, là mạng SC T Q được thiết lập để liên kết các máy tính của hai hay nhiều khu vực khác nhau, ở khoảng cách xa về mặt địa lý, như giữa các quận trong một thành phố, hay giữa các thành phố hay các miền trong nước • Các công nghệ kết nối WAN thường liên quan đến 3 tầng đầu của mô hình ISO 7 tầng
  6.  QTSC-ITA Mạng WAN là gì?(tt) là Mạng WAN
  7. Các lợi ích và chi phí khi kết nối WAN • Nhờ có hệ thống WAN và các ứng dụng triển TA I - SC khai trên đó, thông tin được chia sẻ và xử lý T Q bởi nhiều máy tính dưới sự giám sát của nhiều người đảm bảo tính chính xác và hiệu quả cao. • Với sự phát triển nhanh chóng của công nghệ thông tin, công nghệ viễn thông và kỹ thuật máy tính, mạng WAN và truy cập từ xa dần trở thành một môi trường làm việc căn bản, gần như là bắt buộc khi thực hiện yêu cầu về hội nhập quốc tế
  8. Những điểm cần chú ý khi thiết kế WAN TA I - SC T Q • Môi trường • Các yêu cầu kỹ thuật • An ninh-an toàn
  9. Một số công nghệ kết nối cơ bản dùng cho WAN TA I - SC T Q • Mạng chuyển mạch (Circuit Swiching Network) • Mạng chuyển gói (Packet Switching Network) • Kết nối WAN dùng VPN
  10. Mạng chuyển mạch (Circuit Swiching Network) TA I - SC T Q • Giới thiệu • Chuyển mạch tương tự (Analog) • Mạng chuyển mạch số (Digital)
  11. Giới thiệu • Mạng chuyển mạch thực hiện việc liên TA I - SC kết giữa hai điểm nút qua một đường T Q nối tạm thời hay giành riêng giữa điểm nút này và điêm nút kia • Một ví dụ của mạng chuyển mạch là hoạt động của mạng điện thoại, các thuê bao khi biết số của nhau có thể gọi cho nhau và có một đường nối vật lý tạm thời được thiết lập giữa hai thuê bao.
  12.  QTSC-ITA Giới thiệu thiệu (tt) Giới
  13.  QTSC-ITA Chuyển mạch tương tự (Analog) mạch tương Chuyển • • Kết nối PSTN Kết Giới thiệu
  14. Giới thiệu TA I - • Việc chuyển dữ liệu qua mạng chuyển SC T Q mạch tương tự được thực hiện qua mạng điện thoại. • Một minh họa kết nối dùng mạng chuyển mạch là kết nối qua mạng điện thoại PSTN, hay còn gọi là kết nối quay số (dial-up)
  15.  QTSC-ITA Giới thiệu thiệu (tt) Giới
  16. Kết nối PSTN • Thiết bị : modem TA I - SC T Q • Phương thức kết nối : PPP • Kết nối đơn tuyến- dùng 1 đường điện thoại • Kết nối bó(multilink – đa tuyến)- dùng nhiều đường điện thoại
  17.  QTSC-ITA Kết nối PSTN (tt) PSTN Kết nối
  18. Mạng chuyển mạch số (Digital) TA I - SC T Q • Giới thiệu • Kết nối ISDN • Mạng kênh thuê riêng (Leased lines Network) • Các công nghệ xDSL
  19.  QTSC-ITA Giới thiệu
  20. Kết nối ISDN TA I - SC T Q • Giới thiệu • Các thiết bị dùng cho kết nối ISDN • Các đặc tính của ISDN • Đánh giá khi dùng kết nối ISDN
  21. Giới thiệu TA I - SC T Q • Dịch vụ số ISDN - Intergrated Services Digital Network: ISDN là một loại mạng viễn thông số tích hợp đa dịch vụ cho phép sử dụng cùng một lúc nhiều dịch vụ trên cùng một đường dây điện thoại thông thường.
  22. Các thiết bị dùng cho kết nối ISDN • ISDN Adapter: Kết nối với máy tính TA I - SC thông qua các giao tiếp PCI, RS-232, T Q USB, PCMCIA và cho phép máy tính kết nối với mạng WAN • ISDN Router: Thiết bị này cho phép kết nối LAN vào WAN cho một số lượng không giới hạn người dùn
  23. Các đặc tính của ISDN TA I - • Kênh dữ liệu (Data Channel), tên kỹ SC T Q thuật là B channel, hoạt động ở tốc độ 64 Kbps. • Kênh kiểm soát (Control Channel), tên kỹ thuật là D Channel, hoạt động ở 16 Kbps (Basic rate) và 64 Kbps (Primary rate)
  24. Đánh giá khi dùng kết nối ISDN TA I - • ISDN gồm hai kiểu BRI và PRI, đều đắt SC T Q hơn điện thoại thông thường nhưng băng thông cao hơn. Hiện tại tốc độ cao nhất có thể cung cấp tại Việt Nam là 128 Kbps. Đây là hình thức kết nối mạng liên tỉnh tương đối rẻ so với các loại khác. Tuy nhiên nó đòi hỏi tổng đài điện thoại phải hỗ trợ kết nối ISDN
  25. Mạng kênh thuê riêng (Leased lines Network) TA I - SC T Q • Giới thiệu • Phương thức ghép kênh theo tần số • Phương thức ghép kênh theo thời gian
  26.  QTSC-ITA Giới thiệu Giới
  27. Phương thức ghép kênh theo tần số • Để sử dụng phương thức ghép kênh theo tần TA I - SC số giữa các nút của mạng được liên kết bởi T Q đường truyền băng tần rộng. • Băng tần này được chia thành nhiều kênh con được phân biệt bởi tần số khác nhau. Khi truyền dử liệu, mỗi kênh truyền từ người sử dụng đến nút sẽ được chuyển thành một kênh con với tần số xác định và được truyền thông qua bộ ghép kênh đến nút cuối và tại đây nó được tách ra thành kênh riêng biệt để truyền tới người nhận.
