Mạng máy tính và vấn để đảm bảo an toàn mạng máy tính
Khái niệm
Mạng máy tính là một hệ thống bao gồm nhiều máy tính riêng lẻ được kết nối thông qua các phương tiện truyền dẫn vật lý, như cáp hoặc sóng không dây, và được tổ chức theo các kiến trúc mạng khác nhau.
Kiến trúc mạng bao gồm cấu trúc mạng (topology) và giao thức mạng (protocol) Topo đại diện cho cấu trúc hình học của các thực thể trong mạng, trong khi giao thức mạng là tập hợp các quy tắc chuẩn mà các thực thể truyền thông phải tuân theo để hoạt động hiệu quả.
Lịch sử phát triển mạng máy tính
Máy tính của thập niên 1940 là các thiết bị cơ – điện tử lớn và rất dễ hỏng.
Sự phát minh ra transitor bán dẫn vào năm 1947 tạo ra cơ hội để làm ra chiếc máy tính nhỏ và đáng tin cậy hơn.
Vào năm 1950, các máy tính mainframe được vận hành bởi chương trình ghi trên thẻ đục lỗ bắt đầu được áp dụng tại các học viện lớn Mặc dù công nghệ này mang lại nhiều lợi ích nhờ khả năng lập trình của máy tính, nhưng việc phát triển các chương trình dựa trên thẻ đục lỗ cũng gặp không ít khó khăn.
Vào cuối những năm 1950, mạch tích hợp (IC) được phát minh, cho phép tích hợp nhiều transistor trên một mẫu bán dẫn nhỏ, mang lại sự tiến bộ vượt bậc trong việc sản xuất máy tính mạnh mẽ, nhanh chóng và gọn nhẹ hơn Hiện nay, mạch tích hợp có khả năng chứa hàng triệu transistor trên một mạch, đánh dấu một bước tiến quan trọng trong công nghệ điện tử.
Vào cuối thập niên 1960, đầu thập niên 1970, các máy tính nhỏ được gọi là minicomputer bắt đầu xuất hiện.
Năm 1977, công ty máy tính Apple Computer giới thiệu máy vi tính còn được gọi là máy tính cá nhân (personal computer – PC).
Năm 1981, IBM giới thiệu máy tính cá nhân đầu tiên, đánh dấu bước tiến quan trọng trong công nghệ Sự phát triển tinh vi của các mạch tích hợp (IC) đã thúc đẩy việc sử dụng máy tính cá nhân trở nên phổ biến hơn trong cả gia đình và doanh nghiệp.
Vào giữa thập niên 1980, người dùng máy tính độc lập bắt đầu chia sẻ tập tin qua modem kết nối với các máy tính khác, một phương thức được gọi là điểm nối điểm hay truyền theo kiểu quay số Khái niệm này sau đó được mở rộng với việc sử dụng máy tính làm trung tâm truyền tin trong các kết nối quay số Tuy nhiên, hệ thống này gặp hạn chế do số lượng hướng truyền tin rất ít, không đủ đáp ứng nhu cầu khi số lượng kết nối gia tăng.
Vào các thập niên 1950 đến 1990, Bộ Quốc phòng Hoa Kỳ đã phát triển các mạng diện rộng (WAN) đáng tin cậy phục vụ cho mục đích quân sự và khoa học Công nghệ này cho phép nhiều máy tính kết nối với nhau qua các đường dẫn khác nhau, và sau này, các mạng WAN này đã trở thành nền tảng cho Internet hiện đại.
Phân loại mạng máy tính
Ta có nhiều cách phân loại mạng máy tính khác nhau như:
Theo môi trường truyền thông:
Mạng có dây (wired network): sử dụng đường truyền hữu tuyến như cáp đồng trục, cáp quang, đường điện thoại…
Mạng không dây (wireless network): sử dụng đường truyền vô tuyến như sóng radio, tia hồng ngoại…
Hình 1.2 Mạng có dây và mạng không dây
Theo góc độ địa lý
Mạng cục bộ (LAN): là mạng kết nối các máy tính gần nhau trong một phạm vi địa lý hẹp như trong phòng, tòa nhà, trường học.
Mạng đô thị (MAN): kết nối các LAN trong phạm vi thành phố hoặc quốc gia qua các môi trường truyền thông tốc độ cao.
Mạng diện rộng (WAN): Mạng kết nối những máy tính ở khoảng các xa nhau như kết nối các tỉnh, quốc gia.
Mô hình mạng ngang hàng (Peer to Peer) cho phép các máy tính trong mạng hoạt động bình đẳng, với mỗi máy vừa cung cấp tài nguyên vừa sử dụng tài nguyên từ các máy khác.
Mô hình mạng khách chủ (Client – server) bao gồm máy chủ, có nhiệm vụ quản lý và cung cấp tài nguyên cho máy khách Máy chủ thường có cấu hình mạnh mẽ và khả năng lưu trữ lượng lớn thông tin để phục vụ cho nhu cầu chung của người dùng.
Máy khách: sử dụng tài nguyên do máy chủ cung cấp.
Lợi ích của mạng máy tính
Mạng máy tính ngày nay đã phổ biến trên toàn thế giới Việc sử dụng mạng máy tính mang lại một số lợi ích thiết thực sau:
Kết nối vào mạng máy tính cho phép người dùng chia sẻ tài nguyên một cách hiệu quả, giúp mọi người truy cập và sử dụng các thiết bị mà không cần lo lắng về vị trí của chúng.
Nâng cao suất cho công việc.
Tiết kiệm chi phí: việc dùng chung các thiết bị, phần mềm giúp giảm bớt chi phí
Tăng cường bảo mật thông tin: dữ liệu đặt trên các máy chủ file sẽ được bảo vệ tốt hơn so với đặt trên máy tính cá nhân.
Sự phát triển của mạng máy tính đã mở ra nhiều ứng dụng mới, cho phép người dùng truy xuất chương trình và dữ liệu từ xa một cách dễ dàng, đồng thời cải thiện khả năng thông tin liên lạc.
Mạng máy tính an toàn
Một mạng máy tính được coi là an toàn khi đảm bảo các dịch vụ như bảo mật thông tin, xác thực, toàn vẹn dữ liệu, sẵn sàng phục vụ và không thể chối bỏ Các dịch vụ này đóng vai trò quan trọng trong việc bảo vệ thông tin truyền tải trong mạng.
Dịch vụ bí mật (Confidentiality) đảm bảo rằng thông tin trong hệ thống máy tính và dữ liệu được truyền chỉ có thể được truy cập bởi những bên được ủy quyền Điều này giúp bảo vệ dữ liệu khỏi các cuộc tấn công thụ động nhằm khám phá nội dung thông báo.
Dịch vụ xác thực (Authentication): đảm bảo rằng việc truyền thông là xác thực, nghĩa là cả người gửi và người nhận không bị mạo danh
Dịch vụ toàn vẹn (Integrity): đòi hỏi rằng các tài nguyên hệ thống máy tính và thông tin được truyền không bị sửa đổi trái phép
Không thể chối bỏ (Nonrepudiation) là một khái niệm quan trọng trong truyền thông, giúp ngăn chặn người gửi hoặc người nhận phủ nhận việc gửi hoặc nhận thông báo Điều này có nghĩa là người nhận có khả năng chứng minh rằng thông báo đã được gửi bởi một người cụ thể, trong khi người gửi cũng có thể chứng minh rằng thông báo đã được nhận bởi người nhận hợp pháp.
Kiểm soát truy nhập là khả năng quản lý và hạn chế quyền truy cập vào các hệ thống máy tính và ứng dụng thông qua các kênh truyền thông.
Sẵn sàng phục vụ (Availability) là yếu tố quan trọng trong hệ thống máy tính, đảm bảo rằng các tài nguyên luôn có sẵn cho người dùng hợp pháp và có quyền truy cập.
Các thành phần cơ bản của mạng máy tính
Thông điệp
Thông điệp là thuật ngữ chỉ các hình thức giao tiếp trên internet, bao gồm trang web, email, tin nhắn và cuộc gọi điện thoại Để trao đổi thông điệp trong mạng, các thiết bị đầu cuối cần cài đặt phần mềm hỗ trợ giao tiếp, được gọi là dịch vụ.
Thông điệp có thể tồn tại dưới nhiều hình thức như văn bản, âm thanh hoặc hình ảnh Trong quá trình truyền thông qua mạng, chúng được chuyển đổi thành các bit, tức là các tín hiệu kỹ thuật số mã nhị phân, để truyền tải qua mạng không dây, cáp đồng hoặc cáp quang Mặc dù chất lượng của các tín hiệu kỹ thuật số có thể khác nhau tùy thuộc vào phương tiện truyền thông, nhưng nội dung của thông điệp ban đầu vẫn được giữ nguyên.
Phương tiện truyền thông
Phương tiện truyền thông là các công cụ vật lý giúp chuyển tải thông điệp từ người gửi đến người nhận Quá trình truyền thông có thể được thực hiện qua nhiều hình thức khác nhau, chẳng hạn như sử dụng dây mạng hoặc môi trường mạng không dây.
Trong mạng kết nối có dây, phương tiện truyền thông chủ yếu là dây đồng và dây quang Dây đồng bao gồm các loại như cáp đồng xoắn đôi, cáp đồng trục, và phổ biến nhất hiện nay là cáp UTP cat5 và cat6, trong khi dây quang được sử dụng để truyền tín hiệu ánh sáng.
Trong các kết nối không dây, môi trường truyền thông bao gồm khí quyển Trái đất, không gian và tín hiệu sóng ngắn Phương tiện truyền thông không dây có thể là kết nối giữa bộ định tuyến không dây và máy tính cá nhân, giữa hai trạm mặt đất, hoặc giữa các thiết bị trên Trái đất với vệ tinh Khi truyền qua mạng internet, một thông điệp có thể đi qua nhiều phương tiện truyền thông khác nhau.
Thiết bị
Các thiết bị mạng như bộ chuyển mạch (switch) và bộ định tuyến (router) đóng vai trò quan trọng trong việc truyền tải thông điệp từ người gửi đến người nhận một cách chính xác Tại mạng đích, có thể sử dụng thêm các switch, dây cáp hoặc router không dây để đảm bảo thông điệp được chuyển đến đúng người nhận.
