ĐẠI HỌC QU Ố C GIA HÀ NỘI
KHO A CÔNG NGHỆ
N G U Y ỄN VIỆT AN H
QUẢN LÝ MÔ HÌNH MẠNG LONG-REACH ETHERNET
CỦA NHÀ CUNG CẤP DICH v u INTERNET
C hu yên n g ành: K ĩ thuậ t V ô tu y ến điện tử và T h ô n g tin liên lạc
M ã số: 2.0 7 .0 0
i p liHl) ' V í !! G;'i I
ì :
, h ' :
1
- ; V ỉ
LUÂN VĂN THAC s ĩ sị Ị r , fa I a
• 1 No Lũ clịẮ ^
NGƯỜI HƯỚNG DẪ N K HOA HỌC
TS. Vương Đạo Vy
HÀ NỘI 2003
CÁC CHỮ VIẾT TẤT
CPE Customer Prem ier Equipment
DMZ
Delimited Zone
DNS
Domain Name System
ICM P
Internet Control Message Protocol
ISO
International Organization for Standardization
ISP
Internet Service Provider
IXP
Internet Exchange Provider

LAN
Local Area Network
LRE
Long Reach Ethernet
NTP
Network Time Service
PSTN
Public Switched Telephone Network
RADIUS
Remote Authentication Dial-In User Service
RFC
Request of Comments
SNMP
Simple Network M anagem ent Protocol
TCP
Transmission Control Protocol
TCP/IP
Transmission Control Protocol/Internet Protocol
UDP
User Datagram Protocol
VLAN
Virtual Local Area Network
MỤC LỤC
CHƯƠNG 1: TỔNG QUAN VỀ QUẢN LÝ MẠNG
CỦA NHÀ CƯNG CẤP DỊCH v ụ INTERNET 1
1.1. Tổng quan về quản lý mạng 1
1.2. Quản lý mạng của nhà cung cấp dịch vụ Internet 2
CHƯƠNG 2: MÔ HÌNH MẠNG LONG-REACH ETHERNET
CỦA NHÀ CUNG CẤP DỊCH v ụ INTERNET


12
CHUƠNG 3: QUẢN LÝ MÔ HÌNH MẠNG LONG-REACH ETHERNET
CỦA NHÀ CUNG CẤP DỊCH v ụ INTERNET

17
3.1. Giới thiệu chung 17
3.2. Phán tích các phương pháp kỹ thuật quản lý mạng Long-Reach Ethernet

18
3.3. Phát triển các phương pháp bảo mật trên mô hình mạng Long-Reach Ethernet

20
3.3.1. Chuyển mạch LAN và Virtual Local Area Network

20
3.3.2. Quản lý danh sách truy cập 35
3.4. Chương trình quản lý bãng thông
42
3.5. Giải quyết yêu cầu của bài toán tính cước 57
CHUƠNG 4: KẾT LUẬN 82
4.1. Đánh giá kết quả 82
4.2. Đề xuất hướng nghiên cứu 83
TÀI LIỆU THAM KHẢO
.
84
MỞ ĐẦU
Hiện nay, sự phát triển các dịch vụ dựa trên Internet như tìm kiếm thông tin, trao đổi
thư điện tử, truyền dữ liệu dung lượng lớn, thương mại điện tử đã góp phần không
nhỏ đến sự phát triển của các quốc gia trên thế giới. Việt Nam cũng không phải là
một ngoại lệ. Nhưng để có thể đưa Việt Nam trở thành một quốc gia có các dịch vụ

trên Internet hấp dẫn như các nước trong khu vực và trên thế giới, thì hạ tầng viễn
thông bắt buộc phải đủ mạnh và linh hoạt, tốc độ đường truyền phải cao mới đủ sức
đáp ứng được nhu cầu sử dụng dịch vụ Internet.
Theo số liệu thống kẻ về nhu cầu sử dụng các dịch vụ Internet tốc cao của các công
ty, cơ quan nhà nước, các công ty nước ngoài tại Việt Nam, khoảng 98% các công ty
này luôn m ong muốn Việt Nam cần có một cơ sở hạ tầng viễn thông tốt hơn để
nhằm đáp ứng rất nhiều các yêu cầu sử dụng Internet. Lý do là tính đến thời điểm
bây giờ, hầu hết các hệ thống truy cập các dịch vụ Internet tại Việt Nam phải thông
qua hệ thống điện thoại công cộng (PSTN).
Để đáp ứng một phần nhu cầu sử dụng dịch vụ Internet tốc độ cao của các công ty,
cơ quan nhà nước và các công ty nước ngoài tại Việt Nam, luận văn giới thiệu một
mô hình mạng mới đã và đang được thử nghiệm trên thế giới. Mô hình này có tên
gọi là Long-Reach Ethernet. Mô hình này cho phép kết nối không dây giữa các toà
nhà với nhau chứ không cần sử dụng hệ thống điện thoại thông thường. Việc vận
dụng và triển khai mô hình mạng này và các liên m ạng tại Việt Nam , đặc biệt tại Hà
Nội bước đầu đã cho kết quả rất khả quan trong việc cung cấp các đường kết nối
Internet đến cho người dùng. Đồng thời, với một nhà cung cấp dịch vụ Internet cụ
thể tại Việt Nam, việc cung cấp đường kết nối tốc độ cao này đổng nghĩa với việc
phải quản lý, kiểm soát được chất lượng dịch vụ và các thông số kỹ thuật của mạng,
nhằm đưa đến cho người dùng một đường kết nối Internet với các yêu cầu khắt khe
như độ ổn định của mạng, bảo mật dữ liệu trên mạng Điều đó dẫn đến việc phải
làm thế nào để tìm được các phương pháp quản lý mạng tối ưu phục vụ cho mạng
Long-Reach Ethernet này. Mục đích của luận văn là giới thiệu, tìm hiểu, và phát
triển các phương pháp để quản lý mạng, đáp ứng được các yêu cầu của mổ hình
mạng tốc độ cao ở trên.
Luận văn bao gồm bốn chương. Chương I là chương tổng quan, giới thiệu về các cấu
trúc mạng và sự khác nhau giữa việc quản lý các mô hình mạng này. Chương này
cũng giới thiệu cấu trúc mạng tổng quát nhìn từ phía nhà cung cấp dịch vụ Internet,
từ đó chỉ ra những yêu cầu cần thiết trong việc quản lý mạng đối với nhà cung cấp
dịch vụ Internet. Chương II giới thiệu một mô hình mạng cụ thể của nhà cung cấp