  28. Phương thức ghép kênh theo thời gian • Khác với phương thức ghép kênh theo tần TA I - SC số, phương thức ghép kênh theo thời gian T Q chia một chu kỳ thời gian hoạt động của đường truyền trục thành nhiều khoảng nhỏ và mỗi kênh tuyền dữ liệu được một khoảng. • Sau khi ghép kênh lại thành một kênh chung dữ liệu được truyền đi tương tự như phương thức ghép kênh theo tần số. Người ta dùng đường thuê bao là đường truyền kỹ thuật số nối giữa máy của người sử dụng tới nút mạng thuê bao gần nhất.
  29. Phương thức ghép kênh theo thời gian (tt) Loại kênh Thông lượng Ghép kênh TA I - SC T Q T0 56 Kbps 1 đường thoại T1 1.544 Mbps 24 đường T0 T2 6.312 Mbps 4 đường T1 T3 44.736 Mbps 28 đường T1
  30. Các công nghệ xDSL TA I - SC T Q • Giới thiệu • Các loại công nghệ xDSL • ADSL(Asymmetric Digital Subscriber Line)
  31. Giới thiệu • Việc kết nối WAN được thực hiện đầu tiên TA I - dùng modem tương tự qua mạng điện thoại, SC T Q đến nay phương thức này chỉ dừng lại ở tốc độ truyền tải rất thấp, tối đa là 56kbps/line • Để vược qua ngưỡng tốc độ người ta chuyển sang dùng kỹ thuật số xDSL. Trên đường dây điện thoại thì thực tế chỉ dùng một khoảng tần số rất nhỏ từ 0KHz đến 20KHz để truyền dữ liệu âm thanh (điện thoại). Công nghệ DSL tận dụng đặc điểm này để truyền dữ liệu trên cùng đường dây, nhưng ở tần số 25.875 KHz đến 1.104 MHz .
  32. Các loại công nghệ xDSL TA I - SC • HDSL (High-speed DSL) T Q • SDSL (Symmtric DSL) • IDSL (Intergrated Service Digital Network DSL) • RADSL (Rate Adaptive DSL) • CDSL (Consumer DSL) • UDSL (Unidirectional DSL) • DSL Lite (còn gọi là G-Lite)
  33. Các loại công nghệ xDSL TA I - SC T Q • ADSL (asymmetrical DSL) là đường truyền thuê bao kỹ thuật số không đối xứng, tốc độ download đạt 1,544-8 Mbps, upload đạt 16-640 Kbps. • VDSL (Very-high-bit-rate DSL) • G.SHDSL(Single pair High bit-rate DSL)
  34.  QTSC-ITA Các loại công nghệ xDSL (tt) nghệxDSL công loại Các
  35. ADSL(Asymmetric Digital Subscriber Line) TA I - SC T Q • Giới thiệu • ADSL hoạt động như thế nào? • Những ưu điểm của ADSL • Nhược điểm
  36. Giới thiệu TA I - • ADSL là một công nghệ mới nhất cung SC T Q cấp kết nối tới các thuê bao qua đường cáp điện thoại với tốc độ cao cho phép người sử dụng kết nối internet 24/24 mà không ảnh hưởng đến việc sử dụng điện thoại và fax. • Công nghệ này tận dụng hạ tầng cáp đồng điện thoại hiện thời để cung cấp kết nối, truyền dữ liệu số tốc độ cao.
  37. ADSL hoạt động như thế nào? • ADSL hoạt động trên đôi cáp đồng điện thoại TA I - truyền thống, tín hiệu được truyền bởi 2 SC T Q modem chuyên dụng, một modem phía người dùng và 1 modem phía nhà cung cấp dịch vụ kết nối • Một thiết bị lọc (Spliter) đóng vai trò tách tín hiệu điện thoại và tín hiệu dữ liệu (data), thiết bị này được lắp đặt tại cả phía người sử dụng và phía nhà cung cấp kết nối. Tín hiệu điện thoại và tín hiệu DSL được lọc và tách riêng biệt cho phép người dùng cùng 1 lúc có thể nhận và gửi dữ liệu DSL mà không hề làm gián đoạn các cuộc gọi thoại
  38. Những ưu điểm của ADSL TA I - SC T • Tốc độ truy nhập cao Q • Tối ưu cho truy nhập Internet • Kết nối liên tục • Không phải quay số truy nhập • Cước phí tuỳ vào chính sách của ISP • Thiết bị đầu cuối rẻ
  39. Nhược điểm • Sự phụ thuộc của tốc độ vào khoảng cách từ TA I nhà thuê bao đến nơi đặt tổng đài ADSL - SC T (DSLAM). Khoảng cách càng dài thì tốc độ đạt Q được càng thấp. Nếu khoảng cách trên 5Km thì tốc độ sẽ xuống dưới 1Mbps. • Trong thời gian đầu cung cấp dịch vụ, nhà cung cấp dịch vụ sẽ không thể đầu tư các DSLAM tại tất cả các tổng đài điện thoại vệ tinh (chi phí rất lớn) vì vậy một số khách hàng có nhu cầu không được đáp ứng • ADSL dùng kỹ thuật ghép kênh phân tầng rời rạc DMT, tận dụng cả 3: tần số, biên độ, pha của tín hiệu sóng mang để truyền tải dữ liệu
  40. Mạng chuyển gói (Packet Switching Network) TA I - • Giới thiệu SC T Q • Kết nối dùng ATM • Kết nối dùng mạng Frame Relay • Kết nối dùng dịch vụ chuyển mạch tốc độ cao (SMDS) • Kết nối dùng chuẩn X.25
  41. Giới thiệu TA I - SC T Q • Mạng chuyển mạch gói hoạt động theo nguyên tắc sau : Khi một trạm trên mạng cần gửi dữ liệu nó cần phải đóng dữ liệu thành từng gói tin, các gói tin đó được đi trên mạng từ nút này tới nút khác tới khi đến được đích.
