0

ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ
ĐẶNG THỊ THÙY TRANG

NGHIÊN CỨU ĐỀ XUẤT GIẢI PHÁP TRUY CẬP INTERNET AN
TOÀN CHO MẠNG NỘI BỘ TRONG CÁC CƠ QUAN NHÀ NƢỚC
LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

NGƢỜI HƢỚNG DẪN KHOA HỌC: TS. LÊ QUANG MINH
Hà Nội - 2014
2

LỜI CAM ĐOAN
Tôi xin cam đoan luận văn với đề tài: “Nghiên cứu đề xuất giải pháp truy cập
Internet an toàn cho mạng nội bộ trong các cơ quan nhà nước” hoàn toàn là kết quả
nghiên cứu của chính bản thân tôi và chưa được công bố trong bất cứ một công trình
nghiên cứu nào của người khác. Trong quá trình thực hiện luận văn, tôi đã thực hiện
nghiêm túc các quy tắc đạo đức nghiên cứu; các kết quả trình bày trong luận văn là sản
phẩm nghiên cứu, khảo sát của riêng cá nhân tôi; tất cả các tài liệu tham khảo sử dụng
trong luận văn đều được trích dẫn tường minh, theo đúng quy định.
Tôi xin hoàn toàn chịu trách nhiệm về tính trung thực của số liệu và các nội
dung khác trong luận văn của mình./.

Hà Nội, ngày 10 tháng 06 năm 2014
Tên tác giả

1.3.3.Tình hình tại Việt Nam 15
1.3.4.Nguyên nhân 16
1.3.4.1.Năng lực kỹ thuật 16
1.3.4.2.Đầu tư thiếu đồng bộ 16
1.3.4.3.Việt Nam là một điểm ưa thích của hacker quốc tế 16
1.3.4.4.Thiếu công nghệ phù hợp với hoàn cảnh Việt Nam 17
Chƣơng 2: NGHIÊN CỨU CÔNG NGHỆ ẢO HÓA ĐỂ ĐẢM BẢO AN TOÀN
THÔNG TIN 18
2.1. Giới thiệu về ảo hóa 18
2.1.1. Ảo hóa và những vấn đề liên quan 18
2.1.1.1. Ảo hóa là gì? 18
2.1.1.2. Lợi ích của ảo hóa 19
2.1.1.3. Quá trình phát triển và các xu thế hiện nay trên thế giới 20
2.1.2. Phân loại ảo hóa 21
2.1.2.1. Network Virtualization (Ảo hóa hệ thống mạng) 21
4

2.1.2.2. Storage Virtualization (Ảo hóa hệ thống lưu trữ) 23
2.1.2.3. Application Virtualization (Ảo hóa ứng dụng) 25
2.1.2.4. Server Virtualization (Ảo hóa hệ thống máy chủ) 27
2.2. Các công nghệ hỗ trợ ảo hóa 29
2.2.1. Công nghệ máy ảo 29
2.2.2. Công nghệ Raid 30
2.2.2.1. Khái niệm Raid 30
2.2.2.2. Lịch sử ra đời và phát triển của Raid 31
2.2.2.3. Các chuẩn Raid 31
2.2.2.4. Các loại Raid 32
2.2.3. Công nghệ lưu trữ mạng Sans 35
2.2.4. Công nghệ High Availability 35
2.2.4.1. Yêu cầu của Vmware High Availability 36