Khi tìm hiểu về hệ thống mạng, chúng ta thường gặp các sơ đồ và biểu tượng mạng, trong đó biểu tượng là hình ảnh thu nhỏ của thiết bị mạng, giúp đại diện cho mô hình mạng và làm rõ thiết kế của nó Các thiết bị người dùng cuối như máy tính để bàn, máy tính xách tay và điện thoại IP được biểu thị bằng các biểu tượng riêng, trong khi các biểu tượng khác mô tả các thiết bị mạng và phương tiện truyền thông kết nối các thiết bị này Tùy thuộc vào từng mô hình mạng cụ thể, các thiết bị sẽ có đặc tính và biểu tượng khác nhau.
Chuẩn của các thành phần mạng giúp các thiết bị và sản phẩm từ nhiều công ty tương thích với nhau Hiểu rõ các công nghệ khác nhau sẽ hỗ trợ việc đưa ra các giải pháp tối ưu để phát triển một hệ thống mạng hiệu quả, không bị ràng buộc bởi thương hiệu hay nhà sản xuất thiết bị.
Hình 1-5 đưa ra các biểu tượng của các thiết bị mạng khác nhau, được mô tả trong bảng 1-1
Hình 1.5 Các biểu tượng thiết bị mạng.
Máy tính thông dụng, thường được dùng ở nhà hoặc văn phòng
Laptop Máy tính xách tay
Server Máy chủ cung cấp các dịch vụ ứng dụng cho người dùng cuối
Điện thoại IP là thiết bị kỹ thuật số chuyển đổi tín hiệu thoại thành dữ liệu để truyền qua mạng LAN Trong mạng cục bộ, phương tiện truyền thông thường sử dụng cáp đồng, trong khi đó, mạng không dây cung cấp khả năng truy cập linh hoạt hơn.
Bộ chuyển mạch LAN là thiết bị phổ biến nhất dùng để kết nối các mạng cục bộ, trong khi đó, tường lửa (Firewall) đóng vai trò quan trọng trong việc bảo đảm an ninh cho hệ thống mạng.
Router Bộ định tuyến, truyền các thông điệp giữa các mạng Wireless router Bộ định tuyến không dây, thường dùng trong các mạng gia đình
Cloud Biểu tượng dùng để mô tả nhóm các thiết bị mạng nằm ngoài vùng quản lý cục bộ, thường là mạng Internet
WAN media Một dạng kết nối trong mạng diện rộng (WAN),
Quy tắc
Tất cả các quá trình giao tiếp diễn ra ngay lập tức, với hàng triệu hoạt động có thể thực hiện trong một giây Để một hệ thống mạng hoạt động chính xác, các quá trình cần được kiểm soát bởi các quy tắc nghiêm ngặt, từ thiết kế cáp đến việc gửi tín hiệu kỹ thuật số Những quy tắc này được gọi là giao thức mạng (protocol), giúp các thiết bị khác nhau ở các vị trí khác nhau giao tiếp một cách dễ dàng Hai giao thức mạng phổ biến nhất là IP (Internet Protocol) và TCP (Transmission Control Protocol).
Giao thức điều khiển truyền dẫn (Control Protocol) là phần thiết yếu của giao thức TCP/IP, hoạt động cùng các giao thức khác như XMPP để đảm bảo quy tắc truyền thông hiệu quả cho nhiều dịch vụ khác nhau Bảng 1-2 liệt kê một số dịch vụ phổ biến và các giao thức hỗ trợ chúng.
Dịch vụ Giao thức (Quy tắc)
E-mail (thư điện tử) SMTP (Simple Mail Transport
Protocol) và POP (Post Office Protocol) Instant message
XMMP (Extensible Messaging and Presence Protocol) and OSCAR (Open System for Communication in Realtime)
IP telephony SIP (Session Initiation Protocol)
Bảng 1.2 Các dịch vụ và giao thức hỗ trợ
Khi một tin nhắn văn bản được gửi đi, nó không ngay lập tức xuất hiện trên thiết bị nhận, mà phải đi qua một mạng lưới phức tạp Mặc dù chúng ta thường không nghĩ đến, nhưng có nhiều thành phần cấu thành hạ tầng mạng này Danh sách dưới đây mô tả mối quan hệ tương tác giữa các thành phần như thiết bị, phương tiện truyền thông và dịch vụ, tất cả đều được kết nối bởi các quy tắc để truyền tải tin nhắn.
1 Một người dùng cuối sử dụng ứng dụng trên PC để gửi thông điệp tức thời đến bạn của mình.
2 Tin nhắn được biến đổi sang dạng bit nhị phân trước khi được truyền đến đích.
3 NIC (Network interface card – giao diện card mạng) của PC gửi sẽ sinh ra các tín hiệu điện để truyền đến thiết bị mạng đầu tiên.
4 Các bit được truyền từ thiết bị này đến thiết bị khác trong mạng cục bộ.
5 Nếu các bit cần chuyển ra ngoài mạng cục bộ, chúng sẽ đi qua bộ định tuyến kết nối với một mạng khác
6 Khi các bit đến mạng đích, chúng một lần nữa được truyền trong mạng cục bộ.
7 Cuối cùng, NIC trên thiết bị đích chấp nhận các bit và chuyển đổi chúng sang dạng thông điệp văn bản ban đầu.
Cơ bản về thiết kế mạng máy tính
Các yêu cầu chung khi thiết kế mạng máy tính
Mỗi mạng máy tính đều có những yêu cầu cụ thể mà kỹ sư cần xem xét khi thiết kế Mặc dù các loại mạng khác nhau có thể có các yêu cầu riêng, nhưng nhìn chung, các yêu cầu này thường bao gồm tính khả thi, hiệu suất, bảo mật và khả năng mở rộng.
Yêu cầu về kỹ thuật.
Yêu cầu về hiệu năng.
Yêu cầu về ứng dụng.
Yêu cầu về quản lý mạng.
Yêu cầu về an ninh – an toàn mạng.
Yêu cầu ràng buộc về tài chính, thời gian thực hiện, nguồn nhân lực,các tài nguyên đã có và khả năng tái sử dụng.
Thiết kế cơ bản mạng máy tính
Để thiết kế một mạng máy tính cơ bản cần thực hiện các bước sau:
Phân tích yêu cầu hệ thống mạng là bước quan trọng để xác định số lượng nút mạng cần thiết, lựa chọn kỹ thuật và thiết bị chuyển mạch phù hợp, cũng như công nghệ đi cáp hiệu quả.
Khi lựa chọn phần cứng cho dự án, việc phân tích yêu cầu và ngân sách dự kiến là rất quan trọng Chúng ta sẽ tìm kiếm nhà cung cấp thiết bị hàng đầu như Cisco, Nortel, 3COM và Intel để đảm bảo chất lượng và hiệu suất tối ưu cho triển khai.
Lựa chọn phần mềm: Lựa chọn các hệ điều hành, các công cụ phần mềm phù hợp để triển khai cho hệ thống mạng như Unix, Linux, Windows…
Đánh giá khả năng: đánh giá khả năng của hệ thống mạng dựa vào các thông tin hoặc các thử nghiệm đã được xác minh.
Tính toán giá thành: Giá thành phải đảm bảo các chỉ tiêu kỹ thuật, các yêu cầu của ứng dụng, tính khả mở của hệ thống.
Thiết kế mô hình, địa chỉ, giao thức cho mạng
Triển khai pilot là bước quan trọng, thực hiện ở quy mô nhỏ để minh họa đầy đủ các yêu cầu kỹ thuật và ứng dụng Điều này tạo cơ sở vững chắc cho việc đánh giá khả năng và chi phí của mạng trước khi quyết định triển khai trên diện rộng.
Sau khi hoàn thiện thiết kế hệ thống, việc kiểm thử và lập tài liệu thiết kế là rất cần thiết để đảm bảo chất lượng và lưu trữ thông tin.
Quy trình thiết kế an toàn mạng máy tính
Khi thiết kế một mạng máy tính an toàn, cần thực hiện quy trình phân tích và đánh giá để tìm ra giải pháp tối ưu, nhằm xây dựng một hệ thống mạng hiệu quả.
Ngoài các bước như trong thiết kế mạng máy tính cơ bản, quy trình thiết kế mạng máy tính an toàn cần bổ sung thêm một số bước sau:
Phân tích và xác định các yêu cầu an toàn
Xây dựng kế hoạch và các chính sách an toàn
Thiết kế các cơ chế an toàn
Phân đoạn cụ thể cơ chế an toàn
Thiết kế chiến lược quản lý mạng an toàn
Đánh giá, kiểm thử hệ thống an toàn
Câu 1 Trình bày khái niệm mạng máy tính và phân loại mạng máy tính? Câu 2 Những lợi ích của mạng máy tính?
Câu 3 Trình bày các thành phần của mạng máy tính?
Câu 4 Thế nào là một mạng máy tính an toàn?
Câu 5 Các bước cơ bản thiết một mạng máy tính an toàn?
KHẢO SÁT PHÂN TÍCH
Xác định, phân tích mục tiêu cơ bản
2.1.1 Phân tích mục tiêu hoạt động Để phân tích mục tiêu thương mại, người thiết kế phải hiểu về thị trường, nhà cung cấp, sản phẩm, dịch vụ… của khách hàng Với những hiểu biết đó, người thiết kế có thể xác định được công nghệ, sản phẩm đáp ứng yêu cầu của khách hàng.
Người thiết kế cần nắm rõ cấu trúc phòng, ban của công ty khách hàng để hỗ trợ trong việc xây dựng mạng lưới hiệu quả Việc hỏi khách hàng về yêu cầu mạng là cần thiết để xác định công nghệ và tiêu chuẩn phù hợp cho hệ thống mạng.
Các mục tiêu thương mại cơ bản khi xây dựng mạng mới:
- Tăng doanh thu và lợi nhuận
- Mở rộng thị trường mới
- Tăng cao tính cạnh tranh trong cùng thị trường
- Tăng năng xuất lao động của nhân viên
- Giảm thời gian vòng đời phát triển sản phẩm
- Sử dụng trong thời gian cho phép
- Đề xuất các dịch vụ mới cho khách hàng
- Đề xuất các hỗ trợ mới tốt hơn cho khách hàng
- Kết nối các thành phần (Nhà đầu tư, khách hàng, đối tác, nhà cung cấp, nhân viên vv )
- Tránh sự gián đoạn hoạt động gây ra bởi các thảm họa tự nhiên và không tự nhiên.
