Draytek được thành lập năm 1997 do một nhóm các kỹ sư tài năng và đã phát triển thành nhà cung cấp các giải pháp mạng tiên tiến hàng đầu thế giới. Chuyển hướng từ nhà cung cấp hàng đầu các giải pháp truy cập từ xa sang cung cấp giải pháp mạng theo nhu cầu riêng cho từng thị trường nội địa khác nhau trên toàn thế giới.Hiện nay các giải pháp mạng của Draytek trải dài từ: tường lửa cấp doanh nghiệp, VPN/VoIP dành cho SOHO, đa dạng các thiết bị về xDSL/Broadband, FTTH... đến các sản phẩm viễn thông tương lai có thể đáp ứng xu hướng thị trường và mong đợi của doanh nghiệp, công ty.Tài liệu cung cấp một số giải pháp cho mạng trên nền thiết bị Draytek.
2 CHƯƠNG 1 4 TỔNG QUAN GIẢI PHÁP 4 1.1. Đặt vấn đề 4 1.2. Mục đích, yêu cầu của đề tài 4 1.3. Sơ đồ khối thiết kế 5 Hệ thống mạng bao gồm hai phần: 5 CHƯƠNG 2 7 PHÂN TÍCH NHIỆM VỤ 7 2.1. Mục tiêu giải pháp 7 2.2. Lên kế hoạch và lựa chọn giải pháp triển khai 7 2.2.1. Phân tích khả năng hệ thống 7 2.2.2. Lựa chọn giải pháp cho hệ thống 9 CHƯƠNG 3 10 TỔNG QUAN VỀ THIẾT BỊ 10 3.1. Giới thiệu 10 3.2. Thiết bị chính 10 3.3. Mô hình ứng dụng 13 3.4. Demo cấu hình 16 CHƯƠNG 4 17 CÁC GIẢI PHÁP VÀ CẤU HÌNH TRONG LAN 17 4.1. Cấu hình hệ thống 17 4.1.1. Truy cập vào thiết bị 17 4.1.2. Cấu hình kết nối internet 18 4.1.3. Kiểm tra trạng thái kết nối 19 4.1.4. LAN >> VLAN 19 4.1.5. Bind IP to MAC 20 4.1.6. Nat Port Redirection 21 4.1.7. Bandwidth Management 22 4.1.8. Dynamic DNS 23 4.1.9. Wake on LAN 24 4.2. Hợp lý hóa băng thông và tăng độ bảo mật bằng cách phân chia hệ thống mạng thành nhiều phân đoạn 24 4.2.1. Lên kế hoạch 25 4.2.2. Kích hoạt chế độ VLAN trên LAN của Vigor2950 26 4.2.3. Kích hoạt và khai báo địa chỉ IP cho 4 subnets. 28 4.2.4. Phân quyền truy cập giữa các VLAN 28 4.2.5. Phần cấu hình Wireless (dành cho những sản phẩm có tích hợp tính năng wireless) 29 4.3. Ứng dụng xác thực người dùng truy cập internet (Web 32 authentication) 32 4.4. Cấu hình bộ lọc cho Router Vigor 36 4.5. Cấu hình lập lịch cho Firewall và URL Content Filter 42 4.6. Giải pháp mạng riêng ảo (VPN - Virtual Private Network) 44 3 4.6.1. Tạo tài khoản VPN 45 4.6.2. Cấu hình 45 4.6.3. Tiến hành kết nối VPN từ xa 47 4.6.4. Kiểm tra kết nối VPN 49 KẾT LUẬN 50 TÀI LIỆU THAM KHẢO 51 4 CHƯƠNG 1 TỔNG QUAN GIẢI PHÁP 1.1. Đặt vấn đề Hiện nay các Công ty, doanh nghiệp đều sử dụng máy tính và các ứng dụng trên máy tính như một công cụ làm việc thiết yếu. Điều đó cũng đồng nghĩa với việc xây dựng, quản trị và phát triển hệ thống mạng máy tính là một công tác có ảnh hưởng quan trọng đến hoạt động sản xuất kinh doanh. Doanh nghiệp ngày càng phát triển do đó quy mô mạng càng mở rộng dẫn đến nhu cầu tách hệ thống mạng thành nhiều phân đoạn để có thể hợp lí hóa băng thông, kiểm soát truy cập. Lên kế hoạch và lựu chọn phương pháp triển khai phù hợp theo nhu cầu của công ty, doanh nghiệp. Triển khai, thiết lập chính sách bảo mật và khắc