xây dựng hệ thống mạng lan cho trường đại học

xây dựng hệ thống mạng lan cho trường đại học

NHẬN XÉT CỦA CƠ SỞ THỰC TẬP Họ tên người thực tập: Lớp ………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

……

Điểm: ……….

Ngày …… tháng …… năm 2011…

CƠ SỞ THỰC TẬP

(Ký và đóng dấu)

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN VÀ KẾT QUẢ BẢO VỆ THỰC TẬP TỐT NGHIỆP Sinh viên :

Lớp :

Địa điểm thực tập:

I TIẾN ĐỘ VÀ THÁI ĐỘ THỰC TẬP CỦA SINH VIÊN 1 Mức độ liên hệ với giáo viên :

2 Thời gian thực tập và quan hệ với cơ sở:

3 Tiến độ thực hiện :

II NỘI DUNG BÁO CÁO 1 Thực hiện các nội dung thực tập:

2 Thu thập và xử lý số liệu thực tế:

3 K hả năng hiểu biết thực tế và lý thuyết:

III HÌNH THỨC TRÌNH BÀY:

IV MỘT SỐ Ý KIẾN KHÁC:

V Ý KIẾN CỦA GIÁO VIÊN HƯỚNG DẪN (Đồng ý hay không đồng ý cho bảo vệ):

ĐIỂM:

Ngày ….tháng … năm 200… (Ký và ghi rõ họ tên) VI KẾT QUẢ BẢO VỆ: ĐIỂM

(Ký và ghi rõ họ tên)

Trong công cuộc đổi mới không ngừng của khoa học công nghệ, nhiều lĩnh vực

đã và đang phát triển vượt bậc, đặc biệt là lĩnh vực công nghệ thông tin Thànhcông lớn nhất là sự ra đời của máy tính, kể từ đó máy tính được coi là mộtphương tiện trợ giúp đắc lực cho con người trong mọi lĩnh vực Nhưng tất cả cácmáy tính đều đơn lẻ và không thể chia sẻ thông tin cho nhau

Chính vì vậy công nghệ thông tin - đặc biệt là Internet, bắt đầu được sửdụng ở Hoa Kỳ vào năm 1995 (Wiles và Bondi, 2002) và sau đó bắt đầu đượcphổ biến rộng rãi trên toàn thế giới Ngày nay, thật khó có thể hình dung đượccông nghệ thông tin đã phát triển nhanh đến thế nào? Có thể nói ngành công nghệthông tin là ngành phát triển nhanh nhất trong tất cả các ngành và nó được ứngdụng trong mọi lĩnh vực Để có được như vậy thì cần phải có một mạng máy tính

để chia sẻ dữ liệu và dùng chung dữ liệu Mang máy tính được các tổ chức sửdụng để chia sẻ thông tin, dùng chung tài nguyên và cho phép giao tiếp trực tuyếntrên mạng như: mail, thư điện tử

Cùng với sự phát triển đó, làm thúc đẩy các ngành kinh tế khác cũng pháttriển theo Trong đó có ngành Giáo Dục cũng đang triển khai, áp dụng công nghệthông tin vào trong công việc quản lý, giảng dậy, điều hành Tất cả mọi hoạt độnggiải trí, kinh doanh, mua bán… đều nhanh chóng, tiện lợi, hiệu quả cao

Nhận thấy được những lợi ích mà công nghệ thông tin mang lại cho chúng

ta, thì nhóm chúng em với mong muốn nghiên cứu và tìm hiểu về lắp đặt cơ sở hạtầng mạng và cấu hình cho các thiết bị có thể hoạt động được trong mạng “Xâydựng hệ thống mạng LAN cho trường đại học” chính là đề tài đang được nghiêncứu và tìm hiểu

Trong thời gian tìm hiểu và nghiêm cứu, do thời gian hạn chế và tìm hiểuchưa đươc kỹ càng nên sẽ không tránh khỏi các thiếu sót

Chương 1 : Tổng quan hệ thống CNTT trong các trường

ĐH

I Vai trò của CNTT trong các trường ĐH

Công nghệ thông tin có một vai trò hết sức to lớn vào trong ngành giáodục.Nó giúp cho sự chao đổi thông tin giữa các trường Đại học nhanh hơn rấtnhiều so với trước kia, giúp cho việc giảng dạy của các giáo viên được thuận lợihơn, sinh viên có thể tìm đọc tài liệu một cách hết sức dễ dàng…

Các trường ĐH nằm cách xa nhau về mặt địa lý và khó có khả năng chosinh viên có thể chuyển đổi nơi học và thực tập, và do đó, mỗi trường ĐH có conđường và lãnh địa riêng của mình Hiện nay, tình hình đã không còn như vậy nữa

Với công nghệ thông tin, trái đất chúng ta đã trở nên nhỏ bé và gần gũi hơn

Phần lớn các trường ĐH Việt Nam hiện nay đang vận hành một cách

riêng rẽ và ít có sự cạnh tranh do đặc thù là các trường vốn có truyền thống lâu

đời là các trường đơn ngành Hiện nay, với sự xuất hiện của các trường mới, đặcbiệt là các trường quốc gia và trường vùng đa ngành, các trường dân lập, tình

hình có khác hơn Tuy nhiên, theo khảo sát của chúng tôi khi tham gia tư vấn tự

đánh giá cho 20 trường ĐH đầu tiên của Việt Nam, việc sử dụng công nghiện

thông tin vào xây dựng chương trình học cũng như giảng dạy của các trường còn

rất nhiều hạn chế mà lý do chủ yếu là chưa có các chính sách hiệu quả và chưa

có sự đồng tâm từ phía các giảng viên

Thử đặt ra câu hỏi: IT có thể cải tiến được chất lượng của giáo dục đại học

không? Tất nhiên, IT không thể một mình có thể làm nên tất cả chất lượng, tuy

nhiên, quan trọng nhất là những lựa chọn mà chúng ta phải có để ứng dụng ITvào nhằm nâng cao chất lượng GD ĐH

Các công dụng của Internet

Có thể liệt kê một số công dụng của Internet trong giảng dạy và học tập đại họcnhư sau:

1 Giảng viên có thể giao tiếp với tất cả các đối tượng: đồng nghiệp, sinh viên,cấp trên và các đối tượng với nhau bằng email;

2 Việc giảng dạy không những có thể diễn ra trên lớp mà có thể diễn ra ở bất

cứ lúc nào và bất cứ ở đâu;

3 Việc học của sinh viên có thể được cá nhân hóa với sự giúp đỡ của giảngviên bằng cách trao đổi trực tiếp với giảng viên mà không ngại bị đánh giá;

II Thực tế triển khai hạ tầng mạng trong các đơn vị giáo dục

Hiện nay trong các trường đại học thì việc triển khai hạ tầng mạng cònnhiều thiếu sót và các mô hình chưa được chuẩn về một số mặt như:

3 Chưa có tường lửa bảo vệ cơ sở dữ liệu cũng như bảo mật

4 Phân vùng chức năng hệ thống chưa đúng mục đích

5 Cơ sở hạ tầng mạng chưa chuẩn

iii Chính sách truy cập mạng cho hệ thống chưa đúng theo chức năng

III Yêu cầu phải quy hoạch lại hệ thống mạng trong các trường ĐH

Để quy hoạch lại hệ thống mạng, ta quy hoạch lại hệ thống mạng theochuẩn của Cisco

1 Xây dựng theo mô hình mạng chuẩn 3 lớp: Accsess switch, distribution, coreswitch

2 Dùng tường lửa (Fire wall) để bảo vệ dữ liệu và ngăn chặn sự truy cập tráiphép từ bên ngoài vào mạng nội bộ

 Chính sách truy cập của từng vùng

Chương 2: Phân tích hệ thống mạng trong trường ĐH

2.1 Phân tích yêu cầu hệ thống mạng tại một đơn vị đại học

2.1.1 Phân vùng truy cập với các chính sách là:

i Vùng DMZ chứa các máy chủ web, Email, các ứng dụng: Các máy chủ củavùng DMZ này có thể public qua các mạng khác, Inside Các máy chủ của DMZ

và sever Inside có thể móc nối dữ liệu với nhau

ii Vùng Inside (máy chủ dữ liệu và các VLAN access): Các PC từ các VLAN

có thể truy cập đến các máy chủ tại vùng DMZ và Inside và các PC từ các VLAN

có thể truy cập internet qua đường leasedline

iii Vùng outside: Các mạng từ bên ngoài mạng internet chỉ có thể truycập đếncác sever thuộc vùng DMZ mà không thể truy cập đến các vùng nào khác

