Chương 11 THIẾT KẾ MẠNG VẬT LÝ CHO MẠNG DOANH NGHIỆP
TS. NGUYỄN HỒNG SƠN
1
NỘI DUNG
(cid:1) GIỚI THIỆU (cid:1) CÁC CÔNG NGHỆ REMOTE-ACCESS (cid:1) CHỌN THIẾT BỊ REMOTE ACCESS (cid:1) CHỌN CÔNG NGHỆ WAN (cid:1) CHỌN ROUTER CHO WAN (cid:1) CHỌN WAN SERVICE PROVIDER
2
GIỚI THIỆU
(cid:1) Thiết kế mạng vật lý cho enterprise bao gồm chọn công nghệ cho các thành phần WAN và remote access, tiếp theo là các thiết bị nối mạng diện rộng
(cid:1) Chọn công nghệ và thiết bị nào sẽ tùy vào nhu cầu băng thông, QoS, network topology, yêu cầu công việc, mục tiêu kỹ thuật.
3
CÁC CÔNG NGHỆ REMOTE-ACCESS
(cid:1) Vị trí của cộng đồng user, ứng dụng trên remote user là cơ sở để thiết kế remote access
access: – PPP, Multilink PPP – ISDN – Cable modem – xDSL
(cid:1) Các công nghệ thường dùng cho remote
4
PPP (Point-to-Point Protocol)
(cid:1) Giao thức lớp 2 được dùng kết nối một user hay một văn phòng ở xa về trung tâm dịch vụ
(cid:1) PPP cung cấp các dịch vụ
5
– Network layer protocol multiplexing – Link configuration – Link-quality testing – Link-option negotiation – Authentication – Header compression – Error detection
Multilink PPP
băng thông cung cấp
(cid:1) MPPP tập hợp kênh vào PPP (cid:1) Sử dụng khi muốn load sharing và tăng cường
kết ảo đối giao thức lớp trên
(cid:1) Nhiều kênh nhưng chỉ xuất hiện như một liên
(cid:1) MPPP đảm bảo gói đến đầu thu đúng thứ tự
6
Multichassis Multilink PPP
điều hành liên mạng của Cisco System
(cid:1) Multichassis MPPP là cải tiến MPPP trong hệ
Protocol ) --->offload server
(cid:1) Cho phép người quản trị nhóm nhiều remote access server vào một stack group và lưu lượng của user có thể được chia tách hay tái hợp qua nhiều server trong stack group. (cid:1) Giao thức SGBP (Stack Group Bidding
7
8
Hỗ trợ xác thực trong PPP
(cid:1) Hai kiểu xác thực có trong PPP
– PAP (Password Authentication Protocol ) – CHAP (Challenge Handshake Authentication Protocol )
(cid:1) Với PAP dễ bị đánh cắp mật khẩu (cid:1) CHAP an ninh hơn nhờ bắt tay 3 bước
9
Mạng số liên kết đa dịch vụ (ISDN)
Digital Network), cung cấp khả năng data encapsulation, link integrity, và authentication cho ISDN
(cid:1) PPP được dùng với ISDN (Integrated Services
tốc độ cao
(cid:1) ISDN cho các nhu cầu thiết lập kết nối nhanh và
liên kết diện rộng khác
(cid:1) ISDN là chọn lựa cho một backup link cho các
khi cần truyền data
(cid:1) DDR giữ ISDN ở trạng thái không kết nối cho đến
10
Các thành phần của ISDN
(cid:1) Terminal: có 2 loại TE1
(ISDN-compliant terminals) và TE2 (cid:1) TA (terminal adapter) (cid:1) NT(network termination device): NT1 (thực hiện chức năng lớp vật lý) và NT2 (thực hiện chức năng lớp 2 &3)
11
Cable modem Remote Access
(cid:1) Cable modem dùng qua cáp đồng trục trong hệ thống
truyền hình cáp
(cid:1) HFC (hybrid fiber/coax) system cho phép user kết nối PC hay LAN nhỏ vào cáp đồng trục và truy xuất Internet hay truy nhập vào mạng riêng của doanh nghiệp bằng VPN software.
(cid:1) Nhà cung cấp dịch vụ vận hành một CMTS (Cable Modem Termination System) cung cấp kết nối tốc độ cao cho nhiều modem cáp, Cisco Universal Broadband Router có thể làm chức năng này.