phục các sự cố liên quan đến mạng nội bộ cho cá nhân, doanh nghiệp. Hợp lý hoá băng thông, giảm các nguy cơ lây lan virus và kiểm soát truy cập mạng. Triển khai VPN cho cá nhân, doanh nghiệp 1.2. Mục đích, yêu cầu của đề tài Để thực hiện được đề tài này phải nghiên cứu tìm hiểu về các phương pháp thiết kế rồi tìm ra phương pháp phù hợp nhất. Xây dựng hệ thống mạng đảm bảo được các yêu cầu về các công nghệ, các phương pháp thiết kế đối với từng nhu cầu của cá nhân, doanh nghiệp. 5 1.3. Sơ đồ khối thiết kế Hình 1.1. Sơ đồ khối thiết kế Hệ thống mạng bao gồm hai phần: Thiết bị xử lý riêng lẻ: khả năng hoạt động liên tục, xử lý và chuyển tiếp nhanh các yêu cầu cá nhân từng khu vực về thiết bị điều khiển trung tâm. Thiết bị này hỗ trợ các chuẩn giao tiếp có dây và không dây. Phần hệ thống thiết bị tổng hợp xử lý tập trung: Thiết bị chính (Vigor 2950) cung cấp các kết nối tốc độ 1Gbps đến các thiết bị riêng lẻ và các kết nối uplink tốc độ 1Gbps về hệ thống trung tâm, tại đây các nhu cầu kết nối được xử lý một cách linh hoạt và mạnh mẽ. 6 Toàn bộ hệ thống được thiết kế và thi công theo mô hình quản lý tập trung; tất cả mọi vấn đề về quản lý, cấu hình, theo dõi hệ thống, giám sát người dùng đều được thực hiện trên thiết bị điều khiển trung tâm. Tất cả người dùng trong hệ thống sẽ được phân chia, theo dõi, giám sát, phân quyền truy cập vào hệ thống tùy theo kiến trúc, mô hình phân chia của người quản lý. Tính năng vượt trội của thiết bị này sẽ đảm bảo khả năng hoạt động một cách tối ưu của hệ thống cũng như dễ dàng nâng cấp và mở rộng. Tại mỗi tầng của tòa nhà sẽ trang bị một thiết bị xử lý riêng lẻ để kết nối dữ liệu về hệ thống xử lý tập trung. 7 CHƯƠNG 2 PHÂN TÍCH NHIỆM VỤ 2.1. Mục tiêu giải pháp Xây dựng hệ thống mạng cho cá nhân, doanh nghiệp nhằm đảm bảo cung cấp các dịch vụ truy cập internet, tìm kiếm thông tin, tài liệu Phục vụ cho nhu cầu hoạt động sản xuất kinh doanh, việc sử dụng máy tính và các ứng dụng trên máy tính như một công cụ làm việc thiết yếu trong mỗi doanh nghiệp, công ty. Đáp ứng công cuộc hiện đại hóa, công nghiệp hóa đất nước. Toàn bộ công ty được thiết lập hệ thống mạng, hệ thống tường lửa để đảm bảo cung cấp toàn bộ giải pháp mạng ổn định, hiện đại tới từng văn phòng. Đồng thời linh hoạt để đáp ứng các khả năng mở rộng và phát triển trong tương lai. Do đó, các thiết bị được trang bị cho giải pháp này phải tiên tiến, phù hợp với các tiêu chuẩn chung quốc tế, nhằm hỗ trợ dịch vụ ở mức cao nhất. Các giải pháp, công nghệ lựa chọn cho thiết kế phải phù hợp với các yêu cầu hiện nay, cũng như khả năng phát triển trong tương lai dựa trên xu hướng, tốc độ phát triển chung của ngành CNTT thế giới trong thời gian 5 – 10 năm tới. 2.2. Lên kế hoạch và lựa chọn giải pháp triển khai Hệ thống thiết bị được đặt tại các tầng của tòa nhà, mỗi tầng sẽ đặt một thiết bị chuyển mạch. Các thiết bị này sẽ kết nối về hệ thống trung tâm, tất cả sẽ được quản lý tập trung tại phòng trung tâm. Phòng trung tâm sẽ tập trung các thiết bị mạng bao gồm thiết bị điều khiển và quản lý các điểm truy cập, điều này sẽ đảm bảo hệ thống vận hành đơn giản, dễ dàng, đáp ứng được tính năng quản lý tập trung. 2.2.1. Phân tích khả năng hệ thống Hệ thống giải pháp này sẽ phục vụ cho khoảng 250 người sử dụng, hệ thống mở, dễ dàng nâng cấp. Các thiết bị được đặt ở vị trí sao cho toàn bộ khuôn viên, hành lang luôn đảm bảo được mỹ quan. Theo kiến trúc hệ thống, thiết kế tốt nhất cho giải pháp 8 này là tại ban quản lý sẽ đặt một thiết bị xử lý trung tâm riêng, toàn bộ thiết bị được đặt nơi dễ thao tác, đảm bảo an ninh, thuận tiện trong xử lý sự cố và vừa để đảm bảo độ ổn định việc cung cấp mạng cho từng tầng. Có thể backup liên tầng nhằm mục đích dự phòng và roaming lẫn nhau (Roaming là khả năng một người dùng máy xách tay không nối dây có thể kết nối liên tục khi đang di chuyển tự do trong khu vực rộng hơn vùng bao phủ của một access point đơn lẻ.) Khả năng cung cấp mạng, đảm bảo sự ổn định rất cao, tăng chất lượng sử dụng. Mỗi một thiết bị có khả năng cung cấp cho khoảng 250 người dùng. Các thiết bị sẽ đảm bảo việc roaming cho người dùng nhằm phù hợp với tính năng di động của người dùng. Điều này thể hiện qua việc người dùng có thể di chuyển trong phạm vi công ty, doanh nghiệp, thay đổi kết nối từ thiết bị ở vị trí này sang thiết bị ở vị trí khác, người dùng không phải ngắt kết nối để đăng nhập trở lại. Do đó sẽ đảm bảo tính liên tục kết nối cho người dùng. Với người quản trị hệ thống, việc quản lý các thiết bị truy cập trên thiết bị điều khiển chính sẽ đơn giản hóa quá trình cấu hình, bảo trì và sửa chữa. Người quản trị chỉ cần ngồi tại phòng trung tâm để cấu hình, giám sát, quản lý, theo dõi toàn bộ hệ thống. Thiết lập xác thực người dùng truy cập internet (Web authentication). Với những giải pháp thông thường sẽ phải chịu thêm chi phí, gia tăng sự quản lý chồng chéo. Mỗi khi cấu hình, bảo trì hay thiết lập xác thực, người quản trị phải đến tận nơi kết nối trực tiếp vào thiết bị và cấu hình lên nó, và quay trở lại cài đặt trên máy các văn phòng. Việc này sẽ tốn thời gian và khó khăn hơn. 9 2.2.2. Lựa chọn giải pháp cho hệ thống Căn cứ vào các yêu cầu của hệ thống, dựa vào kiến trúc tổng quan, đưa ra giải pháp xây dựng hệ thống mạng cho doanh nghiệp, công ty bao gồm: Giải pháp hệ thống cung cấp mạng, Load Balancing cho doanh nghiệp,công ty, mạng không dây, an toàn bảo mật mạng, quản lý mạng tập trung, mạng riêng ảo VPN, tối ưu hóa băng thông và kiểm soát truy cập mạng. Hệ thống cung cấp mạng: khả năng xử lý tức thời, đáp ứng các nhu cầu truy xuất thông tin, trao đổi dữ liệu nhanh giữa các người dùng cục bộ, hỗ trợ các tính năng bảo mật cao cấp như 802.1x, Private/Guest VLAN, SSH và SSL, ACLs , khả năng tạo các mạng riêng ảo VPN để phân chia các nhóm người dùng, nhằm đáp ứng khả năng mở rộng và các yêu cầu cao cấp trong tương lai. 10 CHƯƠNG 3 TỔNG QUAN VỀ THIẾT BỊ 3.1. Giới thiệu Draytek được thành lập năm 1997 do một nhóm các kỹ sư tài năng và đã phát triển thành nhà cung cấp các giải pháp mạng tiên tiến hàng đầu thế giới. Chuyển hướng từ nhà cung cấp hàng đầu các giải pháp truy cập từ xa sang cung cấp giải pháp mạng theo nhu cầu riêng cho từng thị trường nội địa khác nhau trên toàn thế giới. Hiện nay các giải pháp mạng của Draytek trải dài từ: tường lửa cấp doanh nghiệp, VPN/VoIP dành cho SOHO, đa dạng các thiết bị về xDSL/Broadband, FTTH đến các sản phẩm viễn thông tương lai có thể đáp ứng xu hướng thị trường và mong đợi của doanh nghiệp, công ty. 3.2. Thiết bị chính Hình 3.1. Vigor 2950. Router Draytek Vigor 2950 là thiết bị Switch Layer 3. Là dòng sản phẩm định tuyến mạnh mẽ của Draytek. Nắm bắt nhu cầu băng thông ngày càng lớn và cước thuê bao ADSL ngày càng giảm, DrayTek tung thêm dòng Vigor2950 dành cho doanh nghiệp. So với Vigor 2910 và Vigor 2910G thì Vigor 2950 (firmware 3.0.1) có thiết kế mới hơn. Sản phẩm dạng hình chữ nhật (273x166x44,6 mm) và [...]... Hình 3.9 C u hình b ng giao di n Web 16 CHƯƠNG 4 CÁC GI I PHÁP VÀ C U HÌNH TRONG LAN V i mô hình m ng c a doanh nghi p, tùy theo t ng yêu c u c a công ty, doanh nghi p mà chúng ta có th c u hình Vigor theo nh ng yêu c u tương ng, sau ây em xin ưa ra 1 vài gi i pháp m ng tiêu bi u, cài t và c u hình h th ng m ng c a doanh nghi p, trên n n thi t b DrayTek 4.1 C u hình h th ng Hình 4.1 Mô hình k t n i th... ng truy n cable quang n i m ng có th dùng 2 ư ng truy n c a 2 nhà cung c p d ch v Internet (ISP), theo hình trên có th 2 ư ng truy n ư c mô t như sau: - ư ng th nh t s d ng Converter quang n i vào WAN c a Vigor2950 PPPoE trên Vigor2950 IP tĩnh ho c ngoài) T t DHCP trên server và ng B 1 card m ng trên server (Card cho Vigor2950 làm DHCP server Gi s 1 ư ng cáp quang Viettel (có converter) - ư ng th hai... Vigor 2950 có 2 c ng WAN (10/100Mbps), 5 c ng LAN (10/100/1000Mbps), c ng LAN/Monitor (100Mbps) và công t c ngu n Trong ó, c ng LAN/Monitor (tương t ch c năng port mirroring trên switch) dành cho qu n tr m ng giám sát lưu lư ng trên toàn m ng V i l i th v băng thông cũng như các ch c năng qu n lý linh ho t và hi u qu , Vigor 2950 h tr s kênh k t n i m ng riêng o (VPN Server) nhi u hơn các router Vigor... và ch c năng kh i ng, DMZ, chu n xác th c ng máy tính t xa qua m ng (Wake On LAN) V i trình cài tt ng, vi c thi t l p k t n i l n lư t trên 2 c ng WAN khá ơn gi n T t c các c ng u tr ng thái n (stealth) th nghi m ch c năng VPN cho router, TestLab th c hi n k t n i trên 2 ư ng ADSL khác nhau M t ư ng gi l p làm VPN Server và ư ng còn l i làm VPN Client Vi c thi t l p k t n i di n ra nhanh chóng, t c... phương ti n, l c website b ng a ch IP và Subnet Mask; h n ch truy c p theo th i gian bi u (Time Schedule Control); chính sách phòng ch ng t n công DoS/DDoS, g i email c nh báo và ghi l i nh t ký Ngoài ra, DrayTek còn liên k t v i SurfControl l c n i dung website thông qua CPA (Content Portal Authority) 11 h tr cho vi c thi t l p các chính sách h n ch truy c p và các ng d ng, Vigor 2950 cũng h tr m ng n... không c n username và password, mode này s b h n ch 1 s tính năng, dành cho ngư i qu n lý thi t b c p user 17 Hình 4.2 ăng nh p Admin mode: user: admin và password: admin ây là mode ư c qu n lý toàn quy n trên thi t b , s lư ng ch c năng c p y nh t dành cho qu n lý admin cao nh t 4.1.2 C u hình k t n i internet PPPoE ây là ki u thư ng g p nh t Vào WAN >> Internet Access >> Access mode ch n PPPoE sau ó click... tin này) Click Ok ư ng lưu l i 18 Hình 4.4 C u hình k t n i 4.1.3 Ki m tra tr ng thái k t n i Online Status >> Physical Connection Hình 4.5 Ki m tra tr ng thái k t n i 4.1.4 LAN >> VLAN Tính năng Vlan trên Vigor router ư c qu n lý theo t ng port (Port base) Ví d : Port LAN 1 => switch c a phòng k toán Port LAN 2 => switch c a phòng kinh doanh 19 Port LAN 3 => switch c a phòng k thu t Port LAN 4 => switch... Wake on LAN ây là tính năng r t thú v c a 2950 4.2 H p lý hóa băng thông và tăng b o m t b ng cách phân chia h th ng m ng thành nhi u phân o n Hi n nay các doanh nghi p u s d ng máy tính và các ng d ng trên máy tính như m t công c làm vi c thi t y u i u ó cũng ng nghĩa v i vi c 24 xây d ng, qu n tr và phát tri n h th ng m ng máy tính là m t công tác có nh hư ng quan tr ng n ho t ng s n xu t kinh doanh... n có th truy c p internet Thi t b c n có: Vigor2950 Series và 4 switch thư ng, không c n h tr VLAN 802.1Q Ta có sơ m ng sau: 25 Hình 4.14 Mô hình th c t a ch IP và phân quy n 4.2.2 Kích ho t ch VLAN trên LAN c a Vigor2950 Vào LAN => VLAN ch n Enable và ánh các d u ch n như hình dư i 26 Hình 4.15 VLAN configuration Sau ó OK cho router reboot l i 27 4.2.3 Kích ho t và khai báo a ch IP cho 4 subnets... routing D th y, mu n cho LAN 1 th y LAN 3 ta ch vi c tick vào i m giao nhau gi a 2 LAN Các LAN khác không ư c ch n s không trao i d li u v i nhau ư c nhưng v n có th truy c p internet bình thư ng Như hình trên thì LAN 1 s không th y LAN 2, LAN 1 s không th y LAN 4, LAN 2 cũng không th y LAN 4 n ây coi như xong ph n c u hình dành cho m ng có dây Ta ch vi c c m dây t switch vào port LAN tương ng và h th ng . Router Draytek Vigor 2950 là thiết bị Switch Layer 3. Là dòng sản phẩm định tuyến mạnh mẽ của Draytek. Nắm bắt nhu cầu băng thông ngày càng lớn và cước thuê bao ADSL ngày càng giảm, DrayTek. khác nhau trên toàn thế giới. Hiện nay các giải pháp mạng của Draytek trải dài từ: tường lửa cấp doanh nghiệp, VPN/VoIP dành cho SOHO, đa dạng các thiết bị về xDSL/Broadband, FTTH đến các. tán gẫu IM (MSN, Y!M, ICQ ), VoIP (jajah, Skype), dịch vụ chia sẻ mạng ngang hàng P2P (SoulSeek, eDonkey, BitTorrent ) nhằm hạn chế việc chiếm dụng băng thông. Ngoài ra, để tránh người dùng truy