3.3.1. Giới thiệu Remote Desktop Protocol (RDP) 57
3.3.2. Cơ chế làm việc của giao thức RDP 57
3.3.2.1. Connection Initiation 57
3.3.2.2. Basic Settings Exchange 58
3.3.2.3. Channel Connection 59
3.3.2.4. RDP Sercurity Commencement 59
3.3.2.5. Secury Settings Exchange 59
3.3.2.6. Licensing 59
3.3.2.7. Capabilities Negotiation 60
3.3.2.8. Connection Finalization 60
Chƣơng 4: MÔ HÌNH MẠNG LAN TRONG GIẢI PHÁP V-AZUR BẢO VỆ AN
NINH DỮ LIỆU CHO MẠNG NỘI BỘ KHI TRUY CẬP INTERNET VÀ LÀM
VIỆC TỪ XA QUA INTERNET 61
4.1.Phân chia mạng nội bộ và bài toán truy cập Internet, làm việc từ xa an toàn 61
4.1.1. Phân chia mạng nội bộ 61
4.1.2. Bài toán truy cập Internet và làm việc từ xa an toàn 62
4.2. Nhƣợc điểm và các vấn đề của các giải pháp hiện có 62
4.2.1.Nhược điểm của các giải phảp hiện có 62
4.2.2. Các vấn đề với RDP và VDI 62
4.3. Giải pháp V-Azur bảo vệ an ninh dữ liệu cho mạng nội bộ khi truy cập
Internet và làm việc từ xa qua Internet 63
4.3.1. Mô hình kiến trúc hệ thống mạng LAN trong giải pháp V-Azur 63
4.3.2. Mô tả giải pháp công nghệ VCM12 sử dụng trong V-Azur 64
4.3.2.1. Bản chất kỹ thuật của giảp pháp 64
4.3.2.2. Truy cập Internet an toàn 65
4.3.2.3. Làm việc từ xa an toàn 67
4.3.2.4. Yêu cầu kỹ thuật 68
4.4. Đánh giá công nghệ VCM12 69
4.4.1. Tính mới, ưu việt và tiên tiến về công nghệ 69
4.4.2. So sánh với trình độ công nghệ hiện có tại Việt Nam và trên thế giới 69

LDAP
Lightweight Directory Access
Protocol
Giao thức ứng dụng truy cập các
cấu trúc thư mục
MPLs
Multiprotocol Label Switching
Chuyển mạch nhãn đa giao thức
NAS
Network Attached Storage
Mạng lưu trữ đính kèm
OSI
Open Systems Interconnection
Mô hình tham chiếu kết nối các
hệ thống mở
RAID
Redundent Array of Independent
Disks
Sự tận dụng các phần dư trong
các ổ cứng độc lập
RDP
Remote Desktop Protocol
Giao thức làm việc từ xa
SAN
Storage Area Network
Mạng lưới khu vực lưu trữ
TCF
Thin- Client Framework
Khung làm việc thin-client
TCO

Bảng 3.4: Tài nguyên phần cứng cho hai loại kịch bản 45
Bảng 3.5: Tổng kết các công nghệ trình diễn phân tán 51
Bảng 3.6: Browser clients footprints 54
Bảng 3.7: Tổng kết công nghệ trình diễn từ xa 56
8

DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ
Hình 1.1: Các thành phần chính của mạng LAN 12
Hình 1.2: Các loại người sử dụng trong mạng LAN hiện nay 12
Hình 2.1: Một server vật lý trong hệ thống ảo hóa 18
Hình 2.2: Ảo hóa lớp mạng 22
Hình 2.3: Kiến trúc ảo hóa mạng của Cisco 23
Hình 2.4: Áo hóa hệ thống lưu trữ 24
Hình 2.5: Host-based Storage Virtualization 24
Hình 2.6: Storage-device based Storage Virtualization 25
Hình 2.7: Network-based Storage Virtualization 25
Hình 2.8: Mô hình Application Streaming của Citrix 26
Hình 2.9: Kiến trúc Host-based 28
Hình 2.10: Kiến trúc Hypervisor-based 29
Hình 2.11: Sơ đồ truy cập tài nguyên phần cứng của máy ảo. 30
Hình 2.12. Sơ đồ hoạt động của chuẩn Striping 32
Hình 2.13: Sơ đồ hoạt động của chuẩn Duplexing 32
Hình 2.14: Sơ đồ hoạt động của Raid level 0 33
Hình 2.15: Sơ đồ hoạt động của Raid 1 33
Hình 2.16: Sơ đồ hoạt động của Raid 5 34
Hình 2.17: Sơ đồ hoạt động của Raid 1-0 34
Hình 2.18: Sơ đồ lưu trữ San 35
Hình 2.19: Sơ đồ hoạt động của Vmware High Availability 36
Hình 2.20: Công nghệ ảo hóa ứng dụng 37
Hình 2.21: Ảo hóa ứng dụng trong mô hình Thin Client Architecture 39