- Hiện đại hóa các công nghệ đã lạc hậu
- Giảm chi phí mạng và hệ thống viễn thông, bao gồm cả các mạng dùng cho thoại, dữ liệu, và hình ảnh
- Làm cho trung tâm dữ liệu hiệu quả hơn trong việc sử dụng nguồn, cáp, rack, bộ nhớ và mạng WAN
Phân tích những ràng buộc thương mại:
Khi thiết kế và xây dựng mạng cho tổ chức, cần chú ý đến các vấn đề chính trị và chính sách liên quan Mỗi loại tổ chức, như y tế, tài chính, kế toán hay viễn thông, đều có những tiêu chuẩn đặc thù cần được tuân thủ để đảm bảo tính hiệu quả và an toàn của mạng lưới.
Vấn đề tài chính và nhân sự rất quan trọng trong việc thiết kế mạng, bao gồm chi phí cho thiết bị, phần mềm, hỗ trợ, kiểm thử, đào tạo và nhân lực Để đảm bảo tiến độ dự án, cần lập lịch trình chi tiết cho từng nhiệm vụ cụ thể và thời gian thực hiện, có thể sử dụng công cụ hỗ trợ để quản lý lịch trình hiệu quả.
Danh sách các việc cần thực hiện:
- Tìm hiểu lĩnh vực hoạt động của khách hàng
- Tìm hiểu cơ cấu tổ chức của khách hàng
- Hiểu được các mục tiêu hoạt động của khách hàng và mục tiêu chính của dự án thiết kế hệ thống mạng
- Đảm bảo khách hàng nắm bắt được các vấn đề quan trọng
- Hiểu được tiêu chí của thành công và nguyên nhân của thất bại
- Nắm bắt được phạm vi thực hiện dự án
- Xác định được các ứng dụng mạng của khách hàng
Hiểu rõ chính sách của khách hàng liên quan đến nhà sản xuất thiết bị, phần mềm, giao thức và nền tảng hoạt động là rất quan trọng Điều này bao gồm cả các quy định về thiết kế và thực thi hệ thống, giúp đảm bảo sự phù hợp và hiệu quả trong quá trình triển khai.
- Biết được chi phí cho xây dựng hệ thống
- Biết được lịch thực hiện dự án
- Biết được trình độ chuyên môn kỹ thuật của khách hàng và các vấn đề liên quan
- Có trao đổi với nhân viên phụ trách đào tạo của khách hàng
- Nhận thức được vấn đề chính trị có thể ảnh hưởng đến việc thiết kế
2.1.2 Phân tích mục tiêu kỹ thuật
Mục tiêu kỹ thuật bao gồm khả năng mở rộng, tính sẵn sàng, hiệu năng mạng, an toàn, khả năng quản lý, tính dễ sử dụng, khả năng thích nghi và tiết kiệm chi phí.
2.1.2.1 Khả năng mở rộng (Scalability)
Khi thiết kế mạng, cần tính đến khả năng mở rộng về quy mô, bao gồm số lượng người dùng, nút mạng và máy chủ mới trong 1 đến 5 năm tới Việc lựa chọn công nghệ xây dựng mạng là yếu tố quan trọng để đảm bảo sự mở rộng trong tương lai Kế hoạch mở rộng mạng phải đáp ứng được nhu cầu phát triển trong 2 năm hoặc nhiều năm tiếp theo.
Khi thiết lập kế hoạch mở rộng cho mạng, ta cần lưu ý những vấn đề sau:
Số lượng website sẽ được thêm trong thời gian từ một đến năm năm tới.
Số lượng người dùng truy cập vào mạng từ một đến năm năm tới.
Số lượng server được thêm vào mạng công ty từ một đến năm năm tới
Số lượng dịch vụ mạng bổ sung thêm trong vài năm tới
Tính sẵn sàng của mạng là thời gian mà mạng có khả năng phục vụ người dùng, và đây là mục tiêu quan trọng trong thiết kế mạng Chẳng hạn, nếu trong một tuần, mạng hoạt động 165 giờ trong tổng số 168 giờ, thì tính sẵn sàng của hệ thống mạng đạt 98.21%.
Tính sẵn sàng của mạng là yếu tố quan trọng trong việc đảm bảo hoạt động liên tục, và dự phòng đóng vai trò then chốt trong việc nâng cao khả năng này Việc áp dụng các giải pháp dự phòng giúp mạng có khả năng phục hồi nhanh chóng khi gặp thảm họa hoặc sự cố.
Tính sẵn sàng của mạng không chỉ liên quan đến khả năng phục hồi mà còn đến khả năng khôi phục sau thảm họa Khả năng phục hồi đề cập đến khả năng của mạng trong việc xử lý và phục hồi khi xảy ra sự cố, trong khi phục hồi sau thảm họa là kế hoạch để đảm bảo mạng trở lại hoạt động bình thường sau các sự kiện bất ngờ.
Trong một hệ thống, tỷ lệ hoạt động liên tục tối thiểu cần đạt là 99.70%, với mục tiêu lý tưởng là 99.999%, hay còn gọi là Five nines availability Điều này có nghĩa là hệ thống chỉ được phép ngưng trệ hoạt động tối đa 5 phút trong một năm.
Các thông số liên quan đến tính sẵn sàng của hệ thống đó là:
MTBF(Mean time between failure): Thời gian trung bình xảy ra lỗi
MTTR: (Mean Time to Repair): Thời gian trung bình khắc phục lỗi
Tính sẵn sàng (Availability) = MTBF/(MTBF+MTTR)
Khi phân tích yêu cầu kỹ thuật cho thiết kế mạng, cần xem xét các yếu tố quan trọng như băng thông, thông lượng, độ chính xác, hiệu quả, độ trễ và thời gian đáp ứng, cùng với một số thông số khác.
Băng thông: Khả năng truyền dữ liệu của mạng về mặt lý thuyết, đơn vị tính là bps (bit per second), số bit trên một giây.
Sử dụng: Tỉ lệ phần trăm khả năng được sử dụng trong thực tế.
Sử dụng tối ưu: Lượng sử dụng trung bình tối đa trước khi mạng được xem là bão hòa
Cung cấp tải: Tổng các dữ liệu ở tất cả các nút mạng có thể sẵn sàng truyền vào thời gian cụ thể.
Thông lượng: là lượng dữ liệu được truyền tải thành công giữa 2 node trong một khoảng thời gian, thường là giây.
- Thông lượng có thể đo được và thông lượng phụ thuộc vào các đặc tính của hiệu suất mạng, cách thức đo và băng thông cho phép.
Thông lượng của thiết bị mạng là tốc độ tối đa mà nó có thể chuyển tiếp gói tin mà không làm mất gói nào Đơn vị đo lường thông lượng là pps (gói tin mỗi giây) hoặc cps (ô mỗi giây) đối với thiết bị ATM.
- Thông lượng tầng ứng dụng thường được đo bằng KBps (Kilobytes per second) hoặc MBps (Megabytes per second).
Những vấn đề ảnh hưởng đến thông lượng cần quan tâm:
- Tỉ lệ truyền lỗi giữa các điểm đầu cuối
- Các hàm giao thức như bắt tay, cửa sổ, và các phản hồi
- Các tham biến giao thức như kích cỡ Frame và bộ đếm thời gian truyền lại
- Tỉ lệ pps và cps của các thiết bị liên mạng
- Mất gói dữ liệu tại các thiết bị liên mạng
- Nhân tố hiệu năng của máy chủ và máy trạm
Tốc độ truy cập đĩa
Kích cỡ bộ nhớ đệm
Hiệu năng trình điều khiển thiết bị
Hiệu năng của bus máy tính
Hiệu năng của bộ nhớ
Yếu tố hệ điều hành
Ứng dụng và các các lỗi của ứng dụng Cần làm việc với khách hàng để xác định thông lượng của ứng dụng
Độ chính xác trong truyền dữ liệu là tỷ lệ thành công của các frame, phản ánh số frame bị lỗi so với tổng số frame được truyền Nó cũng liên quan đến việc sắp xếp lại trình tự gói dữ liệu, có thể xảy ra do chuyển mạch song song hoặc liên kết giữa các thiết bị định tuyến Để đo độ chính xác, cần sử dụng bộ công cụ phân tích giao thức tại các máy đầu cuối Đối với mạng WAN, tỷ lệ lỗi bit (BER) được sử dụng, với ngưỡng chấp nhận cho tín hiệu analog là 1 trên 10^5 và cho tín hiệu số là 1 trên 10^10 đối với cáp quang, 1 trên 10^6 đối với cáp đồng Trong mạng LAN, BER không được áp dụng, mà thay vào đó, so sánh số lượng frame lỗi với tổng số byte thu thập, với ngưỡng tối ưu là không quá một frame lỗi trên 10^6 bytes Trong mạng Ethernet chia sẻ, lỗi thường xảy ra do xung đột khi hai trạm gửi frame cùng lúc, với nhiều xung đột xảy ra ở phần 8 byte đầu tiên hoặc 64 bytes đầu tiên của dữ liệu frame.
Hiệu quả của hệ thống mạng được xác định bởi chi phí truyền tải một đơn vị dữ liệu, chịu ảnh hưởng bởi tỷ lệ va chạm, mã thông báo, báo cáo lỗi, thay đổi lộ trình, phản hồi, kích thước header của Frame, và thiết kế mạng không tối ưu.
- Mạng Ethernet chia sẻ là không hiệu quả khi mà tỉ lệ (collision) đụng độ cao
Phân tích và xác định các yêu cầu an toàn
2.2.1 Xác định giá trị tài sản mạng
Giá trị tài sản bao gồm phần cứng, phần mềm, ứng dụng và dữ liệu, cùng với các giá trị liên quan như sở hữu trí tuệ, bí mật thương mại và thương hiệu danh tiếng của công ty.
Ngoài ra, công ty cần bảo vệ sự toàn vẹn và bảo mật của các dữ liệu quan trọng liên quan đến hoạt động của mình, bao gồm bản thiết kế kỹ thuật, tài liệu kế hoạch tài chính, thông tin quan hệ khách hàng, tài liệu phân tích cạnh tranh, thông tin cấu hình phần cứng và phần mềm, số an sinh xã hội của nhân viên, và thông tin thẻ nhân viên Việc bảo vệ dữ liệu này là rất cần thiết để ngăn chặn sự phá hoại và ăn cắp, dù là có chủ ý hay không.
