TIỂU LUẬN

ĐỀ TÀI: “NGHIÊN CỨU KIẾN TRÚC HỆ
THỐNG MẠNG VÀ BẢO MẬT TRUNG TÂM
DỮ LIỆU ÁP DỤNG CHO ABBANK.”

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
HÀ NỘI – 2011

Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Người hướng dẫn khoa học: TS. Đặng Hoài Bắc

Phản biện 1: ……….……………………………… …………………

Phản biện 2: ……………….….……………………….………………
Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công
nghệ Bưu chính Viễn thông
Vào lúc: …… giờ ……. ngày ……. tháng …… năm ………

Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông

1
MỞ ĐẦU

nhanh chóng, an toàn, ổn định và hiệu quả.
Xuất phát từ những cơ sở khoa học và thực tiễn đó, em đã quyết định chọn
đề tài: "Nghiên cứu Kiến trúc hệ thống mạng và bảo mật TTDL áp dụng cho
Ngân hàng An Bình" cho luận văn tốt nghiệp.
Nghiên cứu lý thuyết: Kiến trúc công nghệ mạng và bảo mật TTDL, kết hợp
thực tiễn khảo sát, phân tích, đánh giá tình hình triển khai các giải pháp xây dựng hệ
thống mạng và bảo mật TTDL đáp ứng nhu cầu phát triển CNTT hiện nay của các
nước trên thế giới và tại Việt Nam.
Đồng thời dựa trên cơ sở những kinh nghiệm đã tích lũy được trong thời gian
qua. Từ đó, đề xuất xây dựng hệ thống mạng và bảo mật TTDL đảm bảo sự phát
triển bên vững cung cấp nền tảng hạ tầng ổn định, an toàn bảo mật cho hệ thống
CNTT của Ngân hàng An Bình. Vơi nội dung gồm 3 chương sau:
Chương 1. Tổng quan hệ thống mạng TTDL.
Chương 2. Một số nguyên tắc xây dựng kiến trúc Mạng và Bảo mật TTDL.
Chương 3. Ứng dụng kiến trúc mạng & bảo mật cho TTDL ABBANK.
Em xin chân thành cảm ơn thầy giáo TS. Đặng Hoài Bắc đã nhiệt tình
hướng dẫn em, các cán bộ kỹ thuật Ngân hàng TMCP An Bình đã tạo mọi điều kiện
thuận lợi và có những đóng góp quý báu để em có thể hoàn thành đề tài. Trong đề
tài này chắc không thể tránh khỏi các thiếu sót. Em mong nhận được mọi ý kiến
đóng góp để hoàn thiện hơn nữa nội dung nghiên cứu.

Người thực hiện đề tài xin chân thành cảm ơn!
3
Chương 1 - TỔNG QUAN HỆ THỐNG MẠNG TRUNG TÂM
DỮ LIỆU.
1.1. Giới thiệu.
Trong chương 1 này em sẽ đi vào việc gới thiệu tổng quan về hệ thống mạng

