Vast Campus

I. MỤC TIÊU DỰ ÁN

Dự án Xây dựng hạ tầng cáp quang mạng Campus mới của Viện KHCNVN được Chủ tịch Viện giao cho Trung tâm Tin học thực hiện trong 02 năm (2010 – 2011).

Mục tiêu của dự án là xây dựng mới hạ tầng mạng cáp quang trục chính tại Khu nghiên cứu Nghĩa Đô để sẵn sàng cung cấp các dịch vụ mạng tốt nhất, tiên tiến nhất phục vụ công tác tin học hoá quản lý hành chính và phục vụ nghiên cứu khoa học của Viện KHCNVN.

II. PHƯƠNG ÁN KỸ THUẬT VÀ CÔNG NGHỆ

SƠ ĐỒ MÔ HÌNH CÁP QUANG MẠNG CAMPUS MỚI CỦA VIỆN KHCNVN

- Hệ thống mạng máy tính tại Khu nghiên cứu Nghĩa Đô được xây dựng theo mô hình quản lý tập trung.

- Tất cả các hệ thống mạng LAN riêng biệt của từng toà nhà (đơn vị trực thuộc) trong Khu nghiên cứu Nghĩa Đô đều được kết nối về Trung tâm mạng của Viện KHCNVN (VAST NOC).

- Hạ tầng mạng tại Khu nghiên cứu Nghĩa Đô được kết nối bằng cáp quang đơn mốt, hỗ trợ tốc độ truyền dẫn <= 10Gbps.

- Hệ thống mạng đáp ứng phân phối các dịch vụ tối ưu cho người sử dụng, nhu cầu về hoạt động và trao đổi số liệu, thông tin lớn, nhu cầu xử lý dữ liệu lớn của các ứng dụng đang chạy.

- Đảm bảo tính an ninh, ổn định, bảo mật tốt đối với các dịch vụ và dữ liệu quan trọng chạy trên mạng, có tính dự phòng, đáp ứng được khi có sự cố về truyền thông và thiết bị xảy ra, có khả năng quản lý và theo dõi để đảm bảo chắc chắn sự hoạt động tin cậy và tính sẵn sàng của các tài nguyên mạng.

- Có cấu trúc và phân lớp rõ ràng các lớp mạng để dễ dàng trong việc quản lý và mở rộng sau này, tuân theo mô hình 3 lớp (lớp trục, lớp phân phối, lớp truy nhập) để đáp ứng được các yêu cầu đặc thù cho từng lớp, dễ dàng dự đoán sửa lỗi, mở rộng, hỗ trợ các giao thức khác nhau tại các lớp khác nhau.

- Mạng phải có tính mở: Mạng phải đáp ứng được các thay đổi về mở rộng trong tương lai, với các thay đổi như thêm mới các mạng nhỏ, nâng cấp băng thông. Hệ thống mạng sẵn sàng hỗ trợ các dạng dịch vụ sau:

+ Các dịch vụ cơ bản như Internet, E-mail, chia sẻ file,…

+ Đảm bảo an toàn cho mạng dữ liệu nội bộ.

+ Khai thác, sử dụng các hệ thống thông tin quản lý của Viện.

+ Hệ thống giám sát hình ảnh và cảnh báo.

+ Dịch vụ giao ban trực tuyến phục vụ Lãnh đạo Viện họp với các đơn vị trực thuộc.

+ Dịch vụ Hội nghị truyền hình trong và ngoài nước (Video Conferencing).

+ Hệ thống điện thoại trên nền IP (VoIP).

+ Hệ thống âm thanh công cộng (PA).

+ Học trực tuyến (E-learning).

+ Tính toán lưới (Grid Computing).

+ Khai thác tài nguyên trên các mạng chuyên dùng, tốc độ cao: VinaREN, CPnet.

Mô hình kết nối mạng hình sao (Star Topology) 

Từ VAST NOC chạy ngầm qua hệ thống cống bể các tuyến cáp quang tới các toà nhà trong khuôn viên Khu nghiên cứu Nghĩa Đô. Mỗi toà nhà sử dụng riêng một đôi cáp quang (có thế riêng một tuyến hoặc trung một tuyến với các tòa nhà lân cận khác). 

Ưu điểm:

+ Băng thông rộng.

+ Đầu tư thiết bị đầu cuối ít. 

+ Nếu xảy ra sự cố tại một hoặc vài toà nhà (thiết bị đầu cuối hỏng hoặc mất điện) thì cũng không ảnh hưởng đến mạng của các toà nhà khác cũng như toàn hệ thống.

