VIỆN ĐÀO TẠO CÔNG NGHỆ VÀ QUẢN LÝ QUỐC TẾKHOA CÔNG NGHỆ THÔNG TIN

-------------o0o-------------

Lời nói đầu

Sự phát triển cuả công nghệ thông tin ở nước ta ngày càng mạnh mẽ và ngày càng được triển khai rộng rãi các ứng dụng tin học cho các tổ chức kinh tế xã hội và các ngành khoa học kĩ thuật và đặc biệt là trong công tác quản lý

Trong các cơ quan, doanh nghiệp nhà nước cũng như tư nhân, công tác quản lý nếu phải thực hiện và xử lý một cách thủ công thì vừa chậm vừa mất thời gian đem lại hiệu quả kinh tế không cao trong sản xuất kinh doanh. Với những công việc tính toán, thống kê số liệu làm bằng tay vừa mất công vừa kém chính xác. Người làm công tác phải quản lý một khối lượng công việc khổng lồ, với phần lưu trữ, tìm kiếm là không đơn giản chút nào...

Vì thế, việc ứng dụng tin học trong công tác quản lý đã phát triển mạnh mẽ, nó giúp cho công tác quản lý ngày càng trở nên hiệu quả hơn như: Nâng cao hiệu quả trong công việc, đưa ra báo cáo, số liệu thống kê một cách nhanh chóng, chính xác và kịp thời... Đồng thời nhờ có việc ứng dụng tin học mà đã tiết kiệm được nhiều thời gian, công sức của con người và giảm nhẹ bộ máy quản lý rất cồng kềnh từ trước tới nayInternet ở Việt Nam mới chỉ phát triển từ 7 năm gần đây, nhưng sự phát triển mạnh mẽ của nó thì không một ai có thể ngờ tới. Nó đã có sự phát triển vượt bậc so với sự phát triển trong lĩnh vực khác của ngành công nghệ thông tin. Đó cũng là xu thế tất yếu khi chúng ta chính thức hoà vào mạng viễn thông quốc tế. Sự phát triển của Internet đã tạo ra một xu thế mới trong công nghệ Đề tài mà em thực hiện là : Xây dựng hệ thống thông tin mạng

1

MỤC LỤC

MỤC LỤC..................................................................................................................2

CHƯƠNG 1...............................................................................................................4

LÝ THUYẾT CƠ BẢN CỦA MẠNG MÁY TÍNH................................................4

1.1.Mô hình hệ thống mở OSI (Open Systems Interconnection)............................41.1.1. Tổng quan mô hình hệ thống mở..............................................................41.1.2. Các chức năng chủ yếu của các tầng của mô hình OSI............................5

1.2.Giao thức truyền thông mạng TCP/IP...............................................................61.3. Kỹ thuật mạng LAN.........................................................................................8

1.3.1. Tổng quan mạng Ethernet (LAN)..............................................................81.3.2. Các thiết bị dùng cho mạng Ethernet.......................................................81.4.1.Dịch vụ Web...............................................................................................91.4.2. Dịch vụ truyền file...................................................................................101.4.3. Dịch vụ E-mail........................................................................................101.4.4. Dịch vụ mạng Giao thức DNS, DHCP....................................................11

1.4 Kiến trúc ứng dụng Client/ Server..................................................................12

CHƯƠNG 2.............................................................................................................17

PHƯƠNG PHÁP PHÁT TRIỂN MỞ RỘNG MẠNG........................................17

2.1. Tổng quan kiến trúc mạng WAN...................................................................172.2. Công nghệ xử lý truyền dẫn trên mạng diện rộng..........................................202.3. Thiết bị tích hợp mạng diện rộng...................................................................222.4. Phương tiện truyền dẫn trong mạng diện rộng...............................................25

2.4.1. Công nghệ đường dây thuê bao số xDSL................................................252.4.2. Công nghệ ISDN.....................................................................................272.4.3. Frame relay.............................................................................................282.4.4. Công nghệ ATM:.....................................................................................282.4.5. Đường thuê bao kênh riêng(leased line):...............................................30

CHƯƠNG 3.............................................................................................................31

AN NINH MẠNG....................................................................................................31

3.1. Tổng quan an ninh mạng................................................................................313.2. An ninh trên hạ tầng cơ sở.............................................................................32

3.2.1. Dùng PKI (Public Key Infrastructure)...................................................323.2.2. Dùng RSA................................................................................................353.2.3. Dùng Firewall.........................................................................................383.2.4. Dùng IDS (Intrusion Detection Systems )...............................................42

3.3. Mạng VPN và Bảo mật trong VPN (Virtual Private network)......................433.3.1. Khái niệm VPN.......................................................................................433.3.2. Tính bảo mật của VPN:...........................................................................463.3.3. Các kỹ thuật sử dụng trong VPN............................................................493.3.4. Kỹ thuật Tunneling..................................................................................49

2

CHƯƠNG 4.............................................................................................................52

PHÁT TRIỂN NGN TRONG MÔ HÌNH DOANH NGHIỆP............................52

4.1. Khái niệm mạng NGN (Next Generation Network)......................................524.2. Đặc điểm NGN..............................................................................................544.3. Triển khai NGN.............................................................................................574.4. Các thành phần của NGN chuẩn....................................................................604.5. Các công nghệ và các giao thức.....................................................................61

CHƯƠNG 5.............................................................................................................65

THIẾT KẾ, XÂY DỰNG HỆ THỐNG THÔNG TIN.........................................65

5.1. Giới thiệu.......................................................................................................655.2. Phân tích yêu cầu...........................................................................................665.2. Thiết kế, xây dựng hạ tầng thông tin.............................................................695.3. Thiết kế, xây dựng dịch vụ quản lý và ứng dụng mạng.................................74

5.3.1. Dịch vụ quản lý mạng.............................................................................745.3.2. Cài đặt, và quản lý dịch vụ E-mail........................................................75

KẾT LUẬN..............................................................................................................77

TÀI LIỆU THAM KHẢO:.......................................................................................78

3

CHƯƠNG 1

LÝ THUYẾT CƠ BẢN CỦA MẠNG MÁY TÍNH

1.1.Mô hình hệ thống mở OSI (Open Systems Interconnection).

1.1.1. Tổng quan mô hình hệ thống mở.

Việc nghiên cứu OSI được bắt đầu bởi ISO (International Organization for

Standardization) từ năm 1971 với mục đích dễ dàng giao tiếp kết nối các sản

phẩm công nghệ mạng của các hãng sản xuất khác nhau. Ưu điểm chính của OSI

là xây dựng được các giải pháp xử lý truyền thông giữa các mạng máy tính

không đồng nhất. Hai hệ thống, dù có khác nhau đều có thể truyền thông với

nhau một các hiệu quả nếu chúng đảm bảo những điều kiện chung sau đây:

Chúng cài đặt cùng một tập các chức năng truyền thông.

Các chức năng đó được tổ chức thành cùng một tập các tầng. các tầng đồng

mức phải cung cấp các chức năng tương tự nhau.

Các tầng đồng mức khi trao đổi với nhau sử dụng chung một giao thức.

Hình sau là mô hình hoá hai hệ thống máy tính kết nối trong mạng, kiến

trúc các thành phần được phân tách dựa vào mô hình OSI.

1.1.2. Các chức năng chủ yếu của các tầng của mô hình OSI.

Tầng 1: Tầng Vật lý (Physical Layer)

4

Hình 1.1. Mô hình OSI

Tầng vật lý là tầng dưới cùng của mô hình OSI đặc tả các tính chất, đặc tính

kết nối vật lý, tính chất điện của thiết bị trên mạng như: Các loại cáp được dùng

để nối các thiết bị, các loại tín hiệu được dùng khi chuyển dữ liệu trên cáp kết nối

mạng, các kỹ thuật nối mạch điện, và tốc độ truyền dẫn dữ liệu trên cáp truyền

dẫn. Phân loại các thiết bị mạng thuộc tầng này là HUB, MultiPlexer, Repeater.

Tầng 2: Liên kết dữ liệu (Datalink Layer)

Tầng LKDL (Liên kết dữ liệu) là tầng thường được dùng để định nghĩa

dòng thông tin ở dạng ‘khung’ khi truyền giữa các điểm vật lý trên mạng. Tầng

LKDL quy định được các dạng thức, kích thước của khung ‘frame’ thông tin

được truyền (ví dụ, khung ethernet).

Tầng 3: Tầng Mạng (Network Layer)

Tầng mạng có chức năng giao tiếp truyền thông tin trong mạng, trên các

mạng với nhau bằng cách định hướng (routing) cho các gói tin đi từ mạng này

đến mạng khác được thực hiện bởi giao thức định tuyến.

Tầng 4: Tầng Giao vận (Transport layer)

Đây là tầng đảm bảo dữ liệu của dịch vụ ứng dụng mạng được truyền giữa

các điểm kết nối logic trên mạng. Như vậy,nó định nghĩa các dịch vụ ứng dụng

cho các tầng trên nó (ví dụ, TCP của dịch vụ www là 80) thông qua số hiệu cổng,

kết kợp với các tầng dưới nó để thiết lập phương thức truyền dữ liệu tin cậy.

Tầng 5: Tầng phiên (Session Layer)

Tầng phiên thiết lập "các phiên giao dịch" giữa các ứng dụng trên máy tính

mạng. Các phiên truyền mang thông tin về tên của máy tính tham gia thực hiện

phiên truyền, khối lượng dữ liệu cần truyền. Tầng phiên đảm bảo cho các giao

dịch được thiết lập và duy trì theo đúng qui định của từng loại dịch vụ dữ liệu.

Tầng 6: Tầng Trình bày (Presentation Layer)

Trong giao tiếp giữa các ứng dụng thông qua mạng với cùng một dữ liệu có

thể có nhiều cách biểu diễn khác nhau. Thông thường dạng biểu diễn dùng bởi

ứng dụng nguồn và dạng biểu diễn dùng bởi ứng dụng đích có thể khác nhau do

các ứng dụng được chạy trên các hệ thống hoàn toàn khác nhau (như hệ máy

Intel và hệ máy Motorola). Tầng trình bày (Presentation layer) phải chịu trách

nhiệm chuyển đổi dữ liệu gửi đi trên mạng từ một loại biểu diễn này sang một

5

loại khác. Để đạt được điều đó nó cung cấp một dạng biểu diễn chung dùng để

truyền thông và cho phép chuyển đổi từ dạng biểu diễn cục bộ sang biểu diễn

chung và ngược lại.

Tầng 7: Tầng Ứng dụng (Application layer)

Tầng ứng dụng (Application layer) là tầng cao nhất của mô hình OSI, nó

định nghĩa giao diện giữa người sử dụng và ứng dụng mạng. Giải quyết các kỹ

thuật mà các chương trình ứng dụng dùng để giao tiếp với mạng.

1.2.Giao thức truyền thông mạng TCP/IP

TCP/IP là tập các giao thức truyền thông tin trên mạng theo chuẩn công

nghiệp được DoD (Department of Defense) thiết kế và ứng dụng, đảm bảo dữ liệu

truyền trên mạng được an toàn, quá trình truyền thông tin qua môi trường mạng

thông qua kết nối logic (kết nối ảo, chỉ tồn tại trong quá trình truyền thông tin).

Hình sau so sánh sự tương ứng giữa mô hình OSI với mô hình mạng TCP/IP.

Mô hình TCP/IP được phân chia làm 4 tầng, mục đích chủ yếu là đáp ứng

được các yêu cầu truyền dữ liệu trên mạng Internet dùng TCP/IP. Tầng ứng dụng

của DoD tương ứng với 3 tầng trên cùng của mô hình OSI. Tầng giao vận của OSI

ứng với tầng host-to-host, tầng mạng của OSI ứng với tầng Internet, và tầng cuối

cùng của DoD ứng với 2 tần còn lại của OSI. Ví dụ, khi ta xét SQL thuộc tầng ứng

dụng của DoD, hoặc tầng phiên của OSI.

Địa chỉ IP: (IP ver4)

6

Hình 1.5. So sánh mô hình OSI với mô hình DoD

Địa chỉ IP là địa chỉ logic 32 bít sử dụng để xác nhận máy tính trên mạng

dùng giao thức TCP/IP. Địa chỉ IP gồm hai phần: Phần định danh cho mạng và

phần định danh cho máy tính.

Định danh mạng dùng để nhận diện các máy trên cùng mạng logic

Định danh máy tính: nhận diện một máy trên mạng.

Như vậy, mỗi máy tính khi kết nối vào mạng đều có một địa chỉ duy nhất,

đó chính là địa chỉ IP. Địa chỉ này dùng để phân biệt máy tính đó với các máy

khác còn lại trên mạng.

Toàn bộ địa chỉ IP được chia vào 5 lớp khác nhau

Mạng riêng lớp A: có lớp mạng từ 10.0.0.0 đến 10.255.255.255

Mạng riêng lớp B: có lớp mạng từ 172.16.0.0 đến 172.31.255.255

Mạng riêng lớp C: có lớp mạng từ 192.168.0.0 đến 192.168.255.255

Trong cấu hình giao thức IP, phân biệt định danh lớp mạng với định danh

máy tính dựa vào mặt nạ mạng (subnet mask), lớp A có subnetmask chuẩn

255.0.0.0, lớp B là 255.255.0.0, và lớp C là 255.255.255.0. Tuỳ theo kiến trúc

mạng và cách sử dụng địa chỉ IP để định danh các subnet mask không chuẩn.

Loopback: địa chỉ vòng lặp, 127.0.0.1, là địa chỉ IP kiểm tra vòng lặp giao

tiếp mạng.

1.3. Kỹ thuật mạng LAN

1.3.1. Tổng quan mạng Ethernet (LAN)

Ethernet là mạng cục bộ do các công ty Xerox, Intel và Digital equipment

xây dựng và phát triển. Ethernet là mạng thông dụng nhất đối với các mạng nhỏ

hiện nay. Ethernet LAN được xây dựng theo chuẩn 7 lớp trong cấu trúc mạng của

ISO, mạng truyền số liệu Ethernet cho phép các loại máy tính khác nhau sử dụng

chuẩn giao tiếp Ethernet tham gia truyền thông trên môi trường mạng.

Ethernet có các đặc tính kỹ thuật chủ yếu sau đây:

Ethernet dùng cấu trúc mạng bus logic mà tất cả các nút trên mạng đều được

kết nối với nhau một cách bình đẳng. Mỗi gói dữ liệu gửi đến nơi nhận dựa

theo các địa chỉ quy định trong các gói. Ethernet dùng phương thức

CSMA/CD ( Carrier Sense Multiple Access with Collision Detection ) để xử

lý việc truy cập đồng thời vào mạng.

7

Các yếu tố hạn chế kích thước mạng chủ yếu là mật độ lưu thông trên mạng.

1.3.2. Các thiết bị dùng cho mạng Ethernet

Repeater: Thiết bị được dùng khi có nhu cầu khuếch đại tín hiệu trên

đường truyền dài. Khi tín hiệu được truyền tải trên mạng sẽ có suy hao do trở

kháng của dây dẫn, dẫn đến khả năng truyền đi trên đường truyền dài vược mức

quy định là khó đảm bảo chất lượng. Do vậy, ta cần có.

Hub: Về một khía cạnh xử lý truyền dẫn thì nó như một bộ ghép nối nhiều

repeater, nó có nhiều cổng (4,8 hay thậm chí 24 port). Hub được dùng để xây

dựng mạng Lan theo chuẩn Ethernet (mạng hình sao). Nhược điểm của HUB là

tốc độ xử lý truyền tin thấp (10Mbps), dễ gây ra tắc nghẽn, xung đột mạng. Hiện

nay, xu hướng dùng thiết bị fastHUB đạt được tốc độ 100Mbps, nhưng đối với

những mạng lớn kiểu kiến trúc phân tầng thì dùng HUB/fastHUB là một hạn chế

đối với tốc độ truyền tin trên mạng.

Bridge: Công nghệ này ưu điểm hơn HUB ở chỗ nó có thể xử lý thông tin

truyền dẫn trên mạng, nó làm việc tại tầng 2 của OSI nên có thể đọc được địa chỉ

vật lý (MAC addres) của khung tin. Như vậy bridge sẽ thông minh hơn HUB khi

mà nó có thể hiểu được khung tin truyền trên mạng được gửi từ máy tính nào, và

máy tính nào sẽ nhận gói tin đó dẫn đến giảm được xung đột mạng, tăng tốc độ

truyền tin.

Switch: Thiết bị này có thể hiểu là một bridge nhiều cổng, và ưu điểm khác

Bridge là nó được xử lý bằng mạch cứng. Switch có thể đọc được địa chỉ MAC

của khung tin nên các nhà sản xuất đã phát triển ưu điểm này thiết kế cho switch

có thể cấu hình bằng phần mềm khi có nhu cầu phân tách mạng tạo các mạng

LAN riêng (VLAN).

1.4. Các dịch vụ ứng dụng mạng cơ bản

1.4.1.Dịch vụ Web

Dịch vụ Web cung cấp thông tin để người dùng truy cập dịch vụ dưới dạng

World Wide Web (www). www cung cấp tài nguyên đơn giản chỉ bằng “định vị

trí và kích chuột”. Thông tin nhận được hiển thị ở dạng các trang Web, là thông

tin được lưu trữ trên máy chủ cung cấp dịch vụ Web, nó chứa đựng rất nhiều

8

dạng thông tin gồm hình ảnh, âm thanh, văn bản …Hơn thế nữa, trên chính các

trang web lại có những vị trí định vị để dẫn đường đến những trang thông tin

khác.

Rất nhiều các dịch vụ ngày nay phát triển dựa trên nền Web bởi sự tiện lợi

của nó là không phụ thuộc vào các thành phần phần cứng hay hệ điều hành, sự

tương thích với những giao thức mạng khác như FTP (File Transfer Protocol),

NNTP (Network News Transfer Protocol), Gopher, và Telnet.

Kiến trúc hoạt động của dịch vụ Web gồm có hai thành phần: Web server,

là máy tính cài đặt dịch vụ Web và lưu trữ thông tin dưới dạng các trang Web để

xuất bản trên mạng; Web client, là máy tính cài đặt trình duyệt web để truy xuất

và hiển thị thông tin dưới dạng các trang Web. Phần mềm cài đặt Web server có

thể là Apache (thường được cài đặt trên HĐH Linux), hay IIS (Internet

Information Server) trên dòng HĐH Windows. Trình duyệt web thường được

dùng là IE (Internet Explorer), hay Netscap Navigator.

