TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THỦ ĐỨC KHOA CÔNG NGHỆ THÔNG TIN CHUYÊN ĐỀ HỆ THỐNG 2 ĐỀ TÀI GIẢI PHÁP XÂY DỰNG HỆ THỐNG MẠNG CHO CÔNG TY CÁC TRẮNG Nhóm Mạo Hiểm Ngô Thanh Hoàng Lương Công Phong Phan Khánh.
TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THỦ ĐỨC KHOA CÔNG NGHỆ THÔNG TIN CHUYÊN ĐỀ HỆ THỐNG ĐỀ TÀI: GIẢI PHÁP XÂY DỰNG HỆ THỐNG MẠNG CHO CÔNG TY CÁC TRẮNG Nhóm Mạo Hiểm Ngơ Thanh Hồng Lương Cơng Phong Phan Khánh Duy Nguyễn Ngọc Phương Uyên GVHD: Nguyễn Thanh Vũ 04 Tháng 10 2022 CHƯƠNG CƠ SỞ LÝ THUYẾT .4 1.1 Giới thiệu công ty Cát trắng 1.2 Tổ chức .4 1.3 Mơ hình mạng .4 1.4 Giới thiệu dịch vụ .14 CHƯƠNG CÀI ĐẶT HỆ THỐNG MẠNG 28 2.1 Office Network 28 2.2 Private Cloud 62 2.3 Public Cloud .82 2.4 Service Provider .95 CHƯƠNG TỔNG KẾT 121 3.1 Thuận lợi khó khăn 121 TÀI LIỆU THAM KHẢO 122 Trang LỜI MỞ ĐẦU Ngày Công nghệ thông tin ngày phát triển vượt bật, công nghệ thay đổi liên tục Nhu cầu người dùng mạng truy cập thông tin, trao đổi liệu nhanh chóng nhiều Điều cho thấy cơng nghệ ngày tiếp cận tới đời sống người nhiều Vậy với doanh nghiệp sao? Cùng với việc cơng nghệ ngày phát triển cơng ty xí nghiệp mọc lên nhiều Địi hỏi việc trao đổi thơng tin, an tồn thơng tin, làm cách để trao đổi thơng tin nhanh chóng tiện lợi Điều đặt cho kỹ sư mạng thiết kế mơ hình mạng máy tính sở hạ tầng mạng đảm bảo yêu cầu doanh nghiệp Từ dịch vụ smbclient, curl, lynx, dnsutils, ldap-utils, ftp, lftp, wget, ssh dịch vụ DHCP, DNS, Samba, Ngoài việc chia sẻ thơng tin nội việc trao đổi thông tin qua mạng mà đảm bảo tính an tồn quan trọng Những dịch vụ Web, Mail xây dựng hệ thống Firewall Đây điều mà IT người thiết kế mạng, đòi hỏi người IT phải có kinh nghiệm tỉ mỉ Trang CHƯƠNG CƠ SỞ LÝ THUYẾT 1.1 Giới thiệu công ty Cát trắng Công ty cát trắng cơng ty có quy mơ vừa chun kinh doanh sản phẩm điện tử đồ công nghệ Cùng với phát triển cơng nghệ cơng ty ln cập nhật phát triển tạo phận điện thoại, laptop, PC Công ty Cát trắng có nhiều năm kinh nghiệm việc kinh doanh sản phẩm công nghệ laptop, PC, điện thoại Nhiều nhân viên với nhiều kinh nghiệm thành lập vào năm 2000 Quy mơ cơng ty lớn nên cần có sở hạ tầng mạng máy tính đầy đủ dịch vụ Cơng ty có nhiều sách phúc lợi cho nhân viên tạo sân chơi lành mạnh cho nhân viên vào năm 1.2 Tổ chức Cơng ty có nhiều phịng ban: kinh doanh, nhân sự, kế tốn, sales, kỹ thuật Quy mơ cơng ty gồm 200 nhân viên 1.3 Mơ hình mạng 1.3.1 Yêu cầu Server client Trang Network Office users Phần mềm Với mục đích thử nghiệm dịch vụ, tất máy chủ cài đặt công cụ kiểm tra sau: smbclient, curl, lynx, dnsutils, ldap-utils, ftp, lftp, wget, ssh, nfscommon, rsync, telnet, traceroute, tcptraceroute Mô tả dự án nhiệm vụ Mạng bao gồm mạng văn phòng với đám mây riêng cho máy chủ Email nội mạng nội Truy cập từ xa cho phép nhân viên làm việc từ xa Một đám mây công cộng sử dụng cho trang Web cơng cộng cơng ty Cấu hình dịch vụ ISP "Fast-Provider" cung