Giải pháp quy hoạch mạng LAN

Quy hoạch mạng LAN sử dụng Virtual LAN (VLAN), đây là một trong những giải pháp có thể đáp ứng tốt những yêu cầu về một hệ thống mạng như thế với tính ổn định cao, đảm bảo độ an toàn bảo mật cho các dữ liệu nhạy cảm và quan trọng, cũng như tăng cường tối đa hiệu suất hoạt động cho hệ thống mạng nhưng lại đòi hỏi rất ít thiết bị hỗ trợ và có mức giá đầu tư rất hợp lý. 

Lợi ích của VLAN

Việc phân chia các VLAN đem lại một số lợi ích chính sau:

+ Giúp cho việc chuyển rời, thêm vào và thay đổi dễ dàng hơn

+ Giảm giá thành quản trị bao gồm cả việc di dời, thêm vào, và thay đổi các máy trạm đầu cuối

+ Cải tiến khả năng điều khiển broadcasts bằng cách giới hạn broadcast tới các cổng bên trong mỗi VLAN.

+ Khả năng phân chia các đoạn VLAN với số lượng PC khá nhỏ, với khả năng mở rộng mở rộng mạng cao hơn khi số lượng máy trạm tăng mà vẫn bảo đảm được tốc độ đường truyền.

+ Phân phối lưu lượng tải bằng cách sử dụng Spanning Tree (đây là phương pháp mở rộng các phương thức truy nhập đường truyền theo cây thư mục nhằm mục đích cân bằng tải lưu lượng VLAN qua các đường liên kết dự phòng.

+ Các server sẽ được nhóm theo các nhóm khác nhau tuỳ theo các mức độ an ninh cần thiết vào các VLAN. Điều này làm tăng khả năng an toàn dữ liệu cho các Server trong hệ thống mạng chống lại việc truy cập bất hợp pháp của cả người sử dụng bên trong cũng như những tấn công từ bên ngoài.

SƠ ĐỒ CÁC TUYẾN CÁP QUANG MỚI CỦA VIỆN KHCNVN

III. PHƯƠNG ÁN THIẾT KẾ XÂY DỰNG HỆ THỐNG CỐNG BỂ VÀ HỆ THỐNG CÁP QUANG

Thiết kế dùng 3 tuyến cáp quang nối từ NOC tới tất cả các tòa nhà theo hệ thống cống bể. Diễn giải cụ thể như sau:

- Tuyến thứ 1: Với các nút mạng tại NOC (A1) - Phòng thí nghiệm của Viện Khoa học vật liệu (A2) – Viện Vật lý địa cầu (A8) – Viện Hóa học (A18) – Viện Khoa học năng lượng (A9) – Phòng thí nghiệm của Viện Công nghệ Sinh học (A15) – Viện Sinh thái và Tài nguyên sih vật + Trung tâm Thông tin Tư liệu (A11)

- Tuyến thứ 2: chạy từ NOC (A1) tới Phòng Quản trị + Cơ điện (A17) - Xưởng thí nghiệm Viện Kỹ thuật nhiệt đới (A12) - Viện Kỹ thuật nhiệt đới (A13) - Nhà khách Viện Toán học (A14) - Ban KH-TC+KT+TC-CB (A7) – Phòng QHXD +… (A6) - Viện Toán học (A5) – Viện Công nghệ thông tin (A3).

- Tuyến thứ 3: chạy từ NOC (A1) tới Viện Công nghệ môi trường (A30). Từ A30 chia thành 2 tuyến cáp quang:

+ Tuyến 3a: Viện Công nghệ môi trường (A30) - Trung tâm Vật lý hạt nhân (A25) - Viện Vật lý ứng dụng (A26) - Viện Địa lý (A27) - Phòng thí nghiệm vật liệu đất hiếm (B2) – Cơ sở nghiên cứu vi khoáng và vật liệu tổ hợp (A31/B1) – Viện Công nghệ sinh học (A10).

+ Tuyến 3b: Viện Công nghệ môi trường (A30) - Nhà 2B Khu CN (2B) - Nhà 2A Khu CN (2A) - Phòng thí nghiệm lượng tử, điện tử (1L) - Viện Hóa học các hợp chất thiên nhiên (1H) - Nhà 2C Khu CN (2C).

Việc thi công cáp quang tuân thủ theo nguyên tắc sau:

- Sử dụng quang đơn mốt cho các tuyến như sau:

+ Dùng cáp 16 sợi cho toàn tuyến 1, 3a, 3b và một đoạn thuộc tuyến 2 từ A17 đến A3. 

+ Dùng cáp 24 sợi cho một đoạn thuộc tuyến 2 từ A1 đến A17.

+ Dùng cáp 36 sợi cho một đoạn thuộc tuyến 3 từ A1 đến A30.

- Mỗi tòa nhà dùng một đôi dây.

- Tại mỗi tòa nhà các đầu sợi cáp quang được hàn vào ODF 32 cổng (hoặc hàn trực tiếp, nếu hàn vào ODF thì dùng dây nhảy để đi tiếp). 