  42.  QTSC-ITA Giới thiệu thiệu (tt) Giới
  43. Kết nối dùng ATM TA I - SC T Q • Giới thiệu về công nghệ ATM • Các đặc trưng chính của công nghệ ATM • Đánh giá khi dùng kế nối ATM
  44. Giới thiệu về công nghệ ATM TA • Mạng ATM (Cell relay), hiện nay kỹ thuật Cell I - SC T Relay dựa trên phương thức truyền thông Q không đồng bộ (ATM) có thể cho phép thông lượng hàng trăm Mbps. • Đơn vị dữ liệu dùng trong ATM được gọi là tế bào (cell). • Các tế bào trong ATM có độ dài cố định là 53 bytes, trong đó 5 bytes dành cho phần chứa thông tin điều khiển (cell header) và 48 bytes chứa dữ liệu của tầng trên.
  45. Các đặc trưng chính của công nghệ ATM TA I - SC T Q • Mạng chuyển mạch ATM là mạng cho phép xử lý tốc độ cao, dung lượng lớn, chất lượng truy nhập cao, và việc điều khiển quá trình chuyển mạch dễ dàng và đơn giản.
  46. Đánh giá khi dùng kế nối ATM TA I - SC T Q • Công nghệ ATM là công nghệ đang trên quá trình hoàn thiện và chuẩn hoá, nên việc triển khai nó cần được nghiên cứu chuẩn bị rất đầy đủ và chi tiết, để có khả năng duy trì và mở rộng.
  47. Kết nối dùng mạng Frame Relay TA I - SC T Q • Giới thiệu • Các thiết bị dùng cho kết nối Frame Relay • Các đặc tính của Frame Relay • Đánh giá khi dùng kế nối Frame Relay
  48. Giới thiệu TA I - • Frame relay có thể chuyển nhận các SC T Q khung lớn tới 4096 byte (X25 là 128 byte) , và không cần thời gian cho việc hỏi đáp, phát hiện lỗi và sửa lỗi ở lớp 3 (No protocol at Network layer) nên Frame Relay có khả nǎng chuyển tải nhanh hơn hàng chục lần so với X25 ở cùng tốc độ
  49. Các thiết bị dùng cho kết nối Frame Relay TA I - SC T Q • Các thiết bị truy nhập mạng FRAD (Frame Relay Access Device) • Các thiết bị mạng FRND (Frame Relay Network Device)
  50. Các đặc tính của Frame Relay TA I • DLCI (Data link connection identifier) - Nhận - SC T dạng đường nối data. Q • CIR (Committed information rate) - Tốc độ cam kết. • CBIR (Committed burst information rate) - Tốc độ cam kết khi bùng nổ thông tin. • DE bit (Discard Eligibility bit) - Bit đánh dấu Frame có khả nǎng bị loại
  51. Các đặc tính của Frame Relay(tt) TA • Sử dụng FECN (Forward explicit I - SC T congestion notification): Thông báo độ Q nghẽn cho phía thu và BECN (Backward Explicit Congestion Notification) bỏ. • Sử dụng LMI (Local Manegment Interface): để thông báo trạng thái nghẽn mạng cho các thiết bị đầu cuối biết
  52.  QTSC-ITA Các đặc tính của Frame Relay (tt) tính FrameRelay đặc của Các
  53. Đánh giá khi dùng kế nối Frame Relay TA I - • Kết nối LAN to LAN: 31% SC T Q • Tạo mạng truyền ảnh: 31% • Tốc độ cao: 29% • Giá thành hợp lý: 24% • Dễ dùng, độ tin cậy cao: • Xử lý giao dịch phân tán: • Hội thảo video: 5%
  54.  QTSC-ITA Kết dịch nối dùng mạchvụchuyển tốc độ cao (SMDS) • • Đánh giá khidùngkế nốiSMDS Đánh Giới thiệu
  55. Giới thiệu TA I - SC T Q • SMDS (Switched Multimegabit Data Service) mạng chuyển mạch tốc độ cực cao. Giống như mạng frame relay, nó cung cấp các kênh ảo(virtual channels) với tốc độ thấp nhất là T1 đến tốc độ T3 • SMDS dùng phương pháp truy nhập mạng và giao diện theo chuẩn IEEE 802.6. khoảng cách kết nối tối đa là 160 km
  56. Giới thiệu(tt) TA • SMDS dùng công nghệ tế bào kích I - SC T thước cố định gần như ATM, nó thường Q cung cấp dịch vụ dùng tốc độ cao trên T-1, hay T-3 thường là 4, 10, 16, 25 and 34 Mbps. • Mạng trục SMDS có tốc độ DS-3 (45 Mbps), OC-3 (155 Mbps) hỗ trợ tốc độ truyền SONET, và OC-12 (622 Mbps).
