Tải bản đầy đủ
KHẢO SÁT VÀ ĐỀ XUẤT GIẢI PHÁP CẢI TIẾN HỆ THỐNG MẠNG NGHIỆP VỤ CỦA VNPT THÁI NGUYÊN

KHẢO SÁT VÀ ĐỀ XUẤT GIẢI PHÁP CẢI TIẾN HỆ THỐNG MẠNG NGHIỆP VỤ CỦA VNPT THÁI NGUYÊN

Tải bản đầy đủ

hỗ trợ cho hệ thống mạng dịch vụ của viễn thông VNPT Thái Nguyên và quản lý
các chi nhánh tại các huyện của VNPT trong tỉnh Thái Nguyên. Vì đang trong
quá trình nâng cấp hệ thống cơ sở hạ tầng nên hiện tại mạng nghiệp vụ VNPT
Thái Nguyên sử dụng 4 khu nhà với 36 phòng và một số phòng mượn của Trung
tâm Bưu Điện tỉnh Thái Nguyên.
3.2.2 Tổ chức bộ máy
Hệ thống nghiệp vụ của VNPT Thái nguyên gồm ban giám đốc và 7 bộ
phận, phòng, ban chuyên môn.
+ Ban giám đốc gồm
-

Giám đốc.
Phó giám đốc

+ Phòng tổ chức
+ Phòng tài chính
+ Phòng hành chính
+ Ban quản lý dự án
+ Phòng kế toán
+ Phòng mạng và dịch vụ
+ Phòng đầu tư
Sơ đồ tổ chức

Ban giám đốc

Phòng tổ chức

Phòng Mạng và DV

Ban quản lý dự án

Phòng hành chính

Phòng kế toán

Phòng tài chính

Phòng đầu tư

58

Qua quá trình khảo sát hiện trạng hệ thống mạng máy tính của mạng
nghiệp vụ VNPT Thái Nguyên, có thể mô phỏng hệ thống mạng như sau:

Hình 3.1: Sơ đồ hệ thống mạng nghiệp vụ VNPT Thái Nguyên
• Đường truyền của hệ thống
+ Đường truyền Internet: hệ thống hiện tại chỉ có duy nhất một đường truyền
Internet tốc độ 2Mbps.
+ Mạng nội bộ: Hệ thống mạng LAN nối các tòa nhà, các phòng ban với nhau sử
dụng cáp UTP 4 pair.
• Các dịch vụ cung cấp:
59

Hiện tại hệ thống mạng nghiệp vụ của VNPT Thái Nguyên chỉ dùng để trao đổi
thông tin giữa các máy trong LAN, chia sẻ các thiết bị in và truy cập khai thác
Internet, liên kết, quản lý và chia sẻ thông tin với các chi nhánh trên các huyện.
• Các thiết bị chính:
-

Router Cisco 2600: có 1 Fastethernet / IEEE 802.3 interface(s), 1 Ethernet
/ IEEE 802.3 interface(s), 3 serial, 1 bri, version 12.1

-

Switch Catalyst 2950: có 24 Fastethernet / IEEE 802.3 interface(s),
version 12.1, switch của cisco, hỗ trợ VLAN - virtual local area network
(hay virtual LAN).

-

Switch planet FNSW – 1601:hãng sản xuất Planet, 16 Fastethernet / IEEE
802.3 interface(s) .

-

Modem leased-line.

-

MaCompaq ML350: Server cung cấp dịch vụ web

-

Máy chủ kế toán, quản lí cước, thu nợ.

-

Khoảng 200 máy tính kết nối.
Như vậy với cấu trúc mạng hiện tại thì nhận thấy: các trang thiết bị được

sử dụng không đáp ứng nhu cầu chia sẻ thông tin do dễ gây đụng độ, nguy cơ
mất an toàn hệ thống là không tránh khỏi.

3.3 Đánh giá hiệu năng và mức độ an toàn của hệ thống
3.3.1 Đánh giá hiệu năng của hệ thống
Hiện tại hệ thống chưa có thiết bị bảo mật hay phần mềm bảo mật. Do đó
tất cả các máy trong hệ thống đều có nguy cơ mất an toàn dữ liệu và quyền riêng
tư. Cáp nối các thiết bị quá cũ, dễ gây nhiễu tín hiệu hoặc mất dữ liệu trên đường
truyền. Không những thế nó còn làm giảm đáng kể hiệu năng của hệ thống mạng.
Các switch đang sử dụng rất cũ, ít chức năng, trong tương lai nếu mở rộng hệ
thống mạng hơn nữa thì sẽ rất khó khăn hoặc tốn kém.
3.3.2 Một số nguy cơ mất an toàn hệ thống có thể xảy ra
+ Nguy cơ bị mất mát dữ liệu

