Thiết kế mạng nội bộ cho tòa nhà 10 tầng trường Đại học Điện lực

- Thiết kế phải đảm bào thuâ `n lợi cho viê `c quản lí và đảo tạo, dễ bảo tra,sửa chữa.- Hệ thống đáp ứng được nhu cầu phát triển dữ liệu và mở rộng.. - Quản trị viên cần được trang bị k

TRƯỜNG ĐẠI HỌC ĐIỆN LỰC

KHOA CÔNG NGHỆ THÔNG TIN

BÁO CÁO CHUYÊN ĐỀ HỌC PHẦN

PHÂN TÍCH VÀ THIẾT KẾ AN TOÀN MẠNG MÁY TÍNH

: NGUYỄN XUÂN THU Ngành : CÔNG NGHỆ THÔNG TIN

Chuyên ngành : QUẢN TRỊ AN NINH MẠNG

Hà Nội, Ngày 25 Tháng 11 Năm 2023

MỤC LỤC

DANH MỤC CÁC KÝ HIỆU VÀ TỪ VIẾT TẮT

STT CHỮ VIẾT TẮT NGHĨA TIẾNG ANH NGHĨA TIẾNG VIỆT

ii

DANH MỤC BẢNG

DANH MỤC CÁC HÌNH VẼ

iv

LỜI NÓI ĐẦU

Chương 1 KHẢO SÁT VÀ ĐÁNH GIÁ CƠ SỞ HẠ TẦNG

Chương này trình bày quá trình khảo sát và đánh giá thực trạng cơ sở hạ tầng của nhà E 10 tầng Trường Đại học Điện Lực Nội dung của chương là

cơ sở cho quá trình phân tích và thiết kế.

1.1 Mục tiêu, yêu cầu

1.1.1 Mục tiêu

- Đại Học Điện Lực đang có nhu cầu đầu tư hệ thống trang thiết bị côngnghệ thông tin phục vụ cho công việc giảng dạy và nghiệp vụ Mong muốnxây dựng hạ tầng chuẩn, hệ thống mạng có tính sẵn sàng cao, có độ ổn định

Hệ thống đáp ứng được nhu cầu phát triển dữ liệu và mở rộng Đồng thời tíchhợp với hệ thống mạng có sẵn

- Trường đã có kế hoạch đầu tư xây dựng tòa nhà 10 tầng với đầy đủ hệthống trang thiết bị tin học và mạng phục vụ cho công việc giảng dạy, học tập

và nghiệp vụ, theo dõi camera thông qua internet

- Đối tượng sử dụng mạng: giáo viên, học sinh, cán bộ công nhân viên nhàtrường

- Giảng viên, Sinh Viên sử dụng mạng cho mục đích giảng dậy, học tập, tracứu tài liệu Các hệ thống camera để đảm bảo an ninh cho nhà trường cũngnhư trong việc quan sát khi thi cử

1.1.2 1.1.2 Yêu cầu

- Nhà trường mong muốn xây dựng hạ tầng chuẩn, hệ thống mạng có tínhsẵn sàng cao, có độ ổn định

3

- Thiết kế phải đảm bào thuâ `n lợi cho viê `c quản lí và đảo tạo, dễ bảo tra,sửa chữa.

- Hệ thống đáp ứng được nhu cầu phát triển dữ liệu và mở rộng Đồng thờitích hợp với hệ thống mạng có sẵn

cáp mạng cho từng Cam vềhộp kỹ

thuật tầng 1

- Có 1 node mạng cho phòngbảo vệ,

đã nối về hộp kỹ thuật tầng 1.Tầng 1 - Phòng CTSV +

mạng

- Có 1 hộp kỹ thuật mạng.Trong hộp

này đã hàn nối 02 sợi có cápquang cho tầng 1 + cáp mạngLAN tầng 1 chạy từ tủ rack ra hộpnày

- Cáp quang từ tầng 2-9 đã kéo

về tủ rack mạng nhưng chưa đượchàn nối vào hộp ODF quang(Cũng chưa có hộp ODF) Nếuchưa hàn nối tha không thể sửdụng được cáp quang

- Cáp quang: trong hộp kỹthuật đã có cáp quang nối xuống

- Có 1 đầu chờ mạng LAN đểlắp wifi

Bảng 1 Hiện trạng cơ sở vật chất và hệ thống mạng

5

1.2 Kết luận chương

Nội dung chương?