Có hai nhu cầu ngày càng tăng trong các cơ quan nhà nước và trong các doanh
nghiệp là truy cập Internet và làm việc từ xa. Việc cấm tuyệt đối sử dụng Internet là đi
ngược lại với chủ trương ứng dụng CNTT để hiện đại hóa đất nước. Hiện nay, các cán
bộ, công chức đã có thói quen tải về các tài liệu quy phạm pháp luật, biểu mẫu từ các
website do chính Chính phủ cung cấp để giúp cho việc soạn thảo văn bản và công tác
nghiệp vụ. Việc đọc tin tức, trau dồi kiến thức sử dụng tài nguyên trên mạng đã trở
thành một thói quen và là phương tiện làm việc hữu hiệu không thể thiếu đối với cán
bộ. Mọi biện pháp ngăn cấm đều dẫn tới các biện pháp “vượt rào” tự phát, làm tình
hình càng thêm phức tạp. Bên cạnh đó, các cán bộ lãnh đạo đi công tác xa hoặc làm
việc ở nhà cũng có nhu cầu truy cập vào mạng nội bộ để xử lý công văn, đơn thư và
đọc hồ sơ tài liệu.
Việc sử dụng 2 máy tính, hoặc không cho nối mạng không hề làm tăng tính an
toàn. Do nhu cầu công việc, cán bộ công chức thường sử dụng thiết bị lưu trữ theo
cổng USB, thiết bị truy cập 3G,… hoặc chuyển hoàn toàn sang dùng máy tính cá nhân
riêng và đưa tài nguyên, tài liệu, số liệu bí mật sao chép lung tung làm phá vỡ mọi quy
định và chính sách bảo mật nội bộ đã có. Bảo mật là vấn đề của con người. Nếu không
có nhận thức phù hợp, cùng với các biện pháp kỹ thuật làm công việc trở nên tiện lợi
và một chính sách rõ ràng, dễ thực hiện, các biện pháp thuần túy hành chính sẽ vô ích,
gây cản trở tiến bộ và gây lãng phí của cải của Nhà nước mà tình hình giữ bảo mật an
ninh sẽ ngày càng khó kiểm soát.
Xuất phát từ nhu cầu thực tiễn, với đề tài: “Nghiên cứu đề xuất giải pháp truy
cập Internet an toàn cho mạng nội bộ trong các cơ quan nhà nước”, luận văn đi sâu
nghiên cứu tìm hiểu: Tình hình bảo vệ an toàn an ninh dữ liệu trong mạng LAN và kết
nối Internet tại Việt Nam, xây dựng bộ kiến trúc an toàn an ninh thông tin phù hợp với
điều kiện hiện nay của Việt Nam; Nghiên cứu công nghệ ảo hóa để đảm bảo an toàn
10

thông tin, ảo hóa ứng dụng đảm bảo sử dụng an toàn thông tin và tiện lợi trong mạng
LAN; Tìm hiểu công nghệ thin clients và các giao thức thin clients: Remote Desktop
Protocol (RDP), Independent Computing Architecture (ICA) Protocol,…; Nghiên cứu

dựng.
Xin chân thành cảm ơn!
Đặng Thị Thùy Trang
11

Chƣơng 1: TỔNG QUAN VỀ VẤN ĐỀ BẢO VỆ AN TOÀN AN NINH DỮ
LIỆU TRONG MẠNG LAN VÀ KẾT NỐI INTERNET TẠI VIỆT NAM
1.1.Trọng tâm ứng dụng CNTT 2011-2015
Căn cứ Quyết định số 1605/QĐ-TTg ngày 27 tháng 8 năm 2010 của Thủ tướng
Chính phủ phê duyệt Chương trình quốc gia về ứng dụng CNTT trong hoạt động của
cơ quan nhà nước giai đoạn 2011-2015; Trọng tâm ứng dụng CNTT giai đoạn 2011 –
2015: Quản lý hành chính, cơ sở dữ liệu quốc gia, an toàn an ninh mạng.
Quản lý hành chính: Quản lý văn bản tích hợp trong toàn quốc tới cơ quan
nhà nước các cấp, bảo đảm an toàn, an ninh, tính pháp lý của văn bản trao đổi; Thư
điện tử quốc gia; Giao ban điện tử đa phương tiện giữa Thủ tướng Chính phủ với các
Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân các tỉnh, thành phố
trực thuộc Trung ương; Chỉ đạo, điều hành của Chính phủ trên Mạng truyền số liệu
chuyên dùng của các cơ quan Đảng, Nhà nước; Quản lý, theo dõi chương trình công
tác của Chính phủ; Mạng thông tin điện tử phục vụ trao đổi thông tin giữa Văn phòng
Chính phủ, Văn phòng Trung ương Đảng, Văn phòng Quốc hội, Văn phòng Chủ tịch
nước; Cổng thông tin điện tử Chỉnh phủ; Tài chính tích hợp, Giám sát thị trường tài
chính; Nộp tờ khai thuế qua mạng Internet; Triển khai thủ tục hải quan điện tử; Ứng
dụng thương mại điện tử trong mua sắm Chính phủ; Quản lý thông tin đầu tư nước
ngoài….
Các cơ sở dữ liệu quốc gia: Thủ tục hành chính trên Internet; Cán bộ, công
chức, viên chức; Kinh tế công nghiệp và thương mại; Tài nguyên và môi trường; Biên
giới lãnh thổ; Các dự án đầu tư; Doanh nghiệp; Dân cư; Tài chính
An toàn an ninh mạng: Các hệ thống cơ sở dữ liệu và quản lý hành chính đều
cần được bảo vệ an toàn.
1.2.Yêu cầu thực tiễn về bảo vệ an toàn an ninh mạng LAN và kết nối Internet tại