1.4.2. Dịch vụ truyền file

Dịch vụ truyền file dược phát triển vào thời kỳ đầu tiên của mạng được

dùng để truyền các dạng file nhị phân (images, executable programs, compressed

ZIP files) và các file ASCII trên môi trường mạng. Dịch vụ WWW tích hợp dịch

vụ truyền file để hỗ trợ người dùng đăng tải (download/upload) thông tin.

Các thành phần của dịch vụ FTP gồm FTP server, và FTP client. FTP

server quản lý tài nguyên, giám sát người dùng truy cập dịch vụ. FTP Client yêu

cầu truy nhập dịch vụ trên FTP server kiểu hand-shake và dùng tập các lệnh như

(Get, Put, Quit,…) dựa trên nền giao thức TCP/IP để đảm bảo truyền file tin cậy.

1.4.3. Dịch vụ E-mail

Dịch vụ truyền thư điện tử trên mạng máy tính được phát triển để đáp ứng

nhu cầu truyền thông tin kiểu bản tin, file nhị phân, file văn bản dưới dạng thư

tín. Kiến trúc thư tín có địa chỉ người gửi, địa chỉ người nhận, thông tin cần

truyền dạng file đính kèm hoặc dạng văn bản soạn thảo ngay ở phần nội dung của

thư. Kiến trúc dịch vụ thư điện tử gồm có: CSDL lưu trữ người dùng E-mail,

9

CSDL xử lý lưu trữ E-mail dạng các hộp mail của người dùng, và giao thức trao

đổi E-mail.

Dịch vụ E-mail gồm E-mail Server là phần mềm cung cấp dịch vụ E-mail,

và phần mềm E-mail Client thường dùng để duyệt E-mail. Các phần mềm E-mail

Server hiện có trên thị trường là MDEAMON tiện lợi dễ dùng, Microsoft

Exchange chuyên nghiệp hơn ứng dụng cho môi trường doanh nghiệp vừa và lớn,

và Lotus Domino là giải pháp phần mềm tích hợp với ứng dụng chủ yếu là cung

cấp dịch vụ E-mail. Các phần mềm E-mail Client sẵn có như Microsoft Outlook,

Outlook Express,…

Giao thức truyền E-mail SMTP, (Simple Mail Transfer Protocol): là giao

thức được dùng để xử lý truyền (đẩy) E-mail từ Client lên E-mail Server hoặc từ

E-mail Server này đến E-mail Server khác. Nó là một giao thức tầng ứng dụng

chạy trên nền giao thức TCP/IP, thực hiện phiên truyền tin dùng cơ chế mở

socket (có cổng TCP là 25) thông qua một tập lệnh chuẩn , mỗi câu lệnh được kết

thúc bằng ký tự đặc biệt <CRTF>. Các lệnh cơ bản như HELO, MAIL, RCPT,…

POP (Post Office Protocol): Giao thức POP là giao thức ứng dụng cung

cấp dịch vụ E-mail trên nền giao thức TCP/IP, nó được Client sử dụng mỗi khi

mở socket (cổng TCP là 110) kết nối đến Mail Server để tải E-mail về ổ đĩa lưu

trữ trên Client. Sau khi socket được mở, dịch vụ E-mail có thể tiếp nhận và xử lý

các lệnh của POP. Các lệnh của POP đều được kết thúc bằng ký tự đặc biệt

<CRTF>. Những lệnh cơ bản như USER, PASS, LIST, …

Giao thức IMAP (Internet Message Access Protocol): là phương pháp truy

cập dịch vụ E-mail hoặc các bản tin được lưu trong thư mục dùng chung trên

Mail Server. mặt khác, nó cho phép các chương trình E-mail Client truy cập đến

10

SMTP server

POP Server

IMAP ServeruserMail box

Xử lý dịch vụE-mail Server

SMTP Client

POP Client

IMAP Client

Hình 1.10: Kiến trúc dịch vụ E-mail

các bản tin được lưu trữ trên Mail Server qua mạng diện rộng. Ví dụ, e-mail được

lưu trên một IMAP server có thể được đọc bởi một máy tính khác thông qua

mạng mà không cần phải trao đổi trên mạng toàn bộ nội dung của cả file, bản tin,

hay của e-mail.

1.4.4. Dịch vụ mạng Giao thức DNS, DHCP

Dịch vụ DNS (Domain Name System): là dịch vụ mạng sử dụng cả giao

thức TCP (Transmission Control Protocol) và UDP (User Datagram Protocol), là

một hệ cơ sở dữ liệu phân tán dùng để ánh xạ giữa các tên miền và các địa chỉ IP.

DNS đưa ra một phương pháp đặc biệt để duy trì và liên kết các ánh xạ này trong

một thể thống nhất. Trong phạm vi lớn hơn, các máy tính kết nối với internet sử

dụng DNS để tạo địa chỉ liên kết dạng URL (Universal Resource Locators). Theo

phương pháp này, mỗi máy tính sẽ không cần sử dụng địa chỉ IP cho kết nối.  

Dịch vụ DHCP (Dynamic host Configuration Protocol): DHCP là dịch vụ

mạng gồm có DHCP Client và DHCP Server. DHCP Server dùng để quản lý địa

chỉ IP của mạng, gán địa chỉ IP cho các DHCP Client (là những máy tính dùng

địa chỉ IP gán động). Dịch vụ DHCP kết hợp với dịch vụ DNS sẽ đơn giản cho

công việc quản trị mạng.

1.4 Kiến trúc ứng dụng Client/ Server

Trong kiến trúc Client-server, các thành phần phần mềm giao tiếp với nhau tạo

nên một dịch vụ ứng dụng. Client có ý nghĩa là một đối tượng yêu cầu sử dụng tài

nguyên, Server là đối tượng cung cấp tài nguyên. Client và Server có thể cùng trên

một hệ thống máy tính, nhưng trong thực tế thì Server thường được đứng riêng biệt,

các Client là các máy tính mạng sử dụng dịch vụ ứng dụng mà server cung cấp.

Kiến trúc Client/ Server có thể mô hình hoá như sau:

11Hình 1.11: Kiến trúc giao tiếp ứng dụng Client/ server

Khi xem xét ứng dụng CSDL dùng mô hình Client/ Server, Client quản lý

giao diện người dùng và logic ứng dụng (được hiểu là các thành phần phần mềm xử

lý thông tin phía Client). Client nhận các yêu cầu truy vấn dữ liệu từ phía người

dùng, kiểm tra cú pháp, và tạo một truy vấn SQL hoặc dạng ngôn ngữ truy vấn khác

tương ứng với logic ứng dụng (như XML). Sau đó nó truyền thông điệp đến Server,

chờ đợi sự trả lời, xư lý kết quả trả lại cho người dùng. Quá trình bao gồm kiểm tra,

toàn vẹn dữ liệu, duy trì System Catalog, và các quá trình truy vấn/cập nhật dữ liệu.

Hơn nữa, nó điều khiển đồng bộ, khôi phục dữ liệu.

Các thuận lợi của mô hình Client/server như sau:

Cho phép nhiều Client (máy tính) dùng chung CSDL

Tăng khả năng thực thi: Như khi Client và Server được cấu hình trên hai

máy tính riêng biệt, khi đó các CPU có thể xử lý các ứng dụng đồng thời

Giá thành phần cứng cho hệ thống giảm, vì chỉ cần tập trung RAM, ổ cứng,

CPU cho máy chủ.

Môi trường truyền thông chỉ cần băng thông đủ để truyền tải các yêu cầu

truy vấn, và các kết quả phản hồi.

Đảm bảo toàn vẹn dữ liệu, vì khi đó dữ liệu được lưu trữ tại một nơi, trên

máy chủ.

Dễ dàng thiết kế theo chuẩn mở.

Với kiến trúc Client/ server được mở rộng, khi đó có thể xử lý phân tán dữ

liệu, hoặc phân lớp kiến trúc theo mô hình hai lớp: Kiến trúc client/server phân tách

các chức năng thành phần của một ‘fat’ Client thành hai phần. Trong kiến trúc 3

lớp, ‘thin’ Client chỉ quản lý giao diện người dùng và lớp trung gian xử lý logic

ứng dụng, lớp thứ ba vẫn là Server quản lý CSDL. Kiến trúc ba lớp đã được nghiên

cứu ứng dụng trong nhiều môi trường, như Internet và các Intranet, các Client được

gọi là các trình duyệt Web.

12

Kiến trúc hai lớp Client-Server truyền thống: Các ứng dụng doanh nghiệp

dùng mô hình dữ liệu tập trung gồm có bốn thành phần chính như sau: CSDL, logic

xử lý các giao dịch, logic ứng dụng, và giao diện người dùng.VớI kiến trúc xử lý tập

trung sẽ kết hợp 4 thành phần trên vào cùng một Mainframe.

Để xây dựng được mô hình doanh nghiệp không tập trung đáp ứng nhu cầu gia

tăng của dịch vụ, kiến trúc Client-server được ứng dụng. Kiến trúc Client-Server

truyền thống sẽ phân lập các chức năng công việc. Client (thuộc tier 1) ứng với

công việc hiển thị dữ liệu người dùng, Server (tier 2) ứng với việc cung cấp các dịch

vụ dữ liệu cho Client. Các dịch vụ hiển thị quản lý các hoạt động giao diện của

người dùng, và các logic ứng dụng chính của doanh nghiệp. Các dịch vụ dữ liệu

cung cấp logic ứng dụng doanh nghiệp có giới hạn. Điển hình là xác định rằng

Client không thể thực hiện bởi vì sự thiếu hụt thông tin, và truy cập đến các dữ liệu

cần có tuỳ thuộc vào vị trí của nó. dữ liệu có thể là của DBMS quan hệ, DBMS

hướng đối tượng, hoặc các hệ thống quản lý truy cập dữ liệu bất kỳ khác. Điển hình

là, Client có thể chạy trên desktop của người dùng và giao tiếp với CSDL tập trung

thông qua môi trường mạng.

Kiến trúc ba lớp:

13

Hình 1.12: mô hình 2 lớp của kiến trúc phần mềm giao tiếp CSDL

Nhu cầu nâng cấp mở rộng hệ thống đối với sự phát triển của doanh nghiệp

thực sự cần thiết khi mà kiến trúc hai lớp gặp phải những hạn chế.

Một ‘fat’ client cần có tài nguyên phù hợp để xử lý công việc trên máy tính

Client. Nó cần có ổ cứng, RAM, CPU.

Sự phức tạp đối với yêu cầu quản trị trên máy tính Client.

Vào khoảng 1995, kiến trúc mới được đề xuất thay thế cho kiến trúc Client-

server, là kiến trúc ba lớp. Kiến trúc này cho thấy các ứng dụng chạy độc lập

tương đối với kiến trúc phần cứng của các máy tính trên mạng.

Lớp giao diện người dùng, chạy trên máy tính của người dùng cuối (Client)

Lớp xử lý dữ liệu và xử lý các đối tượng ứng dụng thành phần (business

logic), lớp này được gọi là lớp giữa chạy trên nền server và được gọi là

application server

Một DBMS, lưu trữ dữ liệu phục vụ cho các yêu cầu của lớp trung gian, lớp

này có thể chạy trên Server riêng biệt được gọi là Database Server.

Như được mô tả hình trên, Client chỉ còn một chức năng là xử lý giao diện

người dùng, và có thể thực hiện một số các đối tượng đơn giản của ứng dụng, như

xác nhận đầu vào, và nó gọi là Thin Client. Xử lý đối tượng lõi của ứng dụng đặt

14

Hình 1.13 : Mô hình 3 lớp của kiến trúc phần mềm giao tiếp CSDL

trên một lớp riêng biệt, kết nối vật lý đến Client và Database Server qua mạng Lan

hoặc qua mạng diện rộng. Ứng dụng Server được thiết kế để cùng lúc xử lý cho

nhiều Client truy nhập. Mô hình 3 lớp có nhiều ưu điểm hơn hai lớp ở chỗ:

Thin Client cần ít tài nguyên phần cứng

Tập trung xử lý các đối tượng ứng dụng phần mềm trên một Server. Như vậy

dễ quản lý, bảo trì.

Các modul chương trình được thay đổi trên từng lớp, hạn chế ảnh hưởng đến

ứng dụng.

Phân tách lõi ứng dụng phần mềm với giao tiếp CSDL giúp cho dễ dàng hơn

khi thực hiện cân bằng tải.

Ứng dụng của mô hình ba lớp nổi bật ở chỗ nó được ứng dụng trong các dịch

vụ WEB, Trình duyệt Web là Thin Client, Web Server là Application Server. Kiến

trúc ba lớp có thể mở rộng đến kiến trúc ‘n’ lớp. Như vậy, các lớp khác thêm vào

làm cho hệ thống dễ nâng cấp, tuỳ biến tốt hơn. Ví dụ, lớp trung gian của kiến trúc

3 lớp có thể phân thành hai lớp con, một lớp là Web Server và một lớp là

Application Server.

CHƯƠNG 2

PHƯƠNG PHÁP PHÁT TRIỂN MỞ RỘNG MẠNG

2.1. Tổng quan kiến trúc mạng WAN

WAN là một mạng truyền dữ liệu trên một khu vực địa lý rộng lớn và thường

sử dụng các phương tiện truyền dẫn của các nhà cung cấp như các công ty điện

thọai để truyền dẫn dịch vụ. Công nghệ hạ tầng cơ sở WAN tập trung ở 3 lớp dưới

của mô hình OSI : lớp vật lý, lớp LKDL và lớp mạng.

15

Hình 2.1: So sánh chuẩn OSI với chuẩn WAN

Kiến trúc mạng WAN bao gồm các kết nối gồm có điểm - điểm, chuyển mạch

- circuit switching , chuyển mạch gói - packet switching, mạch ảo, và các thiết bị

được sử dụng trong mạng WAN.

Kết nối điểm - điểm:

Kết nối điểm - điểm cung cấp cho khách hàng một đường kết nối WAN tới

một mạng ở xa thông qua mạng của nhà cung cấp dịch vụ.

Kết nối điểm - điểm còn được gọi là kênh thuê riêng ( leased line ) bởi vì nó

thiết lập một đường kết nối cố định cho khách hàng tới các mạng ở xa thông qua các

phương tiện của nhà cung cấp dịch vụ. Các công ty cung cấp dịch vụ dự trữ sẵn các

đường kết nối sử dụng cho mục đích riêng của khách hàng. Những đường kêt nối

này phù hợp với hai phương thức truyền dữ liệu :

16

Hình 2.2: Mô hình kết nối điểm -điểm (point –to-point)

Truyền bó dữ liệu (Datagram transmissions): Truyền dữ liệu mà các khung

dữ liệu được đánh địa chỉ riêng biệt.

Truyền dòng dữ liệu (Data-stream transmissions): Truyền một dòng dữ liệu

mà địa chỉ chỉ được kiểm tra một lần.

Chuyển mạch kênh (Circuit switching):

Chuyển mạch kênh là một phương pháp sử dụng các chuyển mạch vật lý để

thiết lập, bảo trì và kết thúc một phiên làm việc thông qua mạng của nhà cung cấp

dịch vụ của một kết nối WAN.

Chuyển mạch kênh phù hợp với hai phương thức truyền dữ liệu : Truyền bó

dữ liệu và Truyền dòng dữ liệu, được sử dụng rộng rãi trong các công ty điện thọai,

chuyển mạch kênh hoạt động tương tự một cuộc gọi điện thoại thông thường.

Chuyển mạch gói - Packet Switching:

17

Hình 2.3: Mô phỏng chuyển mạch mạng WAN

Hình 2.4: Chuyển mạch gói dữ liệu qua mạng của nhà cung cấp dịch vụ

Chuyển mạch gói là một phương pháp chuyển mạch WAN, trong đó các thiết

bị mạng chia sẻ một kết nối điểm - điểm để truyền một gói dữ liệu từ nơi gửi đến

nơi nhận thông qua mạng của nhà cung cấp dịch vụ. Các kỹ thuật ghép kênh được

sử dụng để cho phép các hiết bị chia sẻ kết nối .

ATM ( Asynchronous Transfer Mode : Truyền không đồng bộ.), Frame relay,

SMDS- Switched Multimegabit Data Service, X.25 là các ví dụ của công nghệ

chuyển mạch gói .

Mạch ảo - Virtual Circuits: Mạch ảo là một mạch logic được tạo nên để đảm

bảo độ tin cậy của việc truyền thông giữa hai thiết bị mạng. Mạch ảo có 2

loại :Mạch ảo chuyển mạch ( Switched virtual circuit - SVC ) và mạch ảo cố định

( permanent virtual circuit - PVC).

2.2. Công nghệ xử lý truyền dẫn trên mạng diện rộng

Các giao thức nối tiếp đồng bộ (Synchronous Serial Protocols):

Các giao thức nối tiếp đồng bộ sử dụng tín hiệu đồng hồ chính xác giữa DCE

và DTE để truyền dữ liệu theo thời gian. Trong truyền thông đồng bộ, một số lượng

lớn khung dữ liệu được gửi đi khi đồng hồ đồng bộ và tốc độ truyền dữ liệu được

xác lập từ trước. Đây là phương pháp truyền thông sử dụng băng thông rất hiệu quả,

và các giao thức truyền tín hiệu đồng bộ bao gồm: V.35, X.21, RS-449, RS-530, RS

-232 (EAI/TIA).

Mặc dù mỗi giao thức “giao diện” sử dụng một loại bộ kết nối riêng, phần lớn

các bộ kết nối có thể được sử dụng cho nhiều giao diện khác nhau. Thông thường,

loại phần cứng bạn có sẽ quyết định bộ kết nối nào được sử dụng. Trong thực tế,

hãy kiểm tra số đầu cắm trong bộ kết nối để chắc chắn nó phù hợp với cổng nối tiếp

của thiết bị. Những loại bộ kết nối phổ biến gồm (các số thể hiện số chân cắm trong

bộ kết nối): DB60, DB15, DB25, DB9.