dịch vụ Internet cung cấp dịch vụ cho khách hàng. Chương III là chương trọng tâm,
được chia thành 4 phần, trình bày việc phát triển các kỹ thuật quản lý mạng cho mô
hình mới. Phần 1 so sánh mô hình cung cấp dịch vụ Internet hiện tại bằng đường
điện thoại công cộng của nhà cung cấp dịch vụ Internet với mô hình cung cấp dịch
vụ Internet tốc độ cao để tìm ra các phương pháp quản lý mô hình m ạng mới. Phần 2
trình bày các phương pháp bảo mật cho mô hình mạng này, bao gồm các kỹ thuật
quản lý danh sách truy cập, và mô hình mạng nội bộ ảo. Phần 3 và 4 đưa ra các yêu
cầu và giải quyết bài toán quản lý băng thông và bài toán tính cước. Chương IV là
kết luận của luận văn, tóm tắt các phương pháp kỹ thuật đã được phát triển để quản
lý mô hình Long-Reach Ethernet ứng dụng được trong thực tế, đồng thời đề xuất
nghiên cứu tiếp theo về những khía cạnh khác của mô hình này.
1
CHƯƠNG 1:
TỔNG QUAN VỂ QUẢN LÝ MẠNG CỦA
NHÀ CUNG CẤP DỊCH v ụ INTERNET
1.1. Tổng quan về quản lý mạng
Cụm từ “quản lý m ạng” có các định nghĩa rất khác nhau, với các thời kỳ lịch sử
khác nhau, và đặc biệt là với các m ô hình mạng khác nhau. Từ ngày đầu tiên khi
danh từ “mạng” ra đời, người ta nói đến mạng chỉ như là hai chiếc máy tính đơn lẻ
được kết nối với nhau theo m ột tiêu chuẩn nào đó, để hai máy tính này có thể chia
sẻ tài nguyên cho nhau, điều m à trước đây muốn chia sẻ tài nguyên hay dữ liệu, thì
người ta phải dùng một thiết bị lưu trữ như là đĩa m ềm để chuyển dữ liệu sang các
máy tính khác. Sau đó có các khái niệm về mạng lớn hơn, như là một mô hình các
máy tính kết nối với nhau trong cùng một trường đại học, hoặc cùng m ột công ty, để
các m áy tính có thể cùng lưu trữ, truy cập tài nguyên trên các m áy tính lớn, hoặc
nhiều m áy tính có thể chia sẻ m ột m áy in được kết nối với một m áy tính khác.
Khi các nhà khoa học phát minh ra Internet, lúc đó m ạng được hiểu rộng hơn là
mạng của các m ạng, tức là các mạng ở rất nhiều nơi trên thế giới có thể kết nối với
nhau bàng các đường kết nối theo cùng một giao thức kết nối. Trên các mạng này,
các khái niệm và các dịch vụ khác được áp dụng để phục vụ cho nhu cầu ngày càng