Các tài nguyên mạng quan trọng như máy chủ, thiết bị chuyển mạch, và thiết bị định tuyến, đặc biệt là tường lửa và hệ thống phát hiện xâm nhập (IDS), đóng vai trò quan trọng trong việc cung cấp dịch vụ bảo mật cho người dùng mạng Những thiết bị này luôn là mục tiêu hàng đầu của tin tặc.
Thời gian sử dụng mạng được xem như một tài sản quý giá Khi một virus tấn công hệ thống, việc xử lý sự cố tiêu tốn thời gian, tương tự như các cuộc tấn công từ chối dịch vụ Tình trạng lãng phí thời gian này không chỉ ảnh hưởng đến các nhà cung cấp dịch vụ Internet (ISP) mà còn tác động đến nhiều tổ chức và công ty trong các lĩnh vực y tế, giáo dục, tài chính và các dịch vụ khác.
Mỗi tổ chức có những giá trị mạng riêng, vì vậy khi tiến hành khảo sát phân tích thiết kế, cần hợp tác với người quản lý kỹ thuật và kinh doanh để xác định chính xác các tài sản quan trọng Đồng thời, việc hiểu rõ mục tiêu và chiến lược phát triển của tổ chức cũng rất cần thiết.
Chúng ta cần nhận thức rõ các loại dữ liệu nhạy cảm, vì việc mất mát hoặc truy cập trái phép vào thông tin mật về thương mại và tài chính có thể gây ra hậu quả nghiêm trọng Phân tích các đe dọa tiềm ẩn và tác động của chúng đến hoạt động của hệ thống là một bước quan trọng trong kế hoạch đảm bảo an ninh.
Phân tích rủi ro là quá trình đánh giá các nguy cơ liên quan đến việc không thực hiện hành động nào, bao gồm mức độ nhạy cảm của dữ liệu và khả năng bị mất cắp thông tin Điều này cũng liên quan đến việc bảo vệ các bí mật thương mại và đánh giá thiệt hại có thể xảy ra do việc thay đổi hoặc phá hủy dữ liệu Hơn nữa, phân tích rủi ro còn xem xét khả năng hệ thống mạng bị ngưng hoạt động và những thiệt hại đi kèm.
Quy trình thực hiện đánh phân tích đánh giá xử lý rủi ro được thực hiện theo các bước sau đây:
Bước 1: Nhận dạng rủi ro
Bước 2: Ước tính rủi ro
Bước 3: Đánh giá rủi ro
Bước 4: Xử lý rủi ro
Các rủi ro chính cần chú ý khi phân tích:
Các tài sản chính cần phải chú ý đến:
Tài liệu quan trọng, các nguy cơ thường xuyên là: o Mất trộm o Bị tiết lộ o Bị phá hoại o Vv
Đối với cơ sở dữ liệu, các nguy cơ thường xuyên là: o Mạo danh người sử dụng o Phần mềm hoạt động không bình thường o Bị đánh cắp o Vv
Các máy chủ dữ liệu, máy trạm, đường truyền và thiết bị mạng thường đối mặt với nhiều nguy cơ như hỏa hoạn, ngập lụt, rò rỉ nước, hỏng hóc thiết bị, phá hủy, tấn công xâm nhập trái phép, lỗi phần cứng hoặc phần mềm, và nguy cơ bị đánh cắp.
Tai nạn vật lý (sự cố, thủy tai, v.v.) và nguồn gốc của tai nạn
• Tai nạn gây ra bởi sự đoản mạch dây cáp
• Tai nạn gây ra bởi sự cẩu thả trong nội bộ (gạt tàn, máy sưởi, v.v.).
2.2.2.2 Điểm yếu, lỗ hổng mạng
- Lỗ hổng phần mềm và các dịch vụ mạng
- Thiếu và yếu đối với bảo vệ vật lý
- Bị tấn công từ chối dịch vụ
- Bị tấn công bằng mã độc
- Bị tấn công lừa đảo (social engineering)
- Gián điệp, nhân viên phản bội công ty.
- Các điểm yếu gây ra bởi con người:
Các lỗi do bảo trì không tốt
Trình độ người dùng kém
Người dùng không được đào tạo đầy đủ
Thiếu tài liệu hướng dẫn
2.2.2.3 Các đe dọa đối với mạng
Xác định các điểm yếu của mạng, hậu quả nếu hệ thống bị tấn công.
Nguy cơ bên ngoài đối với hệ thống mạng của công ty chủ yếu đến từ các đối thủ thù địch và hacker Những cuộc tấn công như tấn công từ chối dịch vụ vào các dịch vụ ở DMZ có thể gây ra hậu quả nghiêm trọng, làm gián đoạn hoạt động kinh doanh và ảnh hưởng đến uy tín của công ty.
Nguy cơ bảo mật từ bên trong có thể xuất phát từ việc người dùng tự tải về các chương trình hoặc ứng dụng từ internet, trong đó có thể chứa virus và trojan Ngoài ra, những hành động cố ý tấn công từ phía người dùng cũng có thể gây thiệt hại nghiêm trọng cho hệ thống mạng.
Nguy cơ từ các thiết bị như switch, router, server, firewall và IDS có thể dẫn đến việc mọi luồng thông tin đều bị chặn bắt, phân tích, thay đổi hoặc xóa Điều này gây ra sự thỏa hiệp về tính bí mật và toàn vẹn của dữ liệu, làm tăng nguy cơ lộ thông tin tài khoản người dùng và dễ bị đánh cắp.
- Do môi trường xung quanh tác động
- Thiên tai hỏa hoạn, lũ lụt, động đất vv
- Do các nguyên nhân khách quan khác
2.2.3 Xác định các yêu cầu an toàn
Mặc dù khách hàng có yêu cầu đa dạng về thiết kế an toàn, nhưng các cơ chế an toàn cần phải đáp ứng nhu cầu phát triển chung Việc lựa chọn thủ tục và công nghệ phải đảm bảo tính hiệu quả và an toàn tối ưu cho người sử dụng.
Đảm bảo tính bí mật: Chỉ có người dùng đủ hợp pháp và đủ thẩm quyền mới có thể xem các thông tin nhạy cảm
Để đảm bảo tính toàn vẹn của dữ liệu, chỉ những người dùng hợp pháp và có thẩm quyền mới được phép thay đổi thông tin Quyền hạn này phụ thuộc vào quá trình xác thực người dùng.
Đảm bảo tính sẵn sàng: Việc truy cập vào hệ thống và dữ liệu hiện có không bị gián đối với người dùng hợp pháp.
Ngoài ra các cơ chế đảm bảo an toàn còn phải đáp ứng các các vấn đề sau đây:
Cho phép khách hàng, nhà cung cấp và các bên liên quan truy cập dữ liệu trên web hoặc các tệp tin trên máy chủ FTP công khai và các dịch vụ công khai khác, nhưng không cho phép họ truy cập vào dữ liệu nội bộ.
Thực hiện ủy quyền và xác thực đối với người dùng văn phòng tại các chi nhánh, người dùng điện thoại di động, người dùng làm việc từ xa.
Phát hiện những kẻ xâm nhập trái phép và khoanh vùng được những thiệt hại do những kẻ xâm nhập trái phép gây ra.
Xác thực thông tin cập nhật bảng định tuyến nhận được từ các router nội bộ hay bên ngoài.
Bảo vệ dữ liệu trên đường truyền giữa các chi nhánh với trụ sở chính, giữa các chi nhánh với nhau thông qua mạng riêng ảo VPN.
Bảo vệ vật lý các thiết bị mạng, máy chủ, máy trạm vv (ví dụ, để các thiết bị trong các phòng được khóa).
Bảo vệ logic các thiết bị mạng, máy chủ, máy trạm vv với tài khoản người dùng và các quyền truy cập cho các thư mục và tập tin.
Bảo vệ các ứng dụng và dữ liệu, tránh bị nhiễm virus.
Đào tạo nâng cao kiến thức và kỹ năng cho người dùng và quản lý mạng là rất quan trọng để nhận diện các rủi ro mất an toàn đối với hệ thống mạng Việc hiểu rõ các mối đe dọa và biết cách hạn chế, phòng chống sẽ giúp bảo vệ hệ thống hiệu quả hơn.
Thực hiện quyền tác giả hoặc sử dụng pháp luật để bảo vệ sản phẩm và bản quyền sở hữu trí tuệ.
Đáp ứng các yêu cầu và tuân thủ các đòi hỏi về pháp lý
THIẾT KẾ HỆ THỐNG
Thiết kế mô hình, địa chỉ, giao thức cho mạng
Topology của mạng là cấu trúc hình học không gian, thể hiện cách bố trí và kết nối các phần tử trong mạng Nó xác định các phân đoạn mạng, điểm liên kết và nhóm người dùng, giúp hiểu rõ hơn về cách thức hoạt động và tổ chức của mạng.
3.1.1.1 Mô hình mạng phân cấp
Mô hình quản lý thiết bị tập trung này được tổ chức theo các lớp riêng biệt, mỗi lớp tương ứng với một chức năng cụ thể Điều này cho phép lựa chọn hệ thống phù hợp và các tính năng cần thiết cho từng lớp, tối ưu hóa hiệu suất và quản lý hiệu quả.
Hình 3.1 Mô hình mạng phân cấp Đặc điểm của mô hình phân cấp gồm có 3 lớp:
Lớp core: bao gồm router và switch cao cấp tối ưu cho tính sẵn sàng và hiệu suất mạng
Lớp distribution: bao gồm router và switch cài đặt các chính sách, trong các tổ chức nhỏ, thì lớp core và distribution có thể được gộp lại
Lớp accesss: kết nối người dùng cuối bằng switch hoặc các điểm truy cập không dây.
Những lợi ích khi dùng mô hình thiết kế phân cấp
Hỗ trợ dễ dàng cho việc sửa lỗi, nâng cấp và quản trị
Tối ưu hóa hiệu năng
Khả năng mở rộng, tính ổn định cao.
Giảm bớt yêu cầu tài nguyên mạng (CPU, bộ nhớ,băng thông…)
Có 3 mô hình mạng đó là: flat, full-mesh, partial mesh.
