HỌC VIỆN CÔNG NGHỆ THÔNG TIN
HỌC VIỆN CÔNG NGHỆ THÔNG TINBÁCH KHOA
BÁCH KHOA
ĐỀ CƯƠNG TƯ VẤN THIẾT KẾ XÂY DỰNG
HỆ THỐNG MẠNG CAMPUS CỦA VIỆN
KHOA HỌC VIỆT NAM
Phiên bản:0.1
Phiên bản:0.1
Đề cương TVTKXD VASTnet
Publication Details
Publication Details
Change Record
Version Date Author Purpose
0.1 Tuesday, 23 December,
2008
Tran Manh Thang
Phan Thanh Liêm
Created document.
Document Properties
File location:
File name: Tai lieu TVTKXD VASTnet v0.1.doc
Last updated:
Document authorisation
Document authorisation
Released by BKACAD
Page 2 of 51
Đề cương TVTKXD VASTnet
Mục lục

2.1.
Hiện trạng hệ thống mạng
Hiện trạng hệ thống mạng
2.1.1.
2.1.1.
Hệ thống mạng Campus
Hệ thống mạng Campus
Mạng Campus của VAST được chia làm 2 thành phần:
• Mạng VAST cũ, được xây dựng từ trước, gồm một số Viện thành viên của
VAST. Bao gồm các tòa nhà:
o A2:
Page 4 of 51
Đề cương TVTKXD VASTnet
o A4: Viện Toán
o A10: Viện Sinh Thái
o A18: Viện Hóa
o A26: Viện Khoa Học Vật Liệu (VKHVL)
o A11: Viện công nghệ sinh học (VCNSH)
o B1
o B2
o Bảo Tàng Tự Nhiên
• Mạng VAST Office, được xây dựng gần đây, phục phụ cho lãnh đạo, phòng
ban chức năng, khối văn phòng. Bao gồm các tòa nhà
o A1: Trung tâm tích hợp dữ liệu (TTTHDL)
o A3: Viện Công nghệ Thông tin (Viện CNTT hay IOIT)
o A7:Một số ban chức năng
o A6:
Trung tâm của hệ thống mạng là tòa nhà A3, từ đây, cáp quang tỏa đi các tòa
nhà chính. Khoảng cách cáp quang là từ 100m đến 800m. Cáp quang sử dụng là cáp
multimode, 2 sợi, 1 sợi chạy chính, 1 sợi dự phòng. Ngoài ra, các tòa nhà phụ nằm

Internet. VAST đang sử dụng domain VAST.AC.VN, tuy nhiên do ISP quản lý.
2.1.3.
2.1.3.
Mô hình định tuyến
Mô hình định tuyến
Chưa có thông tin khảo sát.
Page 7 of 51
Đề cương TVTKXD VASTnet
2.1.4.
2.1.4.
Kết nối Internet và Vinaren
Kết nối Internet và Vinaren
Hiện tại, mới chỉ có một đường Internet duy nhất tại tòa nhà A1, phục vụ kết nối cho
các thành viên. Đường đây là đường Lease line Internet, dung lượng 2Mbps trong
nước là 512Kbps quốc tế. Các thành viên có thể sử dụng đường Internet này thông qua
Proxy, hoặc sử dụng đường ADSL riêng.
Mạng Vinaren chưa được kết nối vào mạng VAST, do vậy người dùng khi muốn sử
dụng mạng Vinaren phải chuyển ra một mạng LAN riêng. Hiện tại VAST cũng vừa
mới trang bị thêm một router Cisco 3845 để kết nối với Vinaren và Internet.
2.2.
2.2.
Hiện trạng các dịch vụ
Hiện trạng các dịch vụ
VAST cung cấp cho người dùng một số dịch vụ như Web, chia sẻ file, Cơ sở dữ liệu.
Trang Web và Email của VAST đang được đặt ở Netnam.
Page 8 of 51
Đề cương TVTKXD VASTnet
2.3.
2.3.
Hiện trạng hệ thống bảo mật

