Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-K46 LỜI CẢM ƠN Đồ án đƣợc hoàn thành nhờ giúp đỡ tận tình thầy cơ, bạn đồng niên ngƣời thân Lời em xin bày tỏ lòng biết ơn đến tất ngƣời giúp đỡ em trình học tập hoàn thành đồ án tốt nghiệp Đặc biệt em xin bày tỏ lòng biết ơn chân thành tới thầy Nguyễn Hoàng Dũng, ngƣời trực tiếp hƣớng dẫn giúp đỡ em trình nghiên cứu thực đề tài Em xin chân thành cảm ơn ý kiến đóng góp quý báu thầy giáo phản biện Nhân dịp cho em bày tỏ lịng biết ơn sâu sắc đến thầy khoa Điện Tử-Viễn Thông trƣờng Đại Học Bách Khoa Hà Nội suốt năm học qua cung cấp cho em nhiều kiến thức phục vụ cho công tác sau Sinh viên Nguyễn Quốc Bảo LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-K46 MỤC LỤC LỜI NÓI ĐẦU PHẦN 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH CHƢƠNG 1: CÁC KHÁI NIỆM CƠ BẢN Mạng kết nối mạng .8 Các loại hình mạng 11 CHƢƠNG 2: MỘT SỐ THIẾT BỊ MẠNG THÔNG THƢỜNG 16 Cáp 16 Card mạng 16 Hub 17 Bridge .17 Switch 17 Router .17 Card mạng không dây điểm truy cập 17 CHƢƠNG 3: MƠ HÌNH OSI VÀ TCP/IP 19 Mơ hình OSI 19 1.1 Kiến trúc phân tầng 19 1.2 Chức tầng mơ hình OSI .20 1.3 Quan hệ tầng mơ hình OSI .22 Mơ hình TCP/IP .24 2.1 Kiến trúc phân tầng 24 2.2 Các tầng mơ hình TCP/IP .25 2.3 Giao thức IP 27 PHẦN 2: THIẾT KẾ MẠNG LAN VÀ WAN 33 CHƢƠNG 1: THIẾT KẾ MẠNG LAN 33 1.Yêu cầu chung 33 Lớp 35 Lớp 36 Lớp 36 CHƢƠNG 2: MƠ HÌNH PHÂN LỚP MẠNG LAN 38 Lớp truy cập .38 Lớp phân bố .39 Lớp lõi 40 CHƢƠNG 3: THIẾT KẾ MẠNG WAN 41 Các bƣớc thiết kế mạng WAN 41 Một số topology mạng WAN 42 Mơ hình phân lớp mạng WAN 44 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-K46 PHẦN 3: MỘT SỐ PHƢƠNG THỨC TẤN CÔNG VÀ CÁC BIỆN PHÁP BẢO VỆ MẠNG .46 CHƢƠNG 1: MỘT SỐ PHƢƠNG THỨC TẤN CÔNG CHỦ YẾU .46 Các vấn đề chung .46 Tấn công chủ động 47 2.1 Phƣơng pháp công DoS 47 2.2 Phƣơng pháp công DDoS 49 2.3 Tấn công SYN 50 Tấn công bị động .52 3.1 Sniffing .52 3.2 Vulnerability scanning 52 Tấn công password 52 4.1 Brute force attacks 52 4.2 Dictionary-based attacks 53 CHƢƠNG 2: MỘT SỐ BIỆN PHÁP BẢO VỆ MẠNG 54 Switch 54 1.1 Password truy cập port sercurity 54 1.2 VLAN .56 Router .60 2.1 Password truy cập .61 2.2 Access Control Lists 62 Tƣờng lửa .64 3.1 Packet filtering firewall 65 3.2 Application layer Gateways 65 3.3 Stateful inspection 67 3.4 Một số mơ hình mạng đƣợc triển khai firewall .67 Thiết bị phát xâm nhập hệ thống .69 4.1 Network-based IDSs 70 4.2 Host-based IDSs .70 4.3 Application-based IDSs 71 PHẦN 4: XÂY DỰNG HỆ THỐNG MÔ PHỎNG 72 CHƢƠNG 1: TỔNG QUAN MẠNG MÔ PHỎNG 72 Mơ hình mạng mô 72 1.1 Yêu cầu thiết kế 73 1.2 Mô tả hệ thống 73 Các thiết bị triển khai hệ thống 74 CHƢƠNG 2: TRIỂN KHAI CẤU HÌNH TRÊN CÁC THIẾT BỊ 75 Router .75 1.1 Cấu hình địa IP 75 1.2 Cấu hình password truy nhập 75 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-K46 1.3 Cấu hình