Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 26 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
26
Dung lượng
521,5 KB
Nội dung
ĐỒ ÁN TỐT NGHIỆP TRIỂNKHAIHỆTHỐNGMẠNG Giáo viên hướng dẫn : Ths Đinh Tiên Minh Sinh viên thực hiện : Hồ Thị Thanh Thủy ĐỒ ÁN CÓ 5 PHẦN CHÍNH PHẦN I : KHẢO SÁT TÌNH HÌNH THỰC TẾ PHẦN II : PHÂN TÍCH VÀ GIẢI PHÁP PHẦN III : TRIỂNKHAIHỆTHỐNGMẠNG PHẦN IV : HƯỚNG PHÁT TRIỂN PHẦN V : CÁC GIẢI PHÁP DỰ PHÒNG VÀ KHẮC PHỤC SỰ CỐ PHẦN VI: PHỤ LỤC PHẦN I : KHẢO SÁT TÌNH HÌNH THỰC TẾ < Trong phần này chúng ta sẽ trực tiếp tới công ty có nhu cầu để khảo sát tình hình hiện tại chủ yếu về " Sơ đồ, Thiết bị, cách thức làm việc, nhu cầu sử dụng mạng, và ngân quỹ của công ty là quan trọng nhất đó " > 1.TÌNH HÌNH THỰC TẾ CỦA CÔNG TY - Hiện tại Công Ty Đa Biên có 1 hêthốngmạng gồm 5 máy tính, trong đó có 1 server & 4 máy client cho 3 bộ phận kế toán , kinh doanh , nhân sự . Có 1 switch nối vào route ADSL để sử dụng internet. Mô hình mạng tổng quát hiện tại của Công ty như sau : SƠ ĐỒ MẠNG TỔNG QUÁT SƠ ĐỒ BỐ TRÍ MÁY HIỆN TẠI 2.YÊU CẦU CỦA CÔNG TY + Đối với hêthốngmạng bên trong : - Nhóm user ở bộ phận kế toán cho sử dụng phần mềm Kế toán - Nhóm user ở bộ phận nhân sự cho sử dụng mail và cho sử dụng internet , không được sử dụng chương trình của user của user nhóm kế toán - Nhóm user ở bộ phận kinh doanh cho sử dụng các phân mềm kinh doanh , không được sử dụng chương trình của user nhóm kế toán. - Các user được phân quyền phù hợp với công việc của mình. - Có file server chia sẽ dữ liệu . - Có web server public ra internet . - Cho server có khả năng giám sát . - Tạo điều kiện thuận lợi cho nhân viên có thể làm việc mà không cần trực tiếp vào công ty ( remote access). - Giám sát truy cập . + Đối với hêthốngmạng bên ngoài : - Giám sát người ngoài internet đăng nhập trái phép , nếu có sẽ xuất hiện thông báo ở server . - Cho user trong công ty sử dụng chức năng remote access khi ở ngoài công ty đăng nhập thuận tiện cho công việc khi ở xa thông qua mạng Internet . PHẦN II : PHÂN TÍCH VÀ GIẢI PHÁP < Trong phần này chúng ta sẽ đưa ra cho công ty một số giải pháp thuyết phục và quan trọng nhất đó là các sơ đồ " SƠ ĐỒ MẠNG TỔNG QUÁT , SƠ ĐỒ ĐI DÂY MẠNG " nếu cần thiết chúng ta cũng nên giới thiệu các kiến thức cần nắm đểtriểnkhai > 1.SƠ ĐỒ A.SƠ ĐỒ MẠNG TỔNG QUÁT B.SƠ ĐỒ ĐI DÂY MẠNG - Sơ Đồ Mạng Tầng Trệt(3 PC,1 Router , 1 Switch) - Tầng 1,2 Không có PC - Sơ Đồ Mạng Tầng 3(4 PC Kế Toán) Sơ Đồ Mạng Tầng 4(3 Server) 2.GIẢI PHÁP Do nhu cầu của công ty như vậy, nên chúng em có giải pháp như sau: -Công ty cần xây dựng 1 hệthốngmạng theo mô hình domain để quản lý tập trung tạo điều kiện thuận lợi cho việc quản trị hệthốngmạng . -Hiện nay, công ty chỉ có nhu cầu chia sẽ FILE Server, MAIL Server, WEB Server, DNS Server , DHCP Server . Công ty có thể xây dựng các dich vụ trên chung vào máy chủ nội bộ để tiết kiệm chi phí. -Triển khai CA Server , IPSEC để tăng độ bảo mật(Mail , Web) nếu có nhu cầu . -Cài các tools như là GFI.LANguard.Network.Security.Scanner, Network monitor v.v… Hỗ trợ việc giám sát và theo dõi nâng cao độ an toàn cho hệthốngmạng . -Triển khai vpn (cài radious server nếu cần chứng thực và quản lý trong giao tiếp VPN) và kết hợp vpn ipsec hoặc SSL (nếu có nhu cầu bảo mật cao hơn ). -Cài gói adminpak trên máy client giúp IT có thể quản lý hệthống linh động . -Có chính sách Backup hợp lý đảm bảo an toàn dữ liệu ở mức cao ( Nếu có điều kiện triễnkhai các ổ cứng theo kiểu RAID-5 hoặc MIRRO tăng tốc và dự phòng ) 3. CÁC KIẾN THỨC CƠ BẢN CẦN NẮM TRƯỚC KHI TRIỂNKHAI ( Tham khảo Chi Tiết Trong Phụ Lục ) A.CẦN HIỂU RÕ WINDOW SERVER 2003 B. HIỂU BIẾT Ý NGHĨA VÀ CẤU HÌNH CÁC DỊCH VỤ MẠNG : Dich vụ Active Directory (cơ sở dữ liệu của các tài nguyên trên mạng) Dịch Vụ DHCP (Dynamic Host Configuration Protocol) - Đây là dịch vụ cho phép tự động gán IP cho các máy tính trong hệthống Dịch vụ DNS ( Domain Name SyStem) - Làm nhiệm vụ phân giải địa chỉ IP thành tên miền dạng DNS và ngược lại. Dịch vụ Remote Access - Cho phép các nhân viên đặc biệt có thể làm việc từ xa và phục vụ kết nối cho hội sở chi nhánh . Web Server - Phục vụ nhu cầu về Web cho công ty . MAIL Server - Phục vụ nhu cầu về Mail cho công ty . ISA Server - Bảo vệ , ngăn ngừa các nguy cơ cho hệthống và điều chỉnh lưu lượng mạng . 4.CẤU HÌNH VÀ DỰ TOÁN THIẾT BỊ ( Tham Khảo Chi Tiết Trong Phụ Lục ) - Hiện Tại công ty đã có sẵn 4 PC làm client và 1 server làm File server - Do nhu cầu mỡ rộng công ty mua thêm 1 Server làm Web , Mail . Ngoài ra công ty còn mua thêm 3 PC tăng cường cho phòng kế toán và 1 PC có cấu hình ổn định để xây đựng Fire Wall . PHẦN III : TRIỂNKHAIHỆTHỐNGMẠNG 1.SƠ ĐỒ TRIỄNKHAI THỰC TẾ ( Tôi nhắc lại sơ đồ để làm rõ thêm về phần triểnkhai này) - Chức năng của các thiết bị : SERVER 1 : Làm DC , DHCP , File Server và Mail server nội bộ SERVER 2 : Làm Web Server SERVER 3 : Làm Fire Wall bảo vệ vùng mạng INTERNAL SWITCH 1 , 2 : Làm nhiệm vụ kết nối . Các PC : Nhansu1 , Kinhdoanh 1,2 , Ketoan1,2,3,4 Là các Client của công ty. Router ADSL VSIC : Kết nối INTERNET và NAT Web Server , Mail Server ra INTERNET . Ngoài ra còn là FireWall ngoài bảo vệ hệthốngmạng và vùng DMZ. - Với cách triểnkhai như trên mô hình , công ty sẽ có một hệthốngmạng với các chức năng như sau : Có Mail server phục vụ cho việc giao tiếp mail nội bộ , trong công ty ra internet và từ ngoài vào công ty.có độ tin cậy cao. Có Web Server phục vụ nhu cầu quản cáo Sản Phẩm , Mua Bán và Thương Hiệu .Với