định tuyến rất phức tạp) và có một quy hoạch về địa chỉ IP (IP Plan) phù hợp nhất
với hệ thống mạng.
1.3.4. Độ ổn định (Availability).
Kiến trúc mạng TTDL hỗ trợ các doanh nghiệp một chiến lược toàn diện
nhằm đảm bảo tính liên tục trong kinh doanh. Đảm bảo tính kiên cường, mau phục
hồi của kho dữ liệu:
- Công nghệ kết nối WAN/MAN giữa các TTDL với tốc độ cao, độ trễ thấp.
- Các công nghệ kéo dài mạng lưu trữ (SAN Extension).
- Loại bỏ điểm chết của hệ thống máy chủ (Single-Point of Server Failure).
- Mạng riêng ảo (VPN - Virtual Private Network).
- Hệ thống lựa chọn TTDL (Global Site Selector).
- Độ ổn định (Độ sẵn sàng) được tính toán như sau:
Availability(Intrinsic) A i = MTBF / (MTBF + MTTR)
1.3.5. Khả năng bảo mật
Các giải pháp bảo mật phải được triển khai trên nhiều lớp tại TTDL: Bảo mật
hạ tầng, bảo mật thông tin, Quản trị/quy trình/chính sách, kiểm toán.
1.3.6. Khả năng quản lý (Manageability).
Hệ thống mạng chỉ có thể được vận hành hiệu quả nếu được quản lý tốt. Khả
năng quản lý cần đảm bảo các nội dung sau:
- Quản lý lỗi (Fault Management).
- Quản lý cấu hình (Configuration Management).
- Kiểm toán hệ thống (Accounting Management)
- Quản lý hiệu năng (Performance Management).
- Quản lý an ninh (Security Management).
5
1.4. Kiến trúc tổng quan các vùng trong TTDL.
1.4.1. Hệ thống mạng máy chủ (Server Farm Network).
Đề xuất TTDL một cơ sở hạ tầng mạng IP xây dựng dựa trên hệ thống
chuyển mạch thông minh bằng cách cho phép chuyển mạch lưu trữ thông qua
chuyển mạch IP, tăng cường sức mạnh cơ sở hạ tầng mạng IP cho TTDL.

2.2. Nguyên tắc chung xây dựng hệ thống mạng.
2.2.1. Kiến trúc mạng theo mô hình phân cấp.
Hiện nay có rất nhiều mô hình đang được áp dụng và triển khai trên thế giới
song mô hình mạng phân cấp và thiết kế theo phân hệ hóa được nghiên cứu và phát
triển hơn.
2.2.2. Kiến trúc mạng theo mô hình dự phòng.
Việc thực hiện thiết kế dự phòng sẽ giúp tránh được trường hợp khi có 1
điểm trên hệ thống bị sự cố và ngưng hoạt động sẽ làm ngưng trệ toàn bộ hệ thống.
Do đó, đối với các thiết bị quan trọng, có ảnh hưởng nhiều đến hệ thống cần phải
được áp dụng các biện pháp dự phòng.
2.2.3. Kiến trúc mạng Ảo hóa.
Khi xây dựng TTDL, bước tiếp theo của việc tập trung hóa (Data Center
Consolidation) là bước thực hiện ảo hóa TTDL (Data Center Virtualization). Giai
đoạn ảo hóa này cho phép người quản trị TTDL có thể tạo ra các lớp ảo, trừu tượng
giữa các ứng dụng, hệ thống máy chủ và cơ sở hạ tầng mạng.
Ảo hóa TTDL là việc tạo ra một thực thể logic từ các thực thể vật lý, hoặc là
tạo ra nhiều thực thể logic từ một thực thể vật lý. Ảo hóa mở ra khả năng tận dụng
một cách tối ưu nguồn tài nguyên hệ thống, hay nói cách khác là tăng hiệu suất sử
dụng của hệ thống.
2.2.4. Kiến trúc mạng Module hóa
7
Hệ thống mạng được phân chia theo các khối chức năng và các khu vực rõ
ràng. Các khối chức năng riêng biệt (Core , Management, Edge )
Việc module hóa hệ thống đảm bảo dễ dàng cho việc quản trị, vận hành,
nâng cấp, thay đổi…Việc thay đổi, nâng cấp bên trong mỗi khối không gây ảnh
hưởng đến các khối khác. Với mỗi khối chỉ quan tâm đến các khu vực còn lại trên
khía cạnh giao diện vật lý giao tiếp và dịch vụ cung cấp.
2.3. Kiến trúc hệ thống mạng TTDL
Mô hình Enterprise Composite Network chia hệ thống mạng thành 3 phân
vùng chức năng vật lý cũng như luận điểm khác nhau gọi là 03 phân hệ Enterprise