phƣơng pháp định tuyến 77 1.4 Cấu hình ACLs 77 Switch 78 2.1 Cấu hình password truy nhập 78 2.2 Cấu hình VLAN 79 KẾT LUẬN 83 NHỮNG THUẬT NGỮ VIẾT TẮT .85 TÀI LIỆU THAM KHẢO .87 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-K46 MỤC LỤC HÌNH Hình 1.1.1: Một hệ thống mạng đơn giản Hình 1.1.2: Một số topology mạng thông thƣờng 11 Hình 1.1.3: Peer to peer network .12 Hình 1.1.4: Client/server network 13 Hình 1.3.1: Mơ hình OSI tầng 20 Hình 1.3.2: Quan hệ tầng mơ hình OSI 22 Hình 1.3.3: Quá trình Encapsulation .23 Hình 1.3.4: So sánh OSI TCP/IP 25 Hình 1.3.5: Các lớp địa IP 29 Hình 2.1.1: Mơ hình thiết kế mạng LAN 34 Hình 2.1.2: Các lớp thiết kế mạng LAN 35 Hình 2.1.3: Các gói tin chạy VLAN 37 Hình 2.2.1: Mơ hình phân lớp thiết kế mạng LAN 39 Hình 2.3.1: Mơ hình point to point 42 Hình 2.3.2: Mơ hình star 43 Hình 2.3.3: Mơ hình mesh .43 Hình 2.3.4: Mơ hình phân lớp thiết kế mạng WAN .44 Hình 3.1.1: Quá trình bắt tay bƣớc (3- way handshake) 50 Hiình 3.1.2: SYN attack 51 Hình 3.2.1: Mơ hình triển khai VLAN 57 Hình 3.2.2: VLAN trunk 58 Hình 3.2.3: Application Layer Gateway 66 Hình 3.2.4: Mơ hình triển khai firewall 67 Hình 3.2.5: Mơ hình triển khai kết hợp firewall nhiều tầng 68 Hình 3.2.6: Vị trí hoạt động NIDSs 70 Hình 4.1.1: Mơ hình mạng mơ 72 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-K46 LỜI NÓI ĐẦU Ngày nay, tất nƣớc giới dành đầu tƣ to lơn để phát triển công nghệ thông tin Cùng với viễn thông, tin học thành phần cốt lõi công nghệ thông tin Thuật ngữ “mạng máy tính” trở nên quen thuộc trở thành đối tƣợng nghiên cứu, ứng dụng nhiều ngƣời có nghề nghiệp phạm vi hoạt động khác Từ đời, mạng máy tính đáp ứng nhu cầu chia sẻ nguồn tài nguyên, giảm chi phí muốn trao đổi liệu đƣợc sử dụng cơng tác văn phịng cách tiện lợi Đến nay, phát triển xã hội, nhu cầu trao đổi thơng tin ngày nhiều, mạng máy tính khơng ngừng phát triển, khơng ngừng tối ƣu hoá dịch vụ để đáp ứng yêu cầu Trong năm gần đây, internet trở thành công cụ thuận tiện phổ biến hoạt động kinh doanh giải trí Trong môi trƣờng mạng, lƣợng thông tin hay khối liệu từ ngƣời gửi đến ngƣời nhận thƣờng phải qua nhiều nút với sử dụng khác nhau, đảm bảo thơng tin khơng bị chép, đánh cắp hay xuyên tạc Do việc xây dựng hoạch định sách, triển khai xây dựng hệ thống mạng cách an tồn nhằm tạo mơi trƣờng mạng “trong sạch” vấn đề đƣợc nhiều tổ chức, doanh nghiệp, quốc gia quan tâm Để làm đƣợc điều này, quan tổ chức cần phải xây dựng cho sách bảo vệ mơi trƣờng mạng cách thiết thực Dựa yêu cầu đặt ban đầu, thông qua hiểu biết việc cấu hình thiết bị mạng, phối kết hợp chúng để chúng phát huy đƣợc điểm mạnh sẵn có khắc phục đƣợc điểm yếu cho nhằm đạt đƣợc mục tiêu bảo vệ an tồn cho hệ thống mạng Với đồ án tốt nghiệp đề tài: ”Mạng LAN phƣơng pháp bảo mật”, em muốn nêu lên số phƣơng pháp giúp cho ngƣời quản trị mạng triển khai