tãng của người sử dụng ở khắp nơi trên th ế giới, thí dụ các dịch vụ tìm kiếm thông
tin trên Internet, dịch vụ gửi nhận thư điện tử, hoặc các dịch vụ truyền dữ liệu, vì thế
khái niệm m ạng ngày càng trở nên phức tạp và rất khó định nghĩa. Đ iều đó đã được
các nhà khoa học nhận xét rằng: “Không có một chính phủ nào, công ty, tổ chức nào
sở hữu hoặc quản lý được toàn bộ các tài nguyên trên Internet” . Rõ ràng m ạng là
một khái niệm vô cùng rộng lớn, trải khắp các quốc gia trên thế giới, bao gồm tất cả
những thiết bị viễn thông, m áy chủ, m áy tính trạm kết nối trực tiếp với nhau thông
qua các đường kết nối tốc độ cao.
2
Như vậy, việc quản lý m ạng cũng có rất nhiều cách hiểu khác nhau, cũng như có rất
nhiều phạm vi khác nhau để có thể định nghĩa chính xác được công việc quản lý
mạng. Đối với một trường học, hay m ột công ty nào đó, việc quản lý mạng chỉ là
quản lý các tài nguyên hiện có trên các máy chủ, quản lý người dùng sử dụng các
nguồn tài nguyên đó. Còn đối với các quốc gia, hoặc các nhà cung cấp dịch vụ
Internet lớn, thì công việc quản lý mạng được hiểu là quản lý toàn bộ tài nguyên
mạng, tài nguyên về vùng địa chỉ IP được cấp phát, cũng như là toàn bộ các dữ liệu
trên mạng đó. R iêng đối với công việc quản lý mạng của nhà cung cấp dịch vụ
Internet, thì công việc quản lý mạng còn bao gồm quản lý người dùng truy cập từ xa
vào hệ thống m ạng đó, quản lý việc cấp phát, phân lớp địa chỉ IP cho người dùng,
quản lý hệ thống tính cước [10]
1.2. Quản lý mạng của nhà cung cấp dịch vụ Internet
Nhà cung cấp dịch vụ Internet là một công ty có khả năng cung cấp mọi dịch vụ liên
quan đến các hoạt động trên Internet. Tuỳ vào từng quốc gia mà nhà cung cấp dịch
vụ có thể cung cấp được loại dịch vụ nào. Ví dụ như ở Mỹ và các nước châu Âu, các
dịch vụ trên Internet rất phát triển, và nhà cung cấp dịch vụ Internet có thể cung cấp
một cách đa dạng rất nhiều dịch vụ dựa trên Internet, ví dụ là dịch vụ tìm kiếm
thông tin, dịch vụ nhắn tin, dịch vụ ngân hàng trực tuyến, dịch vụ điện thoại qua
Internet. Còn với m ột số nước đang phát triển, tuy nhà cung cấp dịch vụ Internet có
thể cung cấp được tất cả các dịch vụ yêu cầu nhưng do các cơ sở hạ tầng, chính sách
của các quốc gia đó m à các dịch vụ Internet chỉ hạn chế ở m ột số loại như là dịch vụ

tìm kiếm thông tin trên Internet, dịch vụ thư điện tử, dịch vụ w ebsite Các hạn chế
về cơ sở hạ tầng của m ột số quốc gia đang phát triển như là hệ thống viễn thông,
mạng xương sống quốc gia, hệ thống tổng đài là nguyên nhân khiến cho các quốc
gia đó khống thể phát triển được các địch vụ cấp cao trên Internet như là điện thoại
qua Internet, hội thảo trực tuyến qua Internet, thương mại điện tử trên Internet
Hoặc do các chính sách của quốc gia đó không cho phép các dịch vụ trên Internet
cạnh tranh với các dịch vụ truyền thống làm cho một số dịch vụ trên Internet bị hạn
chế.
3
Vì vậy, đi sâu vào việc quản lý mạng của nhà cung cấp dịch vụ Internet, quản lý
mạng của một nhà cung cấp dịch vụ Internet ở một quốc gia nào đó cũng sẽ có các
cấp độ khác nhau. Ví dụ như là với một quốc gia phát triển, hệ thống truy cập từ xa
vào mạng Internet của nhà cung cấp dịch vụ là hệ thống cáp quang, còn với một
quốc gia đang phát triển, hệ thống truy cập từ xa vào hệ thống m ạng Internet chỉ
bằng hệ thống điện thoại công cộng. N hư vậy dẫn đến các phương pháp cũng như kỹ
thuật quản lý hệ thống truy cập từ xa của nhà cung cấp dịch vụ Internet cũng sẽ khác
nhau.
Cấu hình cơ bản của m ột nhà cung cấp dịch vụ Internet như sau:
Internet Service Provider -
Point
Of
Presence
(^Protocols/ports^
Controtfsecure
access
Internal
Infrastructure
Hình 1: Mỏ hình cơ bản của nhà cung cấp dịch vụ Internet
Mô hình ở phía nhà cung cấp dịch vụ bao gồm 2 phần:
■ Điểm truy cập (POP: Point of Presence)

■ Cơ sở hạ tầng bên trong (Internal Infrastructure)
Trong sơ đồ ở trên, người dùng kết nối vào nhà cung cấp dịch vụ Internet bằng mạng
điện thoại công cộng. V iệc truy cập giữa người dùng và điểm truy cập được điều
khiển và bảo mật. Còn cơ sở hạ tầng bên trong biểu diễn m ôi trường của nhà cung
cấp dịch vụ Internet, là nơi các dịch vụ chạy và các m áy chủ nằm trong đó. Các dịch
vụ trong cơ sở hạ tầng bên trong có thể là các dịch vụ cơ bản, các dịch vụ của cơ sở
hạ tầng, các dịch vụ giá trị gia tăng. Khi các thuê bao kết nối đến nhà cung cấp dịch
vụ Internet, họ có thể truy cập được các dịch vụ ở bên trong và ra Internet. [10]
Cấu trúc của POP:
POP là điểm truy cập, nơi mà các thuê bao kết nối đến nhà cung cấp dịch vụ Internet
thông qua m ạng điện thoại công cộng. POP đảm bảo rằng người sử dụng phải có
4
chứng thực và quyền hạn hợp lệ để truy cập vào các máy chủ của nhà cung cấp dịch
vụ Internet. Hình dưới mô tả cấu trúc của POP và chỉ ra các dịch vụ nào cần thiết
cho POP
DNS
LDAP
• —
NAS
DHCP
NTP
RADIUS
Hình 2: Các dịch vụ của POP (Point of Presence)
Các dịch vụ chạy ở POP chỉ là những dịch vụ của cơ sở hạ tầng. Tối thiểu, một nhà
cung cấp dịch vụ Internet phải có một số dịch vụ cơ bản như là DNS (dịch vụ phân
giải tên miền), DHCP (dịch vụ cấp phát địa chỉ IP động), RADIUS (Dịch vụ chứng
thực truy cập từ xa). Yêu cầu được đặt ra là tất cả các dịch vụ này phải được coi là
trong suốt đối với người sử dụng, tức là người sử dụng không cần biết là kiến trúc
mạng của nhà cung cấp dịch vụ Internet như thế nào.
Cấu trúc cơ sở ha táng:

Ở bên trong cơ sở hạ tầng, kiến trúc mạng được chia thành hai lớp, và việc truy cập
vào mỗi lớp này phải được bảo mật và kiểm soát bằng một tập hợp các máy chủ
tường lửa. Việc phân chia mạng thành nhiều lớp khác nhau sẽ làm đơn giản hoá quá
trình thiết kế hệ thống, đồng thời nhiều lớp làm việc cùng nhau tạo thành một hệ
thống phức tạp sẽ giúp cho quản lý hệ thống mạng và mở rộng mạng dễ dàng.
5
Kiến trúc của cơ sở hạ tầng được phân chia thành 7 lớp:
vrA QlOẹ,
High-speeơ
trunk(s)
High-speed
trunk(s)
D M Z Network
<:
1
c
Control/secure access
Services Network
Control/secure access
:>
Application Network
c
Controi/socure acccss
:>
Content Network
<:
Control/secure access
V /
Staging Network
V 7

Hình 3: Kiến trúc 7 lớp của cơ sở hạ tầng mạng
Mỗi lớp mạng có chức năng của riêng nó, và mỗi m ột dịch vụ được đặt trên một
hoặc nhiều lớp mạng, tuỳ thuộc vào chức năng của nó. Phụ thuộc vào chức năng của
dịch vụ, một dịch vụ chạy trên một hoặc nhiều lớp, kết quả tạo nên một cấu trúc
phức tạp tận dụng được mức độ bảo m ật và mức độ xử lý tối ưu. Đồng thời, việc chia
mạng thành các lớp khác nhau sẽ chia các vùng quảng bá và va chạm. Kiến trúc
mạng như vậy sẽ cô lập các đường đi không cần thiết, điều này làm tăng đáp ứng
của m ạng và giảm được độ trễ. Ví dụ, vì một lý do nào đó xuất hiện sự tràn các
thông tin quảng bá thì chỉ làm giảm sút hoạt động trong m ột lớp mạng, còn các lớp
mạng khác sẽ không bị ảnh hưởng.
Như vậy, việc phân lớp cơ sở hạ tầng của mạng có các ưu điểm sau:
■ Tăng hoạt động của mạng bằng cách phân chia các vùng quảng bá và va
cham
6
■ Tăng cường bảo mật thông qua việc phân chia các lớp với các mức độ bảo
mật của các máy chủ tường lửa khác nhau
■ Quản lý và chuẩn đoán lỗi tốt hơn thông qua việc hệ thống mạng đã chia
thành các lớp
Lớp đầu tiên của cơ sở hạ tầng mạng bao giờ cũng là vùng D M Z (de-militarized
zone). Vùng này là vùng chứa các dịch vụ cung cấp cho người sử dụng và được đặt
giữa nhà cung cấp dịch vụ Internet và người sử dụng. Vùng D M Z này ngăn cách
mạng bên trong được bảo mật và các mạng không được bảo mật khác (người dùng
Internet). Hình dưới đây mô tả một vùng DM Z cơ bản:
External DNS
(secondary)
DHCP
Relay Agent
NTP
RADIUS Mail Relay
News

Feeder
FTP
NAS
Cache
Gateways
Hình 4: Các thành phần của vùng DMZ (Delimited Zone)
Các dịch vụ chạy trong vùng DM Z thông thường là các dịch vụ dành cho người sử
dụng và là dịch vụ được truy cập trực tiếp từ Internet. Như vậy, do vấn đề bảo mật,
vùng DMZ này không bao giờ được giao tiếp trực tiếp với cơ sở hạ tầng mạng ở bên
trong của nhà cung cấp dịch vụ Internet.
Các dịch vụ POP thông thường được tích hợp vào trong vùng DM Z này, hoạt động
như hệ thống trung gian giữa nhà cung cấp dịch vụ Internet và Internet, nó cung cấp
các kênh kết nối m ở ra Internet, nhưng vẫn đảm bảo các truy cập bảo mật và có thể
điều khiển được đến các dịch vụ của nhà cung cấp.
7
Phần còn lại của kiến trúc cơ sở hạ tầng bao gồm các lớp như sau:
■ Lớp mạng ứng dụng (Application Network): Lớp mạng này chứa các chương
trình ứng dụng của mạng, thông thường kết hợp với lớp mạng nội dung để
truy xuất dữ liệu, phục vụ cho các yêu cầu tìm kiếm thông tin dịch vụ trên
Internet. Với các nhà cung cấp dịch vụ Internet nhỏ, có thể không cần lớp
mạng này nếu như các nội dung trang Web của họ là tĩnh và không cần các
ứng dụng dành cho máy chủ. Lớp mạng này thực sự cần thiết nếu nhà cung
cấp dịch vụ Internet cần cung cấp các dịch vụ liên quan đến các chương trình
ứng dụng
■ Lớp mạng nội dung (Content Network): Lớp mạng này được coi là phần quan
trọng nhất của nhà cung cấp dịch vụ Internet vì tất cả thổng tin, cơ sở dữ liệu
được đặt tại lớp mạng này, chính vì vậy lớp mạng này phải được thiết kế để
có thể được bảo mật cao nhất. Như vây, yêu cầu về thiết kế cơ sở hạ tầng
mạng sao cho không có máy chủ nào hoặc dịch vụ nào trên Internet được
phép giao tiếp trực tiếp với các máy chủ và dịch vụ nằm trong lớp mạng này.