P2: Máy trạm chỉ có quyền truy cập vào các tài nguyên thường, các tài liệu
công khai. Chú ý một số mạng, tùy theo nhu cầu công việc, có thể không cần phải có
máy P2.
`
P1
`
P2
MÁY LÀM VIỆC
TỪ XA
Máy chủ
ứng dụng
Tường lửa

Hình 1.2: Các loại ngƣời sử dụng trong mạng LAN hiện nay
13

Ứng dụng chủ yếu hiện nay cần bảo mật là các ứng dụng hỗ trợ tác nghiệp (theo
mô hình Client-Server chạy trên nền Desktop hoặc theo mô hình Web-based). Trong
cả hai trường hợp, các tài liệu được lưu trữ trên “Máy chủ ứng dụng”. Các lỗ hổng an
ninh cần xử lý của mô hình này là:
- Cần phải ngăn chặn kết nối trực tiếp của P1 vào Internet để đảm bảo các
máy tính chứa tài liệu mật không thể kết nối được với Internet. Người dùng
hiện nay thường gửi tài liệu qua các hệ thống Email miễn phí khó kiểm
soát, qua các chương trình chat, qua các chương trình chia sẻ file ngang
hàng (P2P),… hoặc tải về P1 các mã độc do vô tình hay hữu ý.
- Với nhận thức và kiến thức hiện nay của người dùng, việc truy cập từ P2
vào P1 để lấy tài nguyên hoặc cài mã độc hết sức dễ dàng. Nhóm người sử
dụng P2 thường có nhận thức trách nhiệm thấp hơn về bảo mật và dễ dàng
để thất thoát, ngoài ra tin tặc có thể lợi dụng sơ hở này để truy cập P1 từ
máy P2. Như vậy, về mặt kỹ thuật, không có sự khác biệt giữa P1 và P2.

thể bị phát tán.
c. Mã độc có thể nhiễm vào mạng nội bộ, phá hoại hoặc đánh cắp dữ liệu.
d. Internet mở ra các lỗ hổng đối với mạng LAN có kết nối Internet.
1.2.4.Các quy định của các cơ quan nhà nước
Gần đây đã có những cuộc tấn công lớn và toàn diện của tin tặc trong nước và
nước ngoài vào các mạng LAN và cổng điện tử của các cơ quan và doanh nghiệp Việt
Nam nhằm tới các mục tiêu:
- Chiếm quyền kiểm soát hệ thống quản trị nội dung (CMS), để thay thế nội
dung của các trang điện tử bằng các nội dung phản tuyên truyền.
- Truy cập trái phép và cài mã độc lên các máy tính có tài liệu và thông tin cần
bảo mật. Các mã độc này sẽ định kỳ được kích hoạt và chuyển tải các thông
tin quý ra ngoài.
- Lợi dụng sự bất cẩn của người sử dụng và sự thiếu cẩn trọng trong công tác
quản lý để giả mạo quyền sử dụng, xâm nhập hệ thống và gửi ra ngoài các tài
nguyên cần bảo vệ theo đường Internet, email sử dụng các ứng dụng thông
dụng như HTTP, TELNET, FTP, SMNP,…
Trước tình hình đó, nhà nước ta đã có một số quy định nhằm đảm bảo an toàn
an ninh thông tin cho mạng nội bộ của các cơ quan nhà nước cụ thể như sau:
a. Quy định về sử dụng Internet của Bộ Công An (QĐ 71/2004/QĐ-BCA)
nghiêm cấm các máy tính có tài liệu dữ liệu bí mật kết nối Internet.
b. Quyết định của Bộ trưởng Bộ Tài chính (2615/QĐ-BTC) các máy tính trong
ngành tài chính có các tài liệu quan trọng không được mở trang tin và ứng dụng
Internet ngay trên máy.
c. Vấn đề: Bảo mật là vấn đề của con người. Nếu không có nhận thức phù hợp,
cùng với các biện pháp kỹ thuật làm công việc trở nên tiện lợi và một chính sách rõ
ràng, dễ thực hiện, các biện pháp thuần túy hành chính sẽ vô ích, gây cản trở tiến bộ và
gây lãng phí của cải của nhà nước mà tình hình giữ bảo mật an ninh sẽ ngày càng khó
kiểm soát. Do đó, cần có công nghệ phù hợp.
1.3.Xác định vấn đề bảo vệ an toàn an ninh dữ liệu trong mạng LAN và kết nối
Internet tại Việt Nam