để bảo vệ mạng trƣớc công truy nhập trái phép LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-K46 Nội dung đồ án đƣợc chia thành phần: Phần 1: Tổng quan mạng máy tính Phần 2: Thiết kế mạng LAN WAN Phần 3: Một số phƣơng pháp công biện pháp bảo vệ mạng Phần 4: Xây dựng mơ hình hệ thống mơ Kết luận LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-K46 PHẦN 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH CHƢƠNG 1: CÁC KHÁI NIỆM CƠ BẢN Mạng kết nối mạng Ở mức độ nhất, mạng (network) bao gồm hai máy tính nối với cáp (cable) cho chúng dùng chung liệu Mọi mạng máy tính cho dù tinh vi phức tạp đến hệ thống đơn giản nhƣ Đây thành tựu lớn lao công nghệ truyền thông Mạng máy tính phát sinh từ nhu cầu chia sẻ (share) liệu ngƣời dùng máy tính Máy tính cá nhân công cụ tuyệt vời giúp tạo liệu, bảng tính, hình ảnh nhiều dạng thơng tinh khác nhƣng lại khơng cho phép nhanh chóng chia sẻ liệu bạn tạo cho ngƣời xem thƣởng thức Khơng có hệ thống mạng liệu, muốn mang thơng tin sang máy tính khác bạn dùng tới giúp đỡ đĩa mềm (floppy), in tài liệu cần chia sẻ giấy Đó hạn chế lớn việc thiếu mơi trƣờng mạng Đây làm việc mơi trƣờng độc lập, hiệu cơng việc không cao Nếu ngƣời môi trƣờng độc lập nối máy tính với máy tính nhiều ngƣời khác, sử dụng liệu máy tính khác, kể máy in Một nhóm máy tính thiết bị ngoại vi kết nối với đường truyền vật lý theo kiến trúc đƣợc gọi mạng (network), cịn khái niệm máy tính nối với dùng chung tài nguyên gọi nối mạng (networking) LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-K46 ` ` ` ` Hình 1.1.1: Một hệ thống mạng đơn giản Đƣờng truyền vật lý dùng để truyền tín hiệu điện tử máy tính Hiện hai loại đƣờng truyền hữu tuyến (cable) vô tuyến (wireless) đƣợc sử dụng việc nối kết mạng máy tính Đƣờng truyền hữu tuyến gồm có: +Cáp đồng trục (coxial cable) +Cáp đôi xoắn (twisted pair cable), gồm hai loại STP UTP +Cáp quang (fiber optic cable) Đƣờng truyền vơ tuyến gồm có: +Radio +Sóng cực ngắn (micro wave) +Hồng ngoại (infrared) Kiến trúc mạng máy tính (network architecture) thể cách nối máy tính với tập hợp quy tắc, quy ƣớc mà tất thực thể tham gia truyền thông mạng phải tuân theo để đảm bảo cho mạng hoạt động tốt Cách nối máy tính gọi topology mạng, tập hợp quy tắc, quy ƣớc truyền thông gọi giao thức (protocol) mạng *Topo mạng: Một số topo thƣờng đƣợc dùng là: LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-K46 +Bus (xa lộ): Tất trạm phân chia chung đƣờng truyền Đƣịng truyền đƣợc giới hạn đầu loại đầu nối đặc biệt gọi terminator Mỗi trạm đƣợc nối vào bus qua đầu nối chữ T Khi trạm truyền liệu, tín hiệu đƣợc quảng bá chiều bus, nghĩa tất trạm cịn lại nhận đƣợc +Ring (vịng): Tín hiệu đƣợc lƣu chuyển vịng theo chiều Mỗi trạm đƣợc nối với vòng qua chuyển tiếp (repeater) có nhiệm vụ nhận tín hiệu chuyển đến trạm vòng Cần thiết phải có giao thức điều