60

Hiện nay, đối với hệ thống mạng hiện tại, nguy cơ bị mất mát dữ liệu là rất
lớn. Nguy cơ này có thể đến từ hai hướng: bên ngoài Internet và ngay nội bộ hệ
thống mạng nghiệp vụ.
- Nguy cơ mất mát thông tin từ ngoài Internet: Hệ thống mạng nghiệp vụ đã
kết nối đến Internet, nhưng không có một thiết bị và chương trình bảo mật
nào bảo vệ hệ thống khỏi các nguy cơ xâm nhập từ bên ngoài vào. Những
hacker có thể sử dụng virus dưới dạng trojan để truy cập vào hệ thống ăn
cắp hoặc phá hoại thông tin.
- Nguy cơ mất mát thông tin từ bên trong hệ thống: Với các switch hiện tại,
những người trong hệ thống mạng có thể dễ dàng dùng các chương trình
nghe lén (sniffer) để lấy cắp các thông tin được truyền đi trong mạng, và
nguy cơ mất mát thông tin từ trong hệ thống là nguy cơ ngày càng cao trong
các hệ thống mạng hiện nay.
+ Bị tấn công
Các hệ thống có kết nối Internet thường hay bị tấn công bởi tin tặc.
Phương thức tấn công thường là SYN Defender hay FloodAttack (tấn công ngập
lụt), Ping of Death, và IP Spoofing(giả mạo IP)…
Hậu quả tất yếu của các vụ tấn công như trên là server sẽ bị tê liệt, không
còn khả năng xử lý các yêu cầu khác nữa.
Do hệ thống mạng nội bộ có vùng quảng bá rộng nên nguy cơ tấn công
cũng có thể xảy ra từ bên trong mạng, nếu một máy tính trong mạng bị nhiễm
virus có khả năng tấn công mạng hoặc chạy các chương trình tấn công mạng thì
có thể làm cho hệ thống mạng hoàn toàn tê liệt, không thể truy cập được Internet.
+ Bị virus phá hoại
Virus tin học ngày càng nhiều và cũng nguy hiểm hơn. Đã xuất hiện một
số virus mà khi được kích hoạt sẽ xóa trắng các tập tin như họ virus Klez hoặc
làm nhiễu các phần mềm ví dụ như không gõ được tiếng Việt… Trong tình hình
đó hệ thống hiện tại lại chưa có một giải pháp tổng thể trong phòng và chống
virus, thường chỉ khi xảy ra rồi mới chữa.
3.3.3 Thực trạng của hệ thống qua đánh giá của người sử dụng

61

Theo đánh giá của những người quản lý hệ thống và những người trực tiếp
làm việc với hệ thống mạng thì hệ thống mạng thường xuyên gặp tình trạng rớt
mạng, tốc độ đường truyền thấp, máy tính trong hệ thống mạng có tỉ lệ nhiễm
virus rất cao.
Do hệ thống mạng có miền quảng bá rộng nên khi gặp trục trặc về đường
truyền tại một máy thì lập tức tốc độ đường truyền trong mạng nội bộ giảm
nhiều. Không những thế, các dữ liệu chia sẻ nội bộ thường có thể bị xem trộm và
can thiệp từ các máy không có thẩm quyền trong mạng.
Một số switch và đường truyền tín hiệu trong hệ thống rất cũ, nên thường
xuyên bị lỗi, gây mất tín hiệu, làm giảm hiệu suất của hệ thống. Nhiều máy tính
trong hệ thống mạng bị nhiễm virus gây nhiễu phần mềm như không gõ được
tiếng việt.
Với nhiều hạn chế và lỗi của hệ thống cả về hiệu suất mạng và bảo mật
mạng, những người quản lý hệ thống và những trực tiếp sử dụng hệ thống mạng
có nhu cầu nâng cấp hệ thống để cải thiện tốc độ đường truyền, tăng hiệu suất hệ
thống và tăng độ bảo mật cho các dữ liệu chia sẻ.

3.4 Đề xuất giải pháp
3.4.1 Giải pháp bảo mật cho mạng nghiệp vụ VNPT Thái Nguyên
Để giải quyết được các vấn đề trên, hệ thống cần bổ xung các thiết bị phần
cứng hoặc phần mềm nhằm ngăn chặn được các nguy cơ tấn công.
Đối với các tấn công từ ngoài Internet vào hệ thống mạng nội bộ và các
server cần:
-

Che giấu các thông tin của hệ thống mạng nội bộ .

-

Ngăn chặn các truy cập bất hợp pháp đến hệ thống mạng nội bộ và
các server.