Hình 3.2 Mô hình mạng flat, full-mesh, partial mesh
Khi thiết kế mạng theo mô hình phân cấp:
- Phải xác định kiến trúc và phạm vi mạng, trong phần lớn các trường hợp hệ thống mạng chỉ cần 3 lớp là đủ.
- Thực hiện kiểm soát phạm vi đường kính mạng sẽ giúp được việc tính toán và giảm được độ trễ của mạng.
- Việc kiểm soát sẽ giúp việc dự đoán được định tuyến mạng, lưu lượng dòng dữ liệu, các yêu cầu về khả năng đáp ứng
- Một mạng được kiểm soát cũng làm cho xử lý sự cố và lập tài liệu mạng dễ dàng hơn.
Cần kiểm soát chặt chẽ cấu trúc liên kết mạng ở lớp truy cập, vì đây là khu vực dễ bị vi phạm nguyên tắc thiết kế mạng phân cấp Việc quản trị viên có thể thêm vào một liên kết ngoài thiết kế là một yếu tố cần được chú ý để đảm bảo an toàn mạng.
- Thiết kế mạng phân cấp bắt đầu với thiết kế ở lớp Access đầu tiên, tiếp theo là lớp Distribution, và cuối cùng là lớp Core
Bắt đầu với lớp Access giúp cải thiện khả năng lập kế hoạch cho các lớp Distribution và Core Điều này cũng cho phép chúng ta áp dụng các kỹ thuật tối ưu hóa cần thiết cho hai lớp này.
Nên áp dụng kỹ thuật module hóa và phân cấp trong thiết kế mỗi lớp, đồng thời lập kế hoạch kết nối giữa các tầng dựa trên phân tích lưu lượng và hành vi dòng dữ liệu mạng.
3.1.1.2 Mô hình thiết kế mạng Campus
Mô hình mạng Campus được thiết kế để đáp ứng yêu cầu về tính sẵn sàng và hiệu năng với băng thông miền nhỏ và vùng quảng bá hạn chế Với tính năng dự phòng, server và nhiều đường kết nối từ máy trạm đến router, mạng Campus sử dụng cấu trúc phân cấp, mô-đun, giúp nâng cao hiệu suất, độ ổn định và khả năng mở rộng Mạng Campus bao gồm các lớp access, distribution và core, đảm bảo hoạt động hiệu quả và linh hoạt.
Mô-đun Access bao gồm máy trạm và điện thoại IP kết nối với switch hoặc điểm truy cập không dây, trong khi switch cao cấp cung cấp liên kết tới lớp distribution Các dịch vụ chính của mô-đun này bao gồm truy cập mạng, kiểm soát phát sóng và lọc gói tin.
Mô-đun phân phối kết nối từ lớp truy cập và cung cấp kết nối tới mạng lõi thông qua router hoặc switch Nó đảm bảo các chức năng như định tuyến, QoS và kiểm soát truy cập Ngoài ra, việc sử dụng dự phòng và chia sẻ tải cũng được khuyến nghị cho mô-đun này.
Core: kết nối lớp access và distribution với trung tâm dữ liệu, mạng quản trị, edge mô-đun Campus core cung cấp dự phòng và hội tụ nhanh.
3.1.1.3 Mô hình thiết kế doanh nghiệp
Cũng thiết kế theo dạng mô hình phân cấp, cũng gồm 3 lớp: Core, distribution, access
Lớp Core: cung cấp tối ưu hoá và độ tin cậy trong quá trình truyền tin với tốc độ rất cao (high speeds)
Lớp Core Layer đáp ứng các vai trò sau: Kiểm tra Access-list, Mã hoá dữ liệu, chuyển đổi địa chỉ.
Lớp Distribution đóng vai trò quan trọng giữa Core Layer và Access Layer, giúp giảm tải cho Core Layer trong quá trình truyền thông tin Lớp này cung cấp khả năng sử dụng access lists và các tính năng lọc khác, cho phép gửi dữ liệu lên Core Layer khi cần thiết Đồng thời, lớp Distribution cũng định nghĩa các chính sách mạng, có thể áp dụng theo nhiều dạng khác nhau.
- Cập nhật bảng định tuyến
Sử dụng các chính sách để bảo mật mạng và chống các giao dịch không cần thiết.
Lớp Access đóng vai trò quan trọng trong việc kết nối người dùng với các tài nguyên trên mạng, đồng thời hỗ trợ giao tiếp với lớp Distribution Để bảo vệ hệ thống khỏi các kẻ xâm nhập, lớp Access sử dụng danh sách truy cập (Access lists) nhằm kiểm soát và quản lý lưu lượng mạng hiệu quả.
Hình 3.2 Mạng phân cấp trong doanh nghiệp
Mạng VPN cho doanh nghiệp: Ở doanh nghiệp thì có hai mô hình cho việc thiết kế VPN đó là:
Site-to-site: để kết nối các chi nhánh ở xa thông qua thiết bị chuyên dụng, ở đây lại có 2 loại VPN đó là:
Intranet VPN cho phép các chi nhánh kết nối với nhau qua Internet, tạo ra một mạng lưới nội bộ an toàn Trong khi đó, Extranet VPN không chỉ kết nối các chi nhánh mà còn mở rộng khả năng kết nối với các công ty bên ngoài như đối tác, nhà cung cấp và khách hàng, nhằm tạo ra một môi trường hợp tác và trao đổi thông tin hiệu quả.
Client-to-site: kết nối những người làm việc từ xa tới các chinh nhánh, tới trụ sở chính.
Kết nối WAN đóng vai trò quan trọng trong mạng doanh nghiệp, do đó, việc dự phòng kết nối WAN thường được tích hợp vào mô hình thiết kế mạng Mạng WAN có thể được xây dựng theo hai mô hình chính là “full mesh” và “partial mesh”.
Full mesh thì đáp ứng đầy đủ yêu cầu về dự phòng, nhưng giá thành thì rất đắt đỏ Vì vậy, môi hình “partial mesh” thường được sử dụng.
Người ta xác định những link WAN nào cần thiết để thiết kế dự phòng chứ không dự phòng tất cả cho các link WAN.
3.1.1.4 Thiết kế mạng dự phòng
Thiết kế mạng dự phòng đảm bảo tính sẵn sàng cao bằng cách nhân bản các thành phần quan trọng trong mạng, nhằm loại bỏ điểm chết đơn Các thành phần được dự phòng bao gồm core router, switch, liên kết giữa các switch, CSU, bộ cung cấp điện, WAN trunk và kết nối internet.
Cài đặt hệ thống mạng dự phòng trong mạng campus và giữa các lớp của mô hình phân cấp là một giải pháp hiệu quả để đảm bảo tính sẵn sàng cho người dùng Việc này giúp người dùng truy cập dịch vụ cục bộ một cách liên tục và ổn định.
Ta cũng có thể cài đặt dự phòng ở biên của mạng doanh nghiệp để chắc chắn tính sẵn sàng cao cho kết nối Internet, extranet và VPN
Trước khi chọn giải pháp thiết kế dự phòng, cần xác định những ứng dụng, hệ thống, thiết bị, liên kết cốt yếu cần thiết được dự phòng
- Các dạng dự phòng: o Backup paths
Để đảm bảo kết nối liên tục khi gặp sự cố với một hoặc nhiều liên kết, thiết kế dự phòng cần bao gồm các đường backup cho gói tin Các đường backup này bao gồm router, switch và các liên kết giữa chúng, cũng như các liên kết trên đường chính Khi thiết lập các đường backup, cần lưu ý các yếu tố quan trọng để đảm bảo tính khả dụng và hiệu suất của mạng.
Dung lượng mà backup path có thể hỗ trợ: (thường thì dung lượng ít hơn với đường chính)
Khoảng thời gian cần để có thể sử dụng backup path khi đường chính bị hỏng o Load Sharing:
Xây dựng kế hoạch và chính sách an toàn
3.2.1 Xây dựng kế hoạch đảm bảo an toàn
Bước đầu tiên trong thiết kế an toàn là xây dựng một kế hoạch an toàn chi tiết, trong đó xác định thời gian, nhân lực và các tài nguyên cần thiết để phát triển chính sách an toàn cũng như các bổ sung kỹ thuật liên quan.
Kế hoạch an toàn sẽ dựa trên một mô hình mạng và liệt kê các dịch vụ như FTP, web, mail Danh sách này sẽ nêu rõ cách thức cung cấp dịch vụ, ai có quyền truy cập, phương thức truy cập dịch vụ và người quản trị chịu trách nhiệm cho các dịch vụ đó.
Cần đánh giá dịch vụ trên cơ sở những mục tiêu kỹ thuật và kinh doanh liên tục
Một điều quan trọng trong việc phát triển chính sách an toàn phải chĩ rõ những ai sẽ được bao gồm trong xây dựng mạng an toàn:
- Người quản trị an toàn
- Người dùng cuối và người quản lý sẽ có thể gặp phải những vấn đề gì
Để đảm bảo chính sách và thủ tục an toàn được áp dụng hiệu quả, người dùng cuối, quản trị viên và nhân viên kỹ thuật cần được đào tạo đầy đủ Việc triển khai chính sách này tới tất cả nhân viên trong tổ chức là rất quan trọng, đặc biệt đối với người quản trị của công ty.
3.2.2 Xây dựng chính sách An toàn
Chính sách an toàn là những quy tắc, nguyên tắc được đặt ra mà bắt buộc mọi người phải tuân theo.
Một chính sách an toàn cần được thông báo rõ ràng tới người dùng, quản trị viên và nhân viên trong công ty, đồng thời xác định cụ thể những nghĩa vụ mà người dùng phải tuân thủ.
Sau khi phát triển, chính sách cần được ràng buộc với nhân viên, người dùng và quản lý, và sẽ được giải thích bởi các nhà quản trị cấp cao Nhiều doanh nghiệp yêu cầu nhân viên ký vào các chính sách để xác nhận rằng họ đã đọc, hiểu và đồng ý với nội dung của chúng.
Phát triển chính sách an toàn là trách nhiệm của quản lý cấp cao, với sự hỗ trợ từ quản trị mạng và an ninh Các nhà quản trị cần thu thập thông tin từ người dùng, nhà thiết kế, kỹ sư mạng và tư vấn pháp lý Để đảm bảo tính hiệu quả, người thiết kế mạng cần hợp tác chặt chẽ với quản trị an ninh trong việc xây dựng các chính sách an toàn phù hợp với thiết kế mạng.
