Bài giảng Thiết kế hạ tầng máy tính - Chương 11: Thiết kế mạng vật lý cho mạng doanh nghiệp - Nguyễn Hồng Sơn

1Chương 11 THIẾT KẾ MẠNG VẬT LÝ CHO MẠNG DOANH NGHIỆP TS. NGUYỄN HỒNG SƠN 2NỘI DUNG
GIỚI THIỆU
CÁC CÔNG NGHỆ REMOTE-ACCESS
CHỌN THIẾT BỊ REMOTE ACCESS
CHỌN CÔNG NGHỆ WAN
CHỌN ROUTER CHO WAN
CHỌN WAN SERVICE PROVIDER 3GIỚI THIỆU
Thiết kế mạng vật lý cho enterprise bao gồm chọn công nghệ cho các thành phần WAN và remote access, tiếp theo là các thiết bị nối mạng diện rộng
Chọn công nghệ và thiết bị nào sẽ tùy vào nhu cầu băng thông, QoS, network topology, yêu cầu công việc, mục tiêu kỹ thuật. 4CÁC CÔNG NGHỆ REMOTE-ACCESS
Vị trí của cộng đồng user, ứng dụng trên remote user là cơ sở để thiết kế remote access
Các công nghệ thường dùng cho remote access: – PPP, Multilink PPP – ISDN – Cable modem – xDSL 5PPP (Point-to-Point Protocol)
Giao thức lớp 2 được dùng kết nối một user hay một văn phòng ở xa về trung tâm dịch vụ
PPP cung cấp các dịch vụ – Network layer protocol multiplexing – Link configuration – Link-quality testing – Link-option negotiation – Authentication – Header compression – Error detection 6Multilink PPP
MPPP tập hợp kênh vào PPP
Sử dụng khi muốn load sharing và tăng cường băng thông cung cấp
Nhiều kênh nhưng chỉ xuất hiện như một liên kết ảo đối giao thức lớp trên
MPPP đảm bảo gói đến đầu thu đúng thứ tự 7Multichassis Multilink PPP
Multichassis MPPP là cải tiến MPPP trong hệ điều hành liên mạng của Cisco System
Cho phép người quản trị nhóm nhiều remote access server vào một stack group và lưu lượng của user có thể được chia tách hay tái hợp qua nhiều server trong stack group.
Giao thức SGBP (Stack Group Bidding Protocol ) --->offload server 8 9Hỗ trợ xác thực trong PPP
Hai kiểu xác thực có trong PPP – PAP (Password Authentication Protocol ) – CHAP (Challenge Handshake Authentication Protocol )
Với PAP dễ bị đánh cắp mật khẩu
CHAP an ninh hơn nhờ bắt tay 3 bước 10 Mạng số liên kết đa dịch vụ (ISDN)
PPP được dùng với ISDN (Integrated Services Digital Network), cung cấp khả năng data encapsulation, link integrity, và authentication cho ISDN
ISDN cho các nhu cầu thiết lập kết nối nhanh và tốc độ cao
ISDN là chọn lựa cho một backup link cho các liên kết diện rộng khác
DDR giữ ISDN ở trạng thái không kết nối cho đến khi cần truyền data 11 Các thành phần của ISDN
Terminal: có 2 loại TE1 (ISDN-compliant terminals) và TE2
TA (terminal adapter)
NT(network termination device): NT1 (thực hiện chức năng lớp vật lý) và NT2 (thực hiện chức năng lớp 2 &3) 12 Cable modem Remote Access
Cable modem dùng qua cáp đồng trục trong hệ thống truyền hình cáp
HFC (hybrid fiber/coax) system cho phép user kết nối PC hay LAN nhỏ vào cáp đồng trục và truy xuất Internet hay truy nhập vào mạng riêng của doanh nghiệp bằng VPN software.
Nhà cung cấp dịch vụ vận hành một CMTS (Cable Modem Termination System) cung cấp kết nối tốc độ cao cho nhiều modem cáp, Cisco Universal Broadband Router có thể làm chức năng này. 13 14 Digital Subscriber Line Remote Access
Công nghệ băng rộng qua cáp điện thoại thông thường
Các DSL service thông thường – ISDN DSL, 128 Kbps, 4.6 km đến 5.5 km – HDSL, HDSL-2 , tốc độ cấp T1 hay E1, 4.6 km – G.SHDSL, kết hợp SDSL và HDSL-2 – VDSL, Long Reach Ethernet dùng VDSL 15 PPP và ADSL
ADSL dùng hai dạng hiện thực với PPP: – PPP over ATM (PPPoA): thiết bị phía user đóng vai trò ATM-to-WAN router, PPP session là giữa router và access concentrator lớp 3 – PPP over Ethernet (PPPoE): thiết bị phía user đóng vai trò Ethernet-to-WAN bridge. PPP frame được gói trong MAC frame và được bắc cầu đến gateway router của nhà cung cấp dịch vụ 16 CHỌN THIẾT BỊ REMOTE ACCESS
Chọn thiết bị cho remote user
Chọn thiết bị cho trung tâm dịch vụ từ xa
Remote user bao gồm các cá nhân làm việc tại nhà, các nhân viên ở chi nhánh, người dùng di động
Trung tâm dịch vụ từ xa là bản doanh của công ty hay tập đoàn, core network của một trường đại học với nhiều campus, một trang thiết bị y khoa nối đến các phòng mạch của Bác sĩ,... 17 Chọn thiết bị cho remote user
Nếu user kết nối đến trung tâm <2 giờ/ngày không cần tốc độ cao có thể dùng analog modem, cần tốc độ cao dùng cable modem hay DSL modem
