Thiết kế mạng Đề tài số 21 triển khai hệ thống mạng cho trung tâm Đào tạo tin học

Đối tượng người dùng Hiện nay, thiết kế hệ thống mạng là việc mà được các doanh nghiệp vừa nhỏ quan tâm bởi việc đó sẽ giúp một phần quan trọng cho hoạt động quản lý, bảo mật tài liệu và

PHÂN TÍCH NHU CẦU SỬ DỤNG MẠNG

Đối tượng người dùng

Thiết kế hệ thống mạng hiện nay đang được các doanh nghiệp vừa và nhỏ đặc biệt quan tâm, vì nó đóng vai trò quan trọng trong quản lý và bảo mật thông tin nội bộ Việc bảo vệ thông tin này là cần thiết để tránh những tổn thất không đáng có cho doanh nghiệp Do đó, tổ chức hệ thống thông tin và thiết kế mạng là nhiệm vụ hết sức quan trọng Để triển khai một thiết kế mạng ổn định và hiệu quả, cần có cái nhìn tổng quan về các yếu tố liên quan.

-Đối tượng sử dụng mạng: Ban lãnh đạo, bộ phận quản lý, bộ phận quản trị hệ thống, nhân viên, học viên, đối tác.

-Mục đích sử dụng mạng của từng đối tượng:

Ban lãnh đạo trung tâm gồm Giám đốc và Phó Giám đốc, đóng vai trò là cơ quan đầu não, có nhiệm vụ sử dụng mạng để theo dõi, quản lý và truy cập vào các tài nguyên quan trọng.

Bô U phâ Un quản lý đóng vai trò quan trọng trong việc duy trì quy trình làm việc của công ty, đồng thời thực hiện các nghiệp vụ quản lý qua mạng bằng cách sử dụng email và website.

Bộ phận quản trị hệ thống đóng vai trò quan trọng trong việc duy trì và quản lý hệ thống mạng của công ty Họ thực hiện các thao tác quản trị mạng, kiểm tra hiệu năng mạng, bảo đảm an ninh và an toàn mạng, sửa chữa các lỗi kỹ thuật, cũng như duy trì hệ thống email và website.

 Nhân viên: là những ngư[i làm việc cho trung tâm, cầu nối giữa trung tâm và học viên.

Sử dụng mạng để nhận sW chỉ đạo của cấp trên, phục vụ cho nghiệp vụ chuyên môn, chăm sóc học viên,…

Học viên là những người đăng ký tham gia khóa học bằng cách nộp hồ sơ Họ thường sử dụng internet để tìm hiểu thông tin về các chương trình đào tạo, chế độ bảo hành và quyền lợi mà họ được hưởng khi tham gia học tập.

Đối tác là những người tham gia hợp tác nhằm phát triển cùng với trung tâm Họ có thể sử dụng mạng để tải về tài liệu và tìm kiếm thông tin liên quan đến trung tâm.

Yêu cầu sử dụng mạng của các phòng ban

Ban Giám đốc, bao gồm Giám đốc và Phó giám đốc, là những người đứng đầu và có trách nhiệm quản lý, điều hành trung tâm Họ sử dụng máy tính để giao nhiệm vụ và công việc cho các phòng ban trong tổ chức.

Phòng Hành chính – Nhân sự có nhiệm vụ truy cập dữ liệu nhân sự từ các bộ phận chức năng và quản lý các văn bản giấy tờ, hợp đồng liên quan đến trung tâm.

Phòng Tài vụ đóng vai trò quan trọng trong việc quản lý tài chính của trung tâm, bao gồm thống kê và tính toán các vấn đề tài chính Để thực hiện nhiệm vụ này, phòng cần có một hệ thống mạng riêng an toàn, giúp thu thập thông tin và chiết xuất dữ liệu từ kho dữ liệu lớn Các công việc như trả lương cho nhân viên và tính toán số tiền thu chi của trung tâm đều do phòng này đảm nhiệm.

Phòng Đào tạo đóng vai trò quan trọng trong việc cung cấp chương trình đào tạo và giảng dạy chất lượng theo quy chế của trung tâm Nơi đây không chỉ hướng dẫn học viên mà còn lên kế hoạch và lịch giảng dạy cho giảng viên, đảm bảo quá trình học tập diễn ra hiệu quả và đồng bộ.

Phòng marketing đóng vai trò quan trọng trong việc sử dụng internet để quảng bá các khóa học của trung tâm Đồng thời, phòng này cũng cần thu thập thông tin về nhu cầu học và tìm kiếm đối tác, nhằm xây dựng chiến lược phù hợp và tối ưu hóa lợi nhuận cho trung tâm.

- Phòng họp, sảnh tiếp khách: có kết nối internetwork để phục vụ cho đối tác, học viên khi có nhu cầu tìm hiểu thông tin.

Phòng tuyển sinh đóng vai trò quan trọng trong trung tâm, là cầu nối trực tiếp giữa trung tâm và học viên Họ chịu trách nhiệm tuyển dụng học viên mới và tiếp cận các khách hàng tiềm năng dựa trên dữ liệu có sẵn, giúp trung tâm phát triển và mở rộng quy mô hoạt động.

Phòng Kỹ thuật đóng vai trò quan trọng trong việc xử lý các vấn đề liên quan đến hệ thống mạng máy tính và thiết bị giảng dạy Đơn vị này chịu trách nhiệm quản lý, bảo trì và lắp đặt các hệ thống mạng trong trung tâm, đảm bảo hoạt động thông suốt Để thực hiện nhiệm vụ hiệu quả, phòng Kỹ thuật cần có quyền truy cập vào tất cả các nguồn tài nguyên của công ty, đặc biệt là tài nguyên mạng.