2.1.2 Các lớp truy cập người dùng

i Lớp truy cập của cán bộ, giáo viên: Các PC của các VLAN cùng phòng này

có thể thông với nhau và có thể truy cập internet, các máy chủ của vùng DMZ nhưng các PC ở các VLAN này không thể truy cập đến các VLAN khác cũng nhưcác máy chủ dữ liệu của sever Inside

ii Lớp truy cập dành cho sinh viên: Chỉ được phép truy cập đến các máy chủ của vùng DMZ cũng như được phép truy cập Internet, nhưng không thể truy cập đến các VLAN khác

iii Lớp truy cập của người quản trị: Đối với những người quản trị mạng thì được phép truy cập đến tất cả các vùng mà không bị hạn chế

iiii Lớp đào tạo: Được phép truy cập đến các máy chủ đào tạo cũng như máy chủ dữ liệu vùng sever Inside

2.2 Yêu cầu phải quy hoạch lại hệ thống mạng trong các trường ĐH

Với những ưu điểm của Cisco, ta sẽ xây dựng một hệ thống mạng mới cho

trường đại học để có thể thay thế tốt nhất cho một hệ thống cũ, đã lỗi thời:

 Mở rộng băng thông giúp giao thông trong mạng giảm thiểu tắc nghẽn do cùng một lúc có nhiều người truy cập

 Tính bảo mật cao, giúp mạng nội bộ có thể tránh được sự truy cập trái phép

từ bên ngoài Kiểm soát được luồng thông tin giữa mạng nội bộ và mạng Internet,kiểm soát và cấm địa chỉ truy cập

 Khả năng kết nối Internet nhanh chóng,

 Tiết kiệm năng lượng trên cơ sở hạ tầng mạng

Chương 3: Thiết kế hệ thống mạng trong trường ĐH

3.1 Giới thiệu tổng quan về cấu trúc mạng:

3.1.1 Tổng quan về hệ thống mạng (Các mô hình mạng LAN, WAN, phân

chia IP)

Mạng LAN Campus theo kiến trúc phân tầng:

Mạng LAN được thiết kế tuân theo mô hình 3 lớp của mạng LAN campus do Cisco Systems đưa ra Mô hình này hiện nay cũng được rất nhiều hang sản xuất

áp dụng phổ biến vì những lợi ích mà nó mang lại Theo Cisco, mạng LAN

campus có thể được phân thành 3 lớp cơ bản như sau:

 lớp Lõi (core layer),

 lớp Phân Phối (Distribution Layer)

Tuy nhiên, tùy theo quy mô của mạng LAN mà có thể có hay không có lớp Lõi Dưới đây chúng tôi sẽ trình bày sơ lược về cả ba lớp của mô hình LAN Campus của Cisco

3.1.1.1 Lớp Lõi (Core Layer)

Lớp lõi là lớp trung tâm của mạng LAN campus, nằm trên cùng của mô hình 3lớp Lớp lõi chịu trách nhiệm vận chuyển khối lượng lớn dữ liệu mà phải đảm bảo được độ tin cậy và nhanh chóng Mục đích duy nhất của lớp lõi là phải

chuyển mạch dữ liệu càng nhanh càng tốt Tuy phần lớn dữ liệu của người dùng được vận chuyển qua lớp Lõi nhưng việc xử lý dữ liệu nếu có lại là trách nhiệm của lớp Phân Phối

Nếu có một sự hư hỏng xảy ra ở lớp Lõi, hầu hết các người dùng trong mạng LAN đều bị ảnh hưởng Vì vậy, sự dự phòng là rất cần thiết lại lớp này Do lớp lõi vận chuyển một số lượng lớn dữ liệu, nên độ trễ tại lớp này phải là cực nhỏ Tại lớp lõi, ta không nên làm bất cứ một điều gì có thể ảnh hưởng đến tốc độ chuyển mạch tại lớp lõi như là tạo các access list, routing giữa các VLAN với nhau hay packet filtering

Việc thiết kế lớp Lõi phải thỏa mãn một số nguyên tắc sau :

1 Có độ tin cậy cao, thiết kế dự phòng đầy đủ như dự phòng nguồn, dự phòngcard xử lý, dự phòng node,

2 Tốc độ chuyển mạch cực cao, độ trễ phải cực bé

3 Nếu có chọn các giao thức định tuyến thì phải chọn loại giao thức nào cóthời gian thiết lập (convergence) thấp nhất, có bảng định tuyến đơn giản nhất

3.1.1.2 Lớp Phân Phối (Distribution Layer)

Lớp Phân Phối cung cấp kết nối giữa lớp Truy Cập và lớp Lõi của mạng campus Chức năng chính của lớp Phân Phối là xử lý dữ liệu như là: định tuyến (routing), lọc gói (filtering), truy cập mạng WAN, tạo access list, Lớp Phân Phối phải xác định cho được con đường nhanh nhất mà các yêu cầu của user được đáp ứng Sau khi xác định được con đường nhanh nhất, nó gởi các yêu cầu đến lớp Lõi Lớp Lõi chịu trách nhiệm chuyển mạch các yêu cầu đến đúng dịch vụ cần thiết

Lớp Phân Phối là nơi thực hiện các chính sách (policies) cho mạng Có một

số điều nên thực hiện khi thiết kế lớp Phân Phối:

 Thực hiện các access list, packet filtering, và queueing tại lớp này

 Thực hiện bảo mật và các chính sách mạng bao gồm address translation (như NAT, PAT) và firewall.

 Redistribution (phối hợp lẫn nhau) giữa các giao thức định tuyến, bao gồm

cả định tuyến tĩnh.

 Định tuyến giữa các VLAN với nhau.

3.1.1.3Lớp Truy Cập (Access Layer)

Lớp truy cập chủ yếu được thiết kế cung cấp các cổng kết nối đến từng máy trạm trên cùng một mạng, nên thỉnh thoảng nó còn được gọi là Desktop Layer Bất cứ các dữ liệu nào của các dịch vụ từ xa (ở các VLAN khác, ở ngoài vào) đều được

xử lý ở lớp Phân Phối Lớp Truy Cập phải có các chức năng sau:

 Tiếp tục thực hiện các access control và policy từ lớp Phân Phối

 Tạo ra các collision domain riêng biệt nhờ dùng các switch chứ không dùng hub/bridge

 Lớp truy cập phải chọn các bộ chuyển mạch có mật độ cổng cao đồng thời phải có giá thành thấp, kết nối đến các máy trạm hoặc kết nối tốc độ Gigabit (1000 Mbps) đến thiết bị chuyển mạch ở lớp phân phối

 Như đã nói ở trên, tùy theo quy mô của mạng mà ta có thể thực hiện đầy đủ luôn cả 3 lớp hoặc chỉ thực hiện mô hình kết hợp 2 lớp

người sử dụng cuối khá nhỏ nên sẽ áp dụng mô hình 2 lớp gồm có lớp Phân Phối

và lớp Access Lớp Phân Phối chính là thiết bị chuyển mạch trung tâm đặt tại Trung tâm hệ thống mạng, lớp Access là các thiết bị chuyển mạch lớp 2 đặt tại các chi nhánh nằm dải rác quanh đó

3.2 Mô hình 7 tầng OSI, giao thức TCP/IP

3.2.1 Các chuẩn của mạng và mô hình OSI

a Định nghĩa

b Mục đích

Mô hình OSI phân chia chức năng của một giao thức ra thành một chuỗi các tầng cấp Mỗi một tầng cấp có một đặc tính là nó chỉ sử dụng chức năng của tầng dưới

nó, đồng thời chỉ cho phép tầng trên sử dụng các chức năng của mình

Thông thường thì chỉ có những tầng thấp hơn là được cài đặt trong phần cứng, còn những tầng khác được cài đặt trong phần mềm

Tính năng chính của nó là quy định về giao diện giữa các tầng cấp, tức qui định đặc tả về phương pháp các tầng liên lạc với nhau Điều này có nghĩa là cho dù cáctầng cấp được soạn thảo và thiết kế bởi các nhà sản xuất, hoặc công ty, khác nhaunhưng khi được lắp ráp lại, chúng sẽ làm việc một cách dung hòa (với giả thiết là các đặc tả được thấu đáo một cách đúng đắn

Việc phân chia hợp lí các chức năng của giao thức khiến việc suy xét về chức năng và hoạt động của các chồng giao thức dễ dàng hơn, từ đó tạo điều kiện cho việc thiết kế các chồng giao thức tỉ mỉ, chi tiết, song có độ tin cậy cao Mỗi tầng cấp thi hành và cung cấp các dịch vụ cho tầng ngay trên nó, đồng thời đòi hỏi dịch vụ của tầng ngay dưới nó

Như đã nói ở trên, một thực thi bao gồm nhiều tầng cấp trong mô hình OSI, thường được gọi là một "chồng giao thức" (ví dụ như chồng giao thức TCP/IP)

Để hiểu lớp ứng dụng này thực hiện những gì, chúng ta hãy giả dụ rằng mộtngười dùng nào đó muốn sử dụng Internet Explorer để mở một FTP session và truyền tải một file Trong trường hợp cụ thể này, lớp ứng dụng sẽ định nghĩa một giao thức truyền tải Giao thức này không thể truy cập trực tiếp đến người dùng cuối mà người dùng cuối này vẫn phải sử dụng ứng dụng được thiết kế để tương tác với giao thức truyền tải file Trong trường hợp này, Internet Explorer

sẽ làm ứng dụng đó

3.2.2.2 Lớp Presentation

Lớp Presentation thực hiện một số công việc phức tạp hơn, tuy nhiên mọi thứ mà lớp này thực hiện có thể được tóm gọn lại trong một câu Lớp này lấy dữliệu đã được cung cấp bởi lớp ứng dụng, biến đổi chúng thành một định dạng chuẩn để lớp khác có thể hiểu được định dạng này Tương tự như vậy lớp này cũng biến đổi dữ liệu mà nó nhận được từ lớp session (lớp dưới) thành dữ liệu

mà lớp Application có thể hiểu được Lý do lớp này cần thiết đến vậy là vì các ứng dụng khác nhau có dữ liệu khác nhau Để việc truyền thông mạng được thực hiện đúng cách thì dữ liệu cần phải được cấu trúc theo một chuẩn nào đó

3.2.2.3 Lớp Session

Khi dữ liệu đã được biến đổi thành định dạng chuẩn, máy gửi đi sẽ thiết lập một phiên – session với máy nhận Đây chính là lớp sẽ đồng bộ hoá quá trình liên lạc của hai máy và quản lý việc trao đổi dữ liệu Lớp phiên này chịu trách nhiệm cho việc thiết lập, bảo trì và kết thúc session với máy từ xa

Một điểm thú vị về lớp session là nó có liên quan gần với lớp Application hơn với lớp Physical Có thể một số người nghĩ răng việc kết nối session mạng như một chức năng phần cứng, nhưng trong thực tế session lại được thiết lập giữa các ứng dụng Nếu người dùng đang chạy nhiều ứng dụng thì một số ứng dụng này có thể đã thiết lập session với các tài nguyên ở xa tại bất kỳ thời điểm nào

3.2.2.4 Lớp Transport

Lớp Transport chịu trách nhiệm cho việc duy trì vấn đề điều khiển luồng

Hệ điều hành Windows cho phép người dùng có thể chạy nhiều ứng dụng một cách đồng thời, chính vì vậy mà nhiều ứng dụng, và bản thân hệ điều hành cần phải truyền thông trên mạng đồng thời Lớp Transport lấy dữ liệu từ mỗi ứng dụng và tích hợp tất cả dữ liệu đó vào trong một luồng Lớp này cũng chịu tráchnhiệm cho việc cung cấp vấn đề kiểm tra lỗi và thực hiện khôi phục dữ liệu khi cần thiết Bản chất mà nói, lớp Transport chịu trách nhiệm cho việc bảo đảm tất

cả dữ liệu từ máy gửi đến máy nhận

3.2.2.5 Lớp Network

Lớp mạng Network là lớp có trách nhiệm quyết định xem dữ liệu sẽ đến máy nhận như thế nào Lớp này nắm những thành phần như việc định địa chỉ, định tuyến, và các giao thức logic Bên cạnh đó lớp mạng cũng chịu trách nhiệmcho việc quản lý lỗi của chính nó, cho việc điều khiển xếp chuỗi và điều khiển tắc nghẽn

Việc sắp xếp các gói là rất cần thiết bởi mỗi một giao thức giới hạn kích thước tối đa của một gói Số lượng dữ liệu phải được truyền đi thường vượt quá kích thước gói lớn nhất Chính vì vậy mà dữ liệu được chia nhỏ thành nhiều gói nhỏ Khi điều này xảy ra, lớp mạng sẽ gán vào mỗi gói nhỏ này một số thứ tự nhận dạng

Khi dữ liệu này đến được máy tính người nhận thì lớp mạng lại kiểm tra số thứ nhận dạng của các gói và sử dụng chúng để sắp xếp dữ liệu đúng như những

gì mà chúng được chia lúc trước từ phía người gửi, bên cạnh đó còn có nhiệm

vụ chỉ ra gói nào bị thiếu trong quá trình gửi

3.2.2.6 Lớp Data Link

Lớp liên kết dữ liệu Data Link có thể được chia nhỏ thành hai lớp khác; Media Access Control (MAC) và Logical Link Control (LLC) MAC về cơ bản thiết lập sự nhận dạng của môi trường trên mạng thông qua địa chỉ MAC của

nó Địa chỉ MAC là địa chỉ được gán cho adapter mạng ở mức phần cứng Đây

là địa chỉ được sử dụng cuối cùng khi gửi và nhận các gói Lớp LLC điều khiển

sự đồng bộ khung và cung cấp một mức kiểm tra lỗi

3.2.2.7 Lớp Vật Lý

Lớp vật lý của mô hình OSI ám chỉ đến các chi tiết kỹ thuật của phần cứng Lớp vật lý định nghĩa các đặc điểm như định thời và điện áp Lớp này cũng định nghĩa các chi tiết kỹ thuật phần cứng được sử dụng bởi các adapter

mạng và bởi cáp mạng (thừa nhận rằng kết nối là kết nối dây) Để đơn giản hóa,lớp vật lý định nghĩa những gì để nó có thể truyền phát và nhận dữ liệu

Làm việc hai chiều

Cho đến lúc này, chúng ta đã thảo luận về mô hình OSI dưới dạng một ứng dụng cần truyền tải dữ liệu trên mạng Mô hình này cũng được sử dụng khi một máy tính nào đó nhận dữ liệu Khi dữ liệu được nhận, dữ liệu đó đi ngược trở lên từ lớp vật lý Các lớp còn lại làm việc để tách bỏ những gì đã được đóng góibên phía gửi và biến đổi dữ liệu về định dạng mà lớp ứng dụng có thể sử dụng được

3.2 Giới thiệu công nghệ mạng Cisco

Các doanh nghiệp lớn sẽ cần đến một cơ sở hạ tầng mạng có khả năng đáp ứng nhu cầu đa dạng của công ty Cisco đưa ra khuynh hướng về một hệ thống toàn cầu, tích hợp hướng đến xây dựng mạng lưới thông minh có thể giúp đổi mới doanh nghiệp của bạn cũng như đạt được hiệu quả hoạt động và lợi nhuận cao hơn

Một hệ thống mạng đơn giản dựa trên giao thức TCP/IP sử dụng classful32-bit IP address và distance vector Nhưng công nghệ thì liên tục thay đổi vàphát triển yêu cầu hệ thống mạng cần phải có sự thay đổi, thiết kế lại, hay xâydựng một mô hình mạng mới, việc tạo ra một hệ thống mạng với tính tuỳ biến cao

là cần thiết

Mở rộng là khả năng của hệ thống mạng đáp ứng yêu cầu ngày càng phát triểnvới trọng tâm là thiết kế lại và cài đặt lại hệ thống Nhưng việc phát triển của hệ

thống mạng thì rất nhanh nhưng thiết kế lại hệ thống là một điều không hề đơngiản Đáp ứng yêu cầu giá cả, và sự đơn giản trong quá trình quản trị và bảodưỡng hệ thống mạng Ngoài ra hệ thống mạng cần phải thiết lập sự ưu tiên chonhững ứng dụng khác nhau

Khi thiết kế hệ thống đáp ứng các yêu cầu phát triển trong tương lai ta cần phảihiểu được cấu trúc vật lý và các giao thức mạng để thiết kế triển khai một cáchhợp lý và tối ưu nhất

3.2.1 Thiết kế mô hình mạng ba lớp:

Với một hệ thống mạng được thiết kế có cấu trúc phân lớp nhằm tránh sự phức tạp hoá trong mạng, việc chia ra các lớp nhỏ giúp chúng ta nhóm những thiết bị, các giao thức kết nối, và tính năng cụ thể cho từng lớp một, giải quyết các sự cố một cách nhanh nhất liên quan trực tiếp tới một lớp nào đó Tối ưu hoá hệ thống mạng.

Cisco giới thiệu mô hình mạng ba lớp bao gồm:

Khái niệm mô hình mạng ba lớp dựa trên vai trò của từng lớp đó trong hệ thống mạng, nó cũng tương tự như khái niệm mô hình mạng OSI chia ra dựa trên vai tròcủa từng lớp trong việc truyền dữ liệu

Sử dụng mô hình mạng với cấu trúc phân lớp mang lại sự thuận tiện trong thiết

kế, cụ thể trong triển khai, dễ dàng để quản lý và giải quyết sự cố Và cũng đáp ứng được yêu cầu về tính mềm dẻo cho hệ thống mạng

Nhưng trong cùng một thời điểm rất khó có thể tách biệt hoàn toàn thiết bị này thiết làm việc tại lớp nào Nhưng mỗi lớp trong hệ thống mạng cũng có thể sẽ baogồm các thiết bị như: Router, Switch, Link, giải pháp tích hợp

Một vài hệ thống mạng có kết hợp các thành phần của hai lớp vào làm một để đápứng các yêu cầu riêng Dưới đây là vai trò của từng tầng trong mô hình mạng:

3.2.1.1 Core Layer

Lớp Core Layer cung cấp tối ưu hoá và độ tin cậy trong quá trình truyền tin với tốc độ rất cao (high speeds) Nhưng không phải lớp Core Layer đáp ứng toàn bộ quá trình truyền thông tin trên mạng, nhưng đó có thể được coi như đường đại lộ liên kết các đường nhỏ với nhau, đôi khi các giao tiếp chỉ thực hiện ở một lớp duynhất mà thôi Lớp Core Layer đáp ứng các vai trò sau:

Các thiết bị hoạt động trong lớp Core Layer bao gồm các dòng: 12000, 7500,

7200, and 7000 series routers

Core Layer (tầng lõi): đây là các thiết bị rất quan trọng, có tốc độ xử lý cao,

thường đảm nhiệm việc quản lý tập trung Ở tầng này hầu như không có bất kỳ một sự ràng buộc nào về các Rules của Firewall hoặc VLAN, chỉ đơn giản là Forward dữ liệu đi mà thôi Tầng Core này là mắc tiền nhất vì có nhiều tính năng với các Card mở rộng và Module

3.2.1.2 Distribution Layer

Distribution Layer làm việc ở giữa Core Layer và Access Layer, với vai trò đáp ứng một số giao tiếp giúp giảm tải cho lớp Core Layer trong quá trình truyền thông tin trong mạng Với tác dụng của lớp này cung cấp danh giới cho việc sử dụng access lists và các tính năng lọc khác để khi cần thiết sẽ gửi lên lớp core layer Tuy nhiên lớp này cũng là lớp định nghĩa các chính sách cho mạng Một chính sách có thể áp dụng các dạng cụ thể sau:

Sử dụng các chính sách để bảo mật mạng và chống các giao dịch không cần thiết

Nếu một hệ thống mạng bao gồm hai hoặc nhiều routing protocol, như Routing Information Protocol (RIP) và Interior Gateway Routing Protocol (IGRP), toàn

bộ các vấn đề trên làm việc tại lớp distribution

Các thiết bị hoạt động tại lớp Distribution layer: 4500, 4000, and 3600 series routers

Distribution Layer (tầng phân phối): bao gồm các thiết bị như ROUTER,

SWITCH LAYER 3, MULTI-SWITCH, FIREWALL ở tầng này, các thiết bị làm nhiệm vụ đưa lượng thông tin tới nơi cần thiết (tức là phân phối í mà) Tuy nhiên, các thiết bị như Switch layer 3 hoặc Multi-layer có tốc độ xử lý nhanh hơn Router và Firewall; thiết bị tầng này tiếp nhận các luồng dữ liệu từ Access Layer tới và chuyển ra tầng cao hơn hoặc ra ngoài

3.2.1.3 Access Layer

Mang đến sự kết nối của người dùng với các tài nguyên trên mạng hoặc các giao tiếp với lớp Distribution Access layer sử dụng Access lists để chống lại