phân hệ con như sau:
2.3.2.1. Phân vùng kết nối Internet
Phân hệ này sẽ bao gồm các thiết bị như sau: Hệ thống router kết nối
Internet. Phân hệ firewall. Hệ thống IPS. Hệ thống máy chủ web và mail. Hệ thống
switch.
2.3.2.2. Phân vùng kết nối tới đối tác (Extranet Network)
Phân hệ Extranet được dùng để kết nối tới các đối tác như công ty chứng
khoán, sàn vàng, SBV, liên minh thanh toán thẻ, thanh toán đối soát và bù trừ.
9
2.3.2.3. Phân vùng kết nối mạng diện rộng WAN
Phân hệ này có chức năng cung cấp các kết nối đến các chi nhánh, văn phòng
của doanh nghiệp. Hệ thống router sẽ cung cấp các đường kết nối cho các chi nhánh
cấp 1, đường kết nối với các chi nhánh, văn phòng được dùng là đường kết nối số
liệu trực tiếp và yêu cầu có dự phòng đường truyền. Nếu xảy ra sự cố, mọi thông
lượng sẽ được chuyển sang đường kết nối dự phòng.
2.4. Kết luận.
Chương 2 đã đi phân tích kiến trúc mạng của TTDL với tảng vững mạnh có
khả năng mở rộng, về những nguyên tắc chung xây dựng hệ thống mạng như: kiến
trúc theo mô hình phân cấp, dự phòng, ảo hóa, module hóa; từ đó đi đến phân tích
chuyên sâu làm rõ kiến trúc của từng phân vùng trong mô hình hệ thống mạng và
bảo mật của TTDL, đặt cơ sở nền móng cho công việc xác định mô hình thiết kế áp
dụng cho ABBANK ở chương tiếp theo.
vào chính sách và sự hỗ trợ của các ISP sở tại. Với giải pháp kết hợp trên sẽ giúp
cho hệ thống định tuyến Internet trung tâm tại ABBank được xây dựng với kiến trúc
dự phòng hoàn chỉnh. Mô hình kết nối của giải pháp sẽ được minh hoạ tổng quát
qua sơ đồ kết nối vật lý như sau:
3.2.2.1.3. Giải pháp chia tải cho hệ thống internet.
Cơ chế hoạt động của sự chia tải Load Sharing trong môi trường mạng kết
nối với 2 ISP của hệ thống định tuyến Internet trung tâm tại ABBank thông qua
giao thức BGP được minh hoạ qua sơ đồ kết nối tổng quát như sau:

Hình 3.7 Mô hình cấu hình BGP Load Sharing
12
3.2.2.2. Thuyết minh kỹ thuật cho vùng mạng đối tác (Module Extranet)
Trong Module này các thành phần sử dụng đều được thiết kế chạy dự phòng,
lưu lượng dữ liệu trước khi vào mạng sẽ được kiểm soát bởi hai Firewall có thể
ngăn chặn ngay từ bên ngoài những phần tử truy cập vào mạng với ý định xấu.
3.2.2.3. Thuyết minh kỹ thuật cho vùng mạng WAN (Module WAN).
Theo như phân tích ở trên, hệ thống mạng được thiết kế theo mô hình phân
cấp, ở phần này tập trung phân tích yêu cầu cho Module WAN đó là : tách hệ thống
Core Router ra khỏi hệ thống Router đấu nối xuống các chi nhánh, phòng giao dịch
và máy ATM (WAN module). Để làm được như vậy, em cũng phân cấp hệ thống
WAN thành 03 mức là Core, Distribution và Access.
3.2.2.3.1. Vùng mạng diện rộng lõi (Module WAN Core)
Hiện tại, mạng truyền dẫn core của hệ thống bao gồm các thiết bị định tuyến
đặt tại hội sở chính tại Hà Nội và hai trung tâm miền tại Đà Nẵng và thành phố Hồ
Chí Minh.
Thực hiện truyền dữ liệu bằng IP Routing Layer-3 trên lớp mạng Backbone.
Router nhận dạng các backbone peer dựa trên địa chỉ IP Address kết hợp với định
tuyến lớp 3 thông minh.
3.2.2.3.2. Phân vùng mạng diện rộng phân phối (Module WAN Distribute)
Cung cấp kết nối cho lớp Access để giảm tải cho Core Router Thực hiện