Yêu cầu sử dụng mạng cho nghiệp vụ

Công ty cần có Internetwork để phục vụ yêu cầu, quảng bá các khóa học, trao đổi thông tin với học viên, khách hàng và đối tác

- Hệ thống phải đảm bảo kết nối ổn định.

- Hệ thống cần có một website quảng cáo trung tâm.

- Hệ thống email cho phép liên lạc thông tin an toàn phục vụ cho việc trao đổi thông tin dạy và học.

Khả năng chia sẻ tài nguyên trong mạng cho phép các máy tính truy cập vào máy chủ dữ liệu chung, từ đó tải tài liệu về để sử dụng hoặc chia sẻ dữ liệu và tài nguyên với các thiết bị trong trung tâm.

Khả năng chia sẻ thiết bị cho phép người dùng sử dụng chung các thiết bị như máy in và máy scanner, từ đó nâng cao hiệu suất làm việc và tính linh hoạt trong quá trình sử dụng.

Hệ thống cần đảm bảo khả năng bảo mật tối ưu, hoạt động liên tục 24/24 để bảo vệ thông tin nội bộ Việc thiết lập các chính sách an ninh phù hợp cho từng phòng ban là cần thiết, giúp các bộ phận vẫn có thể sử dụng mạng nội bộ một cách an toàn.

Dữ liệu được lưu trữ tập trung giúp dễ dàng bảo mật, sao lưu và đồng bộ hóa Để đảm bảo liên lạc nội bộ hiệu quả, yêu cầu băng thông từ 100 đến 1000Mbps, trong khi băng thông nội địa cần đạt 50Mbps và băng thông quốc tế là 1Mbps.

- Kiểm soát được các hoạt động của nhân viên trên PC.

- Phân quyền mềm dẻo, linh hoạt trên trên từng tài nguyên.

Yêu cầu về an ninh-an toàn mạng

Trong bối cảnh hệ thống mở của các thiết bị số hiện nay, việc trao đổi thông tin diễn ra thường xuyên và liên tục An toàn thông tin đóng vai trò quan trọng trong trung tâm, quyết định đến sự sống còn của tổ chức Các nhà quản lý và giám đốc điều hành đang phải đối mặt với áp lực tạo ra môi trường mở để giao lưu thông tin với đối tác và học viên, đồng thời bảo vệ công ty khỏi các trách nhiệm pháp lý tiềm ẩn do nguy cơ an ninh mạng.

Yêu cầu về an ninh – an toàn sử dụng mạng cho từng phòng ban:

Ban giám đốc có quyền truy cập hầu hết các tài nguyên của hệ thống, nhưng không được phép tác động trực tiếp đến server Yêu cầu về an ninh và an toàn mạng tại các phòng giám đốc và phó giám đốc luôn được đặt lên hàng đầu, nhằm đảm bảo rằng những thông tin quan trọng không bị rò rỉ ra bên ngoài.

Phòng Kỹ thuật là bộ phận có quyền cao nhất trong công ty, chịu trách nhiệm tác động đến server để duy trì, nâng cấp và khắc phục sự cố phần mềm, đảm bảo hệ thống hoạt động ổn định và hiệu quả.

Các phòng Kinh doanh và Tài vụ đều được đảm bảo an ninh mạng ở mức cao, nhằm bảo vệ thông tin chiến lược kinh doanh và thống kê tài chính khỏi các cuộc tấn công và đánh cắp Những phòng ban này không có quyền truy cập vào server chính, mà chỉ được phép truy cập vào tài nguyên riêng của mình hoặc tài nguyên chung trên server.

Các phòng ban còn lại cần đảm bảo an toàn mạng cơ bản, bao gồm việc chống virus và một số hình thức tấn công cơ bản Đồng thời, quyền truy cập tới tài nguyên tương tự như các phòng ban khác cũng phải được duy trì.

- Khách hàng: Chỉ được quyền truy cập internetwork mà không có quyền truy cập tới các tài nguyên của công ty.

ĐỀ XUẤT THIẾT KẾ

Sơ đồ mặt bằng

Trung tâm gồm 4 tầng, mYi tầng bao gồm 3-5 phòng, 1 nhà vê U sinh, 1 cầu thang bộ, 1 vầu thang máy.

Tầng 1: Sảnh, lễ tân, phòng hành chính, phòng tuyển sinh, phòng khách.

Tầng 2: Phòng tài vụ, phòng giám đốc, phòng phó giám đốc, phòng họp, phòng đào tạo Tầng 3: Phòng máy chủ, phòng kỹ thuật, thư viện, phòng kinh doanh-marketing, phòng nghỉ Tầng 4: 2 phòng học, 2 phòng máy.

Phòng hành chính-nhân sW 5 máy tinh

Phòng tuyển sinh 6 máy tính

2 Phòng tài vụ 5 máy tính

Phòng giám đốc 1 máy tính

Phòng phó giám đốc 1 máy tính

Phòng đào tạo 3 máy tính

1 switch layer 3 (Mail Server, DHCP-DNS Server, Web Server, File Server)

Phòng kỹ thuật-thWc hành 6 máy tính

1 switch Bảng 1: Bảng dự tính thiết bị

Hình 2.1.1: Sơ đồ mặt bằng tầng 1.

Hình 2.1.2: Sơ đồ mặt bằng tầng 2.

Hình 2.1.3: Sơ đồ mặt bằng tầng 3.

Hình 2.1.4: Sơ đồ mặt bằng tầng 4.

Mô hình hệ thống

Mô hình hệ thống tổng thể.

Hình 2.2.1: Sơ đồ tổng thể của hệ thống. Chức năng, hoạt động của từng thành phần :

Router có vai trò quan trọng trong việc chuyển dữ liệu giữa các mạng và đến các thiết bị đầu cuối Thiết bị này thực hiện quá trình định tuyến, giúp xác định đường đi cho dữ liệu trong mạng Internetwork.