cấp a MẠNG VĂN PHỊNG Mạng văn phịng sử dụng cho cơng việc văn phịng bao gồm máy chủ máy khách Nhiệm vụ bạn cài đặt cấu hình để giúp nhân viên văn phịng dễ dàng cộng tác Cấu hình tường lửa kết nối với ISP ngược dòng Trang fw.skill12.net Đây tường lửa cho mạng văn phịng Nó chia sẻ với mạng đám mây riêng Openvpn Định cấu hình VPN site-to-site thành fw.hcmcskills.org thiết bị tun tất lưu lượng mạng văn phịng mạng cơng cộng (mạng đám mây) nên định tuyến qua đường hầm (VPN đường hầm) Sử dụng UDP để giảm thiểu chi phí đường hầm Định cấu hình VPN máy khách cho janes-pc Khi kết nối, người dùng phải có quyền truy cập vào tất tài nguyên khách hàng mạng văn phòng Điều bao gồm mạng đám mây riêng mạng đám mây công cộng DHCP Cấu hình dịch vụ DHCP cho mạng văn phòng Thêm tất tùy chọn cần thiết để làm cho tất dịch vụ hoạt động Bản ghi A PTR máy khách phải cập nhật động cho DNS file.skill12.net Đảm bảo file.skill12.net gán địa IPTABLES Tất lưu lượng truy cập qua tường lửa bị chặn theo mặc định Lưu lượng truy cập bắt nguồn từ mạng văn phịng ln cho phép Lưu lượng truy cập bắt nguồn từ mạng văn phòng mạng đám mây riêng phải dịch sang địa IP bên truy cập internet Lưu lượng truy cập HTTPS có nguồn từ ứng dụng OpenVPN chuyển đến mạng đám mây công cộng không qua Site-to-VPN trang web Các lưu lượng truy cập khác có nguồn từ ứng dụng khách OpenVPN chuyển đến mạng đám mây công cộng qua Site to site VPN đến trang web file.skill12.net Đây tệp cục máy chủ xác thực cho mạng văn phòng Vui lòng cài đặt định cấu hình dịch vụ sau máy chủ LDAP Trang Cài đặt máy chủ LDAP OpenLDAP Máy chủ LDAP sử dụng để xác thực cho người dùng đăng nhập vào máy khách cục Thêm tất người dùng văn phòng vào sở liệu LDAP RAID Thêm ba ổ cứng bổ sung, ổ có kích thước 1GB Định cấu hình mảng RAID /dev/ md0 LVM Thêm /dev/md0 dạng ổ cứng vật lý tạo ổ cứng hợp lý /dev/file/data Tạo nhóm dung lượng cần thiết gắn kết ổ đĩa hợp lý /data SAMBA Chia sẻ thư mục /data/ public-files với public.hcmcskills.org Quyền truy cập chế độ đọc không máy chủ khác truy cập thư mục NFS Tạo thư mục chia sẻ gọi documents mà tất người dùng xác thực truy cập quyền đọc ghi Tạo chia sẻ thư mục cho người dùng văn phịng /data/home Thư mục nên cho người dùng tương ứng truy cập Bạn cần tạo thư mục cho người dùng tìm thấy văn phòng, bảng người dùng Tất thư mục chia sẻ phải đặt /data DNS Định cấu hình vùng DNS cho skill12.net thêm tất mục nhập cần thiết Các tra cứu đến tất khu vực khác chuyển tiếp đến srvpv01.fastprovider.net Định cấu hình vùng tra cứu ngược cho mạng văn phòng mạng mạng đám mây riêng Trang client1.skill12.net Sử dụng GNOME làm môi trường máy tính để bàn Đăng nhập với tư cách người dùng adam Người dùng đăng nhập vào máy khách (cả dòng lệnh giao diện đồ họa) phải xác thực với máy chủ LDAP file12.skill12.net Ngăn người dùng cục thực (khơng có tài khoản dịch vụ) ngoại trừ root đăng nhập Lưu ý root bị ngăn đăng nhập GUI theo mặc