18

Các giao thức không đồng bộ (Asynchronous Protocol): Các giao thức

truyền không đồng bộ sẽ đưa thêm các bít bắt đầu (start bit) và bit kết thúc (stop bit)

vào mỗi gói tin để truyền tin, thay vì bắt buộc thiết bị gửi và thiết bị nhận sử dụng

thoả thuận trước về nhịp đồng hồ. Truyền tín hiệu không đồng bộ thường được sử

dụng giữa 2 modem. Tuy nhiên, đây là phương pháp truyền có phụ phí vì các bit

phụ thêm sẽ làm chậm tốc độ truyền dữ liệu.

Các giao thức không đồng bộ được sử dụng để thiết lập chuẩn cho truyền

thông của các modem tương tự. Một modem có thể hỗ trợ một hoặc nhiều chuẩn

truyền thông không đồng bộ khác nhau. Các giao thức truyền thông không đồng bộ

bao gồm: V92, V.45, V.35. V.34. V.32, V.32 bis, V.32 turbo.V.22.

Truyền tín hiệu không đồng bộ sử dụng đường dây điện thoại và jack cắm chuẩn.

Các bộ kết nối có thể là: RJ-11 (2dây), RJ-45 (4 dây), RJ-48.

Các phương pháp đóng gói dữ liệu trong mạng WAN: Các giao thức lớp

vật lý của mạng WAN sẽ xác định phần cứng và phương pháp truyền tín hiệu bit.

Các giao thức thuộc lớp liên kết dữ liệu sẽ kiểm soát những chức năng dưới đây:

Kiểm tra và sửa lỗi.

Thiết lập liên kết.

Tổ chức các trường (field) của khung dữ liệu.

Điều khiển luồng điểm tới điểm (point-to-point flow control).

Các giao thức lớp liên kết vật lý còn xác định phương pháp đóng gói dữ liệu

hoặc định dạng của khung dữ liệu. Phương pháp đóng gói dữ liệu trong mạng WAN

19

Hình 2.5: Mô phỏng Truyền dữ liệu đồng bộ Truyền dữ liệu không đồng bộ

thường được gọi là HDLC (high-level data link control - điều khiển liên kết dữ liệu

mức cao). Thuật ngữ này vừa là tên chung cho các giao thức Liên kết Dữ liệu vừa là

tên của một giao thức trong bộ giao thức và dịch vụ mạng WAN. Tuỳ thuộc vào

dịch vụ mạng WAN và phương pháp kết nối, bạn có thể sử dụng một trong những

phương pháp đóng gói dữ liệu sau đây:

Cisco HDLC cho kết nối đồng bộ, điểm tới điểm với các bộ định tuyến Cisco

khác.

LAPB cho mạng X.25.

LAPD, sử dụng kết hợp với các giao thức khác cho các kênh B trong mạng

ISDN.

Cisco/IETF cho các mạng Frame Relay.

Hình trên cho chúng ta thấy những phương pháp đóng gói dữ liệu thông

thường nhất và cách thức sử dụng cho các loại kết nối mạng WAN điển hình. Như

có thể thấy trong hình vẽ, PPP là phương pháp linh hoạt có thể sử dụng cho nhiều

loại kết nối mạng WAN . Nói chung, sử dụng phương pháp nào sẽ phụ thuộc vào

loại của dịch vụ mạng WAN, chẳng hạn Frame Relay hay ISDN, và cả phương

pháp đóng gói dữ liệu của nhà cung cấp dịch vụ mạng.

20

Hình 2.6: Mô phỏng các kết nối WAN điển hình

2.3. Thiết bị tích hợp mạng diện rộng

a. Modem số:

Modem số khác với các loại modem tương tự (chuẩn V90, V92) bởi khả năng

xử lý số, tốc độ xử lý tương thích với các hệ thống phân cấp số chuẩn Châu âu,

chuẩn Châu á

b. CSU/DSU (Chanel Service Unit/Data Service Unit):

Đây là thiết bị kết nối các mạng với đường truyền tốc độ cao như T1. Thiết bị

này định dạng các dòng dữ liệu thành các khuôn dạng khung (framing) và xác định

mã đường truyền cho các đường truyền số. Một số CSU/DSU còn là các bộ dồn

kênh, hoặc được tích hợp sẵn trong các bộ định tuyến. CSU/DSU khác hơn so với

modem số. Modem chuyển dữ liệu từ dạng tương tự sang dạng số và ngược lại

trong khi đó CSU/DSU chỉ định dạng lại các dữ liệu từ dạng số đã có.

CSU nhận tín hiệu và truyền tín hiệu nhận được tới đường dây mạng WAN,

phản xạ tín hiệu trả lời khi các công ty điện thoại cần kiểm tra thiết bị và

ngăn nhiễu điện từ.

DSU tương tự như một modem giữa DTE và CSU. Nó chuyển các khung dữ

liệu từ định dạng sử dụng trong mạng LAN thành định dạng sử dụng trên

đường T-1 và ngược lại. Nó còn quản lý đường dây, lỗi phân chia thời gian

và tái tạo tín hiệu.

c. Thiết bị chuyển mạch:

Công nghệ ngày nay có thể hiểu khái niệm về switch rộng hơn, nó không chỉ

hạn chế ở tầng 2 của OSI mà nó được coi là một thiết bị chuyển mạch gói tin,

chuyển mạch kênh thông tin, hoặc switch nhiều lớp.

21

Hình 2.7: kết nối mạng dùng Modem số

d.Router: Là thiết bị được dùng khi thực hiện kết nối hai loại mạng khác

nhau. Chức năng của nó là định tuyến (dẫn đường “routing”) cho gói tin có thể đi từ

mạng này sang mạng kia. Các gói tin khi truyền trên mạng cần biết được đường để

đến đích (chuyển từ mạng này đến mạng khác), thông tin lưu trữ đường đi của gói

tin được lưu trữ trong bảng định tuyến của router với các giá trị trong bảng routing

table (bảng chứa đường dẫn đến các mạng).

e. Multiplexer (Bộ dồn kênh):

Như hình vẽ dưới đây, bộ dồn kênh hoạt động tại hai đầu của đường truyền.

22

Hình 2.8: Mô phỏng mạng chuyển mạch WAN

Hình 2.9: Mô hình kết nối Router trong WAN

Hình 2.10: Mô tả kết nối bộ dồn kênh trong WAN

Tại đầu gửi tín hiệu, bộ dồn kênh là thiết bị kết hợp tín hiệu từ hai hay nhiều

thiết bị khác để truyền trên một đường truyền. Tại đầu nhận, một bộ dồn kênh với

chức năng giải kênh sẽ tách tín hiệu kết hợp thành tín hiệu riêng rẽ như ban đầu.

Nhiều bộ định tuyến trên mạng WAN có tích hợp sẵn các bộ dồn kênh.

Bộ dồn kênh thống kê (Statistical multiplexer): Sử dụng các kênh ảo riêng biệt

trên cùng một đường truyền vật lý để gửi đồng thời những tín hiệu khác nhau. (các

tín hiệu được chuyển cùng một lúc trên đường truyền).

Bộ dồn kênh phân chia theo thời gian (Time-division multiplexer): Gửi các gói

dữ liệu của các tín hiệu khác nhau ở những khoảng thời gian khác nhau. Thay vì

chia đường truyền vật lý thành các kênh, nó cho phép các dòng dữ liệu sử dụng

đường truyền ở những “khe” thời gian xác định (các tín hiệu lần lượt được sử dụng

đường truyền trong những khoảng thời gian ngắn).

f. Access Server:

Access Server có chức năng quản lý các luồng thông tin truy nhập trên WAN

vào trong mạng LAN.

2.4. Phương tiện truyền dẫn trong mạng diện rộng.

2.4.1. Công nghệ đường dây thuê bao số xDSL

Đường dây thuê bao số (DSL) là công nghệ làm tăng khả năng truyền dẫn

thông tin trên đường điện thoại thông thường (các tổng đài PSTN địa phương)

của các gia đình, văn phòng. Tốc độ đường DSL phụ thuộc vào khoảng cách giữa

khách hàng và tổng đài cung cấp số cho thuê bao. Trên đường DSL có thể truyền

đồng thời các tín hiệu thoại, hình ảnh, dữ liệu. DSL có hai dạng là DSL đối xứng,

và DSL không đối xứng. DSL không đối xứng (ADSL) dùng để làm đường kết

23

Hình 2.11: Mô tả kết nối Access Server trong WAN

nối truy cập Internet, nó có thể cấp cho băng thông đường xuống từ 1.5Mbps –

8Mbps, băng thông đường lên từ 64Kbps-640Kbps.

DSL đối xứng (SDSL, HDSL…) được xây dựng để phục vụ cho mạng

truyền dữ liệu.

Công nghệ ADSL:(Asymmetric Digital Subscriber Line)

ASDL là một chuẩn được Viện tiêu chuẩn quốc gia Hoa Kỳ thông qua năm

1993 và gần đây đã được Liên minh viễn thông quốc tế ITU công nhận và phát

triển. ADSL có thể coi là công nghệ ghép kênh theo tần số (FDM) ghép các kênh

truyền logic trên đường truyền vật lý. Những kênh truyền logic được thiết lập bởi

hệ thống modem số ở hai đầu dây điện thoại. Trên dải thông tần quy định cho

đường lên, đường xuống, tốc độ đường xuống có ưu điểm là cao hơn (1,544

Mbps đến 8 Mbps), trong khi đường lên đạt tốc độ 64kbps đến 640kbps.

24

Hình 2.12: Cấu trúc chung của mạng cung cấp dịch vụ băng rộng

Hình 2.13: Sử dụng băng tần của ADSL

Kỹ thuật xử lý băng thông ADSL: Băng thông lớn nhất được hỗ trợ trên cặp

dây dẫn dùng cáp đồng là 1MHz, nó được chia làm ba phần riêng biệt:

Băng thông cho tín hiệu thoại thông thường

Kênh đường xuống phần tốc độ bit cao

Kênh đường lên tốc độ bit thấp

Phương pháp xử lý ghép kênh như sau: Trên dải thông tần, phần băng tần

cho tín hiệu thoại được giữ nguyên, Các phần băng tần xử lý cho đường

uplink/downlink được phân chia thành các dải tần nhỏ hơn, mỗi dải thông tần

nhỏ do một cặp modem ở hai đầu ADSL xử lý, sao cho thông tin có thể được

mang trên dải thông tần đó. Thông tin sẽ được ghép lại bởi một hệ thống các

modem bên trong thiết bị ADSL. Như vậy, chức năng ghép kênh theo tần số sẽ

tạo được băng thông rộng khi ghép các băng thông con lại với nhau.

2.4.2. Công nghệ ISDN.

Dịch vụ ISDN (Intergrated Services Digital network) là mạng số tích hợp

đa dịch vụ cho phép tiếng nói, văn bản, hình ảnh và video truyền đồng thời qua

đôi dây điện thoại thường. ISDN có thể thực hiện nhiều kết nối trên đôi dây này

tại cùng một thời điểm với tốc độ cao. Các ứng dụng bao gồm: Voice, Fax, Data,

và email đồng thời; hội nghị truyền hình giá thấp; quảng bá từ xa và truyền audio

chất lượng cao.

Ứng dụng phổ biến nhất của ISDN là kết nối quay số truy cập Internet tốc

độ cao và dịch vụ kết nối LAN-LAN giữa hai văn phòng cách xa nhau. ISDN

cũng được sử dụng rộng rãi trong dịch vụ video như điện thoại thấy hình: cho

phép truyền đồng thời hình ảnh và âm thanh giữa hai điểm, nhờ vậy hai bên có

thể cùng lúc đàm thoại và thấy hình ảnh của nhau. Ngoài ra truyền fax qua ISDN

sẽ đạt tốc độ và chất lượng cao. Kênh truyền số ISDN có các cấp bậc khác nhau:

2.4.3. Frame relay.

Frame Relay là dịch vụ nối mạng dữ liệu theo phương thức chuyển mạch

gói, hoạt động ở mức liên kết (link level) và rất thích hợp với truyền số liệu dung

lượng lớn. Về mặt cấu trúc, Frame Relay đóng gói dữ liệu và chuyển đi theo

cùng cách thức được sử dụng bởi dịch vụ X25. Khác biệt là X25 được cài đặt ở

25

mức 2 (mức vật lý) và mức 3 (mức mạng) trong mô hình OSI (Open System

Interconnection), trong khi Frame Relay chỉ đơn giản là một giao thức ở mức 2,

bỏ qua các tiện ích sửa lỗi trong cấu trúc khung, điều khiển luồng thông tin (flow

control). Khung có lỗi sẽ bị hủy bỏ chứ không sửa chữa, nhờ vậy thời gian xử lý

tại bộ chuyển mach giảm, nên Frame Relay dạt mức thông lượng cao hơn cả mức

cao nhất của X25.

       Frame Relay, cũng như X25, tiết kiệm đáng kể so với đường thuê riêng

(private linh) nhờ tính năng dồn kênh cho phép thiết lập nhiều kết nối (hoặc cuộc

thoại) trên cùng một đường dây vật lý. Trên đường vật lý kết nối duy nhất, Frame

Relay hỗ trợ nhiều ứng dụng khác nhau của khách hàng như: TCP/IP, NetBIOS,

SNA..., cho cả các ứng dụng thoại. Nhờ vậy tiết kiệm chi phí băng thông, đường

dây cũng như thiết bị truyền dẫn và thiết bị kết nối.

2.4.4. Công nghệ ATM:

Chế độ truyền không đồng bộ (Asynchoronous Trangfer Mode - ATM).

Là một chuẩn của ITU-T dùng chuyển tiếp tế bào (là những gói tin kích

thước nhỏ 53 byte) sử dụng cho nhiều loại dịch vụ như tiếng nói, hình ảnh, dữ

liệu.. đáp ứng được thời gian thực.

Các thiết bị ATM:ATM là công nghệ dồn kênh và chuyển mạch tế bào, nó

là tổng hợp các ưu điểm của chuyển mạch kênh (đảm bảo dung lượng và trễ

truyền cố định) với ưu điểm của chuyển mạch gói (xử lý mềm dẻo lưu lượng hay

gián đoạn). ATM cũng cung cấp dải thông biến đổi từ vài Megabit/giây đến

nhiều Gigabit/giây. ATM là công nghệ không đồng bộ có nhiều ưu điểm hơn so

với các công nghệ như truyền đồng bộ, ghép kênh theo thời gian (TDM). Trong

ghép kênh phân chia theo thời gian thiết bị tham gia truyền thông được gán cố

định cho một khe thời gian. Đối với ATM, khe thời gian được xử lý mềm dẻo và

có thể giải phóng ngay sau khi kết thúc phiên truyền thông.

26Hình 2.14: Mô tả kiến trúc mạng ATM

Một mạng ATM được tạo nên bởi một chuyển mạch ATM và các điểm cuối

ATM. Chuyển mạch ATM tiếp nhận các tế bào vào từ một điểm cuối hoặc một

chuyển mạch ATM khác. Nó đọc và cập nhật thông tin trong phần mào đầu

“header” của tế bào và nhanh chóng chuyển tiếp tế bào đó đến đích. Một điểm

cuối ATM (hoặc là hệ thống cuối) có chứa một bộ tiếp hơp giao diện mạng

ATM, và có thể là trạm làm việc, hay bộ chọn đường…

Các dịch vụ ATM:

Có ba kiểu dịch vụ ATM là: loại kênh ảo cố định (PVC, Permanent Virtual

Chanel), kênh ảo chuyển mạch (SVC, Switching Virtual Chanel), và dịch vụ

không kết nối. PVC cho phép kết nối trực tiếp giữa các vị trí tương tự với đường

thuê bao riêng, SVC được tạo ra và duy trì trong quá trình truyền dữ liệu, huỷ kết

nối sau khi hoàn thành quá trình truyền tin.

ATM dùng hai kiểu kết nối: Tuyến ảo, được xác định bằng số hiệu tuyến ảo

(VPI); kênh ảo (VC), được xác định bởi tổ hợp tuyến ảo và số hiệu kênh ảo.

2.4.5. Đường thuê bao kênh riêng(leased line):

Cách kết nối phổ biến nhất hiện nay giữa hai điểm có khoảng cách xa vẫn là

Leased Line (tạm gọi là đường thuê bao). Leased Line là các mạch số (digital

circuit) kết nối liên tục, được các công ty viễn thông cho thuê, nên có tên là

Leased Line. Leased Line được phân làm hai lớp chính là Tx (theo chuẩn của Mỹ

và Canada) và Ex (theo chuẩn của châu Ấu, Nam Mỹ và Mehicô), x là mã số chỉ

băng thông (bandwidth) của kết nối. Thông số kỹ thuật của các đường truyền Tx

và Ex được liệt kê trong bảng dưới.

27

Hình 2.15: Kênh ảo (VC) và tuyến ảo (VP) trong ATM

Bảng2.2: Phân cấp băng thông đường leased line

CHƯƠNG 3AN NINH MẠNG

3.1. Tổng quan an ninh mạng.

Khai thác hệ thống thông tin hiệu quả là nhu cầu thiết thực nhất đối với một

doanh nghiệp, tính hiệu quả của khai thác thông tin phụ thuộc rất nhiều vào chất

lượng thông tin nhận được. Môi trường thông tin doanh nghiệp bên cạnh những mặt

lợi ích là những rủi ro gặp phải. Rủi ro có thể bắt nguồn từ nhiều nguyên nhân khác

nhau như: Sự rò rỉ thông tin quan trọng ra bên ngoài, sự mất mát & sai khác thông

tin quan trọng gây ra bởi tác động của con người. Để ngăn chặn những rủi ro không

đáng có cần có những biện pháp để bảo mật, an ninh của doanh nghiệp chống lại

những sự tấn công can thiệp từ bên ngoài, những hành vi tác động ở bên trong

mạng.