hàng trăm ngàn tài liệu về cuộc chiến ở Afganistan trên WikiLeaks có thể gây thương
vong cho cuộc sống của nhiều binh sĩ Mỹ, các đối tác nước ngoài trong liên minh với
Mỹ, cho những người dân Afganistan làm việc quân đội Mỹ, Bộ trưởng Quốc phòng
Mỹ Gates và Tư lệnh Liên quân Mỹ Đô đốc Mullen khẳng định.
WikiLeaks đã tung ra gần 400.000 tài liệu không phổ biến của quân đội Mỹ có
liên quan tới chiến tranh Irap, thách thức những cảnh báo từ chính phủ Mỹ rằng việc
hé lộ các tài liệu có thể đặt những người sống vào rủi ro.
1.3.2.2.Mã độc lây lan như bom nổ chậm
Hình thức lây nhiễm và phát tán mã độc qua: thư điện tử, USB, website, tải
phần mềm lậu, hội thoại trực tuyến, mạng xã hội, qua việc cài đặt trực tiếp… Việc cài
đặt mã độc vào máy nạn nhân không chỉ có khả năng ăn cắp thông tin mật khẩu, mã
bảo mật thẻ tín dụng, dữ liệu trên máy tính, ghi âm nghe lén thông tin, chụp ảnh từ
màn hình, quy phim từ màn hình mà còn có thể tiếp tục sử dụng máy nạn nhân để làm
bàn đạp tấn công các máy tính khác.
1.3.3.Tình hình tại Việt Nam
Đối với Việt Nam, hệ thống mạng thông tin quốc gia, nhất là hệ thống mạng
thông tin của các cơ quan, tổ chức quan trọng vẫn sẽ là mục tiêu tấn công xâm nhập
của tin tặc nước ngoài; nguy cơ mất an ninh, an toàn thông tin, lộ, lọt bí mật nhà nước
sẽ ngày càng nghiêm trọng nếu không có giải pháp phòng, chống hữu hiệu:
16

 Báo cáo về tính an toàn của các mạng LAN và website của Việt Nam của
một tổ chức quốc tế Việt Nam đang là một trong 3 nước yếu nhất.
 Báo cáo của Bộ Công An: Hơn 90% các mạng nội bộ của các cơ quan Đảng,
Chính phủ và các ngân hàng bị xâm nhập, lấy dữ liệu
Trước tình hình đó, Công tác đảm bảo an ninh, an toàn mạng thông tin quốc gia,
phòng, chống vi phạm và tội phạm mạng là cuộc đấu tranh của toàn dân dưới sự lãnh
đạo của Đảng, là một bộ phận trọng yếu của cuộc đấu tranh bảo vệ an ninh quốc gia,
giữ gìn trật tự, an toàn xã hội; là trách nhiệm của cả hệ thống chính trị và toàn dân, của
các cấp, các ngành, trong đó lực lượng Công an giữ vai trò lòng cốt.