khiển việc cấp phát “quyền” đƣợc truyền liệu vịng cho trạm có nhu cầu +Star (hình sao): Tất trạm đƣợc nối vào thiết bị trung tâm có nhiệm vụ nhận tín hiệu từ trạm chuyển đến trạm đích tín hiệu Tuỳ theo yêu cầu truyền thơng mạng thiết bị trung tâm chuyển mạch (switch), chọn đƣờng (router) đơn giản phân kênh (hub) Star topo lắp đặt đơn giản, dễ cấu hình, dễ kiểm sốt khắc phục cố Tuy nhiên độ dài đƣờng truyền với thiết bị trung tâm bị hạn chế (khoảng 100m) +Extended star (hình mở rộng): Nó tƣơng tự dạng hình Các tập trung mạng hình lại đƣợc đƣợc nối vào tập trung khác +Hierarchical (phân lớp): Topo tƣơng tự nhƣ dạng mở rộng Sự khác biệt ở không sử dụng nút trung tâm nhƣ hình mở rộng +Mesh (tổng hợp): Trong dạng này, tất thiết bị có đƣờng nối trực tiếp đến thiết bị khác Ƣu điểm dạng đảm bảo mạng hoạt động bình thƣờng trƣờng hợp có vài kết nối bị hỏng Tuy nhiên dạng chi phí cao nhiều dây nối trạm Topo thƣờng đƣợc dùng mạng lõi (backbone) 10 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-K46 1.1 Yêu cầu thiết kế Thiết kế triển khai mạng nội cho công ty có trụ sở Hà Nội chi nhánh TP Hồ Chí Minh đáp ứng đƣợc số yêu cầu sau Yêu cầu thiết kế: +Các máy mạng có khả trao đổi thơng tin với +Tất máy truy cập Internet +Áp dụng số phƣơng pháp để tăng khả an tồn thơng tin +Mạng dễ dàng mở rộng thêm chi nhánh mở rộng nội chi nhánh 1.2 Mô tả hệ thống Ở chi nhánh bao gồm switch, switch ứng với tầng Mỗi switch đƣợc chia thành VLAN VLAN2, VLAN3 VLAN4, VLAN tƣơng ứng với phịng ban riêng biệt cơng ty Thực tế số switch số VLAN thay đổi tuỳ theo u cầu Mơ hình cách cấu hình cho hệ thống hoàn toàn tƣơng tự Mạng sử dụng địa IP 172.16.0.0 với subnetmask 255.255.0.0 Việc đánh địa IP đƣợc chia nhƣ sau: Đối với switch Hà Nội +VLAN2 có dải địa IP 172.16.2.0/24 +VLAN3 có dải địa IP 172.16.3.0/24 +VLAN4 có dải địa IP 172.16.4.0/24 Đối với switch TP Hồ Chí Minh +VLAN2 có dải địa IP 172.16.5.0/24 +VLAN3 có dải địa IP 172.16.6.0/24 +VLAN4 có dải địa IP 172.16.7.0/24 Mạng nối router với có địa 172.16.1.0/30 73 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-K46 Các thiết bị triển khai hệ thống Nhƣ mơ hình thấy, thiết bị đƣợc sử dụng bao gồm: +Router Cisco 2650 +Switch Cisco 2950 +Đƣờng nối router Hà Nội TP Hồ Chí Minh kết nối serial (có thể đƣờng leased line thuê nhà cung cấp dịch vụ) 74 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-K46 CHƢƠNG 2: TRIỂN KHAI CẤU HÌNH TRÊN CÁC THIẾT BỊ Router 1.1 Cấu hình địa IP Cổng Serial 0/0 router HaNoi đƣợc kết nối với cổng Serial 0/1 router SaiGon Để cho đƣờng kết nối hoạt động cần cấu hình địa IP cho cổng Sau lệnh cấu hình địa IP cho cổng này: Router#config terminal Router(config)#hostname HaNoi HaNoi(config)#interface s0/0 HaNoi(config- if)#ip address 172.16.1.1 255.255.255.252 HaNoi(config- if)#clock rate 64000 HaNoi(config- if)#no shutdown HaNoi(config- if)#exit