Triển khai hệ thống mạng cho công ty Đấu giá tài sản trực tuyến

Vêu cầu sử dụng mạng của các phòng ban Phòng giám đốc: Có chức vụ và quyền hạn cao nhất, được phép truy cập vào hầu hết các dữ liệu trên hệ thống.. Vêu cầu sử dụng mạng cho nghiệp vụ Với

TRUONG DAI HOC MO- DIA CHAT

KHOA CONG NGHE THONG TIN

THIET KE MANG

DE TAI SO 04

TRIEN KHAI HE THONG MANG CHO CONG TY DAU GIA

TAI SAN TRUC TUYEN

Giáng viên hướng dan: ThS Đảo Anh Thư

Sinh viên thực hiện: Nguyễn Duy Thành

Lớp: (1921050720)

MMT K64A

Hà Nội — 2023

MỤC LỤC

1 PHÂN TÍCH NHU CÂU SỬ DỤNG MẠNG 5

1.2 Yêu cầu sử dụng mạng của các phòng ban 5

1.3 Yêu cầu sử dụng mạng cho nghiệp vụ 6

1.4 Yêu cầu về an ninh-an toàn mạng 6

2.1 Sơ đồ mặt bằng 7 2.2 Mô hình hệ thống 9

2.2.1 M6 hhinh m6 dune .- a 9 2.2.2 M6 hinh phan 16p ccc cccccccecececetsesetscseetecsetseeetsccecstsetenseteetsececseretstsetensenteces 11

2.3 Quy hoạch địa chỉ 12

PC 9) 069002 04p ao rdđidđiididđddidiiảảảỶả 12 2.3.2 Quy hoạch địa chỉ máy chủ L1 HH1 0111111111101 111 4 HH vu 13

ZA (0i đun 14 24.2, Quan 0vêi ra 16 2.4.3 Án ninh mạng - c2 111111111 11121111111 111111 1111111 11 11 1111 11 H1 H1 1111111111111 116 1g 16

3 TRIEN KHAI HE THONG 17

3.3 Cấu hình thiết bị 19 3.2.1 Cấu hình rOutET : 2211 221111122111122111122111002111 221111211 1100 H1 1101201 ga 19 3.2.2 Cấu hình switch 22c 2211221111121 112111 1021011011100 01g 20 3.2.3 Cầu hình máy chủ dịch vụ - 52 snE21122122112121222222 22 11012 xea 31 3.2.4 Cầu hình máy trạm - 2 22E12211211211121121 1221212222 112121212 2c 50

3.2.5 Phân quyển truy cập -:- +: 2222 212211122112211211122112111112 1121021111222 rea 55

DANH MỤC HÌNH VẼ

Hình 2.1 1 Sơ đồ mặt bằng tầng 22: 5 221 2211211221102211211121112211212211211211121221 da 6

Hình 2.1 2 Sơ đồ mặt bằng tầng 2 1 2 21 21122211211 1102211211121211211 21121221112 a 7 Hình 2.1 3 Sơ đồ mặt bằng tầng 3 2-20 2122122211211, 1102211211121 1121221121111 a 7 Hình 2.2 1 Mô hình hệ thống mô đun 52-5 S1 S1 E192511112112 1 112111112112121122121211222 1e § Hình 2.2 2 Mô hình phân lớp, - 2s s2222225225121121111112112211211 1 0121221211221 101212222121 reu 10 Hình 3 1 Hệ thống mô phỏng 2-52 9E 1921121122112 1210211012121 1211212121221 1e 18 Hinh 3 2 Kiém tra database VLAN cv n1 121 12111111 10101101011011101 101111 1111111111111 xa 22 Hình 3 3 Cầu hình địa chỉ IP nh cho máy chủ DHCP 2.5222 2EE1EE11211221122.212122 122 xu 32 Hình 3 4 Cầu hình địa chỉ IP nh cho máy chủ DNS 52 5 2222122112112111211221222 2122211 r 33 Hình 3 5 Cầu hình địa chỉ IP nh cho máy chủ FILLE 52-52252225 E3152122212111211 1121112122222 re 34 Hình 3 6 Cầu hình địa chỉ IP nh cho máy chủ WEEB 2 2122212222221 22 1g yyu 35 Hình 3 7 Cầu hình địa chỉ IP nh cho máy chủ MIAITL -2- 52 1 2192212252251215121121122112122 21x 36 Hình 3 8 Cầu hình dịch vụ cho máy chủ DHCP 22- s9 25122112112 1.2112112211221212120 2222202 37 Hình 3 9 Kết quả cấu hình dịch vụ DHCP - © 5 2222 221225102211211121140211211122112121.21 1222 38

Hình 3 10 Ping tir may tram dén default-gateway cla VLAN và inernet -s:- 2: 222 22222212221 22222 39

Hình 3 11 Cấu hình dịch vụ máy chủ WEB - s2 2112211211211 1211222222211 rag 40 Hình 3 12 Chỉnh sửa ñle index.htmml - 5s 2 2 2122211211211211121111211222 21212102222 re re 41 Hình 3 13 Truy cập vào dịch vụ WEB tại máy trạm ác 1n 9 1111111111111 11111111111 HH kg 42 Hình 3 14 Cấu hình máy chủ MAIL - 2: s22 9192222252251211211121121122121121212122222221 1y 43 Hình 3 15 Cấu hình dịch vụ MAIL tại máy trạm 2S 91921122212112211 1121101222222 121kg re 44 Hình 3 16 Soan Mail tai may trạm phòng Hành chính 1 111 121121121 1831111111 0111 11t H1 re, 45 Hình 3 17 Nhận Mail tại máy trạm phòng kế toán 2- 2S 9 1192112112112112111 212121 xu 46 Hình 3 18 Cấu hình dịch vụ DNS 2 1 2 11221121121 1212121222121 21121222221 nr ru 47 Hình 3 19 Kết quả cầu hình địch vụ DNS 522252 221222112111211122112211221121212 12222 uag 48 Hình 3 20 Cấu hình dịch vụ FILE 2 5s 2122512251211 1111112112112 12121212222 121 2e 49 Hình 3 21 Kết quả cầu hình địch vụ máy FILE 5 5522221 22125112211121102211211211112112111112121 2 te 50 Hình 3 22 Cấu hình Wireless Router sanh s, c1 11011 111111111111111111021 11111111101 1111111111111 x6 51 Hinh 3 23 D6i tén cho sanh 2-5 S2 9 921121112112112211 1121112112121 21 1112222211122 re 52 Hình 3 24 Đặt mật khẩu cho sảnh 2 2s 2221 2E112112112111211121121121121212212 12H11 2t rreg 33 Hình 3 25 Cấu hình smartphone của sanh - 2-2 s22 251225121121111112112112211 121 1012112120222 xa 34