website này. Mẫu số chung của việc tin tặc có thể tấn công hàng nghìn website là sự
17

yếu kém trong quản trị web và không thường xuyên phát hiện và khắc phục các lỗ
hổng an toàn thông tin, ít quan tâm đến các cảnh bảo an ninh của các cơ quan, tổ chức
có chức năng đảm bảo an ninh an toàn thông tin quốc gia.
1.3.4.4.Thiếu công nghệ phù hợp với hoàn cảnh Việt Nam
Hiện nay, nguy cơ mất an toàn, bảo mật thông tin trong các cơ quan Đảng và
Nhà nước khá cao. Theo khảo sát của VNCERT năm 2012, 54% cơ quan Đảng và Nhà
nước không ghi nhận hành vi tấn công. Điều này đồng nghĩa với việc quá nửa website
ở Việt Nam dù “xây nhà” đã trang bị “khóa” song kẻ trộm vẫn đột nhập mà chủ nhà
không hay biết. Bên cạnh đó, có 64% cơ quan nhà nước không ước lượng được tổn
thất tài chính khi bị tấn công.
Trong khi đó, nguy cơ tấn công xuất phát rất đa dạng, qua các website, hệ thống
thư điện tử, tấn công DDOS và qua thiết bị USB. Trước tình trạng đó, Ban Cơ yếu
Chính phủ đã nghiên cứu và triển khai các sản phẩm bảo mật như: thiết bị nhớ an toàn
(USB an toàn), hệ thống cung cấp dịch vụ chứng thực chữ ký số chuyên dùng Chính
phủ, mô hình hệ thống CA quốc gia, hệ thống giám sát an ninh mạng (GSANM)…
Tuy nhiên, với một hạ tầng rộng lớn, việc triển khai các sản phẩm trên chưa đủ và còn
khá nhiều khó khăn.
Thêm vào đó, một số chuyên gia an ninh mạng cho rằng: tất cả các vụ tấn công
do cố tình hay hữu ý đều nhằm vào hệ điều hành Microsoft Window (đặc biệt chú ý tới
việc tấn công mạng từ Trung Quốc và bê bối từ vụ PRISM của cơ quan NSA-Hoa Kỳ),
trong khi đó Việt Nam chưa có khả năng chế ngự các mối đe dọa không gian mạng do
nhà nước, quốc gia đứng đằng sau. Windows là phần mềm nguồn đóng, sở hữu độc
quyền là mối đe dọa của an ninh quốc gia. Cần loại bỏ và thay vào đó là sử dụng phần
mềm nguồn mở (PMNM) nhằm đảm bảo an toàn, an ninh thông tin mạng cho quốc
gia. Và câu hỏi đặt ra: Phần mềm nguồn mở sẽ đảm bảo an toàn, an ninh thông tin
mạng?
Tóm lại, an toàn an ninh thông tin là một thách thức không chỉ đối với nước ta

hưởng trực tiếp đến tài nguyên hệ thống cho hệ điều hành chủ xử lý, sau đó lớp ảo hóa
sẽ mô phỏng kết quả để trả về cho máy ảo. Tuy nhiên, không phải tất cả bộ xử lý đều
hỗ trợ ảo hóa. Các bộ xử lý cũ trên máy để bàn đều không có hỗ trợ chức năng này.
Ngày nay hai nhà sản xuất bộ xử lý lớn trên thế giới là Intel và AMD đều cố gắng tích
hợp công nghệ ảo hóa vào trong các sản phẩm của họ. Các bộ xử lý có ứng dụng ảo
hóa thường là Intel VT (Virtualization Technology) hoặc AMD Pacifica.
Sử dụng công nghệ ảo hóa đem đến cho người dùng sự tiện ích. Việc có thể
chạy nhiều hệ điều hành đồng thời trên cùng một máy tính thuận tiện cho việc học tập
19