Nhiều tổ chức yêu cầu nhân viên phải ký cam kết về việc đọc, hiểu và tuân theo chính sách.
Chính sách an toàn cần được cập nhật thường xuyên để phù hợp với sự thay đổi liên tục của các tổ chức, phản ánh các xu hướng kinh doanh mới và sự chuyển đổi công nghệ Rủi ro cũng thay đổi theo thời gian, do đó, việc điều chỉnh chính sách an toàn là rất cần thiết để đảm bảo hiệu quả và an toàn cho tổ chức.
3.2.2.1 Chính sách truy cập Định nghĩa quyền truy cập và đặc quyền của người dùng Chính sách truy cập sẽ cung cấp một hướng dẫn cho việc kết nối ra ngoài mạng, kết nối thiết bị tới mạng, thêm một thành phần mới vào hệ thống Một chính sách truy cập cũng phải phân loại danh mục dữ liệu (ví dụ: bí mật, tuyệt mật, mật…)
3.2.2.2 Chính sách quy định trách nhiệm Định nghĩa trách nhiệm của người dùng, hoạt động của nhân viên và quản trị Chính sách tài khoản sẽ chỉ rõ khả năng kiểm toán, cung cấp hướng dẫn khắc phục sự cố và người liên hệ khi phát hiện được xâm nhập.
Thiết lập sự tin cậy qua chính sách mật khẩu phù hợp và hướng dẫn xác thực cho người dùng từ xa, cục bộ.
Nêu lên các quy tắc về tính riêng tư như việc quản lý thư điện tử, ghi nhật ký về truy cập file của người dùng…
3.2.3 Xây dựng thủ tục đảm bảo an toàn
Thủ tục an toàn cài đặt chính sách an toàn bao gồm các bước cấu hình, đăng nhập, kiểm toán và duy trì Quy trình này áp dụng cho người dùng cuối, quản trị mạng và quản trị an toàn, nhằm đảm bảo an ninh hệ thống Ngoài ra, thủ tục an toàn cũng chỉ rõ cách khắc phục sự cố khi xảy ra sự cố, chẳng hạn như việc liên hệ với ai khi phát hiện ra xâm nhập.
Để đảm bảo an toàn, cần thiết lập một chu kỳ lập lịch độc lập với các hoạt động kiểm toán, bao gồm phân tích nhật ký kiểm toán, phản ứng kịp thời với sự cố, thực hiện kiểm thử an toàn, cung cấp đào tạo an toàn cho người quản trị, và cập nhật thường xuyên các kế hoạch và chính sách an toàn.
Thiết kế các cơ chế an toàn
3.3.1 Cơ chế an toàn vật lý
An toàn vật lý tham chiếu tới việc giới hạn truy cập tới một tài nguyên mạng được bảo vệ vật lý
Để đảm bảo an toàn vật lý cho hệ thống mạng, cần lắp đặt các thiết bị bảo vệ như cửa khóa thẻ từ và khóa thường Bên trong, hệ thống cần có các biện pháp phòng cháy chữa cháy, điều hòa không khí và chống ẩm phù hợp.
Xác thực: Là định danh xem ai đang yêu cầu tới dịch vụ mạng
Hầu hết các chính sách an toàn yêu cầu người dùng nhập ID và mật khẩu để xác thực với server khi truy cập mạng hoặc dịch vụ Để nâng cao mức độ bảo mật, việc sử dụng mật khẩu một lần cũng là một giải pháp hiệu quả.
Xác thực truyền thống dựa trên 3 nhân tố:
- Những gì ta biết: chẳng hạn như mật khẩu
- Những gì mà ta có: Thường là thiết bị vật lý, định danh với mỗi người như token card, security card, hardware-key.
- Những gì là của mình: Là những đặc điểm vật lý nhận dạng chính người dùng đó như là vân tay, võng mạc, giọng nói, khuôn mặt.
Xác thực đa nhân tố là biện pháp xác thực kết hợp hai hoặc ba nhân tố ở trên.
Sau khi người dùng xác thực thành công, việc cấp quyền xác định các hành động mà người dùng có thể thực hiện khi truy cập vào tài nguyên, chẳng hạn như quyền đọc và ghi trên file hoặc thư mục trên máy chủ.
Cấp quyền truy cập dựa trên chức năng và công việc của từng người dùng theo nguyên tắc “đặc quyền tối thiểu” đảm bảo rằng mỗi người chỉ có những quyền cần thiết để thực hiện nhiệm vụ của mình.
3.3.4 Cơ chế kiểm toán Để đạt được hiệu quả trong việc phân tích và khắc phục sự cố an toàn, một biện pháp sẽ được thiết lập cho việc thu thập các các dữ liệu trên mạng Việc tập hợp dữ liệu đó gọi là kiểm toán.
Kiểm toán sẽ ghi lại mọi hành vi xác thực và cấp quyền, cũng như việc thay đổi quyền của người dùng Ngoài ra, nó cũng ghi nhận các lần truy cập của người dùng "anonymous" hoặc "guest" vào máy chủ công cộng.
Quá trình kiểm toán không thu thập mật khẩu, nhưng sẽ ghi lại các mật khẩu sai Những mật khẩu này thường chỉ khác biệt với mật khẩu hợp lệ ở một ký tự hoặc vị trí của một ký tự nào đó.
Kiểm thử an toàn là một phần quan trọng trong quy trình kiểm toán, nơi hệ thống mạng được kiểm tra để phát hiện các lỗ hổng có thể bị kẻ tấn công khai thác Đánh giá lỗ hổng mạng là một yếu tố thiết yếu trong chính sách an toàn và thủ tục kiểm toán, với kết quả đánh giá sẽ giúp xây dựng kế hoạch sửa chữa các điểm yếu và đào tạo nhân viên nhằm nâng cao bảo mật cho hệ thống.
Mã hóa là phương pháp bảo vệ tính bí mật của dữ liệu, cho phép chỉ những người sở hữu khóa mới có thể truy cập thông tin Ngoài ra, mã hóa còn giúp xác định danh tính người gửi một cách an toàn.
Mã hóa được sử dụng trong kết nối yêu cầu an toàn như thư điện tử, các giao dịch thương mại điện tử, trong VPN.
Mã hóa gồm có 2 phần:
- Thuật toán mã hóa chỉ rõ việc mã hóa và giải mã dữ liệu
- Khóa mã hóa là một khóa được sử dụng bởi thuật toán cho việc mã hóa và giải mã.
Mã hóa chia ra làm 2 loại, mã hóa đối xứng (ví dụ: DES, 3DES, AES) và mã hóa bất đối xứng (ví dụ: RSA, Diffie Hellman ).
Kiểm soát luồng thông tin ra vào mạng, được đặt ở biên của hai hay nhiều mạng, tường lửa có thể là thiết bị phần cứng, hoặc phần mềm.
Một tường lửa lọc gói bao gồm những luật chỉ rõ lưu thông nào được cho phép, từ chối, hủy bỏ
Tường lửa thanh tra trạng thái có khả năng giám sát các kết nối ra vào trong mạng, giúp phát hiện những kết nối không bình thường Nó theo dõi các luồng dữ liệu tổng thể thay vì chỉ từng gói tin đơn lẻ.
Tường lửa proxy hoạt động như một thành phần trung gian, nơi mọi luồng thông tin ứng dụng phải đi qua để di chuyển từ mạng nội bộ ra bên ngoài Nó có khả năng kiểm tra gói tin và hỗ trợ theo dõi phiên kết nối, đồng thời có thể chặn các lưu thông có hại.
3.3.7 Hệ thống phát hiện xâm nhập trái phép
Hệ thống phát hiện xâm nhập (IDS - Intrusion Detection System) là công cụ giám sát lưu lượng mạng, giúp phát hiện các hành vi xâm nhập và truy cập trái phép vào tài nguyên hệ thống, đồng thời gửi cảnh báo cho người quản trị.
Hệ thống phòng chống xâm nhập (Intrustion Prevention System): là một hệ thống IDS có khả năng phát hiện và ngăn chặn tấn công.
- Host IDS: được cài đặt trên một host cụ thể, giám sát mọi lưu thông trên host đó, phát hiện xâm nhập dựa vào log file
Network IDS có khả năng giám sát toàn bộ lưu lượng mạng và thường được triển khai ở các phân vùng mạng Chúng có chức năng phát hiện các cuộc tấn công và gửi cảnh báo kịp thời cho người quản trị.
Phương pháp phát hiện xâm nhập dựa trên:
Phân đoạn cụ thể giải pháp an toàn
3.4.1 Đảm bảo an toàn kết nối Internet
Kết nối internet sẽ được bảo vệ an toàn thông qua các cơ chế như tường lửa, bộ lọc gói tin, an toàn vật lý, kiểm toán, xác thực và cấp quyền.
Kết nối internet tiềm ẩn nhiều nguy cơ, đặc biệt là việc thu thập thông tin nhạy cảm về dịch vụ và mạng nội bộ Để bảo vệ dữ liệu, cần cấu hình tường lửa nhằm chặn mọi kết nối không mong muốn, chỉ cho phép những dịch vụ được xác thực từ máy chủ công cộng.
Giao thức định tuyến cho router biên nên sử dụng là static, trong khi default routing là lựa chọn hợp lý vì chúng không tự động cập nhật bảng định tuyến, giúp giảm thiểu rủi ro bị thỏa hiệp Việc áp dụng NAT để chuyển đổi địa chỉ mạng cũng góp phần bảo vệ hệ thống mạng nội bộ.
3.4.1.2 An toàn máy chủ dịch vụ Internet và thương mại điện tử
DMZ là một mạng tách biệt với mạng nội bộ, sử dụng đường mạng hoặc subnet khác Các máy chủ như Web, Mail, FTP và VoIP được đặt trong DMZ, cung cấp dịch vụ cho phép người dùng truy cập từ Internet Trong khi đó, các máy chủ phục vụ mục đích nội bộ như DNS, DHCP và File/Print vẫn được giữ trong vùng nội bộ.
Giữa DMZ và mạng ngoài, chúng ta có thể thiết lập một firewall để chỉ cho phép các kết nối từ bên ngoài đến DMZ Tương tự, giữa mạng nội bộ và DMZ, một firewall khác có thể được đặt để kiểm soát lưu lượng từ DMZ vào mạng nội bộ Điều này tạo ra sự phân tách rõ ràng giữa mạng nội bộ và mạng ngoài, tương tự như vùng DMZ trong quân sự DMZ cung cấp một lớp bảo vệ bổ sung cho mạng nội bộ, cho phép hacker chỉ tiếp cận các máy chủ trong DMZ mà không xâm nhập vào mạng nội bộ.