12
13
Digital Subscriber Line Remote Access
thường
(cid:1) Công nghệ băng rộng qua cáp điện thoại thông
– ISDN DSL, 128 Kbps, 4.6 km đến 5.5 km – HDSL, HDSL-2 , tốc độ cấp T1 hay E1, 4.6 km – G.SHDSL, kết hợp SDSL và HDSL-2 – VDSL, Long Reach Ethernet dùng VDSL
(cid:1) Các DSL service thông thường
14
PPP và ADSL
– PPP over ATM (PPPoA): thiết bị phía user đóng vai trò ATM-to-WAN router, PPP session là giữa router và access concentrator lớp 3
– PPP over Ethernet (PPPoE): thiết bị phía user đóng vai trò Ethernet-to-WAN bridge. PPP frame được gói trong MAC frame và được bắc cầu đến gateway router của nhà cung cấp dịch vụ
(cid:1) ADSL dùng hai dạng hiện thực với PPP:
15
CHỌN THIẾT BỊ REMOTE ACCESS
(cid:1) Chọn thiết bị cho remote user (cid:1) Chọn thiết bị cho trung tâm dịch vụ từ xa (cid:1) Remote user bao gồm các cá nhân làm việc tại nhà, các nhân viên ở chi nhánh, người dùng di động
(cid:1) Trung tâm dịch vụ từ xa là bản doanh của công ty hay tập đoàn, core network của một trường đại học với nhiều campus, một trang thiết bị y khoa nối đến các phòng mạch của Bác sĩ,...
16
Chọn thiết bị cho remote user
(cid:1) Nếu user kết nối đến trung tâm <2 giờ/ngày không cần tốc độ cao có thể dùng analog modem, cần tốc độ cao dùng cable modem hay DSL modem
bao gồm cable hay DSL modem, cả ISDN module
(cid:1) Để hỗ trợ kết nối nhiều user dùng router, router
17
Các tiêu chuẩn chọn router cho remote user (1)
(cid:1) Đặc tính an ninh, VPN (cid:1) Hỗ trợ NAT (cid:1) Tin cậy (cid:1) Giá thành (cid:1) Dễ cấu hình và quản lý (cid:1) Hỗ trợ một hay nhiều Ethernet interface (cid:1) Tích hợp wireless access point càng tốt (cid:1) Hỗ trợ các giao thức IP, IPX, AppleTalk...
18
Các tiêu chuẩn chọn router cho remote user (2)
compression
(cid:1) Hỗ trợ các đặc tính DDR, snapshot routing,
có thể chia sẻ băng thông với data
(cid:1) Hỗ trợ tập hợp kênh (ISDN router) (cid:1) Hỗ trợ analog phone line để điện thoại và fax
dụng khác có nhu cầu QoS
(cid:1) Hỗ trợ các đặc tính QoS cho VoIP và các ứng
19
Chọn thiết bị cho trung tâm
(cid:1) Với các remote user dùng công nghệ cũ, remote access
server cung cấp 5 dịch vụ: – Remote node service: cho phép kết nối như nối trực tiếp – Terminal service: dịch vụ đầu cuối chuẩn như Telnet, rlogin (UNIX), LAT (Local Area Transport), PAD (X.25 packet assembler/disassembler), TN3270 (giao thức đầu cuối ảo cho các ứng dụng trên IBM 3270)
– Protocol-translation service: chuyển đổi giữa các chuẩn đầu
cuối
– Asynchronous routing service: cấp chức năng định tuyến lớp 3
để kết nối các LAN qua một liên kết bất đồng bộ
– Dialout service: cho phép các LAN user chia sẻ access-server
20
modem
Tiêu chuẩn chọn remote access server
Multichassis MPPP
(cid:1) Hỗ trợ 5 dịch vụ nói trên (cid:1) Số port và chủng loại (cid:1) Hỗ trợ các modem và ISDN, Voice,
multicast
(cid:1) Hỗ trợ DHCP, NAT và PAT (cid:1) Hỗ trợ các tính năng multimedia, RSVP và IP
21
Dùng bộ tập trung VPN (VPN concentrator) (1)
(cid:1) Các router và firewall tại trung tâm đóng vai trò là điểm
kết cuối cho các VPN tunnel --> nguy cơ cổ chai.
