HỌC VIỆN CÔNG NGHỆ THÔNG TIN
HỌC VIỆN CÔNG NGHỆ THÔNG TIN


BÁCH KHOA
BÁCH KHOA
ĐỀ CƯƠNG TƯ VẤN THIẾT KẾ XÂY DỰNG
HỆ THỐNG MẠNG CAMPUS CỦA VIỆN
KHOA HỌC VIỆT NAM
Phiên bản:0.1
Phiên bản:0.1
Đề cương TVTKXD VASTnet
Publication Details
Publication Details
Change Record
Version Date Author Purpose
0.1 Tuesday, 23 December,
2008
Tran Manh Thang
Phan Thanh Liêm
Created document.
Document Properties
File location:
File name: Tai lieu TVTKXD VASTnet v0.1.doc
Last updated:
Document authorisation
Document authorisation
Released by BKACAD
Page 2 of 51
Đề cương TVTKXD VASTnet
Mục lục

Mục lục
1. Mục tiêu và nội dung 3
2. Hiện trạng hệ thống 4
3. Yêu cầu của hệ thống mới 11
4. Đề xuất giải pháp nâng cấp 15
5. Đề xuất thiết bị và dự toán kinh phí 38
6. Kết luận 51
1.
1.
Mục tiêu và nội dung
Mục tiêu và nội dung
Mục đích
Mục tiêu của tài liệu nhằm đưa ra thực trạng của hệ thống mạng Campus hiện tại của
Viện Khoa học và Công nghệ Việt Nam (VAST), phân tích các yêu cầu của hệ thống
mạng mới cần xây dựng, từ đó xây dựng thiết kế cho hệ thống mạng mới đáp ứng các
yêu cầu nguyên cứu, hợp tác phát triển và ứng dụng công nghệ.
Nội dung
Tài liệu gồm 5phần chính:
 Phần 1: Hiện trạng hệ thống
 Phần 2: Yêu cầu của hệ thống mới
 Phần 3: Đề xuất giải pháp nâng cấp
 Phần 4: Đề xuất thiết bị và dự toán kinh phí
 Phần 5 : Kết luận
Page 3 of 51
Đề cương TVTKXD VASTnet
2.
2.
Hiện trạng hệ thống
Hiện trạng hệ thống
2.1.

2.1.
Hiện trạng hệ thống mạng
Hiện trạng hệ thống mạng
2.1.1.
2.1.1.
Hệ thống mạng Campus
Hệ thống mạng Campus
Mạng Campus của VAST được chia làm 2 thành phần:
• Mạng VAST cũ, được xây dựng từ trước, gồm một số Viện thành viên của
VAST. Bao gồm các tòa nhà:
o A2:
Page 4 of 51
Đề cương TVTKXD VASTnet
o A4: Viện Toán
o A10: Viện Sinh Thái
o A18: Viện Hóa
o A26: Viện Khoa Học Vật Liệu (VKHVL)
o A11: Viện công nghệ sinh học (VCNSH)
o B1
o B2
o Bảo Tàng Tự Nhiên
• Mạng VAST Office, được xây dựng gần đây, phục phụ cho lãnh đạo, phòng
ban chức năng, khối văn phòng. Bao gồm các tòa nhà
o A1: Trung tâm tích hợp dữ liệu (TTTHDL)
o A3: Viện Công nghệ Thông tin (Viện CNTT hay IOIT)
o A7:Một số ban chức năng
o A6:
Trung tâm của hệ thống mạng là tòa nhà A3, từ đây, cáp quang tỏa đi các tòa
nhà chính. Khoảng cách cáp quang là từ 100m đến 800m. Cáp quang sử dụng là cáp
multimode, 2 sợi, 1 sợi chạy chính, 1 sợi dự phòng. Ngoài ra, các tòa nhà phụ nằm

gần tòa nhà chính, khoảng cách dưới 100m cũng được nối về tòa nhà chính, thông
qua cáp đồng UTP. Nhà A3 hiện tại cũng là trong tâm vận hành mạng (NOC).
Cáp quang được cắm vào switch thông qua converter. Mạng VAST cũ sử
dụng converter 100Base-FX, mạng VAST Office sử dụng converter 1000Base-FX.
Công nghệ quang FX sử dụng với cáp multimode cho phép truyền xa lên đến 2km.
Về thiết bị mạng, các tòa nhà A1, A3 và A7 đều được trang bị switch Layer 3
mới, có khả năng chia VLAN (01 x Cisco Catalyst 3550 và 02 x Cisco Catalyst
3560) và các switch access layer 2 (03 x Cisco Catalyst 2950). Các tòa nhà khác
được trang bị không đồng nhất, chủ yếu là switch layer 2 làm access. Một số nơi vẫn
còn sử dụng switch layer 2 cũ, không có khả năng chia VLAN, hoặc là hub công
Page 5 of 51
Đề cương TVTKXD VASTnet
nghệ chia sẻ băng thông 10Mbps. Mỗi một đơn vị có trên dưới 100 máy trạm, tùy
vào quy mô.
Page 6 of 51
Đề cương TVTKXD VASTnet
Do tính chất quan trọng của mạng VAST Office, tại các tòa nhà A1 và A7,
mạng Lan được phân ra thành các VLAN:
• VLAN cho Lãnh đạo
• VLAN cho các ban chức năng
• VLAN cho khối văn phòng
2.1.2.
2.1.2.
Hệ thống phân hoạch dải IP, Domain name, AS number
Hệ thống phân hoạch dải IP, Domain name, AS number
VAST chưa có quy hoạch về IP private rõ ràng, các đơn vị đang tự ý sử dụng
các dải nhỏ thuộc lớp mạng 10.0.0.0/8, chẳng hạn CP đang dùng dải 10.0.3.0/24, một
số các đơn vị sử dụng IP thuộc 10.15.0.0/16.
VAST cũng chưa đăng ký IP public và AS number. Hiện tại đang sử dụng
khoảng 8 địa chỉ public để NAT tĩnh cho một số server, và Nat động cho các User ra