Chương 2 Phân tích và thiết kế

1.3 2.1 Phân tích

Kinh tế Không vượt quá 1 tỷ 500 triệu

đồng

- Băng thông lớn

- Ổn định sử dụng 24h/ngày và 7ngày/tuần đáp ứng tối đa 1600người dùng cùng lúc

- Đạt 90%

Bảo mật, an ninh - Sử dụng các chính sách bảo mật

để phân loại và ngăn chặn ngườidùng

- Sử dụng các công cụ bảo mật tốiưu

- Hệ thống phải được bảo vệtheo chiều sâu, phân thành nhiềutầng và tách thành nhiều lớp khácnhau Mỗi tầng và lớp đó sẽ đượcthực hiện các chính sách bảo mậthay ngăn chặn khác nhau

- Không nên tin cậy vào chỉmột công

nghệ hay sản phẩm công nghệbảo đảm an ninh cho mạng củamột hãng nào đó Bởi nếu như sảnphẩm của hãng đó bị hacker tam

ra lỗ hổng tha dễ dàng các sảnphẩm tương tự của hãng đó trongmạng cũng sẽ bị xuyên qua vàviệc phân tầng, phân lớp trongchính sách phòng vệ là vô nghĩa

- Có tính sẵn sàng cho những tanhhuống xấu để đảm bảo dữ liệukhông bị mất

- Quản trị viên cần được trang bị kỹnăng và kiến thức đầy đủ.Khả năng mở rộng - Xây dựng một hệ thống mạng linh

hoạt để có thể mở rộng kết nối7

đến các tòa nhà khác trong khuônviên trường Đại học Điện Lực.

- Không ngừng nâng cao chấtlượng mạng, trang bị các thiết bịmạng chất lượng cao, dễ dàng mởrộng hệ thống mạng khi cần thiết,xây dựng thêm các hệ thống dựphòng

Trang thiết bị - Trang thiết bị tối ưu cả về mặt

kiến thức để sử dụng các trangthiết bị

- Nghiêm cấm hành vi phá hoại hệthống mạng

- Ngoài dịch vụ trực tuyến như website, trong tương lai nhà trường có thểtích hợp thêm những dịch vụ khác

- Ngoài ra các xu hướng công nghệ hiện đại có thể được áp dụng sau nàynên hệ thống cần được phải đảm bảo để có thể tích hợp những công nghệ mới

 Tính bảo mật

- Xây dựng các chính sách bảo mật tối ưu để phân loại và ngăn chặn ngườidùng, đảm bảo rằng chỉ những người được ủy quyền mới có thể truy cập vàocác tài nguyên quan trọng

- Cần tích hợp các giải pháp chống xâm nhập và phòng thủ chốngmalware.

- Thiết lập các biện pháp như firewall để ngăn chặn truy cập trái phép vàgiữ cho mạng được bảo vệ khỏi các cuộc tấn công mạng

- Hệ thống bảo mật cần được kiểm tra định kỳ và liên tục nâng cấp

 Chất lượng dịch vụ

- Trường có một lượng lớn sinh viên và giảng viên có nhu cầu truy cập và

sử dụng mạng đồng thời đặc biệt khi có các sự kiện như đăng ký học phần, kỳthi, đón tân sinh viên nên cần xây dựng hệ thống đủ mạnh để gánh chịu lưulượng mạng lớn

- Sử dụng hệ thống mạng có băng thông lớn đảm bảo không gián đoạncông việc và quá tranh học tập của mọi người

- Trường học thường hay có những yêu cầu như gọi video, hội thảo trựctuyến, trò chơi trực tuyến hay giảng dạy từ xa Điều này đặt ra yêu cầu cao về

độ trễ mạng để đảm bảo trải nghiệm người dùng mượt mà

- Tối ưu hóa kết nối không dây để đảm bảo tín hiệu mạnh và ổn định trongcác khu vực sử dụng không dây

- Sử dụng các công cụ giám sát để theo dõi hiệu suất và phát hiện sự cốmột cách nhanh chóng

 Tính chịu lỗi

- Sử dụng các thành phần dự phòng như redundant links, redundantdevices để giảm thiểu tác động của một điểm lỗi đến toàn bộ mạng

- Phân phối tải giữa các đường truyền và thiết bị để giảm nguy cơ quá tải

và tăng khả năng chịu lỗi

- Sử dụng các biện pháp dự phòng giúp đảm bảo rằng mạng có khả năng

khôi phục nhanh chóng sau sự cố và giữ cho dịch vụ mạng không bị giánđoạn

- Thiết kế các kịch bản sao lưu và khôi phục để nhanh chóng khôi phụcdịch vụ sau khi có sự cố

- Hệ thống giám sát liên tục và quản lý hiệu suất của mạng để phát hiện và

xử lý sự cố ngay khi chúng xảy ra

- Phát triển kế hoạch phục hồi sau sự cố để đảm bảo tính sẵn sàng và khảnăng phục hồi sau sự cố lớn

Từ những vấn đề trên chúng ta sử dụng mô hanh phân cấp để xây dựng hệthống mạng này va mô hanh này:

9

- Hiệu suất cao.

