- 9 CHƢƠNG II: HIỆN TRẠNG HỆ THỐNG. - 10 2.1 Hiện trạng hệ thống Trụ sở chính. - 15 CHƢƠNG III THIẾT KẾ CHI TIẾT HỆ THỐNG MẠNG VÀ BẢO MẬT. - 17 3.1 Mô hình kết nối hệ thống mạng và bảo mật. - 17 3.2 Mô tả thiết kế. - 18 3.2.1 Thiết kế trung tâm dữ liệu chính (DC. - 18 3.2.2 Thiết kế trung tâm dự phòng (DRC. - 20 3.2.3 Thiết kế trụ sở chính. - 22 3.2.4 Thiết kế chi nhánh. - 24 3.2.5 Thiết kế mạng WAN. - 26 3.3 Thiết kế chi tiết và cài đặt hệ thống mạng tại trung tâm dữ liệu DC. - 27 3.3.1 Thiết kế vật lý. - 38 3.4 Thiết kế chi tiết hệ thống mạng và bảo mật tại DRC. - 39 3.4.1 Thiết kế vật lý. - 44 3.5 Thiết kế chi tiết Trụ trở chính. - 47 3.5.1 Thiết kế vật lý. - 48 3.6 Thiết kế chi tiết các chi nhánh. - 48 3.6.1 Thiết kế vật lý. - 52 4.2 Kiến nghị và dánh giá hiệu quản hoạt động hệ thống. - 51 Bảng 16: Tổ chức quản trị vận hành hệ thống công nghệ. - 4 Hình 2: Sơ đồ hệ thống mạng trụ sở chính. - 11 Hình 3: Sơ đồ hệ thống mạng chi nhánh. - 14 Hình 4: Sơ đồ thiết kế logic hệ thống mạng mới. - 18 Hình 5: Sơ đồ thiết kế logic DC. - 19 Hình 6: Sơ đồ thiết kế logic DRC. - 21 Hình 7: Sơ đồ thiết kế logic trụ sở chính. - 23 Hình 8: Sơ đồ thiết kế logic chi nhánh. - 24 Hình 9: Sơ đồ thiết kế logic mạng WAN. - 25 Hình 10: Sơ đồ thiết kế vật lý và kết nối tại DC. - 27 Hình 11: Sơ đồ thiết kế Vlan tại DC. - 31 Hình 12: Sơ đồ thiết kế giao thức định tuyến tại DC. - 32 Hình 13: Sơ đồ thiết kế kết nối WAN tại DC. - 33 Hình 14: Sơ đồ thiết kế area tại DC. - 33 Hình 15: Sơ đồ thiết kế zone trên fiewall WAN tại DC. - 34 Hình 16: Sơ đồ thiết kế zone trên fiewall DMZ tại DC. - 36 Hình 17: Sơ đồ thiết kế Vlan kết nối Server tại DC. - 37 Hình 18: Sơ đồ thiết kế vật lý và kết nối tại DRC. - 40 Hình 19: Sơ đồ thiết kế Vlan tại DRC. - 47 Hình 25: Sơ đồ thiết kế vật lý và kết nối tại trụ sở chính. - 48 Hình 26: Sơ đồ thiết kế vật lý và kết nối tại chi nhánh. - 49 Hình 27: Sơ đồ thiết kế zone trên fiewall tại chi nhánh. - 50 Hình 28: Quản trị hệ thống firewall qua giao diện web. - Để tài nghiên cứu thiết kế hệ thống mạng cho BHTGVN và mô hình triển khai thực sự khả thi đúng hướng, đúng giai đoạn góp phần hoàn thiện hạ tầng công nghệ thông tin cho BHTGVN hiện tại, tin cậy và an toàn. - Chƣơng II: Nêu ra hiện trạng hệ thống. - Chƣơng III: Thiết kế hệ thống mạng mới cho đơn vị, gồm thiết kế hệ thống cho Trung tâm dữ liệu chính (DC), trung tâm dự phòng (DRC), trụ sở chính và các Chi nhánh khu vực. - Hệ thống công nghệ thông tin mới cung cấp dịch vụ cao của nghiệp vụ, hỗ trợ tốt trong công tác quản lý và điều hành, đảm bảo độ sẵn sàng cao, an toàn và bảo mật. - Xuất phát từ yêu cầu thực tế, em chọn đề tài “Nghiên cứu thiết kế hệ thống mạng cho BHTGVN và mô hình triển khai” để triển khai xây dựng hệ thống Công nghệ thông tin mới hiện tại an toàn và bảo mật đáp ứng hoạt động của BHTGVN trong giai đoạn mới. - Thiết kế xây dựng hệ thống mạng tại Trụ sở chính và các Chi nhánh đảm bảo độ sẵn sàng cao về thiết bị, đường truyền và an toàn và bảo mật. - Lớp mạng sử dụng một hệ thống địa chỉ logic với cấu trúc theo kiểu phả hệ. - Thiết kế Đây là quy trình mang