Internet. VAST đang sử dụng domain VAST.AC.VN, tuy nhiên do ISP quản lý.
2.1.3.
2.1.3.
Mô hình định tuyến
Mô hình định tuyến
Chưa có thông tin khảo sát.
Page 7 of 51
Đề cương TVTKXD VASTnet
2.1.4.
2.1.4.
Kết nối Internet và Vinaren
Kết nối Internet và Vinaren
Hiện tại, mới chỉ có một đường Internet duy nhất tại tòa nhà A1, phục vụ kết nối cho
các thành viên. Đường đây là đường Lease line Internet, dung lượng 2Mbps trong
nước là 512Kbps quốc tế. Các thành viên có thể sử dụng đường Internet này thông qua
Proxy, hoặc sử dụng đường ADSL riêng.
Mạng Vinaren chưa được kết nối vào mạng VAST, do vậy người dùng khi muốn sử
dụng mạng Vinaren phải chuyển ra một mạng LAN riêng. Hiện tại VAST cũng vừa
mới trang bị thêm một router Cisco 3845 để kết nối với Vinaren và Internet.
2.2.
2.2.
Hiện trạng các dịch vụ
Hiện trạng các dịch vụ
VAST cung cấp cho người dùng một số dịch vụ như Web, chia sẻ file, Cơ sở dữ liệu.
Trang Web và Email của VAST đang được đặt ở Netnam.
Page 8 of 51
Đề cương TVTKXD VASTnet
2.3.
2.3.
Hiện trạng hệ thống bảo mật

Hiện trạng hệ thống bảo mật
Hệ thống bảo mật chưa được đầu tư thích đáng. Hiện tại chỉ có một thiết bị Cisco FIX
515E làm gateway cho mạng Internet và một firewall Celectix Scorpio FV930 chạy
phần của hãng checkpoint làm Firewall cho tòa nhà A1, phân chia mạng thành các
vùng như DMZ, vùng VLAN Lãnh đạo, Vùng VLAN người dùng…
Các server nằm hết trong cùng một vùng DMZ, bao gồm một số server quản trị, server
web, server CSDL dùng chung. Các server này có tính chất quan trọng, độ ưu tiên về
bảo mật khác nhau. Nếu hacker vượt qua được tường lửa, tấn công vào các server có
độ ưu tiên kém, ít bảo mật hơn như các server quản trị, thì từ đó hacker có thể sử dụng
làm bàn đạp, tấn công vào các server quan trọng hơn, chứa CSDL… Do vậy, thông
thường người ta thường tách thành các vùng server riêng:
• Vùng DMZ : Đặt các server public như HTTP, DNS, Proxy , email…
• Vùng Internal Server: Đặt các server sử dụng trong mạng nội bộ như
CSDL, FTP, DHCP, Domain Controller, các Ứng dụng khác…
• Vùng Management Server: Các server quản trị băng thông, thiết bị mạng,
iBMS, Antivirus,…
Chính sách bảo mật cho máy trạm được quy định, nhưng chưa rõ ràng.
2.4.
2.4.
Các nhận xét và khuyến nghị
Các nhận xét và khuyến nghị
 Các nhận xét:
Sau nhiều năm đầu tư, hệ thống mạng đã lạc hậu, xuống cấp, không còn đáp ứng
được các yêu cầu hiện tại. Việc đầu tư nâng cấp rời rạc, không có hệ thống, quy hoạch
theo lộ trình rõ ràng.
Mạng chưa có dự phòng, do vậy bất kì một thiết bị nào, gặp sự cố cũng ảnh hưởng
đến người dùng. Một số thiết bị quan trọng như Firewall tại TTTHDL, Firewall cho
Internet, Switch core gặp sự cố sẽ gây ảnh hưởng toàn bộ hệ thống. Mạng mang tính
chất phẳng, chưa phân thành các lớp.
Page 9 of 51