Yêu cầu cấp thiết của an toàn bảo mật thông tin ngày nay, đặc biệt trong môi

trường mạng Internet là nhiệm vụ chung của các quốc gia, các tổ chức tham gia trao

đổi thông tin trên môi trường mạng. Các tiêu chuẩn an toàn bảo mật được phát triển,

ta có thể biết thông qua chuẩn ISO/IEC 17799, RFC 2401, 2402…

28

Chiến lược doanh nghiệp: (Xây dựng mô hình quản lý các nguy cơ an ninh

thông tin)

o Bảo vệ dữ liệu doanh nghiệp, tài sản doanh nghiệp.

o Xây dựng, và bảo vệ các giao dịch tin cậy với các khách hàng, các đối tác.

o Hoạch định các nguy cơ bảo mật

o Xây dựng hệ thống an ninh thông tin cho doanh nghiệp

Quy trình hoạt động doanh nghiệp: (xây dựng những giải pháp an toàn

thông tin)

o An ninh thông tin doanh nghiệp hoạt động liên tục

o Giảm thiểu chi phí quản lý và quản trị an ninh thông tin.

o Duy trì chính sách bảo mật thông tin riêng cho từng ứng dụng cụ thể

Ứng dụng doanh nghiệp: (bảo vệ an toàn các ứng dụng doanh nghiệp)

o Quản lý định danh người dùng truy cập, khai thác mạng doanh nghiệp

o Tăng cường kiểm tra, giám sát người dùng mạng

o Thực hiện các giải pháp ứng với các mức an ninh thông tin tương xứng

o Chủ động triển khai các giải pháp an ninh thông tin ứng dụng công nghệ

mới

Hạ tầng hệ thống thông tin: (an toàn hạ tầng cơ sở HTTT)

o Phát hiện và quản lý xâm nhập trái phép

29

Chiến lược doanh nghiệp

Quy trình hoạt động doanh nghiệp

Ứng dụng doanh nghiệp

Hạ tầng cơ sở hệ thống thông tin

Hình 3.1: Mô hình kiến trúc an ninh thông tin của doanh nghiệp

o Sử dụng các phương pháp mới, công nghệ mới

o Chọn lựa các thành phần xây dựng hệ thống an ninh thông tin

o Quản lý an ninh hạ tầng cơ sở HTTT

3.2. An ninh trên hạ tầng cơ sở

3.2.1. Dùng PKI (Public Key Infrastructure).

Cấu trúc hạ tầng mã khoá công cộng (PKI - Public Key Infrastructure - hay

còn gọi là Hạ tầng mã khoá bảo mật công cộng hoặc Hạ tầng mã khoá công khai)

cùng các tiêu chuẩn và các công nghệ ứng dụng của nó có thể được coi là một

giải pháp tổng hợp và độc lập. PKI bản chất là một hệ thống công nghệ vừa mang

tính tiêu chuẩn, vừa mang tính ứng dụng được sử dụng để khởi tạo, lưu trữ và

quản lý các chứng thực điện tử (digital certificate) cũng như các mã khoá công

cộng và cá nhân. Sáng kiến PKI ra đời năm 1995, khi mà các tổ chức công

nghiệp và các chính phủ xây dựng các tiêu chuẩn chung dựa trên phương pháp

mã hoá để hỗ trợ một hạ tầng bảo mật trên mạng Internet. Tại thời điểm đó, mục

tiêu được đặt ra là xây dựng một bộ tiêu chuẩn bảo mật tổng hợp cùng các công

cụ và lý thuyết cho phép người sử dụng cũng như các tổ chức (doanh nghiệp

hoặc phi lợi nhuận) có thể tạo lập, lưu trữ và trao đổi các thông tin một cách an

toàn trong phạm vi cá nhân và công cộng.

Giờ đây, những nỗ lực hoàn thiện PKI vẫn đang được đầu tư và thúc đẩy.

Và để hiện thực hoá ý tưởng tuyệt vời này, các tiêu chuẩn cần phải được nghiên

cứu phát triển ở các mức độ khác nhau bao gồm: mã hoá, truyền thông và liên

kết, xác thực, cấp phép và quản lý. Nhiều chuẩn bảo mật trên mạng Internet,

chẳng hạn Secure Sockets Layer/Transport Layer Security (SSL/TLS) và Virtual

Private Network (VPN), chính là kết quả của sáng kiến PKI. Một minh chứng là

thuật toán mã hoá bất đối xứng được xây dựng dựa trên phương pháp mã hoá và

giải mã thông tin sử dụng hai loại mã khoá: công cộng và cá nhân. Trong trường

hợp này, một người sử dụng có thể mã hoá tài liệu của mình với mã khoá bí mật

và sau đó giải mã thông tin đó bằng chìa khoá công cộng. Nếu một văn bản có

chứa các dữ liệu nhạy cảm và cần phải được truyền một cách bảo mật tới duy

nhất một cá nhân, thông thường người gửi mã hoá tài liệu đó bằng mã khoá riêng

và người nhận sẽ giải mã sử dụng mã khoá công khai của người gửi. Mã khoá

30

công khai này có thể được gửi kèm theo tài liệu này hoặc có thể được gửi cho

người nhận trước đó.

Bởi sự tồn tại của khá nhiều thuật toán bất đối xứng, các chuẩn công cộng

tồn tại và thường xuyên được nghiên cứu cải tiến để phù hợp các thuật toán đó.

Có một minh chứng khá đơn giản: Nếu những người sử dụng làm việc ở các tổ

chức khác nhau và chỉ có thể truyền thông với nhau qua một mạng công cộng,

chẳng hạn Internet, như vậy sẽ cần phải xây dựng các tiêu chuẩn ở từng bước

khác nhau. Thứ nhất, cần phải xác định phương thức các chứng thực được phát

hành. Một người nhận được xác thực cần phải chấp nhận tính hợp lệ của chứng

thực đó và tin tưởng bộ phận thẩm quyền phát hành chứng thực đó. Thứ hai, các

chuẩn phải thiết lập phương thức các chứng thực được truyền thông giữa các chủ

thể (đơn vị hoặc bộ phận) khác nhau. Email và các dạng truyền thông khác đều

dựa trên các tiêu chuẩn công nghệ và thông thường các chuẩn này không nhất

thiết phải hỗ trợ PKI. Để hiện thực hoá kịch bản như mô tả ở trên, ta cần phải có

các quy tắc và tiêu chuẩn hỗ trợ việc các chứng thực được phát hành bởi các chủ

thể có thẩm quyền khác nhau có thể trao đổi và giao dịch giữa các tổ chức khác

nhau. Thứ ba, các tiêu chuẩn phải định nghĩa rõ được các thuật toán có thể và

phải bao gồm. Cuối cùng, các tiêu chuẩn phải chỉ ra được cách thức duy trì các

hạ tầng cấu trúc truyền thông. Bên cạnh đó, chúng cũng phải xây dựng được

danh sách người dùng được cấp chứng thực và danh sách những chứng thực bị

huỷ bỏ. Hãy quyết định cách thức các thẩm quyền cấp chứng thực khác nhau sẽ

được truyền thông với nhau và phương pháp tái lập lại một chứng thực trong

trường hợp xảy ra mất mát.

Cấu trúc PKI trong các hạ tầng HTTT được sử dụng trong các ứng dụng

mạng. Như khi có website sử dụng SSL/TLS, như khi kết nối và làm việc trong

mạng nội bộ sử dụng chuẩn VPN và Point To Point Tunneling Protocol (PPTP),

hoặc như khi đang dùng các tính năng mã hoá của IPSec.

PKI có thể đảm bảo một cơ chế bảo mật và tổng hợp để lưu trữ và chia sẻ

các tài sản trí tuệ của tổ chức doanh nghiệp, cả trong và ngoài phạm vi tổ chức.

Tuy nhiên, chi phí và/hoặc sự phức tạp của nó có thể gây ra những rào cản nhất

định đối với khả năng ứng dụng.

31

Những vấn đề phức tạp có thể được hiểu như sau: Đa phần các giao dịch

truyền thông của doanh nghiệp với khách hàng, chính quyền và các đối tác khác

đều được diễn ra một cách điện tử. Khi ta nhận thức được tất cả các kênh khác

nhau trong các giao dịch đó, ta sẽ là một trong số ít các chuyên gia IT giỏi nhất.

Một khi ta mở cánh cửa đối với email, phải thừa nhận rằng mọi thứ có thể gửi đi

sẽ được gửi đi, không kể đó là giữa các đối tác, trong nội bộ công ty hay thậm chí

vượt qua “ranh giới” công ty. Một ví dụ trong số đó là một người nhận "bên

ngoài" có tên trong dòng Cc có thể nhận được một tài liệu mật và gửi nó trên các

kênh không an toàn khác. Khi có ý định giải quyết vấn đề này hoặc các vấn đề

khác tương tự, một công việc quan trọng là cần phải quyết định về mức độ mở

rộng của “biên giới" bảo mật, những tài sản " bạn phải bảo vệ, và mức độ bất hợp

lý bạn sẽ phải áp dụng đối với những người dùng”.

Ngày nay, một giải pháp an ninh toàn diện cạnh tranh với PKI thực sự chưa

được tìm thấy. Từ góc độ giải pháp công nghệ, điều này làm cho việc chọn lựa

trở nên đơn giản hơn. Nhiều hãng khác cũng cung cấp các giải pháp PKI, song

nếu doanh nghiệp đã từng được đầu tư cho các công nghệ của Microsoft, thì có

thể sẽ tận dụng được những lợi thế mà tập đoàn này hỗ trợ. Với những cải tiến

lớn với PKI trong Windows XP Professional (dành cho máy trạm) và Windows

Server (dành cho máy chủ) Microsoft đưa ra giải pháp có thể giải quyết được các

vấn đề chính liên quan tới một chính sách bảo mật PKI. Những tính năng này,

cùng khả năng quản lý và liên kết PKI, đã được tích hợp vào hệ điều hành và các

ứng dụng có liên quan.

PKI cho phép tạo ra một quan hệ tin cậy giữa các chứng thực của các tổ

chức khác nhau và giải pháp PKI của Windows Server 2003 cũng bao gồm tính

năng này. Nó giúp các doanh nghiệp bắt đầu với một phạm vi quan hệ tin cậy

không lớn và cho phép mở rộng phạm vi này trong tương lai.

3.2.2. Dùng RSA

Khái niệm RSA:

RSA là một hệ thống bảo mật khoá công cộng cho cả hai cơ chế mã hoá và

xác thực; nó được phát minh vào năm 1977 bởi Ron Rivest, Adi Shamir, và

32

Leonard Adleman. RSA được ứng dụng trong cả hai lĩnh vực an ninh thông tin là

Mã hoá RSA privacy và Xác thực RSA.

Mã hoá RSA privacy: Giả định rằng người A muốn gửi cho người B một

bản tin m, A tạo một văn bản dạng mã hoá c tạo bởi (c=me mod n), e và n là

khoá công cộng của người B. Người A gửi c cho người B. Để giải mã, người B

thực hiện m=cd mod n; Mối liên hệ giữa e và d đảm bảo rằng người B khôi phục

đúng n. Vì chỉ người B biết d, do vậy chỉ người B có thể giải mã.

Xác thực RSA: Giả định người A muốn gửi cho người B bản tin m theo cái

cách mà người B được đảm bảo rằng bản tin là tin cậy và được gửi từ người A.

người A tạo một dạng chữ ký số hoá s bởi công thức: s=md mod n, d và n là khoá

riêng của người A. Người A gửi m và s cho người B. Để xác minh lại chữ ký số,

người B dùng công thức m=se mod n dựa trên bản tin m nhận được, e và n là

khóa công cộng của người A.

Vì thế, mã hoá và xác thực có thể được sử dụng mà không cần phải chia sẻ

khoá riêng, mỗi người chỉ dùng khoá công cộng của người khác và khoá riêng

của chính mình. Bất kỳ người nào có thể gửi một bản tin đã mã hoá hoặc xác

minh lại bản tin đã được xác nhận chữ ký số, bằng cách chỉ dùng khoá chung,

nhưng chỉ người nào đó có được khoá riêng đúng thì có thể giải mã hoặc xác

thực bản tin.

Ứng dụng RSA:

Các sản phẩm RSA ngày nay đã trở nên phổ biến trong tất cả các lĩnh vực

quan tâm đến giải pháp an ninh thông tin như: RSA securID authentication,

Smart Card & USB tokens, Digital Certificate, Quản lý truy nhập Web, RSA

Mobile …

Công nghệ RSA Mobile:

Công nghệ RSA Mobile là một giải pháp xác thực tiên tiến mà bảo vệ truy

cập tới các tài nguyên thông tin trên web bằng cách cung cấp giải pháp xác thực

hai yếu tố (Two-factor user authentication) thông qua việc sử dụng các thiết bị

mobile phones và PDA. Được thiết kế để bảo vệ các ứng dụng B2C và B2B,

phần mềm RSA Mobile yêu cầu người dùng định danh chính họ với hai yếu tố

riêng biệt của từng người – cái mà họ biết (số PIN – Personal Identification

33

Number) và cái mà họ có (mã truy cập sử dụng một lần được gửi tới mobile

phone hoặc PDA của họ) - trước khi họ được cấp quyền tới một trang web được

bảo vệ. Với phần mềm RSA Mobile, các doanh nghiệp có thể nhận dạng một

cách chắc chắn người dùng và cung cấp các dịch vụ quan trọng một cách riêng tư

(confidently), thuận tiện và an toàn cho người dùng ở bất cứ địa điểm nào, tại bất

kỳ thời gian nào. Lợi ích của người dùng là từ việc đăng nhập hệ thống đơn giản,

loại trừ việc phải ghi nhớ quá nhiều mật khẩu hoặc phải sử dụng nhiều loại card

khác nhau.

Bảo vệ truy cập tới các ứng dụng web: Công nghệ RSA Mobile cung cấp

một cách thuận lợi để bảo vệ các tài nguyên web (web resources) bằng giải pháp

xác thực hai yếu tố. Thông qua trình duyệt web (browser), người dùng yêu cầu

truy cập tới một tài nguyên web mà được bảo vệ bởi phần mềm RSA Moblie

Agent bằng cách gửi tên và số PIN riêng của người dùng, phần mềm RSA

Mobile Agent sẽ tạo ra một mã truy cập sử dụng một lần riêng cho mỗi người

dùng và gửi nó tới mobile phone hoặc PDA của họ dưới dạng SMS hoặc tin

nhắn. Người dùng nhập mã truy cập này vào trình duyệt để hoàn tất quá trình xác

thực. Server RSA Mobile Authentication quản lý quá trình xác thực. Khi người

34

Hình 3.2 : Mô phỏng an ninh mạng dùng công nghệ RSA Mobile

dùng gửi thông tin xác thực tới, server này xác định thông tin có hợp lệ hay

không.

Giải pháp bảo mật được công nhận: Công nghệ RSA Mobile được xây

dựng trên kỹ thuật đồng bộ thời gian (time-synchronous) và thuật toán

(algorithms) đã được công nhận và đã được sử dụng thành công trong nhiều năm

bởi hàng triệu người dùng. Mã truy cập RSA Mobile được gửi tới mobile phone

hoặc PDA của người dùng bằng cách sử dụng các thuật toán mã hoá như với mã

hoá đường thoại. Phần mềm RSA Mobile còn tiến hành thêm một bước là yêu

cầu người dùng nhập mã truy cập của họ vào đúng trình duyệt web mà họ đã

dùng để đưa ra yêu cầu truy cập, điều này ngăn chặn một ai đó đánh cắp được mã

truy cập có thể sử dụng nó để truy cập bất hợp pháp trên một máy tính khác.

Hỗ trợ nhiều phương thức xác thực : Công nghệ RSA Mobile cung cấp cho

người quản trị khả năng chuyển đổi phương thức xác thực cho các tài nguyên

khác nhau. Ví dụ, một vài tài nguyên có thể sử dụng các phương thức xác thực

như sử dụng RSA token hoặc mật khẩu. Khả năng hỗ trợ nhiều phương thức xác

thực cho phép người quản trị có thể xác định một cách linh hoạt phương thức xác

thực thích hợp trong các hoàn cảnh khác nhau. Các hàm xác thực API được cung

cấp với phần mềm RSA Mobile trao cho người quản trị khả năng tích hợp một

cách dễ dàng các giao diện xác thực đã có vào sản phẩm RSA Mobile.

3.2.3. Dùng Firewall.

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để

ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một

kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm

bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn

vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ

mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted

network).

Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một

doanh nghiệp, tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo

mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet)

và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet.

35

Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet

và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong

(Intranet) và mạng Internet. Cụ thể là:

Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra

Internet).

Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet

vào Intranet).

Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.

Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.

Kiểm soát người sử dụng và việc truy nhập của người sử dụng.

Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng.

Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:

Bộ lọc packet (packet-filtering router)

Cổng ứng dụng (application-level gateway hay proxy server)

Cổng mạch (circuite level gateway)

Bộ lọc paket (Paket filtering router)

Nguyên lý thực hiện của firewall như sau:

Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua

Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức

TCP/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận đ-

ược từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên

các giao thức (Telnet, SMTP, DNS, SMNP, NFS...) thành các gói dữ liệu (data

pakets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở

đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet

và những con số địa chỉ của chúng.

Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm

tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một

trong số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa

trên các thông tin ở đầu mỗi packet (packet header), dùng để cho phép truyền

các packet đó ở trên mạng. Đó là:

36

Địa chỉ IP nơi xuất phát ( IP Source address).

Địa chỉ IP nơi nhận (IP Destination address).

Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel).

Cổng TCP/UDP nơi xuất phát (TCP/UDP source port).

Cổng TCP/UDP nơi nhận (TCP/UDP destination port) .

Dạng thông báo ICMP ( ICMP message type) .

Giao diện packet đến ( incomming interface of packet).

Giao diện packet đi ( outcomming interface of packet).

Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua firewall.

Nếu không packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các kết

nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập

vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm

soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất

định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet,

SMTP, FTP...) được phép mới chạy được trên hệ thống mạng cục bộ.

Ưu điểm:

Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những ưu

điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã

được bao gồm trong mỗi phần mềm router.

Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng

dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả.

Hạn chế:

Việc định nghĩa các chế độ lọc package là một việc khá phức tạp; đòi hỏi

người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng

packet header, và các giá trị cụ thể có thể nhận trên mỗi trường. Khi đòi hỏi vể sự

lọc càng lớn, các luật lệ về lọc càng trở nên dài và phức tạp, rất khó để quản lý và

điều khiển.

Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không

kiểm soát được nôi dung thông tin của packet. Các packet chuyển qua vẫn có thể

mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.

Nhận xét firewall:

37

Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại

thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn

sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định

rõ các thông số địa chỉ.

Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này

không "đi qua" nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn

công từ một đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp

pháp lên đĩa mềm.

Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-

drivent attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt

qua firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây.

Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét

virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên

tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả

năng kiểm soát của firewall.

Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi.

3.2.4. Dùng IDS (Intrusion Detection Systems ).

IDS cho phép các tổ chức doanh nghiệp bảo vệ mạng chống lại những sự đe

doạ công mạng bao gồm: Những điểm yếu của mạng, những nguy cơ tiềm tàng,

và những lỗ hổng mạng hiện tại. Sự đe doạ tấn công một mạng thường bị xảy ra

bởi giao tiếp mạng với Internet, hoặc mạng ứng dụng các công nghệ mới.

Những điểm dễ bị xâm nhập là những điểm yếu của các ứng dụng và HĐH,

những điểm yếu sẽ là những nguy cơ để có thể bị xâm nhập tấn công mạng qua

đó. Những điểm yếu thường được phát hiện bởi những công cụ kiểm tra, quét

mạng. Mọi công nghệ, sản phẩm, những hệ thống mới sẽ sinh ra nhiều lỗi “bugs”

và những điểm yếu cho mạng.

Nguy cơ tác động tấn công vào những điểm yếu trên mạng thường xảy ra

thường xuyên, Sự xâm nhập tấn công mạng có thể gây ra dừng hệ thống, dừng

dịch vụ, sai khác dữ liệu, mất mát dữ liệu, và là sự thiệt hại không lường trước

cho doanh nghiệp

38

IDS có thể tăng cường sự bảo vệ cho một tổ chức chống lại nguy cơ xâm

nhập bằng cách mở rộng sự tuỳ chọn sẵn có để quản lý những rủi ro từ những đe

doạ và những điểm yếu.

Tương tự với cách sử dụng tuần tra bảo vệ cho một khu nhà, IDS liên tục

kiểm tra mạng bên trong, kiểm tra tất cả các lưu thông trong mạng ngăn chặn

những hoạt động không mong muốn.

IDS được dùng để phát hiện xâm nhập, xác định và huỷ bỏ những phiên

truyền thông bất hợp pháp, hỗ trợ kiểm tra và phát hiện những nguy cơ tiềm tàng,

bảo vệ điểm yếu chống lại sự xâm nhập trong tương lai.

Có ba loại cơ bản của IDS- Dựa vào mạng (quản lý gói), dựa vào host

(kiểm tra system log phát hiện những biểu hiện xâm nhập hay nhứng hoạt động

của ứng dụng không mong muốn trong thời gian thực), và hệ thống kết hợp.

Hệ thống phát hiện xâm nhập dựa vào mạng: Một phần mềm quản lý

mạng luôn kiểm tra các gói tin hoạt động trên mạng và tìm kiếm những dấu vết

tấn công mạng, dùng sai chính sách mạng, sự bất thường của dữ liệu…Khi một

IDS quan sát, nghi ngờ một sự kiện thì một tác động được kích hoạt như bật chức

năng gửi bản tin, khi đó sự kiện sẽ bị dừng lại, và những chi tiết được ghi lại

dùng để phân tích cho sau này. Loại IDS này dùng để triển khai trên các hệ thống

đứng độc lập, phía trước firewall.

Host Based Intrusion Detection Systems: Một phần mềm quản lý kiểm tra

system logs để phát hiện các dấu vết, các ứng dụng không mong muốn thời gian

thực. Nó cũng quản lý các file hệ thống để phát hiện nguy cơ xâm nhập

3.3. Mạng VPN và Bảo mật trong VPN (Virtual Private network).

3.3.1. Khái niệm VPN.

Phương án truyền thông nhanh, an toàn và tin cậy đang trở thành mối quan

tâm của nhiều tổ chức doanh nghiệp, đặc biệt là các tổ chức có các triển khai

mạng phân tán về mặt địa lý, công ty đa quốc gia. Giải pháp thông

thường được áp dụng là thuê các đường truyền riêng (leased lines) để duy trì một

mạng WAN (Wide Area Network). Các đường truyền này, được giới hạn từ

ISDN (Integrated Services Digital Network, 128 Kbps) đến đường cáp quang

39

OC3 (Optical Carrier-3, 155 Mbps). Mỗi mạng WAN đều có các điểm thuận lợi

trên một mạng công cộng như Internet trong độ tin cậy, hiệu năng và tính an

toàn, bảo mật. Nhưng để bảo trì một mạng WAN, đặc biệt khi sử dụng các đường

truyền riêng, có thể trở lên quá đắt và làm tăng giá khi công ty muốn mở rộng các

văn phòng đại diện.

Do bởi gia tăng các dịch vụ ứng dụng trên Internet, các doanh nghiệp mở

rộng mạng (intranet) thông qua môi trường Internet, mà các site được bảo mật

bằng mật khẩu được thiết kế cho việc sử dụng chỉ bởi các thành viên trong công

ty. Hiện tại, có rất nhiều doanh nghiệp sử dụng VPN để kết nối văn phòng chính

với các văn phòng đại diện trên các quốc gia .

Mỗi VPN có thể có một mạng LAN chung tại toà nhà trung tâm của một

công ty, các mạng Lan khác tại các văn phòng từ xa hay các nhân viên làm việc

tại nhà,... kết nối tới

Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung

(thường là internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều

người sử dụng từ xa. Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng

như đường leased line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua

40

Hình 3.5: Kiến trúc VPN của mạng doanh nghiệp

Internet từ mạng riêng của các công ty tới các site hay các nhân viên từ xa. Trong

bài viết này, chúng ta sẽ xét tới một số các khái niệm cơ bản của VPN và tìm

hiểu về các thành phần cơ bản của VPN, các công nghệ, bảo mật VPN và

đường truyền dẫn.

Có 3 loại VPN thông dụng:

Remote-Access: Hay cũng được gọi là Virtual Private Dial-up Network

(VPDN), đây là dạng kết nối User-to-Lan áp dụng cho các công ty mà các nhân

viên có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa.

Điển hình, mỗi công ty có thể hy vọng rằng cài đặt một mạng kiểu Remote-

Access diện rộng theo các tài nguyên từ một nhà cung cấp dịch vụ ESP

(Enterprise Service Provider). ESP cài đặt một một công nghệ Network Access

Server (NAS) và cung cấp cho các user ở xa với phần mềm client trên mỗi máy

của họ. Các nhân viên từ xa này sau đó có thể quay một số từ 1-800 để kết nối

được theo chuẩn NAS và sử dụng các phần mềm VPN client để truy cập mạng

công ty của họ. Các công ty khi sử dụng loại kết nối này là những hãng lớnvới

hàng trăm nhân viên thương mại. Remote-access VPNs đảm bảo các kết nối được

bảo mật, mã hoá giữa mạng riêng rẽ của công ty với các nhân viên từ xa qua một

nhà cung cấp dịch vụ thứ ba (third-party)

Site-to-Site: Bằng việc sử dụng một thiết bị chuyên dụng và cơ chế bảo mật

diện rộng, mỗi công ty có thể tạo kết nối với rất nhiều các site qua một mạng

công cộng như Internet. Các mạng Site-to-site VPN có thể thuộc một trong hai

dạng sau:

Intranet-based: Áp dụng trong truờng hợp công ty có một hoặc

nhiều địa điểm ở xa, mỗi địa điểm đều đã có 1 mạng cục bộ LAN. Khi đó họ có

thể xây dựng một mạng riêng ảo VPN để kết nối các mạng cục bộ đó trong 1

mạng riêng thống nhất.

Extranet-based: Khi một công ty có một mối quan hệ mật thiết với một

công ty khác (ví dụ như, một đồng nghiệp, nhà hỗ trợ hay khách hàng), họ có thể

xây dựng một mạng extranet VPN để kết nối kiểu mạng Lan với mạng Lan và

cho phép các công ty đó có thể làm việc trong một môi trường có chia sẻ tài

nguyên.

41

 

Lợi ích của VPN:

Mở rộng vùng địa lý có thể kết nối được

Tăng cường bảo mật cho hệ thống mạng

Giảm chi phí vận hành so với mạng WAN truyền thống

Giảm thời gian và chi phí truyền dữ liệu đến người dùng ở xa 

Tăng cường năng suất 

Giảm đơn giản hoá cấu trúc mạng

Cung cấp thêm một phương thức mạng toàn cầu

Cung cấp khả năng hỗ trợ thông tin từ xa

Cung cấp khả năng tương thích cho mạng băng thông rộng

Cung cấp khả năng sinh lợi nhuận cao hơn mạng WAN truyền thống

Một mạng VPN được thiết kế tốt sẽ đáp ứng được các yêu cầu sau: 

Bảo mật (Security)

Tin cậy (Reliability)

Dễ mở rộng, nâng cấp (Scalability)

Quản trị mạng thuận tiện (Network management)

Quản trị chính sách mạng tốt (Policy management)

3.3.2. Tính bảo mật của VPN:

Một VPN được thiết kế tốt thường sử dụng vài phương pháp để duy trì kết

nối và giữ an toàn khi truyền dữ liệu:

Bức tường lửa: Một tường lửa (firewall) cung cấp biện pháp ngăn chặn

hiệu quả giữa mạng riêng của bạn với Internet. Bạn có thể sử dụng tường lửa

42

Hình 3.6: Kiến trúc mạng sử dụng 3 loại VPN

ngăn chặn các cổng được mở, loại gói tin được phép truyền qua và giao thức sử

dụng. Một vài sản phẩm VPN, chẳng hạn như router 1700 của Cisco, có thể nâng

cấp để bao gồm cả tường lửa bằng cách chạy Cisco IOS tương ứng ở trên router.

Bạn cũng nên có tường lửa trước khi bạn sử dụng VPN, nhưng tường lửa cũng có

thể ngăn chặn các phiên làm việc của VPN.

Mã hoá: Đây là quá trình mật mã dữ liệu khi truyền đi khỏi máy tính theo

một quy tắc nhất định và máy tính đầu xa có thể giải mã được. Hầu hết các hệ

thống mã hoá máy tính thuộc về 1 trong 2 loại sau:

Mã hoá sử dụng khoá riêng (Symmetric-key encryption)

Mã hoá sử dụng khoá công khai (Public-key encryption)

Trong hệ symmetric-key encryption, mỗi máy tính có một mã bí mật sử

dụng để mã hoá các gói tin trước khi truyền đi. Khoá riêng này cần được cài trên

mỗi máy tính có trao đổi thông tin sử dụng mã hoá riêng và máy tính phải biết

được trình tự giải mã đã được quy ước trrước. Mã bí mật thì sử dụng để giải mã

gói tin. Ví dụ; Khi tạo ra một bức thư mã hoá mà trong nội dung thư mỗi ký tự

được thay thế bằng ký tự ở sau nó 2 vị trí trong bảng ký tự . Như vậy  A sẽ được

thay bằng C, và B sẽ được thay bằng D. Bạn đã nói với người bạn khoá riêng là

Dịch đi 2 vị trí (Shift by 2). Bạn của bạn nhận được thư sẽ giải mã sử dụng chìa

khoá riêng đó. Còn những người khác sẽ không đọc được nội dung thư.

Máy tính gửi mã hoá dữ liệu cần gửi bằng khoá bí mật (symetric key), sau

đó mã hoá chính khóa bí mật (symetric key) bằng khoá công khai của người

nhận (public key).  Máy tính nhận sử dụng khoá riêng của nó (private key)

tương ứng với khoá public key để giải mã khoá bí mật (symetric key), sau đó sử

dụng khoá bí mật này để giải mã dữ liệu

Hệ  Public-key encryption sử dụng một tổ hợp khoá riêng và khoá công

cộng để thực hiện mã hoá, giải mã. Khoá riêng chỉ sử dụng tại máy tính

đó, còn khoá công cộng được truyền đi đến các máy tính khác mà nó muốn trao

đổi thông tin bảo mật. Để giải mã dữ liệu mã hoá, máy tính kia phải sử dụng

khoá công cộng nhận được, và khoá riêng của chính nó. Một phần mềm mã hóa

công khai thông dụng là Pretty Good Privacy (PGP) cho phép mã hoá đựợc hầu

hết mọi thứ. Bạn có thể xem thêm thông tin tại trang chủ PGP.

43

(http://www.howstuffworks.com/framed.htm?parent=encryption.htm&url=http://www.pgp.com/)

  

Ứng dụng Giao thức bảo mật IPSec: Internet Protocol Security Protocol

cung cấp các tính năng bảo mật mở rộng bao gồm các thuật toán mã hóa và xác

thực tốt hơn. IPSec có hai chế độ mã hoá: kênh tunnel và lớp truyền tải

transport. Mã hoá kênh Tunnel mã hoá cả header và nội dung mỗi gói tin trong

khi mã hoá lớp truyền tải chỉ mã hoá nội dung gói tin. Chỉ có những hệ thống sử

dụng IPSec tương thích mới có khả năng tiên tiến này. Mặc dù vậy, tất cả các

thiết bị phải sử dụng một khoá dùng chung và các tường lửa ở mỗi mạng phải có

chính sách cấu hình bảo mật tương đương nhau. IPSec có thể mã hoá dữ liệu

truyền giữa rất nhiều thiết bị, chẳng hạn như:

Từ router đến router

Từ firewall đến router

Từ PC đến router

Từ PC đến server

Máy chủ xác thực, xác nhận và quản lý tài khoản AAA Server

 AAA: (Authentication, Authorization, Accounting Server) được sử dụng để

tăng tính bảo mật trong truy nhập từ xa của VPN. Khi một yêu cầu được gửi đến

để tạo nên một phiên làm việc, yêu cầu này phải đi qua một AAA server đóng via

trò proxy. AAA sẽ kiểm tra:

Bạn là ai (xác thực)

Bạn được phép làm gì (xác nhận)

44

Hình 3.7: Một hệ thông truy cập xa dựa trên VPN sử dụng IPSec

Bạn đang làm gì (quản lý tài khoản)

Các thông tin về tài khoản sử dụng đặc biệt hữu ích khi theo dõi người dùng

nhằm mục đích bảo mật, tính hoá đơn, hoặc lập báo cáo.

3.3.3. Các kỹ thuật sử dụng trong VPNPhụ thuộc vào kiểu VPN (truy nhập từ xa Remote-Access hay kết nối ngang

hàng Site-to-Site), bạn sẽ cần một số thành phần nhất định để hình thành VPN,

bao gồm:

Phần mềm máy trạm cho mỗi người dùng xa

Các thiết bị phần cứng riêng biệt, ví dụ như: bộ tập trung (VPN

Concentrator) hoặc tường lửa (Secure PIX Firewall)

Các máy chủ VPN sử dụng cho dịch vụ quay số

Máy chủ truy cập NAS (Network Access Server) dùng cho các người dùng

VPN ở xa truy nhập

Trung tâm quản lý mạng và chính sách VPN

Hiện nay do chưa có tiêu chuẩn rộng rãi để triển khai VPN, rất nhiều công

ty đã tự phát triển các giải pháp trọn gói cho riêng mình.

3.3.4. Kỹ thuật Tunneling

Hầu hết các VPN đều dựa trên tunneling để hình thành mạng riêng ảo trên

nền internet. Về cơ bản, tunneling là quá trình xử lý và đặt toàn bộ các gói

tin (packet) trong một gói tin khác và gửi đi trên mạng. Giao thức sinh ra các gói

tin được đặt tại cả hai điểm thu phát gọi là giao tiếp kênh - tunnel interface, ở

giao tiếp đó các gói tin truyền đi và đến.

Kênh thông tin yêu cầu bao giao thức khác nhau:

Giao thức sóng mang - Carrier protocol: (còn gọi là giao thức truyền tải)

giao thức này sử dụng trên mạng để thông tin về trạng thái đường truyền.

Giao thức đóng gói - Encapsulating protocol: bao gồm các giao thức

GRE, IPSec, L2F, PPTP, L2TP cho phép che giấu nội dung truyền

Giao thức gói - Passenger protocol: giao thức bao gồm IPX, NetBeui, IP

Tunneling rất tốt khi sử dụng cho VPN. Ví dụ, bạn có thể đặt một gói tin có giao

thức không hỗ trợ cho internet chẳng hạn như NetBeui vào trong một gói tin IP

45

và truyền nó đi an toàn thông qua mạng Internet. Hoặc là bạn có thể đặt một gói

tin sử dụng trong mạng riêng - không định tuyến được (non-routable) vào trong

một gói tin có địa chỉ IP toàn cầu (định tuyến được) – “globally unique IP

address” và dùng để mở rộng mạng riêng trên nền tảng mạng Internet.

Trong mô hình VPN Site-to-Site, bộ định tuyến dùng chung GRE (Generic

Routing Encapsulation) thường là giao thức đóng gói hỗ trợ cho việc đóng gói

bản tin giao thức gói và truyền đi trên mạng nhờ giao thức sóng mang - thường

dựa trên IP. Nó chứa các thông tin về kiểu gói tin được đóng gói, thông tin về kết

nối giữa máy chủ và máy khách. Thay thế cho GRE, IPSec trong Tunnel Mode

thường sử dụng như giao thức đóng gói. IPSec làm việc tốt trên cả hai mô hình

VPN Remote-Access và Site-to-Site. IPSec hỗ trợ cho cả hai giao thức này.

Trong mô hình VPN truy nhập từ xa, tunneling thường sử dụng PPP. Một

phần của giao thức TCP/IP, PPP là giao thức truyền tải cho các giao thức IP khác

khi thông tin trên mạng giữa các máy tính. Remote-Access VPN tunneling dựa

trên nền tảng PPP.

Mỗi giao thức được liệt kê dưới đây được xây dựng dựa trên nền giao thức

PPP và thường dùng trong VPN truy nhập từ xa.

L2F (Layer 2 Forwarding): do Cisco phát triển, L2F sẽ sử dụng bất kỳ một

cơ chế xác nhận do PPP hỗ trợ.

PPTP (Point-to-Point Tunneling Protocol): do PPTP Forum phát triển,

một nhóm cộng tác bao gồm US Robotics, Microsoft, 3COM, Ascend và ECI

46

Hình 3.8: Kiến trúc VPN Site-to-Site

Telematics. PPTP hỗ trợ cho mã hoá 40-bit và 128-bit được sử dụng trong bất kỳ

cơ chế xác nhận nào sử dụng trong PPP.