- Tăng khả năng quản lý và chuẩn đoán nguyên nhân khi có sự cố xảy ra

- Dễ dàng trong việc quản lý các policy

- Tốc độ truyền nhanh bảo đảm khả năng vận chuyển packet

- Thường để đảm bảo tốc độ, tầng Core luôn tối thiểu 10 Gigabit

- Các giao thức: định tuyến (hội tụ nhanh, dễ sử dụng), giao thức dự phòngGateway, Packet filtering, QoS, Load Balacing, summary, NAT…

- Các thiết bị trong tầng Core: Switch Layer 3, Router, Firewall, LoadBalancing…

- Cung cấp khả năng mở rộng cho mạng.

- Phải xác định cho được con đường nhanh nhất mà các yêu cầu của userđược đáp ứng

- Cho khả năng mở rộng dễ dàng khi quy mô phát triển trong tương lai

- Định tuyến (routing), lọc gói (filtering), truy cập mạng WAN, tạo accesslist…

- Các giao thức: định tuyến, định tuyến VLAN, giao thức dự phòngGateway, Packet filtering, QoS, Load Balacing, Ether Channel, summary…

- Các thiết bị trong tầng Access: Switch Layer 3, WLC, PBX, Server…

 Tầng Access

- Có nhiệm vụ chủ yếu là là cung cấp kết nối cho người dùng đầu cuối vào

hệ thống ở các tốc độ 10/100/1000 Mbps bao gồm cả kết nốiPOE/POE+/HiPOE…

- Gom lưu lượng người dùng và cung cấp khả năng mở rộng cho mạng

- Tiếp tục thực hiện các access control và policy từ tầng Distribution

- Các giao thức đặc biệt trong lớp Access: Port security, Vlan, SpaningTree Protocol, Tool Kit PBDU,…

- Các thiết bị trong tầng Access: Switch Layer 2, Layer 3, End Device,Camera, IP phone, Sensor, Access Point…

11

Chương 3 Triển khai thực hiện

1.5.2 3.1.2 Sơ đồ mạng toà nhà 10 tầng

Hình 4 Sơ đồ tầng hầm

Hình 5 Sơ đồ tầng 1

13

Hình 6 Sơ đồ tầng 2,3,5

Hình 7 Sơ đồ tầng 4

Hình 8 Sơ đồ tầng 6

Hình 9 Sơ đồ tầng 7

15

Hình 10 Sơ đồ tầng 8

Hình 11 Sơ đồ tầng 9

1.5.3 3.1.3 Sơ đồ đi cáp kết nối toàn E với toà A,H

Hình 12 Sơ đồ đi cáp toà E với toà A,H

1.6 3.2 Phân chia địa chỉ IP

 Phân chia địa chỉ IP

192.168.9.1 – 192.168.9.254

192.168.10.1 –192.168.10.254

255.255.255.0

192.168.9.1192.168.10.1

Bảng 3 Bảng phân chia địa chỉ IP

 Phân chia VLAN

5 Cisco WAP4410N

- Enable password để bảo vệ quyền truy cập vào cấu hanh Switch

- Thiết lập SNMP community strings để quản lý từ xa

- Gán địa chỉ IP và subnet mask cho VLANs trên Switch

19

- Thiết lập default gateway để kết nối với mạng ngoại vi.

- Cấu hanh tốc độ và duplex cho cổng

- Cho phép dịch vụ HTTP để quản lý Switch từ xa, cấu hanh cổng

- Kiểm soát địa chỉ MAC với cơ chế Port Security, giới hạn số lượng địachỉ MAC trên cổng

- Sử dụng bảo mật Port Security để hạn chế số lượng địa chỉ MAC trênmột cổng

- Tạo VLAN từ 10 đến 40

- Sử dụng lệnh "interface range [type] [start]-[end]" để chọn một loạt cáccổng và gán chúng vào VLAN

- Thiết lập cổng làm trunk để chuyển VLAN giữa các Switch, sử dụng lệnh

"switchport mode trunk."