Ở router HaNoi đƣợc coi đầu DCE kết nối serial nên cần phải đặt clock rate Lệnh cấu hình địa cho router SaiGon: Router#config terminal Router(config)#hostname SaiGon SaiGon(config)#interface s0/1 SaiGon(config- if)#ip address 172.16.1.2 255.255.255.252 SaiGon(config- if)#no shutdown SaiGon(config- if)#exit 1.2 Cấu hình password truy nhập Để ngăn chặn truy cập trái phép trực tiếp vào router cách nhƣ qua telnet biết địa IP, cắm trực tiếp thiết bị thông qua cổng console tiến hành thiết lập mã hoá password truy cập vào router 75 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-K46 Lệnh cấu hình: HaNoi(config)#line consol HaNoi(config-line)#password bachkhoa HaNoi(config-line)#login HaNoi(config-line)#exit Lệnh đặt enable password: HaNoi(config)#enable password bachkhoa Password không đƣợc mã hố, hiển thị dƣới dạng clear text thực lệnh show runningconfig, để mã hoá password dùng lệnh: HaNoi(config)#enable secret bachkhoa Lệnh cấu hình password cho phiên telnet: HaNoi(config)#line vty HaNoi(config-line)#password bachkhoa HaNoi(config-line)#login HaNoi(config-line)#exit Ngoài ra, để tăng khả bảo mật cấu hình PAP (Password Authentication Protocol) CHAP (Challenge Handshake Authentication Protocol) kết nối hai router Việc cấu hình thực lệnh sau: HaNoi(config)#username SaiGon password bachkhoa HaNoi(config)#interface s0/0 HaNoi(config- if)#encapsulation ppp HaNoi(config- if)#ppp authentication chap Trên router SaiGon lệnh cấu hình hồn tồn tƣơng tự nhƣ router HaNoi 76 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-K46 1.3 Cấu hình phƣơng pháp định tuyến Việc áp dụng phƣơng pháp định tuyến làm tăng khả an tồn thơng chạy mạng Có hai phƣơng pháp định tuyến phƣơng pháp định tuyến tĩnh (Static Routes) định tuyến động (Dynamic Routes) Có nhiều phƣơng pháp định tuyến động nhƣ RIP, IGRP, EIGRP, OSPF… Ở sử dụng giao thức RIP (Routing Information Protocol) RIP giao thức sử dụng cho mạng tƣơng đối nhỏ, có đặc điểm sau: +Sau 30 giây cập nhật bảng định tuyến lần thơng tin định tuyến đƣợc router gửi quảng bá mạng +Sử dụng hop count (số bƣớc nhày) để xác lập bảng định tuyến Nếu số bƣớc nhảy lớn 15, gói tin bị loại bỏ Các lệnh cấu hình RIP router: HaNoi(config)#router rip HaNoi(config-router)#network 172.16.0.0 SaiGon(config)#router rip SaiGon(config-router)#network 172.16.0.0 1.4 Cấu hình ACLs Việc cấu hình ACLs router khiến router hoạt động nhƣ firewall thực thụ Ở cấu hình ACLs để ngăn chặn gói tin host 172.16.5.5 qua router HaNoi HaNoi(config)#access-list deny 172.16.5.5 0.0.0.0 HaNoi(config)#access-list permit 0.0.0.0 255.255.255.255 HaNoi(config)#interface s0/0 HaNoi(config-if)#ip access-group in Hai dịng lệnh đƣợc thay lệnh sau: HaNoi(config)#access-list deny host 172.16.5.5 77 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-K46 HaNoi(config)#access-list permit any