khả năng bảo mật và hạn chế Hacker cao . Có một hệthống dữ liệu dùng chung có tính bảo mật cao,phân quyền truy cập và đáng tin cậy. Có sự phân chia quyền hạn giữa các nhân viên , đáp ứng nhu cầu làm việc giữa các nhân viên trong công ty . Có một hệthốngmạng hỗ trợ cho các nhân viên làm việc từ xa thông qua mạng internet . - BƯỚC CẤU HÌNH : (Thao khảo chi tiết trong phần phụ lục) SERVER 1 (DC,MAIL,FILE SERVER) IP : 192.168.1.1 Sub : 255.255.255.0 DG : 192.168.1.254 DNS : 192.168.1.1 - Cài Windows Server 2003 sau đó nâng lên DC với Domain là DABIEN.ORG và cài tự động dịch vụ DNS . - Cài dịch vụ DHCP cấp ip tự động cho các máy Client - Tạo 3 group: Ketoan Kinhdoanh nhansu -Tạo 3 OU KETOAN , KINHDOANH Và NHANSU Ketoan Kinhdoanh Nhansu - Move 3 group Ketoan , Kinhdoanh , Nhansu vào 3 OU tương ứng. - Tạo tài khoản cho các nhân viên KETOAN user: ketoan1 , password: kt1 user: ketoan2 , password: kt2 user: ketoan3 , password: kt3 user: ketoan4 , password: kt4 KINHDOANH user: kinhdoanh1 , password: kd1 user: kinhdoanh2 , password: kd2 NHANSU user: nhansu1 , password:ns1 - Add các tài khoản vừa tạo vào 3 group tương ứng . - Cài các nhóm phần mềm để chia sẽ cho các Client trông ty tương ứng Các Client kế toán dùng phần mềm kế toán Các Client kinh doanh thì được dùng phần mềm kinh doanh Các Client nhân sự thì được dùng các phần mềm nhân sự - Phân quyền nhóm user ở bộ phận kế toán cho sử dụng phần mềm kế toán . - Phân quyền nhóm user ở bộ phận kinh doanh cho sử dụng phần mềm kinh doanh , không được sử dụng chương trình của user của user nhóm kế toán - Phân quyền nhóm user ở bộ phận nhân sự sử dụng các ứng dụng hổ trợ cho nhân sự , không được sử dụng chương trình của user kế toán. - Các user được phân quyền phù hợp với công việc của mình .Tạo Folder chứa dữ liệu của 3 group KETOAN, KINHDOANH , NHANSU và Phân Quyền hợp lý cho 3 group đó . Cấu hình Backup theo lịch cho dữ liệu 3 group KETOAN , KINHDOANH, NHANSU nhầm đảm bảo an toàn và khắc phục dữ liệu nhanh chóng . - Tạo Script map ổ đĩa tương ứng cho từng nhóm user . - Cài mail server MDEAMON 9.5 và tạo các tài khoản mail tương ứng với các user KETOAN user: ketoan1 , Mail address : [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ] user: ketoan2 , Mail address : [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ] user: ketoan3 , Mail address : [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ] user: ketoan4 , Mail address : [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ] KINHDOANH user: kinhdoanh1 , Mail address : [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ] user: kinhdoanh2 , Mail address : [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ] NHANSU user: nhansu1 , Mail address : [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ] -Cấu hình cây DNS Tạo Reverse Lookup Zone Tạo host MAIL.DABIEN.ORG Tạo Record MX Kiểm tra hoạt động của DNS Server SERVER 2 (WEB SERVER) IP : 20.0.0.1 Sub : 255.0.0.0 DG : 20.0.0.254 DNS : 20.0.0.1 - Cài Windows Server 2003 và cài dịch vụ Web Server - Cấu hình cho trang Web của công ty . - Do công ty xài dịch vụ ADSL không có IP Public . Nếu muốn public trang web công ty ra Internet chúng ta có thể sử dụng dịch vụ Dynamic DNS ([Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ]). Client Ketoan IP : 192.168.1.11 -> 192.168.1.15 Sub : 255.255.255.0 DG : 192.168.1.254 DNS : 192.168.1.1 - Cài Windows XP professional . - Join vào domain DABIEN.ORG Client Kinh Doanh IP : 192.168.1.21 -> 192.168.1.23 Sub : 255.255.255.0 DG : 192.168.1.254 DNS : 192.168.1.1 - Cài Windows XP professional - Join vào domain DABIEN.ORG Client nhansu IP : 192.168.1.31 Sub : 255.255.255.0 DG : 192.168.1.254 DNS : 192.168.1.1 - Cài Windows XP professional - Join vào domain DABIEN.ORG SERVER 3 (ISA SERVER) + Card INTERNAL IP : 192.168.1.254 Sub : 255.255.255.0 DG : trống DNS : trống + Card EXTERNAL IP : 20.0.0.254 Sub : 255.0.0.0 DG : 20.0.0.255 DNS : trống - Cài Windows Server 2003 - Join vào DABIEN.ORG - Cài ISA Server 2003 - Cấu Hình Các rule sau : Tạo rule truy vấn DNS để phân giải tên miền Tạo Rule hợp lý cho các nhân viên theo yêu cầu công ty Tạo vùng DMZ và cấu hình giao dịch giữa mạng trong và DMZ theo cơ chế Rout Tạo network rule cho phép mạng trong truy cập Web Server trong vùng DMZ theo cơ chế Route Tạo rule cho phép mạng trong giao dịch Web Server trong vùng DMZ Router ADSL Vsic + Card LAN 1 IP : 20.0.0.255 Sub : 255.0.0.0 DG : trống DNS : trống + Card LAN 2 IP : 20.0.0.253 Sub : 255.0.0.0 DG : trống DNS : trống + Card WAN ( Do ISP quản lý nên có ip động ) - Cấu hình kết nối với ISP . - Cấu hình DHCP cấp IP cho ISA Server - Nat Web Server ra internet sử dụng dịch vụ Dynamic DNS . - Tạo kế nối VPN cho nhân viên có thể làm việc từ xa sử dụng dịch vụ Dynamic DNS . 2.SƠ ĐỒ DEMO ( Đây là sơ đồ rút gọn giúp chúng ta báo báo trước hội đồng ) - Do thiếu điều kiện triểnkhai thực tế , nên nhóm chúng ta sẽ triểnkhai mô hình rút gọn sử dụng phần mềm “VM-WARE WorkStation” để chạy thử với mô hình như sau : • Sơ đồ phân tích : - Chức năng của các thiết bị : Máy ảo 1 : Làm DC , DHCP , File Server và Mail server nội bộ Máy ảo 2 : Kiểm tra hoạt động cho mạng trong vùng INTERNAL Máy ảo 3 : Làm Web Server Máy ảo 4: Làm Fire Wall bảo vệ vùng mạng INTERNAL , Tạo DMZ Máy ảo 5: Giả lập router và định tuyến cho 2 vùng mạng EXTERNAL của ISA và vùng mạng bên ngoài hệthống . Máy ảo 6 : Kiểm tra trang Web trong vùng DMZ và kiểm tra kết nối VPN tới mạng trong . - Với cách triểnkhai