Fast, BPDU Gurad, Root Guard, Loop Guard, Backbone Fast….
3.2.2.4.2. Thuyết minh bảo mật thiết bị mạng người dùng.
Một vài phương án bảo mật tại Module này có thể được liệt kê như sau:
- Sử dụng 802.1x Authentication
- Sử dụng Dynamic ARP Inspection
- Sử dụng Port Security
- Sử dụng Private VLAN
- Sử dụng Storm-Control.
- Sử dụng DHCP Snooping
3.2.2.5. Thuyết minh kỹ thuật cho vùng Mạng Lõi (Module Core).
Phân vùng Mạng Lõi tại ABBANK được dùng làm trung tâm để kết nối tới
toàn bộ các vùng khác trên mạng.
3.2.2.5.1. Tối ưu hóa chuyển mạch
Để tối ưu xử lý theo kiến trúc chuẩn và tận dụng năng lực xử lý của thiết bị,
thiết bị Mạng Lõi core sẽ chia thành các thiết bị ảo khác nhau. Đồng thời sử dụng
công nghệ FCoE chuyển mạch lưu trữ trên nền Ethernet kết hợp với VDC để chia
thiết bị chuyển mạch mạng lõi thành phân vùng chuyển mạch cho lưu trữ theo mô
hình 3.19 dưới đây

Hình 3.19 Mô hình ảo hóa thiết bị chuyển mạch mạng lõi
15
Như chúng ta đã biết, giới hạn lớn nhất của công nghệ Etherchannel đó là nó
chỉ hoạt động giữa 2 thiết bị. Và khi sử dụng STP giữa các Switch do cơ chế chống
loop của STP nên dữ liệu chỉ chạy qua một kết nối từ cổng fowarding, cổng còn lại
sẽ ở trạng thái block, do đó không tận dụng được tất cả các kết nối uplink giữa các
switch. Để giải quyết vấn đề này đề xuất sử dụng giải pháp vPC thay thế cho STP
như vậy dữ liệu sẽ được loadbalacing trên cả 2 đường, không chỉ cho phép tận dụng
được tối đa khả năng của các đường truyền cũng như các cổng trên switch mà vPC
còn cho phép thời gian hội tụ rất nhanh khi một trong các kết nối vPC bị lỗi. Vậy
trong mô hình kết nối hình tam giác, một thiết bị kết nối tới 2 thiết bị khi đó công