  57.  QTSC-ITA Đánh giá khi dùng kế nối nối SMDS dùng kế khi Đánh giá • chỉ giành cho cácIXPlớn. chỉ giành để kếtnối WAN SMDS mạngViệc dùng
  58.  QTSC-ITA Kết nối dùng X.25 chuẩn Kết nối • • Đánh giá khidùngkế nốiX.25 Đánh Giới thiệu
  59.  QTSC-ITA Giới thiệu Giới
  60. Giới thiệu (tt) • Mạng X25 được CCITT công bố lần đầu TA I - tiên vào 1970 SC T Q • X25 kiểm tra lỗi tại mỗi nút trước khi truyền tiếp, điều này làm hạn chế tốc độ trên đường truyền có chất lượng rất cao như mạng cáp quang
  61.  QTSC-ITA Đánh giá khi dùng kế nối nối X.25 dùng kế khi Đánh giá • nghệ truyền số liệu. truyềnnghệsố côngnaycòn phùkhônghợp với Hiện
  62. Kết nối WAN dùng VPN TA I - • Giới thiệu tổng quan về VPN SC T Q • Một số giải pháp kỹ thuật hay dùng trong kết nối VPN • Một số mô hình WAN dùng VPN • Một vài nhận xét khi sử dụng VPN trong kết nối WAN.
  63. Giới thiệu tổng quan về VPN TA I - SC T Q • VPN (Virtual Private Network) là một mạng riêng được xây dựng trên nền tảng hạ tầng mạng công cộng (như là mạng Internet)
  64. Một số giải pháp kỹ thuật hay dùng trong kết nối VPN TA I - SC T Q • IPSec • PPTP • L2TP
  65.  QTSC-ITA Một số mô hình WAN dùng VPN Một số mô hìnhWAN • • DùngVPN kết nối POP về NOC vềkết nối POP DùngVPN Dùng VPN truy nhập về POP hay NOC POP hayvềtruynhập VPN Dùng
  66. Một vài nhận xét khi sử dụng VPN trong kết nối WAN TA • Hạn chế khi VPN dùng công nghệ IPSec là I - SC T làm giảm hiệu năng của mạng vì trước khi gửi Q gói tin đi. đầu tiên, gói tin được mã hóa, sau đó đóng gói vào các gói IP, hoạt động này tiêu tốn thời gian và gây trễ cho gói tin. • Các VPN gateway phải tương thích khi chúng kết nối với nhau. • Đường hầm VPN được tạo ra trong không gian mạng không đồng nhất do đó rất khó đảm bảo chất lượng dịch vụ.
  67. TCP/IP  QTSC-ITA Giao thức kết nối WAN cơ bản trong mạng bản trong cơ WAN kết nối Giao thức • Giao thức PPP PPP thứcGiao
  68.  QTSC-ITA Giao thức PPP Giao thức • • Nguyên tắc làm việc của PPP việctắc làm Nguyên của PPP phầnCác thành
  69. Các thành phần của PPP • Giao thức PPP(Point-to-Point Protocol) TA I - SC T là giao thức dùng để đóng gói dữ liệu Q cho truyền thông điểm điểm • PPP có 3 thành phần chính: – HDLC : Phương pháp đóng gói các khung dữ liệu trên các liên kết điểm -điểm – LCP : để lập cấu hình và kiểm tra kết nối – – NCP : để lập cấu hình các giao thức tầng mạng(network layer protocols).
  70. Nguyên tắc làm việc của PPP TA I - SC T • Giới thiệu Q • Yêu cầu của tầng vật lý • Yêu cầu của tầng PPP link • Giao thức điều khiển PPP link LCP • PPP trong kết nối WAN
  71. Giới thiệu TA I - SC T Q • Để lập kết nối qua liên kết PPP, đầu tiên PPP gửi khung LCP để cấu hình và kiểm tra liên kết dữ liệu(data link). Sau đó liên kết được lập, PPP gửi khung NCP để chọn và cấu hình các giao thức tầng mạng(network layer).
  72. Yêu cầu của tầng vật lý TA I - SC T Q • PPP có khả năng làm việc với nhiều loại giao diện DTE/DCE,chẳng hạn như EIA/TIA-232-C (RS-232-C cũ), EIA/TIA- 422 (RS-422 cũ), EIA/TIA- 423 (RS-423 cũ), V.35
  73. Yêu cầu của tầng PPP link • Flag - Trường cờ 1 byte xác định bắt đầu TA I - hay kết thúc của 1 khung, gồm một chuỗi SC T Q nhị phân 01111110. • Address - Trường địa chỉ 1 byte gồm một chuỗi nhị phân 11111111, địa chỉ broadcast chuẩn, PPP không gán địa chỉ trạm riêng. • Control - Trường điều khiển 1 byte gồm một chuỗi nhị phân 00000011, mà nó điều khiển việc truyền các khung dữ liệu không tuần tự.
  74. Yêu cầu của tầng PPP link (tt) TA I - • Protocol - Trường giao thức 2 byte xác SC T Q định giao thức đóng gói của khung. • Data - có thể là 0 hoặc nhiều byte, giá trị mặc định là 1500 byte. • Frame check sequence (FCS) - Chuỗi kiểm tra khung 16 bit (2 byte). Cho phép PPP phát hiện lỗi
  75. Giao thức điều khiển PPP link LCP TA I - SC • PPP LCP cung cấp phương pháp lập, cấu T Q hình, duy trì và kết thúc kết nối điểm-điểm (point-to-point). LCP trải qua 4 pha khác nhau: – Pha đầu lập, cấu hình,xác định chất lượng kết nối . – Pha xác định chất lượng kết nối. – Pha cấu hình tầng mạng NCP làm việc khi chất lượng kết nối xác nhận là đảm bảo – Pha cuối là kết thúc, khi chất lượng kết nối không đảm bảo hay kết thúc truyền.