Tập trung thông tin và dữ liệu trong lớp mạng này sẽ giúp cho việc quản lý
mạng tốt hơn và bảo mật hơn. Dưới đây là m ột số dịch vụ được đặt trong lớp
mạng này:
M ailStore
- -
NFS
Relational
Database
Billing
Int/Ext DNS
LDAP
System
(primary)
(master)
Hình 5: Các dịch vụ trong lớp mạng nội dung
■ Lớp m ạng “staging” : Lớp mạng này được các nhà cung cấp dịch vụ Internet
sử dụng để cài đặt, cấu hình, phát triển và chạy thử dịch vụ. Trước khi một
dịch vụ nào đó được đưa ra cho người sử dụng, cần phải được kiểm tra trước.
Lớp mạng này luôn luôn có hai vùng là vùng phát triển và vùng kiểm tra
8
Developing 1 Testing 1
Area
Area
Hình 6: Vùng phát triển và kiểm tra
■ Lớp mạng quản lý (M anagem ent Network): Lớp mạng này là một môi trường
bảo mật, được thiết kế riêng biệt cho hệ thống, cho mạng và quản lý bảo mật
cho nhà cung cấp dịch vụ Internet. Lớp mạng này luôn luôn được cấu hình
tách rời khỏi hệ thống của người sử dụng, có nghĩa là lớp mạng này là một
môi trường quản trị riêng biệt, được ngăn cách bởi các chính sách truy cập
bảo mật. Theo kiến trúc của cơ sở hạ tầng, nhà cung cấp dịch vụ Internet có

thể phán tách được lớp mạng quản lý này bằng các bộ chuyển mạch mạng
nằm đằng sau các tường lửa bảo mật. Cần hạn chế việc truy cập vào vùng này
bằng các quyền quản lý mạng đặc biệt.
Hình 7: Các thành phần của vùng quản lý
■ Lớp mạng dự phòng (Backup Network): Nhà cung cấp dịch vụ Internet cần
phải xây dựng lớp mạng dự phòng trong các trường hợp cần thiết, ví dụ như
trong các trường hợp hệ thống hỏng hóc. Đối với nhà cung cấp dịch vụ
Internet nhỏ thì có thể không cần lớp mạng dự phòng hoặc đặt lớp mạng dự
phòng này ở bên trong lớp mạng quản lý. Còn đối với nhà cung cấp dịch vụ
Internet vừa và lớn thì bắt buộc phải có lớp mạng dự phòng này.
Dinh nghĩa các thành phán của mang:
Sau khi đã xác định được kiến trúc của mạng, nhà cung cấp dịch vụ Internet cần
định nghĩa các thành phần của mạng (các thiết bị mạng như là bộ định tuyến, bộ
chuyển mạch, các hệ thống cân bằng tải ) phù hợp nhất với các dịch vụ và thiết kế
logic tổng quát.
9
Như đã nói ở phần trên, phương pháp luận để thiết kế m ạng cho nhà cung cấp dịch
vụ Internet cho thấy rằng m ột hệ thống m ạng tổng quát cần phải được phân chia
thành một kiến trúc N lớp có thứ bậc. Mỗi lớp trong mô hình có các chức năng độc
lập với chức năng của các lớp khác. Tuy nhiên, các lớp phải được thiết kế sao cho
chúng được tương thích với nhau và hỗ trợ hoàn toàn cho nhau. Mỗi lớp thành phần
của m ạng cung cấp được các chức năng cần thiết cho mạng. Các lớp này không cần
khai báo như các thực thể vật lý riêng biệt nhau. M ỗi lớp có thể được khai báo với sự
kết hợp của các thiết bị chuyển mạch lớp 2 và các thiết bị định tuyến của lớp 3.
Thông thường, m ột mô hình m ạng phân lớp có ba lớp như sau:
Hình 8: Mô hình mạng đuợc phân thành 3 lớp
Lớp lõi (core layer) cung cấp sự liên kết tối ưu giữa các vị trí khác nhau. Thông
thường lớp này lớp xương sống chuyển m ạch tốc độ cao của mạng, và nó có các đặc
điểm sau:
■ Độ tin cậy