11
/1.000.000.000 = 100
Metric cho đường có tốc độ 10Gbps là: 10
11
/10.000.000.000 = 10
Với việc phân biệt được Metric khác nhau trên các đường link khác nhau sẽ
giúp cho OSPF hoạt động chính xác hơn.
3.2.2.5.3. Tối ưu hóa bảo mật thiết bị mạng lõi.
Như đã phân tích ở nhiều mục trước, Module Core được thiết kế sao cho tối
ưu hóa được khả năng chuyển mạch và định tuyến.
- Lớp hai: Database VLAN sẽ được cấu hình password để chống lại việc
đồng bộ trái phép.
- Lớp ba: Giao thức OSPF sẽ được yêu cầu xác thực MD5.
3.2.2.5.4. Tối ưu hóa dự phòng cho gateway
Đề giải quyết vấn đề down Gateway, người ta đã xây dựng một thuật toán tự
động chuyển đổi Gateway khi một trong các gateway bị down. Có rất nhiều giao
thức dự phòng dành cho Gateway mà các thiết bịi hỗ trợ chính là HSRP, VRRP,
GLBP, IRDP. Tuy nhiên, với hệ thống mạng tại ABBank em đề xuất sử dụng GLBP
làm giao thức dự phòng cho Gateway. Em sẽ phân tích kết nối tới một Module làm
ví dụ để có thể hình dung được cơ chế hoạt động của giao thức dự phòng này.
3.2.2.6. Thuyết minh kỹ thuật phân vùng mạng Lưu trữ.
Hệ thống lưu trữ: bao gồm các thiết bị lưu trữ, hệ thống máy tính, hay các
ứng dụng chạy trên nó, và một phần rất quan trọng là các phần mềm điều khiển, quá
trình truyền thông tin qua mạng.
17
3.2.3. Tính toán phân hoạch IP
3.2.3.1. Nguyên tắc phân hoạch địa chỉ IP.
Nhằm hỗ trợ tối đa khả năng mở rộng của hệ thống, sử dụng địa chỉ lớp A
(10.0.0.0 – 10.255.255.255) để phân chia cho toàn bộ hệ thống mạng.
3.2.3.2. Dự kiến quy hoạch lớp mạng của TTDL.

IV 10.96.0.0/11 255.224.0.0 Địa chỉ dùng cho mạng WAN
IV.1 10.96.0.0/16 255.255.0.0 WAN chính
IV.2 10.100.0.0/16 255.255.0.0 WAN dự phòng
3.2.4. Thiết kế hệ thống an ninh tại TTDL.
3.2.4.1. Mô hình thiết kế hệ thống an ninh mạng TTDL.
Đảm bảo an ninh thông tin là một yêu cầu rất quan trọng đối với hệ thống
mạng của ngân hàng. Hệ thống cần đảm bảo an toàn thông tin từ trong ra ngoài, từ
ngoài vào trong, và từ vùng biên mạng tới vùng lõi mạng. Hạ tầng bảo mật đảm
bảo tính toàn vẹn, tính sẵn sàng, an toàn, được chia thành các miền an ninh như
sau:
- Miền an ninh thiết bị người sử dụng
- Miền an ninh phân vùng mạng truy nhập.
- Miền an ninh phân vùng mạng lõi.
3.2.4.2. Thuyết minh thiết kế hệ thống an ninh mạng
3.2.4.2.1. Bảo mật tại lớp mạng biên.
Phân hệ mạng biên bao gồm những phân vùng: WAN, Extranet (partners),
Internet, DMZ. Đây là miền quan trọng tham gia vào tất cả các dịch vụ và cũng là
miền tiềm ẩn nhiều nguy cơ nhất.
Để giải quyết các vấn đề trên kiến nghị sử dụng giải pháp bảo mật là sự kết
hợp các hệ thống khác nhau như: Firewall, Proxy, Web Sercurrity Gateway, IPS,
DLP, Web Application Firewall để đảm bảo an toàn các ứng dụng của Ngân hàng.
19
3.2.4.2.2. Bảo mật mạng lõi.
Vùng mạng lõi nơi ngăn cách giữa hệ thống vùng máy chủ quan trọng
(Server farm) và vùng mạng biên, do vậy rất cần xây dựng hệ thống bảo mật với sự
kết hợp giữa tường lửa, IPS, hệ thống nhận dạng truy nhập để kiểm soát truy cập từ
vùng mạng biên vào vùng mạng lõi và kiểm soát truy cập của người sử dụng các
ứng dụng, dịch vụ được cài đặt trên các máy chủ trong vùng server farm.
Kiến nghị sử dụng hệ thống bảo mật vùng mạng lõi với nhiều lớp bảo vệ, và
của hãng khác so với giải pháp bảo mật cho phân hệ mạng biên :