tính chất quyết định lên toàn bộ hệ thống mạng. - Vận hành Quy trình này được tiến hành mỗi ngày nhằm đảm bảo sự vận hành liên tục của hệ thống. - Tối ƣu hóa hệ thống Ở giai đoạn này, hệ thống mạng đã được hoàn tất đưa vào vận hành sử dụng. - Thách thức và yêu cầu đối với hệ thống Công nghệ thông tin trong sự phát triển của đơn vị. - Chƣơng IV: Vận hành và đánh giá tính hiệu quả hoạt động của hệ thống mới, tinh chỉnh tối ưu hóa hệ thống. - Trụ sở chính tập trung xử lý và lưu trữ dữ liệu của BHTGVN nên hệ thống mạng tại Trụ sở chính có quy mô và khả năng đáp ứng cáo hơn các chi nhánh. - 11 Hình 2: Sơ đồ hệ thống mạng trụ sở chính - Kết nối người dùng (LAN): Gồm tất các các máy tính cá nhân, các máy chủ trong mạng được kết nối đến các thiết bị chuyển mạch Switch Nortel 5510 tốc độ 1Gbps, trên thiết bị được cấu hình nhiều VLAN tương ứng. - 2 Juniper Firewall SSG350M 1 2010 Thiết bị bảo mật trung tâm, tạo các chính sách quản trị truy cập trong hệ thống. - 4 Juniper IDP Giám sát và ngăn chặn truy cập trái phép bảo vệ vùng DMZ 5 Switch Nortel Hệ thống mạng tại trụ sở chính gồm 12 thiết bị chuyển mạch này sử dụng kết nối toàn bộ end user và các thiết bị trong hệ thống. - 14 Hình 3: Sơ đồ hệ thống mạng chi nhánh - Kết nối người dùng (LAN): Gồm tất các các máy tính cá nhân, các máy chủ trong mạng được kết nối đến các thiết bị chuyển mạch Juniper 3300 tốc độ 1Gbps, trên thiết bị được cấu hình VLAN. - 2 Juniper Ex Hệ thống mạng tại chi nhánh gồm 02 thiết bị chuyển mạch này sử dụng kết nối toàn bộ end user và các thiết bị trong hệ thống. - Bảng 5: Thống kê thiết bị mạng chi nhánh 15 Danh sách đường truyền: STT Tên Đƣờng truyền Tốc độ Mô tả 1 Mpls line 1 Mbps Kết nối vào mạng wan của BHTGVN 2 Internet line 30 Mbps Kết nối truy cập tài nguyên internet Bảng 6: Thống kê thiết đƣờng truyền chi nhánh 2.3 Đánh giá hiện trạng Thực trạng hệ thống mạng của Bảo hiểm tiền gửi Việt Nam. - Phần lớn các thiết bị mạng, firewall, router đang được sử dụng trong hệ thống đều đã cũ, hết hạn bảo hành phần cứng có thiết bị được đưa vào sử dụng từ năm 2005. - Các thiết bị mạng và firewall/router đang hoạt động đơn mode chưa đảm bảo tính dự phòng có độ sẵn sàng cao HA, đảm bảo an toàn khi hệ thống gặp sự cố về lỗi thiết bị. - Hệ thống mạng được thiết kế triển khai phù hợp với hoạt động của Bảo hiểm tiền gửi Việt Nam giai đoạn đến thời điểm hiện tại các ứng dụng và người dùng hệ thống được phát triển và tăng lên hằng năm, Do vậy, hệ thống hiện tại đang gặp quá tải. - Nội dung cấp thiết cần đổi mới toàn diện hệ thống Công nghệ thông tin. - Nhiệm vụ đặt ra cần đổi mới toàn diện về hệ thống Công nghệ thông tin, đáp ứng yêu cầu dịch vụ cao phù hợp với quy mô tổ chức trong giai đoạn mới. - Đổi mới và nâng cấp hệ thống mạng hiện trạng tại trụ sở chính và các chi nhánh với các thiết bị đã cũ, không có thiết bị dự phòng luôn tồn lại rủi ro rất lớn hỏng thiết bị. - Yêu cầu đối với hệ thống công nghệ thông tin mới cho Bảo hiểm tiền gửi Việt Nam: Trung tâm dữ liệu chính (DC), trung tâm dự phòng (DRC) và trụ sở chính, 8 chi nhánh. - Hệ thống mạng mới kết nối thông