■ Độ dư thừa
■ Đ ộ dung lỗi
■ Đ ộ trễ thấp
Lớp này chủ yếu được dùng để liên kết các các vùng xa nhau về m ặt địa lý, kết nối
các trung tâm dữ liệu hoặc các trung tâm điều khiển mạng.
10
Lớp phân phối (distribution layer) của mạng là điểm phân định ranh giới giữa lớp lõi
(core layer) và lớp truy cập (access layer). Lớp này có nhiều vai trò như là:
■ Chính sách (Policy)
■ Bảo mật
■ Phân định ranh giới giữa các giao thức định tuyến động và tĩnh
■ Định tuyến giữa các m ạng nội bộ ảo (VLAN: Virtual Local Area Network)
■ Phân chia các vùng quảng bá và va chạm
Lóp phân phối này mô tả việc phân chia các dịch vụ mạng đến các VLAN ở trong
môi trường mạng. Lớp này xác định vị trí của xương sống mạng và thông thường là
giao diện quang (FDDI: fiber distributed data interface), Fast Ethernet, và Gigabit
Ethernet.
Lớp truy cập (access layer) luôn luôn chứa một hoặc nhiều VLAN để cung cấp việc
truy cập vào các dịch vụ mạng. Lớp truy cập này là nơi hầu hết tất cả hệ thống kết
nối đến mạng, thông thường là Fast Ethernet, Gigabit Ethernet, FDDI. Trong môi
trường mạng như là các nhà cung cấp dịch vụ Internet bao gồm nhiều mạng công ty,
hoặc doanh nghiệp, lớp truy cập thông thường là nơi các máy chủ W eb, thư điện tử,
máy chủ tường lửa kết nối vào. Chức năng chủ yếu của lớp truy cập này là kết nối
nhiều mạng nội bộ tới lớp phân phối (distribution layer), cung cấp việc phân chia
mạng một cách logic, và cách ly các giao dịch quảng bá giữa giữa các vùng đã phản
chia. Các lớp truy cập ở đây được hiểu là các switch và các môi trường chia sẻ băng
thông. [10]
Kết luân:
Phần trên đề cập đến khái niệm về quản lý mạng, đồng thời so sánh phạm vi của
công việc quản lý mạng, từ một mạng đơn giản như mạng được hình thành từ vài

m áy tính trong một văn phòng, đến những mạng cực kỳ phức tạp như mạng của nhà
cung cấp dịch vụ Internet. Với m ô hình mạng của nhà cung cấp dịch vụ Internet, do
có các đặc điểm riêng về các thiết bị viễn thông trên mạng cũng như các dịch vụ
mạng mà ta có thể tính toán các phương pháp cụ thể để quản lý mạng thích hợp.
11
Phần tiếp theo là một mô hình mạng cụ thể của một nhà cung cấp dịch vụ Internet
và các đặc điểm chính của mạng này, trên cơ sở đó xem xét các phương pháp hiệu
quả để quản lý mô hình mạng đó.
12
CHƯƠNG 2:
MÔ HÌNH MẠNG LONG-REACH ETHERNET
CỦA NHÀ CƯNG CẤP DỊCH v ụ INTERNET
Như đã thấy ở phần trên, ta có thể nói rằng mô hình mạng của m ột nhà cung cấp
dịch vụ Internet quy mô vừa và lớn là khá phức tạp. Mồ hình mạng như vậy bao gồm
tất cả các lớp, từ lớp hạ tầng truyền thông đến cấu trúc các máy chủ dịch vụ, hoặc
đến các dịch vụ cung cấp cho người dùng. Bất kỳ mô hình mạng nào, dù đơn giản
hay phức tạp cũng phải thoả mãn một mục tiêu cung cấp một cách tốt nhất các dịch
vụ cho người dùng. Dưới đây là một mô hình mạng cụ thể, được phát triển từ kiến
trúc mạng m ở của nhà cung cấp dịch vụ Internet, có tên gọi là Long-Reach Ethernet
(LRE). Đặc điểm nổi bật của mô hình LRE là không sử dụng m ạng điện thoại công
cộng để truy cập từ xa mà dùng hệ thống thu phát không dây và hệ thống đường
điện thoại (không cần tín hiệu) trong các toà nhà để truy cập mạng với tốc độ cao.
Kiến trúc của mô hình truy cập từ xa gồm 2 thành phần:
a. Sử dụng đường truyền viba để kết nối mạng giữa các toà nhà với nhau
Anten
định hướng
Nhà cung cấp
dịch vụ Internet
Khách hàng
13

Amen
da hướng
Khách hàng
Hình 9: sử dụng viba két nòi mạng giữa các toà nhà
Trong mô hình này, tại nhà cung cấp dịch vụ Internet có đặt một thiết bị thu phát
viba, đồng thời trên đỉnh của những toà nhà của người sử dụng cũng đật thiết bị thu
phát như vậy. Tốc độ kết nối cao nhất của hai anten này là 1 lM bps, và khoảng cách
tối đa giữa hai anten có thể đạt được là 40km.
14
b. Kết nối Long-Reach Ethm et ở trong toà nhà: Kết nối vật lý ở bên trong toà nhà
như sau:
CPE
CPE
CPE
CPE
CPE CPE
CPE
CPE CPE CPE
CPE CPE
Telephone Line
**5 t o t * ,/<1133
Bridge RLE Switch
Hình 10: Kết nối Long-Reach Ethernet ở bén trong toà nhà
Dữ liệu sau khi nhận được từ thiết bị truyền dẫn viba (cụ thể ở đây là chảo, hoặc
anten đa hướng) được đưa tới một brigde. Brigde này có nhiệm vụ chuyển đổi tín
hiệu viba thành tín hiệu chuẩn Ethernet và đưa vào LRE Switch. Sau đó LRE Switch
chuyển tín hiệu này vào Splitter. Thiết bị này cho phép sử dụng đường dây điện
thoại vật lý để truyền dữ liệu tốc độ cao. ờ cuối các đường điện thoại vật lý này được
đấu nối với m odem LRE 575 CPE cho phép tách đường thoại riêng và đường dữ liệu
riêng. Như vậy, với kỹ thuật này, người dùng có thể vừa sử dụng điện thoại đấu nối