Đề cương TVTKXD VASTnet
Ngày nay, ứng dụng trên Internet rất phát triển, các trang web không chỉ là Text
mà chứa rất nhiều multimedia, flash… khiến cho nhu cầu băng thông Internet tăng
chóng mặt. VAST hiện tại chỉ có 1 đường Internet, dung lượng thấp vừa đáp không
đáp ứng được tính sẵn sàng cao, vừa không đáp ứng được nhu cầu nguyên cứu, hợp
tác.
Việc sử dụng tài nguyên của mạng Vinaren chưa thuận tiện và phổ cập đến người
dùng cuối, do vậy chưa khai thác được nguồn tài nguyên vô cùng to lớn ở mạng
Vinaren.
 Các khuyến nghị:
- Cần có kế hoạch đầu tư dài hạn nâng cấp hạ tầng công nghệ thông tin.
- Phân lớp mạng theo từng khối, mô đun với chức năng của từng khối mạng
được định nghĩa rõ ràng.
- Tăng khả năng dự phòng ở những mô đun quan trọng.
- Cần có quy hoạch địa chỉ IP, DNS thống nhất để các thành viên trong cả
nước có thể kết nối được với nhau.
- Tăng băng thông kết nối internet.
- Quy hoạch lại định tuyến mạng Vinaren và Interent, đảm bảo trong suốt và
phổ cập cho mọi người dùng.
- Cần nâng cấp hệ thống bảo mật:
o Tăng cường các Firewall, IPS có hiệu năng cao
o Phân chia mạng thành các mô đun, để dễ dàng áp dụng các chính
sách bảo mật.
o Chú trọng phát triển, thực thi các chính sách bảo mật trên máy trạm,
vì đây là nguồn lẫy nhiễm virus phổ biến.
Page 10 of 51
Đề cương TVTKXD VASTnet
3.
3.
Yêu cầu của hệ thống mới

Yêu cầu của hệ thống mới
3.1.
3.1.
Yêu cầu hệ thống mạng Campus
Yêu cầu hệ thống mạng Campus
 Yêu cầu chung của hệ thống
Về tổng thể, mạng VAST Campus Network sẽ được xây dựng trên hạ tầng cáp
quang mới, và được quản trị tập trung tại trung tâm mạng (NOC) mới xây dựng
gần tòa nhà A1 mới sẽ có một số đặc điểm kỹ thuật sau:
• VASTnet phải có kiến trúc mở:
o Dễ dàng thêm/bớt các thành viên
o Kết nối đa hướng với nhiều mạng khác nhau như Internet, Vinaren,
Cpnet, kết nối đồng thời với nhiều ISP
• Dễ dàng quản lý tài nguyên; các thành viên có thể tự vận hành quản lý độc
lập mạng thành viên mình. Việc cấp phát các tài nguyên như địa chỉ IP, tên
miền phải có tính hệ thống.
• Có hiệu năng cao tốc độ mạng trục tối thiểu 1 Gbps, đáp ứng được cho các
dịch vụ hiện tại như email, web, CSDL dùng chung và trong tương lai, tối
thiểu 5 năm. Các dịch vụ mới có thể bao gồm Hội nghị truyền hình, đào
tạo từ xa, thoại IP, tính toán hiện năng cao, tính toán lưới với các đơn vị
trong và ngoài nước.
• Có độ tin cậy và tính sẵn sàng cao
• Đảm bảo an toàn, an ninh mạng
• Thiết kế theo các mô đul, có khả năng phân lập sự cố, giảm thiểu sự cố trên
diện rộng.
• Dễ dàng nâng cấp mở rộng sau này, bảo vệ đầu tư.
• Các thành viên có thể tự trang bị đường Internet riêng, cùng với các thiết bị
như router, firewall để có thể độc lập, an toàn với VAST mà vẫn bảo đảm
kết nối đến các thành viên khác và mạng VINAREN…
Page 11 of 51

Đề cương TVTKXD VASTnet
3.2.
3.2.
Yêu cầu tài nguyên địa chỉ IP, Domain name
Yêu cầu tài nguyên địa chỉ IP, Domain name
Việc cấp phát các tài nguyên như địa chỉ IP, tên miền phải có tính hệ thống. Các tài
nguyên được cấp phát tập trung, một số tài nguyên chia sẻ, một số cấp pháp cho các
thành viên. Các thành viên có thể sử dụng tài nguyên được cấp, tuân thủ một số quy
tắc chung, đảm bảo tính thống nhất.
3.3.
3.3.
Yêu cầu về định tuyến Internet và Vinaren
Yêu cầu về định tuyến Internet và Vinaren
 Một số các yêu cầu:
• Trong suốt với người sử dụng, người dùng không phải thay đổi lại địa chỉ IP
hay thay đổi nút mạng vẫn có thể vào đồng thời cả mạng Internet và Vinaren
• Mạng Internet ở NOC mới phải được nâng cấp về băng thông để đáp ứng đỏi
hỏi ngày càng cao của các ứng dụng trên Internet. Do đòi hỏi về tính sẵn sàng
và ổn định cao để có thể hosting một số dịch vụ, vì vậy cần ít nhất 2 kết nối
tới 2 ISP khác nhau. Một số thành viên có nhu cầu có thể tự trang bị các
đường Internet của riêng mình.
• Mạng Internet phải cung cấp kết nối VPN, giúp cho người dùng đi công tác xa
vẫn có thể sử dụng các tài nguyên mạng chia sẻ như ở trong mạng nội bộ.
Chẳng hạn một cán bộ đi công tác nước ngoài, được cấp quyền VPN, cán bộ
này có thể VPN về mạng nội bộ, sử dụng phần mềm IP phone trên máy labtop
để thực hiện các cuộc gọi nội bộ mà không phải trả phí gọi quốc tế. Người
quản trị mạng ở xa cũng có thể thông qua kênh VPN này để thực hiện các tác
vụ cần thiết.
• Thông thường, các thành viên ở Hà Nội, muốn trao đổi dữ liệu với các thành
viên ở nơi khác sẽ phải thuê một đường truyền Lease line với chi phí cao. Tuy

