0

ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ

ĐẶNG THỊ THÙY TRANG

NGHIÊN CỨU ĐỀ XUẤT GIẢI PHÁP TRUY CẬP INTERNET AN
TOÀN CHO MẠNG NỘI BỘ TRONG CÁC CƠ QUAN NHÀ NƢỚC

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

Hà Nội – 2014


1

ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ

ĐẶNG THỊ THÙY TRANG

NGHIÊN CỨU ĐỀ XUẤT GIẢI PHÁP TRUY CẬP INTERNET AN
TOÀN CHO MẠNG NỘI BỘ TRONG CÁC CƠ QUAN NHÀ NƢỚC

Ngành: Công nghệ thông tin
Chuyên ngành: Truyền dữ liệu và mạng máy tính
Mã số:

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN


DANH MỤC CÁC BẢNG .............................................................................................
DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ ......................................................................
MỞ ĐẦU .........................................................................................................................
Chƣơng 1: TỔNG QUAN VỀ VẤN ĐỀ BẢO VỆ AN TOÀN AN NINH DỮ LIỆU
TRONG MẠNG LAN VÀ KẾT NỐI INTERNET TẠI VIỆT NAM ....................
1.1.Trọng tâm ứng dụng CNTT 2011-2015 ...............................................................
1.2.Yêu cầu thực tiễn về bảo vệ an toàn an ninh mạng LAN và kết nối Internet tại
Việt Nam .......................................................................................................................
1.2.1.Hiện trạng kỹ thuật và công nghệ trong các mạng LAN phổ biến hiện nay ....
1.2.1.1.Mạng LAN kết nối Internet ................................................................................
1.2.1.2.Các loại người sử dụng và phân quyền truy cập ...............................................
1.2.2.Yêu cầu thực tế ....................................................................................................
1.2.3.Vấn đề thực tiễn ...................................................................................................
1.2.4.Các quy định của các cơ quan nhà nước ...........................................................
1.3.Xác định vấn đề bảo vệ an toàn an ninh dữ liệu trong mạng LAN và kết nối
Internet tại Việt Nam ..................................................................................................
1.3.1.Vấn đề an toàn an ninh mạng là vấn đề của toàn cầu ......................................
1.3.2.Vấn đề trọng tâm về an toàn an ninh mạng .......................................................
1.3.2.1.Thất thoát thông tin: Wikileak ...........................................................................
1.3.2.2.Mã độc lây lan như bom nổ chậm .....................................................................
1.3.3.Tình hình tại Việt Nam .......................................................................................
1.3.4.Nguyên nhân ........................................................................................................
1.3.4.1.Năng lực kỹ thuật ...............................................................................................
1.3.4.2.Đầu tư thiếu đồng bộ .........................................................................................
1.3.4.3.Việt Nam là một điểm ưa thích của hacker quốc tế ...........................................
1.3.4.4.Thiếu công nghệ phù hợp với hoàn cảnh Việt Nam ..........................................
Chƣơng 2: NGHIÊN CỨU CÔNG NGHỆ ẢO HÓA ĐỂ ĐẢM BẢO AN TOÀN
THÔNG TIN ..............................................................................................................
2.1. Giới thiệu về ảo hóa ..............................................................................................
2.1.1. Ảo hóa và những vấn đề liên quan ....................................................................

3.1. Giới thiệu về thin clients..................................................................................... 40
3.1.1. Khái niệm thin clients....................................................................................... 40
3.1.2. Đặc điểm của thin client................................................................................... 40
3.1.3. Tiêu chuẩn cho các kiến trúc thin client.......................................................... 40
3.1.3.1. Tổng quan về kiến trúc thin client................................................................... 42
3.1.3.2. Ứng dụng kiến trúc thin client........................................................................ 43
3.1.3.3. Thin client....................................................................................................... 44
3.1.3.4. Fat server....................................................................................................... 45
3.2. Các công nghệ thin client................................................................................... 46
3.2.1. Các công nghệ trình diễn phân tán.................................................................. 47
3.2.1.1. Kiến trúc tính toán độc lập (ICA)................................................................... 47
3.2.1.2. Giao thức RDP (Remote Desktop Protocol)................................................... 49
3.2.1.3. X Windows...................................................................................................... 50
3.2.1.4. Tổng kết các công nghệ trình diễn phân tán................................................... 51
3.2.2. Các công nghệ trình diễn từ xa........................................................................ 53
3.2.2.1. Các công nghệ dựa trên trình duyệt (browser)............................................... 53
3.2.2.2. Khung làm việc thin-client của IBM (TCF-Thin-Client Framework)..............54
3.2.2.3. Tổng kết các công nghệ trình diễn từ xa......................................................... 56
5