với tổng đài PBX vừa có thể sử dụng Internet tốc độ cao. M odem LRE 575 CPE có
giao diện RJ45 chuẩn, cho phép người dùng kết nối trực tiếp với mạng máy tính
trong văn phòng. Như vậy, tuỳ theo số cổng của LRE Switch mà có thể đổng thời
kết nối được bao nhiêu vãn phòng với Internet. Thông thường số cổng của LRE
Switch là 24 hoặc 48 cổng, suy ra có thể cung cấp dịch vụ Internet tốc độ cao cho tối
đa 24 hoặc 48 khách hàng. Điều này hết sức thuận lợi cho người dùng vì tận dụng
được mạng điện thoại sẵn có của toà nhà, chứ không phải đấu nối thêm bất kỳ một
đường cáp riêng nào nữa. [2]
15
Về phương diện kết nối thiết bị, ta có mô hình như sau:
Nhà cung cấp
dịch vụ Internet
Hình 11: Các thiết bị kết nối viba
Với mô hình này, một nhà cung cấp dịch vụ Internet có thể sử dụng khoảng không
gian và các nhà cao tầng để cung cấp dịch vụ Internet tốc độ cao tới chính những
người sử dụng trong toà nhà đó. Phân tích nhu cầu sử dụng dịch vụ Internet tốc độ
cao thấy rằng: Chín mươi phần trăm doanh nghiệp, hoặc công ty đều mong muốn sử
dụng đường kết nối Internet tốc độ cao. Hiện tại khoảng năm mươi phần trăm số
doanh nghiệp này đang có trụ sở tại các khu nhà cao tầng và sô' lượng này không
ngừng tãng lên.
Song song với bài toán xây dựng mô hình ở trên, một vấn đề quan trọng là làm thế
nào để quản lý được m ột cách toàn diện và chặt chẽ toàn bộ hệ thống mạng này,
nhằm làm thoả mãn mọi yêu cầu đặt ra của khách hàng. Đồng thời, với bất kỳ một
nhà cung cấp dịch vụ Internet nào, vấn đề tối ưu hoá, độ ổn định và bảo mật luôn
16
luôn được đặt lên hàng đầu. Đây cũng chính là mục đích nghiên cứu của luận văn
CHƯƠNG 3:
QUẢN LÝ MÔ HÌNH MẠNG LONG-REACH ETHERNET
CỦA NHÀ CƯNG CẤP DỊCH v ụ INTERNET
3.1. Giới thiệu chung

Như đã đề cập đến ở chương I, công việc quản lý một hệ thống m ạng thường là hết
sức khó khăn. Độ phức tạp của việc quản lý một hệ thống m ạng phụ thuộc vào mô
hình, yêu cầu của hệ thống m ạng đó đưa ra. Trong thời đại công nghệ thông tin, việc
một công ty có kinh doanh hoặc hoạt động hiệu quả haý không hoàn toàn phụ thuộc
vào việc quản lý hệ thống đó.
Phân tích mô hình hiện nay của nhà cung cấp dịch vụ Internet qua hệ thống mạng
điện thoại công cộng, ta thấy như sau:
• Vì toàn bộ người dùng truy cập vào hệ thống mạng bằng kết nối từ xa, như
vậy vấn đề quản lý m odule truy cập từ xa là quan trọng hàng đầu. Với những
nhà cung cấp dịch vụ có vài chục nghìn đến hàng trăm nghìn khách hàng, hệ
thống truy cập từ xa này phải luôn luôn đảm bảo online 24/24. Đ ồng thời, các
chương trình được lập sẵn trên hệ thống truy cập từ xa này phải hoạt động
chính xác, để có thể chứng thực được tài khoản của người dùng, đồng thời
phân tích được thời gian vào, ra để tính được cước cho khách hàng khi truy
cập. Đ iều này dẫn đến bài toán tính cước là cực kỳ phức tạp.
• Khi đã truy cập được vào hệ thống, các yêu cầu truy cập của khách hàng phải
luôn luôn được đảm bảo đáp ứng với tốc độ cao. V í dụ với dịch vụ thư điện
tử, hệ thống m áy chủ thư điện tử phải đảm bảo có thể cùng một lúc chấp
nhận khoảng hai nghìn đến ba nghìn kết nối đồng thời để hoạt động các giao
dịch về thư điện tử. Như vậy, hệ thống máy chủ thư điện tử của nhà cung cấp
dịch vụ Internet phải được quản lý rất tốt, đồng thời công việc quản lý sao lưu
thư cũng hết sức quan trọng cho các yêu cầu trong tương lai.
18
• Với những yêu cầu khác, đòi hỏi các thiết bị viễn thông trên hệ thống mạng
phải hoạt động chính xác để có thể định tuyến được toàn bộ đường đi trên
mạng Internet, đổng thời để tối ưu đường truyền và tăng tốc độ truy cập, bài
toán tìm đường ngắn nhất cũng được tính toán rất kỹ lưỡng.
• Trong trường hợp dự phòng, nếu hệ thống hiện tại của nhà cung cấp dịch vụ
bị lỗi, thì yêu cầu hàng đầu là phải có một cơ cấu backup chạy song hành để
đảm bảo các giao dịch trên mạng không bị gián đoạn. Như vậy, người quản lý