nhiên nếu hai thành viên cùng kết nối vào mạng Vinaren, ta có thể trao đổi dữ
liệu qua mạng Vinaren. Ngoài ra, ta cũng có thể tạo các kênh VPN giữa các
thành viên qua mạng Vinaren hoặc mạng Internet để kết nối hai mạng nội bộ
này lại thành một mạng thống nhất.
Page 12 of 51
Đề cương TVTKXD VASTnet
VPN Gateway có thể là Firewall, Router hay thiết bị chuyên dụng.
3.4.
3.4.
Yêu cầu các dịch vụ
Yêu cầu các dịch vụ
Khi hệ thống đã được xây dựng đảm bảo tính sẵn sàng và tính bảo mật cao thì việc
xây dựng và tự quản lý hệ thống dịch vụ là rất cần thiết. Việc này sẽ làm cho hệ thống
dịch vụ chủ động hơn trong việc mở rộng các dịch vụ mới, giảm chi phí cho việc hosting
các dịch vụ ở bên ngoài.
• Dịch vụ Email là dịch vụ phổ biến và quan trọng đôi với bất kỳ hệ thống mạng
nào. Hệ thống Email server phải đảm bảo cung cấp đủ tài nguyên cho cho các
người dùng, hệ thống phải đảm bảo được tính bảo mật trong các quá trình gửi
nhận mail, thông tin trong các qúa trình đó phải được mã hóa, mail server phải
được được tích hợp các tính năng Anti-spam, Anti-Virus, có giao diện, các tính
năng thân thiên dễ dùng.
• Dịch vụ Web cũng có vai trò quan trong như mail trong hệ thống mạng, dịch vụ
web được xây dựng với mục đích quảng bá các thông tin của viện VAST và các
Page 13 of 51
Đề cương TVTKXD VASTnet
thông tin cuả các đơn vị chức năng. Hệ thống web server phải đảm bảo nhưng yêu
cầu như web server phải được xây dựng trên công nghệ web mới nhất, phải cập
nhật được những lỗ hổng về bảo mật…
• Hệ thống CSDL phải đảm bảo tính đồng bộ, tốc độ truy cập các bản tin, số lượng
các bản ghi. Các dịch vụ như mail, web có thể dụng cơ sở dữ liệu này.

• Dịch vụ VoIP, Video Conference, khi hệ thống đã có hạ tầng mạng tốt, tốc độ kết
nối với các thành viên cao, địa chỉ Ipv6 được đưa vào sử dụng thì việc sử dụng
VoIP là rất hợp lý. Nó sẽ làm giảm tối thiểu chi phí cho các cuộc gọi bằng điện
thoại tương tự. Dịch vụ này đòi hỏi yêu cầu về Chât lượng dịch vụ (QoS).
• Dịch vụ đào tạo từ xa: Dịch vụ này đòi hỏi về băng thông mạng. Nếu có nhiều
người dùng từ xa cần học, ta có thể sử dụng multicast để giảm yêu cầu về băng
thông.
• Hệ thống Gid Computing, ngày nay với nhiều bài toán kỹ thuật vượt qua khỏi khả
năng tính toán của mốt máy tính do đó hệ thống gid computing ra đời cho phép kết
nối nghiều máy tính với nhau để cung giải quyết một bài toán chung. Là thành
viên của mạng VINAREN, viện VAST yêu cầu xây dựng hệ thống gid
compurting, hệ thống này sẽ được kết nối với các hệ thống gid compurting khác
trên thế giới thông qua hạ tầng mạng của hệ thống. Dịch vụ này thường đòi hỏi địa
chỉ IP public, do vậy sẽ thích hợp nếu ứng dụng Ipv6.
3.5.
3.5.
Yêu cầu về bảo mật
Yêu cầu về bảo mật
Đảm bảo tính bảo mật là yêu cầu cao nhất cho một hệ thống thông tin, đặc biệt là đối
với hệ thống dịch vụ và đào tạo quản lý.
• Hệ thống bảo mật phải quản lý được toàn bộ các kết nối từ bên ngoài và toàn bộ
các kết nối từ các máy tính từ các đơn vị chức năng vào hệ thống máy chủ dịch
vụ, hệ thống máy chủ Internal và kết nối ra ngoài Internet.
• Hệ thống bảo mật phải tự động cập nhật các lỗ hổng về bảo mật, hệ thống phải
tự động phát hiện tấn công và ngăn chặn kịp thời.
Page 14 of 51
Đề cương TVTKXD VASTnet
• Hệ thống phải mềm dẻo trong việc tạo ra các chính sách về bảo mật, các
signature để phát hiện tấn công.
3.6.