  76.  QTSC-ITA PPP trong kết nối nối WAN trongkết PPP • DECnet đều dùngPPP. đều DECnet hayIP, IPX mạngtrong WAN Các kếtnối
  77. Các thiết bị dùng cho kết nối WAN TA I - SC T • Router (Bộ định tuyến) Q • Chuyển mạch • Access Server • Modem • CSU/DSU • ISDN terminal Adaptor
  78.  QTSC-ITA Router (Bộ định định tuyến)Router (Bộ • Đã được trình bày trong mục 2.1.2 mụctrong trình bàyĐã được
  79.  QTSC-ITA Chuyển mạch mạch WAN Chuyển • • Lý do dùngWANchuyểnLý domạch niệm Khái
  80.  QTSC-ITA Khái niệm Khái
  81. Lý do dùng chuyển mạch WAN TA I - • Chuyển mạch WAN được dùng để cùng SC T Q một lúc duy trì nhiều cầu nối giữa các thiết bị mạng, do vậy tức thời tạo được loại đường truyền xương sống (backbone) nội tại tốc độ cao theo yêu cầu. Chuyển mạch WAN có nhiều cổng, mỗi cổng có thể hỗ trợ một tuyến thuê bao riêng với tốc độ theo yêu cầu.
  82. Access Server TA I - SC T Q • Khái niệm • Hoạt động của Access Server • Lý do phải dùng Access Server
  83. Khái niệm TA I - SC T Q • Access server là điểm tập trung cho phép kết nối WAN qua các mạng điện thoại công công cộng(PSTN), mạng đa dịch vụ số(ISDN), hay mạng dữ liệu công cộng (PDN).
  84. Hoạt động của Access Server • Access server làm nhiệm vụ chờ kết nối TA I - SC từ xa đến, và tự nó có thể quay số để T Q kết nối với access server khác. Khi người dùng từ xa, hay mạng xa kết nối vào access server , nếu được phép thì có thể dùng các tài nguyên mạng đang kết nối với access server này, hay access server nay là một trạm chuyển tiếp để kết nối đi tiếp.
  85.  QTSC-ITA Lý do phải dùng Access Server dophải dùng Access Lý Kết nối WAN, truy nhập từ xa từtruynhậpdùng nối WAN,Kết kiệm chi phí nhất kiệm giản, tiếtlà giải pháp đơn access server
  86.  QTSC-ITA Modem • điều chế) chế/giải (Điều MOdulator/DEModulator ghép của là từ Modem
  87. CSU/DSU • CSU/DSU (Channel Service Unit/Data TA I - SC Service Unit) là thiết bị phần cứng tại T Q các điểm đầu cuối của các kênh thuê riêng. Nó làm nhiệm vụ chuyển dữ liệu trên đường truyền thông WAN sang dữ liệu trên LAN và ngược lại. Thiết bị này dùng để kết nối WAN khi dùng các kênh thuê riêng. • CSU/DSU dùng các giao diện chuẩn RS- 232C, RS-449, hay V.xx
  88.  QTSC-ITA ISDN terminal Adapter terminal ISDN • LAN vào WAN quaISDN. mạng vàoWANLAN cuối đểPC haybị đầuLà thiết kếtnối
  89. Đánh giá và so sánh một số công nghệ dùng cho kết nối WAN TA I - SC T Q • Kết nối PSTN(mạng điện thoại công cộng) • Kết nối ISDN(mạng dịch vụ tổng hợp) • Kết nối FRAME RELAY • Kết nối sử dụng công nghệ xDSL
  90.  QTSC-ITA Thiết kế Thiết kế mạng WAN • • Các mô hình an ninh mạngan ninhhình Các mô WANhìnhCác mô
  91.  QTSC-ITA Các mô hình WAN WAN môhình Các • • Các mô hình tôpôhìnhCác mô cấp phânMô hình
  92. Mô hình phân cấp TA I - SC T Q • Khái niệm mô hình phân cấp • Các ưu điểm của mô hình phân cấp • Các tầng trong mô hình phân cấp
  93.  QTSC-ITA Khái niệm cấp niệm mô hìnhphân Khái
  94. Các ưu điểm của mô hình phân cấp TA I - SC T Q • Nhờ mô hình phân cấp người thiết kết WAN dễ tổ chức khảo sát, dễ lựa chọn các phương án, và công nghệ kết nối, dễ tổ chức triển khai, cũng như đánh giá kết quả.
  95. Các tầng trong mô hình phân cấp TA I - SC T Q • Tầng lõi • Tầng phân tán • Tầng truy nhập
  96. Các mô hình tôpô TA I - • Mô hình tôpô (Topology) của WAN gọi SC T Q tắt là mô hình tôpô thực chất là mô tả cấu trúc, và cách bố trí phần tử của WAN cũng như phương thức kết nối giữa chúng với nhau. Phần tử của WAN ở đây là NOC – trung tâm mạng, POP - điểm đại diện của một vùng, hay các LAN, và PC , Laptop,
  97. Các mô hình an ninh mạng TA I - SC T Q • An ninh-an toàn mạng là gì ? • Xây dựng mô hình an ninh-an toàn khi kết nối WAN • Một số công cụ triển khai mô hình an toàn-an ninh • Bảo mật thông tin trên mạng
  98. An ninh-an toàn mạng là gì • Khái niệm TA I - SC • Tính bảo mật T Q • Tính toàn vẹn • Tính sẵn dùng • Việc xác thực • Tin tặc tấn công mạng khi kết nối WAN thế nào? • Làm thế nào để đảm bảo an toàn-an ninh khi kết nối WAN?