suốt tất cả các điểm, tại mỗi điểm đều có 2 đường truyền kết nối trên 2 thiết bị độc lập đảm bảo tính sẵn sàng cao. - Chƣơng III THIẾT KẾ CHI TIẾT HỆ THỐNG MẠNG VÀ BẢO MẬT 3.1 Mô hình kết nối hệ thống mạng và bảo mật Kết nối hệ thống mạng của BHTGVN gồm Trụ sở chính và các Chi nhánh kết nối với nhau qua mạng WAN và kết nối đến trung tâm dữ liệu chính (DC) và trung tâm dự phòng (DRC). - 18 Tại mỗi điểm gồm 02 kết nối WAN từ 02 nhà cung cấp khác nhau vào 02 thiết bị độc lập đảm bảo hệ thống hoạt động luôn có tính sẵn sàng cao khi xảy ra sự cố lỗi đường truyền và thiết bị. - Thiết kế logic tổng quan hệ thống được mô tả chi tiết hình vẽ sau: Hình 4: Sơ đồ thiết kế logic hệ thống mạng mới 3.2 Mô tả thiết kế 3.2.1 Thiết kế trung tâm dữ liệu chính (DC) Trung tâm dữ liệu chính (DC) được thiết kế tập trung toàn bộ Cơ sở dữ liệu và ứng dụng của BHTGVN, do vậy đòi có hạ tầng mạng tin cậy và bảo mật. - Thiết bị ở đây thiết kế hoạt động đơn. - 3.2.3 Thiết kế trụ sở chính Tại trụ sở chính nơi tập trung nhiều người sử dụng hệ thống yêu cầu thiết kế hệ thống luôn đảm bảo độ tin cậy, tính sẵn sàng và an toàn bảo mật. - Hệ thống mạng tại Trụ sở chính được tập trung về dịch vụ và cơ sở dữ liệu, gồm hệ thống máy chủ dịch vụ, máy chủ dữ liệu và các thiết bị mạng trung tâm kết nối đi các chi nhánh. - Với số lượng các phòng ban người sử dụng lớn, cũng như trung tâm dữ liệu của BHTGVN nên hệ thống mạng tại Trụ sở chính có quy mô và khả năng đáp ứng cáo hơn các chi nhánh. - 3.2.4 Thiết kế chi nhánh Tại các Chi nhánh của BHTGVN do có sự tương đồng về tổ chức, do vậy, hệ thống được thiết kế chung mô hình tập trung vào độ tin cậy và sẵn sàng cao trong hoạt động công nghệ thông tin Chi nhánh. - 3.2.5 Thiết kế mạng WAN Mạng WAN sử dụng 02 đường kết nối cho tất cả các site trong hệ thống mạng của BHTGVN, mỗi site có 02 đường kết nối đến 02 nhà cung cấp dịch vụ. - Router/firewall WAN định tuyến đến các site trong mạng, hoạt động dự phòng đảm bảo hệ thống tin cậy sẵn sàng cao. - Hình 12: Sơ đồ thiết kế giao thức định tuyến tại DC 3.3.2 Phân hệ WAN Phân hệ WAN có vai trò kết nối các chi nhánh, Trụ sở chính với DC và DR là phân hệ đóng vai trò quan trọng trong việc duy trì kết nối trong toàn hệ thống mạng của BHTGVN. - Hình 15: Sơ đồ thiết kế zone trên fiewall WAN tại DC Với kiến trúc thiết lập chính sách bảo mật theo Zone, FW WAN định nghĩa mạng bên ngoài là Outside Zone và mạng nội bộ là Inside Zone, FW Cluster kiểm soát toàn bộ dữ liệu đi ra và đi vào từ hệ thống mạng BHTGVN dựa trên các bộ luật được thiết lập bởi người quản trị mạng BHTGVN. - Thiết lập chính sách bảo đảm an toàn cho hệ thống mạng nội bộ khỏi các mối nguy cơ từ bên ngoài. - Ngoài ra hệ thống cũng được trang bị cặp thiết bị SRX SERIES với tính năng IDP – Intrusion Detection and Prevention (Phát hiện và phòng chống xâm nhập. - để bảo vệ hệ thống server thuộc phân hệ DMZ khỏi các cuộc tấn công từ bên ngoài Internet. - Hình 19: Sơ đồ thiết kế Vlan tại DRC 3.4.2 Phân hệ WAN Phân hệ WAN có vai trò kết nối các chi nhánh, Trụ sở chính với DC và DR là phân hệ đóng vai trò quan trọng trong việc