XÂY DỰNG HỆ THỐNG MẠNG THT SOLUTIONS JSC.,

I.  Nhu cầu xây dựng hệ thống CNTT tại THT Solutions Jsc.,

Hiện nay, THT Solutions Jsc., hiện đang trong quá trình hiện đại hóa về cơ sở vật chất nhằm đáp ứng tốt nhất các điều kiện cơ bản phục vụ kinh doanh và hỗ trợ phục vụ khách hàng. Hệ thống CNTT theo đó cũng phải được đầu tư nâng cấp tương xứng.

Nhu cầu cho hệ thống CNTT tại THT Solutions Jsc., hiện nay như sau:

Các hoạt động trong công ty và khách hàng được ứng dụng CNTT 100%;

Hệ thống máy chủ dịch vụ phục vụ các khách hàng hiện có;

Xây dựng Phần mềm quản lý, lưu trữ toàn diện các hoạt động của công ty chạy trên nền tảng HĐH Mã nguồn mở (Free Open Source Software), Cơ sở dữ liệu MySQL, HĐH Windows, MS SQL,... đáp ứng các khách hàng sử dụng nền tảng Micrososft nhằm thay thế các quy trình hoạt động không đồng nhất như hiện tại. 

II. Giải pháp xây dựng hệ thống CNTT tại THT Solutions Jsc.,

1. Giải pháp về hệ thống mạng (Network)

1.1. Các yêu cầu kỹ thuật của hệ thống mạng

    Hệ thống mạng được xây dựng đáp ứng hầu hết các tiêu chí kỹ thuật hiện nay bao gồm cả yêu cầu về phần cứng, phần mềm cũng như các yếu tố về an toàn thông tin dữ liệu. Do vậy, thiết bị được đầu tư phải đảm bảo các yêu cầu cơ bản sau:

2.2. Đề xuất Phương án kết nối và xây dựng hệ thống Mạng tại THT Solutions Jsc.,

Với các tiêu chí trên, hệ thống mạng được kết nối và xây dựng như mô hình sau:

Mô hình kết nối hệ thống mạng:

Trong đó:

-    01 Switch Core có băng thông, hiệu năng và tốc độ cao, đồng thời có khả năng Routing, phân chia mạng con hợp lý sử dụng cho việc cung cấp, quản lý toàn mạng máy tính tại THT Solutions Jsc.,. Switch core này còn phải đảm bảo tính năng High Availablity (HA) để đảm bảo an toàn hoạt động của mạng máy tính. Sử dụng swicth core với Module quang cho kết nối trung kế (trunking) cho các tầng nhà THT Solutions Jsc., (11 tầng) nối về Switch Core này. Thiết bị đề xuất: Huawei Switch Layer 3 GE S5700, 24 GE RJ45 Port, 4 GE SFP Port sẵn sàng cho các kết nối đến các tầng của THT Solutions Jsc.,

-    Switch tại các tầng: Bố trí các switch Aggeration, switch Access tại từng tầng của THT Solutions Jsc.,, đảm bảo cung cấp các kết nối cho toàn bộ các node mạng. Các Switch này ngoài việc đảm bảo đủ cổng kết nối mà còn phải đảm bảo hiệu năng hoạt động, đồng thời có khả năng triển khai cấu hình chi tiết đến từng port của switch, qua đó cung cấp khả năng giám sát đến từng node mạng cụ thể tại THT Solutions Jsc.,. Thiết bị đề xuất: Huawei Switch Layer 2 GE S5700S, 24 GE RJ45 Port, 4 GE SFP Port cung cấp 24 cổng Ethernet (10/100/1000 BaseS) kết nối đến các node mạng của THT Solutions Jsc.,. Đồng thời bổ sung 04 cổng quang 1GB để kết nối trung kế đến Switch Core đặt tại phòng Server của THT Solutions Jsc.,. (thông số kỹ thuật của thiết bị theo catalog đính kèm).

-    Hệ thống mạng phải có thiết bị Firewall đủ mạnh nhằm phân tách mạng bên trong và mạng Internet bên ngoài, đồng thời bổ sung các khả năng chống thâm nhập, lưu vết, chống các hình thức tấn công mạng khác. Thiết bị đề xuất: Firewall FortiGate 100D với các đặc tính kỹ thuật kèm theo trong bảng sau.

Thông số kỹ thuật thiết bị mạng Firewall Fortigate 100D theo Catalog đính kèm.

1.3. Phương án bảo mật trong kiến trúc mạng của THT Solutions Jsc.,

-    Bảo mật giữa mạng LAN bên trong và mạng Internet bên ngoài: Thiết bị Firewall có chức năng chính như là thiết bị cho phép kiểm soát toàn bộ các truy cập vào/ra hệ thống mạng nội bộ. Thiết bị đồng thời có khả năng chống virus, kiểm soát truy nhập, chống tấn công ... để dễ dàng triển khai các phương án bảo mật theo từng yêu cầu cụ thể.

-    Bảo mật trong mạng LAN: các thiết bị Switch có khả năng tạo các VLAN khác nhau và có khả năng giám sát, cấu hình đến từng port. Do đó cần triển khai bảo mật đến từng node mạng được thuận tiện và dễ dàng.