  99. Khái niệm • Theo một nghĩa rộng thì an ninh-an toàn TA I - mạng dùng riêng, hay mạng nội bộ là giữ SC T Q không cho ai làm cái mà mạng nội bộ đó không muốn cho làm. • Tài nguyên mà chúng ta muốn bảo vệ là gì ? – Là các dịch vụ mà mạng đang triển khai – Là các thông tin quan trọng mà mạng đó đang lưu giữ, hay cần lưu chuyển; – Là các tài nguyên phần cứng và phần mềm mà hệ thống mạng đó có, để cung ứng cho những người dùng mà nó cho phép,
  100.  QTSC-ITA Tính bảomật • • Cấp phép (authorization)Cấp (authentication)Xác thực
  101.  QTSC-ITA Tính toànvẹn • đổi nếu không đượckhôngphép,đổi nếu sửa việcdụng,vàbảo khôngsử có Đảm
  102. Tính sẵn dùng • Tài nguyên trên mạng luôn được bảo TA I - SC T đảm không thể bị chiếm giữ bởi người Q không có quyền. Các tài nguyên đó luôn sẵn sàng phục vụ những người được phép sử dụng. Những người có quyền có thể dùng bất cứ khi nào, bất cứ lúc nào. Thuộc tính này rất quan trọng, nhất là trong các dịch vụ mạng phục vụ công cộng (ngân hàng, tư vấn, chính phủ điện tử, ).
  103. Việc xác thực TA I - SC T Q • Thực hiện xác định người dùng được quyền dùng một tài nguyên nào đó như thông tin hay tài nguyên phần mềm và phần cứng trên mạng. • Việc xác thực thường kết hợp với sự cho phép, hay từ chối phục vụ.
  104. Tin tặc tấn công mạng khi kết nối WAN thế nào? • Hành động thăm dò (Probe). TA I - SC • Hành động quét (Scan). T Q • Hành động vào một tài khoản (Account Compromise). • Hành động vào quyền quản trị (Root Compromise). • Hành động thu lượm các gói tin (Packet Sniffer). • Hành động tấn công từ chối dịch vụ (Denial of Service)
  105. Hành động thăm dò (Probe) TA I - SC T Q • Hành động thăm dò được đặc trưng bằng việc thử truy nhập từ xa vào một hệ thống hay sau khi vào được hệ thống thử tìm các thông tin của một hệ thống mà không được phép. Thăm dò thường là kết quả của sự tò mò hay sự nhầm lẫn khi truy nhập mạng.
  106. Hành động quét (Scan) TA I - • Hành động quét là việc dùng một công SC T Q cụ tự động để thực hiện thăm dò tìm lỗ hổng an ninh của hệ thống với một số lượng lớn. Hành động quét đôi khi là kết quả của một lỗi hệ thống như hỏng hay mất cấu hình của một dịch vụ. Nhưng cũng có thể là giai đoạn đầu mà tin tặc dùng để tìm các lỗ hổng an ninh mạng chuẩn bị cho một cuộc tấn công.
  107. Hành động vào một tài khoản (Account Compromise). TA I - SC T Q • Hành động vào một tài khoản là hành động dùng một tài khoản không được phép. • Hành động này có thể gây mất dữ liệu quan trọng, hay là hành động dùng trộm dịch vụ, lấy cắp dữ liệu. Người dùng mạng bị tin tặc lấy cắp mật khẩu.
  108. Hành động vào quyền quản trị (Root Compromise) • Hành động vào quyền quản trị là hành TA I - động vào một tài khoản có quyền lớn SC T Q nhất của hệ thống, do vậy có thể gây ra những hậu quả rất nghiêm trọng cho hệ thống. • Từ việc thay đổi toàn bộ cấu hình của hệ thống, đến việc cài đặt các công cụ phá hoại, lấy cắp thông tin, cho đến việc tổ chức các cuộc tấn công lớn.
  109. Hành động thu lượm các gói tin (Packet Sniffer) TA I - • Hành động thu lượm các gói tin là việc SC T Q thực hiện chương trình bắt các gói dữ liệu đang truyền trên mạng do vậy bắt được cả thông tin người dùng, mật khẩu và cả các thông tin riêng tư ở dạng văn bản. Dựa vào các thông tin thu lượm được tin tặc có thể thực hiện tấn công hệ thống.
  110. Hành động tấn công từ chối dịch vụ (Denial of Service) • Mục đích của hành động tấn công từ TA I - SC chối dịch vụ là ngăn cản không cho T Q người dùng hợp pháp sử dụng dịch vụ. Tấn công từ chối dịch vụ có thể thực hiện bằng nhiều cách, như tạo tìm cách sử dụng bất hợp pháp tất cả các tài nguyên mạng như treo các kết nối, tạo luồng dữ liệu lớn, gây tắc nghẽn tại các cổng kết nối,
  111. Làm thế nào để đảm bảo an toàn-an ninh khi kết nối WAN? TA I - SC T Q • Các vấn đề về an ninh-an toàn khi kết nối WAN cần được xem xét và thực hiện sau khi đã chọn giải pháp kết nối, nhất là khi kết nối WAN cho các mạng công tác, mà sử dụng các mạng dữ liệu công cộng, hay mạng internet.