I0 60/0 66 972188 e Ammn 56 I0 6U vang sài án nh .ảốãäốốa 37

Hinh 3 28 Ping ttr IT sang ving FARM eect een eteetecteneeneeneeteneeteetseeneteneeeteecteestetenteenees 59 Hình 3 29 Ping từ he sang vùng Far1m - c1 111111 1 111111110111 1111110111111 11111111 H1 H111 1g 60

Hinh 3 30 Ping tir ketoan ra Internet ố ố e- 61

Hình 3 31 Ping từ khách ra Internet và ping vào nội Dộ 0 c1 111 1 1 101111011 01 H1 HH rêu 62

DE TAI 04: TRIEN KHAI HE THONG MANG CHO CONG TY DAU GIA TAI SAN

TRUC TUYỂN

1 PHAN TICH NHU CAU SU DUNG MANG

1.1 Đối tượng người dùng

Ban giám đốc: Là những người đứng đầu của công ty, đưa ra các quyết định, chính sách, hưởng

đi, hướng phát triển của công ty Mục đích sử đụng mạng của ban giám đốc la dé thực hiện các chức nang vé quan lý, kiếm tra, giám soát, tổng hợp đữ liệu và xem xét các báo cáo Ngoài ra, ban giám đốc con dung dé nghiên cứu thị trường và trao đổi thông tin bên ngoài

Nhân viên của các phòng ban: Bao gồm các nhân viên có năng lực được phân công theo chức nang quan trị để dáp ứng các nhiệm vụ, giúp ban giám đốc thực hiện các quyết định Mục đích sử dụng

mạng: Kết nối liên lạc với các ban lãnh đạo Lên kế hoạch đề triển khai xuống cho nhân viên

Nhân viên quản trị mạng: Là những người được đào tạo về mạng và hệ thống Họ nắm quyền

điều hành, triển khai hệ thống mạng của công ty Mục đích sử dụng mạng để kiểm tra, giảm sát các

hoạt động của mạng đề có thê sử lý các vấn đề mạng kịp thời

Khách hàng: Là những cá nhân, tô chức có nhu cầu đấu giá tài sản có giá trị Mục đích sử dụng mạng dé tìm kiếm, tra cứu thông tin vẻ tài san đang được đấu giá trên công ty với nhiều mục đích khác nhau

Đối tác: Là những các nhân tó, tổ chức, các công ty, doanh nghiệp muốn hợp tác kinh doanh với công ty để phân phối các sản phẩm đấu giá Mục đích sử đụng mạng đề giám sát quá trình hợp tác với công ty, truy cập vào một phần dữ liệu của công ty, liên quan đến kinh doanh như mã sản phẩm, tên sản

phẩm, số lượng,

1.2 Vêu cầu sử dụng mạng của các phòng ban

Phòng giám đốc: Có chức vụ và quyền hạn cao nhất, được phép truy cập vào hầu hết các dữ liệu trên hệ thống Nhưng không thê tác động gây ảnh hưởng trực tiếp tới mạng lưới cảu công ty dau gia tai sán Cần ưu tiên về lượng băng thông nhất định để quản lý, giám sát tất cả các hoạt động của công ty

được ổn định

Phòng hành chính: Lưu trữ các giấy tờ pháp lý của công ty Điều phối các dịch vụ hoạt động của công ty, chịu trách nhiệm tuyến dụng, đào tạo và quán lý nhân viên nên yêu cầu đường truyền nhanh và chính xác đáp ứng khối lượng công việc của phòng ban này

Phòng thấm định: Ước định giá trị của tài sản tại thời điểm thẩm định giá Giá trị của tài sản được xác địn có thể là giá thị trường hoặc giá phi thị trường Họ cần một hệ thống mạng ổn định để

nghiêm cứu thị trường cũng như cập nhât giá cá mà họ thả định tài sản

Phòng đấu giá tài sản: tiến hành đấu giá và các thủ tục theo quy định của pháp luật yêu cầu cơ

quan nhà nước cung cấp thông tin liên quan đến tài sản Họ cần một hệ thống én định đề thực hiện các công việc của họ

Phòng kinh doanh: Thực hiện các công tác nghiên cứu và phát triển sản phâmt, lên chiến lực phát triển, tiếp cận mở rộng phạm vi thị trường và các khách hàng tiềm năng Họ cầ cần một hệ thông

magjn én định để thực hiện các công việc đó

Phòng kế toán: Hoạch toán đầy đủ các chỉ phí một cách chínchính, cân đối nguồn vốn, kiểm soát dòng tiền của công ty, lên kế hoạch tài chính, kinh doanh theo tháng, quý, năm Khá nhiều công

việc cần đòi hỏi sự chính xác về những con số nên cần một hệ thống mạng ôn định và hiệu quả

Phòng IT: Chịu trách nhiệm cho toàn bộ hệ thống mạng của công ty, có quyền truy cập, chỉnh sửa dữ liệ của các phòng ban Duy trì và khác phục sự có mạng của công ty Cần đường truyền mạnh