L2TP (Layer 2 Tunneling Protocol): được phát triển gần đây nhất, L2TP là

sản phẩm do các thành vỉên trong PPTP Forum hình thành nên, Cisco và IETF

(Internet Engineering Task Force). Nó tích hợp các tính năng của cả PPTP và

L2F, L2TP đồng thời cũng hỗ trợ IPSec.

L2TP có thể sử dụng như giao thức kênh thông tin - tunneling protocol

trong mô hình VPN Site-to-Site cũng như VPN tuy nhập từ xa. Trong thực tế,

L2TP có thể tạo kênh thông tin giữa:

Client và Router

NAS và Router

Router và Router

 Tunneling giống như chuyên chở máy tính bằng xe ô tô. Nhà cung cấp

đóng gói chiếc máy tính (passenger protocol) vào trong hộp đựng (encapsulating

protocol) và đặt vào xe ô tô (carrier protocol) đang đỗ ở cổng nhà sản xuất (entry

tunnel interface). Ô tô (carrier protocol) sẽ chuyên chở cái máy tình đóng hộp

trên đường (Internet) đến nhà bạn (exit tunnel interface). Bạn nhận chiếc hộp rồi

mở ra (encapsulating protocol) và nhận lấy chiếc máy tính (passenger protocol).

Tunneling đơn giản là như vậy!

47

CHƯƠNG 4

PHÁT TRIỂN NGN TRONG MÔ HÌNH DOANH NGHIỆP

4.1. Khái niệm mạng NGN (Next Generation Network)

Do nhu cầu phát triển các dịch vụ thông tin mà kiến trúc mạng truyền thống

hiện nay không đáp ứng kịp với nhu cầu phát triển của doanh nghiệp, đòi hỏi phải

có một giải pháp mới hiệu quả và kinh tế hơn. Những dịch vụ mới được khai thác

đưa vào ứng dụng là thoại (VoIP), hội thảo truyền hình từ xa, chẩn đoán khám chữa

bệnh từ xa, thương mại điện tử, truyền âm thanh, video stream, dữ liệu tích hợp...

Kiến trúc mạng mới để phát triển các dịch vụ này được gọi là mạng thế hệ tiếp

theo NGN (Next Generation Network). NGN, một bước phát triển tiếp theo của

mạng trong lĩnh vực truyền thông, là kết hợp bởi ba mạng truyền thống- PSTN,

mạng không dây, mạng truyền dữ liệu (Internet). NGN kết hợp ba loại mạng này

48

Hình 4.1: Kiến trúc tổng quát của mạng NGN

thành một mạng truyền gói chung hoạt động hiệu quả, thông minh, và là trọng tâm

của ứng dụng công nghệ mới, đem lại khả năng phát triển dịch vụ.

Ba loại dịch vụ định hướng trong NGN gồm: dịch vụ hướng thời gian thực

(thoại), không thực (truyền gói), dịch vụ hướng nội dung, và dịch vụ hướng tác vụ.

Mạng NGN hướng dịch vụ đem lại cho nhà cung cấp dịch vụ nhiều lợi ích: an toàn,

tin cậy, hiệu quả kinh tế, và khả năng quản lý mạng thông minh hơn.

Kiến trúc NGN được xây dựng dựa trên chuẩn mở, ghép nối modul, dùng giao

thức chuẩn, và xây dựng các giao diện giao tiếp mở, dễ dàng ứng dụng cho các tổ

chức doanh nghiệp kết nối giao tiếp thông tin từ xa. Nó tập trung phát triển các dịch

vụ thoại, truyền dữ liệu... thông qua mạng truyền gói.

Định hướng sử dụng kiến trúc NGN có những lợi ích sau:

Giải pháp tiên tiến- xây dựng những cách thức làm việc mới

Kỹ thuật tiên tiến- Triển khai giải pháp tích hợp đa dịch vụ

Giá thành giảm- Sự cài đặt, điều khiển, bảo trì và sử dụng các dịch vụ mạng

Bỏ các điều lệ- cho phép nhà cung cấp khai thác nhiều dịch vụ mới mang

tính cạnh tranh.

Chuẩn công nghiệp- Giải pháp tích hợp và các hệ thống mở

NGN có thể thực hiện nhiều các dịch vụ khác như hội thảo video, các dịch vụ

multimedia khác yêu cầu dung lượng đến 10Mbps/1 người dùng. Thông lượng băng

thông của mạng sẽ là một chìa khoá chính của NGN để cung cấp dịch vụ băng

thông rộng cho nhiều người dùng. Như vậy, NGN sẽ tích hợp các công nghệ mobile

băng thông rộng cho phép người dùng thông tin sử dụng các dịch vụ băng thông

rộng bất kể việc sử dụng thiết bị đầu cuối ở một vị trí cố định, hay di động. Hơn

nữa, theo như nghiên cứu khảo sát, tốc độ tăng trưởng băng thông hiện nay được

đáp ứng phù hợp với nhu cầu phát triển các dịch vụ ứng dụng mạng. Những mạng

NGN trở nên tin cậy, dễ nâng cấp hơn những mạng hiện có, và thiết lập được một

môi trường thông tin gần gũi cuộc sống thực tại.

Một phần quan trọng nhất là kiến trúc mạng lõi của NGN dùng kết nối cáp

quang băng thông không hạn chế, truyền dữ liệu dạng gói, và có thể hỗ trợ đồng

thời nhiều loại dịch vụ khác nhau. Các thành phần của NGN (như Switch, router...)

có khả năng xử lý hoạt động trong môi trường mạng nhiều loại giao thức khác nhau,

49

dịch vụ khác nhau. NGN ban đầu phát triển trên cơ sở tích hợp với loại mạng

chuyển mạch sẵn có và làm việc được với nhiều loại giao thức và chuẩn hiện có.

Một số NGN được phát triển bởi những kiến trúc hoàn toàn mới, và một số thì lại

phát triển NGN dựa trên kiến trúc mạng hiện có.

4.2. Đặc điểm NGN

NGN có đặc điểm quan trọng nhất là mạng truyền gói tốc độ cao và khả năng

cung cấp có kiểm soát các dịch vụ băng thông rộng. NGN có cả hai đặc điểm mềm

dẻo và tin cậy. Cho dù NGN được phát triển theo nhiều hướng khác nhau nhưng có

những đặc điểm chung như sau:

Độc lập giao thức:

Để tương ứng được với nhiều dạng thông tin, NGN cần có khả năng hoạt động

được với nhiều loại giao thức truyền thông. Những mạng truyền thống được thiết kế

để thực hiện truyền dẫn các loại dữ liậu như thoại, video hay dữ liệu. Như vậy nó

dùng những loại mạng riêng sử dụng nhiều loại thiết bị khác nhau để hỗ trợ thông

tin đa phương tiện

50

IP NetworkCircuit Switched Network

Users

Hình 4.2: Mô tả hai kiến trúc mạng chạy nhiều dịch vụ khác nhau

Về cơ bản, sự độc lập giao thức là khả năng của mạng hoạt động được với bất

kỳ giao thức nào được yêu cầu. cụm từ ‘protocol agnostic’ thường được sử dụng

cho các thiết bị trong mạng NGN (ví dụ, các thiết bị có thể điều khiển IP, DSL, và

ISDN đồng thời). Đặc tính này sẽ được triển khai hầu hết tại các ‘intelligent edge’

của mạng.

Nâng cao khả năng của thiết bị đa chức năng luôn được các nhà quản lý viễn

thông khai thác. Khi đó giá thành chi phí quản lý thiết bị được tiết kiệm. Thêm nữa

là không gian thiết đặt cũng được hoạch định khi chỉ với một thiết bị thực hiện

nhiều chức năng. Các đặc điểm khác nữa như giảm nguồn điện tiêu thụ khi dùng ít

thiết bị.

Sự tin cậy và mềm dẻo: Như tele-medicine, sự tin cậy và mềm dẻo của mạng

là một sự bắt buộc, vì khi đó sức khoẻ bệnh nhân hoàn toàn phụ thuộc vào chất

lượng thông tin được truyền

để nhận được những mức cần thiết của sự mềm dẻo cà sự tin cậy của NGN thì cần

nhiều công nghệ khác nhau và các thành phần dự phòng hơn so với những mạng

hiện đang sử dụng.

Khả năng điều khiển: Các nhà quản lý mạng có thể thiết kế, tuỳ biến, và tối

ưu mạng để có thể giao tiếp được với nhiều loại phương tiện mạng và xử lý với

nhiều yêu cầu mạng. Vấn đề chính là QoS (ví dụ, khả năng mạng cung cấp các mức

dịch vụ để đảm bảo băng thông được cung cấp ổn định). Ví dụ, các ứng dụng thoại

và hội thảo video không chấp nhận được khi có trễ hoặc sự mất gói. Vì vậy, những

loại dịch vụ này cần QoS bảo đảm đầy đủ chức năng. Mặt khác, những ứng dụng

như duyệt web có thể chấp nhận được sự mất gói thông tin và có thể được truyền lại

mà không giảm chất lượng dịch vụ.

Điều khiển gói tin trên mạng là một đặc tính quan trọng vì nó cho phép các

nhà quản lý mạng và phần mềm quản lý mạng tối ưu việc sử dụng tài nguyên mạng

bằng cách cân bằng động giữa tổng dung lượng được chỉ định đối với các ứng dụng

thời gian thực và các ứng dụng quan trọng. Nhà quản lý mạng cũng cần điều khiển

linh động đối với những dịch vụ truyền file. Và việc này được gọi là kỹ thuật xử lý

51

băng thông. Những đặc điểm của kỹ thuật xử lý băng thông của NGN khắc phục

được những vấn đề về bảo đảm chất lượng dịch vụ trong môi trường mạng truyền

gói hiện nay, và những vấn đề vềtiêu tốn băng thông như trong mạng chuyển mạch.

Sự thiếu sót chung của những mạng chuyển mạch gói hiện tại là nó sẽ làm cho các

nhà quản lý mạng viễn thông gặp khó khăn trong việc thực hiện QoS, điển hình là

những phần thuộc kết nối đường truyền có thể sử dụng của nhà cung cấp thứ 3. Ví

dụ, một cuộc gọi được khởi tạo từ một mạng với QoS hiệu quả có thể sẽ bị ngắt trên

một mạng thuộc vị trí ở nước khác, nơi mà QoS kém hơn, dẫn đến một cuộc gọi

chất lượng tồi. Khi sử dụng kỹ thuật xử lý lưu lượng, các nhà quản lý có thể định

nghĩa các mức riêng biệt của dịch vụ và sau đó tổ chức nhóm theo từng mức dịch vụ

mà các nhàn quản lý mạng khác cũng có khả năng xử lý lưu lượng chất lượng tương

ứng. Quá trình xử lý như vậy sẽ làm thuận tiện hơn khi giao tiếp giữa các mạng

khác nhau .

Khả năng lập trình: NGN càng dễ lập trình và thay đổi cấu hình thì càng linh

động khi sử dụng, và như vậy càng có thể đáp ứng tốt các yêu cầu người dùng khai

thác các dịch vụ mới. Khả năng lập trình sẽ cho phép kỹ thuật xử lý lưu lượng và sự

cấp phát tài nguyên động trong NGN thích ứng phù hợp nhanh đối với các yêu cầu

hoặc dịch vụ mới. Sự hỗ trợ các sản phẩm phần mềm của nhà cung cấp thứ ba tuân

theo các chuẩn được chỉ định rõ bởi API, dẫn đến khả năng kết hợp phát triển các

phần mềm dễ dàng hơn.

Tạo lập dịch vụ: Một đặc điểm quan trọng, hiện đại, thông minh của NGN là

sử dụng toán tử API chuẩn mở dễ dàng tuỳ biến và tạo lập các dịch vụ mới trên

những thiết bị hiện có. Trong nhiều mạng viễn thông hiện tại, các dịch vụ hoàn

toàn phụ thuộc bởi nhà cung cấp thiết bị, dẫn đến sự thụ động và sự tốn kém khi

khai thác sử dụng những dịch vụ mới

Nâng cấp: Sự nâng cấp là một đặc tính quan trọng cho phép bảo vệ được

NGN không bị lỗi thời. Để đối phó với sự gia tăng của tải mạng, các nhà quản lý

mạng sẽ phải có tầm nhìn khả năng truyền dẫn của mạng (ví dụ, dự phòng đường

cáp quang). Các thiết bị NGN sẽ cần được nâng cấp để cho phép gia tăng dung

lượng cần dùng mà không cần phải thay thế thiết bị khi đạt đến ngưỡng sử dụng

52

Mục đích tổng quát nữa là các thiết bị viễn thông có một đặc điểm quan trọng hơn

rất nhiều là có thể lập trình, thích ứng nâng cấp với nhu cầu tương lai.

4.3. Triển khai NGN

Kiến trúc và khả năng: Trong kiến trúc NGN có một khác nhau cơ bản với

những mạng viễn thông chuyển mạch kênh truyền thống. Trong mạng chuyển mạch

kênh truyền thống thì sự thông minh của mạng tập trung ở mức lõi của chuyển

mạch trung tâm. Trong NGN, sự thông minh của nó (chuyển mạch, định tuyến)

được phân tán và nhận được ngay tại bờ “adge” của mạng.

Một thuận lợi chính khi kiến trúc mạng được thiết lập xử lý thông minh tại các

vị trí tập trung là sự quản lý mạng được tập trung, dẫn đến giá thành quản lý giảm,

mặt khác một mạng với sự thông minh phân tán sẽ mềm dẻo hơn khi gặp phải lỗi

mạng.

Kiến trúc cơ bản của NGN được bắt nguồn từ 3 thành phần chính sau:

Mức lõi đa dịch vụ (Multiservice Core)

Bờ rìa thông minh (Intelligent Edge)

Phân đoạn mạng truy nhập (Access Segment)

Lõi đa dịch vụ: là một sự tập trung của mạng vận chuyển nhiều dịch vụ trên

các đường kết nối quang tố độ cao (điển hình là các tốc độ Terabit/s hay Petabit/s).

Phần mạng này hoạt động như một hệ thống truyền dẫn “long haul” kết nối các

phân đoạn bờ rìa thông minh với nhau. Những thiết bị dùng cho lớp lõi thường là

các Switch ATM, Switch SDH, và các router chuyển mạch.

53

Hình 4.3: Kiến trúc mạng NGN

Bờ rìa thông minh: Tại các bờ rìa thông minh này tập trung sự thông minh của

mạng. Đây là sự khác biệt điển hình với mạng chuyển mạch kênh truyền thống khi

mà nó chỉ tập trung xử lý thông minh tại lớp chuyển mạch lõi của mạng. Mạng tại

bờ rìa thông minh có thể điều khiển các loại dịch vụ thông tin khác nhau và kết nối

với mạng lõi. Điều này cho phép triển khai các loại truy cập mạng khác nhau được

kết nối liền lại với nhau tạo nên một bờ rìa thông minh. (ví dụ, DSL, leased lines,

FWA).

Các thành phần chung của một bờ rìa thông minh là những chuyển mạch mềm

(softswitch) đa dịch vụ. Chúng có thể hoạt động trên bất kỳ các loại giao thức khác

nhau. Khả năng tạo lập các dịch vụ mới là một đặc điểm quan trọng của một bờ rìa

thông minh. Đặc điểm này cho phép người dùng tuỳ biến mạng của họ và cho phép

các nhà cung cấp dịch vụ tạo lập và cung cấp các dịch vụ mới mà không cần sự can

thiệp đến các nhà sản xuất thiết bị.

Phân đoạn truy nhập: Phân đoạn truy nhập của NGN sẽ bao gồm nhiều công

nghệ truy nhập băng thông rộng khác nhau. Khi càng nhiều dung lượng cần đến, thì

mạng truy nhập chắc chắn phải dùng đến các công nghệ quang làm một phương tiện

truyền dẫn chủ yếu. Giải pháp không dây băng thông rộng cũng đang được khai

thác cho các ứng dụng mobile hay cầm tay (ví dụ, WLAN, mobile băng thông

rộng).

Hình sau mô tả các loại công nghệ truy nhập khác nhau có thể giao tiếp kết nối đến

cùng một bờ rìa đa dịch vụ của NGN

54Hình 4.4: Mô tả các kết nối của dịch vụ đến bờ rìa đa dịch vụ

Sự hướng đến ứng dụng NGN có thể được triển khai trên bờ rìa cho tất cả các

loại mạng hiện có như:

Các mạng kết nối giữa các quốc gia (thuộc kiến trúc mạng lõi)

Các mạng WAN (thuộc mạng lõi xây dựng trên mỗi quốc gia)

Các mạng doanh nghiệp (như mạng VPN)

Mạng đô thị và các mạng bờ rìa .

Mạng LAN

Mạng riêng của các cá nhân

4.4. Các thành phần của NGN chuẩn

Một số các thành phần cơ bản của NGN bao gồm:

Softswitches: Đây là những thiết bị có thể được lập trình để làm việc như một

gateway cho phép thông tin giữa các mạng chuyển mạch gói (mạng IP), và mạng

chuyển mạch truyền thống. softswitch có thể làm trung gian kết nối giữa các dịch

vụ VoIP, hay dịch vụ dùng IP với mạng thoại chuyển mạch kênh xử lý tất cả các

dịch vụ mà kiến trúc của hai mạng sử dụng.

55

Hình 4.5: Các thành phần cơ bản trong NGN

DSLAM (Digital Subscriber Line Access Module): được dùng để kết nối

nhiều người dùng DSL vào mạng. Một kết nối DSLAM đa dịch vụ được dùng cho

mạng thoại cũng như mạng dữ liệu.

Next Generation Edge Switch: Một chuyển mạch đa giao thức có thể hỗ trợ

kết nối nhiều người dùng với các loại phương pháp truy nhập khác nhau (ví dụ,

ISDN, Dial-up,…) đến mạng lõi NGN.

Broadband Access Switch: Kết nối các mạng truy cập băng rộng (như mạng

thuê bao băng thông rộng) trực tiếp đến mạng lõi NGN. Những dịch vụ nayg kết nối

các đoạn mạng trực tiếp đến mạng lõi NGN.