Trên mơ hình mơ phỏng, để ngăn chặn hacker ngồi telnet vào router tạo ACLs ngăn chặn telnet: HaNoi(config)#access-list 101 deny tcp any any eq 23 HaNoi(config)#access-list 101 permit ip any any HaNoi(config)#interface s0/1 HaNoi(config-if)#ip access-group 101 in Với cấu trúc lệnh nhƣ trên, phiên telnet từ vào router HaNoi bị ngăn chặn gói tin IP khác hoạt động bình thƣờng Ngồi phƣơng pháp bảo hệ thống thơng qua cấu hình router sử dụng phƣơng pháp chuyển đổi địa mạng (Network Address Transtation) để ngăn chặn việc bị phát địa IP máy nội mạng Switch 2.1 Cấu hình password truy nhập Cũng giống nhƣ router, switch cấu hình password cho cổng consol nhƣ phiên telnet Lệnh cấu hình nhƣ sau: Switch1(config)#line console Switch1(config-line)#password bachkhoa Switch1(config-line)#login Switch1(config-line)#exit Lệnh đặt enable password: Switch1(config)#enable password bachkhoa Password không đƣợc mã hố, hiển thị dƣới dạng clear text thực lệnh show runningconfig, để mã hố password dùng lệnh: Switch1(config)#enable secret bachkhoa 78 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-K46 Lệnh cấu hình password cho phiên telnet: Switch1(config)#line vty 15 Switch1(config-line)#password bachkhoa Switch1(config-line)#login Switch1(config-line)#exit 2.2 Cấu hình VLAN Trên switch đƣợc chia thành VLAN VLAN2, VLAN3 VLAN4 Việc phân chia port switch vào VLAN nhƣ sau: +Port đến thuộc VLAN2 +Port đến 16 thuộc VLAN3 +Port 17 đến 24 thuộc VLAN4 Riêng VLAN1 đƣợc dùng làm VLAN quản lý khơng có port switch đƣợc gắn vào VLAN1 2.2.1 Cấu hình cho chi nhánh Hà Nội +Các lệnh cấu hình cho switch1 nhƣ sau: Switch1#vlan database Switch1(vlan)#vlan Switch1(vlan)#vlan Switch1(vlan)#vlan Switch1(vlan)#vtp domain hanoi Switch1(vlan)#vtp server Switch1(vlan)#exit Sau câu lệnh VLAN2, VLAN3 VLAN4 đƣợc tạo switch1 Switch1 đƣợc đặt trạng thái VTP server nằm domain hahoi Nhƣ switch1 có nhiệm vụ quảng bá thơng tin VLAN cho switch cịn lại Để định tuyến cho VLAN ta cần phải cấu hình subinterface router 79 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-K46 HaNoi(config)#interface fa0/0 HaNoi(config-if)#no shutdown HaNoi(config-if)#interface fa0/0.2 HaNoi(config-if)#encapsulation dot1q HaNoi(config-if)#ip address 172.16.2.1 255.255.255.0 -HaNoi(config-if)#interface fa0/0.3 HaNoi(config-if)#encapsulation dot1q HaNoi(config-if)#ip address 172.16.3.1 255.255.255.0 -HaNoi(config-if)#interface fa0/0.4 HaNoi(config-if)#encapsulation dot1q HaNoi(config-if)#ip address 172.16.4.1 255.255.255.0 HaNoi(config-if)#exit Qua câu lệnh trên, cổng fa0/0 router HaNoi đƣợc chia thành cổng logic tƣơng ứng với VLAN Sau tạo VLAN cần phải gán cổng switch vào VLAN tƣơng ứng Switch1#config terminal Switch1(config)#interface fa0/x Switch1(config-if)#switchport mode access Switch1(config-if)#switchport access vlan Switch1(config-if)#exit Ở