định, bạn không thay đổi hành vi Thư mục chia sẻ "tài liệu" nên gắn kết cho tất người dùng văn phòng /mnt/Documents Mỗi người dùng phải có quyền truy cập vào phần chia sẻ Home họ NFS Cấu hình ứng dụng thư khách Thunderbird để người dùng adam gửi nhận thư Đảm bảo chứng tin cậy khách hàng Lưu ý bạn nhận cảnh báo sử dụng chứng tự ký Có thể gửi E-mail cho người dùng miền hcmcskills.org b HOME NETWORK Mạng sử dụng để mô nhân viên từ xa JANES-PC Sử dụng GNOME làm môi trường máy tính để bàn Tạo jane người dùng cục đăng nhập Tạo tập lệnh /usr/local/bin/startup.sh chạy tự động thông qua systemd khởi động Đặt tên cho dịch vụ loglastboot Tập lệnh phải chạm vào /last-boot Chúng kiểm tra điều cách khởi động lại dịch vụ Định cấu hình ứng dụng thư khách Thunderbird phép Jane gửi nhận email Đảm bảo khơng có cảnh báo chứng hiển thị Có thể gửi e-mail cho người dùng miền skill12.net Thiết lập kết nối OpenVPN tới fw.skill12.net, jane mở sau đăng nhập vào GNOME Sử dụng GNOME network-manager Trang c ĐÁM MÂY RIÊNG Đám mây riêng sử dụng để cung cấp dịch vụ cơng cộng cho người dùng văn phịng Vì mục đích bảo mật, cách ly riêng phân đoạn mạng Vui lịng tham khảo bảng "NETWORKS" để biết thơng tin mạng sử dụng private.skill12.net Đây mail cục web server Nó phục vụ người dùng văn phòng tên miền skill12.net Người dùng văn phịng adam đăng nhập SSH vào tài khoản gốc từ client1.skill12.net sử dụng private-key xác thực E-mail Cấu hình máy chủ để gửi nhận email cho tất người dùng văn phòng tên miền skill12.net Người dùng truy cập hộp thư họ qua IMAP Tất giao tiếp máy chủ máy khách phải bảo mật TLS (STARTTLS) Có thể gửi E-mail cho người dùng miền hcmcskills.org MYSQL Cài đặt máy chủ sở liệu MySQL Sử dụng người dùng root với mật Passw0rd$ để đăng nhập Nhập sở liệu skill12 có /root/skill12-backup.sql tìm thấy máy chủ bạn Web Server Cài đặt máy chủ web Apache2 phục vụ trang intranet.skill12.net Sử dụng /www/intranet làm gốc tài liệu Các người dùng văn phòng phải xác thực LDAP-server file.skill12.net SAO LƯU Sao lưu /important-data vào srvpv02.fast-provider.net rsync Điều nên thực 10 phút lần (sử dụng crontab root) Tạo tập lệnh /usr/local/bin/backup.sh sử dụng để chạy lưu theo cách thủ công GIÁM SÁT Trang Để theo dõi thiết lập mạng Icinga2 Giao diện web phải truy cập cổng 8080 lắng nghe tên máy /ip Sử dụng tên người dùng icingaadmin với mật Passw0rd$ Thêm kiểm tra sau: Theo dõi fw.skill12.net ICMP Theo dõi trạng thái trang web intranet.skill12.net SSH Để quản lý trang web intranet.skill12.net, thêm người dùng gọi webmaster với mật Passw0rd$ cấp cho quyền truy cập SSH Thư mục người dùng phải giống với thư mục gốc trang web Người dùng không phép rời khỏi thư mục Người dùng phép sử dụng lệnh ping d ĐÁM MÂY CƠNG CỘNG Đám mây cơng cộng sử dụng cho dịch vụ sản xuất Vui lịng tham khảo bảng "NETWORKS" để biết thơng tin mạng sử dụng fw.hcmcskills.org Openvpn Định cấu hình VPN site-to-site thành