3.6.
Yêu cầu về chuyển đổi hệ thống
Yêu cầu về chuyển đổi hệ thống
Việc chuyển đổi hệ thống diễn ra theo 2 giai đoạn. Giai đoạn 1: NOC sẽ được chuyển
tạm thời từ A3 về A1 từ năm 2009 đến 2010. Giai đoạn 2: Xây dựng NOC mới gần
tòa nhà A1, chuyển các NOC cũ và TTTHDL từ A1 sang NOC mới. Các yêu cầu
chung với việc chuyển đổi:
• NOC tạm thời phải được thiết kế, thi công sao cho việc chuyển sang NOC mới
sau này là thuận tiện và đơn giản nhất. NOC tạm thời này vừa tuân theo quy
hoạch tổng thể, vừa phải tương thích với hệ thống mạng cũ.
• Việc chuyển đổi cần nhanh chóng, không gián đoạn dịch vụ trên diện rộng, đối
với những dịch vụ quan trọng phải tiến hành ngoài giờ hành chính.
• Việc chuyển đổi từ NOC mới sang NOC cũ chỉ đơn thuần là chuyển đổi vật lý,
không làm thay đổi cấu trúc logic
• Tiết kiệm chi phí, bảo vệ đầu tư.
4.
4.
Đề xuất giải pháp nâng cấp
Đề xuất giải pháp nâng cấp
4.1.
4.1.
Quy hoạch tổng thể cho hệ thống
Quy hoạch tổng thể cho hệ thống
4.1.1.
4.1.1.
Giới thiệu các công nghệ quan trong sử dụng trong thiết kế
Giới thiệu các công nghệ quan trong sử dụng trong thiết kế
 So sánh topo Ring và Star:
Ring Star
-Tốn n liên kết cho n điểm - Tốn n liên kết cho n điểm, công

thêm 1 hub trung tâm
-Thường sử dụng cho mạng
truyền dẫn quang Sonet, SDH,
WDM hay mạng Token Ring
- Thường sử dụng cho mạng
chuyển mạng gói Ethernet, IP
-Sử dụng trong mạng chuyển
mạch gói gấy loop mạng, nên
- Không bị loop
Page 15 of 51
Đề cương TVTKXD VASTnet
phải có cớ chế chống loop như
Spanning tree ở mạng Ethernet
hay sử dụng các giao thức định
tuyến OSPF, RIP… ở mạng IP
-Khả năng chịu lỗi tốt hơn: Khi
đứt một kết nối mạng vẫn hoạt
động tốt, dứt hai kết nối mới phá
vỡ RING
- Khả năng chịu lỗi kém hơn, đứt
bất kì một kết nối thì nút bị loại
ra khỏi mạng.
-Khó kiểm soát luồng dữ liệu,
khó cô lập và khắc phục sự cố
xảy ra. Nhất là đối với RING lớn.
- Dễ dàng kiểm soát luồng dữ
liệu, dễ dàng cô lập và khắc phục
các lỗi
- Áp dụng vào mạng VAST:
Luồng dữ liệu giữa các thành

viên ít, nên topo RING không đạt
hiệu quả cao.
- Áp dụng vào mạng VAST:
luồng dữ liệu chủ yếu từ các
thành viên đến TTTHDL ( từ nút
đến HUB), nên topo STAR đạt
hiệu quả hơn
- Áp dụng vào mạng VAST: độ
dài cáp ngắn hơn
- Áp dụng vào mạng VAST: độ
dài cáp lớn hơn vì HUB đặt ở nhà
A1, ko phải điểm nằm giữa
campus
-Khó khăn trong việc mở rộng
nút mới, vì phải phá bỏ một liên
kết cũ và thêm 2 liên kết mới.
Tương tự với việc loại bỏ nút cũ.
- Dễ dàng thêm nút mới và loại
bỏ một nút cũ.
Từ những điểm mạnh và điểm yếu ở cả hai loại topo đã phân tích ở trên,
chúng tôi khuyến nghị sử dụng topo mạng kết hợp cả hai loại topo RING và STAR
cho campus của mạng VASTnet.
Page 16 of 51
Đề cương TVTKXD VASTnet
Từ về cơ bản topo mới có dạng hình STAR, tuy nhiên để khắc phục khả năng
chịu lỗi của topo STAR, tại một số nút quan trọng, ta khép thành 1 vòng RING nhỏ
( thông thường 3 nút tạo thành 1 RING sẽ cho kết quả tối ưu).
Ngoài ra, để khắc phục nhược điểm: “single point of failure”, ta sử dụng 2 hub
trung tâm, mỗi nút sẽ có 2 kết nối đến hub này. Thông thường 1 đường cáp outdoor
sẽ có nhiều sợi cáp, do vậy có thể sử dụng 1 đường cáp để nối từ một nút đến 2 hub.