như hoạt động nghiệp vụ của ABBank, Đề xuất sử dụng giải pháp định tuyến động
OSPF. Về cơ bản các OSPF Area dùng cho Backbone và OSPF Area dùng cho mỗi
miền sẽ được cấu trúc như sau:
3.2.5.5. Phương án cân bằng tải và dự phòng
Như đã phân tích ở trên, hệ thống mạng của ngân hàng ABBANK sử dụng
giao thức định tuyên OSPF. Đây là giao thức định tuyến cho phép tự động cân bằng
tải và dự phòng đường truyền. Tuy nhiên, muốn OSPF có thể cân băng tải được chỉ
khi toàn bộ các đường kết nối WAN phải có giá trị Cost bằng nhau. Nếu chúng ta
manually thay đổi giá trị cost trên các đường truyền có tốc độ khác nhau để có cost
bằng nhau sẽ khiến cho quá trình load balancing không hiệu quả.
Giải pháp đưa ra là: Tạo Tunnel và cho OSPF chạy trên các Tunnel đó thay
vì chạy trực tiếp trên interface kết nối.
3.2.5.6. Phương án sử dụng tối ưu hóa đường truyền (Quality of Service).
Cách thức xây dựng QoS sẽ được tuân thủ theo 3 bước dưới đây:
- Bước 1: Xác định loại ứng dụng cần được làm QoS (hay còn gọi là
Classification).
- Bước 2: Đánh dấu các ứng dụng cần làm QoS
- Bước 3: Thiết lập policy cho các ứng dụng cần làm QoS
- Bước 4: Gán policy vào cổng giao tiếp.
21
Bảng 3.2 Phân loại dữ liệu thực hiện QoS
Loại dữ liệu Mô tả Cách thức cấu hình
Voice
Khi không cấu hình QoS cho loại
dữ liệu này một số lỗi sẽ xảy ra
như: Cuộc gọi bị disconnect, bị
méo tiếng, người nghe không biết
là người gõi đã kết thúc hay chưa
Sử dụng cách thức cấu hình là LLQ
(Low Latency Queuing).

ABBANK tại chương 3, trong mô hình thiết kế yêu cầu tuân thủ các nguyên tắc,
hay các tiêu chuẩn quốc tế trong việc xây dựng kiến trúc mạng TTDL như: tính sẵn
sàng, khả năng mở rộng, bảo mật, …cùng với đó là đưa ra khuyến nghị sử dụng
giao thức định tuyến đảm bảo phù hợp, phương thức bảo mật cho từng phân vùng
22
đảm bảo có chiều sâu, và các giải pháp đảm bảo tính ổn định, sẵn sàng của hệ thống
như STP, GLBP, VPC, VDC. Từ đó hòan thiện được mô hình, giải pháp, cách thức
triển khai hệ thống mạng và bảo mật TTDL của ABBANK.

KẾT LUẬN VÀ KHUYẾN NGHỊ
Qua bài viết có thể thấy TTDL đóng vai trò tối quan trọng trong hạ tầng
Công nghệ thông tin của doanh nghiệp nói chung và của các doanh nghiệp hoạt
động trong lĩnh vực Tài chính, Ngân hàng và Bảo hiểm nói riêng. Xu hướng phát
triển của TTDL bao gồm xu hướng tập trung hóa (Consolidation), ảo hóa
(Virtualization) và tự động hóa (Automation). Khi xây dựng TTDL, ba yếu tố cốt
yếu của TTDL cần được đảm bảo, đó là khả năng bảo vệ (Protect), khả năng tối ưu
hóa (Optimization), và khả năng phát triển (Grow). Đồng thời giải pháp Trung tâm
dư liệu là sự kết hợp của rất nhiều công nghệ khác nhau, từ công nghệ mạng, công
nghệ lưu trữ đến công nghệ truyền dẫn.
Đề tài đã giới thiệu kiến trúc mạng theo các tiêu chuẩn quốc tế SONA đi tới
phân tích các phân vùng mạng trong TTDL qua đó đã kiến nghị áp dụng cho hệ