  112. Xây dựng mô hình an ninh-an toàn khi kết nối WAN TA I - • Các bước xây dựng SC T Q – Xác định cần bảo vệ cái gì ? – Xác định bảo vệ khỏi các loại tấn công nào ? – Xác định các mối đe dọa an ninh có thể ? – Xác định các công cụ để bảo đảm an ninh ? – Xây dựng mô hình an ninh-an toàn
  113. Một số công cụ triển khai mô hình an toàn-an ninh TA I - SC T Q • Hệ thống tường lửa 3 phần (Three-Part Firewall System) • Hệ thống phát hiện đột nhập mạng • Hệ thống phát hiện lỗ hổng an ninh
  114. Hệ thống tường lửa 3 phần (Three-Part Firewall System) TA I - SC T Q • Tường lửa là gì? • Chức năng của hệ thống tường lửa
  115. Tường lửa là gì? TA I - SC • Tường lửa trong tiếng Anh là Firewall, là T Q ghép của 2 từ fireproof và wall nghĩa là ngăn không cho lửa cháy lan • Tường lửa là một công cụ phục vụ cho việc thực hiện an ninh - an toàn mạng từ vòng ngoài, nhiệm vụ của nó như là hệ thống hàng rào vòng ngoài của cơ sở cần bảo vệ
  116. Chức năng của hệ thống tường lửa • Tường lửa đặt ở cổng vào/ra của mạng, kiểm TA I - soát việc truy nhập vào/ra mạng nội bộ để SC T Q ngăn ngừa tấn công từ phía ngoài vào mạng nội bộ. • Tường lửa phải kiểm tra, phát hiện, dò tìm dấu vết tất cả các dữ liệu đi qua nó để làm cơ sở cho các quyết định (cho phép, loại bỏ, xác thực, mã hoá, ghi nhật ký, ) kiểm soát các dịch vụ của mạng nó bảo vệ. • Tường lửa bao gồm các thành phần: các bộ lọc hay sàng lọc.
  117.  QTSC-ITA Chức năng của hệ thống tường lửa lửa (tt) năngcủa hệ thốngtường Chức
  118.  QTSC-ITA Hệ thống phát hiện hiện đột nhậpmạng Hệ thốngphát • • Hệ phát hiện đột nhập mạng là gì? mạnghiện độtnhậpHệ phát Giới thiệu
  119. Giới thiệu TA I - • Tường lửa không tự nhận ra được các SC T Q cuộc tấn công và cũng không tự ngăn chặn được các cuộc tấn công đó. Có thể xem hệ thống tường lửa như hàng rào và hệ thống gác cổng vào/ra. • Nếu tường lửa là các trạm gác, thì hệ thống phát hiện đột nhập được xem như hệ thống các camera/video theo dõi, giám sát và là hệ thống báo động.
  120. Hệ phát hiện đột nhập mạng là gì? TA I - • Hệ phát hiện đột nhập IDS (intrusion SC T Q detection system) là hệ thống bao gồm phần mềm và phần cứng thực hiện việc theo dõi, giám sát, thu nhận thông tin từ các nguồn khác nhau, sau đó phân tích để phát hiện ra dấu hiệu (“signature”) của sự đột nhập (dấu hiệu của các hoạt động tấn công hay lạm dụng hệ thống)
  121. Hệ phát hiện đột nhập mạng là gì? (tt) TA I - SC T Q • Theo dõi, giám sát toàn mạng, thu nhận thông tin từ nhiều nguồn khác nhau của hệ thống. • Phân tích những thông tin đã nhận được, để phát hiện những dấu hiệu phản ánh sự lạm dụng hệ thống hoặc những dấu hiệu phản ánh những hoạt động bất thường xảy ra trong hệ thống.
  122. Hệ phát hiện đột nhập mạng là gì? (tt) TA I - SC T Q • Quản lý nhật ký và Kiểm tra cấu hình hệ thống và phát hiện khả năng hệ thống có thể bị tấn công. • Tổ chức tự động phản ứng lại những hành động đột nhập hay gây hại mà nó phát hiện ra, ghi nhận những kết quả của nó.
  123.  QTSC-ITA Hệ phát hiện độtnhậpmạnglàgì? Hệ pháthiện (tt)
  124. Hệ thống phát hiện lỗ hổng an ninh TA I - • Hệ thống phát hiện lỗ hổ an ninh là hệ SC T Q thống gồm các công cụ quét, và thử thăm dò tấn công mạng. Nó được người quản trị mạng dùng để phát hiện ra các lỗ hổng về an ninh an toàn trước khi đưa mạng vào hoạt động, và thường xuyên theo dõi để nâng cấp, vá các lỗ hỏng an ninh.
  125. Bảo mật thông tin trên mạng • Công nghệ mã mật (cryptography) TA I - SC T Q • Hệ mã đối xứng – Khoá mã bí mật. • Hệ mã bất đối xứng – Khoá mã công khai. • Mã hoá và giải mã thông tin: • Chữ ký số • Chuyển đổi khoá
  126. Phân tích một số mạng WAN mẫu TA I - SC T • Phân tích yêu cầu Q • Lựa chọn thiết bị • Tổ chức triển khai
  127. Phân tích yêu cầu • Mục tiêu của hệ thống TA I - SC T Q • Các yêu cầu của hệ thống • Phân lớp mạng cung cấp truy nhập (Access Network) • Phân lớp mạng nội bộ (Internal Network) • Phân mạng Cơ sở dữ liệu, biên tập (Information Editing)
  128. Phân tích yêu cầu (tt) TA I - SC T Q • Các hệ thống đều có độ ổn định, chính xác cao; • Phải bảo toàn được đầu tư ban đầu cho hệ thống của Khách hàng.