để giải quyết, khắc phục các lỗi hệ thống phát sinh của hệ thống đấu giá

1.3 Vêu cầu sử dụng mạng cho nghiệp vụ

Với sự bùng nỗ của công nghệ thông tin, các thiết bị di động và Internet of thing (IoT), nhu cầu

về mạng không đây phủ sóng rộng khắp là cần thiết hơn bao giờ hết Vì thế, việc thiết kế hệ thống mạng phù hợp cho doanh nghiệp là một điều vô cùng cân thiết để đảm bảo cho sự phát triển cũng như bảo mật nguồn thông tin tuyệt đối của doanh nghiệp

Đối với hình thức kinh doanh của công ty đấu giá tài sản, thì việc yêu cầu về băng thông và hiệu suất của mạng luôn phải đảm bảo tính ôn định và đều đặn, băng thông phái đủ cho các ứng dụng mạng trực tuyến:

Phòng ban giám đốc sẽ thường yêu câu về băng thông cao hơn các phòng còn lại Bên cạnh đó, khả năng chia sẻ tài nguyên giữa máy chủ và máy nội bộ, máy khách với máy khách trong công ty cũng phái đám bảo tính bảo mật và khả năng nhận thông tin day đủ

Với Website của doanh nghiệp, cần sử dụng mạng đề quảng bá, kinh doanh và là môi trường để khách hàng có thế thực hiện mua, trao đổi thông tin sản phẩm Trong nội bộ, khả năng kết nỗi mạng với các thiết bị như máy in, máy quét, cũng phải đảm bảo tính linh hoạt, nâng cao hiệu suất sử dụng

Đối với bộ phận kĩ thuật, việc sử dụng mạng là rất cần thiết để phục vụ cho các nghiệp vụ như

tìm hiểu các công nghệ mới, giải pháp về máy chủ DNS, đảm báo Website luôn được cập nhật, tối ưu

hóa và bảo mật

1.4 Yêu cầu về an ninh-an toàn mạng

An ninh mạng là phương thức cần thiết và bắt buộc phải làm tốt đề tối ưu dé công ty giảm thiêu các nguy cơ bị tấn công ăn cắp dữ liệu, nó tác động trực tiếp tới các hoạt động kinh doanh của công ty

nhằm bảo vệ các thiết bị, hệ thống, dịch vụ mà công ty đang sử dụng

Phòng giám đốc: Có quyền hạn gần như cao nhất, có thế truy cấp vào hầu hết dữ liệu của công ty nên về yêu câu an ninh — an toàn mạng phải luôn ở mức cao nhất để đám bảo an toàn các thông tin, đữ liệu quan tọng không bị rò rỉ hay đánh cắp

Phòng kỹ thuật - TT: Có quyền hạn cao nhất trong hệ thông mạng, Tác động lớn đến mọi hoạt động của server Yêu cầu an ninh — an toàn mạng ở phòng ban này phải ở mức rất cao vì phòng ban này chịu trách nhiềm tới toàn bộ hệ thống mạng của công ty

Phòng kinh doanh, Phòng kế toán: Có những chiến lược kinh đoanh, thông kê về mặt tài chính, dam bảo dòng tiền của công ty, cũng có thê nằm một phân thông tin của khách hàng nên cũng yêu câu

an ninh mạng ở mức cao để đảm bảo sự bảo mật thông tin

Các phòng ban còn lại: Đảm bảo an ninh mạng một cách cơ bản nhứ chống virus, xâm nhập phần mềm , tránh việc đánh cắp dữ liệu, thông tin cá nhan,

2 DE XUAT THIET KE

2.1 So dé mat bang

- Tang 1: Phong hanh chinh nhan sy, Phong IT, Phòng kế toán, Phong server

- Tang 2: Phong tham dinh , phong giam déc, phong van thu, phong khach

- Tầng 3: Phòng kinh doanh, phòng họp, phòng đấu giá

Phòng IT

1 Phòng hành chính

Hình 2.1 1 Sơ đồ mặt bằng tầng 1

Hình 2.1 2 Sơ đồ mặt bang tang 2

Hình 2.1 3 Sơ đồ mặt bằng tầng 3

Hình 2.2 1 Mô hình hệ thống mô đun

Biên nhà cung cấp dich vy (ISP Edge): đường truyền kết nổi (leased line) Vùng biên với nhà cung cấp dịch vụ, ta thuê mới đường truyền leased line dành riêng, kết nối trực tiếp từ nhà mạng tới router của công ty Không chỉ đơn thuần là cung cấp địch vụ internet, ISP con theo đối các trang web, nội dung mà người dùng truy cập thường xuyên,

từ đó biết được hành vi và thói quen sử dụng của bạn Nhờ đó, ISP có thể thay

được đường dẫn URL của tất cá website không được mã hóa mà người dùng đã truy cập,

thậm chí biết chính xác thời gian, vị trí, thiết bị, tần suất mà bạn sử dụng Đối với các

website được mã hóa, ISP vẫn biết được tên trang web tuy nhiên không thể truy cập URL

và biết từng nội dung, hành động mà người dùng thực hiện trên đó

Biên doanh nghiép (Enterprise Edge): Module bién của doanh nghiệp, đây là nơi tiếp giáp giữa mạng doanh nghiệp và mạng Internet bên ngoài Router, mỗi chiều kết nói vùng

DMZ, một chiều kết nối với vùng mạng nội bộ bên trong, làm nghiệm vụ định tuyến cho mạng ra Internet, điều khiển lưu luong Firewall nam gitta ving DMZ,router va core

switch lam nhiệm vụ bảo vệ an toàn cho ving DMZ va mang nội bộ

DMZ: là vùng mạng trung lập giữa mạng riêng và công cộng Là vùng quản lý dữ liệu và

cung cấp dịch vụ bảo mật cho người đùng mạng cục bộ đề truy cập email, ứng đụng web,

fip và các ứng dụng khác yêu cầu truy cập Internet DMZ giúp báo vệ hệ thống mạng khỏi các cuộc tấn công từ bên ngoài Bức tường lửa DMZ giúp kiểm soát lưu lượng mạng truy cập vào các dịch vụ và ứng dụng được dat trong DMZ, chi cho phép các kết nói được chấp nhận và ngăn chặn các kết nối độc hại DMZZ cung cấp một môi trường an toàn để cung cấp các dịch vụ cho đối tác và khách hàng từ xa Các dịch vụ được đặt trong DMZ

và được kiêm soát bởi bức tường lửa để đảm bảo rằng chỉ những kết nối hợp lệ mới được phép truy cập DM cho phép quản lý truy cập vào các dịch vụ và ứng dụng từ bên ngoài