3.3. Giao thức hiển thị từ xa Remote Desktop Protocol (RDP) ...............................
3.3.1. Giới thiệu Remote Desktop Protocol (RDP) ......................................................
3.3.2. Cơ chế làm việc của giao thức RDP ..................................................................
3.3.2.1. Connection Initiation ........................................................................................
3.3.2.2. Basic Settings Exchange ...................................................................................
3.3.2.3. Channel Connection .........................................................................................
3.3.2.4. RDP Sercurity Commencement ........................................................................
3.3.2.5. Secury Settings Exchange .................................................................................
3.3.2.6. Licensing ...........................................................................................................

TÀI LIỆU THAM KHẢO ...........................................................................................


6

DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT
Từ viết tắt
AD
GUI
ICA
IP
LAN
LDAP
MPLs
NAS
OSI
RAID
RDP
SAN
TCF
TCO
TCP
VDI
VMM
VPN
VRF
VT

T
A

Bảng 3.4: Tài nguyên phần cứng cho hai loại kịch bản ................................................
Bảng 3.5: Tổng kết các công nghệ trình diễn phân tán .................................................
Bảng 3.6: Browser clients footprints .............................................................................
Bảng 3.7: Tổng kết công nghệ trình diễn từ xa .............................................................


8

DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ
Hình 1.1: Các thành phần chính của mạng LAN ..........................................................
Hình 1.2: Các loại người sử dụng trong mạng LAN hiện nay ......................................
Hình 2.1: Một server vật lý trong hệ thống ảo hóa ........................................................
Hình 2.2: Ảo hóa lớp mạng ...........................................................................................
Hình 2.3: Kiến trúc ảo hóa mạng của Cisco ..................................................................
Hình 2.4: Áo hóa hệ thống lưu trữ.................................................................................
Hình 2.5: Host-based Storage Virtualization.................................................................
Hình 2.6: Storage-device based Storage Virtualization ................................................
Hình 2.7: Network-based Storage Virtualization ..........................................................
Hình 2.8: Mô hình Application Streaming của Citrix ...................................................
Hình 2.9: Kiến trúc Host-based .....................................................................................
Hình 2.10: Kiến trúc Hypervisor-based.........................................................................
Hình 2.11: Sơ đồ truy cập tài nguyên phần cứng của máy ảo. ......................................
Hình 2.12. Sơ đồ hoạt động của chuẩn Striping ............................................................
Hình 2.13: Sơ đồ hoạt động của chuẩn Duplexing ........................................................
Hình 2.14: Sơ đồ hoạt động của Raid level 0 ................................................................
Hình 2.15: Sơ đồ hoạt động của Raid 1 .........................................................................
Hình 2.16: Sơ đồ hoạt động của Raid 5 .........................................................................
Hình 2.17: Sơ đồ hoạt động của Raid 1-0 .....................................................................
Hình 2.18: Sơ đồ lưu trữ San .........................................................................................
Hình 2.19: Sơ đồ hoạt động của Vmware High Availability ........................................

