Đồ án tốt nghiệp Công nghệ thông tin: Hoàn thiện thiết kế hệ thống mạng cho doanh nghiệp

Nội dung của đề tài: Khảo sát hệ thống mạng hiện tại của CTY TNHH Sản xuất và Kinh doanh giày da iShoes, nâng cấp hệ thống mạng LAN, bổ sung hệ thống mạng không dây, thay thế hệ thống b

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT

THÀNH PHỐ HỒ CHÍ MINH

ĐỒ ÁN TỐT NGHIỆP NGÀNH CÔNG NGHỆ THÔNG TIN

GVHD: NGUYỄN ĐĂNG QUANG SVTH: LÊ MINH ĐỨC

TP Hồ Chí Minh, tháng 8/2024HOÀN THIỆN THIẾT KẾ HỆ THỐNG MẠNG

CHO DOANH NGHIỆP

TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT TP.HCM

KHOA ĐÀO TẠO CHẤT LƯỢNG CAO

Ngành: Công nghệ thông tin

KHÓA LUẬN TỐT NGHIỆP

HOÀN THIỆN THIẾT KẾ HỆ THỐNG MẠNG CHO

DOANH NGHIỆP

Giảng viên hướng dẫn: ThS Nguyễn Đăng Quang

Sinh viên thực hiện: Lê Minh Đức

Mã số sinh viên: 19110192

Thành phố Hồ Chí Minh, ngày 6 tháng 8 năm 2024

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

Độc lập – Tự do – Hạnh phúc

-

Thành phố Hồ Chí Minh, ngày 6 tháng 8, năm 2024

ĐỀ CƯƠNG KHÓA LUẬN TỐT NGHIỆP

Họ tên sinh viên: Lê Minh Đức Mã số sinh viên: 19110192 Ngành: Công nghệ thông tin

1 Tên đề tài: Hoàn thiện thiết kế hệ thống mạng cho doanh nghiệp

2 Nội dung của đề tài: Khảo sát hệ thống mạng hiện tại của CTY TNHH Sản

xuất và Kinh doanh giày da iShoes, nâng cấp hệ thống mạng LAN, bổ sung hệ thống mạng không dây, thay thế hệ thống bảo mật cũ thành hệ thống bảo mật mới theo mô hình nhiều lớp, cải thiện hiệu suất thiết bị

3 Kết quả đề tài: Sau khi nâng cấp, hệ thống mạng của CTY TNHH Sản xuất và

Kinh doanh giày da iShoes được nâng cao về chất lượng sử dụng, tăng độ bảo mật cho doanh nghiệp

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

Độc lập – Tự do – Hạnh phúc

-

Thành phố Hồ Chí Minh, ngày 6 tháng 8, năm 2024

PHIẾU NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN

Họ và tên sinh viên: Lê Minh Đức

Mã số sinh viên: 19110192

Ngành: Công nghệ thông tin

Tên đề tài: Hoàn thiện thiết kế hệ thống mạng cho doanh nghiệp

Họ và tên của Giảng viên hướng dẫn: ThS Nguyễn Đăng Quang

NHẬN XÉT:

1 Về nội dung đề tài và khối lượng thực hiện

2 Ưu điểm:

3 Khuyết điểm:

4 Đề nghị cho bảo vệ hay không?

5 Đánh giá loại:

6 Điểm:

Thành phố Hồ Chí Minh, ngày 6 tháng 8 năm 2024

Giảng viên hướng dẫn

ThS Nguyễn Đăng Quang

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

Độc lập – Tự do – Hạnh phúc

-

Thành phố Hồ Chí Minh, ngày 6 tháng 8, năm 2024

PHIẾU NHẬN XÉT CỦA GIẢNG VIÊN PHẢN BIỆN

Họ và tên sinh viên: Lê Minh Đức

Mã số sinh viên: 19110192

Ngành: Công nghệ thông tin

Tên đề tài: Hoàn thiện thiết kế hệ thống mạng cho doanh nghiệp

Họ và tên của Giảng viên phản biện: ThS Đinh Công Đoan

NHẬN XÉT:

1 Về nội dung đề tài và khối lượng thực hiện

2 Ưu điểm:

3 Khuyết điểm:

4 Đề nghị cho bảo vệ hay không?

5 Đánh giá loại:

6 Điểm:

Thành phố Hồ Chí Minh, ngày 6 tháng 8 năm 2024

Giảng viên phản biện

ThS Đinh Công Đoan

LỜI CẢM ƠN

Không có thành tựu nào có thể đạt được mà không có những nỗ lực, sự cố gắng, và sự hỗ trợ, dù lớn hay nhỏ, trực tiếp hay gián tiếp Đó là quá trình không ngừng nghỉ bên cạnh sự hướng dẫn, chỉ bảo tận tình, sự gắn bó và tình cảm sâu sắc

Để hoàn thành thành công đề tài và bài báo cáo này, em muốn gửi lời cảm

ơn chân thành đến giảng viên hướng dẫn của em, thầy Nguyễn Đăng Quang, người đã hỗ trợ em trực tiếp trong suốt quá trình làm việc trên đề tài này Em biết ơn thầy đã chia sẻ những lời khuyên từ kinh nghiệm thực tiễn của mình để hướng dẫn em đi đúng hướng với yêu cầu của đề tài, luôn sẵn lòng trả lời các câu hỏi và đề xuất các chỉnh sửa kịp thời giúp em khắc phục những vấn đề và hoàn thành đúng thời hạn

Em cũng muốn bày tỏ lòng biết ơn đến tất cả các thầy cô trong Khoa Đào tạo Chất Lượng Cao, Khoa Công Nghệ Thông Tin và thầy Võ Quốc thuần – Giám đốc CTY TNHH Thương Mại và Dịch Vụ Quốc Thuần, đã dành thời gian

và công sức để truyền đạt kiến thức quan trọng giúp em có nền tảng để thực hiện

đề tài này Đề tài và báo cáo của em được thực hiện với sự hạn chế về kiến thức,

kỹ thuật và kinh nghiệm thực tế Do đó, em rất mong nhận được ý kiến đóng góp quý báu từ thầy cô để kiến thức của em được hoàn thiện hơn Em xin chân thành cảm ơn

Thành phố Hồ Chí Minh, ngày 6 tháng 8 năm 2024

Sinh viên thực hiện

Lê Minh Đức

i

MỤC LỤC

DANH MỤC TỪ VIẾT TẮT iv

DANH MỤC HÌNH ẢNH vi

DANH MỤC BẢNG viii

MỞ ĐẦU 1

1 Giới thiệu đề tài 1

2 Đối tượng nghiên cứu 2

3 Phương pháp triển khai 2

4 Phạm vi nghiên cứu 2

Chương 1 GIỚI THIỆU VỀ CTY TNHH SẢN XUẤT VÀ KINH DOANH GIÀY DA ISHOES 3

1.1Hiện Trạng Hệ Thống Mạng Của Cty Tnhh Sản Xuất Và Kinh Doanh Giày Da Ishoes 3 1.2Phân tích nguyên nhân 4

1.3Mục tiêu 6

1.3.1Về hiệu suất 6

1.3.2Về tính sẵn sàng 7

1.3.3Về bảo mật 7

Chương 2 THIẾT KẾ 9

2.1Sơ Đồ Hệ Thống Mạng Nâng Cấp: 9

2.2Mô tả thiết kế hệ thống mạng 10

2.3 Bảng thiết kế địa chỉ IP 10

2.4 Dịch vụ 13

2.4.1 Dịch vụ thư mục: Active Directory 13

2.4.2 Dịch vụ Radius 15

2.5 Các Nâng Cấp Về Mạng LAN 16

2.5.1 Khu vực hành chính 16

2.5.2 Khu vực nhà xưởng 18

2.5.2.1 Phòng IT 19

2.5.2.2 Các nhà xưởng 19

2.6Hệ thống mạng không dây 19

ii

2.6.1 Khu vực hành chính 19

2.6.2 Khu vực nhà xưởng 22

2.7 Hệ thống quản lý mạng: 27

2.8 Hệ điều hành tinh chỉnh: 27

2.8.1 Tắt/gỡ bỏ ứng dụng/phần mềm không cần thiết (Debloat) 27

2.8.2 Tối ưu dịch vụ 28

2.8.3 Tối ưu, tăng tốc phần cứng 28

2.8.4 Giao diện, tích hợp ứng dụng 29

Chương 3 BẢO MẬT 30

3.1 Tường Lửa 30

3.2 IDS/IPS 30

3.3 Server 31

3.3.1 Password Policies: 31

3.3.2 Account Policy 31

3.3.3 Cài đặt ứng dụng, phần mềm 31

3.3.4 Windows Update 31

3.4 Antivirus 32

3.5 Backup – Restore 32

3.6 Access Control list (ACLs) 32

Chương 4 TRIỂN KHAI, MÔ PHỎNG 34

4.1 Cấu Hình Thiết Bị 34

4.2 Cấu hình Server 35

4.2.1 Cấu hình Policy 35

4.2.1.1 Password Policy 35

4.2.1.2 Account lockout Policy 35

4.2.1.3 Chặn cài đặt ứng dụng 36

4.2.1.4 Windows Update 37

4.2.2 Cấu hình hệ thống quản lý 40

4.3 Cấu hình, cài đặt hệ điều hành tinh chỉnh 45

4.4 Kiểm tra, đánh giá 47

4.4.1 Hệ thống quản lý, cảnh báo 47

iii

4.4.2 Hiệu suất các máy tính chạy hệ điều hành tinh chỉnh 50

Chương 5 ƯỚC TÍNH CHI PHÍ 51

5.1 Ước tính số mét dây sử dụng 51

5.2 Ước tính chi phí vật tư 53

KẾT LUẬN 55

1 Kết quả đạt được 55

2 Thuận lợi 55

3 Khó khăn 56

PHỤ LỤC 57

1 Chi tiết cấu hình máy Workstation 57

2 Các thiết bị được trang bị/bổ sung tại phòng IT (phân xưởng) 57

3 Các tính năng cần có của AP 57

4 Các ứng dụng bị gỡ bỏ trong quá trình debloat 60

5 Các dịch vụ bị tắt( hoặc chờ bật) trong quá trình tối ưu 60

6 Chi tiết phần cứng của tường lửa và các tính năng 62

7 Chi tiết cấu hình thiết bị IDS 66

8 Các tính năng được trang bị cho phần mềm Antivirus Kaspersky Endpoint Security (Advanced) 71

TÀI LIỆU THAM KHẢO 72

iv

DANH MỤC TỪ VIẾT TẮT

CTY TNHH Công ty Trách nhiệm hữu hạn

AAA Authentication, Authorization, and Accounting

IPS Intrusion Prevention System

SNMP Simple Network Management Protocol

RADIUS Remote Authentication Dial-In User Service

v

HSRP Hot Standby Router Protocol

S/FTP Shielded with Foiled Twisted Pair

Distributed Denial of Service

WSUS Windows Server Update Services

DdoS Distributed Denial of Service

EIGRP Enhanced Interior Gateway Routing Protocol

UEFI Unified Extensible Firmware Interface

vi

DANH MỤC HÌNH ẢNH

Hình 1.1 Sơ đồ mạng hiện tại CTY iShoes 3

Hình 2.1 Sơ đồ hệ thống mạng sau khi nâng cấp 9

Hình 2.2 Sơ đồ cây thư mục của đơn vị 15

Hình 2.3 Sơ đồ nâng cấp mạng LAN khu hành chính 16

Hình 2.4 Sơ đồ nâng cấp mạng LAN khu nhà xưởng 18

Hình 2.5 Vị trí lắp đặt AP phòng kế toán mô phỏng bằng Ekahau Site Survey 21 Hình 2.6 Vị trí lắp đặt AP nhà xưởng 1 mô phỏng bằng Ekahau Site Survey 23

Hình 2.7 Vị trí lắp đặt AP nhà xưởng 2 mô phỏng bằng Ekahau Site Survey 24 Hình 2.8 Vị trí lắp đặt AP nhà xưởng 3 mô phỏng bằng Ekahau Site Survey 25

Hình 4.1 Cấu hình Password Policy 35

Hình 4.2 Cấu hình Account Lockout Policy 36

Hình 4.3 Cấu hình Policy chặn cài đặt phần mềm lạ 37

Hình 4.4 Giao diện WSUS #1 37

Hình 4.5 Giao diện WSUS #2 38

Hình 4.6 Cấu hình Policy cho WSUS #1 38

Hình 4.7 Cấu hình Policy cho WSUS #2 39

Hình 4.8 Cấu hình Policy cho WSUS #3 39

Hình 4.9 Cấu hình Policy cho WSUS #4 40

Hình 4.10 Cấu hình tham số cho Zabbix 40

Hình 4.11 Cấu hình dịch vụ SNMP trên Windows Server #1 41

Hình 4.12 Cấu hình phương thức cảnh báo qua bot Telegram #1 43

Hình 4.13 Cấu hình phương thức cảnh báo qua bot Telegram #2 43

Hình 4.14 Cấu hình phương thức cảnh báo qua bot Telegram #3 44

Hình 4.15 Cấu hình phương thức cảnh báo qua bot Telegram #4 44

Hình 4.16 Cấu hình phương thức cảnh báo qua bot Telegram #5 45

Hình 4.17 Cấu hình tinh chỉnh bộ driver cài đặt cho card đồ họa Nvidia #1 46

Hình 4.18 Cấu hình tinh chỉnh bộ driver cài đặt cho card đồ họa NVidia #2 46

vii

Hình 4.19 Minh họa Server bị tắt 47

Hình 4.20 Minh họa cảnh báo từ công cụ giám sát #1 47

Hình 4.21 Minh họa cảnh báo từ công cụ giám sát #2 48

Hình 4.22 Cảnh báo gửi từ bot Telegram và Zabbix 49

Hình 4.23 Hiệu suất máy tính sau khi cài đặt hệ điều hành tinh chỉnh (mô phỏng thực tế) 50

viii

DANH MỤC BẢNG

Bảng 2-1 Bảng phân chia IP cho từng phòng ban 11

Bảng 2-2 Bảng phân chia IP cho Subnet #0 12

Bảng 2-3 Bảng phân chia IP cho Subnet #1 12

Bảng 2-4 Thiết kế Schema 14

Bảng 2-5 : Minh họa cách khai báo ou 14

Bảng 2-6 : Số lượng AP 22

Bảng 2-7 Ước tính số lượng user và tốc độ mạng 26

Bảng 4-1 So sánh độ trễ của một số phiên bản driver Nvidia 46

Bảng 5-1 Ước tính chi phí 54

1

MỞ ĐẦU

1 Giới thiệu đề tài

Trong thời đại kỹ thuật số ngày nay, thời đại 4.0 và sắp tới là 5.0, một cơ

sở hạ tầng mạng mạnh mẽ và hiệu quả là không thể thiếu đối với sự phát triển của doanh nghiệp Khi công nghệ phát triển nhanh chóng, các yêu cầu đặt ra cho

hệ thống Mạng LAN của một công ty cũng tăng lên Nhằm đáp ứng nhu cầu ngày càng tăng về kết nối, bảo mật và hiệu suất, việc nâng cấp hệ thống LAN doanh nghiệp thành cơ sở hạ tầng mạng toàn diện trở nên cần thiết

Công ty TNHH Sản xuất và Kinh doanh giày da iShoes, một doanh nghiệp hoạt động trong lĩnh vực sản xuất và kinh doanh giày dép, sau một thời gian dài sử dụng hệ thống mạng LAN ban đầu, đã nhận thấy rằng hệ thống hiện tại không còn đủ để đáp ứng nhu cầu ngày càng phát triển của họ Hệ thống mạng hiện tại của công ty gặp phải một số hạn chế như hệ thống mạng LAN hiện tại còn sơ sài, thiếu sót trong việc tích hợp mạng không dây, và thiếu khả năng đáp ứng được các yêu cầu về bảo mật và sẵn sàng

Trước hết, hệ thống mạng LAN hiện tại của công ty iShoes đang hoạt động dựa trên một cấu trúc đơn giản, không phản ánh được quy mô và phức tạp của một doanh nghiệp khi đã và đang thay đổi cơ cấu quản lý vận hành như hiện nay Việc hệ thống chỉ giới hạn ở mạng có dây cũng tạo ra sự hạn chế trong việc

mở rộng và tăng cường khả năng kết nối cho các bộ phận và văn phòng khác nhau trong công ty

Thứ hai, sự thiếu sót trong tích hợp mạng không dây đã gây ra sự bất tiện trong việc di chuyển và truy cập mạng cho nhân viên và các thiết bị di động Đặc biệt, trong một môi trường làm việc động, mạng không dây sẽ là một yếu tố quan trọng giúp nâng cao hiệu suất và linh hoạt cho các quy trình làm việc

Thứ ba, việc bảo mật mạng không chỉ là một ưu tiên mà còn là một yêu cầu cần thiết cho bất kỳ doanh nghiệp nào hoạt động trong môi trường kinh

2

doanh ngày nay Hệ thống mạng hiện tại của công ty iShoes chưa đáp ứng được các tiêu chuẩn bảo mật cần thiết, gây ra rủi ro về an ninh thông tin và tiềm ẩn các mối đe dọa từ các cuộc tấn công mạng bên ngoài

Do đó, nhận thức được những hạn chế và thách thức mà hệ thống mạng LAN hiện tại đang gặp phải, Công ty TNHH Sản xuất và Kinh doanh giày da iShoes quyết định thực hiện một dự án nâng cấp toàn diện hơn, nhằm mục đích cải thiện hiệu suất, tính linh hoạt, và bảo mật của hệ thống mạng, từ đó mang lại

sự sẵn sàng và khả năng phát triển cho doanh nghiệp trong tương lai

2 Đối tượng nghiên cứu

Hệ thống mạng của Công ty TNHH Sản xuất và Kinh doanh giày da

iShoes

3 Phương pháp triển khai

- Khảo sát tình trạng hệ thống mạng LAN hiện tại: thiết bị, nhu cầu, vị trí lắp đặt,

- Xây dựng bản vẽ nâng cấp dự kiến

- Triển khai, cấu hình thiết bị

- Kiểm tra, đánh giá, kết luận

4 Phạm vi nghiên cứu

- Hệ thống mạng LAN hiện tại của Công ty TNHH Sản xuất và Kinh doanh giày da iShoes

- Thiết kế mạng LAN

- Khảo sát khu vực lắp đặt WLAN bằng công cụ mô phỏng heatmap

- Mô hình bảo mật nhiều lớp, mô hình AAA

- Triển khai thử nghiệm

3

Chương 1 GIỚI THIỆU VỀ CTY TNHH SẢN XUẤT VÀ KINH DOANH GIÀY DA ISHOES

1.1 Hiện Trạng Hệ Thống Mạng Của Cty Tnhh Sản Xuất Và Kinh Doanh Giày Da Ishoes

Sơ đồ hệ thống mạng hiện tại của công ty sản xuất và kinh doanh giày da

Hình 1.1 Sơ đồ mạng hiện tại CTY iShoes

4

Sơ đồ trên mô tả hệ thống mạng của CTY TNHH Sản xuất và kinh doanh giày da iShoes gồm 2 phần được thiết kế từ sản phẩm của Đồ án ngành Công nghệ thông tin:

Trong hệ thống mạng hiện tại tồn tại một số lỗi khu vực hành chính như:

- Hay bị mất kết nối hoặc băng thông thấp, mạng chậm

- Khi một node mạng bị đứt thì sẽ ảnh hưởng các vùng còn lại

- Nhân viên muốn sử dụng máy tính cá nhân (laptop) thì rất khó khăn để kết nối được mạng và làm việc

Đối với khu vực nhà xưởng, ngoài những lỗi tương tự như khu vực hành chính thì còn có:

- Quản lý khó theo dõi một số tiến trình công việc trên điện thoại nếu sử dụng các ứng dụng quản lý cần sử dụng mạng

- Máy client, máy host có hiệu suất làm việc không cao Một số máy tính trong khu vực 3 nhà xưởng không được đáp ứng về mặt hiệu suất phần cứng

1.2 Phân tích nguyên nhân

- Mất kết nối, băng thông thấp: Do thiết bị đã cũ, lỗi thời, dây cáp chất lượng không cao nên khi kéo xa bị nhiễu (cáp hiện tại: CAT5 UTP CCA – một loại cáp

có lõi là nhôm mạ đồng, không có vỏ bảo vệ)

5

Hình 1.1 Tốc độ Down/Up tại phòng Giám đốc

- Thiết kế mạng đơn giản, thiếu tính dự phòng: không có đường dây dự phòng, thiếu cấu hình cân bằng tải, nên độ sẵn sàng không cao (Dựa trên sơ đồ có thể

dễ dàng thấy các kết nối giữa thiết bị là kết nối đơn – một dây duy nhất – nên trong trường hợp xấu, có sự cố như dây đứt thì sẽ tốn thời gian để khắc phục, ngoài ra kết nối đơn cũng là 1 nguyên nhân làm băng thông thấp)

- Thiếu hệ thống mạng không dây nên đôi lúc một số nhân viên cần tháo cáp LAN để cắm vào laptop (điều này làm gia tăng các nguy cơ về an ninh), quản lý các nhà xưởng nếu cần sử dụng mạng để kiểm tra thông tin trên điện thoại cũng khó khăn

- Hiệu suất làm việc của các máy client, host giảm do hệ điều hành sử dụng chứa nhiều các phần mềm lẫn dịch vụ không cần thiết (bloatware + unwanted service/process)

- Thay đổi cơ cấu quản lý, nhu cầu sử dụng nên hệ thống máy tính cũ sử dụng VCloudpoint không đáp ứng đủ sức mạnh phần cứng Cụ thể:

+ Nhiệm vụ Nhà xưởng 1: Nhận thông tin từ khu vực hành chính, thiết kế mẫu giày, => Cần máy Workstation thay cho Client Vcloudpoint để sử dụng các phần mềm đồ họa

6

+ Nhiệm vụ Nhà xưởng 2: Nhận thiết kế của nhà xưởng 1, điều khiển các thiết bị sản xuất theo mẫu, lưu trữ thông tin, => Cần bổ sung 1-2 máy Workstation để mở file thiết kế và điều khiển thiết bị

+ Nhiệm vụ Nhà xưởng 3: lưu trữ, xử lý và ghi chép, cập nhật thông tin và làm báo cáo mới gửi về khu vực hành chính

Hình 1.2 Hiệu suất máy client và cấu hình phần cứng hiện tại 1.3 Mục tiêu

1.3.1 Về hiệu suất

- Thay thế những thiết bị đã cũ, lỗi thời: switch, router, firewall

- Thay thế lại đường dây cáp cũ chất lượng thấp thành dây cáp chất lượng cao: CAT5 UTP CCA thành CAT6 S/FTP BC (cáp có bọc chống nhiễu trên từng cặp xoắn cáp và có lớp bọc chống nhiễu bảo vệ tổng thể bên ngoài bốn cặp xoắn, lõi đồng nguyên chất, tăng độ bền)

7

- Thay thế một số máy tính client thành máy trạm (Workstation) cấu hình cao hơn để phục vụ theo nhu cầu đã thay đổi của công ty, chi tiết cấu hình được trình bày tại phụ lục số 1:

- Sử dụng phiên bản hệ điều hành được tùy chỉnh lại dành cho các máy Workstation, Host PC (Custom Windows OS: 10, 11, .) để tắt/cắt bỏ các tính năng ảnh hưởng tới hiệu suất máy tính, đồng thời tăng tốc hiệu suất cho CPU: + Xóa bỏ các Bloatware, Suggested Apps khi cài đặt hệ điều hành

+ Tắt các tính năng theo dõi người dùng của Microsoft

+ Tắt các Process không liên quan đến mục đích sử dụng để hạn chế CPU phải xử lý nhiều

+ Giảm độ trễ của phần cứng (low latency) bằng bộ driver tương thích ổn định nhất và registry thay đổi độ ưu tiên xử lý khi sử dụng phần cứng

+ Tích hợp sẵn ứng dụng và tinh chỉnh sẵn môi trường sử dụng (nhằm giảm bớt thời gian xử lý công việc cho IT khi công ty bổ sung thêm máy tính)

+

1.3.2 Về tính sẵn sàng

- Nâng cấp từ 1 thành 2 đường cáp kết nối thiết bị cho một số khu vực để dự phòng khi có sự cố như: dây đứt, cổng kết nối bị lỗi Ngoài ra khi tăng số lượng đường cáp như vậy sẽ có thể hỗ trợ gộp băng thông góp phần làm tăng hiệu suất băng thông lên gấp đôi

- Bổ sung Server Backup để dự phòng các tình huống xấu như: Server chính bị quá tải, bị tấn công DDoS,…

- Bổ sung hệ thống mạng không dây để nhân viên, quản lý có thể sử dụng khi truy cập bằng laptop cá nhân, điện thoại,

1.3.3 Về bảo mật

- Thay thế hệ thống tường lửa cũ thành hệ thống bảo mật mới theo mô hình bảo mật nhiều lớp, cung cấp nhiều tính năng hơn như: cân bằng tải, phát hiện xâm nhập,…

+ Bảo mật mức thiết bị: bổ sung ACL mục đích làm bộ lọc đề phòng các tình huống server bị tấn công DoS/DDoS, đồng thời sử dụng thiết bị dò tìm lỗ hổng IDS để dò và xác định các dấu hiệu tấn công vào các thiết bị mạng cùng các nguồn tài nguyên khác, từ đó đưa ra phương án, biện pháp ngăn chặn kịp thời Ngoài ra để ngăn nhân viên kết nối laptop vào hệ thống bằng việc tháo cáp Ethernet cắm vào máy cá nhân, switch chỉ cho phép kết nối với các thiết

bị có mã MAC được gán cố định cho từng cổng

+ Bảo mật mức máy chủ: đảm bảo các thông tin truyền đi từ máy chủ được

mã hóa và thông tin đi vào đã xác thực, chống truy cập trái phép, để cấu hình máy chủ chỉ có thể đăng nhập tại phòng IT hoặc nếu sử dụng truy cập từ xa thì chỉ có máy tính nhất định của 1 số nhân viên IT được truy cập

+ Bảo mật mức ứng dụng: Hệ điều hành sử dụng cho các máy phân phối tài nguyên tới VCloudpoint (Host PC) và các máy trạm Workstation là bản Windows Custom ngoài tinh chỉnh tăng hiệu suất thì còn đảm bảo tính bảo mật vì có thể hạn chế sự theo dõi từ các bên thứ 3 dựa trên các ràng buộc khi tuỳ chỉnh, nhân viên không được quyền cài đặt các ứng dụng trừ khi được cho phép

Chỉnh sửa phân quyền Group Policy gồm các chính sách bảo mật rõ ràng hơn, ví dụ: hạn chế nhân viên truy cập một số tính năng trong Control Panel, Setting, ngăn chặn nhân viên tạo và kích hoạt các file cmd hay bat,

10

2.2 Mô tả thiết kế hệ thống mạng

Sau khi nâng cấp, hệ thống mạng gồm có: 3 Gateway Router, 1 tường lửa,

1 Core Switch, 1 Distribution Switch, 1 IDS, 2 server (1 chính và 1 dự phòng), 7 Access Switch, 19 máy tính (Bao gồm cả máy PC riêng lẻ cho các phòng ban và

PC cấu hình lớn làm Host chia tài nguyên) và 36 bộ Vcloudpoint cùng với 10 Access Point Trong đó bố trí như sau:

- Khu hành chính: Giữ nguyên như cũ, chỉ bổ sung thêm AP cho các phòng ban (trừ phòng IT)

+ Ban giám dốc: 2 PCs

+ Phòng IT: 1 PC

+ Phòng kế toán: 1 PC Host và 6 Vcloudpoint

+ Phòng kinh doanh: 1 PC và 6 điện thoại VoIP

- Khu nhà xưởng: Thay đổi cách bố trí máy trạm và máy host – vcloudpoint, đồng thời bổ sung thêm các AP cho từng văn phòng khu vực nhà xưởng

+ Nhà xưởng I: 7 PCs Workstation

+ Nhà xưởng II: 3 PCs Workstation, 2 PC Host và 10 Vcloudpoint

+ Nhà xưởng III: 3 PCs Host và 20 Vcloudpoint

- Các thiết bị mạng như switch, router, firewall, sẽ được đặt tại phòng IT tổng của từng khu vực, đối với các AP sẽ được đặt tại từng phòng ban

2.3 Bảng thiết kế địa chỉ IP

Subnet# Subnet Subnet

size Host Range

Default Gateway Cấp cho

Thiết bị mạng khu vực Core

Thiết bị mạng khu vực Distribution (phân xưởng)

Phòng giám đốc, Phòng IT hành chính

Phòng kế toán, Phòng kinh doanh

AP khu vực phân xưởng I

AP khu vực phân xưởng II

10.188.59.158 AP khu vực phân xưởng III

10.188.59.254 Chưa sử dụng

Bảng 2-1 Bảng phân chia IP cho từng phòng ban

Trong subnet 0 được chia thành các subnet nhỏ sau:

Subnet# Subnet Subnet

size Host Range

Default Gateway Cấp cho 0.1

AP

12

Bảng 2-2 Bảng phân chia IP cho Subnet #0

Trong subnet 1 được chia thành các subnet nhỏ sau:

Subnet# Subnet Subnet

size Host Range

Default Gateway Cấp cho

Bảng 2-3 Bảng phân chia IP cho Subnet #1

Do đây là bản thiết kế nâng cấp của hệ thống mạng công ty, nên các dãy

IP, VLAN đối với khu vực hành chính và nhà xưởng sẽ được giữ nguyên, chỉ sử

dụng Subnet dự phòng #7, #8, #9 làm Subnet cho AP phân xưởng (khu vực

hành chính số lượng user và thiết bị không nhiều nên khi dùng AP có thể dùng

chung các subnet của chính phòng ban đó) Các subnet #10, #11 là subnet dự

phòng, phần còn lại chưa sử dụng

Lưu ý: Các subnet chưa sử dụng, có thể dự phòng cho sự phát triển sau này

13

2.4 Dịch vụ

2.4.1 Dịch vụ thư mục: Active Directory

Dịch vụ thư mục Active Directory có khả năng:

- Quản lý tập trung toàn bộ phòng ban và các nhân viên của đơn vị, từ đó có thể áp dụng các chính sách và phân quyền cho các người dùng ở từng phòng ban

- Hỗ trợ các ứng dụng Directory-Enabled Applications (DEA) giúp người quản trị có nhiều lựa chọn hơn trong quá trình triển khai các phương thức xác thực, bảo mật và quản lý người dùng

- Đơn giản hóa quá trình xác thực, bảo mật nhưng vẫn đảm bảo độ an toàn so với Workgroup (máy tính chỉ cần tham gia Domain và được quản lý thông qua tài khoản tạo trong Domain, không phải dùng tài khoản được tạo sẵn trên máy tính)

- Sao lưu và phục hồi dữ liệu nhanh, từ đó giảm thiểu rủi ro mất mát dữ liệu quan trọng

- Dễ mở rộng và nâng cấp

- Tiết kiệm thời gian quản trị

 Dữ liệu trong thư mục:

Dữ liệu chứa trong Directory có dạng như sau

- Thông tin về người dùng (user), nhóm người dùng (group), đơn vị phòng ban (Organization Unit)

- Thư mục được quản lý bởi máy chủ dùng dịch vụ Active Directory của Windows 2016 Server và được sử dụng bởi các ứng dụng loại thư mục cho việc xác thực User

 Schema:

Tên: dc=ishoes

Mỗi phòng ban là 1 ou

14

1 Giám đốc Ou=pgiamdoc Quản lý người dùng của phòng

2 Kế toán Ou=pketoan Quản lý người dùng của phòng

3 Kinh Doanh Ou=pkinhdoanh Quản lý người dùng của phòng

ban

5 Phân xưởng Ou=pphanxuong Quản lý người dùng của phòng

Bảng 2-4 Thiết kế Schema

Trong các ou khai báo các người dùng của từng phòng ban tương ứng

Ví dụ: trong ou pit, khai báo:

1 Cn=lminhduc Người dùng Lê Minh Đức

…

Bảng 2-5 : Minh họa cách khai báo ou

 Cây thư mục (Directory Tree):

Cây thư mục của Công ty IShoes như sau

Cây thư mục của của từng phòng ban là một nhánh của cây thư mục gốc (Root Directory):

Toàn bộ nhân viên của các phòng ban sẽ thuộc về ou của phòng ban đó, trong các ou này sẽ chứa các người dùng (users) hay nhóm người dùng(groups)/phòng ban thuộc đơn vị Ví dụ:

Ou=pgiamdoc, dc=ishoes

Cn=lminhduc, ou = pit, dc=ishoes

Dưới đây là sơ đồ cây thư mục của đơn vị

Trong bản nâng cấp trên, RADIUS được sử dụng khi các nhân viên truy cập vào AP để xác thực Đối với khách truy cập tại AP tại quầy lễ tân (sử dụng Wi-Fi marketing) thì không cần xác thực Radius

Việc sử dụng dịch vụ Radius có sẵn trong Windows 2016 Server

17

Trong sơ đồ trên cho thấy phòng IT được bổ sung thêm 1 Gateway Router, ngoài ra để đảm bảo nhu cầu sử dụng và tính bảo mật thì phòng IT sẽ được nâng cấp mẫu tường lửa mới Fortigate FG-301E-BDL-871-12 nhiều tính năng hơn (được trình bày tại phần III – Bảo mật, mục 1 Tường lửa)

Các phòng ban cũng được bổ sung thêm AP để đáp ứng nhu cầu sử dụng mạng không dây của nhân viên khi đem theo laptop cá nhân, chi tiết được trình bày tại mục số 6 Hệ thống mạng không dây

18

2.5.2 Khu vực nhà xưởng

Hình 2.4 Sơ đồ nâng cấp mạng LAN khu nhà xưởng

19

2.5.2.1 Phòng IT

Trong sơ đồ trên (ảnh 7) cho thấy phòng IT đã được nâng cấp từ 3 router

và 3 tường lửa có cấu hình thấp thành các thiết bị có chất lượng và cấu hình phần cứng cao hơn: 2 router Cisco ISR4461/K9, hệ thống phát hiện xâm nhập IDS, 1 switch Cisco Catalyst 9500-12Q-A, ngoài ra bổ sung thêm 1 Wireless LAN Controller Cisco Catalyst 9800-40 và 1 Server Farm (chứa 1 server chính

và 1 server lưu trữ/backup) Tóm tắt các thiết bị đã nâng cấp hoặc bổ sung được trình bày tại phụ lục số 2

2.5.2.2 Các nhà xưởng

Đối với văn phòng nhà xưởng 1 (Xưởng thiết kế): thanh lý các máy Host

PC và Vcloudpoint, thay đổi thành 7 máy trạm Workstation với cấu hình mạnh

mẽ Chi tiết phần cứng của máy Workstation được trình bày tại phụ lục số 1

Đối với văn phòng nhà xưởng 2 (Xưởng sản xuất): thanh lý 1 máy Host

PC và 10 Vcloudpoint, thay thành 3 PC Workstation

Đối với văn phòng nhà xưởng 3 (Xưởng đóng gói và kiểm tra chất lượng - KCS): Giữ nguyên như cũ

Khu vực phòng giám đốc, phòng kế toán, phòng kinh doanh: Bổ sung mỗi phòng 1 AP

20

Chi tiết các tính năng cần có của AP được trình bày tại phụ lục số 3

Đối với khu vực hành chính, vì mặt bằng của từng phòng ban tương đối thoáng, ít vật cản, diện tích căn phòng không quá to nên tất cả AP đều được lắp đặt trên trần nhà vị trí giữa căn phòng để mức độ tín hiệu phủ sóng đạt chất lượng tốt nhất, tuy nhiên để kiểm chứng suy đoán nên có thể sử dụng phần mềm khảo sát để mô phỏng thử ở phòng ban có diện tích lớn nhất của khu vực hành chính

21

Hình 2.5 Vị trí lắp đặt AP phòng kế toán mô phỏng bằng Ekahau Site Survey

22

2.6.2 Khu vực nhà xưởng

Do nhu cầu sử dụng thay đổi, cụ thể nhân viên cần sử dụng thêm laptop

để thuận tiện cho công việc cũng như quản đốc cần kết nối mạng thông qua điện thoại để kiểm tra nhanh các tác vụ trong khu vực xưởng nên cần bổ sung thêm

AP cần thiết, số lượng yêu cầu như sau:

23

Hình 2.6 Vị trí lắp đặt AP nhà xưởng 1 mô phỏng bằng Ekahau Site Survey

24

Hình 2.7 Vị trí lắp đặt AP nhà xưởng 2 mô phỏng bằng Ekahau Site Survey