MỤC LỤC LỜI CẢM ƠN LỜI MỞ ĐẦU CHƯƠNG 1: GIỚI THIỆU DỰ ÁN VÀ PHÂN TÍCH NHU CẦU VÀ TRỤ SỞ 1.1 Giới thiệu dự án 1.2 Phân tích nhu cầu trường 1.2.1 Mục đích đối tượng sử dụng mạng 1.2.2 Yêu cầu trường 1.2.3 Yêu cầu hiệu suất hệ thống mạng 1.2.4 Yêu cầu tính bảo mật an toàn hệ thống 1.3 Khảo sát hệ thống .5 1.3.1 Cơ sở hạ tầng 1.3.2 Hệ thống mạng CHƯƠNG 2: PHÂN TÍCH VÀ THIẾT KẾ TỔNG THỂ .8 2.1 Tổng quan thiết kế 2.2 Thiết kế topo mạng .10 2.2.1 Thiết kế sơ đồ logic mạng LAN cho tòa nhà 10 2.2.2 Thiết kế sơ đồ mạng logic .11 2.2.3 Sơ đồ logic mạng tầng tòa nhà 12 2.3 Triển khai cài đặt 18 2.3.1 Cấu hình firewall 18 2.3.2 Switch lớp core distribution 18 2.3.3 Switch lớp access 18 2.4 Kế hoạch phân bố giải địa IP chia VLAN 19 2.5 Các giải pháp sử dụng mạng 20 2.5.1 Hệ thống chuyển mạch định tuyến trung tâm cho LAN 20 2.5.2 Thiết kế an ninh cho hệ thống 20 2.6 Lựa chọn thiết bị công nghệ .23 2.6.1 Cisco firewall ASA 5506-X 24 2.6.2 Wifi Cisco Meraki MR30 25 2.6.3 Switch layer 26 2.6.4 Switch layer 28 2.6.5 Dây cáp quang .29 2.6.6.Cáp đồng trục .30 2.6.7 Module quang Cisco GLC-SX-MM 31 2.6.8 Module Cisco SFP-10G-SR 32 2.7 Bảng dự tốn chi phí 33 KẾT LUẬN VÀ PHƯƠNG HƯỚNG PHÁT TRIỂN 35 A Kết luận .35 B Phương án mở rộng 35 TÀI LIỆU THAM KHẢO .36 LỜI MỞ ĐẦU Cùng với phát triển công nghệ thông tin hệ thống mạng máy tính đời phát triển cách nhanh chóng quy mơ ứng dụng Mạng máy tính trở nên quan trọng trình hoạt động sở giáo dục nói riêng sở hạ tầng nói chung Trong thời đại cơng nghệ phát triển hầu hết sở giáo dục triển khai xây dựng cho hệ thống mạng cục (mạng LAN) để phục vụ cho việc quản lý liệu nội đảm bảo tính an tồn tính bảo mật cho liệu cách thuận tiện Cũng thông qua hệ thống mạng để trao đổi thông tin với đối tác cách nhanh chóng Mặt khác nhờ có mạng giúp cho học sinh, sinh viên, cán công nhân viên sở truy cập liệu cách nhanh chóng, cịn giúp cho người quản trị mạng có nhìn tổng quát hệ thống mạng để khắc phục lỗi người sử dụng gây ra, giúp người quản trị phân quyền sử dụng tài nguyên cho đối tượng sở cách hợp lý, giúp cho người lãnh đạo dễ dàng quản lý học sinh, sinh viên cán công nhân viên Trong báo cáo em xin trình bày đề tài: “Phân tích thiết kế hạ tầng mạng cho tòa nhà E trường đại học Điện Lực” Mục đích báo cáo “Phân tích thiết kế an tồn mạng máy tính” em thiết kế xây dựng mạng LAN, WAN, mạng khác phục vụ theo yêu cầu thực tế Trong q trình làm báo cáo kiến thức có hạn nên cịn nhiều hạn chế, mong đóng góp ý kiến q thầy CHƯƠNG 1: GIỚI THIỆU DỰ ÁN VÀ PHÂN TÍCH NHU CẦU VÀ TRỤ SỞ 1.1 Giới thiệu dự án Đại học điện lực trường đại học công lập đa cấp, đa ngành có nhiệm vụ chủ yếu đào tạo nguồn nhân lực có chất lượng cao cung cấp cho Ngành phục vụ nhu cầu kinh tế xã hội đồng thời trung tâm nghiên cứu khoa học công nghệ hàng đầu Ngành, trực thuộc Bộ Công Thương Trường Đại học Điện lực có 18 ngành đào tạo đại học đại trà (trong 11 ngành tuyển sinh tổ chức đào tạo), chương trình đại học chất lượng cao, ngành đào tạo tiến sĩ, ngành đào tạo thạc sĩ với quy mơ gần 10.000 sinh viên Tịa nhà E trường vừa xây xong bước hoàn thiện Trong việc xây dựng hệ thống mạng quan trọng để kết nối lưu lượng tòa nhà với tòa nhà khác trường để tạo thành thể thống 1.2 Phân tích nhu cầu trường 1.2.1 Mục đích đối tượng sử dụng mạng Trường đại học Điện Lực có kế hoạch đầu tư xây dựng hệ thống trang thiết bị tin học, mạng thiết bị thực hành phục vụ cho việc học lưu giữ chia s‡ tài liệu phòng ban tòa nhà E Đối tượng sử dụng mạng: sinh viên, nhân viên cán phòng ban trường, thành viên ban điều hành 1.2.2 Yêu cầu trường Xây dựng hoàn chỉnh hệ thống mạng cho tòa nhà E để phòng ban trường hoạt động hiệu Hệ thống mạng máy tính kết nối cáp UTP đến phịng Các phịng làm việc trang bị số máy tính theo số lượng cán nhân viên phòng Các phòng học trang bị mạng wifi đáp ứng lượng lớn sinh viên truy cập lúc Tất máy tính tịa nhà kết nối Internet tốc độ cao với đường truyền ổn định 24/24 ● ● Chi phí chấp nhận được, tận dụng thiết bị cũ trường Đảm bảo tính th‰m mỹ Các yêu cầu cụ thể: ● Kết nối mạng trục cho nhà 10 tầng để nối mạng Camera, nối mạng LAN nội tòa nhà ● Kết nối với TTCNTT để từ nhà 10 tầng vào phần mềm nội vào mạng Internet qua đường Internet TTCNTT ● ● ● ● ● ● Kết nối với nhà H để tạo thành mạch vòng Nhà 10 tầng – TTCNTT-Nhà H Có thể truy cập wireless Chạy hệ thống mạng đầy đủ tầng core → distribution → access Có tính dự phịng thay Các phịng ban khơng quyền truy cập vào phịng ban khác Các yêu cầu chạy mạng: Tên ứng dụng Loại ứng dụng Tính cần thiết Trình Duyệt Web User Apps Cần thiết DHCP Server System Apps Rất cần thiết DNS Server System Apps Rất cần thiết Web Server System Apps Rất cần thiết Bảng 1 Các ứng dụng chạy mạng 1.2.3 Yêu cầu hiệu suất hệ thống mạng Đảm bảo truy xuất với tốc độ tối đa: 24h/1 ngày; ngày/1 tuần, truy xuất với tốc độ cao ● ● Thơng lượng có ích: giảm hao phí đường truyền Hiệu suất: 90% 1.2.4 Yêu cầu tính bảo mật an tồn hệ thống Bảo vệ có chiều sâu (defense in depth): Hệ thống phải bảo vệ theo chiều sâu, phân thành nhiều tầng tách thành nhiều lớp khác Mỗi tầng lớp thực sách bảo mật hay ngăn chặn khác Sử dụng nhiều công nghệ khác nhau: Không nên tin cậy vào công nghệ hay sản ph‰m công nghệ bảo đảm an ninh cho mạng hãng Bởi sản ph‰m hãng bị hacker tìm lỗ hổng dễ dàng sản ph ‰m tương tự hãng mạng bị xuyên qua việc phân tầng, phân lớp sách phịng vệ vơ nghĩa 1.3 Khảo sát hệ thống 1.3.1 Cơ sở hạ tầng Tịa nhà E có 10 tầng sử dụng để làm giảng đường, phòng họp, phòng làm việc, phòng thể dục đa năng, hầm gửi xe Hình 1 Bản vẽ cấu trúc tòa nhà 1.3.2 Hệ thống mạng Hệ thống mạng bao gồm tòa nhà A, nhà H có sẵn core switch kết nối tòa tuyến cáp quang Các thiết bị mạng có tịa nhà: Tầng Hầm Chức Hiện trạng - Phòng bảo vệ - Phòng kỹ thuật điện - Đã lắp 06 Camera (Cam) đấu nối cáp mạng cho Camera hộp kỹ thuật tầng - Máy bơm - Một node mạng cho phòng bảo vệ - Hạ tầng cáp - Phòng CTSV + HCQT Tầng - Phòng kỹ thuật chứa thiết bị mạng, tổng đài điện thoại - Đã lắp 03 Cam - 01 tủ rack thiết bị mạng - 01 hộp kỹ thuật mạng - 01 dây chờ để lắp wifi - Đã lắp 03 Cam Tầng 2-9 - Làm giảng đường với nhiều phòng học - Nếu ngồi kín phịng khoảng vài trăm sinh viên - 01 hộp kỹ thuật mạng (khá nhỏ) - Cáp quang để nối xuống tủ rack tầng - Cáp - 01 đồng cho mạng LAN dây chờ để lắp wifi CHƯƠNG 2: PHÂN TÍCH VÀ THIẾT KẾ TỔNG THỂ 2.1 Tổng quan thiết kế Sau khảo sát hạ tầng tổng quan trường đại học Điện Lực, em chọn giải thiết kế mạng đảm bảo nhiệm vụ sau: ● ● ● Dễ dàng nâng cấp Dễ bảo trì Có tính dự phịng xảy cố Với yếu tố chúng em định sử dụng mạng mơ hình phân cấp Mơ hình phân cấp cho phép thiết kế đường mạng mà sử dụng chức chuyên mơn kết hợp với tổ chức có thứ bậc Mơ hình phân cấp sử dụng lớp để đơn giản nhiệm vụ kết nối mạng, lớp tập trung vào chức cụ thể, cho phép lựa chọn tính hệ thống thích hợp cho lớp Mơ hình phân cấp áp dụng cho việc thiết kế mạng LAN mạng WAN, việc sử dụng mơ hình phân cấp cho thiết kế mạng bạn mang lại lợi ích sau: ● ● ● ● Có khả mở rộng Dễ dàng triển khai Khắc phục lỗi Quản lý dễ dàng Hình Mơ hình mạng phân cấp Lớp mạng trung tâm (Core Layer): Tốc độ vận chuyển liệu nhanh, liên kết với lớp mạng truy cập lớp mạng phân bố khác Lớp coi đại lộ liên kết đường nhỏ với Bao gồm đặc điểm sau: ● ● ● ● ● Vận chuyển liệu nhanh Độ tin cậy cao Có tính dự phịng Khả chịu lỗi Chính sách QoS (Chất lượng dịch vụ) Lớp mạng phân bố (Distribution Layer): lớp nằm lớp mạng truy cập lớp mạng trung tâm, có số vai trị đáp ứng số giao tiếp giúp giảm tải cho lớp mạng trung tâm Lớp thực thi chức đây: ● Chính sách sở kết nối ● Cân tải ● Chính sách QoS ● Tập hợp kết nối WAN, LAN ● Chức chọn lọc liệu ● Xác định Broadcast Multicast Domain ● Định tuyến VLAN với ● Thun chuyển truyền thơng (ví dụ: mạng Ethernet Token Ring) Phân phối định tuyến Domain ● Phân chia ranh giới định tuyến động định tuyến tĩnh ● Route Summarizations Lớp mạng truy cập (Access Layer): Mang đến kết nối người dùng với tài nguyên mạng giao tiếp với lớp mạng phân bố Lớp sử dụng sách truy cập chống lại k‡ xâm nhập bất hợp pháp, mang đến kết nối như: WAN, Frame Relay, Leased Lines Những chức bao gồm: ● ● ● ● ● ● ● ● ● Chuyển mạch lớp Bảo mật cổng Tính sẵn sàng cao Ngăn chặn Broadcast Phân loại QoS Kiểm tra giao thức chuyển đổi địa (ARP) Spanning tree Hỗ trợ VLAN Hỗ trợ VLAN cho VoIP truy nhập cho đầu cuối máy tính tích hợp cổng truy cập với mật độ cao Các kết nối switch truy cập switch phân phối kết nối truyền tải liệu qua lại cho LAN ảo nên có tốc độ cao 100/100 Mbps Các switch truy cập cung cấp cổng truy cập cho máy tính mạng có tốc độ thấp nên cần có cổng 10/100 Mbps Sử dụng giao thức Per VLAN Spanning Tree giúp làm giảm kích thước STP topology Chia làm topology nhỏ , dẫn đến thời gian converge STP giảm xuống Thêm vào , cịn cung cấp thêm khả load balancing Kết nối switch hỗ trợ VLAN IEEE 802.1Q 2.5.2 Thiết kế an ninh cho hệ thống Bảo mật hệ thống mạng với Firewall Cisco ASA 5506-X Cisco ASA với FirePOWER Services mang đến dịch vụ bảo mật hệ tập trung vào mối đe dọa đặc biệt cho Tường lửa hệ Cisco ASA 5500-X Series Nó cung cấp bảo vệ tồn diện khỏi mối đe dọa biết tiên tiến, bao gồm bảo vệ chống lại công phần mềm độc hại nhắm mục tiêu liên tục Cisco ASA tường lửa trạng thái cấp doanh nghiệp, triển khai rộng rãi giới Cisco ASA với FirePOWER Services có tính tồn diện Như đây, sơ đồ tòa nhà mười tầng, thiết bị Firewall Cisco ASA 5506X sử dụng nhằm bảo vệ tài nguyên mạng cho tòa nhà Và ngăn chặn truy cập bất hợp pháp từ vùng mạng khác Thiết lập quy tắc an ninh theo yêu cầu chủ sở hữu toàn nhà VPN truy cập từ trang đến trang khác phân cụm nâng cao cung cấp quyền truy cập an toàn cao, hiệu suất cao tính sẵn sàng cao để giúp đảm bảo tính liên tục kinh doanh Kiểm soát hiển thị ứng dụng dạng hạt (AVC) hỗ trợ 4.000 điều khiển dựa rủi ro lớp ứng dụng khởi chạy sách phát mối đe dọa hệ thống ngăn chặn xâm nhập (IPS) để tối ưu hóa hiệu bảo mật Cisco ASA dẫn đầu ngành với IPS hệ (NGIPS) FirePOWER cung cấp khả phòng ngừa mối đe dọa hiệu cao nhận thức đầy đủ ngữ cảnh người dùng, sở hạ tầng, ứng dụng nội dung để phát mối đe dọa nhiều người tự động hóa phản ứng phịng thủ Lọc URL dựa danh mục danh mục cung cấp cảnh báo kiểm sốt tồn diện lưu lượng truy cập web đáng ngờ thực thi sách hàng trăm triệu URL 80 danh mục AMP cung cấp hiệu phát vi phạm hàng đầu ngành, hộp cát, tổng chi phí sở hữu thấp giá trị bảo vệ vượt trội giúp bạn khám phá, hiểu ngăn chặn phần mềm độc hại mối đe dọa lớp bảo mật khác bỏ qua Ưu nhược điểm firewall lý đặt trước sau switch core Appliance Firewalls: Hay gọi Firewall cứng Đây loại Firewall cứng tích hợp sẵn phần cứng chuyên dụng, thiết kế dành riêng cho Firewall Một số Firewall cứng Cisco PIX, WatchGuard Fireboxes, NetScreen firewall, SonicWall Appliances, Nokia firewall… Trường hợp Firewall tích hợp Router: Ưu điểm -Cung cấp hiệu suất tổng thể tốt so với Firewall mềm hệ điều hành firewall cứng thiết kế để tối ưu cho firewall -Tính bảo mật cao tổng chi phí thấp so với Firewall mềm Nhược điểm -Nó khơng linh hoạt Firewall mềm -Bạn mà tích hợp thêm chức quy tắc firewall mềm Ví dụ chức kiểm sốt thư rác firewall mềm bạn cần cài đặt chức ứng dụng, Firewall cứng địi hỏi bạn phải có thiết bị phần cứng hỗ trợ cho chức 2.6 Lựa chọn thiết bị công nghệ Các linh kiện thiết bị có: ● Tủ kỹ thuật nhỏ tầng ● Đường dây cáp quang để đầu chờ tầng Các thiết bị phải mua : Loại thiết bị Tên thiết bị Số lượng Switch Layer WS-C4500X Switch Layer 16 Port WS-C2960L Switch Layer Port WS-C2960L Firewall Cisco ASA 5506-X Wireless Router Cisco Meraki Mr30 14 Camera Hikvision DSCamera 10 2CD1143G0E-IF H265+ TP-Link TL-SF1024D hub?? 20 Dintek Đầu RJ45 bịch Cable RJ45-ADC 300m Fiber cable single mode Cáp quang luồn cống 8FO 500m Module connect GLC-SX-MM 18 Module connect SFP-10G-SR Bảng 2 Các thiết bị cần mua