Internet có giải pháp nghiêm cấm hành vi “Lưu giữ trên máy tính kết nối Internet tin,
tài liệu, số liệu thuộc bí mật nhà nước”. Biện pháp này được giải thích theo nhiều cách
sai lệch như “cấm tuyệt đối sử dụng Internet”, “mỗi cán bộ công chức phải được trang
bị 2 máy tính” hoặc “máy tính có tài liệu bí mật không được nối mạng”,…
Có hai nhu cầu ngày càng tăng trong các cơ quan nhà nước và trong các doanh
nghiệp là truy cập Internet và làm việc từ xa. Việc cấm tuyệt đối sử dụng Internet là đi
ngược lại với chủ trương ứng dụng CNTT để hiện đại hóa đất nước. Hiện nay, các cán
bộ, công chức đã có thói quen tải về các tài liệu quy phạm pháp luật, biểu mẫu từ các
website do chính Chính phủ cung cấp để giúp cho việc soạn thảo văn bản và công tác
nghiệp vụ. Việc đọc tin tức, trau dồi kiến thức sử dụng tài nguyên trên mạng đã trở
thành một thói quen và là phương tiện làm việc hữu hiệu không thể thiếu đối với cán
bộ. Mọi biện pháp ngăn cấm đều dẫn tới các biện pháp “vượt rào” tự phát, làm tình
hình càng thêm phức tạp. Bên cạnh đó, các cán bộ lãnh đạo đi công tác xa hoặc làm
việc ở nhà cũng có nhu cầu truy cập vào mạng nội bộ để xử lý công văn, đơn thư và
đọc hồ sơ tài liệu.
Việc sử dụng 2 máy tính, hoặc không cho nối mạng không hề làm tăng tính an
toàn. Do nhu cầu công việc, cán bộ công chức thường sử dụng thiết bị lưu trữ theo
cổng USB, thiết bị truy cập 3G,… hoặc chuyển hoàn toàn sang dùng máy tính cá nhân
riêng và đưa tài nguyên, tài liệu, số liệu bí mật sao chép lung tung làm phá vỡ mọi quy
định và chính sách bảo mật nội bộ đã có. Bảo mật là vấn đề của con người. Nếu không
có nhận thức phù hợp, cùng với các biện pháp kỹ thuật làm công việc trở nên tiện lợi
và một chính sách rõ ràng, dễ thực hiện, các biện pháp thuần túy hành chính sẽ vô ích,
gây cản trở tiến bộ và gây lãng phí của cải của Nhà nước mà tình hình giữ bảo mật an
ninh sẽ ngày càng khó kiểm soát.
Xuất phát từ nhu cầu thực tiễn, với đề tài: “Nghiên cứu đề xuất giải pháp truy
cập Internet an toàn cho mạng nội bộ trong các cơ quan nhà nước”, luận văn đi sâu
nghiên cứu tìm hiểu: Tình hình bảo vệ an toàn an ninh dữ liệu trong mạng LAN và kết
nối Internet tại Việt Nam, xây dựng bộ kiến trúc an toàn an ninh thông tin phù hợp với
điều kiện hiện nay của Việt Nam; Nghiên cứu công nghệ ảo hóa để đảm bảo an toàn


Luận văn trình bày những nội dung cơ bản, những nội dung được đề cập sâu
hơn là cơ sở cho giải pháp ứng dụng V-AZUR. Giải pháp có ý nghĩa thiết thực trong
việc đảm bảo an toàn an ninh cho hệ thống mạng cơ quan, doanh nghiệp.
Mặc dù có nhiều cố gắng nhưng do năng lực và thời gian hạn chế, luận văn
không tránh khỏi những thiếu sót, mong Thầy, Cô và đồng nghiệp đóng góp ý kiến xây
dựng.
Xin chân thành cảm ơn!
Đặng Thị Thùy Trang


11

Chƣơng 1: TỔNG QUAN VỀ VẤN ĐỀ BẢO VỆ AN TOÀN AN NINH DỮ
LIỆU TRONG MẠNG LAN VÀ KẾT NỐI INTERNET TẠI VIỆT NAM
1.1.Trọng tâm ứng dụng CNTT 2011-2015
Căn cứ Quyết định số 1605/QĐ-TTg ngày 27 tháng 8 năm 2010 của Thủ tướng
Chính phủ phê duyệt Chương trình quốc gia về ứng dụng CNTT trong hoạt động của
cơ quan nhà nước giai đoạn 2011-2015; Trọng tâm ứng dụng CNTT giai đoạn 2011 –
2015: Quản lý hành chính, cơ sở dữ liệu quốc gia, an toàn an ninh mạng.
Quản lý hành chính: Quản lý văn bản tích hợp trong toàn quốc tới cơ quan
nhà nước các cấp, bảo đảm an toàn, an ninh, tính pháp lý của văn bản trao đổi; Thư
điện tử quốc gia; Giao ban điện tử đa phương tiện giữa Thủ tướng Chính phủ với các
Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân các tỉnh, thành phố
trực thuộc Trung ương; Chỉ đạo, điều hành của Chính phủ trên Mạng truyền số liệu
chuyên dùng của các cơ quan Đảng, Nhà nước; Quản lý, theo dõi chương trình công
tác của Chính phủ; Mạng thông tin điện tử phục vụ trao đổi thông tin giữa Văn phòng
Chính phủ, Văn phòng Trung ương Đảng, Văn phòng Quốc hội, Văn phòng Chủ tịch
nước; Cổng thông tin điện tử Chỉnh phủ; Tài chính tích hợp, Giám sát thị trường tài
chính; Nộp tờ khai thuế qua mạng Internet; Triển khai thủ tục hải quan điện tử; Ứng
dụng thương mại điện tử trong mua sắm Chính phủ; Quản lý thông tin đầu tư nước