-    Với các thiết bị Wifi trang bị cho hệ thống, có thể sử dụng các thiết bị Access Point có tính năng Multiple SSID and VLAN, cho phép triển khai tách biệt kết nối giữa các thiết bị di động do THT Solutions Jsc., trang bị (dùng bảo mật với MAC Address) và các thiết bị di động khác truy nhập vào hệ thống, từ đó triển khai các chính sách bảo mật cụ thể với các VLAN Wifi này.

-    Một số trường hợp bảo mật cụ thể:

o Bảo mật với mạng cáp đồng đến các node mạng:

§ Trường hợp 1 (Bảo mật trong nội bộ mạng LAN): Các Node mạng tại THT Solutions Jsc., sẽ được chia/phân bổ VLAN khác nhau tương ứng với các phòng ban chức năng của THT Solutions Jsc., để phân tách các lớp mạng cụ thể cho từng phòng ban. Các thiết bị Switch có khả năng cấu hình đến từng port (tương ứng với các Node mạng) sẽ đảm bảo cho việc phân bổ này. Các VLAN này là độc lập và riêng lẻ nhau nên sẽ không nhìn thấy nhau một các trực tiếp. Việc nhìn thấy và truy cập giữa các VLAN với nhau phụ thuộc vào sự cấp phép từ người quản trị thông qua cấu hình access-list trên Huawei Switch Layer 3 GE S5700.

§ Trường hợp 2 (Truy cập Internet tại THT Solutions Jsc.,): Truy cập Internet tại THT Solutions Jsc., sẽ được quản lý thông qua thiết bị Firewall FortiGate của mình. Việc người quản trị tạo ra các access-list cụ thể sẽ cho phép từng node (hoặc cả lớp mạng VLAN) được phép truy cập Internet hay không? Đồng thời, việc lưu vết truy nhập Internet sẽ ....

§ Ví dụ cụ thể về cấu hình thiết bị:

+ Bước 1: Quy hoạch địa chỉ mạng tại THT Solutions Jsc., (các VLAN cho các phòng ban, các chức năng...) chi tiết đến cả khả năng truy cập Internet hay không? Ví dụ:

+ Bước 2: Khởi tạo các VLAN trên Switch Core

+ Bước 3: Cấu hình chi tiết các cổng trên các Switch Access tương ứng với VLAN, port nối đến các node mạng như quy hoạch trên.

+ Bước 4: Tạo access-list trên Switch core, cho phép các VLAN1, VLAN2 được truy cập vào VLAN 0 (Servers)

+ Bước 5: Tạo access-list trên thiết bị Firewall, cho phép VLAN0, VLAN1 được truy cập Internet

+ Bước 6: Kiểm tra kết nối và hoạt động của hệ thống.

o Bảo mật với mạng wifi tại THT Solutions Jsc.,:

Thiết bị Wifi trang bị cho hệ thống là các thiết bị Access Point có tính năng Multiple SSID and VLAN, cho phép triển khai tách biệt kết nối giữa các thiết bị di động do THT Solutions Jsc., trang bị (dùng bảo mật với MAC Address) và các thiết bị di động khác truy nhập vào hệ thống, từ đó triển khai các chính sách bảo mật cụ thể với các VLAN Wifi này. Triển khai bảo mật cụ thể cho mạng Wifi như sau:

+ Bước 1: Quy hoạch địa chỉ mạng Wifi tại THT Solutions Jsc., chi tiết đến cả khả năng truy cập. Ví dụ:

+ Bước 2: Khởi tạo các VLAN trên Switch Core (03 VLAN)

+ Bước 3: Cấu hình chi tiết các cổng trên các Switch Access tương ứng với VLAN, port nối đến các thiết bị wifi như quy hoạch trên.

+ Bước 4: Tạo các SSID/VLAN trên các thiết bị Wifi (SSID1, SSID2, SSID3)

+ Bước 5: Trên thiết bị Wifi, tạo các rules truy cập vào thiết bị, cụ thể:

         - SSID1: Cấp mật khẩu truy cập, khai báo các địa chỉ cấp phát (ứng với VLAN97). Không hạn chế loại thiết bị truy cập.

         - SSID2: Cấp mật khẩu truy cập, khai báo các địa chỉ cấp phát (ứng với VLAN98). Hạn chế loại thiết bị truy cập tương ứng với thiết bị có địa chỉ MAC tương ứng được quy hoạch cho SSID2 (Wifi LAN)

         - SSID3: Cấp mật khẩu truy cập, khai báo các địa chỉ cấp phát (ứng với VLAN99).

Hạn chế loại thiết bị truy cập tương ứng với thiết bị có địa chỉ MAC tương ứng được quy hoạch cho SSID3 (Wifi All)

+ Bước 6: Tạo access-list trên Switch core, cho phép VLAN98 được truy cập vào VLAN0 (Servers), VLAN2 (phòng khám); VLAN 99 được truy cập vào VLAN 0 (Servers)

+ Bước 7: Tạo access-list trên thiết bị Firewall, cho phép VLAN97, VLAN99 được truy cập Internet

+ Bước 8: Kiểm tra kết nối và hoạt động của hệ thống Wifi.