x số port đƣợc gán vào VLAN2, x có giá trị từ đến -Switch1#config terminal Switch1(config)#interface fa0/y Switch1(config-if)#switchport mode access Switch1(config-if)#switchport access vlan 80 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-K46 Switch1(config-if)#exit Ở y số port đƣợc gán vào VLAN3, y có giá trị từ đến 16 -Switch1#config terminal Switch1(config)#interface fa0/z Switch1(config-if)#switchport mode access Switch1(config-if)#switchport access vlan Switch1(config-if)#exit Ở z số port đƣợc gán vào VLAN4, z có giá trị từ 17 đến 24 -Đƣờng nối hai switch cần phải đƣợc cấu hình mức trunk để mang thông tin VLAN Switch1#config terminal Switch1(config)#interface gigabit1 Switch1(config-if)#switchport mode trunk Ngoài ra, để thuận tiện cho việc quản lý ta đặt địa IP cho switch Switch1#config terminal Switch1(config)#interface vlan1 Switch1(config-if)#ip address 172.16.0.1 255.255.255.0 +Các lệnh cấu hình cho switch2 nhƣ sau: Switch2#vlan database Switch2(vlan)#vtp domain hanoi Switch2(vlan)#vtp client Switch2(vlan)#exit Switch2 đƣợc cấu hình VTP domain với switch1 mức client Nhƣ switch2 khơng có khả tạo nhƣ xố VLAN Nó nhận thơng tin VLAN từ switch1 Cả việc gán cổng vào VLAN 81 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-K46 khơng cần cấu hình nhận từ switch1 Trên switch2 cần cấu hình mode trunk cho đƣờng nối đặt IP để tiện quản lý: Switch2#config terminal Switch2(config)#interface gigabit1 Switch2(config-if)#switchport mode trunk Switch2(config-if)#exit Switch1(config)#interface vlan1 Switch1(config-if)#ip address 172.16.0.2 255.255.255.0 2.2.2 Cấu hình cho chi nhánh Sài Gịn Việc cấu hình switch chi nhánh Sài Gịn hồn tồn tƣơng tự Ở vtp domain saigon địa IP cho VLAN tƣơng ứng nhƣ sau: +VLAN2 172.16.5.0/24 +VLAN3 172.16.6.0/24 +VLAN4 172.16.7.0/24 82 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-K46 KẾT LUẬN Để đảm bảo an tồn thơng tin mạng cần phải thực nhiều lớp bảo vệ khác nhau, lớp có mặt hạn chế có ƣu điểm riêng Tuỳ vào yêu cầu cụ thể công việc mà ta cần lựa chọn biện pháp cho thích hợp để đáp ứng đƣợc nhu cầu đảm bảo an tồn thơng tin cho hệ thống Hiện để triển khai hệ thống mạng an tồn có nhiều phƣơng pháp áp dụng, việc sử dụng thiết bị mạng phƣơng pháp quan trọng Những thiết bị đƣợc sử dụng nhiều nhƣng để phát huy hết khả chúng ngƣời quản trị cần phải có hiểu biết tƣơng đối sâu thiết bị Trên thực tế nay, tất công ty hay tổ chức cần xây dựng hệ thống mạng cho riêng mình, hệ thống mạng có yêu cầu an ninh mạng tuỳ theo mức độ quan trọng thông tin Việc thực đề tài phần đáp ứng đƣợc u cầu Đề tài hồn tồn đem áp dụng để xây dựng hệ thống mạng thực tế Có thể quy mơ mạng lớn có yêu cầu an ninh cao hơn, kết hợp nhiều biện pháp khác để đảm bảo an tồn cho mạng Đề tài có nhiều điểm tích cực nhƣng cịn hạn chế, vấn đề đƣợc nêu dừng lại mức bản, chƣa thực