nghiên cứu và đánh giá một sản phẩm hệ điều hành hay một phần mềm tiện ích nào
đó. Nhưng không ngừng lại ở đó, những khả năng và lợi ích của ảo hóa còn hơn thế và
nơi gặt hái được nhiều thành công và tạo nên thương hiệu của công nghệ ảo hóa đó
chính là môi trường hệ thống máy chủ ứng dụng và hệ thống mạng.
Ảo hóa máy chủ thực sự không được quan tâm cho đến những năm gần đây. Do
còn nhiều vấn đề về công nghệ và người dùng chưa thực sự quan tâm tới lợi ích và còn
thiếu đội ngũ am hiểu về công nghệ này nên việc áp dụng nó vào hệ thống là rất dè
dặt. Nhưng khi đối mặt với thực trạng khủng hoảng của nền kinh tế toàn cầu thì bất kỳ
một doanh nghiệp nào cũng chủ tâm để tìm một giải pháp tiết kiệm hơn. Đây cũng là
lúc công nghệ ảo hóa tìm được chỗ đứng vững chắc cho mình trong lĩnh vực công
nghệ thông tin trên thế giới.
Hiện nay có nhiều nhà cung cấp các sản phẩm máy chủ và phần mềm đều chú
tâm đầu tư nghiên cứu và phát triển công nghệ này như là HP, IBM, Microsoft và
Vmware. Nhiều dạng ảo hóa được đưa ra và có thể chia thành hai dạng chính là ảo hóa
cứng và ảo hóa mềm. Từ hai dạng này sau này mới phát triển thành nhiều loại ảo hóa
có chức năng và cấu trúc khác nhau như VMM-Hypervisor, VMM, Hybrid…
Ảo hóa cứng được gọi là phân thân máy chủ. Dạng ảo hóa này cho phéo tạo
nhiều máy ảo trên một máy chủ vật lý. Mỗi máy ảo chạy hệ điều hành riêng và được
cấp phát tài nguyên phần cứng như số xung nhịp CPU, ổ cứng và bộ nhớ… Các tài
nguyên của máy chủ có thể được cấp phát động một cách linh động tùy theo nhu cầu

toàn bộ máy ảo trên hệ thống vì mỗi máy ảo chỉ là một tập tin được cài trên một phân
vùng trên ổ cứng nên chúng ta có thể tận dụng điều này để giảm thiểu thời gian cài đặt
bằng cách sao chép các tập tin này và cấu hình lại cho đúng với yêu cầu của máy ảo
đang sử dụng. Với cách làm này sẽ giảm thời gian cài đặt từng máy ảo và vận dụng tối
đa tài nguyên nhàn rỗi của tất cả các máy chủ vật lý. Vì thực tế hiện nay tại trung tâm
dữ liệu có nhiều máy chủ không khai thác hết tài nguyên phần cứng của hệ thống.
Phục hồi và lưu trữ hệ thống nhanh chóng: Vì máy ảo chỉ là một tập tin trên ổ
đĩa nên việc sao lưu rất đơn giản là sao chép lại các tập tin này. Và khi một máy ảo
gặp sự cố và hỏng hóc do một lỗi hệ điều hành nào đó thì việc phục hồi đơn giản là
chép đè tập tin đã được sao chép lên tập tin cũ và hệ thống có thể hoạt động bình
thường lại ngay như lúc chưa bị lỗi. Thời gian để phục hồi hệ thống là rất ít. Nếu được
đầu tư thêm một số máy chủ khác thì ta có thể cấu hình tính năng High Availability
cho các máy chủ ảo hóa này. Khi đó một máy ảo hay một máy chủ bị sự cố thì tất cả
các máy ảo sẽ được di chuyển nóng đến máy chủ khác và có thể hoạt động lại ngay tức
thì.
Cân bằng tải và phân phối tài nguyên linh hoạt: Với các công cụ quản lý từ xa
các máy chủ và máy ảo ta sẽ thấy được tình trạng của toàn bộ hệ thống từ đó có chính
sách nâng cấp CPU, RAM, ổ cứng cho máy chủ hoặc máy ảo đó hoặc di chuyển máy
ảo đang quá tải đó sang máy chủ vật lý có cấu hình mạnh hơn, có nhiều tài nguyên còn
trống hơn để hoạt động.
Tiết kiệm: công nghệ ảo hóa giúp các doanh nghiệp có thể tiết kiệm được một
chi phí lớn đó là điện năng chiếu sáng và hệ thống làm mát. Ảo hóa cho phép gom
nhiều máy chủ vào một máy chủ vật lý nên chỉ tốn kém chi phí điện tiêu thụ, làm mát
và chiếu sáng cho một vài máy chủ thôi. Bên cạnh đó thì diện tích sử dụng để đặt máy
chủ cũng được thu hẹp lại, hệ thống dây cáp nối cũng ít đi.
2.1.1.3. Quá trình phát triển và các xu thế hiện nay trên thế giới
Ảo hóa có nguồn gốc từ việc phân chia ổ đĩa, chúng phân chia một máy chủ
thực thành nhiều máy chủ con. Một khi máy chủ thực chia, mỗi máy chủ con có thể
chạy một hệ điều hành và các ứng dụng độc lập.
Tiên phong cho công nghệ ảo hóa này là từ hãng IBM với hệ thống máy ảo