Quản trị viên có thể cấu hình bức tường lửa DMZ để kiểm soát truy cập vào các dịch vụ

và ứng dụng, chỉ cho phép các kết nối cụ thể và ngăn chặn các kết nối độc hại

Trại máy chủ (Server Farm): gồm DHCP server, DNS server, File server cung cấp dịch vụ

cho mạng Internet, lưu trữ dữ liệu gốc và anh xa lén cac server ving DMZ Server farm

thường có máy chủ sao lưu, có thê đảm nhiệm chức năng của các máy chủ chính trong các trường hợp mắt máy chủ chính Server farm thường nằm cùng vị trí với các thiết bị chuyển mạch mạng hoặc các bộ định tuyến cho phép giao tiếp giữa các bộ phận khác nhau của các nhóm và các người sử dụng các cluster

Quan ly (Management): có trách nhiệm đám bao hệ thống hoạt động thông suốt, tăng Cường an ninh — an toản mạng, sử dụng tối đa tài nguyên chung của hệ thống mang gop phan nang cao hiéu suat str dyng Management sẽ phải phân công nhiệm vụ đến các phòng ban trong công ty để đám báo các hoạt động được trơn tru, đúng nhiệm vụ của từng cấp bậc phòng ban Sau khi phân chia công việc, nhiệm vụ thì Management sẽ phải kiểm

soát tiến độ thực hiện công việc của nhân viên để từ đó có những điều chỉnh sao cho phù hợp nhất, giúp đạt được hiệu quả cao khi thực hiện

LõI (Core): chịu trách nhiệm vận chuyển khối lượng lớn đữ liệu mà van dam bảo độ tin

cậy nhanh chóng Core switch gọi là lớp lõi và chúng phái chuyển mạch đữ liệu càng

nhanh càng tốt Thiết bị này có khả năng điều chỉnh toàn bộ lưu lượng

trong hệ thống được xử lý ở tốc độ cao Cùng với tính năng sẵn sàng kết nối, thực thi phân phối và độ bảo mật các kết nối tối đa Mang đến

giải pháp mạng hoàn hảo cho các doanh nghiệp, cơ sở cung cấp dịch

vụ mạng

" Phân phối (Distribution) bao gồm các bộ định tuyến dựa trên mạng LAN va cac switch

layer 3 Lop nay dam bảo rằng các gói được định tuyến đúng giữa các mạng con và VLAN trong đoanh nghiệp của bạn Lớp này còn được gọi là lớp Workgroup Điều phối lưu lượng mạng từ lõi đến các phân đoạn mạng khác nhau trong hệ thống Thiết bị chuyển mach (switches) voi kha nang quan ly va chuyén tiếp lưu lượng mạng giữa các mạng con

“_ Truy cập (Access/LAN) thực hiện kết nối của mạng tới các client trên cùng một hệ thống Thiết bị truy cập LAN để cung cấp kết nối mạng cho các thiết bị trong mạng cục bộ, cung

cấp về thiết bị hỗ trợ cho công việc của toàn bộ nhân viên của công ty

2.2.2 Mô hình phân lớp

Nêu chức năng, hoạt động, thiết bị chi tiết của từng lớp

10

Lớp lõi (Core) Là lớp trung tâm của mạng LAN campus, nằm trên cùng của mô hình 3

lớp Lớp lõi chịu trách nhiệm vận chuyên khối lượng lớn đữ liệu và phải đảm bảo được độ

tin cậy và nhanh chóng Mục đích duy nhất của lớp lõi là phái chuyên mạch dữ liệu càng nhanh càng tốt Tuy phần lớn đữ liệu của người đùng được vận chuyên qua lớp lõi, nhưng việc xử lý dữ liệu néu có lại là trách nhiệm của lớp phân phối Nếu có một sự hư hỏng xảy

ra ở lớp lõi, hau hết các người đùng trong mạng LAN đều bị ảnh hưởng Vi vậy, sự dự phòng là rất cần thiết lại lớp này Do lớp lõi vận chuyên một số lượng lớn dữ liệu, nên độ trễ tại lớp này phải là cực nhỏ Lớp lõi gồm một Switch layer 3 có nhiệm vụ tạo, quản lý

các VLAN, định tuyến các VLAN, đặt access list đảm bảo cho việc phân vùng mạng, đáp

ứng các yêu cầu an ninh cần thiết

Lớp phân phối (Distribution) Lớp phân phối là phần liên kết ở giữa lớp truy cập và lớp lõi, đáp ứng một số giao tiếp giúp giám tải cho lớp Core trong quá trình truyền thông tin trong mạng Chức năng chính của lớp phân phối là xử lý đữ liệu như là: định tuyến (routing), lọc g6i (filtering), truy cap mang WAN, tao access list, Lop phan phéi phai xác định cho được con đường nhanh nhất đáp ứng các yêu cầu của user Sau khi xác định được con đường nhanh nhất, nó gửi các yêu: cầu đến lớp lõi Lớp lõi chịu trách nhiệm chuyển mạch các yêu cầu đến đúng dịch vụ cần thiết Lớp phân phối là nơi thực hiện các chinh sach (policies) cho mang, cung cap tap hợp các tuyến đường đến mạng lõi Trong phạm vi mạng LAN, lớp phân phối cung cấp định tuyến giữa các VLAN, bao mat va QoS Lớp truy cập (Access) Lớp truy cập được thiết kế cung cấp các công kết nối đến từng máy trạm trên cùng một mạng, giúp người dùng kết nỗi với các tài nguyên trên mạng hoặc giao tiếp với lớp mạng phân bố Lớp này sử dụng các chính sách truy cập chống lại những