Như vậy hạ tầng cáp quang mới sẽ có dạng:
Page 17 of 51
Đề cương TVTKXD VASTnet
\
 Các công nghệ tăng tính sẵn sàng (High Availability)
Để tăng cường tính sẵn sàng và khả năng ổn định của hệ thống mạng, bên
cạnh việc sử dụng các thiết bị mạng có độ tin cậy cao, người ta còn sử dụng dư thừa
các thiết bị cũng như số đường mạng. Phụ thuộc vào giao thức và phần mềm hỗ trợ,
người ta chia ra làm 3 nhóm phương pháp High Availability:
• Cân bằng tải ( Load-sharing , Load balacing, Active/Active): Để thực
hiện 1 nhiệm vụ thì có 2 thiết bị tương tự nhau cùng hoạt động, mỗi thiết
bị hoạt động 50% tải của mạng. Khi 1 thiết bị gặp sự cố thì thiết bị còn lại
sẽ hoạt động 100% tải của mạng. Thời gian downtime của hệ thống tính
bằng giây. Kết hợp với tính năng “statefull failover”, hai thiết bị này luôn
luôn cập nhập trạng thái hoạt động cho nhau, do vậy khi một thiết bị down,
Page 18 of 51
Đề cương TVTKXD VASTnet
các kết nối hiện tại không bị reset lại. Một số ứng dụng thường gặp của
Cân bằng tải:
o Firewall: Firewall của các hãng khác nhau thường có công nghệ HA
Active/Active riêng, Tuy nhiên tính năng này thường đòi hỏi thêm
license.
o Clustering/Stack: ghép nhiều thiết bị lại thành 1 biết bị.
o Thiết bị Load-Balancing cho ứng dụng: sản phẩm của các hãng như
F5, Cisco, Citrix
o Thiết bị Load-Balancing cho nhiều đường Internet
o Các giao thức định tuyến trên router cũng có khả năng cân bằng tải
trên nhiều đường
o Giao thức GLBP (Gateway Load Balancing Protocol): Cân bằng tải
cho nhiều router trong cùng một mạng LAN

o EtherChannel: Ghép nhiều đường Ethernet nối giữa hai switch hoặc
giữa switch với server nhiều card mạng lại thành một đường lớn
hơn
o PPP Multilink: Ghép nhiều đường point-to-point giữa hai router lại
thành một đường lớn hơn
o Ngoài ra, trên 1 thiết bị còn có thể dự phòng các thành phần như dự
phòng nguồn điện, dự phòng quạt, dự phòng bộ xử lý…
Hai phương pháp trên thường áp dụng cho các hệ thống đòi hỏi tính
sẵn sàng cao.
• Dự phòng nóng (Active/Standby, Hot Standby): Để thực hiện 1 nhiệm vụ
thì sử dụng hai thiết bị tương tự, trong đó một thiết bị hoạt động 100% tải
của mạng và một thiết bị hoạt động 0% tải để dự phòng nóng. Khi thiết bị
active gặp sự cố thì thiết bị stand sẽ lập tức chuyển trạng thái thành active
và nhận 100% tải của mạng. Tương tự như trường hợp Active/Active, thời
gian downtime của hệ thống cũng chỉ tính bằng giây và kết hợp với tính
năng “statefull failover”, các kết nối hiện tại không bị reset lại. Một số ứng
dụng thường gặp của dự phòng nóng:
o Firewall: Firewall cũng có thể chạy ở chế độ Active/Standby
o Thiết bị Load-Balancing cho ứng dụng cũng có chế độ
Active/Stanby
o Giao thức HSRP (Hot Standby Routing Protocol) : Dự phòng nóng
cho nhiều router trong một mạng LAN
Page 19 of 51
Đề cương TVTKXD VASTnet
o Giao thức SPT (Spanning Tree Protocol): Cho phép dư thừa các kết
nối Ethernet giữa các switch, các kết nối dư thừa ở trạng thái
Standby để tránh loop
• Dự phòng nguội ( Cold Standby): Một thiết bị được lưu kho để dự phòng
cho một số lượng các thiết bị đang hoạt động. Chẳng hạn mạng có 10
switch access, ngoài ra để dự phòng cho các thiết bị này, người ta còn