mạng phức tạp hơn, và các kỹ thuật về ảo hóa trên hệ thống mạng vẫn đang được phát
triển và hoàn thiện hơn.
Ảo hóa mạng, hình dung một cách đơn giản là gom các dịch vụ, các ứng dụng
dựa trên nền người dùng/máy chủ, đưa chúng lên hệ thống mạng. Sau đó, các ứng
dụng, dịch vụ này sẽ được gán và cung cấp vào các kênh phù hợp theo nhu cầu, hay
ứng dụng cụ thể được đối tượng nào đó yêu cầu để sử dụng (Assign for request).
2.1.2.1.2. Mô hình hoạt động
Có nhiều phương pháp để thực hiện việc ảo hóa hệ thống mạng. Các phương
pháp này tùy thuộc vào các thiết bị hỗ trợ, tức là các nhà sản xuất thiết bị đó, ngoài ra
còn phụ thuộc vào hạ tầng mạng sẵn có, cũng như nhà cung cấp dịch vụ mạng (ISP).
Dưới đây là mô hình hoạt động của một vài phương pháp vẫn đang được nghiên cứu
cũng như đã được triển khai bởi Cisco.
 Ảo hóa lớp mạng (Virtualized overlay network)
22

Trong mô hình này, nhiều hệ thống mạng ảo sẽ cùng tồn tại trên một lớp nền tài
nguyên dùng chung. Các tài nguyên đó bao gồm các thiết bị mạng như Router, Switch,
các dây truyền dẫn, NIC (network interface card). Việc thiết lập nhiều hệ thống mạng
ảo này sẽ cho phép sự trao đổi thông suốt giữa các hệ thống mạng khác nhau, sử dụng
các giao thức và phương tiện truyền tải khác nhau, ví dụ như mạng Internet, hệ thống
PSTN, hệ thống Voip. Điều này làm tăng tính linh động trong hệ thống mạng, giúp
doanh nghiệp – người dùng thoát khỏi sự trói buộc của thiết bị - hạ tầng vật lý.

Hình 2.2: Ảo hóa lớp mạng
Chú thích:
 Substrate link: Các liên kết vật lý nền tảng.
 Sustrate router: Các router vật lý
 Virtual link và Substrate router là các thiết bị và liên kết được ảo hóa.
 Mô hình ảo hóa của Cisco
Một giải pháp về ảo hóa hệ thống mạng được Cisco đưa ra, đó là phân mô hình

sinh khi chúng ta có quá nhiều thiết bị lưu trữ vật lý cần được quản lý. Mặc dù có
nhiều phương pháp được đề xuất để phục vụ cho việc quản lý này như RAID (Ghép
nhiều đĩa cứng vật lý thành 1 đĩa cứng, qua đó gia tăng tốc độ đọc ghi và có khả năng
chịu lỗi cao), NAS (Network-attached storage), và SAN (Storage-area networks), việc
quản lý vẫn rất khó khăn và độ phức tạp cao.
24

Do đó, khái niệm ảo hóa hệ thống lưu trữ (Storage virtualization) ra đời. Ảo hóa
hệ thống lưu trữ, về cơ bản là sự mô phỏng, giả lập việc lưu trữ từ các thiết bị lưu trữ
vật lý. Các thiết bị này có thể là băng từ, ổ cứng hay kết hợp cả 2 loại.

Hình 2.4: Áo hóa hệ thống lƣu trữ
Ảo hóa hệ thống lưu trữ mang lại các ích lợi như việc tăng tốc khả năng truy
xuất dữ liệu, do việc trải rộng và phân chia các tác vụ đọc/viết trong mạng lưu trữ.
Ngoài ra, việc mô phỏng các thiết bị lưu trữ vật lý cho phép tiết kiệm thời gian hơn
thay vì phải định vị xem máy chủ nào hoạt động trên ổ cứng nào để truy xuất.
2.1.2.2.2. Mô hình hoạt động
Ảo hóa hệ thống lưu trữ có thể được tổ chức theo ba dạng sau đây:
 Host-based
Server
Ổ đĩa vật lý
Driver của
thiết bị
Lớp ảo hóa

Hình 2.5: Host-based Storage Virtualization
Trong mô hình này, ngăn cách giữa lớp ảo hóa và ổ đĩa vật lý là driver điều
khiển của các ổ đĩa. Phần mềm ảo hóa sẽ truy xuất tài nguyên (các ổ cứng vật lý)
thông qua sự điều khiển và truy xuất của lớp Driver này.
 Storage-device-based