4.5. Các công nghệ và các giao thức

Tầng 1-tầng vật lý: Tầng này liên quan đến mặt điện áp, kết nối vật lý của

phương tiện truyền dẫn, và tín hiệu điện. Những giao thức thuộc lớp vật lý có thể là

WDM (Wave Division Multiplexing), Ethernet và SDH.

Tầng 2-Tầng LKDL: Tầng này xử lý truyền dẫn dữ liệu tin cậy giữa các điểm

vật lý trên mạng. Ví dụ các giao thức tầng này gồm: SDH, Ethernet, ATM, RPR,

GMPLS.

Tầng 3-tầng mạng: Tầng mạng có chức năng định tuyến - chuyển thông tin

giữa các điểm kết nối logic trên mạng. IP và ATM là những ví dụ của các giao thức

lớp mạng. MPLS được dùng để bọc các gói IP tại lớp 3.

56

Hình 4.6: Ba tầng cuối cùng của tập giao thức NGN

Tầng 4 – 7: Những tầng này bao gồm (transport, session, presentation and

application) không tập trung vào kiến trúc hạ tầng cơ sở của mạng mà là phát triển

các dịch vụ ứng dụng mạng.

Nhiều giao thức có thể được phân loại xếp chồng tuỳ thuộc vào từng loại

mạng. Lược đồ sau chỉ ra một số ví dụ các kiến trúc xếp chồng giao thức xử lý các

dịch vụ IP.

Protocols: Một số giao thức quan trọng làm nổi bật khả năng chuyển mạch

gói được mô tả như sau:

ATM (Asynchronous Transfer Mode)

Ethernet

SDH (Synchronous Digital Hierarchy)

Internet Protocol (IP version4, IP version6)

IP ver6 sẽ giải quyết được vấn đề thiếu hụt địa chỉ IP trên mạng, với IP ver4

đạt được 4 tỉ thiết bị mạng được đánh địa chỉ, IP ver6 có dải địa chỉ luôn sẵn có cho

nhu cầu gia tăng của các thiết bị mạng cũng như sự phát triển kết hợp nhiều loại

mạng IP với nhau (ví dụ, WLAN, 3G)…Hơn nữa, địa chỉ IP được thiết kế để đơn

giản hơn trong quá trình cấu hình. Sự thiết lập các địa chỉ Ipver6 có nhiều thuận lợi

khi trong tương lai sẽ được dùng để đánh số thiết bị thoại cho NGN

RPR (Resilient Packet Ring): là một giao thức mới được IEEE (IEEE 802.17)

định nghĩa để kết nối các thiết bị với nhau. RPR được thiết kế để kết nối mạng dữ

57

Optical (DWDM)

SDH

ATM

IP

Optical (DWDM)

ATM

IP

Optical (DWDM)

IP

SDH

Optical (DWDM)

IP

Optical (DWDM)

Ethernet

IP

Optical (DWDM)

RPR

IP

Hình 4.7: Một số phương pháp khác nhau cung cấp các dịch vụ IP

bởi những cách tổ chức các lớp mạng khác nhau.

liệu qua các mạng vòng quang (optical ring) trong MAN và WAN. Kỹ thuật này

cho phép các công nghệ optical ring trở nên hiệu quả hơn khi truyền dữ liệu dạng

gói. Nó giảm được trễ thời gian khi dùng cho những ứng dụng thời gian thực. RPR

độc lập với lớp vật lý và chạy trên SDH (lớp vật lý) hoặc DWDM. RPR cũng có thể

được ứng dụng trên mạng dùng công nghệ Ethernet có độ tin cậy cao.

IntServ: Dịch vụ tích hợp được phát triển bởi IETF (Internet Engineering

Task Force), là một nỗ lực để ứng dụng QoS vào mạng IP. Công việc của nó là gửi

thông tin trên một băng thông được định sẵn theo mức yêu cầu của dịch vụ, việc

này được thực hiện bởi RSVP (resource reservation protocol )

DiffServ: Những dịch vụ hiện có nhận được QoS sử dụng nguyên lý gán cho

mỗi gói IP một mức ưu tiên phân theo lớp dịch vụ, nó ảnh hưởng đến cái cách mà

trong đó DiffServ cho phép các router điều khiển các gói

Giao thức chuyển mạch nhãn MPLS (Multi Protocol Label Switching) và

GMPLS (generalised multi-protocol label switching) là những chuẩn nổi bật của

IETF. Nó cho phép quản lý lưu thông các gói IP bằng cách cộng thêm các nhãn

(label) hoặc “tag” vào gói IP. Sự sử dụng các nhãn này cho phép phân biệt các

đường truyền riêng. Như vậy, mỗi loại dịch vụ sẽ ứng từng QoS riêng biệt. Các

router chuyển mạch nhãn làm chức năng cộng thêm các nhãn MPLS được cộng

thêm vào gói IP, và sau đó chuyển tiếp đến các router chuyển mạch nhãn khác trong

mạng MPLS. Hơn nữa, các chuyển mạch nhãn đa giao thức có thể được thực hiện

trên mạng quang, và tạo ra một dạng GMPLS

Control Plane Protocols: Có nhiều giao thức có chức năng dùng để điều

khiển và giao tiếp dịch vụ thoại và các dịch vụ khác giữa các mạng chuyển mạch

gói và chuyển mạch kênh. Những giao thức này cho phép các chức năng điều khiển

cuộc gọi (ví dụ, thiết lập, huỷ bỏ) và các dịch vụ giá trị gia tăng trên mạng chuyển

mạch gói. Những giao thức SIP (Session Initiation Protocol), MGCP (Media

Gateway Control Protocol), MEGACO (MEdia GAteway COntrol , ITU-T H.248)

and ITU-T H.323 đang được khai thác sử dụng trong NGN.

Công nghệ quang: NGN có công nghệ chính yếu là công nghệ quang. Trong

hầu hết trường hợp, các kết nối cáp quang sử dụng kỹ thuật WDM (wavelength

58

division multiplexing ) để gia tăng khả năng và cho phép truyền dẫn nhiều loại dịch

vụ độc lập trên cùng sợi cáp, như vậy sẽ làm đơn giản thiết bị đầu cuối mạng

Sau đây là một số thành phần chủ yếu của mạng quang:

Ghép kênh phân chia theo bước sóng(Wavelength Division Multiplexing):

WDM cho phép truyền dẫn các dịch vụ khác nhau độc lập trên cùng sợi cáp quang,

chính vì vậy đơn giản thiết bị đầu cuối mạng. WDM đạt được điều này bằng cách

chỉ định rõ luồng dữ liệu riêng ứng với một bước sóng riêng (ví dụ, có 160 bước

sóng, mỗi bước sóng có thể mang được dòng dữ liệu 10Gbps). carrying 10Gbit/s).

Optical Add/Drop Multiplexing : Một vấn đề chung với mạng quang truyền

thống là để thêm, nhận lại được thông tin thì trước hết tín hiệu quang cần được

chuyển đổi ngược lại tín hiệu điện. Những sự chuyển đổi điện <-> quang như vậy

yêu cầu những phần cứng trợ giúp khác gia tăng sự phức tạp, tiêu thụ nguồn…tiêu

tốn tiền. Với giải pháp OADM (Optical Add/Drop Multiplexing ) được sử dụng sẽ

hiệu quả về giá cũng như trễ sẽ bị hạn chế.

Optical Switches/Cross connects: OXC (Optical switching ) phân tách các

bước sóng quang riêng biệt và chuyển tiếp các bước sóng quang đến những tuyến

khác nhau. Việc này loại bỏ nhu cầu sử dụng thiết bị chuyển đổi điện-quang.

All Optical Networks: Mở rộng ý tưởng hơn nữa mang đến một khái niệm của

mạng toàn quang AON (all optical network ), khi mà với AON thì chỉ có tín hiệu

quang được truyền, sự chuyển đổi điện-quang chỉ xảy ra tại các điểm tạo/khai thác

dữ liệu.

Optical Access Networks: Công nghệ quang bắt đầu được sử dụng trong các

phân đoạn mạng NGN gồm đường dẫn cáp quang đến building FTTB (fibre to the

building ),đường dẫn cáp quang đến nhà FTTH (fibre to the home ). Sự bắt đầu từ

các nước như Norway, Italy, France, Germany, Australia, Canada, Japan, Korea.

Triển khai mạng quang thụ động PON (passive optical networks) hiện nay cho phép

nhiều người dùng được nối kết hệ thống quang mà không cần triển khai thiết bị đắt

tiền tại mỗi nút mạng. Những mạng nhiều người dùng sẽ có thể có những đường

cáp quang kết nối trực tiếp đến nhà cung cấp dịch vụ của họ.

59

CHƯƠNG 5

THIẾT KẾ, XÂY DỰNG HỆ THỐNG THÔNG TIN

5.1. Giới thiệu

Trong các phần mục của luận văn đề cập tương đối chi tiết nội dung và kiến

thức cơ bản để triền khai một hệ thống thông tin. Để cụ thể một hệ thống thông tin

được triển khai, ta phân tích hệ thống mạng của VĂN PHÒNG QUỐC HỘI.

Để đáp ứng yêu cầu mở rộng diện tích làm việc cho các đại biểu chuyên trách,

đội ngũ thư ký và các cán bộ phục vụ Quốc hội khoá XI, Văn phòng Quốc hội được

phê duyệt để tiếp nhận khu trụ sở mới tại 37-Hùng Vương (trước đây là khu nhà

khách của Văn phòng Chính phủ). Văn phòng Quốc hội đã triển khai việc tiếp nhận

hai khu nhà 3 tầng và 5 tầng tại 37-Hùng Vương và di chuyển một số đơn vị thuộc

Văn phòng Quốc hội sang khu trụ sở mới. Kế hoạch di chuyển một phần Văn phòng

Quốc hội tới khu trụ sở mới bao gồm nhiều hạng mục khác nhau, một số hạng mục

trong đó đã được hoàn thành, một số đang trong quá trình triển khai hoặc trong quá

trình chuẩn bị. Một trong những hạng mục quan trọng nhất trong kế hoạch di

chuyển đó là triển khai xây dựng một hệ thống thông tin tại khu trụ sở mới nhằm

đảm bảo duy trì hoạt động liên tục của các đơn vị tại khu trụ sở mới.

Trên cơ sở những hoạt động đang được tiến hành để tiếp nhận khu trụ sở mới,

Văn phòng Quốc hội đồng ý phê duyệt dự án “Xây dựng hệ thống thông tin Văn

phòng Quốc hội 37 – Hùng Vương”, với tổng dự toán là 6.166.658.366 (Sáu tỷ một

trăm sáu mươi sáu triệu sáu trăm năm mươi tám nghìn ba trăm sáu mươi sáu đồng

chẵn).

Giải pháp kỹ thuật thiết kế hệ thống thông tin bao gồm các phần:

Hệ thống mạng tại 37 Hùng Vương

Hệ thống kết nối các địa điểm

Hệ thống truy nhập internet

Hệ thống phần mềm ứng dụng

Hệ thống bảo mật và an ninh thông tin

Kế hoạch triển khai.

Kế hoạch dự phòng.

60

5.2. Phân tích yêu cầu

Xây dựng danh sách các hạng mục công việc chính cần tiến hành trong dự án,

cụ thể là:

1. Xây dựng hệ thống cơ sở hạ tầng mạng thông tin bao gồm hệ thống mạng

LAN tại 37 Hùng Vương, hệ thống mạng kết nối với trụ sở Ngô Quyền và Bắc Sơn.

Mạng LAN tại 37 Hùng Vương được thiết kế gồm có:

Hệ thống phòng máy chủ trung tâm được lắp đặt cho:

o Hệ thống máy chủ nội bộ

o Hệ thống máy chủ Intranet

o Hệ thống kết nối các Switch

Hệ thống cáp mạng tại hai toà nhà A và D

Kết nối trụ sở 37 Hùng Vương với trụ sở Ngô Quyền, và Bắc Sơn:

Qua khảo sát đáng giá, chọn phương án kết nối dùng đường truyền tốc độ cao

ISDN đã được lựa chọn vì các lý do:

Đường truyền ISDN là đường truyền số đồng bộ, độ an toàn dữ liệu trên

đường truyền cao hơn rất nhiều so với PSTN; đường truyền ISDN truyền dữ

liệu dựa trên việc ghép kênh thông tin, trong đó có một kênh báo hiệu có tác

dụng giám sát và điều khiển luồng dữ liệu truyền đi.

Kết nối ISDN có tốc độ kết nối theo tính toán lý thuyết sẽ cao hơn khoảng 3

đến 5 lần (tính cho một đường 128Kbps) so với kết nối PSTN.

Tốc độ tạo lập kết nối ISDN rất nhanh, chỉ sau 1 giây quá trình kết nối đã

hoàn thành. Đối với PSTN quá trình kết nối phải thực hiện trong vòng vài

chục giây.

ISDN hỗ trợ cả tín hiệu truyền là âm thanh (Voice) và dữ liệu (data) trên

cùng một đường truyền, do đó khả năng ứng dụng rất rộng, đáp ứng được các

yêu cầu phức tạp của các ứng dụng được thiết kế trên hệ thống, đây chính là

điểm mà PSTN không làm được.

2. Trang bị hệ thống máy chủ phục vụ hệ thống ứng dụng và dịch vụ.

Máy chủ là một trong những thành phần chính quyết định hiệu năng và độ tin

cậy của toàn hệ thống. Trong các hệ thống mạng, máy chủ thường đóng vai trò cung

61

cấp các dịch vụ ứng dụng cho các máy trạm như dịch vụ chia sẻ tệp, dịch vụ in ấn,

dịch vụ thư điện tử.

Để có thể thực hiện những công việc như vậy, máy chủ phải là các máy tính

được thiết kế đặc biệt đạt hiệu năng và độ ổn định cao. Các máy chủ phải có khả

năng xử lý đồng thời nhiều công việc và có các hệ thống dự phòng đầy đủ. Các máy

chủ cũng phải có các thiết kế một cách chuyên dụng để đạt được tối ưu đối với công

việc mà nó đảm trách. Khi thiết kế một hệ thống mạng, lựa chọn máy chủ là một

bước quan trọng có vai trò quyết định đến khả năng thực thi của toàn bộ hệ thống.

Hệ thống máy chủ tại 37 Hùng Vương được phân chia theo các chức năng

phục vụ trong mạng.

3. Trang bị phần mềm hệ thống, phần mềm dịch vụ và phần mềm ứng dụng.

Hệ thống thư điện tử:

Thiết lập hệ thống thư điện tử thông nhất trong toàn bộ Văn phòng Quốc hội,

đảm bảo việc trao đổi thư điện tử giữa các thành viên trong văn phòng hiệu

quả, dễ dàng, không phụ thuộc vào vị trí làm việc.

Hệ thống máy chủ Mail Server đặt tại 37 Hùng Vương, giao tiếp với hệ thống

Internet E-mail, sử dụng một tên miền phân giải cho E-mail là QH.GOV.VN.

Hệ thống cung cấp dịch vụ Web:

Sử dụng Web Server IIS, sản phẩm của Microsoft cho phép người dùng trên

mạng Internet truy cập tìm kiếm thông tin luật, thông tin dân nguyện…với CSDL

SQL.

4. Kết nối đường Internet trực tiếp phục vụ nhu cầu truy nhập Internet của

người sử dụng trong hệ thống thông tin Quốc hội.

Kết nối toàn bộ hệ thống mạng với Internet qua đường truyền thuê riêng, tốc

độ 128 Kbps. Các thiết bị phục vụ kết nối Internet (Router, HTU, mail server,

cache server ... ) sẽ được đặt tại phòng máy chủ tại 37 Hùng Vương

Hệ thống tại số 2 Bắc Sơn và 35 Ngô Quyền thông qua kết nối với 37 Hùng

Vương (đường truyền ISDN) để truy nhập Internet

5. Cung cấp dịch vụ truy nhập từ xa, cho phép người dùng có thể dùng dịch

vụ Dial-up quay số đăng nhập dịch vụ mạng VPQH

62

Hệ thống cho phép người sử dụng từ xa (ở nhà, hoặc nơi khác), kết nối vào

mạng và làm việc bình thường thông qua đường điện thoại.

Máy chủ xác thực người dùng (Authentication, Authorization & Accounting –

AAA server) được thiết đặt tại hệ thống mạng kết nối các server để giám sát

các phiên liên lạc của người dùng từ xa. Firewall PIX được thiết đặt để cho

phép trao đổi các thông tin xác thực và ghi log giữa router và AAA server

Cũng trên nhánh mạng kết nối giữa PIX firewall và router phục vụ truy nhập

từ xa, còn có máy chủ phục vụ kết nối với hệ thống mạng của chính phủ

(CPnet). Máy chủ này được kết nối với hệ thống mạng cục bộ qua firewall

PIX, được kết nối với CPnet bằng phương thức quay số qua modem.

6. Trang bị hệ thống an ninh mạng và đưa ra các khuyến nghị đối với an ninh

thông tin.

Đảm bảo ngăn chặn các truy nhập bất hợp pháp từ bên ngoài Internet vào hệ

thống mạng của Văn phòng Quốc hội, cũng như các truy nhập không đúng

thẩm quyền từ hệ thống mạng nội bộ vào các máy chủ, trong khi vẫn đảm bảo

các truy nhập hợp pháp được thông suốt và hiệu quả

Chủ động phát hiện, ngăn chặn các hoạt động nguy hiểm

Ghi nhật ký (log) các hoạt động diễn ra trên hệ thống mạng

7. Trang bị máy trạm, các thiết bị văn phòng.

5.2. Thiết kế, xây dựng hạ tầng thông tin

Hình bên dưới là sơ đồ tổng thể của toàn mạng của VPQH, ta thấy kiến trúc

mạng bao gồm các khu vực thành phần kết nối qua thiết bị an ninh mạng Pix

firewall 515 của Cisco.