trang bị thêm 1 switch dự phòng nguội. Trường hợp 1 switch bị hỏng thì
người ta sẽ đem ra thay thế. Trong trường hợp này, thời gian downtime của
hệ thống lên đến vài giờ. Phương pháp này có chi phí thấp, tuy nhiên
downtime lớn do vậy thường áp dụng cho những hệ thống không đòi hỏi
tính sẵn sàng cao.
Qua việc phân tích những phương trên, chúng tôi khuyến nghị sẽ sử dụng phương
pháp Active/Active hoặc Active/Standby cho các module đòi hỏi tĩnh sẵn sàng
cao như : mô đun Core, mô đun kết nối Internet + Vinaren, mô đun Server, mô
đun mạng cho Lãnh đạo. Các module khác sẽ sử dụng phương pháp dự phòng
nguội.
 So sánh định tuyến tĩnh và định tuyến động
Hiện nay đang có 2 xu hướng sử dụng định tuyến trên mạng như sau:
 Định tuyến tĩnh (static routing): là việc nhà quản trị tự xác định các mạng
đích và điểm đến tiếp (next hop) để tới mạng đích đó, có nghĩa là với một
mạng đích như vậy thì sẽ chuyển gói tin tới Router nào.
Ví dụ như sau về một dòng lệnh định tuyến tĩnh:
ip route 10.192.64.0 255.255.255.0 10.65.4.1
Điều này tương đương với việc ra lệnh cho Router: Với gói tin cần gửi tới
mạng 10.192.64.0 với 24 bit subnet mask thì chuyển gói tin đó tới Router có
địa chỉ 10.65.4.1 để xử lý tiếp.
Với phương pháp này nhà quản trị sẽ phải thao tác bằng tay (manual) nhập các
giá trị định tuyến vào cấu hình Router do đó sử dụng định tuyến tĩnh có một
số bất cập sau:
o Khó quản lý đường đi trên mạng (route): khi số lượng mạng đích rất
nhiều thì số lượng route trên mạng sẽ tăng nhanh chóng. Như ví dụ trên
ta thấy nếu không phải là 1 mạng đích mà là 100 mạng đích thì ta phải
Page 20 of 51
Đề cương TVTKXD VASTnet
gõ bằng tay 100 dòng như vậy vào cấu hình Router, việc này làm cho
bảng định tuyến của Router trở nên phức tạp khó quản lý.

o Không tự động cập nhật khi có thay đổi: Sau khi một route được thiết
lập, nếu các giá trị trong route đó thay đổi (chẳng hạn như một đơn vị
nào đó thay đổi IP) thì nhà quản trị phải xóa route cũ đi và gõ route mới
vào với giá trị mới, điều này làm tiêu tốn thời gian và dễ gây nhầm lẫn.
Tuy nhiên định tuyến tĩnh cũng có ưu điểm là không làm tiêu tốn băng thông
kênh truyền bởi các Router trên mạng không cần phải thông báo cho nhau bảng
định tuyến của chúng mà bảng này do nhà quản trị nhập vào từng Router một.
Chính vì lý do này mà định tuyến tĩnh thường được sử dụng cho những hệ
thống mạng nhỏ, không phân chia subnet phức tạp và hoạt động tương đối ổn
định
 Định tuyến động (dynamic routing): là một giải pháp tốt cho việc giải quyết
bài toán quản lý và cập nhật route khi hệ thống mạng trở nên lớn về quy mô và
số lượng thiết bị.
Với định tuyến động, nhà quản trị chỉ cần quy định loại giao thức định tuyến
mà Router sẽ sử dụng, việc cập nhật và thông báo các route sẽ được Router
làm hoàn toàn tự động, không cần can thiệp của nhà quản trị. Như vậy các thao
tác quản trị sẽ đơn giản hơn và dễ dàng hơn rất nhiều. Các giao thức định tuyến
thường sử dụng:
o RIP (Routing Information Protocol)
o OSPF (Open Shortest Path First)
o ISIS (Intermediate System-to-Intermediate System Protocol)
o EIGRP (Enhanced Interior Gateway Routing Protocol)
o BGP (Border Gateway Protocol)
Tuy nhiên định tuyến động cũng yêu cầu một số nội dung sau:
o Khả năng xử lý của Router phải tương đối cao, bởi khi chạy định tuyến
động, Router phải tự cập nhật, phân tích, thông báo về bảng định tuyến
cho nhau để tìm ra đường đi hợp lý nhất và việc này là tiêu tốn khả
năng xử lý của Router.
o Nhà quản trị phải có kiến thức tốt và nhiều kinh nghiệm về định tuyến:
Với loại hình này, việc cấu hình trên Router sẽ cần phải cân nhắc hợp

lý để hệ thống không bị những vòng lặp (routing loop) trên mạng
Page 21 of 51
Đề cương TVTKXD VASTnet
Với quy mô của mạng VAST, chúng tôi khuyến nghị sử dụng giao thức OSPF
cho mạng VASTnet. Đây là giao thức có nhiều ưu điểm và được sử dụng phổ
biến nhất trong các mạng LAN/WAN. Với đòi hỏi tính trong suốt của người dùng
khi kết nối vào mạng VINREN và mạng Internet, khả năng kết nối đến nhiều ISP
khác nhau, thì phần mô đun kết nối sẽ sử dụng giao thức BGP định tuyến. Giao
thức BGP cũng là giao thức duy nhất để kết nối giữa các ISP trên mạng Internet,
cũng như giữa các thành viên của mạng VINAREN/TEIN2.
4.1.2.
4.1.2.
Quy hoạch tổng thể
Quy hoạch tổng thể
 Sơ đồ mạng tổng thể:
Page 22 of 51
Đề cương TVTKXD VASTnet

Page 23 of 51
Đề cương TVTKXD VASTnet
Phân tích thiết kế hệ thống:
Xuất phát từ yêu cầu của hệ thống, trong thời gian chuyển đổi này NOC sẽ được đặt
tại tòa nhà A1 và sau này toàn bộ hệ thống sẽ chuyển sang NOC mới được xây dựng
bên cạnh tòa nhà A1. Song về quy hoạch tổng thể của hệ thống vẫn không thay đổi
và được thiết kế như sau:
Hệ thống sẽ được chia ra làm các vùng riêng biệt với các chức năng và vai tò khác
nhau bao gồm các vùng sau:
 Vùng kết nối ra bên ngoài (Outside):
• Vùng này có nhiệm vụ kết nối mạng VAST với các hệ thống mạng khác
như VINAREN,Cpnet và mạng Internet.