  129. Mục tiêu của hệ thống • Hệ thống này được xây dựng trên các thành TA I - phố Hà Nội, Hồ Chí Minh, Đà Nẵng và Cần SC T Q Thơ; • Tại mỗi thành phố, các chi nhánh được kết nối tới trụ sở chính; • Trụ sở chính đặt tại Trung tâm thông tin mạng • Tại các Trụ sở chính, hệ thống mạng được thiết kế mở, cho phép dễ dàng kết nối tới chi nhánh và trụ sở khác qua nhiều cách thức kết nối mạng diện rộng khác nhau hiện có tại Việt Nam như Leased line, vô tuyến trải phổ, ISDN, Frame Relay, VPN, Dialup
  130. Các yêu cầu của hệ thống TA I - SC • Kết nối được với Internet T Q • Có thể truy cập vào trung tâm mạng (NOC) qua mạng điện thoại công cộng PSTN • Hệ thống được thiết kế như một ISP cỡ nhở • Hệ thống kết nối và truy cập phải có tốc độ cao, hoạt động ổn định, đảm bảo các yêu cầu về bảo mật thông tin, an toàn tuyệt đối cho dữ liệu và các thông tin quan trọng
  131. Các yêu cầu của hệ thống (tt) • Hỗ trợ các cách thức kết nối mạng diện rộng TA I - SC với các chi nhánh hiện có tại Việt Nam và T Q tương lai như Leased line, ISDN, Frame Relay, xDSL, dialup qua mạng điện thoại công cộng • Có khả năng mở rộng và đáp ứng được yêu cầu của các ứng dụng đòi hỏi tốc độ cao hiện nay và trong tương lai sẽ triển khai thư viện điện tử, các ứng dụng đa phương tiện, hội nghị viễn đàm, mà không bị phá vỡ cấu trúc thiết kế ban đầu;
  132. Các yêu cầu của hệ thống (tt) • Đường kết nối với Internet phải đảm TA I - SC bảo tốc độ cao, ổn định và độ sẵn sàng T Q cao thông qua hai kênh thuê riêng tới hai nhà cung cấp IXP/ISP khác nhau. • Các thiết bị kết nối và truy nhập được chọn lựa từ các hãng cung cấp thiết bị mạng nổi tiếng có uy tín trên thế giới như Cisco, Nortel, để đảm bảo độ ổn định, độ bền và dễ dàng nâng cấp khi cần thiết.
  133. Network)  QTSC-ITA Phân lớp mạng cung cấp truy nhập (Access nhập (Access truy mạngcung cấp Phân lớp
  134. Phân lớp mạng cung cấp truy nhập (Access Network) (tt) TA • Thiết bị trung tâm của phân mạng cung cấp I - SC T truy nhập bao gồm: Router, VPN, Q • Các máy chủ ứng dụng là các thiết bị quan trọng nhất cho việc xử lý thông tin, cũng là trung tâm của toàn bộ hệ thống thông tin. Chúng chịu trách nhiệm lưu trữ, tính toán, xử lý các thông tin vào/ra của toàn bộ hệ thống. Chúng ta có thể sử dụng giải pháp của nhiều hãng chẳng hạn như : • Các phần mềm của Oracle; Microsoft; IBM;
  135. Phân lớp mạng nội bộ (Internal Network) • Cung cấp các dịch vụ xác thực người TA I - SC dùng (Authentication), tính cước T Q (Billing) và quản lý mạng • Các công cụ chuyên nghiệp có thể được dùng như SyMON đối với hệ SUN Microsystem hay HP OpenView có thể chạy trên hệ Windows,
  136. Phân mạng Cơ sở dữ liệu, biên tập (Information Editing) TA I - • Nơi chứa kho dữ liệu, đồng thời là nơi SC T Q làm việc của ban biên tập. Từ đây các thông tin, dữ liệu được biên tập để cập nhật vào hệ CSDL và Web server. Phân mạng này cũng cần được bảo vệ chống mọi hình thức xâm nhập trái phép từ bên ngoài với mục đích lấy thông tin hay phá hoại hệ thống.
  137. Lựa chọn phương án kết nối TA I • Lựa chọn số 1 là dùng cáp đồng trực - SC T Q tiếp nối Leased line • Dùng kết nối mạng riêng ảo VPN là lựa chon thứ 2, sau khi so sánh chi phí kết nối với phương án 1 • Dùng kết nối ADSL là lựa chọn thứ 3
  138. Lựa chọn thiết bị TA I - SC T Q • Bộ định tuyến - Router • Modem số (xDSL Modem) • Access Server • Modem
  139.  QTSC-ITA Tổ chức triển khai Tổ chức
  140. Tóm tắt chương TA I - • Phần đầu trình bày các kiến thức cơ bản về WAN, các SC T yêu cầu khi thiết kế WAN, các công nghệ và các thiết Q bị dùng cho kết nối WAN. Đồng thời đưa ra so sánh và đánh giá các công nghệ này. • Phần hai trình bày phương pháp thiết kế WAN bao gồm các mô hình phục vụ cho thiết kế và đi sâu vào mô hình an toàn an ninh, là một vấn đề đặc biệt quan trọng khi thiết kế WAN. • Phần cuối trình bày chi tiết mẫu thiết kế hệ thống WAN đơn giản nhưng khá phổ biến cho các cơ quan và tổ chức chính phủ ở Việt Nam hiện nay
  141.  QTSC-ITA Question &Answer Question
  142. QTSC-ITA