Đề cương TVTKXD VASTnet
Ngày nay, ứng dụng trên Internet rất phát triển, các trang web không chỉ là Text
mà chứa rất nhiều multimedia, flash… khiến cho nhu cầu băng thông Internet tăng
chóng mặt. VAST hiện tại chỉ có 1 đường Internet, dung lượng thấp vừa đáp không
đáp ứng được tính sẵn sàng cao, vừa không đáp ứng được nhu cầu nguyên cứu, hợp
tác.
Việc sử dụng tài nguyên của mạng Vinaren chưa thuận tiện và phổ cập đến người
dùng cuối, do vậy chưa khai thác được nguồn tài nguyên vô cùng to lớn ở mạng
Vinaren.
 Các khuyến nghị:
- Cần có kế hoạch đầu tư dài hạn nâng cấp hạ tầng công nghệ thông tin.
- Phân lớp mạng theo từng khối, mô đun với chức năng của từng khối mạng
được định nghĩa rõ ràng.
- Tăng khả năng dự phòng ở những mô đun quan trọng.
- Cần có quy hoạch địa chỉ IP, DNS thống nhất để các thành viên trong cả
nước có thể kết nối được với nhau.
- Tăng băng thông kết nối internet.
- Quy hoạch lại định tuyến mạng Vinaren và Interent, đảm bảo trong suốt và
phổ cập cho mọi người dùng.
- Cần nâng cấp hệ thống bảo mật:
o Tăng cường các Firewall, IPS có hiệu năng cao
o Phân chia mạng thành các mô đun, để dễ dàng áp dụng các chính
sách bảo mật.
o Chú trọng phát triển, thực thi các chính sách bảo mật trên máy trạm,
vì đây là nguồn lẫy nhiễm virus phổ biến.
Page 10 of 51
Đề cương TVTKXD VASTnet
3.
3.
Yêu cầu của hệ thống mới

Đề cương TVTKXD VASTnet
3.2.
3.2.
Yêu cầu tài nguyên địa chỉ IP, Domain name
Yêu cầu tài nguyên địa chỉ IP, Domain name
Việc cấp phát các tài nguyên như địa chỉ IP, tên miền phải có tính hệ thống. Các tài
nguyên được cấp phát tập trung, một số tài nguyên chia sẻ, một số cấp pháp cho các
thành viên. Các thành viên có thể sử dụng tài nguyên được cấp, tuân thủ một số quy
tắc chung, đảm bảo tính thống nhất.
3.3.
3.3.
Yêu cầu về định tuyến Internet và Vinaren
Yêu cầu về định tuyến Internet và Vinaren
 Một số các yêu cầu:
• Trong suốt với người sử dụng, người dùng không phải thay đổi lại địa chỉ IP
hay thay đổi nút mạng vẫn có thể vào đồng thời cả mạng Internet và Vinaren
• Mạng Internet ở NOC mới phải được nâng cấp về băng thông để đáp ứng đỏi
hỏi ngày càng cao của các ứng dụng trên Internet. Do đòi hỏi về tính sẵn sàng
và ổn định cao để có thể hosting một số dịch vụ, vì vậy cần ít nhất 2 kết nối
tới 2 ISP khác nhau. Một số thành viên có nhu cầu có thể tự trang bị các
đường Internet của riêng mình.
• Mạng Internet phải cung cấp kết nối VPN, giúp cho người dùng đi công tác xa
vẫn có thể sử dụng các tài nguyên mạng chia sẻ như ở trong mạng nội bộ.
Chẳng hạn một cán bộ đi công tác nước ngoài, được cấp quyền VPN, cán bộ
này có thể VPN về mạng nội bộ, sử dụng phần mềm IP phone trên máy labtop
để thực hiện các cuộc gọi nội bộ mà không phải trả phí gọi quốc tế. Người
quản trị mạng ở xa cũng có thể thông qua kênh VPN này để thực hiện các tác
vụ cần thiết.
• Thông thường, các thành viên ở Hà Nội, muốn trao đổi dữ liệu với các thành
viên ở nơi khác sẽ phải thuê một đường truyền Lease line với chi phí cao. Tuy