• Yêu cầu của vùng này là đảm bảo tính sẵn sàng cao cho toàn bộ hệ thống,
đảm bảo bằng dự phòng về cả thiết bị và kết nối.
• Hỗ trợ các các kết nối Internet khác nhau như lease line, ADSL, FTTH…
• Sử dụng địa chỉ IP public
• Có Firewall, IPS chặn các tấn công từ bên ngoài vào Hệ thống mạng.
• Cung cấp khả năng tạo kết nối VPN đến các thành viên và người dùng ở
xa.
• Yêu cầu về thiết bị:
o Tất cả các thiết bị phải hỗ trợ active/active hoặc active/standby.
o Router phải peering với nhiều nhà cung cấp, nên có bảng định tuyến
rất lớn ( Toàn bộ 250.000 routes trên Internet), do vậy tối thiểu phải
có 512 Mbyte RAM, khuyến nghị là từ 768 Mbyte đến 1byte RAM
o Các tính năng cao cấp như QoS, Ipv6, Multicast…
 Vùng VAST Campus (Inside):
• Vùng này có nhiệm vụ kết nối toàn bộ các mạng chức năng của mạng
VAST lại với nhau.
• Vùng này bao gồm
o Hệ thống chuyển mạch trung tâm (Core switch) đặt tại NOC.
o Hệ thống chuyển mạch phân tán (Distribution switch) đặt tại mỗi
tòa nhà của viện.
o Hệ thống chuyển mạch cung cấp kết nối trực tiếp cho các thiết bị
đầu cuối (Access switch) đặt tại mỗi tầng của tòa nhà. Các thiết bị
trong đầu cuối được nối với các access switch qua các Patch Panel
và cross connecting nhằm tạo điều kiện thuận lợi cho việc cố định
đầu cáp và cũng như kiểm tra bảo trì và sửa chữa hư hỏng.
Page 24 of 51
Đề cương TVTKXD VASTnet
• Băng thông giữa lớp Core và Distribution là 2Gbps, hỗ trợ sẵn khả năng
nâng cấp lên 10Gbps. Băng thông giữa lớp Distribution và Access là
2Gbps.

• Khả năng dự phòng: Cặp switch Core có khả năng chạy Active/Active, các
thiết bị switch Distribution và Access được dự phòng nguội. Tất các các
liên kết đều là Active/Active hoặc Active/Standby.
• Yêu cầu về thiết bị :
o Core switch có hiệu năng cao, xử lý L2/L3/L4 bằng phần cứng.
o Distribution switch có hiệu năng cao, xử lý L2/L3 bằng phần cứng.
o Core switch và Distribution switch phải có khả năng hỗ trợ có khả
các tính năng cao cấp về QoS(Traffic Shaping, auto QoS for voice
traffic), bảo mật (Private VLAN, DHCP snooping, Dynamic ARP
Inspection, IP source guard, SSHv2, hardware base ACLs…), IPv6
và multicast.
o Access switch có khả năng chia VLAN, hỗ trợ QoS, NAC (Network
Access Controll)
o Các thiết bị mạng hỗ trợ các tính năng cao cấp như QoS, Ipv6,
Multicast…
Chú ý: Cáp quang giữa lớp Core và Distribution phải được tính toán độ dài
sao cho khi dịch chuyển NOC từ A1 sang NOC mới không phải hàn lại cable.
 Vùng máy chủ (Server farm):
• Để có thể áp đặt các chính sách bảo mật khác nhau với nhiều vùng máy
chủ khác nhau, chúng tôi chia vùng máy chủ ra thành 3 vùng:
o Public server: cung cấp các dịch vụ trên Internet (như Mail Server,
Web Server, proxy server, DNS server ).
o Internal Server: Đặc các server nội bộ cho hệ thống mạng VAST
chứa các tài nguyên dùng chung như Web nội bộ, Cơ sở dữ liệu, Tài
liệu chia sẻ; hoặc đặt các máy chủ của thành viên.
o Management Server: Chứa các máy chủ Quản trị như các máy chủ
Quản trị mạng, DHCP, Máy chủ xác thực người dùng, NTP
(Network Timing Protocol) để đồng bộ giờ cho các thiết bị mạng …
• Giữa các vùng máy chủ này đều được đặt Firewall và IPS. Firewall kiểm
soát ở vùng mạng, còn IPS kiểm soát ở tầng ứng dụng.

Page 25 of 51