Đối với hệ thống mạng nội bộ cần chia thành nhiều miền quảng bá để
quản lý và có thể khoanh vùng khi có virus.
Tuy nhiên, để tăng tính bảo mật và ổn định của hệ thống thì giải pháp sử
dụng các thiết bị phần cứng là lựa chọn thích hợp. Ngoài các trang thiết bị đã có

62

cần trang bị thêm thiết bị asa firewall của cisco, các switch có khả năng chia Vlan
nhằm chia mạng nội bộ thành nhiều miền quảng bá.
Xây dựng một đường truyền để kết nối riêng với các chi nhánh ở các
huyện để đảm bảo tính bảo mật của dữ liệu và tính ổn định của đường truyền.
3.4.2 Đề xuất áp dụng IPV6 trong cấu hình hệ thống
Với tốc độ phát triển ngày càng cao của internet, nhu cầu mở rộng hệ
thống mạng là cấp thiết, để đáp ứng nhu cầu này thì nên áp dụng cấu hình địa chỉ
IPv6 trên nền tảng IPv4 cho hệ thống mạng. Vừa đáp ứng được tính khả thi mở
rộng mạng khi nguồn địa chỉ IPv4 cạn kiệt, lại tăng tính bảo mật cho hệ thống bởi
những ưu điểm về bảo mật của giao thức IPv6. Vì hệ thống mạng nghiệp vụ
VNPT Thái Nguyên có nhiệm vụ quản lý, điều phối, giám sát các đại lý chi
nhánh phân bố riêng lẻ ở các huyện trong tỉnh Thái Nguyên, nên việc liên lạc,
truyền thông giữa mạng nghiệp vụ VNPT Thái Nguyên với các chi nhánh là rất
cấp thiết. Bên cạnh đó hệ thống mạng sau khi nâng cấp theo đề xuất sẽ có các
thiết bị cisco hỗ trợ giao thức ipv6, đo đó nên áp dụng cấu hình IPv6 trong triển
khai hệ thống để tận dụng hết những ưu điểm mà giao thức ipv6 mang lại.

63

Hình 3.2: Mô hình hệ thống mạng VNPT Thái Nguyên và các chi nhánh

3.5 Thiết kế cải tiến hệ thống mạng nghiệp vụ VNPT Thái Nguyên
Với sự lựa chọ thiết bị bảo mật asa và các switch mới, mô hình mạng của
hệ thống mạng nghiệp vụ VNPT Thái Nguyên sẽ được thiết kế lại như sau:

Hình 3.3: Sơ đồ giải pháp cho hệ thống mạng nghiệp vụ VNPT Thái Nguyên
3.5.1 Các thiết bị sử dụng
Ngoài các thiết bị đã có cần trang bị thêm các thiết bị sau:
-

Sử dụng Firewall cứng (Cisco ASA 5510) để bảo vệ hệ thống server và
mạng nội bộ của bưu điện, Firewall sẽ chia hệ thống mạng ra làm 3 vùng có

-

mức độ ưu tiên bảo mật khác nhau.
Outside: đây là vùng Internet, có mức độ ưu tiên bảo mật thấp nhất
DMZ: vùng đặt các máy chủ, các máy chủ có khả năng truy cập ra vùng
Outside.

64

-

Inside: mạng nội bộ của bưu điện, đây là vùng có mức độ ưu tiên bảo vệ cao

-

nhất, các máy trong vùng inside có khả năng truy cập ra outside và DMZ.
Sử dụng switch Cisco CAT 3560 để chia mạng LAN ảo - VLAN: Các Hub
nối các tầng sẽ được thay thế bằng switch CAT 2950 với khả năng chia
VLAN, các phòng ban sẽ được chia vào các VLAN. Mục đích là hạn chế sự
broadcast thông tin lên toàn mạng làm tắc nghẽn đường truyền, mặt khác
giúp dễ dàng quản lý, áp dụng được các chính sách khác nhau đối với từng

-

phòng ban cũng như nhanh chóng khắc phục các sự cố khi xảy ra.
Sử dụng router cisco 2600 và xây dựng một đường truyền riêng giữa mạng
nghiệp vụ VNPT Thái Nguyên và các chi nhánh VNPT ở các huyện trong
tỉnh Thái Nguyên.