Hình 3.11 Mô hình tường lửa 2 lớp
DMZ được tạo nên bởi hai thành phần cơ bản là các địa chỉ IP và các firewall
Có hai đặc điểm nhận dạng quan trọng của DMZ là:
- Nó có một network ID khác so với mạng nội bộ.
- Nó bị phân tách khỏi mạng Internet và cả mạng nội bộ bởi firewall.
Tùy thuộc vào kiến trúc của DMZ và cấu hình của firewall, DMZ có thể sử dụng địa chỉ IP công cộng hoặc địa chỉ IP nội bộ cho các máy chủ trong DMZ.
Nếu sử dụng địa chỉ IP công cộng cho DMZ, thường sẽ cần chia mạng con
Subnetting là quá trình chia nhỏ khối địa chỉ IP mà ISP cấp phát để tạo ra hai network ID tách biệt Một network ID sẽ được sử dụng cho giao diện ngoài của firewall, trong khi network ID còn lại được dành cho mạng DMZ Khi thực hiện việc chia subnet cho khối địa chỉ IP công cộng, cần cấu hình router để đảm bảo các gói tin từ Internet có thể truy cập vào DMZ.
Có thể thiết lập một DMZ với ID mạng tương tự như mạng nội bộ, nhưng vẫn đảm bảo sự cách ly giữa DMZ và mạng nội bộ thông qua việc sử dụng VLAN Tagging.
Trong cấu trúc mạng theo tiêu chuẩn IEEE 802.1q, các server trong DMZ và các máy trạm trong mạng nội bộ được kết nối vào cùng một switch hoặc các switch khác nhau, nhưng tất cả đều được liên kết với nhau và được phân chia thành các VLAN khác nhau.
Khi sử dụng địa chỉ IP cho mạng nội bộ trong DMZ, cần thiết phải áp dụng NAT, mà một số firewall đã tích hợp sẵn tính năng này, để chuyển đổi các địa chỉ IP nội bộ sang một địa chỉ IP công cộng gán cho giao diện ngoài của firewall giữa Internet và DMZ Tuy nhiên, do một số ứng dụng như Java RMI không hoạt động hiệu quả với NAT, nên cần cân nhắc kỹ lưỡng khi lựa chọn giữa cấu hình NAT và định tuyến giữa Internet và DMZ.
Để đảm bảo an toàn cho các máy chủ Web, cần đặt chúng trong vùng DMZ và thiết lập firewall để chặn mọi kết nối tới Webserver trên tất cả các cổng, ngoại trừ cổng 80 (http), cổng 443 (https) và các cổng dịch vụ cần thiết khác.
Khi thiết kế hệ thống mạng với DMZ, có hai mô hình phổ biến: tường lửa đơn (hay tường lửa ba chân) và tường lửa kép.
Để thiết lập một hệ thống mạng an toàn, cần sử dụng một thiết bị có ba giao diện mạng NIC: một NIC kết nối với mạng ngoài, một NIC kết nối với mạng DMZ, và một NIC còn lại kết nối với mạng nội bộ.
Kiến trúc single firewall, hay còn gọi là 'three legged firewall', bao gồm ba giao diện tương ứng với ba mạng: nội bộ, bên ngoài và DMZ Firewall này có khả năng kiểm soát toàn bộ traffic giữa các mạng, trở thành điểm chịu lỗi duy nhất cho hệ thống mạng Nếu xảy ra sự cố với three legged firewall, cả DMZ và mạng nội bộ sẽ không được bảo vệ Tuy nhiên, mô hình này giúp tiết kiệm chi phí đầu tư so với việc sử dụng hai firewall như trong mô hình dual firewall.
Khi sử dụng single firewall để tạo DMZ, ta có khái niệm trihomed DMZ.
Ta cũng có thể tạo ra hai (hoặc nhiều hơn) vùng DMZ tách biệt có các network
ID khác nhau bằng cách cách trang bị thêm số NIC tương ứng cho single firewall.
Sẽ cần tới hai thiết bị firewall, mỗi firewall có hai NIC và được bố trí như sau:
The first firewall, known as the front-end firewall, features one Network Interface Card (NIC) connected to the external network and another NIC linked to the Demilitarized Zone (DMZ) This front-end firewall is responsible for managing traffic between the Internet, the DMZ, and the internal network.
Thiết kế chiến lược quản lý mạng an toàn
Khách hàng thường tìm kiếm giải pháp để xây dựng quy trình quản lý mạng hiệu quả, giúp họ theo dõi và điều chỉnh hoạt động mạng, chẩn đoán và khắc phục sự cố, tối ưu hóa hiệu suất và cải thiện kế hoạch quản lý.
Tổ chức tiêu chuẩn quốc tế (ISO) định nghĩa năm loại quy trình quản lý mạng, thường được gọi với các từ viết tắt FCAPS:
Quản lý lỗi bao gồm việc phát hiện, cách ly, chẩn đoán và sửa chữa các vấn đề Nó cũng liên quan đến quy trình báo cáo vấn đề cho người dùng cuối và nhà quản lý, cũng như theo dõi xu hướng của các vấn đề liên quan Trong một số trường hợp, quản lý lỗi còn có nghĩa là phát triển giải pháp cho đến khi vấn đề được khắc phục hoàn toàn.
Người sử dụng mạng mong muốn được giải quyết lỗi một cách nhanh chóng và đáng tin cậy, đồng thời cần thông tin về các vấn đề hiện tại và thời gian khắc phục Sau khi vấn đề được giải quyết, họ cần kiểm soát và ghi lại tài liệu để theo dõi Để đáp ứng yêu cầu quản lý lỗi, một loạt công cụ được sử dụng, bao gồm giám sát, phân tích giao thức và phần mềm tài liệu Các công cụ giám sát thường dựa trên giao thức SNMP (Simple Network Management Protocol) và các tiêu chuẩn RMON (Remote Monitoring), sẽ được trình bày chi tiết hơn trong phần sau.
Hầu hết các hệ điều hành cho phép các hệ thống và quy trình báo cáo lỗi với người quản lý mạng, trong khi các thiết bị Cisco phát đi các thông báo nhật ký hệ thống (syslog) khi có sự kiện mạng xảy ra Mỗi thông điệp nhật ký hệ thống đều có chứa tem thời gian, mức độ và đặc trưng, với các mức syslog được phân loại rõ ràng.
Trường hợp khẩn cấp (Emergency) : Cấp 0, mức độ nghiêm trọng nhất Báo động ( Alert ): Cấp độ 1
Quan trọng (Critical): Cấp độ 2
Cảnh báo ( Warning ): Cấp độ 4
Thông tin ( Informational ): Câp độ 6
Sự gỡ rối ( Debugging ): Cấp độ 7
Thông điệp nhật ký hệ thống được gửi mặc định từ các bộ định tuyến và switch của Cisco Các thiết bị mạng có thể được cấu hình để chuyển tiếp thông điệp này đến một trạm quản lý mạng hoặc máy chủ từ xa có chương trình phân tích syslog Chương trình này sử dụng bộ lọc để chỉ gửi một tập hợp thông điệp syslog đã được xác định trước, giúp tiết kiệm băng thông và giảm khối lượng thông tin mà quản trị viên mạng phải phân tích.
Quản lý cấu hình cho phép người quản lý mạng theo dõi và duy trì thông tin về các thiết bị mạng Thông qua quản lý cấu hình, họ có thể định nghĩa và lưu trữ cấu hình mặc định cho các thiết bị tương tự, điều chỉnh cấu hình cho các thiết bị đặc biệt, và tải các cấu hình này lên các thiết bị một cách hiệu quả.
Quản lý cấu hình giúp người quản lý duy trì kiểm kê tài nguyên mạng và theo dõi lịch sử đăng nhập hiệu quả.
Sử dụng Version-logging để theo dõi các phiên bản hệ điều hành và ứng dụng trên thiết bị mạng là rất quan trọng Bên cạnh đó, việc kiểm kê tài nguyên mạng cũng cần bao gồm thông tin về cấu hình phần cứng, như số lượng RAM, kích thước bộ nhớ flash, và loại cáp mà các thiết bị đang sử dụng.
Quản lý cấu hình mạng hiện đại giúp giảm thời gian và công sức trong việc thay đổi cấu hình cho nhân viên mới và nhân viên chuyển đi Trước đây, các quản trị mạng phải cấu hình thủ công các thiết bị, nhưng với sự xuất hiện của các giao thức cấu hình động như DHCP (Dynamic Host Configuration Protocol), quy trình này đã trở nên dễ dàng hơn Ngoài ra, giao thức VLAN Trunking Protocol (VTP) cũng mang lại lợi ích lớn bằng cách tự động cập nhật thông tin VLAN cho các thiết bị chuyển mạch, giúp tối ưu hóa quản lý mạng.
Quản lý kiểm toán mạng giúp lập thống kê cho các dịch vụ cơ bản, yêu cầu các phòng ban và dự án cá nhân chi trả cho việc sử dụng mạng Kiểm toán này rất hữu ích trong việc giám sát tình trạng "lạm dụng" mạng, có thể xảy ra do nhân viên cố ý hoặc không cố ý Ví dụ, một nhân viên bất mãn hoặc cựu nhân viên có thể gây ra vấn đề mạng, trong khi những người chơi game trực tuyến có thể tạo ra lưu lượng truy cập cao mà không có ý định làm hại Việc theo dõi lưu lượng dữ liệu tăng lên là cần thiết để xem xét nâng cấp hệ thống.
Theo tiêu chuẩn ISO, quản lý hiệu suất giúp ước lượng hành vi mạng và tính hiệu quả Nó bao gồm kiểm tra ứng dụng mạng, phân tích khả năng tiếp cận, đo thời gian phản hồi và ghi lại sự thay đổi định tuyến Quản lý hiệu suất hỗ trợ tối ưu hóa mạng, đáp ứng thỏa thuận mức độ dịch vụ (SLA) và lập kế hoạch mở rộng Quá trình giám sát liên quan đến thu thập, xử lý, hiển thị và lưu trữ dữ liệu.