ké xâm nhập bát hợp pháp, mang đến các kết nối như: WAN, Frame Relay, Leased Lines Lớp truy cập đặc trưng bởi các phân đoạn mạng LAN Microsegmentation sử dụng thiết

bị chuyên mạch LAN cung cấp băng thông cao cho nhóm làm việc bằng cách giảm số

lượng các thiết bị trên các phân đoạn Ethernet

2.3 Quy hoạch địa chỉ

2.3.1 Quy hoach dia chi VLAN

VLAN cho cac bộ phận chức năng, cho phòng ban

VLAN ID TÊN VLAN CHỨC NĂNG _ | ĐỊA CHÍ

VLAN 1 Default Mang vung | 200.4.1.0/24

default VLAN 2 DMZ Mạng vùng DMZ | 200.4.2.0/24

VLAN 3 Farm Mạnh vùng Farm | 200.4.3.0/24 Tang 1 VLAN 4 Management Mang vung | 200.4.4.0/24

Management VLAN 11 Sanh Mạng vùng sảnh | 200.4.11.0/24 VLAN 12 He Mạng phòng hành | 200.4.12.0/24

chính

11

2.3.2 Quy hoạch địa chỉ máy chủ

Địa chỉ IP tĩnh cho các máy chủ Web, Mail, DNS, DHCP, File

VLANID MÁY CHỦ ĐỊA CHỈ IP CAU HINH CHUNG

VLAN 2 Máy chủ Web 200.4.2.2/24 SM:255.255.255.0

May chu Mail 200.4.2.3/24 DG:200.4.2.1 VLAN 3 Máy chủ DHCP 200.4.3.2/24 SM:255.255.255.0

May chu DNS 200.4.3.3/24 DG:200.4.3.1

DNS:200.4.3.3 VLAN 4 May chủ FILE 200.4.4.2/24 SM:255.255.255.0

DG:200.4.4.1

12

2.4 Chức năng hệ thống

2.4.1 Dịch vụ máy chủ

DNS Server : là một hệ thống cho phép thiết lập tương ứng giữa địa chỉ IP và tên miễn trên Internet Mỗi website có một tên (là tên miền hay đường dẫn URL: Uniform Resource Locator)

và một địa chỉ IP Địa chỉ IP gồm 4 nhóm số cách nhau bằng dấu cham(IPv4) Khi mở một trình

duyệt Web và nhập tên website, trình duyệt sẽ đến thăng website mà không cần phái thông qua

việc nhập địa chỉ IP của trang web Quá trình “dịch” tên miền thành địa chỉ IP để cho trình duyệt hiểu và truy cập được vào website là công việc của một DNS server Các DNS trợ giúp qua lại

với nhau đề dịch địa chỉ “IP” thành “tên” và ngược lại Nếu không thấy thông tin, nó sẽ tìm trong

bộ nhớ cache Máy chủ định danh có thấm quyền là nơi quản trị viên quản lý tên máy chủ và địa chỉ IP cho miền của họ Bắt cứ khi nào quản trị viên DNS muốn thêm, thay đổi hoặc xóa tên máy chủ hoặc địa chỉ IP, họ sẽ thực hiện thay đổi trên máy chủ DNS có thấm quyên của mình (đôi khi được gọi là Master DNS Server) Ngoài ra, còn có các Slave DNS Server Các máy chủ DNS này giữ bán sao của các bán ghi DNS cho các vùng và tên miền của chúng

DHCP Server là máy chủ có chức năng cấp phát địa chỉ IP cho tat ca các thiết bị truy cập trên cùng một mạng thông qua máy chủ DHCP được tích hợp trên router Bên cạnh đó, DHCP còn có nhiệm vụ cấp thông số cần thiết của mạng đến các thiết bị Cụ thé 1a thông tin về subnet

mask, default gateway va dịch vụ DNS Cách hoạt động của DHCP về cơ bản khá đơn giản, khi

có một thiết bị cần truy cập mạng, nó sẽ gửi yêu cầu từ một router và được router gán cho một địa chỉ IP khả dụng DHCP giúp công tác quản trị hệ thống mạng được tự động, tiện lợi và tập trung Bằng cách tự động gan dia chi IP cho thiét bi khi truy cap internet, tiét kiém rat nhiéu thoi gian so

với cầu hình thủ công, giảm rủi ro phát sinh lỗi Nó có chức năng phản hỏi thông tin khi máy trạm (DHCP clien) phát yêu cầu Ngoài ra, DHCP server còn có nhiệm vụ truyền thông tin một cách hợp lý nhất đến các thiết bị, đồng thời, thực hiện cấu hình công mặc định (Default gateway) hay

Subnet mask DHCP server tự động cầu hình thông tin mạng và thực hiện cấp địa chỉ IP động cho

các thiết bị điện tử trong hệ thống mạng Tùy quy mô mạng lớn hay nhỏ mà DHCP server sẽ có

những cách thực hiện khác nhau Với hệ thống mạng lớn, DHCP client sẽ nằm tại Domain, nhà

quan tri sé ding DHCP server có sẵn trên Windows dé phat IP déng cho DHCP client Khi mét client được kết nổi đến mạng có DHCP server, client này sẽ gửi yêu cầu (DHCPDISCOVER) đến DHCP server DHCP server sẽ tìm cách giữ lấy 1 địa chỉ IP mà client có khá năng sử dụng và cung cấp cho DHCP client gói DHCPOFFER Sau khi được DHCP server cung cấp địa chỉ IP, 13

DHCP client sẽ phản hỏi lai DHCP server với I gói DHCPREQUEST đề đồng ý yêu cầu Khi đó, DHCP server gửi ACK để xác nhận DHCP client có thể sử dụng địa chỉ đó Trường hợp DHCP server không thể nhận địa chỉ IP, DHCP server sẽ gửi NACK thông bao cho DHCP client