• Dịch vụ VoIP, Video Conference, khi hệ thống đã có hạ tầng mạng tốt, tốc độ kết
nối với các thành viên cao, địa chỉ Ipv6 được đưa vào sử dụng thì việc sử dụng
VoIP là rất hợp lý. Nó sẽ làm giảm tối thiểu chi phí cho các cuộc gọi bằng điện
thoại tương tự. Dịch vụ này đòi hỏi yêu cầu về Chât lượng dịch vụ (QoS).
• Dịch vụ đào tạo từ xa: Dịch vụ này đòi hỏi về băng thông mạng. Nếu có nhiều
người dùng từ xa cần học, ta có thể sử dụng multicast để giảm yêu cầu về băng
thông.
• Hệ thống Gid Computing, ngày nay với nhiều bài toán kỹ thuật vượt qua khỏi khả
năng tính toán của mốt máy tính do đó hệ thống gid computing ra đời cho phép kết
nối nghiều máy tính với nhau để cung giải quyết một bài toán chung. Là thành
viên của mạng VINAREN, viện VAST yêu cầu xây dựng hệ thống gid
compurting, hệ thống này sẽ được kết nối với các hệ thống gid compurting khác
trên thế giới thông qua hạ tầng mạng của hệ thống. Dịch vụ này thường đòi hỏi địa
chỉ IP public, do vậy sẽ thích hợp nếu ứng dụng Ipv6.
3.5.
3.5.
Yêu cầu về bảo mật
Yêu cầu về bảo mật
Đảm bảo tính bảo mật là yêu cầu cao nhất cho một hệ thống thông tin, đặc biệt là đối
với hệ thống dịch vụ và đào tạo quản lý.
• Hệ thống bảo mật phải quản lý được toàn bộ các kết nối từ bên ngoài và toàn bộ
các kết nối từ các máy tính từ các đơn vị chức năng vào hệ thống máy chủ dịch
vụ, hệ thống máy chủ Internal và kết nối ra ngoài Internet.
• Hệ thống bảo mật phải tự động cập nhật các lỗ hổng về bảo mật, hệ thống phải
tự động phát hiện tấn công và ngăn chặn kịp thời.
Page 14 of 51
Đề cương TVTKXD VASTnet
• Hệ thống phải mềm dẻo trong việc tạo ra các chính sách về bảo mật, các
signature để phát hiện tấn công.
3.6.

thêm 1 hub trung tâm
-Thường sử dụng cho mạng
truyền dẫn quang Sonet, SDH,
WDM hay mạng Token Ring
- Thường sử dụng cho mạng
chuyển mạng gói Ethernet, IP
-Sử dụng trong mạng chuyển
mạch gói gấy loop mạng, nên
- Không bị loop
Page 15 of 51
Đề cương TVTKXD VASTnet
phải có cớ chế chống loop như
Spanning tree ở mạng Ethernet
hay sử dụng các giao thức định
tuyến OSPF, RIP… ở mạng IP
-Khả năng chịu lỗi tốt hơn: Khi
đứt một kết nối mạng vẫn hoạt
động tốt, dứt hai kết nối mới phá
vỡ RING
- Khả năng chịu lỗi kém hơn, đứt
bất kì một kết nối thì nút bị loại
ra khỏi mạng.
-Khó kiểm soát luồng dữ liệu,
khó cô lập và khắc phục sự cố
xảy ra. Nhất là đối với RING lớn.
- Dễ dàng kiểm soát luồng dữ
liệu, dễ dàng cô lập và khắc phục
các lỗi
- Áp dụng vào mạng VAST:
Luồng dữ liệu giữa các thành