1.4. Tổng hợp chi tiết vật tư thiết bị cho hệ thống mạng THT Solutions Jsc.,

- Bản vẽ chi tiết bố trí Node mạng

- Bảng tổng hợp thiết bị và dự trù chi phí

2. Giải pháp về hệ thống máy chủ (System)

2.1. Các yêu cầu kỹ thuật của hệ thống máy chủ

Các yêu cầu cơ bản của hệ thống máy chủ:

-    Tính ổn định: hệ thống phải hoạt động ổn định để đảm bảo cung cấp dịch vụ cho công ty và khách hàng hiệu quả, hoạt động liên tục 24x7. Có phương án cân bằng tải với cơ chế mang tính chủ động (Active-Active);

-       Tính linh hoạt: hệ thống có khả năng thay thế nóng (hot-swap) đồng thời phải có cơ chế dự phòng đầy đủ, dữ liệu được sao lưu tự động theo chu kỳ cố định và lặp lại.

-       Tính tương thích: Hệ thống phải tương thích với các HĐH phổ biến hiện nay, đồng thời tương thích với hệ thống hiện tại (để dễ dàng chuyển đổi dữ liệu từ hệ thống cũ sang hệ thống mới theo yêu cầu mà không làm mất các dữ liệu quan trọng).

-       Tính bảo mật: Hệ thống phải có các công cụ giúp cho việc quản trị, phân cấp quản lý một cách linh hoạt.

-       Khả năng nâng cấp: Hệ thống phải đảm bảo khả năng nâng cấp toàn bộ (cả phần cứng lẫn phần mềm) mà không làm ảnh hưởng nhiều đến hoạt động của hệ thống.

-       Thiết bị phải được hỗ trợ kỹ thuật và bảo hành từ nhà cung cấp cũng như từ hãng sản xuất, đáp ứng khả năng cung cấp dịch vụ bảo hành 24x7 trong thời hạn 03 năm kể từ ngày đưa hệ thống mới vào hoạt động.

2.2. Phương án kết nối và xây dựng hệ thống máy chủ

Với các tiêu chí trên, dự tính hệ thống mới được kết nối và xây dựng với phần cứng, phần mềm cụ thể như sau:

-    Hệ thống cần trang bị tối thiểu các Máy chủ sau:

§ 02 máy chủ sử dụng & cài đặt phần mềm Ứng dụng quản lý THT Solutions Jsc.,(ERP) cung cấp các dịch vụ quản lý THT Solutions Jsc., phục vụ cho toàn bộ các hoạt động cơ bản của THT Solutions Jsc.,.

§ 01 máy chủ chạy dịch vụ Domain Controller phục vụ cho việc khai báo User, password... cho toàn bộ người dùng và máy tính tại THT Solutions Jsc., phục vụ truy cập dữ liệu của hệ thống.

§ 03 máy chủ chạy các ứng dụng POSTFIX, DOVECOT, AntiSpam, cung cấp các dịch vụ email đến THT Solutions Jsc., và toàn bộ khách hàng hiện tại.

§ 01 máy chủ chạy APACHE cung cấp dịch website cho hệ thống email bao gồm Webmail và hệ thống quản lý Email;

§ 02 máy chủ chạy APACHE cung cấp dịch website trên nên FOSS;

§ 02 máy chủ chạy IIS cung cấp dịch website trên nền Microsoft;

§ 02 máy chủ chạy dịch vụ dữ liệu (MySQL, MS SQL) cho toàn hệ thống;

§ 01 máy chủ cung cấp dịch vụ AntiVirus CLAMAV cho toàn hệ thống;

§ 01 máy chủ kèm 01 Tape LTO4/5 làm dịch vụ Backup Sao lưu dữ liệu tự động toàn bộ các ứng dụng và dữ liệu của hệ thống máy chủ tại THT Solutions Jsc.,.

§ 01 máy chủ File Server phục vụ cho các hoạt động quản lý lưu trữ, phân tải, điều phối dữ liệu đến Hệ thống lưu trữ.

-    Hệ thống lưu trữ: Dung lượng lưu trữ cần phải lớn và có thể đáp ứng mở rộng cho tương lai, sử dụng hệ thống lưu trữ riêng (Storage) cho hệ thống.

-    Ngoài ra, để cung cấp các giải pháp HA và tránh phải trang bị nhiều máy chủ, đề nghị sử dụng các giải pháp ảo hóa Vmware, XEN cho hệ thống cùng giải pháp Cluster Storage để đảm bảo thời gian gián đoạn của hệ thống là thấp nhất.

-    Phần mềm hệ thống: HĐH Windows Server, MS SQL Server, Vmware, FOSS, MySQL, XEN, MS SQL,…

Mô hình kết nối hệ thống máy chủ:

Mô hình Tổng thể Hệ thống Máy chủ (Sẽ thay đổi theo yêu cầu CĐT):