khai. Chú ý một số mạng, tùy theo nhu cầu công việc, có thể không cần phải có máy
P2.

`

Máy chủ
ứng dụng
P1

`
Tường lửa
P2

MÁY LÀM VIỆC
TỪ XA

Hình 1.2: Các loại ngƣời sử dụng trong mạng LAN hiện nay


13
Ứng dụng chủ yếu hiện nay cần bảo mật là các ứng dụng hỗ trợ tác nghiệp (theo
mô hình Client-Server chạy trên nền Desktop hoặc theo mô hình Web-based). Trong cả
hai trường hợp, các tài liệu được lưu trữ trên “Máy chủ ứng dụng”. Các lỗ hổng an
ninh cần xử lý của mô hình này là:
Cần phải ngăn chặn kết nối trực tiếp của P1 vào Internet để đảm bảo các
máy tính chứa tài liệu mật không thể kết nối được với Internet. Người dùng
hiện nay thường gửi tài liệu qua các hệ thống Email miễn phí khó kiểm
soát, qua các chương trình chat, qua các chương trình chia sẻ file ngang
hàng (P2P),… hoặc tải về P1 các mã độc do vô tình hay hữu ý.
Với nhận thức và kiến thức hiện nay của người dùng, việc truy cập từ P2


14
a. Người dùng ở trong mạng nội bộ có thể gửi các tệp tin, dữ liệu ra ngoài qua

đường Internet. Vô tình hay cố ý.
b. Người dùng làm việc từ xa sử dụng VPN, có thể tải về các tệp tin, dữ liệu có
thể bị phát tán.
c. Mã độc có thể nhiễm vào mạng nội bộ, phá hoại hoặc đánh cắp dữ liệu.
d. Internet mở ra các lỗ hổng đối với mạng LAN có kết nối Internet.
1.2.4.Các quy định của các cơ quan nhà nước
Gần đây đã có những cuộc tấn công lớn và toàn diện của tin tặc trong nước và
nước ngoài vào các mạng LAN và cổng điện tử của các cơ quan và doanh nghiệp Việt
Nam nhằm tới các mục tiêu:
- Chiếm quyền kiểm soát hệ thống quản trị nội dung (CMS), để thay thế nội
dung của các trang điện tử bằng các nội dung phản tuyên truyền.
- Truy cập trái phép và cài mã độc lên các máy tính có tài liệu và thông tin cần
bảo mật. Các mã độc này sẽ định kỳ được kích hoạt và chuyển tải các thông
tin quý ra ngoài.
- Lợi dụng sự bất cẩn của người sử dụng và sự thiếu cẩn trọng trong công tác
quản lý để giả mạo quyền sử dụng, xâm nhập hệ thống và gửi ra ngoài các tài
nguyên cần bảo vệ theo đường Internet, email sử dụng các ứng dụng thông
dụng như HTTP, TELNET, FTP, SMNP,…
Trước tình hình đó, nhà nước ta đã có một số quy định nhằm đảm bảo an toàn
an ninh thông tin cho mạng nội bộ của các cơ quan nhà nước cụ thể như sau:
a. Quy định về sử dụng Internet của Bộ Công An (QĐ 71/2004/QĐ-BCA)
nghiêm cấm các máy tính có tài liệu dữ liệu bí mật kết nối Internet.
b. Quyết định của Bộ trưởng Bộ Tài chính (2615/QĐ-BTC) các máy tính trong
ngành tài chính có các tài liệu quan trọng không được mở trang tin và ứng dụng
Internet ngay trên máy.
c. Vấn đề: Bảo mật là vấn đề của con người. Nếu không có nhận thức phù hợp,