Để hỗ trợ kết nối nhiều user dùng router, router bao gồm cable hay DSL modem, cả ISDN module 18 Các tiêu chuẩn chọn router cho remote user (1)
Đặc tính an ninh, VPN
Hỗ trợ NAT
Tin cậy
Giá thành
Dễ cấu hình và quản lý
Hỗ trợ một hay nhiều Ethernet interface
Tích hợp wireless access point càng tốt
Hỗ trợ các giao thức IP, IPX, AppleTalk... 19 Các tiêu chuẩn chọn router cho remote user (2)
Hỗ trợ các đặc tính DDR, snapshot routing, compression
Hỗ trợ tập hợp kênh (ISDN router)
Hỗ trợ analog phone line để điện thoại và fax có thể chia sẻ băng thông với data
Hỗ trợ các đặc tính QoS cho VoIP và các ứng dụng khác có nhu cầu QoS 20 Chọn thiết bị cho trung tâm
Với các remote user dùng công nghệ cũ, remote access server cung cấp 5 dịch vụ: – Remote node service: cho phép kết nối như nối trực tiếp – Terminal service: dịch vụ đầu cuối chuẩn như Telnet, rlogin (UNIX), LAT (Local Area Transport), PAD (X.25 packet assembler/disassembler), TN3270 (giao thức đầu cuối ảo cho các ứng dụng trên IBM 3270) – Protocol-translation service: chuyển đổi giữa các chuẩn đầu cuối – Asynchronous routing service: cấp chức năng định tuyến lớp 3 để kết nối các LAN qua một liên kết bất đồng bộ – Dialout service: cho phép các LAN user chia sẻ access-server modem 21 Tiêu chuẩn chọn remote access server
Hỗ trợ 5 dịch vụ nói trên
Số port và chủng loại
Hỗ trợ các modem và ISDN, Voice, Multichassis MPPP
Hỗ trợ DHCP, NAT và PAT
Hỗ trợ các tính năng multimedia, RSVP và IP multicast 22 Dùng bộ tập trung VPN (VPN concentrator) (1)
Các router và firewall tại trung tâm đóng vai trò là điểm kết cuối cho các VPN tunnel --> nguy cơ cổ chai.
Nếu số user đồng thời lên đến 100 hay traffic vượt quá 4 Mbps nên dùng VPN concentrator.
VPN concentrator có ít nhất 2 giao tiếp Ethernet tốc độ cao
Khi chọn VPN concentrator cần chú ý tương thích với VPN software phía user.
Số tunnel kết nối đồng thời và tổng forwarding traffic 23 Dùng bộ tập trung VPN (VPN concentrator) (2)
Các giao thức IPSec, PPTP và L2TP
Các giao thức mật mã 56-bit DES, 168-bit Triple DES, Microsoft Encryption (MPPE), 40- 128-bit RC4, và 128, 192-, và 256-bit AES
Các giải thuật xác thực: Message Digest 5 (MD5), Secure Hash Algorithm (SHA-1), Hashed Message Authentication Coding (HMAC) với MD5, HMAC với SHA-1
Các giao thức hệ thống như DNS, DHCP, RADIUS, Kerberos, LDAP
Các giao thức định tuyến
Quản lý mạng dùng Secure Shell hay HTTP với Secure Socket Layer 24 CHỌN CÔNG NGHỆ WAN
Các hệ thống cung ứng WAN bandwidth
Mạng cáp quang đồng bộ (SONET)
Frame Relay
ATM 25 Các hệ thống cung ứng WAN bandwidth
Các luồng số DS (Digital Stream), ví dụ DS-0 (64Kbps), DS-1(1,544Mbps)
Chuẩn châu Âu (E system), ví dụ E0 (64 Kbps), E1 (2,048 Mbps)
Chuẩn SDH truyền số liệu qua cáp quang, STS (Synchronous Transport Signal), ví dụ STS-1 (51,84 Mbps), STS-3 (155,52 Mbps) 26 CHỌN ROUTER CHO WAN
Cũng bao gồm các tiêu chuẩn chọn router cho campus
Thông lượng và tính khả dụng phải cao
Có đặc tính tối ưu sử dụng đường truyền
Các router tập hợp traffic từ nhiều nơi cần chọn loại có công suất mạnh, chú ý các router ở lớp trên trong mô hình phân cấp
Chú ý các đặc tính QoS 27 CHỌN WAN SERVICE PROVIDER
Qui mô các công nghệ và dịch vụ được cấp
Phạm vi địa lý
Phẩm chất và độ tin cậy của mạng
Mức độ an ninh
Mức độ hỗ trợ kỹ thuật
Xác suất tồn tại lâu dài
Mức độ chăm sóc và cộng tác với khách hàng 28 Các đặc tính cần thẩm định để xác định mạng nội bộ của provider
Các tuyến vật lý
Khả năng dự phòng
Mức độ cộng tác với các provider khác để dự phòng
Mức độ oversubscription
Cơ chế phân phối băng thông cho QoS
Chủng loại switch được dùng và các đặc tính phân phối, tối ưu băng thông có sẵn của nó
Tần suất và nguyên nhân sự cố
Các phương pháp bảo đảm an ninh
Phương án khắc phục sự cố 29 Hợp đồng mức dịch vụ với provider
Service-Level-Agreement (SLA)
Các câu hỏi cần quan tâm khi ký kết SLA: – Giá thuê như thế nào? – Năng lực thi công như thế nào? – Có chứng chỉ ISO 9002? – Có cung cấp chương trình huấn luyện? – Có cung cấp cấu trúc, lộ trình giá thuê? – Cam kết đền bù như thế nào? – Ai là người trực tiếp chịu trách nhiệm giải quyết các sự cố và giải đáp các khiếu nại. – Mức độ khó khăn đối với thuê bao thông thường khi cung cấp và tính cước các dịch vụ mới? 30 HẾT CHƯƠNG 11