Như vậy hạ tầng cáp quang mới sẽ có dạng:
Page 17 of 51
Đề cương TVTKXD VASTnet
\
 Các công nghệ tăng tính sẵn sàng (High Availability)
Để tăng cường tính sẵn sàng và khả năng ổn định của hệ thống mạng, bên
cạnh việc sử dụng các thiết bị mạng có độ tin cậy cao, người ta còn sử dụng dư thừa
các thiết bị cũng như số đường mạng. Phụ thuộc vào giao thức và phần mềm hỗ trợ,
người ta chia ra làm 3 nhóm phương pháp High Availability:
• Cân bằng tải ( Load-sharing , Load balacing, Active/Active): Để thực
hiện 1 nhiệm vụ thì có 2 thiết bị tương tự nhau cùng hoạt động, mỗi thiết
bị hoạt động 50% tải của mạng. Khi 1 thiết bị gặp sự cố thì thiết bị còn lại
sẽ hoạt động 100% tải của mạng. Thời gian downtime của hệ thống tính
bằng giây. Kết hợp với tính năng “statefull failover”, hai thiết bị này luôn
luôn cập nhập trạng thái hoạt động cho nhau, do vậy khi một thiết bị down,
Page 18 of 51
Đề cương TVTKXD VASTnet
các kết nối hiện tại không bị reset lại. Một số ứng dụng thường gặp của
Cân bằng tải:
o Firewall: Firewall của các hãng khác nhau thường có công nghệ HA
Active/Active riêng, Tuy nhiên tính năng này thường đòi hỏi thêm
license.
o Clustering/Stack: ghép nhiều thiết bị lại thành 1 biết bị.
o Thiết bị Load-Balancing cho ứng dụng: sản phẩm của các hãng như
F5, Cisco, Citrix
o Thiết bị Load-Balancing cho nhiều đường Internet
o Các giao thức định tuyến trên router cũng có khả năng cân bằng tải
trên nhiều đường
o Giao thức GLBP (Gateway Load Balancing Protocol): Cân bằng tải
cho nhiều router trong cùng một mạng LAN

trang bị thêm 1 switch dự phòng nguội. Trường hợp 1 switch bị hỏng thì
người ta sẽ đem ra thay thế. Trong trường hợp này, thời gian downtime của
hệ thống lên đến vài giờ. Phương pháp này có chi phí thấp, tuy nhiên
downtime lớn do vậy thường áp dụng cho những hệ thống không đòi hỏi
tính sẵn sàng cao.
Qua việc phân tích những phương trên, chúng tôi khuyến nghị sẽ sử dụng phương
pháp Active/Active hoặc Active/Standby cho các module đòi hỏi tĩnh sẵn sàng
cao như : mô đun Core, mô đun kết nối Internet + Vinaren, mô đun Server, mô
đun mạng cho Lãnh đạo. Các module khác sẽ sử dụng phương pháp dự phòng
nguội.
 So sánh định tuyến tĩnh và định tuyến động
Hiện nay đang có 2 xu hướng sử dụng định tuyến trên mạng như sau:
 Định tuyến tĩnh (static routing): là việc nhà quản trị tự xác định các mạng
đích và điểm đến tiếp (next hop) để tới mạng đích đó, có nghĩa là với một
mạng đích như vậy thì sẽ chuyển gói tin tới Router nào.
Ví dụ như sau về một dòng lệnh định tuyến tĩnh:
ip route 10.192.64.0 255.255.255.0 10.65.4.1
Điều này tương đương với việc ra lệnh cho Router: Với gói tin cần gửi tới
mạng 10.192.64.0 với 24 bit subnet mask thì chuyển gói tin đó tới Router có
địa chỉ 10.65.4.1 để xử lý tiếp.
Với phương pháp này nhà quản trị sẽ phải thao tác bằng tay (manual) nhập các
giá trị định tuyến vào cấu hình Router do đó sử dụng định tuyến tĩnh có một
số bất cập sau:
o Khó quản lý đường đi trên mạng (route): khi số lượng mạng đích rất
nhiều thì số lượng route trên mạng sẽ tăng nhanh chóng. Như ví dụ trên
ta thấy nếu không phải là 1 mạng đích mà là 100 mạng đích thì ta phải
Page 20 of 51
Đề cương TVTKXD VASTnet
gõ bằng tay 100 dòng như vậy vào cấu hình Router, việc này làm cho
bảng định tuyến của Router trở nên phức tạp khó quản lý.