Theo dõi hai loại hiệu suất hoạt động:
Hiệu suất end-to-end là việc ước lượng hiệu suất trong một liên mạng, bao gồm các yếu tố quan trọng như tính sẵn sàng, tính khả dụng, độ trễ, sự thay đổi độ trễ, thông lượng, khả năng tiếp cận, thời gian phản hồi, các lỗi và sự bùng phát của giao thông mạng.
Hiệu suất thành phần là việc ước lượng hiệu suất của các liên kết hoặc thiết bị riêng lẻ trong mạng Thông qua việc đo lường thông lượng và tính khả dụng trên các đoạn mạng cụ thể, chúng ta có thể theo dõi hiệu suất của thiết bị định tuyến và chuyển mạch Các chỉ số quan trọng như số gói tin mỗi giây, bộ nhớ, CPU và các lỗi cũng cần được giám sát để đảm bảo hiệu quả hoạt động của hệ thống mạng.
Quản lý hiệu suất mạng bao gồm việc kiểm soát từ xa để đánh giá khả năng truy cập và thời gian phản hồi Để đo thời gian phản hồi, người ta sử dụng gói ping để đo thời gian quay vòng (RTT) giữa việc gửi gói tin và nhận phản hồi Gói ping là một phần của giao thức ICMP (Internet Control Message Protocol).
Trên các mạng lớn, việc nghiên cứu khả năng tới đích và thời gian RTT có thể không thực tế Chẳng hạn, trong một mạng lưới với 10.000 thiết bị, một số hệ thống quản lý mạng thương mại có thể mất hàng giờ để quay vòng qua các thiết bị, gây tắc nghẽn đáng kể cho lưu lượng mạng và tạo ra khối lượng dữ liệu vượt quá khả năng xử lý của con người.
Thiết kế vật lý mạng máy tính
3.6.1 Lựa chọn công nghệ và thiết bị cho mạng nhỏ và vừa
Thiết kế mạng vật lý bao gồm các công nghệ mạng LAN và WAN, đặc biệt cho các mạng campus và doanh nghiệp Trong quá trình thiết kế, cần chú ý đến việc lựa chọn cáp, giao thức lớp liên kết dữ liệu, lớp vật lý và các thiết bị mạng như switch, router và điểm truy cập không dây Thiết kế logic đóng vai trò quan trọng trong việc tạo nền tảng cho thiết kế vật lý Hơn nữa, các mục tiêu kinh doanh, kỹ thuật và đặc tính lưu thông mạng đều có ảnh hưởng lớn đến thiết kế vật lý của mạng.
Lựa chọn thiết bị cho thiết kế mạng Campus
Trong thiết kế hệ thống thiết bị cáp mạng, việc chú trọng đến tuổi thọ của thiết bị là rất quan trọng, vì chúng thường kéo dài hơn nhiều năm so với các thành phần khác Điều này yêu cầu các nhà thiết kế cần có kế hoạch mở rộng phạm vi và tuổi thọ của hệ thống cáp mạng để đảm bảo tính bền vững và hiệu quả trong hoạt động.
Trong nhiều trường hợp, thiết kế mạng cần phải điều chỉnh để phù hợp với hệ thống cáp hiện có Quá trình lập hồ sơ hệ thống cáp đã được áp dụng trong mạng campus, giúp tối ưu hóa hiệu suất và khả năng kết nối.
Xây dựng các cấu trúc liên kết cáp với mạng campus có trước
Chủng loại và độ dài của cáp giữa các tòa nhà
Vị trí của hộp kĩ thuật và các phòng kết nối chéo trong các tòa nhà
Chủng loại và độ dài của dây cáp cho hệ thống cáp theo chiều dọc giữa các tầng
Chủng loại và độ dài của dây cáp cho hệ thống cáp ngang trong tầng
Chủng loại và độ dài của dây cáp cho khu vực làm việc từ hộp kĩ thuật tới các máy trạm
Các công ty như AT&T, IBM, DEC, Hewlett Packard và Northern Telecom đã công bố các cáp kỹ thuật và hướng dẫn phát triển cấu trúc liên kết cáp, ảnh hưởng đến hệ thống cáp cấu trúc liên kết hiện nay Mặc dù có nhiều công bố và hướng dẫn từ các tổ chức khác nhau, mục đích chính vẫn là hỗ trợ kỹ sư mạng trong việc phát triển và quản lý hệ thống cáp, đồng thời đảm bảo khả năng mở rộng Hệ thống cáp có thể được chia thành hai loại.
Hệ thống cáp tập trung là phương pháp tổ chức cáp, nơi mà hầu hết hoặc tất cả các cáp được bố trí trong một khu vực cụ thể của môi trường thiết kế Một ví dụ điển hình cho hệ thống này là mô hình sao, trong đó các cáp được kết nối với một điểm trung tâm.
Hệ thống cáp phân phối: phân tán chạy cáp trong môi trường thiết kế Ví dụ: mô hình vòng, lưới
Xây dựng topology cho hệ thống cáp
Trong xây dựng, kiến trúc cáp có thể được thiết kế theo hai mô hình: tập trung hoặc phân tán, tùy thuộc vào kích thước của tòa nhà Đối với các công trình nhỏ, cáp thường được tập trung vào một phòng kỹ thuật ở một tầng nhất định Ngược lại, các tòa nhà lớn thường áp dụng mô hình phân tán để tối ưu hóa hiệu quả Tuy nhiên, trong quá trình thi công, công nhân có thể vô tình cắt đứt cáp, điều này cần được lưu ý để tránh sự cố.
Topology của cáp mạng Campus
Các hệ thống cáp kết nối giữa các tòa nhà dễ bị tổn thương hơn so với hệ thống cáp bên trong tòa nhà, vì công nhân xây dựng có thể vô tình cắt đứt cáp trong quá trình làm việc Ngoài ra, các thiên tai như lũ lụt, bão, động đất và các sự cố do con người gây ra, chẳng hạn như tấn công khủng bố, cũng có thể gây ra sự cố cho hệ thống cáp Hơn nữa, dây cáp có thể không đủ khả năng chịu đựng các tác động từ môi trường bên ngoài, dẫn đến khó khăn trong việc khắc phục và sửa chữa Do đó, việc lựa chọn dây cáp và hệ thống cáp cần được thực hiện một cách cẩn thận.
Hệ thống phân phối vượt trội hơn so với hệ thống tập trung, vì trong mô hình tập trung, việc cắt đứt các bó cáp giữa các tòa nhà sẽ làm mất toàn bộ thông tin liên lạc Ngược lại, trong mô hình phân phối, thông tin liên lạc giữa các tòa nhà vẫn có thể duy trì ngay cả khi một cáp giữa tòa nhà A và B bị cắt.
Trong những môi trường gặp phải các vật cản như suối hoặc đầm lầy, việc lắp đặt nhiều ống dẫn cáp có thể không khả thi Trong tình huống này, việc sử dụng công nghệ không dây là giải pháp hợp lý.
Một nhược điểm của mô hình phân phối là việc quản lý trở nên phức tạp hơn so với mô hình tập trung Để thực hiện các thay đổi cho hệ thống cáp phân phối, kỹ thuật viên sẽ phải di chuyển từ tòa nhà này sang tòa nhà khác, điều này gây khó khăn trong quá trình quản lý.
Hình 3.24 Mô hình xây dựng hệ thống cáp tập trung (trái), phân tán (phải)
Hình 3.25 Mô hình cáp tập trung và phân tán mạng Campus
Mạng campus dùng 3 loại cáp chính:
Có vỏ bọc: bao gồm cáp đồng trục(STP), cáp xoắn đôi.
Không có vỏ bọc: UTP cables.
Cáp STP đã được sử dụng rộng rãi trong mạng tokenring trong những năm
1980 -1990 Mạng Token Ring đã được thay thế bởi các mạng Ethernet Ethernet thường sử dụng UTP và cáp quang cáp, mặc dù nó có thể dùng cáp STP
Cáp đồng trục phổ biến trong những ngày đầu của mạng LAN
UTP (Unshielded Twisted Pair) là loại dây điện phổ biến trong các tòa nhà hiện nay, nổi bật với chi phí thấp nhất trong ba loại cáp Tuy nhiên, UTP có mức truyền tải thấp nhất do bị ảnh hưởng bởi nhiễu sóng, tiếng ồn và điện từ Để giảm thiểu tác động của nhiễu, cần tuân thủ khoảng cách tối đa khi lắp đặt.
Cáp UTP có nhiều loại, bao gồm:
Loại 1 và 2 ít dùng cho truyền tải dữ liệu bởi vì nó thiếu sự hỗ trợ cho các yêu cầu băng thông cao
Loại 3 là thử nghiệm với băng thông lên đến 16 MHz, thường được biết đến như hệ thống cáp tiếng nói Ngoài chức năng truyền âm thanh, loại cáp này còn được sử dụng để truyền dữ liệu, đặc biệt là trong các mạng cũ như 10BASE-T Ethernet và mạng Token Ring với tốc độ 4 Mbps.
Loại 4, được thử nghiệm ở tần số 20 MHz, cho phép vận hành Token Ring 16-Mbps với mức độ an toàn cao hơn so với loại 3 Tuy nhiên, loại 4 không phổ biến và hiện nay ít được sử dụng.
Loại cáp mạng 5 được thử nghiệm ở tần số 100 MHz, cho phép hỗ trợ các giao thức tốc độ cao như 100-Mbps Ethernet và FDDI Khi sử dụng bốn cặp dây, loại cáp này có khả năng hỗ trợ Gigabit Ethernet.
Loại 5 Enhanced (Category 5e) phù hợp cho 100 Mbps Ethernet, Gigabit Ethernet và ATM.
Loại 6 là phù hợp với 100 Mbps Ethernet, Gigabit Ethernet, và ATM.
Bảng 3.1 So sánh Hubs, Bridges, Switches, and Routers
Trong thiết kế mạng hiện nay, việc phát triển cấu trúc liên kết mạng yêu cầu hiểu rõ cách các phân đoạn được kết nối Bảng 3.1 nêu rõ sự khác biệt giữa các thiết bị nối mạng, trong đó switch và router thường là lựa chọn chính, trong khi hubs và bridges ít được sử dụng Hubs chủ yếu được áp dụng trong mạng để phân tích giao thức, còn bridges đôi khi được sử dụng trong các mạng không dây.