Module DMZ là một khu vực mạng trung lập nằm giữa mạng nội bộ và Internet, nơi lưu trữ thông tin cho phép người dùng truy cập từ Internet và chấp nhận các rủi ro tấn công Trong vùng DMZ, các dịch vụ như máy chủ Web, máy chủ Mail và máy chủ DNS được triển khai để phục vụ nhu cầu truy cập và giao tiếp.

Máy chủ Web (Web Server) là thiết bị chuyên dụng để chạy các ứng dụng web, tiếp nhận yêu cầu từ trình duyệt và gửi phản hồi qua giao thức HTTP hoặc các giao thức khác Với dung lượng lớn và tốc độ cao, máy chủ Web có khả năng lưu trữ và vận hành hiệu quả kho dữ liệu trên Internet Đặc biệt, máy chủ cần hoạt động liên tục để cung cấp dữ liệu cho mạng lưới máy tính một cách ổn định.

Máy chủ Mail (Mail Server) là hệ thống được cấu hình theo tên miền, cho phép gửi và nhận thư điện tử Nó không chỉ lưu trữ và sắp xếp Email trên Internet mà còn là giao thức chuyên nghiệp cho giao tiếp thư tín, quản lý truyền thông nội bộ và giao dịch thương mại Máy chủ Mail hoạt động nhanh chóng, ổn định và đảm bảo an toàn với khả năng khôi phục dữ liệu cao.

Máy chủ DNS (DNS Server) là thiết bị lưu trữ cơ sở dữ liệu về địa chỉ IP công cộng và các tên miền liên quan Chức năng chính của máy chủ DNS là chuyển đổi tên miền website thành địa chỉ IP số và ngược lại, giúp người dùng dễ dàng truy cập website mà không cần nhớ địa chỉ IP chính xác.

Trại máy chủ (Server Farm) là nơi tập trung các máy chủ cung cấp dịch vụ cho mạng Internet, trong đó có máy chủ File (File Server) Máy chủ File đóng vai trò quản lý dữ liệu tập trung trong mạng LAN của trung tâm, cho phép công ty lưu trữ và quản lý dữ liệu một cách hiệu quả Nhờ vào máy chủ File, trung tâm có thể kiểm soát quyền truy cập và sử dụng dữ liệu của từng nhân viên, phòng ban hoặc nhóm làm việc Điều này giúp người dùng dễ dàng chia sẻ thông tin qua mạng mà không cần phải chuyển tập tin vật lý bằng phần mềm hay thiết bị lưu trữ ngoài.

Vùng quản lý (Management) là khu vực chứa các máy chủ có nhiệm vụ điều hành toàn bộ hệ thống mạng, bao gồm phân quyền truy cập và cung cấp địa chỉ IP động Trong vùng mạng này, máy chủ DHCP (DHCP Server) được triển khai để quản lý việc cấp phát địa chỉ IP động và các thông tin cấu hình TCP/IP Máy chủ DHCP, với vai trò là một ứng dụng, giúp giảm thiểu sự can thiệp vào hệ thống mạng nhờ vào việc chia sẻ địa chỉ IP một cách tự động.

Mô-đun lõi bao gồm một switch layer 3, có chức năng tạo và quản lý các VLAN, thực hiện định tuyến giữa các VLAN, cũng như thiết lập access list để đảm bảo phân vùng mạng và đáp ứng các yêu cầu an ninh cần thiết.

Mô-đun phân phối là khu vực bao gồm các switch phân phối, đóng vai trò trung gian giữa switch lõi và các switch truy cập trong các phòng ban.

Mô-đun truy cập bao gồm các switch truy cập và thiết bị đầu cuối như máy tính, máy in, và router wifi, nhằm cung cấp hỗ trợ thiết bị cho toàn bộ nhân viên tại trung tâm.

Hình 2.2.2: Sơ đồ phân lớp của hệ thống.

Lớp lõi (core layer) chịu trách nhiệm vận chuyển một khối lượng lớn dữ liệu với độ tin cậy và tốc độ cao, kết nối với các lớp mạng truy cập và phân phối khác Mặc dù lớp lõi chuyển giao phần lớn dữ liệu của người dùng, nhưng việc xử lý dữ liệu lại thuộc về lớp phân phối Khi xảy ra sự cố ở lớp lõi, hầu hết người dùng trong mạng LAN sẽ bị ảnh hưởng, do đó, khả năng dự phòng tại lớp này là rất quan trọng Để đảm bảo hiệu suất tối ưu, độ trễ tại lớp lõi cần được duy trì ở mức tối thiểu.

Lớp phân phối trong mạng campus đóng vai trò kết nối giữa lớp truy cập và lớp lõi, thực hiện các chức năng quan trọng như định tuyến, lọc gói, truy cập mạng LAN và tạo danh sách truy cập Để đảm bảo hiệu suất tối ưu, lớp phân phối cần xác định con đường nhanh nhất để đáp ứng yêu cầu của người dùng, sau đó chuyển tiếp các yêu cầu này đến lớp lõi Lớp lõi sẽ chịu trách nhiệm chuyển mạch các yêu cầu đến dịch vụ phù hợp.

Lớp truy cập (access layer) được thiết kế để cung cấp cổng kết nối cho từng máy trạm trong mạng, cho phép người dùng truy cập tài nguyên và giao tiếp với mạng phân phối Các thiết bị trong lớp này, được gọi là switch truy cập, có đặc điểm nổi bật là chi phí trên mỗi cổng thấp, giúp tối ưu hóa hiệu quả kinh tế cho hệ thống mạng.

Quy hoạch địa chỉ

Bảng quy hoạch địa chỉ VLAN:

Tầng VLAN Tên VLAN Chức năng Địa chỉ

VLAN2 DMZ Mạng vùng DMZ 21.121.2.0/24

VLAN3 Farm Mạng vùng Server

1 VLAN 11 Wifi-Sảnh Mạng wifi Sảnh 21.121.11.0/24

VLAN 12 PhongHCNS Mạng phòng hành chính nhân sW 21.121.12.0/24

VLAN 13 Phongtuyensinh Mạng phòng tuyển sinh 21.121.13.0/24

VLAN 14 Phongkhach Mạng phòng khách 21.121.14.0/24

2 VLAN 20 Phonghop Mạng phòng họp 21.121.20.0/24

VLAN 21 Phongtaivu Mạng phòng tài vụ 21.121.21.0/24

VLAN 22 Phonggiamdoc Mạng phòng giám đốc 21.121.22.0/24

VLAN 23 Phongphogiamdoc Mạng phòng phó giám đốc

VLAN 24 Phongdaotao Mạng phòng đào tạo 21.121.24.0/24

3 VLAN 30 Thuvien Mạng thư viện 21.121.30.0/24

VLAN 31 Phongmarketing Mạng phòng marketing

VLAN 32 Phongmaychu Mạng phòng máy chủ 21.121.32.0/24

VLAN 33 PhongKTTH Mạng phòng kỹ thuật thWc hành 21.121.33.0/24

VLAN 34 Phongnghi Mạng phòng nghỉ 21.121.34.0/24

4 VLAN 40 Phongmay1 Mạng phòng máy 1 21.121.40.0/24

VLAN 41 Phonghoc1 Mạng phòng học 1 21.121.41.0/24VLAN 42 Phonghoc2 Mạng phòng học 2 21.121.42.0/24VLAN 43 Phongmay2 Mạng phòng máy 2 21.121.43.0/24

Bảng 2: Bảng quy hoạch địa chỉ VLAN.

VLAN Máy chủ Chức năng Địa chỉ IP Cấu hình chung

WEB Cung cấp dịch vụ Web 21.121.2.2/24 Default Gateway: 21.121.2.1

DNS Server: 21.121.2.4 MAIL Cung cấp dịch vụ Mail 21.121.2.3/24

DNS Cung cấp tên miền 21.121.2.4/24

VLAN 3 FILE Cung cấp dịch vụ File 21.121.3.2/24 Default Gateway: 21.121.3.1 VLAN 4 DHCP Cung cấp IP động 21.121.4.2/24 Default Gateway: 21.121.4.1

Bảng 3: Bảng quy hoạch địa chỉ máy chủ.

Chức năng hệ thống

Máy chủ DNS (DNS server) là thiết bị phân giải tên miền, cho phép các máy tính và thiết bị trong mạng Internetwork kết nối với nhau thông qua địa chỉ IP (Internetwork Protocol) Để dễ dàng sử dụng và ghi nhớ, chúng ta sử dụng tên miền (domain name) để xác định các thiết bị Hệ thống tên miền DNS (Domain Name System) thực hiện chức năng ánh xạ tên miền thành địa chỉ IP.

A DHCP server, or Dynamic Host Configuration Protocol server, is a crucial component in network management that dynamically assigns IP addresses to computers By automating the IP configuration process, DHCP reduces the need for manual intervention in network systems, streamlining connectivity and management.

Máy chủ FTP, hay còn gọi là FTP server, là một hệ thống sử dụng Giao thức truyền tập tin (FTP - File Transfer Protocol) để trao đổi tập tin qua mạng lưới truyền thông dựa trên giao thức TCP/IP, bao gồm cả mạng ngoại bộ (Internetwork) và mạng nội bộ (intranetwork).

Máy chủ web (Web Server) là một loại máy chủ được cài đặt phần mềm phục vụ web, và đôi khi phần mềm này cũng được gọi là web server Tất cả các máy chủ web đều có khả năng hiểu và xử lý các tệp tin có định dạng *.htm và *.html.

Máy chủ Mail (Mail server) là một hệ thống quan trọng trong việc truyền tải thư điện tử qua mạng Internetwork Nó hoạt động theo giao thức truyền tải thư tín đơn giản, cho phép người dùng gửi email đến các địa chỉ khác một cách hiệu quả.

Quản lý mạng VLAN, hay Mạng LAN ảo (Virtual Local Area Network), là một nhóm logic các thiết bị mạng VLAN được thiết lập dựa trên các yếu tố như chức năng, bộ phận và ứng dụng.

An access-list is a set of commands applied to the interface ports of Cisco routers or switches This list enables the devices to determine which types of packets are accepted and which are discarded.

TRIỂN KHAI HỆ THỐNG

Nội dung cần thực hiện

- Cấu hình password cho telnetwork đảm bảo tính an toàn cho việc quản lý mạng.

- Cấu hình đư[ng Trunking cho việc truyền dữ liệu giữa các VLAN khác nhau.

- Đặt địa chỉ mạng cho các cổng giao diện VLAN.

- Cấu hình định tuyến Inter -VLAN cho phép các mạng VLAN có thể trao đổi thông tin với nhau.

- Cấu hình định tuyến cho phép mạng đi ra ngoài Internetwork.

- Cấu hình Access list đảm bảo các yêu cầu cần thiết về an ninh mạng.

- Cấu hình interface giao tiếp với Core switch ở chế độ trunking, interface giao tiếp với các access switch ở chế độ access mode.

Switch được lắp đặt tại từng phòng ban của trung tâm, cho phép kết nối mạng hiệu quả Mỗi phòng ban được phân chia thành các VLAN riêng biệt, do đó switch này chỉ cần được kết nối đến cổng đã được cấu hình chế độ access cho từng VLAN trên switch phân phối của từng tầng.

Để tối ưu hóa kết nối trong phòng server, cần cấu hình đúng trunking cho access switch kết nối tới distribution switch, đồng thời thiết lập các cổng giao diện tương ứng cho các server theo VLAN phù hợp.

- Định tuyến vào vùng Core.

Cấu hình cổng giao diện kết nối tới router TTĐTTinhoc.

Hệ thống mô phỏng

Hình 3.2.1:Sơ đồ mạng cấu hình của hệ thống

Cấu hình thiết bị

– Dải mạng kết nối ISP đến router TTDTTinhoc 172.128.1.0/24. – Dải mạng kết nối Core đến router TTDTTinhoc 21.121.5.0/24.

3.2.1.1 Cấu hình trên Router TTĐTTinhoc

TTDTTinhoc (config)#enable password khanh

TTDTTinhoc (config-line)#password khanh

TTDTTinhoc (config-if)#no shutdown

TTDTTinhoc (config-if)#ip address 21.121.2.1 255.255.255.0 TTDTTinhoc (config-if)#ex

TTDTTinhoc (config-if)#no shutdown

TTDTTinhoc (config-if)#ip address 21.121.5.1 255.255.255.0 TTDTTinhoc (config-if)#ex

Cấu hình interface kết nối với Router ISP và cấu hình một default-route

TTDTTinhoc(config-if)#ip add 172.168.1.1 255.255.255.0

TTDTTinhoc(config-if)#clock rate 64000

TTDTTinhoc(config-if)#description ket noi router gateway

TTDTTinhoc(config-if)#no sh

TTDTTinhoc (config-router)#networkwork 21.121.2.1 0.0.0.255 area 1TTDTTinhoc (config-router)#networkwork 21.121.5.1 0.0.0.255 area 1TTDTTinhoc (config-router)#networkwork 172.168.1.0 0.0.0.255 area 1TTDTTinhoc(config-router)#exit

Hình3.2.1.1.1: Show định tuyến của Router TTDTTinhoc.

Hình3.2.1.1.2: Kết quả ping router TTDTTinhoc sang 192.168.2.2.

3.2.1.2 Cấu hình trên Router ISP.

ISP(config)#int loopback 0 //Cấu hình cổng loopback ISP(config-if)#ip add 192.168.2.2 255.255.255.0

ISP(config)#int s0/0/0 //Cấu hình cổng kết nối router ISP(config-if)#ip add 172.168.1.2 255.255.255.0

ISP(config-if)#no sh

ISP(config-if)#ip route 0.0.0.0 0.0.0.0 s0/3/0 // Deaufault-route

ISP(config)#route ospf 1 //Cấu hình định tuyến OSPF ISP(config-router)#network 172.168.1.2 0.0.0.255 a 1

Hình3.2.1.1.2: Show định tuyến của ISP.

CORE(config)#enable password khanh

CORE(config-line)#password khanh

Gán địa chỉ cho các cổng và set mode trunk

CORE(config-if)#no switchport

CORE(config-if)# ip address 21.121.5.2 255.255.255.0

CORE(config-if)#switchport trunk encapsulation dot1q

CORE(config-if)#switchport mode trunk

Ta sử dụng lệnh show interface trunk để kiểm tra cấu hình các đư[ng trunk:

Hình 3.2.2.1.2: Kết quả cấu hình các đư[ng trunk.

Cấu hình tạo VLAN bằng câu lệnh vlan database sau đó thêm lần lượt các VLAN kèm tên của chúng theo bảng quy hoạch

CORE (vlan)#vlan 3 name Farm

CORE (vlan)#vlan 4 name MANAGEMENT

CORE (vlan)#vlan 11 name wifisanh

CORE (vlan)#vlan 12 name phongHCNS

CORE (vlan)#vlan 13 name phongtuyensinh

CORE (vlan)#vlan 14 name phongkhach

CORE (vlan)#vlan 20 name phonghop

CORE (vlan)#vlan 21 name phongtaivu

CORE (vlan)#vlan 22 name phonggiamdoc

CORE (vlan)#vlan 23 name phongphogiamdoc

CORE (vlan)#vlan 24 name phongdaotao

CORE (vlan)#vlan 30 name thuvien

CORE (vlan)#vlan 31 name phongmarketing

CORE (vlan)#vlan 32 name phongmaychu

CORE (vlan)#vlan 33 name phongKTTH

CORE (vlan)#vlan 34 name phongnghi

CORE (vlan)#vlan 40 name phongmay1

CORE (vlan)#vlan 41 name phonghoc1

CORE (vlan)#vlan 42 name phonghoc2

CORE (vlan)#vlan 43 name phongmay2 Để có thể kiểm tra cấu hình database VLAN, ta sử dụng câu lệnh show vlan brief:

Để cấu hình database VLAN, cần thiết lập địa chỉ IP cho các interface VLAN và sử dụng câu lệnh để yêu cầu cấp phát IP động cho các máy trạm từ máy chủ DHCP.

CORE (config-if)#ip address 21.121.3.1 255.255.255.0

CORE (config-if)#ip address 21.121.4.1 255.255.255.0

CORE (config-if)#ip address 21.121.11.1 255.255.255.0 CORE (config-if)#ip helper-add 21.121.4.2

CORE (config-if)#ip address 21.121.12.1 255.255.255.0 CORE (config-if)#ip helper-add 21.121.4.2

CORE (config-if)#ip address 21.121.13.1 255.255.255.0 CORE (config-if)# ip helper-add 21.121.4.2

CORE (config-if)#ip address 21.121.14.1 255.255.255.0 CORE (config-if)# ip helper-add 21.121.4.2

CORE (config-if)#ip address 21.121.20.1 255.255.255.0 CORE (config-if)# ip helper-add 21.121.4.2

CORE (config-if)#ip address 21.121.21.1 255.255.255.0 CORE (config-if)# ip helper-add 21.121.4.2

CORE (config-if)#ip address 21.121.22.1 255.255.255.0 CORE (config-if)# ip helper-add 21.121.4.2

CORE (config-if)#ip address 21.121.23.1 255.255.255.0

CORE (config-if)# ip helper-add 21.121.4.2

CORE (config-if)#ip address 21.121.24.1 255.255.255.0 CORE (config-if)# ip helper-add 21.121.4.2

CORE (config-if)#ip address 21.121.30.1 255.255.255.0 CORE (config-if)# ip helper-add 21.121.4.2

CORE (config-if)#ip address 21.121.31.1 255.255.255.0 CORE (config-if)# ip helper-add 21.121.4.2

CORE (config-if)#ip address 21.121.32.1 255.255.255.0 CORE (config-if)# ip helper-add 21.121.4.2

CORE (config-if)#ip address 21.121.33.1 255.255.255.0 CORE (config-if)# ip helper-add 21.121.4.2

CORE (config-if)#ip address 21.121.34.1 255.255.255.0 CORE (config-if)# ip helper-add 21.121.4.2

CORE (config-if)#ip address 21.121.40.1 255.255.255.0 CORE (config-if)# ip helper-add 21.121.4.2

CORE (config-if)#ip address 21.121.41.1 255.255.255.0 CORE (config-if)# ip helper-add 21.121.4.2

CORE (config-if)#ip address 21.121.42.1 255.255.255.0 CORE (config-if)# ip helper-add 21.121.4.2

CORE (config-if)#ip address 21.121.43.1 255.255.255.0 CORE (config-if)# ip helper-add 21.121.4.2

Cấu hình định tuyến OSPF

To configure the router, the following network commands are executed: `network 21.121.4.1 0.0.0.255 a 1`, `network 21.121.5.2 0.0.0.255 a 1`, `network 21.121.3.1 0.0.0.255 a 1`, `network 21.121.11.1 0.0.0.255 a 1`, `network 21.121.12.1 0.0.0.255 a 1`, `network 21.121.13.1 0.0.0.255 a 1`, `network 21.121.14.1 0.0.0.255 a 1`, `network 21.121.20.1 0.0.0.255 a 1`, `network 21.121.21.1 0.0.0.255 a 1`, `network 21.121.22.1 0.0.0.255 a 1`, `network 21.121.23.1 0.0.0.255 a 1`, `network 21.121.24.1 0.0.0.255 a 1`, `network 21.121.30.1 0.0.0.255 a 1`, `network 21.121.31.1 0.0.0.255 a 1`, and `network 21.121.32.1 0.0.0.255 a 1` These commands define the networks that the router will manage, each with a specified subnet mask and administrative distance.

CORE (config-router)#network 21.121.33.1 0.0.0.255 a 1 CORE (config-router)#network 21.121.34.1 0.0.0.255 a 1 CORE (config-router)#network 21.121.40.1 0.0.0.255 a 1 CORE (config-router)#network 21.121.41.1 0.0.0.255 a 1 CORE (config-router)#network 21.121.42.1 0.0.0.255 a 1 CORE (config-router)#network 21.121.43.1 0.0.0.255 a 1 CORE (config-router)#exit

Enter configuration commands, one per line End with CNTL/Z. Switch(config)#hostname Tang1

Tang1(config)#enable secret khanh

Tang1(config-vlan)#name wifisanh

Tang1(config-vlan)#name phongHCNS

Tang1(config-vlan)#name phongtuyensinh

Tang1(config-vlan)#name phongkhach

Tang1(config-if)#switchport mode access

Tang1(config-if)#switchport access vlan 11

Tang1(config-if)#switchport mode access Tang1(config-if)#switchport access vlan 14 Tang1(config-if)#exit

Tang1(config-if)#switchport mode access Tang1(config-if)#switchport access vlan 12 Tang1(config-if)#exit

Tang1(config-if)#switchport mode access Tang1(config-if)#switchport access vlan 13 Tang1(config-if)#exit

Tang1(config-if)#switchport mode trunk Tang1(config-if)#exit

Hình3.2.2.2.1: Kết quả cấu hình VLAN tầng 1.

Enter configuration commands, one per line End with CNTL/Z. Switch(config)#hostname Tang2

Tang2(config)#enable secret khanh

Tang2(config-vlan)#name phonghop

Tang2(config-vlan)#name phongtaivu Tang2(config-vlan)#exit

Tang2(config-vlan)#name phonggiamdoc Tang2(config-vlan)#exit

Tang2(config-vlan)#name phongphogiamdoc Tang2(config-vlan)#exit

Tang2(config-vlan)#name phongdaotao Tang2(config-vlan)#exit

Tang2(config-if)#switchport mode access Tang2(config-if)#switchport access vlan 20 Tang2(config-if)#exit

Tang2(config-if)#switchport mode access Tang2(config-if)#switchport access vlan 21 Tang2(config-if)#exit

Tang2(config-if)#switchport mode access Tang2(config-if)#switchport access vlan 22 Tang2(config-if)#exit

Tang2(config-if)#switchport mode access Tang2(config-if)#switchport access vlan 23 Tang2(config-if)#exit

Tang2(config-if)#switchport mode access

Tang2(config-if)#switchport access vlan 24

Tang2(config-if)#switchport mode trunk

Hình3.2.2.2.2: Kết quả cấu hình VLAN tầng 2.

Enter configuration commands, one per line End with CNTL/Z. Switch(config)#hostname Tang3

Tang3(config)#enable secret khanh

Tang3(config-vlan)#name thuvien

Tang3(config-vlan)#name phongmarketing

Tang3(config-vlan)#name phongmaychu

Tang3(config-vlan)#name phongKTTH

Tang3(config-vlan)#name phongnghi

Tang3(config-if)#switchport mode access

Tang3(config-if)#switchport access vlan 30

Tang3(config-if)#switchport mode access

Tang3(config-if)#switchport access vlan 31

Tang3(config-if)#switchport mode access Tang3(config-if)#switchport access vlan 32 Tang3(config-if)#exit

Tang3(config-if)#switchport mode access Tang3(config-if)#switchport access vlan 33 Tang3(config-if)#exit

Tang3(config-if)#switchport mode access Tang3(config-if)#switchport access vlan 34 Tang3(config-if)#exit

Tang3(config-if)#switchport mode trunk Tang3(config-if)#ex

Hình 3.2.2.2.3: Kết quả cấu hình VLAN tầng 3.

Enter configuration commands, one per line End with CNTL/Z. Switch(config)#hostname Tang4

Tang4(config)#enable secret khanh

Tang4(config-vlan)#name phongmay1

Tang4(config-vlan)#name phonghoc1 Tang4(config-vlan)#exit

Tang4(config-vlan)#name phonghoc2 Tang4(config-vlan)#exit

Tang4(config-vlan)#name phongmay2 Tang4(config-vlan)#exit

Tang4(config-if)#switchport mode access Tang4(config-if)#switchport access vlan 40 Tang4(config-if)#exit

Tang4(config-if)#switchport mode access Tang4(config-if)#switchport access vlan 41 Tang4(config-if)#exit

Tang4(config-if)#switchport mode access Tang4(config-if)#switchport access vlan 42 Tang4(config-if)#exit

Tang4(config-if)#switchport mode access Tang4(config-if)#switchport access vlan 43 Tang4(config-if)#exit

Tang4(config-if)#switchport mode trunk Tang4(config-if)#exit

Hình3.2.2.2.4: Kết quả cấu hình VLAN tầng 4.

Các Access Switch tại các phòng ban không cần cấu hình, chỉ cần kết nối vào đúng cổng trên Distribution Switch Tuy nhiên, Access Switch trong phòng máy chủ cần được cấu hình Để switch MANAGEMENT và switch FARM nhận database VLAN từ Core Switch, ta cần cấu hình VTP ở chế độ Client cho hai switch này.

MANAGEMENT(config)#vtp domain khanh

MANAGEMENT(config)#vtp mode client

MANAGEMENT(config)#vtp password khanh

FARM(config)#vtp domain khanh

FARM(config)#vtp mode client

To enable servers to access the corresponding VLAN, configure trunking mode on the interface connected to the Core Switch and set access mode on the interface connected to the servers.

MANAGEMENT(config-if)#switchport mode trunk

MANAGEMENT(config-if)#switchport mode access

MANAGEMENT(config-if)#switchport access vlan 4

MANAGEMENT(config-if)#do write memory

FARM(config-if)#switchport mode trunk

FARM(config-if)#switchport mode access

FARM(config-if)#switchport access vlan 3

FARM(config-if)#do write memory

Trên Switch DMZ, ta cấu hình VLAN 1 với tên kèm theo là DMZ:

DMZ(config-vlan)#name DMZ

Tiếp theo, trên interface FastEthernet 0/1 kết nối với Router TTDTTinhoc ta cấu hình mode trunk, các interface FastEthernet 0/2-4 ta cấu hình mode access:

DMZ(config-if)#switchport mode trunk

DMZ(config-if-range)#switchport mode access

DMZ(config-if-range)#switchport access vlan 2

DMZ(config-if-range)#do wr

3.2.3 Cấu hình máy chủ dịch vụ

3.2.3.1 Cấu hình máy chủ DHCP

– Đặt địa chỉ IP tZnh cho DHCP Server:

Hình3.2.3.1.1: Cấu hình IP tZnh cho máy chủ DHCP.

Tiếp theo, cấu hình dịch vụ cho máy chủ DHCP bằng cách chọn Services/DHCP Tại mục Interface, chọn On và sau đó lần lượt tạo các VLAN theo quy hoạch ban đầu.

Hình3.2.3.1.2: Cấu hình dịch vụ cho máy chủ DHCP. Ở các máy trạm, ta cấu hình IP ở mode DHCP và nhận được địa chỉ IP động thành công:

Hình3.2.3.1.3: Kết quả cấu hình dịch vụ máy chủ DHCP.

3.2.3.2 Cấu hình máy chủ MAIL

– Đặt địa chỉ IP tZnh cho MAIL Server:

Hình3.2.3.2.1: Cấu hình IP tZnh cho máy chủ MAIL.Chuyển sang tab Services bật dịch vụ SMTP và POP3 và tạo các User cho các phòng:

Hình3.2.3.2.2: Cấu hình dịch vụ cho máy chủ Mail.

Tại các máy trạm, ta cấu hình dịch vụ mail như sau:

Hình3.2.3.2.3: Cấu hình dịch vụ mail tại máy trạm(phòng đào tạo).

Để gửi một email mới từ phòng Đào tạo đến Giám đốc, trước tiên bạn cần truy cập vào máy trạm và chọn Destop, sau đó vào Email và chọn Compose để soạn thảo nội dung.

Hình3.2.3.2.5: Soạn mail tại máy trạm phòng đào tạo

Sau khi gửi email, Giám đốc cần chọn Receive trên máy trạm để nhận email từ phòng Đào tạo Điều này cho thấy rằng việc cấu hình dịch vụ cho máy chủ Mail đã được thực hiện thành công.

Hình3.2.3.2.6: Nhận mail tại máy trạm phòng Giám đốc.

3.2.3.3 Cấu hình máy chủ DNS

– Đặt địa chỉ IP tZnh cho DNS Server:

Để cấu hình dịch vụ cho máy chủ DNS, bạn cần truy cập vào mục Services/DNS Tại đây, hãy bật chế độ On cho DNS Service và tiến hành ánh xạ các tên miền với địa chỉ IP tương ứng của các máy chủ.

- Ánh xạ www.tinhoc.com thành IP của máy chủ Web;

- Ánh xạ ftp.tinhoc.com thành IP của máy chủ File;

- Ánh xạ mail.tinhoc.com thành IP của máy chủ Mail;

- Thêm bản ghi bí danh của www.tinhoc.com là tinhoc.com.

Hình3.2.3.3.2: Cấu hình IP tZnh cho máy chủ DNS.

3.2.3.4 Cấu hình máy chủ WEB

– Đặt địa chỉ IP tZnh cho WEB Server:

Hình3.2.3.4.1: Cấu hình IP tZnh cho máy chủ WEB. Để cấu hình dịch vụ Web, ta chọn Services/HTTP, chọn On ở cả hai trư[ng HTTP và HTTPS:

Hình3.2.3.4.2: Cấu hình dịch vụ máy cho chủ Web.

Sau đó Edit File index.html như hình bên dưới:

Hình3.2.3.4.3: Chỉnh sửa file index.html. Truy cập vào Website www.tinhoc.com từ phòng Tài Vụ:

Hình3.2.3.4.4: Truy cập vào dịch vụ web tại máy trạm.

3.2.3.5 Cấu hình máy chủ FTP (FILE)

– Đặt địa chỉ IP tZnh cho FILE Server:

Hình3.2.3.5.1: Cấu hình IP tZnh cho máy chủ File.

Cuối cùng, chúng ta tiến hành cấu hình dịch vụ cho máy chủ File bằng cách chọn Services/FTP và bật chế độ On Tiếp theo, hãy thêm từng người dùng với các quyền truy cập riêng biệt theo yêu cầu của trung tâm.

Hình3.2.3.5.2: Cấu hình dịch vụ cho máy chủ File.

Tại máy trạm bất kì, ta truy cập dịch vụ của máy chủ File bằng lệnh C:\>ftp 21.121.3.2 và đăng nhập bằng username/password vừa tạo phía máy chủ:

Hình3.2.3.5.3: Kết quả cấu hình dịch vụ máy chủ File.

Để cấu hình Wifi-Sảnh tại sảnh tầng 1, hãy chọn Setup/Basic Setup, sau đó chuyển sang tab GUI/Setup/Internet Setup và chọn Static IP Đặt IP router phù hợp với VLAN đã chia và điền các tham số cần thiết.

Hình3.2.4.1: Cấu hình Wifi-Sảnh.

Sau đó chọn thẻ Wireless, đặt tên cho Wifi tại ô Network Name (SSID): rồi kéo xuống chọn Save

Hình3.2.4.2: Đổi tên cho Wifi-Sảnh.

Trên thẻ Wireless, ta chọn tab Wireless Sercutiry và cài đặt password cho wifi.

Hình3.2.4.3: Đặt mật khẩu cho Wifi-Sảnh.

Từ thiết bị Smartphone của Sanh, vào Config/INTERFACE/Wireless0 và cấu hình như sau:

Hình3.2.4.4: Cấu hình Smartphone của khách.

3.2.5 Phân quyền truy cập Đối với hệ thống mạng của trung tâm, trên Core Switch quy hoạch các chính sách quyền truy cập như sau:

1)ALC 101: Chỉ cho phép phòng Kỹ thuật thWc hành ping đến DMZ (máy chủ dịch vụ Web, Mail và DNS)

CORE(config)#access-list 101 permit icmp 21.121.33.0 0.0.0.255 21.121.2.0 0.0.0.255 CORE(config)#access-list 101 deny icmp any 21.121.2.0 0.0.0.255

CORE(config)#access-list 101 permit ip any any

CORE(config-if)#ip access-group 101 out

2) ACL 102: Chỉ cho phép phòng Kỹ thuật thWc hành ping đến Server Farm (máy chủ File): CORE(config)#access-list 102 permit icmp 21.121.33.0 0.0.0.255 21.121.3.0 0.0.0.255 CORE(config)#access-list 102 deny icmp any 21.121.3.0 0.0.0.255

CORE(config)#access-list 102 permit ip any any

CORE(config-if)#ip access-group 102 out

Sau khi cấu hình thành công hai ACL 101 và ACL 102, việc kiểm tra cho thấy PC tại phòng Kỹ thuật có khả năng ping đến các máy chủ trong vùng DMZ và Server Farm Ngược lại, các PC ở các phòng ban khác lại không thể ping tới hai vùng máy chủ này.

Hình3.2.5.1: Ping từ PC phòng KTTH đến hai vùng máy chủ.

Hình3.2.5.2: Ping từ PC phòng Tài vụ đến hai vùng máy chủ. 3)ALC 103: Chặn phòng Kế toán (hoặc Tài chính, Tài vụ) ra Internetwork

Core(config)#access-list 103 deny ip 21.121.21.0 0.0.0.255 172.168.1.0 0.0.0.255 Core(config)#access-list 103 permit ip any any

Core(config-if)#ip access-group 103 in

Hình3.2.5.3: Ping từ PC phòng Tài vụ đến Internet.

4)ALC 104: Cho phép máy khách ping ra Internetwork nhưng chặn máy khách ping tới mạng nội bộ

Core(config)#access-list 104 permit icmp 21.121.11.0 0.0.0.255 172.168.1.1 0.0.0.255 Core(config)#access-list 104 deny icmp 21.121.11.0 0.0.0.255 any

Core(config)#access-list 104 permit ip any any

Core(config-if)#ip access-group 104 in