- Tại các vị trí chia hàn trực tiếp các sợi cáp vào ODF 72 cổng, rồi dùng dây nhảy để tách.

- Mỗi tuyến cáp quang (tuyến 1, tuyến 2, tuyến 3a, tuyến 3b) để dự phòng 2 hoặc 3 đôi sợi cáp quang

Ưu điểm: 

+ Thiết kế đơn giản

+ Ít mối nối nên hệ số suy hao trong giới hạn cho phép (tối đa 7 nút trên 1 nhánh). 

BẢN VẼ QUY HOẠCH HỆ THỐNG CỐNG BỂ CHẠY CÁP QUANG

Các kết nối trong hệ thống được mô tả như sau:

- Trong nội bộ mạng LAN: thiết bị Switch layer 3 (Switch_VAST) được dùng để định tuyến giữa các VLAN, giúp cho các Viện nghiên cứu, các trung tâm hay các phòng thí nghiệm có thể giao tiếp được với nhau. Tùy theo chính sách, trên switch sẽ cấu hình để cho phép hay không cho phép các mạng khác nhau giao tiếp với nhau. Ví dụ, Viện Toán học có thể giao tiếp với nhà khách của Viện toán học, nhưng không thể giao tiếp với các Viện, trung tâm khác.

- Kết nối outbound ra Internet: việc kết nối Internet sẽ do router 3845 (đã có sẵn) đảm nhiệm. Các giải mạng sẽ trỏ mặc định gateway ra Switch_VAST. Trên Switch_VAST sẽ tạo một default gateway trỏ ra một Firewall. Firewall sẽ được cấu hình một default gateway trỏ ra router 3845. Trên Router 3845 có một kết nối default gateway ra Interent. Như vậy, khi cần kết nối Internet, gói tin sẽ đi qua Switch_VAST, qua firewall và cuối cùng là router 3845. Firewall sẽ đảm bảo độ bảo mật cho mạng LAN bằng cách NAT toàn bộ giải mạng LAN ra địa chỉ của interface kết nối với router 3845.

- Kết nối outbound ra DMZ: trên Switch_VAST cấu hình một tuyến tĩnh trỏ đến các server trong miền DMZ qua Firewall. Mặc định toàn bộ mạng LAN sẽ được truy cập vào các server trong miền DMZ. Tuy nhiên có thể thiết lập các chính sách để cho phép hay không cho phép các giải mạng khác nhau được truy cập vào server trong miền DMZ hay không. Việc thiết lập các chính sách có thể thực hiện trên Switch_VAST hay trên firewall.

- Kết nối outbound ra mạng của Vinaren: trên router 3845 cấu hình tuyến tĩnh trỏ đến địa chỉ của mạng Vinaren. Khi đó gói tin sẽ được định tuyến từ Switch_VAST, qua firewall ASA, rồi qua router 3845 và đi đến mạng của Vinaren.

- Kết nối inbound từ ngoài Internet vào các server trong miền DMZ: Firewall sẽ thực hiện việc NAT các server trong miền DMZ ra ngoài Internet qua các cổng cố định. Người dùng Internet sẽ chỉ có thể kết nối đến các server này qua các cổng ứng dụng đó.

- Kết nối inbound từ miền DMZ vào mạng LAN: mặc định các server trong miền DMZ không được giao tiếp với các máy trong mạng LAN. Trên Firewall sẽ chỉ tạo ra các policy cho phép các server đó kết nối đến các máy cụ thể bên trong mạng LAN qua các cổng cố định. 

Mỗi đơn vị trong một tòa nhà có thể có nhiều kết nối tới NOC thông qua switch layer 2. Kết nối này có thể độc lập với các kết nối của đơn vị khác trong tòa nhà nhờ việc tạo ra các VLAN. Việc kết nối của các đơn vị vào hệ thống theo mô hình sau:

Đối với các đơn vị nằm ở nhiều tòa nhà khác nhau, trung tâm tin học sẽ hỗ trợ kết nối mạng ở các tòa nhà của đơn vị đó với nhau khi có yêu cầu.

MÔ HÌNH GIẢI PHÁP MẠNG

IV. HIỆU QUẢ ĐẠT ĐƯỢC SAU KHI HOÀN THÀNH DỰ ÁN

Hệ thống mạng campus hoàn thành sẽ sẵn sàng cung cấp các dịch vụ như: Kết nối internet tốc độ cao, Vinaren, Khai thác, sử dụng các hệ thống thông tin quản lý nội bộ.

Hệ thống mạng campus đảm bảo cung cấp được các dịch vụ mạng tốt nhất, tiên tiến nhất phục vụ công tác tin học hoá quản lý hành chính và phục vụ nghiên cứu khoa học tại Khu nghiên cứu Nghĩa Đô.