duy trì kết nối trong toàn hệ thống mạng của BHTGVN. - 42 Hình 20: Sơ đồ thiết kế zone trên fiewall WAN tại DRC Với kiến trúc thiết lập chính sách bảo mật theo Zone, FW WAN định nghĩa mạng bên ngoài là Outside Zone và mạng nội bộ là Inside Zone, FW kiểm soát toàn bộ dữ liệu đi ra và đi vào từ hệ thống mạng BHTGVN dựa trên các bộ luật được thiết lập bởi người quản trị mạng BHTGVN. - Ngoài ra hệ thống cũng được trang bị thiết bị SRX SERIES với tính năng IDP – Intrusion Detection and Prevention (Phát hiện và phòng chống xâm nhập. - Tức là, ở trạng thái hoạt động bình thường, người sử dụng sẽ truy xuất vào hệ thống ở môi trường chính tại Trung tâm dữ liệu _DC. - Trong trường hợp thảm họa xảy ra tại DC, người sử dụng sẽ truy xuất tới hệ thống DRC. - Hình 23: Nguyên lý hoạt động đồng bộ dữ liệu Oracle DC và DRC Copy dữ liệu giữa DC và DRC Mỗi tủ đĩa HP 3PAR 7200 ở cả DC và DR đều có 2 kết nối RCIP tới hệ thống mạng và được cấu hình để kết nối được với nhau thông qua WAN. - 3.6 Thiết kế chi tiết các chi nhánh Hệ thống mạng và bảo mật tại chi nhánh sẽ được thay thế toàn bộ, chỉ giữ lại các thiết bị switch access kết nối vào hệ thống mới nhằm đảm bảo kết nối cho người dung và các máy chủ hiện tại. - Mỗi chi nhánh được bổ sung thêm một thiết bị Switch EX2200 48 cổng, sẽ đóng vai trò kết nối toàn bộ hệ thống máy chủ, hệ thống Video Conferencing và tổng đài IP. - Hình 26: Sơ đồ thiết kế vật lý và kết nối tại chi nhánh 50 Hình 27: Sơ đồ thiết kế zone trên fiewall tại chi nhánh Với kiến trúc thiết lập chính sách bảo mật theo Zone, Firewall chi nhánh định nghĩa mạng bên ngoài là Outside Zone và mạng nội bộ là Inside Zone, Firewall WAN kiểm soát toàn bộ dữ liệu đi ra và đi vào từ hệ thống mạng BHTGVN dựa trên các bộ luật được thiết lập bởi người quản trị mạng BHTGVN. - 3.6.2 Cài đặt CN-XX–CORE-01EX8208CN-XX-FW ClusterSRX 550/IPSInternetOutside ZoneInside ZoneWAN 51 Bảng 15: Địa chỉ IP cấp vlan tại chi nhánh 52 Chƣơng IV QUẢN TRỊ VẬN HÀNH 4.1 Quản trị và vận hành Phòng Công nghệ tin học tại trụ sở chính là đầu mối vận hành toàn bộ hệ thống Công nghệ thông tin của BHTGVN. - Tại các chi nhánh có nhân viên IT hỗ trợ cùng phòng Công nghệ tin học trong việc vận hành hệ thống Công nghệ thông tin tại chi nhánh. - Hệ thống mới năng lực thiết bị lớn được trang cấp đồng bộ có thiết bị dự phòng, đảm bảo tin cậy sẵn sàng cao. - Thường xuyên tinh chỉnh hệ thống đảm bảo hệ thống hoạt động hiệu quả cao, tính sẵn sàng cao. - Triển khai giải pháp quản lý tập trung cho toàn bộ hệ thống các thiết bị mạng bằng một số công cụ: Netscreen Manager cho thiết bị Juniper. - 57 KẾT LUẬN Thiết kế hệ thống mạng mới cho BHTGVN và mô hình triển khai đáp ứng đúng yêu cầu thực tế của đơn vị, góp phần hoạt động hiệu quả hệ thống CNTT, Hệ thống thiết kế mới đảm bảo an toàn và có độ sẵn sàng cao tại mỗi điểm có 02 đường truyền Wan kết nối đến 02 thiết bị độc lập, tại mỗi điểm đều chia tách ra các mạng Vlan và các zone tương ứng. - Thiết lập các chính xách cho các zone đảm bảo quản trị toàn bộ traffic trong hệ thống
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt