Đề tài này sẽ bao gồm các bước cơ bản để thiết kế hệ thống mạng, bao gồm phân tích nhu cầu và yêu cầu của doanh nghiệp, lên kế hoạch thiết kế, triển khai và cấu hình các thiết bị mạng, đ
GIỚI THIỆU CHUNG
Giới thiệu về đề tài
Hệ thống mạng là một phần quan trọng không thể thiếu trong hoạt động của một doanh nghiệp hiện đại Nó đảm bảo việc truyền thông tin nhanh chóng và hiệu quả giữa các bộ phận trong doanh nghiệp và giữa doanh nghiệp với thế giới bên ngoài Việc thiết kế hệ thống mạng phù hợp và hiệu năng cao sẽ giúp doanh nghiệp tối ưu hóa hoạt động, tăng năng suất lao động và giảm chi phí
Trong đề tài tiểu luận này, nhóm chúng em sẽ tập trung vào việc thiết kế và đánh giá hiệu năng hệ thống mạng cho một doanh nghiệp Đề tài này sẽ bao gồm các bước cơ bản để thiết kế hệ thống mạng, bao gồm phân tích nhu cầu và yêu cầu của doanh nghiệp, lên kế hoạch thiết kế, triển khai và cấu hình các thiết bị mạng, đánh giá hiệu năng hệ thống, và đề xuất các giải pháp cải tiến để nâng cao hiệu quả sử dụng và bảo mật hệ thống mạng.
Khái niệm về mạng doanh nghiệp
- Mạng doanh nghiệp là một hệ thống mạng tích hợp các thiết bị, ứng dụng và tài nguyên máy tính của một doanh nghiệp hoặc tổ chức Mạng doanh nghiệp cho phép các nhân viên trong doanh nghiệp có thể truy cập và chia sẻ dữ liệu, tài nguyên và thông tin với nhau một cách dễ dàng và nhanh chóng Mạng doanh nghiệp được thiết kế để đáp ứng nhu cầu của doanh nghiệp trong việc quản lý, truyền thông và lưu trữ dữ liệu Hệ thống mạng bao gồm các thiết bị như máy tính, máy chủ, thiết bị lưu trữ dữ liệu, router, switch, firewall, và các ứng dụng mạng khác Các thiết bị này được kết nối với nhau thông qua các giao thức và kỹ thuật mạng để tạo thành một hệ thống mạng hoạt động liên tục
Hình 1: Hệ thống mạng doanh nghiệp
- Mạng doanh nghiệp cung cấp nhiều lợi ích cho doanh nghiệp bao gồm:
+ Tăng hiệu suất làm việc: Nhân viên có thể truy cập và chia sẻ dữ liệu, tài nguyên và thông tin một cách nhanh chóng và dễ dàng giữa các bộ phận khác nhau của doanh nghiệp
+ Tăng tính bảo mật: Hệ thống mạng được bảo vệ bằng các phương tiện bảo mật như Firewall, Antivirus, VPN, giúp ngăn chặn các cuộc tấn công từ bên ngoài và bảo vệ dữ liệu quan trọng của doanh nghiệp
+ Tăng tính linh hoạt: Hệ thống mạng cho phép các thiết bị và tài nguyên máy tính được quản lý và truy cập từ xa, giúp nhân viên làm việc từ xa một cách dễ dàng và thuận tiện
+ Tiết kiệm chi phí: Mạng doanh nghiệp giúp tối ưu hóa các tài nguyên máy tính và giảm thiểu chi phí về phần cứng, vì các tài nguyên này được chia sẻ giữa các nhân viên và bộ phận trong doanh nghiệp.
CÁC MÔ HÌNH MẠNG DOANH NGHIỆP
Mô hình mạng trạm – máy chủ (Client – Server)
- Mô hình mạng trạm - máy chủ (Client-Server) là một mô hình mạng trong đó các thiết bị trong mạng được phân thành hai loại chính: máy chủ và máy khách (hay còn gọi là server và client) Trong mô hình này, máy chủ là một thiết bị chuyên dụng, có khả năng xử lý dữ liệu mạnh mẽ và được sử dụng để lưu trữ và quản lý các tài nguyên mạng như cơ sở dữ liệu, tệp tin, ứng dụng và các dịch vụ khác Có hai loại thiết bị:
+ Máy tính hoạt động như một máy chủ: Có thể cung cấp tài nguyên và dịch vụ cho các máy trạm khác trong mạng Máy chủ hỗ trợ các thao tác trên máy trạm khách hiệu quả hơn
+ Máy tính và thiết bị ngoại vi hoạt động như một máy trạm: không cung cấp tài nguyên cho máy tính hoặc thiết bị ngoại vi khác mà chỉ sử dụng những tài nguyên do máy chủ cung cấp Tùy thuộc vào nhu cầu của công ty, một máy khách trong một mô hình này có thể là một máy chủ trong một mô hình khác
Hình 2: Mô hình trạm – máy chủ (Client – Server)
+ Hoạt động trên bất kỳ máy tính nào hỗ trợ giao thức truyền thông
+ Mô hình máy chủ khách chỉ mang đặc điểm của phần mềm, không liên quan gì đến phần cứng, yêu cầu duy nhất là máy chủ phải có cấu hình cao hơn máy khách
+ Máy chủ khách hàng cung cấp cho người dùng nhiều dịch vụ khác nhau và sự tiện lợi của việc truy cập từ xa không có trên các mẫu máy cũ
+ Khả năng bảo mật kém do nhu cầu trao đổi dữ liệu giữa máy trạm và máy chủ
+ Luôn phải có 1 máy chủ hoạt động 24/7 để duy trì toàn bộ hệ thống mạng
Vì phụ thuộc vào máy chủ nên nếu máy chủ bị lỗi thì toàn bộ hệ thống mạng sẽ dừng
+ Chi phí lắp đặt cao
- Một số ví dụ về các ứng dụng của mô hình mạng trạm - máy chủ bao gồm các hệ thống quản lý cơ sở dữ liệu, trang web, các ứng dụng doanh nghiệp và hệ thống lưu trữ dữ liệu trung tâm.
Mô hình mạng ngang hàng (Peer to peer)
- Trong mạng ngang hàng (P2P), mỗi máy tính hoạt động như một máy chủ và máy trạm cho các máy tính khác trong mạng Trong một mô hình mạng P2P, các thiết bị (hoặc nút) trao đổi thông tin, tài nguyên và dịch vụ với nhau một cách tự động và không có một thiết bị nào có quyền kiểm soát tất cả các kết nối và dữ liệu trên mạng Một số ứng dụng của mô hình mạng P2P bao gồm chia sẻ tập tin, gọi video, trò chuyện, trò chơi trực tuyến, và các dịch vụ khác liên quan đến kết nối ngang hàng giữa các thiết bị trên mạng
Hình 3: Mô hình mạng ngang hàng (Peer-to-peer)
+ Tất cả các máy tính trong hệ thống đều đóng góp băng thông, lưu trữ và sức mạnh tính toán
+ Không cần phụ thuộc vào một máy chủ nào đó, hệ thống vẫn có thể hoạt động bình thường khi một số máy gặp sự cố
+ Cho phép bạn tìm kiếm tệp trên máy tính của người khác và cho phép người khác tìm kiếm tệp trên máy tính của bạn, nhưng thường chỉ trong các thư mục mà bạn chia sẻ
+ Bảo mật kém, tùy thuộc vào mức độ truy cập chia sẻ
+ Không được phép lưu trữ và quản lý tập trung
- Một ví dụ về mô hình mạng P2P là các dịch vụ chia sẻ tập tin trực tuyến như BitTorrent hoặc eMule, trong đó người dùng trao đổi tập tin trực tiếp với nhau, thay vì thông qua một máy chủ trung tâm.
Mô hình mạng lai (Hybrid)
- Mô hình mạng lai (Hybrid) là một mô hình mạng kết hợp giữa hai hoặc nhiều mô hình mạng khác nhau để đáp ứng các yêu cầu cụ thể của một tổ chức hoặc doanh nghiệp Mô hình mạng lai sử dụng những ưu điểm của các mô hình mạng khác nhau để đáp ứng nhu cầu kết nối và sử dụng tài nguyên mạng một cách tối ưu Mô hình mạng lai cung cấp tính linh hoạt và khả năng tùy chỉnh cao, giúp đáp ứng các yêu cầu kết nối và sử dụng tài nguyên mạng của các tổ chức và doanh nghiệp một cách tối ưu Tuy nhiên, việc triển khai và quản lý mô hình mạng lai có thể phức tạp hơn so với các mô hình mạng đơn giản hơn
Hình 4: Mô hình mạng lai (Hybrid)
+ Về những ưu điểm của việc sử dụng mỗi loại cấu trúc liên kết này, nó có khả năng chịu lỗi cao, điều này làm cho nó trở nên đáng tin cậy và linh hoạt + Có thể mở rộng vì bạn có thể thêm các nút mới một cách dễ dàng
+ Bạn có thể thiết kế nó theo cách để sử dụng các tính năng tốt nhất của các cấu trúc liên kết khác nhau
+ Những bất lợi bao gồm những thứ như chi phí cao và sự phức tạp của bảo trì
+ Cơ sở hạ tầng tốn kém
- Ví dụ doanh nghiệp có thể sử dụng các dịch vụ lưu trữ đám mây (cloud storage) để lưu trữ dữ liệu của công ty, thay vì phải tự quản lý các hệ thống lưu trữ nội bộ Doanh nghiệp cũng có thể sử dụng các dịch vụ đám mây để triển khai và quản lý các ứng dụng của công ty, giúp tiết kiệm chi phí và giảm độ phức tạp của việc quản lý hệ thống.
PHÂN LOẠI MẠNG MÁY TÍNH THIẾT KẾ CHO DOANH NGHIỆP
Mạng nội bộ (Mạng LAN)
- Mạng nội bộ hay còn được gọi với cái tên khác là mạng LAN, được viết tắt của từ Local Area Network Hệ thống mạng nội bộ cho phép các thiết bị có thể kết nối với nhau trong cùng một không gian để chia sẻ dữ liệu và làm việc Kết nối nội bộ này được thực hiện thông qua sợi cáp mạng LAN hay đơn giản mạng Wifi không dây quen thuộc mà bạn vẫn thường hay sử dụng ở một phạm vi hẹp nào đó Thông thường, hệ thống mạng LAN và Internet không chỉ được dùng ở doanh nghiệp mà còn được sử dụng phổ biến tại gia đình Hoặc nói một cách đơn giản là chúng hoạt động tại nơi có kết nối Internet thông qua dây cáp mạng LAN hoặc Wifi Từ năm 1994, hệ thống mạng LAN và Internet bắt đầu xuất hiện trong một loạt các tổ chức lớn Nhiều cơ quan chính phủ, tập đoàn và các trường đại học có mạng nội bộ của riêng họ Mặc dù hầu hết các nhân viên trong một doanh nghiệp đều được truy cập vào mạng nội bộ nhưng không phải mọi nhân viên đều được cấp quyền truy cập Dựa trên loại công việc hoặc phân quyền của họ, một số nhân viên có thể không có quyền truy cập thông tin trên mạng nội bộ Thông tin này thường sẽ liên quan đến sản phẩm, đào tạo, bài viết và thông tin liên quan đến công ty
Hình 5: Hệ thống mạng LAN
- Khi thiết kế và lắp đặt hệ thống mạng LAN và Internet cho doanh nghiệp sẽ mang lại rất nhiều lợi ích khác nhau Một vài ưu điểm nổi bật của hệ thống này như sau:
+ Khả năng chia sẻ tài nguyên: Hệ thống mạng LAN và Internet có các không gian lưu trữ mạng lưới thiết bị ngoại vi như máy fax, máy in, máy tính,… được chia sẻ dữ liệu với các máy trạm mà không phải yêu cầu về phần cứng Điều này giúp cho các doanh nghiệp tiết kiệm rất nhiều chi phí và nâng cao năng suất hơn trong công việc
+ Phần cứng của hệ thống máy tính tiêu chuẩn được sử dụng cho các máy chủ mạng và máy trạm Từ đó mang đến cho người dùng những thiết kế linh hoạt, dễ dàng sửa chữa và bảo trì một cách nhanh chóng hiệu quả
+ Thời gian chuyển tiếp các ứng dụng cho người dùng đến nhiều môi trường khác nhau, nhanh chóng nên tiết kiệm được nhiều chi phí hơn so với khả năng cấp phép độc lập
+ Thông qua việc chia sẻ dữ liệu và tập tin, người dùng có thể chuyển đổi các dữ liệu và tập tin một cách dễ dàng Đồng thời, hệ thống mạng LAN và Internet còn tăng khả năng bảo mật cho dữ liệu mà người dùng đã gửi đi Chúng cũng cho phép người dùng truy cập vào các ứng dụng bên trong hệ thống
+ Hệ thống mạng LAN và Internet còn cho phép người dùng lưu trữ dữ liệu tập trung, cung cấp khả năng chia sẻ thông tin từ một hệ thống máy chủ duy nhất Cách này không những giúp quá trình sao lưu một cách dễ dàng hơn và không làm mất dữ liệu khi có sự cố xảy ra mà còn giúp doanh nghiệp giảm chi phí phát sinh
+ Hỗ trợ một số tính năng chịu lỗi và cải thiện độ tin cậy của người dùng đối với hệ thống mạng nội bộ Bên cạnh đó còn giúp giảm tối đa thời gian chết cho doanh nghiệp
+ Hệ thống mạng LAN và Internet cũng cung cấp một bảo mật tập trung, cho phép người dùng kiểm soát truy cập vào các hệ thống mạng lưới cũng như nguồn lực của doanh nghiệp Tùy thuộc vào yêu cầu của từng doanh nghiệp mà sẽ có các chính sách bảo vệ dữ liệu riêng
+ Khả năng giao tiếp giữa các nhân viên cũng dễ dàng hơn bởi hệ thống tin nhắn được nâng cấp toàn diện, giúp khả năng quản lý có hiệu lực hơn
- Có thể nói, Ethernet được xem là công nghệ mạng LAN được sử dụng khá phổ biến nhất Chúng chuyên dùng để kết nối mạng máy tính, giúp các thiết bị như máy chiếu, laptop,… có thể dễ dàng kết nối Internet và truyền thông tin dữ liệu sang các thiết bị khác Vì chúng có tốc độ truyền tải dữ liệu nhanh cùng với độ tin cậy và độ bảo mật cao nên Ethernet thường được sử dụng rộng rãi ở khắp nơi Không những được sử dụng trong các văn phòng doanh nghiệp mà còn ứng dụng trong các trường học, bệnh viện,…
Mạng đô thị (Mạng MAN)
- Mạng MAN là viết tắt của cụm từ Metropolitan Area Network, nghĩa là mạng đô thị được cài đặt trong phạm vi lớn như đô thị hoặc một trung tâm kinh tế xã hội, đó có thể là một thành phố lớn, thị trấn hay bất kỳ một khu vực rộng lớn nào có tập trung nhiều tòa nhà Mạng MAN thực chất chính là sự kết hợp của nhiều mạng LAN lại với nhau thông qua dây cáp hoặc các phương tiện truyền dẫn khác
Hình 6: Hệ thống mạng MAN
- Mạng MAN được xây dựng với mục đích chính là cung cấp cho doanh nghiệp nhiều loại hình dịch vụ gia tăng cùng lúc trên cùng một đường truyền về dữ liệu, âm thanh, hình ảnh và video Bên cạnh đó, mạng MAN còn cho phép người dùng triển khai các ứng dụng một cách vô cùng đơn giản và nhanh chóng Không giống như mạng LAN, mạng MAN được sở hữu bởi một nhóm người hoặc một nhà cung cấp mạng bán dịch vụ cho người dùng Bởi vậy nên nó lớn hơn mạng LAN (mạng cục bộ) nhưng sẽ nhỏ hơn mạng WAN (mạng diện rộng) Khoảng cách tối đa giữa 2 nút thuộc mạng MAN rơi vào tầm 100km Một số ứng dụng của mạng MAN bao gồm kết nối các trung tâm dữ liệu, cung cấp kết nối mạng cho các công ty, tổ chức, trường học, bệnh viện và các cơ quan chính phủ trong cùng khu vực đô thị Mạng MAN cũng được sử dụng để kết nối các điểm bán hàng, siêu thị, nhà hàng và khách sạn để cung cấp các dịch vụ trực tuyến và kết nối cho khách hàng.
Mạng diện rộng (Mạng WAN)
- Mạng diện rộng (WAN) là công nghệ kết nối các văn phòng, trung tâm dữ liệu, ứng dụng đám mây và bộ nhớ đám mây của bạn với nhau Nó được gọi là mạng diện rộng vì không chỉ nằm trong phạm vi một tòa nhà hoặc khuôn viên rộng lớn mà còn mở rộng ra nhiều vị trí trải dài trên một khu vực địa lý cụ thể, hoặc thậm chí trên khắp thế giới Ví dụ, các doanh nghiệp có nhiều văn phòng chi nhánh quốc tế sử dụng mạng WAN để kết nối các mạng văn phòng với nhau Mạng WAN lớn nhất thế giới là Internet vì nó là tập hợp của nhiều mạng quốc tế kết nối với nhau Mạng diện rộng (WAN) là xương sống của doanh nghiệp ngày nay Với việc số hóa tài nguyên, các công ty sử dụng mạng WAN để thực hiện những việc như giao tiếp bằng giọng nói và video, chia sẻ tài nguyên giữa nhân viên và khách hàng, truy cập kho lưu trữ dữ liệu và sao lưu dữ liệu từ xa, kết nối với các ứng dụng chạy trên đám mây Cải tiến công nghệ WAN giúp các tổ chức truy cập thông tin một cách an toàn, nhanh chóng và đáng tin cậy Mạng WAN rất quan trọng đối với năng suất và tính liên tục của doanh nghiệp
Hình 7: Hệ thống mạng WAN
- Một vài đặc điểm nổi bật của mạng WAN có thể kể đến như bảo mật khá tốt, khả năng truy cập cao, lưu trữ và chia sẻ băng thông một cách nhanh chóng, khả năng kết nối khoảng cách lớn,…thì mạng WAN cũng có những mặt hạn chế và hay gặp phải là việc sử dụng mạng WAN là nó đắt hơn nhiều so với mạng nội bộ công ty hoặc mạng intranet Các mạng WAN có khả năng vượt qua các rào cản về ranh giới và lãnh thổ khác nhau, thuộc các phạm vi pháp lý khác nhau Do đó, tranh chấp có thể nảy sinh giữa các chính phủ về quyền sở hữu và các đạo luật hạn chế sử dụng mạng Mạng WAN quốc tế đòi hỏi phải sử dụng cáp mạng dưới biển để có thể giao tiếp giữa các mạng trên khắp các châu lục Trong khi đó, cáp dưới biển có thể trở thành mục tiêu phá hoại không có chủ ý từ tàu biển và điều kiện thời tiết xấu.
PHƯƠNG PHÁP THIẾT KẾ MẠNG TRONG DOANH NGHIỆP
Phương pháp thiết kế mạng nội bộ
a Các thành phần của mạng nội bộ
- Thiết bị kết nối mạng (Network devices): Bao gồm các thiết bị như switch, router, hub, và bridge, được sử dụng để kết nối các thiết bị trong mạng LAN với nhau, đồng bộ hoá việc truyền dữ liệu, và điều khiển luồng dữ liệu giữa các thiết bị
- Thiết bị đầu cuối (End devices): Bao gồm các thiết bị như máy tính cá nhân, máy tính xách tay, máy tính đồng bộ, máy chủ, máy in, điện thoại IP, và các thiết bị thông minh khác, được sử dụng để truy cập và sử dụng tài nguyên trong mạng LAN
- Phương tiện truyền dẫn (Transmission media): Bao gồm các loại cáp như cáp đồng, cáp quang, hoặc mạng không dây (Wi-Fi) để truyền dữ liệu giữa các thiết bị trong mạng LAN
- Phần mềm mạng (Network software): Bao gồm các phần mềm như hệ điều hành mạng, các giao thức mạng, ứng dụng mạng, và các công cụ quản lý mạng để điều khiển và quản lý hoạt động của mạng LAN
- Các chuẩn và giao thức mạng (Network standards and protocols): Các chuẩn và giao thức mạng được sử dụng để đảm bảo tính tương thích và giao tiếp hiệu quả giữa các thiết bị và ứng dụng trong mạng LAN, chẳng hạn như Ethernet, Wi-Fi, TCP/IP, và DHCP
- Các thành phần này cùng hoạt động cùng nhau để tạo thành một mạng LAN hoạt động hiệu quả, cho phép các thiết bị trong mạng LAN có thể giao tiếp, chia sẻ tài nguyên, và truy cập vào các dịch vụ mạng b Kiến trúc mạng nội bộ
- Mạng tuyến (Bus): Kiến trúc Bus là một kiến trúc cho phép nối mạng các máy tính đơn giản và phổ biến nhất.Nó dùng một đoạn cáp nối tất cả máy tính và các thiết bị trong mạng thành một hàng
Hình 8: Kiến trúc mạng nội bộ
- Mạng sao (Star): Trong kiến trúc này, các máy tính được nối vào một thiết bị đấu nối trung tâm (Hub hoặc Switch) Tín hiệu được truyền từ máy tính gởi dữ liệu qua hub tín hiệu được khuếch đại và truyền đến tất cả các máy tính khác trên mạng
Hình 9: Kiến trúc mạng sao
- Mạng vòng (Ring): Trong mạng ring các máy tính và các thiết bị nối với nhau thành một vòng khép kín, không có đầu nào bị hở Tín hiệu được truyền đi theo một chiều và qua nhiều máy tính Kiến trúc này dùng phương pháp chuyển thẻ bài (token passing) để truyền dữ liệu quanh mạng
- Mạng lưới (Mesh): Cấu trúc liên kết mạng lưới tạo ra một kịch bản trong đó có kết nối đến và đi từ mỗi nút được kết nối trên mạng Có nghĩa là, tất cả các nút mạng được kết nối với nhau giữa chúng giống như một mắt lưới Các cấu trúc liên kết dạng lưới được sử dụng trong các môi trường mạng quan trọng như bệnh viện hoặc các tổ chức tài chính, nơi tính khả dụng là vô cùng quan trọng
Hình 11: Kiến trúc mạng lưới c Triển khai mạng nội bộ
- Bước 1 (Lên kế hoạch thiết kế mạng): Xác định các yêu cầu và mục đích của mạng, bao gồm các thiết bị mạng cần thiết, số lượng máy tính, địa điểm lắp đặt, đường dẫn cáp, cấu trúc địa chỉ IP, v.v
- Bước 2 (Đặt mua và lắp đặt thiết bị mạng): Mua các thiết bị mạng cần thiết như switch, router, access point, v.v Lắp đặt các thiết bị mạng theo kế hoạch thiết kế
- Bước 3 (Cài đặt phần mềm và cấu hình thiết bị mạng): Cài đặt phần mềm và cấu hình các thiết bị mạng theo yêu cầu của mạng Bao gồm cấu hình địa chỉ
IP, phân quyền truy cập, cấu hình bảo mật, v.v
- Bước 4 (Kết nối máy tính với mạng): Kết nối các máy tính vào mạng thông qua đường dẫn cáp mạng Cấu hình địa chỉ IP cho các máy tính và kết nối chúng với switch
- Bước 5 (Kiểm tra và thử nghiệm mạng): Kiểm tra mạng để đảm bảo nó hoạt động đúng cách Kiểm tra kết nối, tốc độ truyền dữ liệu, và thực hiện thử nghiệm các chức năng mạng khác
Phương pháp thiết kế mạng diện rộng
Công ty ABC là một công ty vừa và nhỏ hoạt động trong lĩnh vực thương mại điện tử Hiện tại, công ty đang có nhu cầu triển khai hệ thống mạng để kết nối các máy tính với nhau với quy mô 50 máy tính và phải kết nối được với Internet Do tính chất công việc, công ty cần đảm bảo tính bảo mật của dữ liệu và đồng thời đảm bảo tốc độ truyền thông cao Công ty đã thu thập thông tin về nhu cầu sử dụng mạng của mình và cần đưa ra quyết định về thiết kế
- Để đáp ứng yêu cầu của công ty với quy mô 50 máy tính, chúng ta có thể thiết kế một mạng LAN với 3 switch, 1 router, 2 server và 1 firewall để kết nối với Internet
+ Switch: Chúng ta sử dụng 3 switch để kết nối 50 máy tính với nhau Mỗi switch có 24 cổng Ethernet
+ Router: Chúng ta cần 1 router để kết nối mạng LAN với Internet Router được cấu hình để đảm bảo tính bảo mật của dữ liệu và tốc độ truyền thông cao Chúng ta cần cài đặt các tính năng bảo mật như tường lửa, VPN để đảm bảo an toàn dữ liệu
+ DNS server sẽ được sử dụng để quản lý và giải quyết tên miền của các trang web mà nhân viên công ty truy cập DHCP server sẽ được sử dụng để cấp địa chỉ IP động cho các máy tính trong mạng LAN
+ Firewall sẽ được đặt ở giữa router và switch để kiểm soát và giám sát lưu lượng mạng Firewall sẽ được cấu hình để kiểm soát các chính sách an ninh, chặn các tấn công từ bên ngoài và đảm bảo tính bảo mật của dữ liệu trong mạng LAN
- Với quy mô này, hệ thống mạng của công ty có thể đảm bảo tính bảo mật của dữ liệu, tốc độ truyền thông cao và khả năng mở rộng khi công ty phát triển
5.3 Phân tích yêu cầu của mạng
- Để đánh giá hiệu năng mạng của bài toán này, cần phân tích các yêu cầu sau: + Kết nối mạng nội bộ: Cần xác định số lượng máy tính kết nối vào mạng nội bộ của công ty và cách thức kết nối Mức độ phức tạp của địa hình và kiến trúc
THIẾT KẾ MẠNG CHO DOANH NGHIỆP
Bài toán thực tế
Công ty ABC là một công ty vừa và nhỏ hoạt động trong lĩnh vực thương mại điện tử Hiện tại, công ty đang có nhu cầu triển khai hệ thống mạng để kết nối các máy tính với nhau với quy mô 50 máy tính và phải kết nối được với Internet Do tính chất công việc, công ty cần đảm bảo tính bảo mật của dữ liệu và đồng thời đảm bảo tốc độ truyền thông cao Công ty đã thu thập thông tin về nhu cầu sử dụng mạng của mình và cần đưa ra quyết định về thiết kế.
Quy mô mạng
- Để đáp ứng yêu cầu của công ty với quy mô 50 máy tính, chúng ta có thể thiết kế một mạng LAN với 3 switch, 1 router, 2 server và 1 firewall để kết nối với Internet
+ Switch: Chúng ta sử dụng 3 switch để kết nối 50 máy tính với nhau Mỗi switch có 24 cổng Ethernet
+ Router: Chúng ta cần 1 router để kết nối mạng LAN với Internet Router được cấu hình để đảm bảo tính bảo mật của dữ liệu và tốc độ truyền thông cao Chúng ta cần cài đặt các tính năng bảo mật như tường lửa, VPN để đảm bảo an toàn dữ liệu
+ DNS server sẽ được sử dụng để quản lý và giải quyết tên miền của các trang web mà nhân viên công ty truy cập DHCP server sẽ được sử dụng để cấp địa chỉ IP động cho các máy tính trong mạng LAN
+ Firewall sẽ được đặt ở giữa router và switch để kiểm soát và giám sát lưu lượng mạng Firewall sẽ được cấu hình để kiểm soát các chính sách an ninh, chặn các tấn công từ bên ngoài và đảm bảo tính bảo mật của dữ liệu trong mạng LAN
- Với quy mô này, hệ thống mạng của công ty có thể đảm bảo tính bảo mật của dữ liệu, tốc độ truyền thông cao và khả năng mở rộng khi công ty phát triển
5.3 Phân tích yêu cầu của mạng
- Để đánh giá hiệu năng mạng của bài toán này, cần phân tích các yêu cầu sau: + Kết nối mạng nội bộ: Cần xác định số lượng máy tính kết nối vào mạng nội bộ của công ty và cách thức kết nối Mức độ phức tạp của địa hình và kiến trúc công ty cũng cần được xem xét để chọn lựa phương án kết nối mạng hiệu quả nhất
+ Kết nối internet: Công ty cần một đường truyền internet với băng thông cao để đảm bảo tốc độ truyền thông nhanh Ngoài ra, cần lựa chọn một nhà cung cấp dịch vụ internet đáng tin cậy để đảm bảo ổn định và bảo mật thông tin + Bảo mật thông tin: Với tính chất của hoạt động thương mại điện tử, công ty cần đảm bảo tính bảo mật của dữ liệu trên mạng Các giải pháp bảo mật mạng như tường lửa, mã hóa dữ liệu, kiểm soát truy cập và phân quyền cần được triển khai
+ Hiệu năng mạng: Với số lượng máy tính đông đảo và yêu cầu tốc độ truyền thông cao, hiệu năng mạng cần được đảm bảo Việc triển khai một hệ thống mạng với khả năng mở rộng và nâng cấp dễ dàng sẽ giúp tăng hiệu quả và độ ổn định của mạng
- Từ những yêu cầu trên, đánh giá hiệu năng mạng bao gồm độ ổn định, tốc độ truyền thông, độ tin cậy và khả năng mở rộng Các giải pháp kết nối mạng và bảo mật cần được tối ưu để đảm bảo tính bảo mật của dữ liệu trên mạng và tăng cường hiệu năng mạng để đáp ứng nhu cầu của công ty.
Phân tích yêu cầu mạng
Phần thiết kế topo mạng cho bài toán trên sẽ bao gồm các thành phần cơ bản như switch, router, firewall, server, DNS server và DHCP server để đảm bảo tính bảo mật và tốc độ truyền thông cao Với quy mô 50 máy tính, nhóm em sẽ thiết kế mạng theo mô hình 3-layer, gồm core layer, distribution layer và access layer
Hình 20: Mô tình thiết kế mạng cho doanh nghiệp
- Core layer: Sẽ bao gồm 1 router CORE, 1 firewall, 1 router EDGE và 1 router FPT để đảm bảo tính bảo mật và cung cấp mạng cho toàn bộ hệ thống mạng của công ty Router FPT là router của nhà mạng, router EDGE sẽ được cấu hình để kết nối mạng doanh nghiệp với nhà mạng FPT, firewall sẽ được cấu hình để kiểm soát và giám sát lưu lượng truy cập từ bên ngoài vào mạng, router CORE đóng vai trò là gateway của mạng nội bộ để định tuyến giữa các VLAN trong mạng
- Distribution layer: Sẽ bao gồm 3 switch được kết nối với core layer để cung cấp tính năng load balancing và redundancy Switches sẽ được cấu hình để kết nối các thiết bị trong access layer và cung cấp tính năng VLAN để phân chia các phòng ban và giảm thiểu lưu lượng truyền tải trong mạng
- Access layer: Sẽ bao gồm các switch kết nối trực tiếp với các máy tính của người dùng Các switch sẽ được cấu hình để kết nối với các switch ở distribution layer và cung cấp dịch vụ cho các thiết bị trong mạng Ngoài ra,
SỬ DỤNG PHẦN MỀM MÔ PHỎNG PACKET TRACER
Thiết kế topo mạng
Phần thiết kế topo mạng cho bài toán trên sẽ bao gồm các thành phần cơ bản như switch, router, firewall, server, DNS server và DHCP server để đảm bảo tính bảo mật và tốc độ truyền thông cao Với quy mô 50 máy tính, nhóm em sẽ thiết kế mạng theo mô hình 3-layer, gồm core layer, distribution layer và access layer
Hình 20: Mô tình thiết kế mạng cho doanh nghiệp
- Core layer: Sẽ bao gồm 1 router CORE, 1 firewall, 1 router EDGE và 1 router FPT để đảm bảo tính bảo mật và cung cấp mạng cho toàn bộ hệ thống mạng của công ty Router FPT là router của nhà mạng, router EDGE sẽ được cấu hình để kết nối mạng doanh nghiệp với nhà mạng FPT, firewall sẽ được cấu hình để kiểm soát và giám sát lưu lượng truy cập từ bên ngoài vào mạng, router CORE đóng vai trò là gateway của mạng nội bộ để định tuyến giữa các VLAN trong mạng
- Distribution layer: Sẽ bao gồm 3 switch được kết nối với core layer để cung cấp tính năng load balancing và redundancy Switches sẽ được cấu hình để kết nối các thiết bị trong access layer và cung cấp tính năng VLAN để phân chia các phòng ban và giảm thiểu lưu lượng truyền tải trong mạng
- Access layer: Sẽ bao gồm các switch kết nối trực tiếp với các máy tính của người dùng Các switch sẽ được cấu hình để kết nối với các switch ở distribution layer và cung cấp dịch vụ cho các thiết bị trong mạng Ngoài ra, sẽ có 2 server được đặt tại access layer để cung cấp dịch vụ cho các người dùng DNS server sẽ được sử dụng để giải quyết tên miền và DHCP server sẽ cấp phát địa chỉ IP cho toàn bộ các thiết bị trong mạng
Tóm lại, mô hình 3-layer được thiết kế cho hệ thống mạng của công ty với tính năng load balancing, redundancy và tính bảo mật cao để đáp ứng yêu cầu của công ty hoạt động trong lĩnh vực thương mại điện tử.
Thiết lập cổng mạng và địa chỉ IP
- Sau khi hoàn tất thiết kế topo mạng, chúng ta cần thiết lập các cổng và địa chỉ
IP cho các thiết bị trong mạng Để đảm bảo tính bảo mật và quản lý dễ dàng, chúng ta sẽ sử dụng phương pháp chia mạng (subnetting) để phân chia mạng thành các mạng con
- Trong bài toán này, chúng ta sẽ sử dụng địa chỉ IP public cho kết nối đến Internet và địa chỉ IP private cho mạng nội bộ Chúng ta sẽ phân chia mạng nội bộ thành 3 mạng con sử dụng phương pháp chia mạng VLAN như sau: + VLAN 10: 192.168.10.0/24 sử dụng cho phòng kỹ thuật
+ VLAN 20: 192.168.20.0/24 sử dụng cho phòng kinh doanh
+ VLAN 30: 192.168.30.0/24 sử dụng cho phòng bán hàng
Hình 21: Chia cổng kết nối của PC cho từng VLAN
- Chúng ta sẽ sử dụng mặc định gateway cho các mạng con là địa chỉ IP của router là 192.168.1.1 Để quản lý dễ dàng, chúng ta sẽ cấu hình địa chỉ IP tĩnh cho một vài thiết bị trong mạng Cụ thể, chúng ta sẽ cấu hình địa chỉ IP cho các thiết bị như sau:
+ Router CORE: 10.10.10.1/30 trên cổng WAN và 192.168.1.1/24 trên cổng LAN kết nối đến Switch 0 Trên cổng LAN của router CORE chia thành các cổng nhỏ cho từng VLAN
Hình 22: Các cổng của router CORE
+ Firewall: 10.10.10.2/24 trên cổng kết nối với router CORE và 10.10.20.2/24 trên cổng kết nối với router EDGE
Hình 23: Các cổng của Firewall
+ Router EDGE: 10.10.20.1/30 trên cổng kết nối với firewall và 20.20.20.1/24 trên cổng kết nối với router FPT Router EDGE được cài đặt NAT để tự động chuyển địa chỉ khi muốn kết nối tới mạng ngoài
Hình 24: Các cổng của router EDGE
+ Router FPT: 20.20.20.2/30 trên cổng kết nối với router EDGE Đây là địa chỉ mặc định của nhà mạng FPT Không thế sửa đổi
Hình 25: Các cổng của router FPT
+ DHCP server: 192.168.1.2 trên cổng kết nối với Switch 0
Hình 26: Cổng của DHCP server
+ DNS server: 192.168.1.3 trên cổng kết nối với Switch 0
Hình 26: Cổng của DNS server
+ Các Switch: Cổng của 3 Switch được cấu hình phân chia theo mạng VLAN giống như ở hình 21, các cổng kết nối với các thiết bị khác không phải PC sẽ sử dụng đường kết nối Trunk
Hình 27: Các cổng của Switch 0 Hình 28: Các cổng của Switch 1
Hình 29: Các cổng của Switch 2
- Còn lại các PC được kết nối với Switch, chúng ta sẽ sử dụng định tuyến động được tự động định tuyến bởi DHCP server sau khi đã cấu hình tĩnh xong các thiết bị trên.
Kết nối các thiết bị mạng sử dụng mạng ảo
Trong thiết kế mạng của bài toán này, ta sử dụng 3 switch, 1 router CORE, 1 firewall, 1 router EDGE, 1 router FPT, 1 DNS server, 1 DHCP server và 50 máy tính để kết nối mạng LAN Việc kết nối các thiết bị sử dụng dây mạng được thực hiện như sau:
- Kết nối các máy tính với switch: Ta sử dụng dây mạng Copper Straight- Thought để kết nối 50 máy tính với các cổng Ethernet của 3 switch Mỗi switch sẽ kết nối đến 18 máy tính để đảm bảo tốc độ truyền dữ liệu nhanh và ổn định
- Kết nối switch với router CORE: Ta sử dụng dây mạng Copper Straight- Thought để kết nối Switch 0 với router, kết nối này giúp cho các máy tính trong mạng LAN có thể định tuyến giữa các VLAN trong mạng
- Kết nối router CORE với firewall: Ta sử dụng dây mạng Copper Straight- Thought để kết nối router CORE với firewall Kết nối này giúp cho dữ liệu đi ra mạng Internet được kiểm soát bởi firewall, đảm bảo tính an toàn và bảo mật cho dữ liệu của công ty
- Kết nối firewall với router EDGE: Ta sử dụng dây mạng Copper Straight- Thought để kết nối firewall với router EDGE Kết nối này giúp cho dữ liệu đi ra mạng Internet được chuyển đổi địa chỉ, tăng tính bảo mật và giao tiếp được với mạng Internet
- Kết nối router EDGE với router FPT: Ta sử dụng dây mạng Copper Straight- Thought để kết nối router EDGE với router FPT Kết nối này giúp cho mạng LAN nội bộ kết nối với mạng Internet của nhà mạng FPT
- Kết nối Switch 0 với DNS server: Ta sử dụng dây mạng Copper Straight- Thought để kết nối DNS server Kết nối này có thể kiểm soát truy cập mạng của các máy tính thông qua tên miền DNS
- Kết nối Switch 0 với DHCP server: Ta sử dụng dây mạng Copper Straight-Thought để kết nối với DHCP server Kết nối này có thể cấp địa chỉ IP tự động cho các máy tính khi kết nối vào mạng LAN của công ty
- Kết nối 50 PC với các Switch: Ta sử dụng dây mạng Copper Straight-Thought để kết nối 50 PC với các Switch Kết nối này giúp máy tính có thể tham gia vào liên kết mạng của doanh nghiệp
- Kết nối giữa các Switch: Ta sử dụng dây mạng Copper Cross-Over để kết nối giữa các Switch Kết nối này giúp các thiết bị khác Switch có thể giao tiếp được với nhau
Sau khi kết nối các thiết bị mạng sử dụng dây mạng, ta tiến hành cấu hình mạng để đảm bảo tính ổn định và bảo mật cho dữ liệu trong mạng LAN của công ty.
Cấu hình, định tuyến và kiểm tra kết nối mạng trên các thiết bị mạng
Sau khi thiết lập các kết nối giữa các thiết bị mạng và đặt địa chỉ IP cho mỗi thiết bị, ta tiến hành cấu hình, định tuyến và kiểm tra kết nối mạng trên các thiết bị mạng
- Cấu hình switch: Cấu hình VLAN trên switch: Tạo 3 VLAN trên switch, phòng kỹ thuật (VLAN10), phòng kinh doanh (VLAN20) và phòng bán hàng (VLAN30) Cấu hình phân VLAN cho từng cổng trên Switch
- Cấu hình router: Cấu hình định tuyến: Thiết lập định tuyến đến các mạng cục bộ và mạng Internet
+ Thiết lập các quy tắc bảo vệ cho các dịch vụ trên mạng nội bộ
+ Thiết lập chính sách bảo mật để ngăn chặn các cuộc tấn công từ bên ngoài vào mạng nội bộ
- Kiểm tra kết nối mạng:
+ Sử dụng lệnh ping để kiểm tra kết nối giữa các thiết bị mạng
+ Sử dụng các công cụ đo tốc độ mạng để đảm bảo tốc độ truyền thông đạt yêu cầu của công ty
+ Kiểm tra tường lửa và quy tắc bảo vệ để đảm bảo tính bảo mật của dữ liệu trên mạng.
ĐÁNH GIÁ HIỆU NĂNG HOẠT ĐỘNG CỦA MẠNG
Các tham số độ trễ, thời gian đáp ứng, tổn thất dữ liệu
- Độ trễ, thời gian đáp ứng có thể sử dụng lệnh ping và phân tích câu lệnh được hiển thị ra
Hình 30: Lệnh Ping từ PC này tới PC khác
- Ta thấy, độ trễ tức là khoảng thời gian mà yêu cầu ping mất để đi từ máy gửi đến máy nhận và quay lại giữa 2 PC là có thể là 1ms và 10ms (time=1ms, timems)
Approximate round trip times in ms: Đây là thống kê về thời gian đáp ứng của các gói tin ping "min" là thời gian đáp ứng nhỏ nhất (1ms), "avg" là thời gian đáp ứng trung bình (5ms), và "max" là thời gian đáp ứng lớn nhất (10ms)
Hình 31: Packet: sent 4, received 4, cho thấy dữ liệu không bị mất mát
- Dùng lệnh ping từ router tới 1 PC bất kỳ, ta thấy dữ liệu không bị mất mát (100 percent), độ trễ bằng 0ms, hay gần như gói tin sẽ được truyền đi ngay lập tức.
Tham số về lỗi
- Kiểm tra lỗi trong quá trình truyền tin, chúng ta có thể theo dõi và phát hiện thông qua các bản tin log, cụ thể được hiển thị bằng lệnh show logging trên Router
- Tin nhắn log trong router là các thông điệp được ghi lại bởi hệ thống hoặc các thành phần của router trong quá trình hoạt động Những tin nhắn log này cung cấp thông tin về các sự kiện, trạng thái, hoặc lỗi xảy ra trong hệ thống mạng của router, giúp người quản trị mạng theo dõi, phân tích, và giải quyết các vấn đề liên quan đến mạng
- Các tin nhắn log trong router có thể bao gồm thông tin về các sự kiện như khởi động lại của router, kết nối mạng được thiết lập hay đóng, giao tiếp với các thiết bị khác, lỗi giao tiếp, lỗi phần cứng, lỗi phần mềm, cấu hình thay đổi, hoặc các hoạt động liên quan đến các giao thức mạng đang hoạt động trên router như OSPF, BGP, EIGRP,…
- Thông qua các bản tin log này, chúng ta có thể phân tích và đánh giá hoạt động của hệ thống mạng, tìm kiếm dấu hiệu của các vấn đề hoặc lỗi, đưa ra chẩn đoán và giải quyết các vấn đề liên quan đến hoạt động của hệ thống mạng: + Console logging: level debugging, 4 messages logged, xml disabled, filtering disabled: Đây là cấu hình logging (ghi lại nhật ký hoạt động) trên cổng Console của thiết bị mạng Cấu hình hiện tại là "level debugging" tức là mức độ logging là "debugging", nghĩa là tất cả các thông báo log từ mức độ
"debugging" trở xuống sẽ được ghi lại trên cổng Console Số lượng tin nhắn
+ Monitor logging: level debugging, 4 messages logged, xml disabled, filtering disabled: Đây là cấu hình logging trên cổng Monitor của thiết bị mạng Cấu hình hiện tại là "level debugging" tức là mức độ logging là
"debugging" Số lượng tin nhắn đã được ghi lại là 4 Tùy chọn xml và filtering đều bị vô hiệu hóa (disabled)
+ Buffer logging: disabled, xml disabled, filtering disabled: Đây là cấu hình logging vào bộ đệm (buffer) của thiết bị mạng Cấu hình hiện tại là không ghi lại log vào buffer (disabled) Tùy chọn xml và filtering đều bị vô hiệu hóa (disabled)
+ Logging Exception size (4096 bytes): Là dung lượng tối đa cho phép của bộ đệm (buffer) dùng để lưu trữ các tin nhắn log liên quan đến các ngoại lệ (exceptions) hay lỗi của hệ thống mạng Nếu dung lượng bộ đệm vượt quá giá trị này, các tin nhắn log mới sẽ ghi đè lên các tin nhắn log cũ
+ Count and timestamp logging messages: đếm và ghi nhãn thời gian cho các tin nhắn log
+ Persistent logging: tính năng lưu trữ log vĩnh viễn.
Tham số về thông lượng
- Thông lượng không phản ánh tốc độ truyền thực tế khi một kênh đang được sử dụng Thay vào đó, một tham số thường sử dụng là goodput Goodput đại diện số lượng tải dữ liệu nhận được trong các tính huống như truyền lại, sắp xếp lại, tổn thất, trễ, hoặc các yếu tố truyền phổ biến khác Goodput có thể phát huy tác dụng khi thiết kế các ứng dụng chuyên biệt dựa trên tốc độ ổn định của dữ liệu đến hoặc đi của các luồng dữ liệu
Ví dụ, ta có thể dùng lệnh show interfaces trên router và quan sát được thông số liên quan đến thông lượng đầu vào (input rate) và thông lượng đầu ra (output rate) của giao diện mạng
→ 5 minute input rate 0 bits/sec, 0 packets/sec: thông tin về tốc độ đầu vào trong 5 phút gần đây, với giá trị là 0 bits/giây và 0 gói tin/giây
→ 5 minute output rate 0 bits/sec, 0 packets/sec: thông tin về tốc độ đầu ra trong 5 phút gần đây, với giá trị là 0 bits/giây và 0 gói tin/giây
Hình 33: Kết quả trả về lệnh show interfaces
7.4 Các chỉ số về hồi phục Để giám sát các chỉ số RTO và RPO trong môi trường thực tế, cần sử dụng các công cụ giám sát mạng chuyên nghiệp, chẳng hạn như các hệ thống giám sát mạng của Cisco, PRTG, SolarWinds, Nagios, và nhiều công cụ giám sát mạng khác có sẵn trên thị trường, cung cấp các tính năng chi tiết giúp quản trị viên giám sát, đo lường và phân tích các chỉ số hiệu suất mạng, bao gồm cả RTO và RPO, để đánh giá hiệu suất hoạt động của mạng và đưa ra quyết định cấu hình và tối ưu hóa mạng
7.5 Các chỉ số về độ tin cậy
- Sử dụng câu lệnh "show interfaces" trên router Các chỉ số độ tin cậy thường được hiển thị dưới dạng "reliability" trên output của lệnh này
Hình 34: Các chỉ số về độ tin cậy
- Trong đó, "reliability" có giá trị là "255/255", trong đó giá trị đầu tiên là độ tin cậy hiện tại và giá trị thứ hai là độ tin cậy tối đa của giao diện đó Độ tin cậy được đo dưới dạng một con số nằm trong khoảng từ 0 đến 255, với 255 là độ tin cậy cao nhất Một giá trị độ tin cậy gần với 255 cho thấy giao diện đó đang hoạt động ổn định và tin cậy cao Ngược lại, giá trị độ tin cậy gần với 0 cho thấy giao diện đang gặp vấn đề và có độ tin cậy thấp
7.6 Bảo mật trên firewall a Kiểm tra thiết lập chính sách bảo mật (access list)
- Sử dụng câu lệnh "ciscoasa#show access-list" để hiển thị danh sách truy cập được cấu hình trên firewall ASA
- Access-list cached ACL log flows: cho biết số lượng luồng được lưu vào bộ nhớ cache và số lượng bị từ chối Nếu số lượng luồng bị từ chối vượt quá giới hạn tối đa được thiết lập (deny-flow-max 4096), firewall sẽ bắt đầu ghi lại các sự kiện từ chối
- Access-list Allow_ICMP; 1 elements; name hash: 0xd7927388: cho biết tên và số lượng phần tử trong danh sách truy cập Trong trường hợp này, danh sách truy cập có tên là "Allow_ICMP" và chỉ có 1 phần tử
- Access-list Allow_ICMP line 1 extended permit icmp any any(hitcnt=0): cho biết chi tiết về phần tử trong danh sách truy cập Trong trường hợp này, phần tử đầu tiên cho phép tất cả các gói tin ICMP từ bất kỳ nguồn và đích nào Tham số "hitcnt" thể hiện số lượng gói tin đã truy cập đến phần tử này Ở đây, giá trị hitcnt=0 cho thấy chưa có gói tin nào truy cập đến phần tử này từ khi firewall được khởi động lên b Kiểm tra các tính năng bảo mật trên Firewall
- Sử dụng câu lệnh “show activation-key” trên Firewall:
Hình 36: Các tính năng được hỗ trợ bảo mật trên firewall ASA
+ Serial Number là số hiệu của thiết bị, được sử dụng để định danh thiết bị + Running Permanent Activation Key là mã kích hoạt vĩnh viễn đang được sử dụng trên thiết bị
- Các tính năng được hiển thị theo định dạng Tên tính năng: Trạng thái tính năng
Ví dụ: "Maximum Physical Interfaces: 8 - perpetual" cho thấy firewall ASA được cấu hình để hỗ trợ tối đa 8 interface vật lý vĩnh viễn Tương tự,
"Maximum VLANs: 30 - perpetual" cho thấy rằng ASA hỗ trợ tối đa 30 VLAN vĩnh viễn Phần "perpetual" cho thấy rằng tính năng được bảo mật là vĩnh viễn và không có thời hạn
- Ngoài ra, việc kiểm tra và cấu hình các tính năng bảo mật khác của firewall, như kiểm soát truy cập vào mạng (Access Control), kiểm soát băng thông (Bandwidth Control), chống DoS (Denial of Service), bảo vệ chống virus và phần mềm độc hại (Antivirus), bảo vệ chống spam (Anti-Spam) và bảo mật VPN (Virtual Private Network) Hay thực hiện kiểm tra bảo mật bằng cách áp dụng các kịch bản tấn công mạng trên firewall, để đảm bảo rằng hệ thống bảo mật hoạt động hiệu quả và chống lại các cuộc tấn công mạng là công việc quan trọng và không kém phần phức tạp trong việc đảm bảo tính bảo mật, quản lý hệ thống mạng
- Tuy nhiên, trong khuôn khổ kiến thức bị giới hạn, chúng em bạn chưa có kinh nghiệm cũng như kiến thức chuyên sâu về bảo mật mạng, nên đưa ra những đánh giá về bảo mật của hệ thống mạng trong bài toán đặt ra của chúng em về công ty thương mại điện tử trên chưa được đầy đủ.
Các chỉ số về độ tin cậy
- Sử dụng câu lệnh "show interfaces" trên router Các chỉ số độ tin cậy thường được hiển thị dưới dạng "reliability" trên output của lệnh này
Hình 34: Các chỉ số về độ tin cậy
- Trong đó, "reliability" có giá trị là "255/255", trong đó giá trị đầu tiên là độ tin cậy hiện tại và giá trị thứ hai là độ tin cậy tối đa của giao diện đó Độ tin cậy được đo dưới dạng một con số nằm trong khoảng từ 0 đến 255, với 255 là độ tin cậy cao nhất Một giá trị độ tin cậy gần với 255 cho thấy giao diện đó đang hoạt động ổn định và tin cậy cao Ngược lại, giá trị độ tin cậy gần với 0 cho thấy giao diện đang gặp vấn đề và có độ tin cậy thấp.
Bảo mật trên firewall
a Kiểm tra thiết lập chính sách bảo mật (access list)
- Sử dụng câu lệnh "ciscoasa#show access-list" để hiển thị danh sách truy cập được cấu hình trên firewall ASA
- Access-list cached ACL log flows: cho biết số lượng luồng được lưu vào bộ nhớ cache và số lượng bị từ chối Nếu số lượng luồng bị từ chối vượt quá giới hạn tối đa được thiết lập (deny-flow-max 4096), firewall sẽ bắt đầu ghi lại các sự kiện từ chối
- Access-list Allow_ICMP; 1 elements; name hash: 0xd7927388: cho biết tên và số lượng phần tử trong danh sách truy cập Trong trường hợp này, danh sách truy cập có tên là "Allow_ICMP" và chỉ có 1 phần tử
- Access-list Allow_ICMP line 1 extended permit icmp any any(hitcnt=0): cho biết chi tiết về phần tử trong danh sách truy cập Trong trường hợp này, phần tử đầu tiên cho phép tất cả các gói tin ICMP từ bất kỳ nguồn và đích nào Tham số "hitcnt" thể hiện số lượng gói tin đã truy cập đến phần tử này Ở đây, giá trị hitcnt=0 cho thấy chưa có gói tin nào truy cập đến phần tử này từ khi firewall được khởi động lên b Kiểm tra các tính năng bảo mật trên Firewall
- Sử dụng câu lệnh “show activation-key” trên Firewall:
Hình 36: Các tính năng được hỗ trợ bảo mật trên firewall ASA
+ Serial Number là số hiệu của thiết bị, được sử dụng để định danh thiết bị + Running Permanent Activation Key là mã kích hoạt vĩnh viễn đang được sử dụng trên thiết bị
- Các tính năng được hiển thị theo định dạng Tên tính năng: Trạng thái tính năng
Ví dụ: "Maximum Physical Interfaces: 8 - perpetual" cho thấy firewall ASA được cấu hình để hỗ trợ tối đa 8 interface vật lý vĩnh viễn Tương tự,
"Maximum VLANs: 30 - perpetual" cho thấy rằng ASA hỗ trợ tối đa 30 VLAN vĩnh viễn Phần "perpetual" cho thấy rằng tính năng được bảo mật là vĩnh viễn và không có thời hạn
- Ngoài ra, việc kiểm tra và cấu hình các tính năng bảo mật khác của firewall, như kiểm soát truy cập vào mạng (Access Control), kiểm soát băng thông (Bandwidth Control), chống DoS (Denial of Service), bảo vệ chống virus và phần mềm độc hại (Antivirus), bảo vệ chống spam (Anti-Spam) và bảo mật VPN (Virtual Private Network) Hay thực hiện kiểm tra bảo mật bằng cách áp dụng các kịch bản tấn công mạng trên firewall, để đảm bảo rằng hệ thống bảo mật hoạt động hiệu quả và chống lại các cuộc tấn công mạng là công việc quan trọng và không kém phần phức tạp trong việc đảm bảo tính bảo mật, quản lý hệ thống mạng
- Tuy nhiên, trong khuôn khổ kiến thức bị giới hạn, chúng em bạn chưa có kinh nghiệm cũng như kiến thức chuyên sâu về bảo mật mạng, nên đưa ra những đánh giá về bảo mật của hệ thống mạng trong bài toán đặt ra của chúng em về công ty thương mại điện tử trên chưa được đầy đủ.