Web Server: là máy chủ có dung lượng lớn, được dùng để lưu trữ thông tin như một ngân hàng đữ liệu, chứa những website đã được thiết kế cùng với những thông tin liên quan khác Mỗi máy chủ là một IP khác nhau và có thê đọc các ngôn ngữ như file *.hữm và *.html, Máy chủ này cũng cho phép một trang web để được xem bằng HTTP, HTTP (HyperText Transfr Protocol) là giao thức chính cho việc chuyên dữ liệu trên web Web server phải có dung lượng

lớn thì mới có thê lưu trữ vận hành tốt một kho dữ liệu trên internet Nhờ đó, web server có khả năng vận hành trơn tru một hệ thống máy tính hoạt động, đảm bảo các hoạt động này liên tục đề

duy trì cung cấp đữ liệu cho mạng lưới máy tính của mình Xử lý và cung cấp thông tin cho khách hàng thông qua các máy tính cá nhân trên Internet qua giao thức HTTP Nội dung

được chia sẻ từ máy chủ web là những nội dung định dạng HTML, các thẻ style sheets, hình ảnh, những đoạn mã serIpt hỗ trợ nội dung văn bản thôi

Email server: là một giao thức chuyên nghiệp để giao tiếp thư tín, quan lý và truyền thông nội bộ, giao dịch thương mại Không chỉ thao tác với tốc độ nhanh chóng và ôn định, Mail

Server còn đảm bảo tính an toàn với khả năng khôi phục dữ liệu cao Mail Server cơ bản vẫn

là Dedicated Server (Server riêng lẻ) hay Cloud Server (Server điện toán đám mây) được cấu hình để biến thành một cỗ máy gửi và nhận thư điện tử Nó cũng có đầy đủ các thông số như một Server bình thường như Ram, CPU, Storage, ngoài ra, nó còn có các thông số khác liên quan

đến yếu tế Email nhự số lượng tai khoan Email, Email fowarder, Mail list,

File (may chu tập tin): là máy chủ được kết nối mạng, cung cấp không gian lưu trữ và chia

sẻ đữ liệu như hình ảnh, âm thanh, văn bản, video Các đữ liệu này có thể được truy cập bởi các

máy trạm (workstation) Các máy trạm được kết nối đến máy chủ khi chúng chia sẻ quyền truy cập qua mạng máy tính Trong mô hình client — server, client chính là các máy trạm sử dụng storage Binh thuong, may chu tap tin sé không chạy chương trình thay client và cũng không thực hiện nhiệm vụ máy tính mà chủ yếu là thiết lập cho lưu trữ, truy xuất đữ liệu còn nhiệm vụ thanh

toán sẽ được thực hiện bởi các workstation

Database (máy chủ cơ sở đữ liệu): là một hệ thống máy tính cung cấp cho các máy tính khác những địch vụ liên quan đến việc truy cập va lay thông tin từ cơ sở đữ liệu Quyên truy cập

vào database server có thể diễn ra thông qua một front end chạy cục bộ máy của người dùng (ví

14

dụ, phpMyAdmin) hoặc back end chạy trên chính đatabase server, được truy cập bằng remote shell Sau khi thông tin trong cơ sở dữ liệu được truy xuất, nó sẽ được xuất cho người yêu cầu dit

liệu

2.4.2

2.4.3

Quản lý mạng

VLAN là viết tắt của Virtual Local Area Network hay còn gọi là mạng LAN áo Một

VLAN được định nghĩa là một nhóm logic các thiết bị mạng và được thiết lập dựa trên các yếu

tố như chức năng, bộ phận, ứng dụng của công ty Về mặt kỹ thuật, VLAN là một miền quảng bá được tạo bới các switch Bình thường thì router đóng vai trò tạo ra miền quảng bá Đối với VLAN, switch có thể tạo ra miền quáng bá VLAN giúp tăng hiệu suất mạng LAN cỡ trung bình và lớn vì nó hạn chế bán tin quảng bá Khi số lượng máy tính và lưu lượng truyền tải tăng cao, số lượng gói tin quảng bá cũng gia tăng Băng cách sử đụng VLAN, ban sé han chế được bản tin quảng bá VLAN cũng tăng cường tính bảo mật bởi vì thực chất bạn đặt một nhóm máy tính trong một VLAN vào mạng riêng của chúng

Có hai loại VLAN :

VLAN tĩnh: Statie VLAN được tạo ra bằng cách cách gán các công của mỗi Switch thành

mot mang VLAN Mỗi công nằm trên một VLAN và chỉ giao tiếp, kết nếi với những VLAN

được chỉ định Trong nhiều trường hợp các VLAN tnh có thê thay đổi nhanh chóng bằng thủ

công hoặc tự động hóa mạng

VLAN động: Dynamie VLUAN được tạo ra dựa trên loại lưu lượng hoặc thiết bị tạo ra lưu

lượng Thông thường kỹ sư mạng sẽ dùng phần mềm dién hinh cisco work 2000 dé tao ra

Dynamic VLAN Một công có thể gán cho một VLAN dựa trên dia chi Mac nguồn của loại

thiết bị đính kẻm

Một VLAN được xác định trên các switch bằng một ID VLAN Mỗi công trén mot switch

sẽ được gán cho một hoặc nhiều VLAN ID, trường hợp không được chỉ định thì nó sẽ được chuyến tới một VLAN mặc định Mỗi VLAN sẽ cung cấp quyền truy cập dữ liệu cho tất cá những thiết bị kết nối với công trên switch phù hợp với VLAN ID của nó

Đường trung kế kết nối (Truck) giữa các switch nhận biết được VLAN nao trai dài trên switch Truck con dong vai trò truyền lưu lượng truy cập cho các VLAN được sử dụng ở hai

phía đầu, cuối của nó, Khi một khung chạm đến switch đích thi thé VLAN sẽ bị xóa trước khi

khung được truyền tới máy tinh đích

loại packet nào bị hủy bỏ Sự chấp nhận và huỷ bỏ này có thê dựa vào địa chỉ nguồn, địa chỉ