(cid:1) Nếu số user đồng thời lên đến 100 hay traffic vượt quá 4
Mbps nên dùng VPN concentrator.
(cid:1) VPN concentrator có ít nhất 2 giao tiếp Ethernet tốc độ
cao
(cid:1) Khi chọn VPN concentrator cần chú ý tương thích với
VPN software phía user.
(cid:1) Số tunnel kết nối đồng thời và tổng forwarding traffic
22
Dùng bộ tập trung VPN (VPN concentrator) (2)
(cid:1) Các giao thức IPSec, PPTP và L2TP (cid:1) Các giao thức mật mã 56-bit DES, 168-bit Triple DES, Microsoft
Encryption (MPPE), 40- 128-bit RC4, và 128, 192-, và 256-bit AES
(cid:1) Các giải thuật xác thực: Message Digest 5 (MD5), Secure Hash Algorithm (SHA-1), Hashed Message Authentication Coding
(HMAC) với MD5, HMAC với SHA-1
(cid:1) Các giao thức hệ thống như DNS, DHCP, RADIUS, Kerberos,
LDAP
(cid:1) Các giao thức định tuyến (cid:1) Quản lý mạng dùng Secure Shell hay HTTP với Secure Socket
Layer
23
CHỌN CÔNG NGHỆ WAN
(cid:1) Các hệ thống cung ứng WAN bandwidth (cid:1) Mạng cáp quang đồng bộ (SONET) (cid:1) Frame Relay (cid:1) ATM
24
Các hệ thống cung ứng WAN bandwidth
(64Kbps), DS-1(1,544Mbps)
(cid:1) Các luồng số DS (Digital Stream), ví dụ DS-0
Kbps), E1 (2,048 Mbps)
(cid:1) Chuẩn châu Âu (E system), ví dụ E0 (64
(cid:1) Chuẩn SDH truyền số liệu qua cáp quang, STS (Synchronous Transport Signal), ví dụ STS-1 (51,84 Mbps), STS-3 (155,52 Mbps)
25
CHỌN ROUTER CHO WAN
campus
(cid:1) Cũng bao gồm các tiêu chuẩn chọn router cho
chọn loại có công suất mạnh, chú ý các router ở lớp trên trong mô hình phân cấp
(cid:1) Thông lượng và tính khả dụng phải cao (cid:1) Có đặc tính tối ưu sử dụng đường truyền (cid:1) Các router tập hợp traffic từ nhiều nơi cần
(cid:1) Chú ý các đặc tính QoS
26
CHỌN WAN SERVICE PROVIDER
(cid:1) Qui mô các công nghệ và dịch vụ được cấp (cid:1) Phạm vi địa lý (cid:1) Phẩm chất và độ tin cậy của mạng (cid:1) Mức độ an ninh (cid:1) Mức độ hỗ trợ kỹ thuật (cid:1) Xác suất tồn tại lâu dài (cid:1) Mức độ chăm sóc và cộng tác với khách hàng
27
Các đặc tính cần thẩm định để xác định mạng nội bộ của provider
(cid:1) Các tuyến vật lý (cid:1) Khả năng dự phòng (cid:1) Mức độ cộng tác với các provider khác để dự phòng (cid:1) Mức độ oversubscription (cid:1) Cơ chế phân phối băng thông cho QoS (cid:1) Chủng loại switch được dùng và các đặc tính phân
phối, tối ưu băng thông có sẵn của nó
(cid:1) Tần suất và nguyên nhân sự cố (cid:1) Các phương pháp bảo đảm an ninh (cid:1) Phương án khắc phục sự cố
28
Hợp đồng mức dịch vụ với provider
(cid:1) Service-Level-Agreement (SLA) (cid:1) Các câu hỏi cần quan tâm khi ký kết SLA:
– Giá thuê như thế nào? – Năng lực thi công như thế nào? – Có chứng chỉ ISO 9002? – Có cung cấp chương trình huấn luyện? – Có cung cấp cấu trúc, lộ trình giá thuê? – Cam kết đền bù như thế nào? – Ai là người trực tiếp chịu trách nhiệm giải quyết các sự cố và giải
đáp các khiếu nại.
– Mức độ khó khăn đối với thuê bao thông thường khi cung cấp và
tính cước các dịch vụ mới?