phải hiểu rõ được nguyên lý hoạt động của hệ thống chạy trong chế độ dự
phòng để đảm bảo mạng hoạt động 24/24
• Nhà cung cấp dịch vụ Internet luôn luôn đặt yêu cầu bảo mât lên hàng đầu.
Nhà quản lý mạng phải hiểu rất rõ về các hộ thống, cấu trúc mạng được bảo
mật để có thể đối đầu với các hacker trên thế giới. [10]
3.2. Phân tích các phương pháp kỹ thuật quản lý mạng Long-Reach
Ethernet
Trong chương II, ta thấy rằng mô hình mạng Long-Reach Ethernet có các tính chất
riêng của một mô hình mạng tốc độ cao, vì vậy việc quản lý mô hình mạng này có
những điểm khác biệt so với mô hình cung cấp dịch vụ Internet thông thường qua hệ
thống điện thoại công cộng:
1. M ô hình cung cấp dịch vụ Internet qua hệ thống điện thoại công cộng sử dụng hệ
thống điện thoại của bưu điện để kết nối modem đến nhà cung cấp dịch vụ
Internet. Như vậy khi người dùng có nhu cầu sử dụng Internet mới kết nối
modem để truy cập mạng. Nhà cung cấp dịch vụ Internet phải quản lý được số
lượng đường điện thoại kết nối đến máy chủ truy cập từ xa, đồng thời quản lý
được số lượng địa chỉ IP động cấp phát trên các cổng modem cũng như cấu hình
của các cổng modem máy chủ quản lý truy cập từ xa. Còn đối với mô hình mạng
Long-Reach Ethernet, do toàn bộ người dùng được đấu nối vào các hệ thống
switch bằng đường dây điện thoại (không có tín hiệu điện thoại) chứ không phải
19
hệ thống truy cập từ xa nên phải quản lý được các cổng kết nối trên switch và
các kỹ thuật chuyển mạch trên đó.
2. Đối với mô hình sử dụng dịch vụ Internet bằng hệ thống điện thoại công cộng,
giao thức được sử dụng để kết nối giữa người dùng và nhà cung cấp dịch vụ
Internet là chuẩn ppp (Point-to-Point Protocol) chồng giao thức TCP/TP. Còn đối
với mô hình Long-Reach Ethernet, do người dùng được đấu nối vào switch, nên
việc truy cập của người dùng sử dụng mô hình này là kết nối bằng Ethernet (tiêu
chuẩn 802.3) với giao thức TCP/IP. Do kết nối bằng Ethernet và đấu chung vào
các cổng trên svvtich nên cần quản lý việc truy cập dữ liệu giữa các cổng switch

với nhau.
3. Trong mô hình dịch vụ Internet qua hệ thống mạng điện thoại công cộng, người
dùng không phải là kết nối 24/24, đồng thời được cấp phát IP động, nên khả
nãng máy tính của người dùng bị tấn công trên mạng Internet là rất nhỏ. Do với
mô hình mạng tốc độ cao Long-Reach Ethernet, máy chủ của người dùng được
cấp phát các giải IP thật cỏ' định, đổng thời kết nối của các máy chủ này trên
mạng Internet là 24/24, như vậy vấn đề bảo mật, chống tấn công từ Internet đến
người dùng phải được coi trọng.
4. Với mô hình dịch vụ Internet qua hệ thống tổng đài điên thoại, nên tốc độ tối đa
của người dùng kết nối Internet là 56Kbps. Ngược lại, theo quy định của các
đường truyền dữ liệu tốc độ cao, người dùng sử dụng đường kết nối Internet với
các tốc độ N*64Kbps. Đổng thời, do đường kết nối này là đường kết nối 24/24,
nên việc quản lý hiệu quả băng thông của người dùng là rất quan trọng.
5. Trong mô hình dịch vụ Internet qua mạng điện thoại công cộng, nhà cung cấp có
thể tính được cước của người dùng kết nối vào mạng bằng cách tính toán các
thông số liên quan đến thời gian kết nối và ngắt kết nối của người dùng từ máy
chủ quản lý truy cập từ xa. Còn đối với mô hình mạng Long-Reach Ethernet,
người dùng sử dụng đường kết nối Internet kết nối 24/24 vào hộ thống mạng, nên
công việc quản lý truy cập của người dùng theo thời gian truy cập là khó khăn,
20
suy ra việc giải các yêu cầu của bài toán tính cước như là tính cước theo thời gian
truy cập, tính cước theo dung lượng truy cập là khó khăn.
3.3. Phát triển các phương pháp bảo mật trên mô hình mạng Long-Reach
Ethernet
3.3.1. Chuyển m ạch LAN và V irtual Local Area Netw ork
Chuyển mach LA N :
Khi nhu cầu sử dụng mạng ngày càng tăng, thì nhu cầu trao đổi dữ liệu trên mạng
ngày càng nhiều. Vì vậy các phương pháp kết nối mạng LAN trước đây theo kiểu
hub không thể đáp ứng được tối đa nhu cầu của người dùng. Bản chất của kiểu nối
mạng trước đây là, nếu một máy trạm trong mạng gửi nhận dữ liệu, nó phải gửi các

khung dữ liệu đến tất cả các cổng trên mạng LAN, như vậy sẽ làm tắc nghẽn đường
truyền.
Ịshared Seg
ment
LAN Switch
Hình 12: Mỏ hình chuyển mạch LAN
Ưu điểm của chuyển mạch LAN là tránh được các dữ liệu dư thừa khi truyền trên
mạng bằng cách tạo ra các bảng chuyển tiếp giống như bảng định tuyến trên bộ định
tuyến, những thông tin lưu trữ trong bảng chuyển tiếp của switch là địa chỉ MAC
của card mạng chứ không phải là thông tin về địa chỉ IP. [7]