sâu vào vấn đề Vì thời gian thực đề tài khơng dài, thiết bị dùng để thực có hạn, việc thực cấu hình thiết bị khơng đƣợc nhiều cịn nhiều hạn chế để thực đƣợc nhiều biện pháp đảm bảo an ninh mạng thiết bị Nếu có điều kiện thiết bị nhƣ thời gian đề tài chắn mang tính thực tế nhiều hơn, giúp cho ngƣời đọc dễ dàng hiểu đƣợc hệ thống mạng thực bao gồm chúng hoạt động 83 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-K46 Thông qua trình thực đề tài em may mắn đƣợc tiếp xúc với thiết bị hệ thống mạng máy tính, biết đƣợc chúng hoạt động nào, điều giúp em mở mang thêm nhiều kiến thức Việc kết hợp lý thuyết học ghế nhà trƣờng với kiến thức thực tế tạo nhiều thuận lợi cho công tác em sau 84 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-K46 NHỮNG THUẬT NGỮ VIẾT TẮT ACK Acknowledgement ACLs Access Control Lists ARP Address Resolution Protocol ATM Asynchronous Transfer Mode CAM Content Addressable Memory CHAP Challenge Handshake Authentication Protocol DCE Data Circuit-Terminating Equipment DDoS Distributed Denial of Service DNS Domain Name System DoS Denial of Service DTE Data Terminal Equipment FDDI Fiber Distributed Data Interface FTP File Transfer Protocol IDSs Instrution Direction Systems ICMP Internet Control Message Protocol IP Internet protocol ISDN Intergrated Services Digital Network LAN Local Area Network MAC Media Access Control NAT Network Address Transtation NIC Network Interface Card OSI Open Systems Interconnection OSPF Open Shortest Path Firth PAP Password Authentication Protocol PPP Point to point Protocol RIP Routing Information Protocol 85 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-K46 SMTP Simple Mail Transfer Protocol SNMP Simple Network Management Protocol SONET Synchronous Optical Network STP Shield Twisted Pair TCP Transmission Control Protocol UDP User Datagram Protocol UTP Unshield Twisted Pair VLAN Virtual LAN VTP VLAN Trunking Protocol WAN Wide Area Network 86 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-K46 TÀI LIỆU THAM KHẢO [1] Nguyễn Thúc Hải – “Mạng máy tính hệ thống mở” – NXB Giáo dục [2] Khƣơng Anh – “Giáo trình hệ thống mạng máy tính CCNA” – NXB Lao động – Xã hội [3] Giáo trình CCNA 3.1 [4] CCNA Lab Pro 87 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... mục tiêu bảo vệ an tồn cho hệ thống mạng Với đồ án tốt nghiệp đề tài: ? ?Mạng LAN phƣơng pháp bảo mật? ??, em muốn nêu lên số phƣơng pháp giúp cho ngƣời quản trị mạng triển khai để bảo vệ mạng trƣớc... 25 Hình 1.3.5: Các lớp địa IP 29 Hình 2.1.1: Mơ hình thiết kế mạng LAN 34 Hình 2.1.2: Các lớp thiết kế mạng LAN 35 Hình 2.1.3: Các gói tin chạy VLAN 37 Hình 2.2.1:... nghiệp Nguyễn Quốc Bảo ĐT12-K46 Nội dung đồ án đƣợc chia thành phần: Phần 1: Tổng quan mạng máy tính Phần 2: Thiết kế mạng LAN WAN Phần 3: Một số phƣơng pháp công biện pháp bảo vệ mạng Phần 4: Xây