- Enable VTP và thiết lập domain, mode để đồng bộ VLAN giữa cácSwitch

- Trên Router, tạo các subinterface cho mỗi VLAN để cho phép giao tiếpgiữa chúng

1.8.2 3.3.2 Cài đặt Firewall

- Thiết lập địa chỉ IP cho các giao diện của firewall

- Xác định các quy tắc cho ACL để kiểm soát traffic

- Chặn hoặc cho phép dựa trên địa chỉ nguồn, địa chỉ đích, cổng, protocol

- Cấu hanh NAT để ẩn địa chỉ IP nội bộ khi gửi traffic ra mạng ngoại vi

- Thiết lập cấu hanh VPN nếu muốn tạo kết nối an toàn giữa các mạng

- Kích hoạt tính năng theo dõi trạng thái để theo dõi connection state vàquyết định cho phép hoặc chặn traffic

- Kiểm tra cấu hanh để đảm bảo rằng các quy tắc đang hoạt động như mongđợi

- Thực hiện các bài kiểm tra bảo mật để đảm bảo hiệu suất

- Sao lưu cấu hanh để dự phòng và khôi phục nhanh chóng khi cần thiết

- Thực hiện thử nghiệm để đảm bảo rằng firewall hoạt động đúng cách

- Thiết lập các công cụ giám sát để theo dõi lưu lượng và các sự kiện quantrọng

1.8.3 3.3.3 Cài đặt Wireless Lan Controller

- Thiết lập địa chỉ IP và subnet mask cho giao diện quản lý của WLC

- Bật dịch vụ Wireless trên WLC

- Tạo các SSID cho mạng WLAN bằng cách cấu hanh các Profile SSID.

- Cấu hanh QoS cho mạng WLAN để đảm bảo chất lượng kết nối

- Thiết lập kết nối giữa WLC và Switch để chuyển dữ liệu wireless giữaAccess Points và mạng có dây

- Cấu hanh các phương thức bảo mật và xác thực, bao gồm WPA, WPA2,802.1X, để đảm bảo an toàn cho mạng WLAN

- Kích hoạt các tính năng giám sát và quản lý để theo dõi hiệu suất và tanhtrạng của các thiết bị và người dùng trên mạng WLAN

- Cấu hanh các tham số roaming để đảm bảo chất lượng kết nối khi ngườidùng di chuyển trong mạng WLAN

- Thiết lập các cấu hanh RF để tối ưu hóa sự phát sóng và thu sóng của cácAccess Points

KẾT LUẬN

Trong quá tranh xây dựng hệ thống mạng LAN cho trường đại học, chúng

em đã đặt ra một kiến trúc mạng phân cấp, linh hoạt và an toàn Việc đặt haicore switch tại tầng 1, distribution switch tại tầng 4 và 8, cùng với việc triểnkhai WLC, access switch, firewall, router wifi, và camera PoE, đã tạo nên một

hệ thống mạng chất lượng cao và đáp ứng đa dạng nhu cầu của nhà trường

Sự kết hợp giữa các thiết bị mạng và kết nối quang đã tạo ra một môitrường mạng linh hoạt, với khả năng mở rộng cho tương lai và đảm bảo khả

21

năng sẵn sàng và chịu lỗi của hệ thống Việc triển khai các biện pháp bảo mật

ở tầng distribution và core cùng với việc sử dụng firewall tại các tầng quantrọng đã bảo vệ mạng khỏi các mối đe dọa mạng

Điểm đặc biệt là sự tích hợp linh hoạt của hệ thống, cho phép quản trị viên

dễ dàng quản lý và mở rộng mạng theo thời gian Tổng kết lại hệ thống mạngđược xây dựng nhằm mang lại trải nghiệm mạng tốt nhất cho cộng đồng đạihọc, đồng thời đảm bảo an toàn và ổn định

Hệ thống mạng có hoạt động tốt hay không còn phụ thuộc khá nhiều vàoyếu tố con người nên nhà trường cần có kế hoạch đào tạo và những quy định

sử dụng hệ thống mạng, nhằm đảm hạn chế những sự cố gây tổn thất cho hệthống cũng như nhà trường

Tổng kết lại, đây là phương án mà bọn em đã xây dựng theo yêu cầu củanhà trường đảm bảo 4 tính chất cốt lõi của một hệ thống mạng: Tính mở rộng,Tính bảo mật, Chất lượng dịch vụ, Tính chịu lỗi

TÀI LIỆU THAM KHẢO

23