63

2950-24

37 Hï ng V ¬ng

FirewallPIX 515

Router2611XM

Router

3550-12T

ISDN128 Kbps

PDCDNS

Internet

PSTN

Leased line128 Kbps

Ng êi dï ngtõ xaRouter

2511

ISDNRouter

BDCDNS

DatabaseWeb

IDS

ContentEngine

172.18.x.x

172.16.x.x 172.17.x.x

172.19.4.x 172.19.5.x

172.19.1.x

172.19.2.x

172.19.3.x

2 B¾c S¬nBDCDNS

ISDNRouter

35 Ng«QuyÒn

QH.GOV.VNMail

AAA

CPnet

Hình 5.1: Sơ đồ mạng của Văn Phòng Quốc hội

a. Đánh địa chỉ IP cho toàn mạng:

Để đảm bảo hoạt động bình thường của hệ thống, địa chỉ mạng tại 37 Hùng

Vương và tại 2 địa điểm trên phải thỏa mãn các yêu cầu sau:

Địa chỉ không trùng lặp

Sử dụng các địa chỉ IP dùng riêng (Private IP address): địa chỉ trong các lớp

10.x.x.x, 172.16.x.x đến 172.31.x.x và 192.168.x.x

Đảm bảo thay đổi ít nhất, tránh ảnh hưởng đến hoạt động của hệ thống hiện

có.

Trên cơ sở các yêu cầu này, địa chỉ IP phải được cấp phát và sử dụng như sau:

Hệ thống tại 35 Ngô Quyền

o Địa chỉ mạng 172.16.x.x (netmask 255.255.0.0)

o Router ISDN (dùng kết nối với 37 Hùng Vương) được đặt địa chỉ là

172.16.1.1

o Các thiết bị trên mạng sử dụng Router ISDN làm default gateway

o Các máy chủ tại 35 Ngô Quyền được cấp phát địa chỉ tĩnh, các máy trạm

được cấp phát địa chỉ động thông qua dịch vụ DHCP trên máy chủ.

Hệ thống tại 2 Bắc Sơn

o Địa chỉ mạng 172.17.x.x (netmask 255.255.0.0)

o Router ISDN (dùng kết nối với 37 Hùng Vương) được đặt địa chỉ là

172.17.1.1

o Các thiết bị trên mạng sử dụng Router ISDN làm default gateway

64

o Các máy chủ tại 2 Bắc Sơn được cấp phát địa chỉ tĩnh, các máy trạm

được cấp phát địa chỉ động thông qua dịch vụ DHCP trên máy chủ.

Hệ thống tại 37 Hùng Vương

o Địa chỉ mạng LAN: 172.18.x.x (netmask 255.255.0.0)

o Địa chỉ hệ thống mạng máy chủ 172.19.1.x (netmask 255.255.255.0)

o Địa chỉ hệ thống phục vụ người dùng kết nối từ xa 172.19.2.x (netmask

255.255.255.0)

o Địa chỉ hệ thống phục vụ kết nối với 2 Bắc Sơn và 35 Ngô Quyền

172.19.3.x (netmask 255.255.255.0)

o Địa chỉ hệ thống mạng kết nối với Internet do nhà cung cấp dịch vụ kết

nối Internet (ISP) quy định

o Địa chỉ các giao tiếp mạng của Firewall PIX được đánh tương ứng với

các hệ thống mạng mà nó kết nối

o Các thiết bị trên mạng sử dụng Firewall PIX làm default gateway.

o Các máy chủ được cấp phát địa chỉ tĩnh, các máy trạm được cấp phát địa

chỉ động thông qua dịch vụ DHCP trên máy chủ.

o Firewall PIX làm nhiệm vụ chuyển đổi địa chỉ đối với các yêu cầu truy

nhập Internet.

Các kết nối ISDN

Các kết nối ISDN từ 2 Bắc Sơn và 35 Ngô Quyền về 37 Hùng Vương sử dụng

địa chỉ tương ứng là 172.19.4.x và 172.19.5.x cho các yêu cầu đấu nối (ISDN

interface của router)

b. Khu vực mạng LAN tại 37 Hùng Vương:

Bao gồm hệ thống các Catalyst (Switch) kết nối theo kiến trúc phân lớp (lớp

lõi là 2 Catalyst 3550 12T của Cisco, lớp phân phối và truy nhập gồm có các

Catalyst 2950-24 ), các máy trạm được kết nối đên các cổng của lớp lớp phân phối

và truy nhập.

Máy chủ quản lý mạng: Gồm máy chủ cài đặt hệ điều hành Win2000 Server,

cài đặt dịch vụ Active Directorry.

c. Giao tiếp kết nối các trụ sở 37 Hùng Vương, Bắc Sơn, Ngô Quyền:

65

Tại 37 Hùng Vương thiết lập 2 kênh truyền ISDN. Tại 35 Ngô Quyền và 2 Bắc

Sơn mỗi điểm có 1 kênh truyền ISDN.

Đường truyền ISDN được nối từ số 2 Bắc Sơn và 35 Ngô Quyền về 37 Hùng

Vương, tốc độ đường truyền là 128 kbps (kênh 2B+D), trong đó bao gồm 2 kênh

thông tin (2B) và 1 kênh báo hiệu (1D), mỗi kênh B có tốc độ là 64kbps.

Mỗi đường truyền ISDN sẽ tương ứng với 1 số điện thoại ISDN, tức là việc

quay số từ 2 văn phòng về 37 Hùng vương sẽ tương tự như việc quay trực tiếp về số

điện thoại ISDN được cấp.

Hệ thống router tại 37 Hùng Vương, 2 Bắc Sơn và 35 Ngô Quyền được thiết

lập để sử dụng đường truyền ISDN ở chế độ Dial-on-demand. Mỗi khi có yêu cầu

gửi thông tin, hệ thống tự động thiết lập kết nối qua thao tác quay số ISDN của

điểm tương ứng. Sau khi sử dụng xong kênh truyền, nếu sau một thời gian (do

người quản trị hệ thống quy định) không có thông tin truyền trên đường, hệ thống sẽ

tự ngắt kết nối.

Hệ thống tại số 2 Bắc Sơn và 35 Ngô Quyền gồm 2 mạng LAN riêng biệt,

được thiết đặt để sử dụng các router kết nối về 37 Hùng Vương như Default

Gateway. Thông qua router 37 Hùng Vương, 2 điểm này cũng có thể liên lạc được

với nhau.

Cần thuê dịch vụ ISDN từ nhà cung cấp (Cục Bưu điện Trung ương).

Sử dụng 01 network module 4-cổng ISDN cho Router 2611, có gắn sẵn

modem ISDN tương thích NT1

Trang bị router ISDN cho các điểm 2 Bắc Sơn và 35 Ngô Quyền để kết nối về

37 Hùng Vương sử dụng loại Cisco 1720 với các module ISDN có modem

NT-1.

d. Kết nối khai thác dịch vụ Internet:

Hệ thống kết nối Internet được xây dựng để phục vụ nhu cầu tìm kiếm và trao

đổi thông tin với thế giới, phục vụ cho các nhiệm vụ chính trị của cơ quan Quốc hội

Việt Nam. Hệ thống mạng của Quốc hội được kết nối với Internet bằng đường kết

nối Internet trực tiếp đến nhà cung cấp dịch vụ Internet (ISP). Để đảm bảo phục vụ

các yêu cầu truy nhập Internet của một lượng người dùng tương đối lớn (hơn 400

người), kết nối Internet trong giai đoạn hiện tại phải có tốc độ 128 Kbps. Trong

66

tương lai cần nâng cấp đường truyền khi nhu cầu sử dụng tăng và điều kiện kinh phí

cho phép.

Hệ thống kết nối Internet bao gồm 01 router (Cisco router 2651), thiết bị kết

nối leased line NTU/HTU, và thiết bị cache (lưu trữ đệm, chọn loại Cisco Content

Engine 560) hỗ trợ tăng tốc truy cập Internet, chức năng của các thiết bị như sau:

Router: Thực hiện chức năng định tuyến giữa hệ thống mạng cơ quan Quốc

hội và mạng Internet. Router cũng được sử dụng làm bức tường ngăn đầu

tiên chặn các ý đồ tấn công từ Internet, sử dụng các tính năng lọc gói trên

router.

NTU/HTU : Là modem đầu cuối cho kết nối lased-line tốc độ cao (chọn loại

Datacraft HTU-2). Cho phép tốc độ truyền dẫn số liệu đồng bộ đạt được từ

64Kbps- 2Mbps.

Content Engine: hỗ trợ đường truyền Internet, khi có một người sử dụng đã

vào một trang nào đó thì trang này tự động được lưu vào trong cache theo

các quy luật định trước. Những người tiếp theo truy nhập vào cùng một

trang sẽ truy nhập thông tin từ máy chủ cache thay vì phải truy nhập ra

Internet. Máy chủ cache nên là máy chủ chuyên dụng với phần mềm hệ

thống và phần mềm ứng dụng chuyên dụng để đảm bảo tối ưu hoá đường

truyền cũng như giảm được nguy cơ về an ninh.

e. An ninh thông tin mạng:

Việc đảm bảo an toàn thông tin cho hệ thống thông tin tại Văn phòng Quốc hội

được xây dựng trên nhiều lớp

Thành phần quan trọng, đóng vai trò trung tâm của việc đảm bảo an toàn

thông tin là firewall, có nhiệm vụ phân tách hệ thống mạng thành các thành

phần với các yêu cầu về an toàn thông tin, bảo mật khác nhau.

Firewall cho phép thiết lập các quy tắc kiểm soát kết nối giữa các máy trạm

(client) và máy chủ (server) trong các thành phần khác nhau của mạng, qua

đó giới hạn việc truy nhập từ Internet trực tiếp vào mạng bên trong. Các máy

tính trên Internet chỉ được phép làm việc với máy chủ thư tín tại 37 Hùng

Vương để trao đổi thư, trong khi các máy tính trên mạng nội bộ có thể được

truy nhập vào Internet một cách dễ dàng.

67

Firewall cũng giới hạn việc truy nhập trực tiếp của các máy trạm trong hệ

thống mạng của Văn phòng Quốc hội vào các máy chủ của hệ thống

Internet/intranet. Chỉ có các dịch vụ cho phép truy nhập tự do mới được mở

trên firewall (bao gồm Web, gửi/nhận thư qua SMTP/POP3/IMAP, tra cứu

tên DNS, truyền file ...). Các dịch vụ khác chỉ mở đối với các máy quản trị

hệ thống hay các máy đủ thẩm quyền.

Hệ thống sử dụng các tính năng của hệ điều hành, đặc biệt là hệ điều hành

Windows 2000 và Windows NT 4.0 để đảm bảo mức an ninh thông tin bên

trong mạng nội bộ, bao gồm:

o Thiết lập các chính sách về mật khẩu: độ dài, độ phức tạp, thời gian

tối thiểu và tối đa sử dụng nhằm tránh lộ mật khẩu của người sử dụng

o Thiết lập các chính sách về quyền của người sử dụng trong hệ thống

mạng: quyền chia sẻ file, máy in, quyền đăng nhập vào máy chủ và

máy trạm ....

o Phân quyền truy nhập vào các tài nguyên của hệ thống một cách hợp

lý.

Thiết bị firewall được chọn là Cisco PIX 515:

PIX 525 với 6 cổng Ethernet 10/100 Mbps (2 cổng có sẵn trên thiết bị, card

4 cổng 10/100) và 2 cổng Gigabit sử dụng cáp quang

Tốc độ băng thông lên đến 330 Mbps, số kết nối đồng thời đến 280.000

Đây là thiết bị có năng lực xử lý rất lớn, vượt xa băng thông của kết nối

Internet của Văn phòng Quốc hội (dự kiến chỉ lên đến 2 Mbps, giai đoạn đầu chỉ có

128 Kbps).

5.3. Thiết kế, xây dựng dịch vụ quản lý và ứng dụng mạng

5.3.1. Dịch vụ quản lý mạng

Dịch vụ Active Directory cho phép quản lý các thông tin liên quan đến

người dùng và các tài nguyên trên hệ thống mạng một cách tập trung, mềm dẻo.

Dịch vụ này được tích hợp trong hệ điều hành Windows 2000 (bản server) cho

phép thiết lập các hệ thống mạng với quy mô và bố trí vật lý đa dạng, quản lý tập

trung, tạo điều kiện về hạ tầng cơ sở cho các ứng dụng mạng.

68

Do các đặc tính này, dịch vụ Active Directory (AD) được sử dụng để quản

lý người dùng và các tài nguyên trên hệ thống mạng một cách thống nhất.

Dựa vào kiến trúc vật lý của hệ thống, ta chia mạng của VPQH làm ba site

khi thiết lập dịch vụ Active Directory.

Các site tương ứng với các điểm 2 Bắc Sơn, 35 Ngô Quyền, 37 Hùng

Vương.

Các site có cùng chung domain và được lấy tên là QH.GOV.VN

AD Chính (Main AD) được đặt tại 37 Hùng Vương

Các AD phụ trợ (Additional AD) được đặt tại hai site còn lại

Các AD còn được gọi là các Domain Controller (DC).

Các DC sẽ tự động đồng bộ thông tin vào thời gian được định trước (có thể

thiết lập đồng bộ tài nguyên thông tin trên các DC vào thời điểm ít kết nối trao

đổi thông tin của người dùng nhất hoặc ngoài giờ làm việc). Mỗi khi có sự thay

đổi hay cập nhật thông tin trên mỗi site thì các DC sẽ tự động cập nhật (sao chép)

nội dung của dịch vụ thư mục thông qua kết nối mạng WANs. Ví dụ, khi đăng kí

tài khoản cho một người dùng mạng, nhà quản trị có thể ngồi tại bất kì vị trí nào

trên mạng Intranet để tạo mới người dùng đó. Sau khi tạo mới người dùng, thì

thông tin đó sẽ tự động cập nhật lên từng DC trong domain theo thời gian định

trước, người dùng có thể đăng nhập mạng tại bất kì vị trí nào trong mạng

Intranet.

5.3.2. Cài đặt, và quản lý dịch vụ E-mail

Thiết lập một máy chủ thư điện tử tại 37 Hùng Vương, được đặt tại một

nhánh mạng riêng, kết nối với Internet và các hệ thống khác thông qua firewall

PIX.

Máy chủ thư điện tử tại 37 Hùng Vương đóng vai trò chính trong hệ thống

thư của Văn phòng Quốc hội, bao gồm:

Quản lý toàn bộ người dùng hệ thống thư của Văn phòng Quốc hội

Nhận thư từ Internet gửi đến người dùng của domain QH.GOV.VN (cũng

như các domain khác mà Văn phòng Quốc hội sẽ sử dụng sau này)

Cung cấp dịch vụ POP3 và IMAP cho phép người dùng nhận thư tại máy

trạm. Trong đó đặc biệt chú trọng dịch vụ IMAP

69

Cung cấp dịch vụ WebMail cho người sử dụng gửi/nhận thư qua giao diện

Web.

Lưu trữ và thực hiện các quy tắc kiểm soát thư: Chặn thư rác (spam) và thư

có nội dung không được phép, thông qua cơ chế kiểm duyệt nội dung thư.

Quét và diệt virus trên hệ thống thư.

Tạo và duy trì các chính sách liên quan đến việc sử dụng hệ thống thư: dung

lượng tối đa của hòm thư (mail box quota), kích thước tối đa của file gửi

kèm, số lượng thư tối đa được lưu trữ ....

Để thực hiện các nhiệm vụ này, phần mềm được sử dụng làm server thư

điện tử cần có khả năng thiết đặt các quy tắc mềm dẻo, quản lý được nhiều

domain, cho phép quản trị từ xa và có khả năng hỗ trợ dịch vụ thư điện tử qua

giao diện Web (Web-mail).Máy chủ thư điện tử tại Văn phòng Quốc hội sẽ sử

dụng phần mềm Mail Server MDaemon.

70

KẾT LUẬN

1. Kết quả

Sau thời gian nghiên cứu và học tập về đề tài em đã hoàn thành xong đề

tài và trình bày chi tiết những gì mình đã đạt được. Tuy nhiên, do thời gian và

khă năng có hạn, vì vậy đề tài không tránh khỏi những thiếu sót và chưa phải là

đề tài tối ưu nhất vì vậy em kính mong thầy cô giáo xem xét, chỉ bảo để đề tài

của em hoàn thiện hơn

2.Mức hoàn thành công việc

Đề tài do em nghiên cứu đã tương đối hoàn chỉnh và đã đạt được một số

yêu cầu mà thầy cô đưa ra, tuy nhiên vẫn còn một số vấn đề em chưa giải quyết

được và còn chưa chặt chẽ.

3.Hướng phát triển trong tương lai

Với khoa học kĩ thuật ngày càng phát triển mạnh mẽ như hiện nay thì việc

thiét kế các hệ thống quản lý cũng phải nâng cấp nhiều hơn và chặt chẽ hơn

trong công việc bảo mật,mã hoá dữ liệu đem lại nhiều lợi ích cho người quản lý

cũng như người sử dụng.Vì vậy hương phát triển của đề tài sẽ đi sâu hơn về bảo

mật và quản lý tài nguyên.

TÀI LIỆU THAM KHẢO:

1. Andrew S.Tanenbaum- Mạng máy tính - Bản dịch của Hồ Anh Phong- Nhà xuất bản thống kê –2001

2. Cisco Systems Inc. – Cisco Internetworking Design Guide – 1/2000(Network Design.pdf)

3. Daren L.Spohn-Data network design-McGraw Hill-19974. Internetworking with TCP/IP, Douglas E.Comer, Prentice Hall, 1997

71

5. Neil J.Gunther- The practical performance analyst (Performance- by- design techniques for distributed system)- McGraw Hill-1998

6. M. Tamer Ozsu- Principles of Distributed Database Systems- Patrick Valduriez

7. Thomas m.Connlly- Database Systems (A practical Approach to Design, Implementation, and Management)-Carolyn E.Begg.

8. TCP/IP and related protocol,Uyless Black, Mc Graw –Hill9. Voice and Data Internetworking, Gilbert Held, NXB Mc Graw- Hill,199810. Nguyễn Thúc Hải - Mạng máy tính và các hệ thống mở -N.XBGD –1999.11. Nguyễn Hồng Sơn – Giáo trình hệ thống mạng máy tính CCNA – Nhà

xuất bản giáo dục-200112. http://www.cs.columbia.edu 13. http://www.cis.ohio-state.edu 14. http://www.lumumba.luc.ac.be 15. http://www.openh323.org 16. http://www.itu.org 17. http://www.etsi.org 18. http://www.vocaltech.com 19. http://www.bell-laps.com 20. http://www.analogic.com/cti 21. http://www.quangtrimang.com

72