Như vậy, Internet ra đời là nguồn gốc dẫn đến hiểm họa chiến tranh mạng
(Cyber War) và thách thức tội phạm mạng (Cyber Crime) cho tất cả các quốc gia trên
toàn thế giới.
1.3.2.Vấn đề trọng tâm về an toàn an ninh mạng
1.3.2.1.Thất thoát thông tin: Wikileak
WikiLeaks vụ nổi tiếng vì đã đưa ra hàng loạt các tài liệu mật của Bộ Quốc
phòng và Bộ Ngoại giao Mỹ liên quan tới hàng loạt các quốc gia trên thế giới. Vụ rò rỉ
hàng trăm ngàn tài liệu về cuộc chiến ở Afganistan trên WikiLeaks có thể gây thương
vong cho cuộc sống của nhiều binh sĩ Mỹ, các đối tác nước ngoài trong liên minh với
Mỹ, cho những người dân Afganistan làm việc quân đội Mỹ, Bộ trưởng Quốc phòng
Mỹ Gates và Tư lệnh Liên quân Mỹ Đô đốc Mullen khẳng định.
WikiLeaks đã tung ra gần 400.000 tài liệu không phổ biến của quân đội Mỹ có
liên quan tới chiến tranh Irap, thách thức những cảnh báo từ chính phủ Mỹ rằng việc
hé lộ các tài liệu có thể đặt những người sống vào rủi ro.
1.3.2.2.Mã độc lây lan như bom nổ chậm
Hình thức lây nhiễm và phát tán mã độc qua: thư điện tử, USB, website, tải
phần mềm lậu, hội thoại trực tuyến, mạng xã hội, qua việc cài đặt trực tiếp… Việc cài
đặt mã độc vào máy nạn nhân không chỉ có khả năng ăn cắp thông tin mật khẩu, mã
bảo mật thẻ tín dụng, dữ liệu trên máy tính, ghi âm nghe lén thông tin, chụp ảnh từ
màn hình, quy phim từ màn hình mà còn có thể tiếp tục sử dụng máy nạn nhân để làm
bàn đạp tấn công các máy tính khác.
1.3.3.Tình hình tại Việt Nam
Đối với Việt Nam, hệ thống mạng thông tin quốc gia, nhất là hệ thống mạng
thông tin của các cơ quan, tổ chức quan trọng vẫn sẽ là mục tiêu tấn công xâm nhập
của tin tặc nước ngoài; nguy cơ mất an ninh, an toàn thông tin, lộ, lọt bí mật nhà nước
sẽ ngày càng nghiêm trọng nếu không có giải pháp phòng, chống hữu hiệu:


16
 Báo cáo về tính an toàn của các mạng LAN và website của Việt Nam của một tổ

tấn công, chiếm quyền điều khiển, thay đổi giao tiện trong đó có các website của Bộ
Nông nghiệp, Bộ Ngoại giao, …
Tháng 10 năm 2011, có hơn 150 website bị tấn công do một nhóm hacker Thổ
Nhĩ Kỳ thực hiện. Cùng với một số máy chủ tại TP. Hồ Chí Minh của các công ty cung
cấp các dịch vụ hosting, domain khá nổi tiếng.
Không chỉ có website doanh nghiệp, ngày 8/11/2011, hacker đã tấn công và
chiếm quyền trang web của Sở Văn hóa - Thể thao và Du lịch tỉnh của Nam Định và
để lại một trang trắng với dòng chữ “Đừng hỏi vì sao bị hack mà hãy hỏi thành phố
bạn đã ra quyết định gì”
Ngay cả, website của trung tâm an ninh mạng BKAV cũng bị hacker tấn công
vào hôm 6/2/2012 và nhóm hacker Anonymous đã chỉ ra nhiều lỗi bảo mật của website
này. Mẫu số chung của việc tin tặc có thể tấn công hàng nghìn website là sự