fw.skill12.net - mạng văn phịng BIỂU TƯỢNG Tất lưu lượng truy cập qua tường lửa bị chặn theo mặc định Lưu lượng truy cập đến từ public.hcmcskills.org nên ẩn sau địa IP bên Thêm tất quy tắc cần thiết để dịch vụ đường hầm hoạt động dự kiến Reverse-Proxy Trang 10 Tất thực cách điền số sau dòng Command>> Nhập nhấn Enter Nhập đặt tên hcmcskill.org Nhập đặt tên hcmcskill.org Nhập s để lưu lại nhập r để quay trở lại giao diện cấu hình ban đầu Trang 125 Nhập nhấn Enter Nhập gõ tên domain hcmcskill.org Nhập nhập để chọn SMTP Nhập B 81 để bật tính TLS Trang 126 Nhập s để lưu nhập q để thoát Kết thúc việc cấu hình Squirrelmail Cấu hình cho Httpd Truy cập # vi /etc/httpd/conf/httpd.conf nhập toàn số code mẫu sau vào cuối file: Alias /webmail /usr/share/squirrelmail Options Indexes FollowSymlinks RewriteEngine On AllowOverride All Trang 127 DirectoryIndex index.php Order allow,deny Allow from all Lưu file cấu hình Khởi động dịch vụ Httpd #systemctl restart httpd Trang 128 Nhập lệnh #setsebool httpd_can_network_connect=1 Tạo user server CentOS7 #useradd jane #passwd jane (nhập mật Passw0rd$) Test mail 2.5.2 máy srvpv02.fast-provider.net a DNS Cài gói bind cho máy server lệnh: #yum install bind* -y Kiểm tra gói cài lệnh: Trang 129 #rpm –qa | grep bind Cấu hình dịch vụ DNS #vi /etc/named.conf Chỉnh lại số thơng tin dịng sau mục option: Listen-on-port 53 { 127.0.0.1; }; thêm vào địa IP DNS server Listen-on-v6 port 53 { none }; khơng sử dụng Ipv6 nên để none allow-query { localhost; }; Thêm đường mạng Trang 130 Lưu lại file cấu hình Cấu hình cho file vi /etc/named.rfc1912.zones Chỉnh sửa lại dòng sau: Ở phần zone “localhost.localdomain”: zone “localhost.localdomain”: tên miền muốn đặt file “named.localhost”; : trỏ tới đường phân giải thuận allow-update {255.220.55.0/28;} : cho phép tự động cập nhật đường mạng Ở phần zone “0.in-addr.arpa”: Chuyển zone “0.in-addr.arpa” thành địa phân giải ngược file “name.emptyy”: trỏ tới đường dẫn phân giải nghịch allow-update {200.220.55.0/28;} thêm địa mạng Trang 131 Lưu lại file cấu hình Copy file named.localhost đổi tên thành tên đường dẫn phân giải thuận #cp named.localhost fw.tgcd.com Cấu hình zone phân giải thuận #vi fw.hcmcskill.org Cấu hình tương tự hình dưới: Trang 132 Lưu file cấu hình Cấu hình zone phân giải nghịch Copy file fw.hcmcskill.org đổi tên thành địa phân giải nghịch rev.hcmcskill.org #cp fw.hcmcskill.org rev.hcmcskill.org Cấu hình file phân giải nghịch #vi rev.hcmcskill.org Cấu hình Trang 133 Lưu lại file cấu hình Phân quyền cho file #chmod 755 /etc/named.conf #chmod 755 /etc/named.rfc1912.zones #chmod 755 /var/named/fw.hcmcskill.org #chmod 755 /var/named/rev.hcmcskill.org #chown named:named /var/named/fw.hcmcskill.org #chown named:named /var/named/rev.hcmcskill.org Khởi động dịch vụ DNS #chkconfig level 123456 named on #systemctl enable named #systemctl start named Trang 134 #firewall-cmd permanent add-port=53/tcp #firewall-cmd permanent add-port=53/udp #firewall-cmd –reload Test b rsync backup cài đặt repolist # yum repolist Cài đặt rsync # yum install rsync -y Kiểm tra xem phiên rsync # rpm -qa | grep rsync Trang 135 Tạo thư mục /backup/private-skill12-net #mkdir /backup/private-skill12-net Sau thực backup từ máy private.skill12.net ta kiểm tra kết rên máy srvpv01.fast-provider.net sau: #cd /backup/private-skill12-net Ta thấy thư mục backup /important-data #Cd important-data # ll Tạo key xác thực Tạo file.ssh # mkdir -p /root/.ssh/ Trang 136 Phân quyền # chmod 700 /root/.ssh/ # chmod 600 /root/.ssh/authorized_keys Trang 137 CHƯƠNG TỔNG KẾT 3.2 Thuận lợi khó khăn 3.2.1 Thuận lợi Trong dịch vụ xây dựng cho doanh nghiệp nhóm làm nhiều trường qua đồ án Việc tìm hiểu tìm tài liệu mạng nhiều Có hướng dẫn nhiệt tình từ thầy Làm việc nhóm hiệu 3.2.2 Khó khăn Có nhiều dịch vụ chưa làm nên tốn nhiều thời gian tìm hiểu Các dịch vụ LDAP, IPTABLES nguồn tài liệu dịch vụ nhiều nên không kịp thời gian nghiên cứu Đề tài dài nên nhiều thời gian làm 3.3 Mở rộng Trong mơ hình xây dựng cho doanh nghiệp cần xây dựng thêm tường lửa, thực LDAP, sử dụng firewall pfsense vấn đề bảo mật thông tin doanh nghiệp quan trọng Ngoài ra, kinh tế phát triển doanh nghiệp sử dụng mơ hình tự động hóa sử dụng nguồn nhân lực chất lượng cao điều cần thiết gửi mail tự động, tự động backup Vì vậy, xây dựng mơ hình cần tính tốn trước việc doanh nghiệp có nâng cấp Doanh nghiệp hướng tới việc nhanh gọn, bảo mật mà chi phí khơng cao, nên hướng mở rộng nên dùng dịch vụ đám mây Amazon, Azure Những dịch vụ đám mây đa dạng muốn tự xây dựng web, mail dùng IaaS muốn có hạ tầng ta dùng PaaS, khoản chi phí khơng cao tiết kiệm chi phí server, bảo trì bớt thuê nhân lực dể quản lý Trang 138 TÀI LIỆU THAM KHẢO [1] https://anninhmang.edu.vn/huong-dan-cai-dat-mail-server-tren-centos-7/? fbclid=IwAR3dGsSwSGW3AMEaav8scbsn45XoUIWPoxSjWOXUscTUqg3eiWyxietUn sk [2] https://docs.oracle.com/en/learn/oracle-linux-postfix-starttls/index.html? fbclid=IwAR3bToXLGdIKwWxjT1IPuzH0fMKKNowNZoliaOEIOE97EQY7qQRoZo2GfI#introduction [3] https://www.itzgeek.com/how-tos/linux/centos-how-tos/configure-dns-bindserver-on-centos-7-rhel-7.html?fbclid=IwAR26WYqhgNG4XtpbxrIn3qxw0AOIvF5b2hK5b_WFsCgIbpHv4PqjK3KgF0 [4] https://www.youtube.com/watch?v=sS5Y-rSaf-c Trang 139 ... SỞ LÝ THUYẾT 1.1 Giới thiệu công ty Cát trắng Công ty cát trắng cơng ty có quy mơ vừa chun kinh doanh sản phẩm điện tử đồ công nghệ Cùng với phát triển cơng nghệ cơng ty ln cập nhật phát triển... Đặc biệt, hệ thống máy chủ ngày cơng ty doanh nghiệp ví dụ điển hình cho câu trả lời cần backup liệu Trong trình thực vận hành lưu trữ cho toàn hệ thống kinh doanh đồ sộ cho doanh nghiệp Các loại... giao thức cho phép người dùng xác định cấu trúc đặc điểm thông tin thư mục Hiện nay, để xây dựng hệ thống lớn, điều tối quan trọng phải làm cách để tích hợp liệu để từ dùng chung hệ thống khác