lý để hệ thống không bị những vòng lặp (routing loop) trên mạng
Page 21 of 51
Đề cương TVTKXD VASTnet
Với quy mô của mạng VAST, chúng tôi khuyến nghị sử dụng giao thức OSPF
cho mạng VASTnet. Đây là giao thức có nhiều ưu điểm và được sử dụng phổ
biến nhất trong các mạng LAN/WAN. Với đòi hỏi tính trong suốt của người dùng
khi kết nối vào mạng VINREN và mạng Internet, khả năng kết nối đến nhiều ISP
khác nhau, thì phần mô đun kết nối sẽ sử dụng giao thức BGP định tuyến. Giao
thức BGP cũng là giao thức duy nhất để kết nối giữa các ISP trên mạng Internet,
cũng như giữa các thành viên của mạng VINAREN/TEIN2.
4.1.2.
4.1.2.
Quy hoạch tổng thể
Quy hoạch tổng thể
 Sơ đồ mạng tổng thể:
Page 22 of 51
Đề cương TVTKXD VASTnet

Page 23 of 51
Đề cương TVTKXD VASTnet
Phân tích thiết kế hệ thống:
Xuất phát từ yêu cầu của hệ thống, trong thời gian chuyển đổi này NOC sẽ được đặt
tại tòa nhà A1 và sau này toàn bộ hệ thống sẽ chuyển sang NOC mới được xây dựng
bên cạnh tòa nhà A1. Song về quy hoạch tổng thể của hệ thống vẫn không thay đổi
và được thiết kế như sau:
Hệ thống sẽ được chia ra làm các vùng riêng biệt với các chức năng và vai tò khác
nhau bao gồm các vùng sau:
 Vùng kết nối ra bên ngoài (Outside):
• Vùng này có nhiệm vụ kết nối mạng VAST với các hệ thống mạng khác
như VINAREN,Cpnet và mạng Internet.

• Khả năng dự phòng: Cặp switch Core có khả năng chạy Active/Active, các
thiết bị switch Distribution và Access được dự phòng nguội. Tất các các
liên kết đều là Active/Active hoặc Active/Standby.
• Yêu cầu về thiết bị :
o Core switch có hiệu năng cao, xử lý L2/L3/L4 bằng phần cứng.
o Distribution switch có hiệu năng cao, xử lý L2/L3 bằng phần cứng.
o Core switch và Distribution switch phải có khả năng hỗ trợ có khả
các tính năng cao cấp về QoS(Traffic Shaping, auto QoS for voice
traffic), bảo mật (Private VLAN, DHCP snooping, Dynamic ARP
Inspection, IP source guard, SSHv2, hardware base ACLs…), IPv6
và multicast.
o Access switch có khả năng chia VLAN, hỗ trợ QoS, NAC (Network
Access Controll)
o Các thiết bị mạng hỗ trợ các tính năng cao cấp như QoS, Ipv6,
Multicast…
Chú ý: Cáp quang giữa lớp Core và Distribution phải được tính toán độ dài
sao cho khi dịch chuyển NOC từ A1 sang NOC mới không phải hàn lại cable.
 Vùng máy chủ (Server farm):
• Để có thể áp đặt các chính sách bảo mật khác nhau với nhiều vùng máy
chủ khác nhau, chúng tôi chia vùng máy chủ ra thành 3 vùng:
o Public server: cung cấp các dịch vụ trên Internet (như Mail Server,
Web Server, proxy server, DNS server ).
o Internal Server: Đặc các server nội bộ cho hệ thống mạng VAST
chứa các tài nguyên dùng chung như Web nội bộ, Cơ sở dữ liệu, Tài
liệu chia sẻ; hoặc đặt các máy chủ của thành viên.
o Management Server: Chứa các máy chủ Quản trị như các máy chủ
Quản trị mạng, DHCP, Máy chủ xác thực người dùng, NTP
(Network Timing Protocol) để đồng bộ giờ cho các thiết bị mạng …
• Giữa các vùng máy chủ này đều được đặt Firewall và IPS. Firewall kiểm
soát ở vùng mạng, còn IPS kiểm soát ở tầng ứng dụng.