17
yếu kém trong quản trị web và không thường xuyên phát hiện và khắc phục các lỗ
hổng an toàn thông tin, ít quan tâm đến các cảnh bảo an ninh của các cơ quan, tổ chức
có chức năng đảm bảo an ninh an toàn thông tin quốc gia.
1.3.4.4.Thiếu công nghệ phù hợp với hoàn cảnh Việt Nam
Hiện nay, nguy cơ mất an toàn, bảo mật thông tin trong các cơ quan Đảng và
Nhà nước khá cao. Theo khảo sát của VNCERT năm 2012, 54% cơ quan Đảng và Nhà
nước không ghi nhận hành vi tấn công. Điều này đồng nghĩa với việc quá nửa website
ở Việt Nam dù “xây nhà” đã trang bị “khóa” song kẻ trộm vẫn đột nhập mà chủ nhà
không hay biết. Bên cạnh đó, có 64% cơ quan nhà nước không ước lượng được tổn
thất tài chính khi bị tấn công.
Trong khi đó, nguy cơ tấn công xuất phát rất đa dạng, qua các website, hệ thống
thư điện tử, tấn công DDOS và qua thiết bị USB. Trước tình trạng đó, Ban Cơ yếu
Chính phủ đã nghiên cứu và triển khai các sản phẩm bảo mật như: thiết bị nhớ an toàn
(USB an toàn), hệ thống cung cấp dịch vụ chứng thực chữ ký số chuyên dùng Chính
phủ, mô hình hệ thống CA quốc gia, hệ thống giám sát an ninh mạng (GSANM)… Tuy

2.1.1. Ảo hóa và những vấn đề liên quan
2.1.1.1. Ảo hóa là gì?
Ảo hóa là một công nghệ được ra đời nhằm khai thác triệt để khả năng làm việc
của các phần cứng trong một hệ thống máy chủ. Nó hoạt động như một tầng trung gian
giữa hệ thống phần cứng máy tính và phần mềm chạy trên nó. Ý tưởng của công nghệ
ảo hóa máy chủ là từ một máy vật lý đơn lẻ có thể tạo thành nhiều máy ảo độc lập. Ảo
hóa cho phép tạo nhiều máy ảo trên một máy chủ vật lý, mỗi một máy ảo cũng được
cấp phát tài nguyên phần cứng như máy thật gồm có RAM, CPU, card mạng, ổ cứng,
các tài nguyên khác và hệ điều hành riêng. Khi chạy ứng dụng, người sử dụng không
nhận biết được ứng dụng đó chạy trên lớp phần cứng ảo.

Hình 2.1: Một server vật lý trong hệ thống ảo hóa
Các bộ xử lý của hệ thống máy tính lớn được thiết kế hỗ trợ công nghệ ảo hóa
và cho phép chuyển các lệnh hoặc tiến trình nhạy cảm của các máy ảo có thể ảnh
hưởng trực tiếp đến tài nguyên hệ thống cho hệ điều hành chủ xử lý, sau đó lớp ảo hóa
sẽ mô phỏng kết quả để trả về cho máy ảo. Tuy nhiên, không phải tất cả bộ xử lý đều
hỗ trợ ảo hóa. Các bộ xử lý cũ trên máy để bàn đều không có hỗ trợ chức năng này.
Ngày nay hai nhà sản xuất bộ xử lý lớn trên thế giới là Intel và AMD đều cố gắng tích
hợp công nghệ ảo hóa vào trong các sản phẩm của họ. Các bộ xử lý có ứng dụng ảo
hóa thường là Intel VT (Virtualization Technology) hoặc AMD Pacifica.
Sử dụng công nghệ ảo hóa đem đến cho người dùng sự tiện ích. Việc có thể
chạy nhiều hệ điều hành đồng thời trên cùng một máy tính thuận tiện cho việc học tập