Sử dụng phần mềm bảo mật ISA server 2006
3.5.2 Ước tính chi phí cho việc nâng cấp toàn bộ hệ thống
Ngoài các thiết bị cũ của hệ thống có thể sử dụng lại, cần phải mua một số
thiết bị mới với giá và chi phí cấu hình ước tín như sau: (giá chỉ mang tính tham
khảo tại thời điểm khảo sát)
+ 01 router cisco 2600x = 400USD
+ 04 switch 2960 x600USD = 2400 USD
+
+
+
+
+

01 Cisco ASA x 4123 USD= 4123 USD
03 IBM SERVER 3200 x 1000 USD = 3000 USD
Chi phí cấu hình các thiết bị ASA, router, switch = 500 USD
Chi phí mua dây cáp, đầu bấm 1000USD
Chi phí lắp đặt thiết bị = 3000USD

Tổng chi phí để nâng cấp hệ thống mạng nghiệp vụ khoảng 14423 USD
3.5.3 Cấp phát địa chỉ
Sau khi chia mỗi phòng ban là một Vlan, ta có sơ đồ mô phỏng các Vlan
tổng quát sau:

65

Hình 3.3: Sơ đồ chia Vlan
Thông tin về Vlan (Chỉ mang tính minh họa )
VLAN_ID
Tên VLAN
Ghi chú
1
VLAN10
Phòng kết toán
2
VLAN20
Phòng tổ chức
3
VLAN30
Phòng dự án
4
VLAN40
Phòng quản trị mạng
5
VLAN50
Ban quản lý
6
VLAN60
Ban giám đốc
7
VLAN70
Phòng hành chính
8
VLAN80
Phòng tài chính
Bảng 3.1: Thông tin về các Vlan chính
Thông tin về địa chỉ IP
• Thiết bị mạng
- Cisco ASA 5510
Interfac
e
Ethernet
0

Name

Security Level

IP Address

Subnet

Inside

100

192.168.1.1

255.255.255.0

66

Ethernet
1
Ethernet
2

DMZ

50

10.10.10.1

255.255.255.0

Outsid
e

0

10.0.0.1

255.255.255.0

Bảng 3.2: Địa chỉ Ip của ASA
-

Router Cisco1700

Interface

IP Address

FastEthernet 1/1

50.50.50.2

FastEthernet 1/0

10.0.0.2

-

Subnet
255.255.255.
0
255.255.255.

Nối với Leased line
Nối với PIX

0
Firewall
Bảng 3.3: Địa chỉ IP của Router

Vùng Server

ST

Dịch vụ

Vùng

Inside Local IP

T
1

QL cước

DMZ

10.10.10.3

2
3

Chú thích

Outside Local IP

Kế toán
DMZ
10.10.10.4
108
DMZ
10.10.10.5
Bảng 3.4: Bảng địa chỉ Ip trong vùng Server
-

VLAN_ID
1
2
3
4
5
6
7
8

Vùng inside
Tên
VLAN10
VLAN20
VLAN30
VLAN40
VLAN50
VLAN60
VLAN70
VLAN80

Dải địa chỉ IP
192.168.10.1 – 192.168.10.254
192.168.20.1 – 192.168.20.254
192.168.30.1 – 192.168.30.254
192.168.99.1– 192.168.99.254
192.168.50.1 – 192.168.50.254
192.168.60.1 – 192.168.60.254
192.168.70.1 – 192.168.70.254
192.168.80.1 – 192.168.80.254

Gateway
192.168.10.1
192.168.20.1
192.168.30.1
192.168.99.1
192.168.50.1
192.168.60.1
192.168.70.1
192.168.80.1

Bảng 3.5: Bảng địa chỉ IP trong vùng Inside (Nội bộ)
• Cấu hình địa chỉ ip các máy trạm
- Địa chỉ IP: 192.168.x.y
- Subnet mask: /24
- Gateway: 192.168.x.1
Với: x là số VLAN tương ứng, y là số thứ tự máy trong VLAN đó (y chạy từ 1254)
67

3.6 Xây dựng mô hình thực nghiệm sử dụng IPv6 trong cấu hình hệ thống
Sau khi đưa ra giải pháp cải tiến hệ thống mạng nghiệp vụ VNPT Thái
nguyên, có thể thấy rằng các thiết bị sử dụng trong hệ thống có hỗ trợ công
nghệ IPv6, đo đó có thể áp dụng IPv6 trong cấu hình hệ thống. Dưới đây là
mô hình thực nghiệm sử dụng IPv6 trong cấu hình hệ thống giữa mạng
nghiệp vụ VNPT Thái Nguyên và các chi nhánh tại các huyện.

Hình 3.4: Sơ đồ hệ thống trên phền mềm mô phỏng gns3
3.6.1 Phần mềm GNS3
Phần mềm GNS3 – một phần mềm giả lập mạng có giao diện dạng đồ họa.
GNS3 là một phần mềm giả lập mạng dạng đồ họa, nó cho phép mô phỏng với
các mạng phức tạp, nó sử dụng hệ điều hành mạng Cisco. GNS3 cho phép chúng
ta chạy một Cisco IOS trong một môi trường ảo trên máy tính cá nhân.
GNS3 chạy các IOS thật của các thiết bị như ASA, router…trong đồ án này sử
dụng các IOS asa803-9-k8.bin và C2691-IS.BIN.

68