đích hoặc chỉ số port Các dòng mới được khai báo sẽ được tự động thêm vào cuối ACL, tuy nhiên dòng cuối cùng thực sự của một ACL luôn là một dòng ngằm định “deny” tat cá, có

nghĩa là nêu gói tin không match bất cứ dòng nào đã khai báo của ACL, nó sẽ bị deny ACL hoạt động dựa trên các quy tắc được thiết lập trước, xác định quyền truy cập cho các tài nguyên cụ thể Mỗi quy tắc trong ACL chứa thông tin về người dùng hoặc nhớm người ding (principal), quyén truy cap (permission), va tai nguyén (resource) Khi mét ngudi ding hoặc máy tính cố gắng truy cập một tài nguyên nào đó, hệ thống sẽ kiểm tra ACL để xác định xem họ có quyền truy cập hay không

ACL giúp bảo vệ thông tin quan trọng khỏi việc truy cập trái phép Bằng cách kiếm soát

ai có quyên truy cập và thực hiện những hành động gì trên các tài nguyên, ACL đảm báo rằng chỉ những người được ủy quyền mới có thể truy cập thông tin bảo mật ACL cho phép bạn giới hạn quyển truy cập vào các phản cụ thể của hệ thống mạng ACL giúp quản lý người dùng trong mạng bằng cách xác định quyền truy cập dựa trên vai trò hoặc nguyên tắc cụ thé Điều này giúp tổ chức duy trì sự sắp xếp và sự an toàn trong hệ thống

ACL gồm những thành phản sau:

Principal: Đây có thể là người dùng cụ thế, nhóm người dùng, hoặc các tài khoản hệ thông khac Principal la thực thê mà bạn muốn kiêm soát quyền truy cập cho

Permission: Được xác định bởi các hành động cụ thể mà prineipal có thê thực hiện trên tài

nguyên, như đọc, øgh1, thực thị, xóa, và quản lý

Resource Là tài nguyên mà bạn muốn kiểm soát truy cập, chang hạn như tập tin, thư mục, thiết bị mạng, hoặc ứng đụng

3 TRIEN KHAI HE THONG

3.1 Nội dung cần thực hiện

« Cau hinh céng password cho telnet đảm bảo tính an toàn cho việc quản lý mạng

» Cấu hình VTP server dé quản lý việc thêm bớt, xóa, đổi các VLAN trén 1 domain

" Tạo lập các VUAN

16

» Cấu hình đường Trunk cho việc truyền đữ liệu giữa các VLAN khác nhau

* Đặt địa chỉ mạng cho các công giao điện VLAN

» Cấu hình định tuyến inter-VLAN cho phép các mạng VLAN có thê trao đổi thông tin với nhau

» Cấu hình định tuyến cho phép mạng đi ra ngoài Internet

» Cấu hình Access-list đảm bảo cho các yêu cầu cần thiết về an ninh mạng

- Distribution Switch:

« Cau hinh VTP client dé đồng bộ việc quản lý các VLAN

* Cau hinh interface giao tiép voi Core Switch 6 ché dé trunking, interface giao tiếp với các

Access-switch & ché dé access-mode

- Access Switch:

« Access — Switch la switch dat tai cac phong ban nên với switch nay ta chi can cam công kết nếi

tới đúng công cấu hình mode access cho từng VLAN trén distribution cua tầng

* Với Access-switch của phòng server ta cần cau hình đường trunking nối tdi distribution switch

và các công giao điện tương ứng cho các server theo VLAN tương ứng

Hình 3 1 Hệ thống mô phỏng 17

- Sau khi cdu hinh inteface FastEthernet 0/0, ta tiép tục cấu hình inteface FastEthernet 0/1 kết nối

với vùng Core và cấu hình một default-route trỏ tới vùng này:

- Cuéi cung, ta cau hình kỹ thuật NAT Overload và cầu hình các công inside/outside:

NDT(config)#access-list 10 permit any

NDT(config)#ip nat inside source list 10 interface serial 0/1/0 overload

NDT(config)#interface range f0/1,f0/0

NDT(config-if-range)#ip nat inside

NDT (config-if-range)}#exit

NDT(config)#interface s0/1/0

NDT(config-if#ip nat outside

NDT(config-if}#do write memory

NDT(config-if}#exit

3.2.2 Cau hinh switch

- Trén Core Switch , ta cau hinh hostname, password enable va password telnet:

19

Tiép dén, ta tao database VLAN bang cau lénh vlan database, sau dé thém lan hot cac VLAN

kèm tên của VLAN dé theo quy hoạch ban đầu:

Core#vlan database

Core(vlan)#vlan 2 name DMZ

Core(vlan)#vlan 3 name Farm

Core(vlan)#vlan 4 name management

Core(vlan)#vlan 11 name sanh

Core(vlan)#vlan 12 name Hens

Core(vlan)#vlan 13 name IT

Core(vlan)#vlan 14 name ketoan

Core(vlan)#vlan 15 name server

Core(vlan)#vlan 21 name thamdinh

Core(vlan)#vlan 22 name giamdoc

Core(vlan)#vlan 23 name vanthu

Core(vlan)#vlan 24 name khach

Core(vlan)#vlan 31 name kinhdoanh

Core(vlan)#vlan 32 name hop

20

Physical Config CLI Attributes

10S Command Line Interface

SLINK-5-CHANGED: Interface FastEthernet0/8, changed state to up

SLINEPROTO-S-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to up

00:00:45: $OSPF-5-ADJCHG: Process 1, Nbr 200.4.5.1 on FastEthernet0/l from LOADING to FULL, Loading Done

User Access Verification

Password:

Password:

CORE>ena

Password:

CORE#show vlan bri

CORE#show vlan brief

VLAN Name Status Ports

1 default active Fa0/9, Fa0/10, Fa0/11, Fa0/12

Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24

Hinh 3 2 Kiém tra database VLAN

- Sau khi cấu hình database VLAN xong, ta đặt IP cho các interface VLAN trén kèm theo câu

yêu cầu cấp IP động cho các máy trạm từ máy chủ DHCP (có địa chỉ IP là 200.4.3.2)

Core#conf t

Core(config)#int vlan 11

21

Core(confis-1f)#1p address 200.4.11.1 255.255.255.0 Core(confis-1f)#1p helper-add 200.4.3.2

Core(config-1f)#exIt

Core(config)#int vlan 12

Core(config-if}#ip address 200.4.12.1 255.255.255.0 Core(config-if}#ip helper-add 200.4.3.2

Core(config-if}#exit

Core(config)#int vlan 13

Core(config-if}#ip address 200.4.13.1 255.255.255.0 Core(config-if}#ip helper-add 200.4.3.2

Core(config-if}#exit

Core(config)#int vlan 14

Core(config-if}#ip address 200.4.14.1 255.255.255.0 Core(config-if}#ip helper-add 200.4.3.2

Core(config-if}#exit

Core(config)#int vlan 15

Core(config-if}#ip address 200.4.15.1 255.255.255.0 Core(config-if}#ip helper-add 200.4.3.2

Core(config-if}#exit

Core(config)#int vlan 21

Core(config-if}#ip address 200.4.21.1 255.255.255.0 Core(config-if}#ip helper-add 200.4.3.2

Core(config-if}#exit

Core(config)#int vlan 22

Core(config-if}#ip address 200.4.22.1 255.255.255.0 Core(config-if}#ip helper-add 200.4.3.2

Core(config-if}#exit

Core(config)#int vlan 23

Core(config-if}#ip address 200.4.23.1 255.255.255.0 Core(config-if}#ip helper-add 200.4.3.2

22

Bước cấu hình VLAN va đặt IP cho các VLAN tương ứng đã xong, tuy nhiên các VLAN này

chưa thể giao tiếp với nhau Theo mặc dinh, Switch Layer 3 hoạt động nhu mét Switch Layer 2

Dé cac VLAN nay co thé giao tiếp với nhau, ta sử dụng lệnh ip routing trên Core:

Core(config)#ip routing

Trên Core, với các interface từ FastEthernet 0/4 đến FastEthernet 0/8, ta cấu hình các interface

này ở mode trunk:

Core(config)#interface range f0/4-8

Core(config-if-range)#switchport trunk encapsulation dotlq

Core(config-if-range)#switchport mode trunk

Cuối cùng, ta đặt IP cho interface FastEthernet 0/1 va cầu hình một default-route trỏ tới Router

DVDT nhằm cho phép các gói tin từ các VLAN có thê truy cập ra ngoài Internet Tuy nhiên, để

có thể đặt được IP trên một công bắt kỳ của DMZ thì ta phải sử dụng lệnh no switchport

Core(config)#int f0/1

Core(confis-1f)#no switchport

23

-bé cac Distribution Switch cé thé đồng bộ VLAN với Core Switch, ta cau hình giao thức VTP

trên các switch nay:

+ TẦNG I:

Switch>enable

Switch#conf t

Switch(config)#hostname Tang1

Tang 1(config)#vtp domain NDT

Tang 1(config)#vtp mode client

24

Tang 1(config)#vtp password 123 Tang 1(config)#vlan 11

Tang 1(config )#int f0/2

Tang 1(config-if}#switchport mode access Tang|(config-ifswitchport access vlan 12 Tang 1(config-if}#ex

Tang 1(config int f0/3

Tang 1(config-if}#switchport mode access Tang 1(config-if}switchport access vlan 13 Tang 1(config-if}#ex

Tang 1(config )#int £0/4

Tang 1(config-if}#switchport mode access Tang |(config-ifswitchport access vlan 14

Tang 1(config-if}#ex

Tang 1(config)#int f0/5

Tang 1(config-if}#switchport mode access Tang 1(config-if}#switchport access vlan 15 Tang 1(config-if}#ex

Tang2(config)#vtp password 123 Tang2(config)#vlan 21

Tang2(config-if}#switchport access vlan 21 Tang2#exit

Tang2(config int f0/3

Tang2(config-if}#switchport mode access Tang2(config-ifswitchport access vlan 22 Tang2#exit

Tang2(config )#int £0/4

Tang2(config-if}#switchport mode access Tang2(config-if\switchport access vlan 23 Tang2#exit

Tang2(config int f0/5

Tang2(config-if}#switchport mode access Tang2(config-ifswitchport access vlan 24 Tang2#exit

Tang3(config)#vtp password 123 Tang3(config)#vlan 31

Tang3(config-vlan)#name kinhdoanh

Tang3(config-vlan)#exit

Tang3(config)#vlan 32

Tang3(config-vlan)#name hop

Tang3(config-if}#switchport mode access

Tang3(config-if}#switchport access vlan 31

Tang3(config-if)#exit

Tang3(config int f0/3

Tang3(config-if}#switchport mode access

Tang3(config-if}#switchport access vlan 32

Tang3(config-if)#exit

Tang3(config int £0/4

Tang3(config-if}#switchport mode access

Tang3(config-if\switchport access vlan 33

switch Farm cé thé nhan duoc database VLAN tt Core , ta cau hinh VIP 6 mode Client cho

MANAGEMENT(config)#vtp password 123 MANAGEMENT(config)#int f0/1

MANAGEMENT(config-if)#switchport mode trunk MANAGEMENT(config-if}#ex

MANAGEMENT(config)#int f0/2

MANAGEMENT(config-if)#switchport mode access MANAGEMENT(config-if)#switchport access vlan 4 MANAGEMENT(config-if}#exit

DMZ(config-1f}#switchport mode trunk

DMZ(config-1Ð#ex

DMZ(config)#int £0/2,f0/3

DMZ(config-if#switchport mode access

DMZ(config-if}#switchport access vlan 2

DMZ(config-if}#exit

3.2.3 Cau hinh may cha dich vu

- Dau tién ta cầu hình địa chi IP nh cho các máy chủ theo quy hoạch ban đầu

30