19
nghiên cứu và đánh giá một sản phẩm hệ điều hành hay một phần mềm tiện ích nào đó.
Nhưng không ngừng lại ở đó, những khả năng và lợi ích của ảo hóa còn hơn thế và nơi
gặt hái được nhiều thành công và tạo nên thương hiệu của công nghệ ảo hóa đó chính
là môi trường hệ thống máy chủ ứng dụng và hệ thống mạng.
Ảo hóa máy chủ thực sự không được quan tâm cho đến những năm gần đây. Do

tính ổn định của hệ thống. Do đó, việc ứng ảo hóa trở thành nhu cầu cần thiết của bất
kỳ doanh nghiệp lớn hay nhỏ. Vì thay vì mua mười máy chủ cho mười ứng dụng thì
cần mua một hoặc hai máy chủ có hỗ trợ ảo hóa thì vẫn có thể chạy tốt mười ứng dụng
trên. Điều này cho ta thấy sự khác biệt giữa hệ thống ảo hóa và không ảo hóa. Bên
cạnh đó việc ứng dụng ảo hóa còn đem lại những lợi ích sau đây.


20
Quản lý đơn giản: khi triển khai hệ thống ảo hóa thì số lượng máy chủ vật lý
giảm đi đáng kể và khi đó việc theo dõi và giám sát hệ thống rất dễ dàng và hầu như
được thực hiện bởi công cụ phần mềm quản trị tập trung từ xa do nhà cung cấp phần
mềm ảo hóa hỗ trợ. Nhà quản trị dễ dàng theo dõi tình trạng của các máy ảo và của cả
hệ thống. Nếu máy chủ bị trục trặc thì có thể chuyển máy ảo từ máy chủ này sang máy
chủ khác, có thể nâng cấp phần cứng bằng cách gắn thêm RAM, ổ cứng một cách
nhanh chóng và đơn giản.
Triển khai nhanh: khi triển khai hệ thống thì không cần nhất thiết phải cài đặt
toàn bộ máy ảo trên hệ thống vì mỗi máy ảo chỉ là một tập tin được cài trên một phân
vùng trên ổ cứng nên chúng ta có thể tận dụng điều này để giảm thiểu thời gian cài đặt
bằng cách sao chép các tập tin này và cấu hình lại cho đúng với yêu cầu của máy ảo
đang sử dụng. Với cách làm này sẽ giảm thời gian cài đặt từng máy ảo và vận dụng tối
đa tài nguyên nhàn rỗi của tất cả các máy chủ vật lý. Vì thực tế hiện nay tại trung tâm
dữ liệu có nhiều máy chủ không khai thác hết tài nguyên phần cứng của hệ thống.
Phục hồi và lưu trữ hệ thống nhanh chóng: Vì máy ảo chỉ là một tập tin trên ổ
đĩa nên việc sao lưu rất đơn giản là sao chép lại các tập tin này. Và khi một máy ảo gặp
sự cố và hỏng hóc do một lỗi hệ điều hành nào đó thì việc phục hồi đơn giản là chép
đè tập tin đã được sao chép lên tập tin cũ và hệ thống có thể hoạt động bình thường lại
ngay như lúc chưa bị lỗi. Thời gian để phục hồi hệ thống là rất ít. Nếu được đầu tư
thêm một số máy chủ khác thì ta có thể cấu hình tính năng High Availability cho các
máy chủ ảo hóa này. Khi đó một máy ảo hay một máy chủ bị sự cố thì tất cả các máy
ảo sẽ được di chuyển nóng đến máy chủ khác và có thể hoạt động lại ngay tức thì.