như trên mô hình DEMO sẽ có một hệthốngmạng với các chức năng như sau : Có Mail server phục vụ cho việc giao tiếp mail nội bộ Có Web Server Có một hệthống dữ liệu dùng chung có tính bảo mật cao,phân quyền truy cập và đáng tin cậy. Có sự phân chia quyền hạn giữa các nhân viên , đáp ứng nhu cầu làm việc giữa các nhân viên trong công ty . Có một kết nối từ mạng ngoài vào vùng mạng INTERNAL . - BƯỚC CẤU HÌNH : 1. Máy ảo 1: (DC,MAIL,FILE SERVER) IP : 192.168.1.1 Sub : 255.255.255.0 DG : 192.168.1.254 DNS : 192.168.1.1 - Cài Windows Server 2003 sau đó nâng lên DC với Domain là DABIEN.ORG và cài tự động dịch vụ DNS . - Cài dịch vụ DHCP cấp ip tự động cho các máy Client - Tạo 3 group: Ketoan Kinhdoanh nhansu -Tạo 3 OU KETOAN, KINHDOANH Và NHANSU Ketoan Kinhdoanh Nhansu - Move 3 group Ketoan, Kinhdoanh, Nhansu vào 3 OU tương ứng. [...]... server) ¬ Triểnkhai Audit policy cho hệthống (Nhằm giám sát lưu lượng mạng và đề phòng xâm nhập) ¬ Cài các tools như là GFI.LANguard.Network.Security.Scanne test hệthống nhằm vững chắc hệthốngmạng ¬ Dùng Certificate mã hóa dữ liệu trên đường truyền ( hệthống Domain ) ¬ Triểnkhai Certificate cho Web mã hóa SSl ( Secure socket layer): ( Nhằm đảm bảo an toàn trong giao dịch Web ) ¬ Triểnkhai CA... đường truyền đang bị mất tin hiệu - Nếu như công ty đăng ký thêm một line ADSL với nhu cầu tăng băng thông cho hệ thốngmạng công ty có thể triểnkhai LOAD BALANCING VÀ FAILOVER cho nhiều line bằng dịch vụ KERIO WINROUTE FIREWALL - Để giải quyết được các vấn đề nêu trên, trong 1 hệ thốngmạng lớn ta cần có nhiều đường truyền ADSL để cân bằng tải (Loadbalancing) và hỗ trợ khả năng chịu lỗi (Failover)... Professional service pack 2 - Vai trò là 1 client ngoài internet PHẦN IV: HƯỚNG PHÁT TRIỂN 1.CÔNG TY PHÁT TRIỂN THÊM HỘI SỞ CHI NHÁNH - Sơ đồ mạng của công ty có thể phát triển cho chi nhánh theo công nghệ VPN Site to Site 2.CÔNG TY CÓ NHU CẦU CẢI TIẾN BĂNG THÔNG CHO MẠNG - Với nhu cầu kết nối Internet hiện nay, nếu trong hệ thốngmạng của chúng ta chỉ có 1 đường truyền ADSL thì tốc độ truy cập internet có... về tài chính giải pháp về Micro , Raid – 5 là không thể không đề cập tới Đây là kiểu ổ cứng kết hợp Backup và tăng tốc xử lý cho server Điều này giúp cho công việc nhanh và an toàn hơn ¬ E.Giải pháp Cài Window Qua Mạng - Nếu hệ thốngmạng bị phá hủy hoàn toàn thì việc cài Win cho các client là một công việc khó khăn , tốn rất nhiều thời gian - Do công ty có một hệthống máy client hỗ trợ card mạng. .. ) ¬ Triểnkhai CA cho Mail ( Nhằm gia tăng tính xác thực cho các tài khoản mail ) ¬ Phổ biến kiến thức cơ bản về bảo mật và virut cho các nhân viên nhằm cải thiện và hiệu quả hơn trong việc đảm bảo an toàn dữ liệu cho người dùng mạng 2 MỘT SỐ GIẢI PHÁP THÔNG DỤNG CẦN CÓ CHO HỆTHỐNGMẠNG Bạn không thể biết trước được khi nào hệ thốngmạng gặp sự cố Vì sự cố có thể đến tự nhiên , cố ý hoặc vô tình... CẦN CÓ MỘT HỆTHỐNGMẠNG BẢO MẬT CAO HƠN - Đây là mô hình xây dựng trên nền tản ISA Server 2004 theo công nghệ Back to Back Ưu Điểm : - Khả năng bảo mật cao - Gây khó khăn cho Hacker từ bên ngoài tấn công vào Nhược điểm : - Chi phí rất cao - Đòi hỏi người quản trị có kiến thức sâu về ISA PHẦN V: CÁC GIẢI PHÁP DỰ PHÒNG VÀ KHẮC PHỤC SỰ CỐ 1 ĐỀ PHÒNG XÂM NHẬP VÀ VỮNG CHẮC HÓA HỆTHỐNGMẠNG ¬ Bỏ... các các tài nguyên chia sẻ Cung cấp các Server dự phòng làm chức năng điều khiển vùng (domain controller), đồng thời đảm bảo các thông tin trên các Server này được được đồng bộ với nhau (Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệthống | [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này ]) ¬ Dich vụ Active Directory (cơ sở dữ liệu của các tài nguyên trên mạng) :... vụ Active Directory (cơ sở dữ liệu của các tài nguyên trên mạng) : +Ứng dụng: trong hệthốngmang lớn việc duyệt, tìm kiếm trên mang sẽ dễ dàng hơn.Hơn nữa, để quản lý 1 hệthốngmạng lớn, bạn thường phải phân chia thành nhiều domain và thiết lập các mối quan hệ ủy quyền thích hợp.Active Directory giải quyết được các vấn đề như vậy và cung cấp 1 mức độ ứng dụng mới cho môi trường xí nghiệp Lúc này, dịch... kết nối thành công vào RAS, máy tính này có thể truy xuất đến toàn bộ hệthốngmạng phía sau RAS, nếu được cho phép, và thực hiện các thao tác như thể máy đó đang kết nối trực tiếp vào hệthốngmạng - Cũng có hai kiểu RAS Một kiểu tích hợp sẵn trên Win và một kiểu sữ dụng phần mềm - Trong đồ án này chúng em xin giới thiệu công nghệ VPN( Virtual private network ) HƯỚNG DẪN CẤU HÌNH DỊCH VỤ VPN(Virtual... giao dịch mạng nội bộ 2.Tạo Rule hợp lý cho các nhân viên trong việc sử dụng Internet 3.Tạo Rule Public Server cho bên ngoài truy cập vào Server của ♣ VPN : Có 2 kiểu I VPN Client to Gateway VPN Gateway To Gateway II VPN Site To Site 4 .Triển khai chế độ giám sát truy cập vào mạng hoặc ra bên ngoài mạng ( monitoring) 5.Cấu hình Caching cải thiện tốc độ làm việc cho mạng (Tối ưu hóa việc nghẽn mạng trong . và vùng mạng bên ngoài hệ thống . Máy ảo 6 : Kiểm tra trang Web trong vùng DMZ và kiểm tra kết nối VPN tới mạng trong . - Với cách triển khai như trên mô hình DEMO sẽ có một hệ thống mạng với. cho hệ thống mạng . công ty có thể triển khai LOAD BALANCING VÀ FAILOVER cho nhiều line bằng dịch vụ KERIO WINROUTE FIREWALL - Để giải quyết được các vấn đề nêu trên, trong 1 hệ thống mạng. ổn định để xây đựng Fire Wall . PHẦN III : TRIỂN KHAI HỆ THỐNG MẠNG 1.SƠ ĐỒ TRIỄN KHAI THỰC TẾ ( Tôi nhắc lại sơ đồ để làm rõ thêm về phần triển khai này) - Chức năng của các thiết bị : SERVER