công nghệ giúp các doanh nghiệp cắt giảm chi tiêu hiệu quả với khả năng tận dụng tối
đa năng suất của các thiết bị phần cứng. Việc áp dụng công nghệ ảo hóa máy chủ nhằm
tiết kiệm không gian sử dụng, nguồn điện và giải pháp tỏa nhiệt trong trung tâm dữ
liệu. Ngoài ra việc giảm thời gian thiết lập máy chủ, kiểm tra phần mềm trước khi đưa
vào hoạt động cũng là một trong những mục đích chính khi ảo hóa máy chủ. Công
nghệ mới này sẽ tạo ra những điều mới mẻ trong tư duy của các nhà quản lý công nghệ
thông tin về tài nguyên máy tính. Khi việc quản lí các máy riêng lẻ trở nên dễ dàng
hơn, trọng tâm của CNTT có thể chuyển từ công nghệ sang dịch vụ. Hiện nay, các “đại
gia” trong giới công nghệ như Microsoft, Oracle, Sun… đều nhập cuộc chơi ảo hóa
nhằm giành thị phần lớn trong lĩnh vực này với “gã khổng lồ” VMWare. Do đó, trên
thị trường có rất nhiều sản phẩm để các doanh nghiệp có thể lựa chọn và ứng dụng.
2.1.2. Phân loại ảo hóa
2.1.2.1. Network Virtualization (Ảo hóa hệ thống mạng)
2.1.2.1.1. Khái niệm
Chúng ta thường hay nghĩ tới các mạng LAN ảo (VLAN) khi nghe nói về ảo
hóa mạng lưới. Nhưng đây chỉ là một khía cạnh trong lĩnh vực này. Thật ra ảo hóa
mạng phức tạp hơn, và các kỹ thuật về ảo hóa trên hệ thống mạng vẫn đang được phát
triển và hoàn thiện hơn.
Ảo hóa mạng, hình dung một cách đơn giản là gom các dịch vụ, các ứng dụng
dựa trên nền người dùng/máy chủ, đưa chúng lên hệ thống mạng. Sau đó, các ứng
dụng, dịch vụ này sẽ được gán và cung cấp vào các kênh phù hợp theo nhu cầu, hay
ứng dụng cụ thể được đối tượng nào đó yêu cầu để sử dụng (Assign for request).
2.1.2.1.2. Mô hình hoạt động
Có nhiều phương pháp để thực hiện việc ảo hóa hệ thống mạng. Các phương
pháp này tùy thuộc vào các thiết bị hỗ trợ, tức là các nhà sản xuất thiết bị đó, ngoài ra
còn phụ thuộc vào hạ tầng mạng sẵn có, cũng như nhà cung cấp dịch vụ mạng (ISP).
Dưới đây là mô hình hoạt động của một vài phương pháp vẫn đang được nghiên cứu
cũng như đã được triển khai bởi Cisco.





23
- Khu vực đường dẫn (Path Isolation): Nhiệm vụ của khu vực này là duy trì

liên lạc thông qua hạ tầng cấu trúc Layer 3 (tầng Network trong mô hình
OSI); vận chuyển liên lạc giữa các vùng khác nhau trong hệ thống. Trong các
vùng này sử dụng giao thức khác nhau, như MPLs (Multiprotocol Label
Switching) và VRF (Virtual Routing and Forwarding), do đó cần một cầu nối
để liên lạc giữa chúng. Ngoài ra, khu vực này có nhiệm vụ liên kết (maping)
giữa các đường truyền dẫn với các vùng hoạt động ở hai khu vực cạnh nó là
Access Control và Services Edge.
- Khu vực liên kết với dịch vụ (Services Edge): Tại đây sẽ áp dụng những
chính sách phân quyền, cũng như bảo mật ứng với từng vùng hoạt động cụ
thể; đồng thời qua đó cung cấp quyền truy cập đến dịch vụ cho người dùng.
Các dịch vụ có thể ở dạng chia sẻ hay phân tán, tùy thuộc vào môi trường
phát triển ứng dụng và yêu cầu của người dùng.

Hình 2.3: Kiến trúc ảo hóa mạng của Cisco
2.1.2.2. Storage Virtualization (Ảo hóa hệ thống lưu trữ)
2.1.2.2.1. Khái niệm
Ngày nay, nhu cầu lưu trữ dữ liệu của người dùng, doanh nghiệp ngày càng tăng
lên. Và hiển nhiên khi nhu cầu ấy tăng lên, chúng ta cần một số lượng đĩa cứng tăng
tương ứng, cùng với sự phát triển dung lượng của các đĩa. Do đó, vấn đề bị phát sinh
khi chúng ta có quá nhiều thiết bị lưu trữ vật lý cần được quản lý. Mặc dù có nhiều
phương pháp được đề xuất để phục vụ cho việc quản lý này như RAID (Ghép nhiều
đĩa cứng vật lý thành 1 đĩa cứng, qua đó gia tăng tốc độ đọc ghi và có khả năng chịu
lỗi cao), NAS (Network-attached storage), và SAN (Storage-area networks), việc quản
lý vẫn rất khó khăn và độ phức tạp cao.