Access Layer (tầng truy cập): các thiềt bị bao gồm HUB, SWITCH thông

thường, SWITCH có VLAN nói chung là các thiết bị từ Layer 2 của mô hình OSI trở xuống Các thiết bị này nói chung là tương đối rẻ hơn các thiết bị ở các Layer khác Đây là vị trí kết nối với hầu hết các thiết bị của End-user

Điểm cần chú ý ở tầng này thường thì các Multi-layer Switch hoặc Switch Layer 3 sẽ được nối với Server Farm để tăng tốc và các thiết bị này có khả năng

xử lý dữ liệu rất cao

Tăng cường cơ sở hạ tầng mạng

Các IP to lớn phát triển giao thông được thúc đẩy bởi phương tiện truyền thông mới ứng dụng và nhu cầu khách hàng tương tác nhiều hơn, cá nhân, di động và video .Cơ sở hạ tầng mạng của Cisco cung cấp giải pháp cho phép bạn

cá nhân hoá, dịch vụ thế hệ kế tiếp và phương tiện truyền thông kinh nghiệm ở bất cứ đâu, bất cứ lúc nào

Băng thông rộng

Cisco giải pháp băng thông rộng giúp cung cấp và nhanh chóng mở rộng tiếng nói bảo mật cao và khả năng mở rộng, video, và các dịch vụ dữ liệu

Cơ sở hạ tầng cáp: IP NGN của Cisco Cáp giải pháp giúp cải thiện hiệu quả,

thống nhất và MPEG video IP cơ sở hạ tầng, và tăng cường "triple-play" các dịch

vụ

Carrier Ethernet: IP NGN của Cisco Carrier Ethernet thiết kế tạo điều kiện "bất

kỳ play-" dịch vụ có thể cung cấp bất cứ nơi nào, với bất kỳ thiết bị

Carrier-Grade IPv6 Giải pháp: Cung cấp về tương lai của Internet Bảo quản,

chuẩn bị và phát triển thịnh vượng với CGv6 Core Networks Cisco IP / MPLS định tuyến lõi giải pháp cung cấp dịch vụ linh hoạt và khả năng mở rộng cho các thế hệ kinh doanh và dịch vụ tiêu dùng

Edge Networks : Cisco cung cấp một danh mục đầu tư toàn diện về các giải pháp

mạng cạnh đó cung cấp dịch vụ tối ưu hóa video và điện thoại di động

IPTV và truyền hình Telco

Sử dụng sức mạnh của Cisco giải pháp IPTV để cung cấp phương tiện truyềnthông cá nhân, xã hội, và kinh nghiệm tương tác

Quản lý mạng cho các nhà cung cấp dịch vụ

Công cụ quản lý mạng Cisco đẩy nhanh và đơn giản hóa việc triển khai hạ tầng mạng và cung cấp khả năng hiển thị thời gian thực vào mạng

Mạng quang

Cisco cung cấp một giải pháp quang học, linh hoạt cao năng lực nền tảng để thúc đẩy thế hệ tiếp theo nhà cung cấp dịch vụ Ethernet

Cơ sở hạ tầng an toàn : Cisco tính năng bảo mật và các dịch vụ cho cơ sở hạ

tầng mạng giúp đảm bảo mạng lưới liên tục và sẵn sàng phục vụ

Cisco IPTV

Giải pháp IPTV của Cisco cung cấp một cơ sở hạ tầng giao phương tiện truyền thông phong phú kéo dài từ headend cách tất cả các đến nhà khách hàng

Carrier-Grade IPv6 Giải pháp: Cung cấp về tương lai của Internet Preserve,

prepare and prosper with CGv6 Bảo quản, chuẩn bị và phát triển thịnh vượng vớiCGv6

Cisco Secure cao cơ sở hạ tầng: Cisco tính năng bảo mật và các dịch vụ cho cơ

sở hạ tầng mạng giúp đảm bảo mạng lưới liên tục và sẵn sàng phục vụ

Cisco mạng quang: Cisco cung cấp một giải pháp quang học, linh hoạt cao năng

lực nền tảng cho tăng tốc cung cấp dịch vụ thế hệ tiếp theo

Cisco Carrier Ethernet: IP NGN của Cisco Carrier Ethernet thiết kế tạo điều

kiện "bất kỳ play-" dịch vụ mà bạn có thể cung cấp bất cứ nơi nào, với bất kỳ thiết bị Cisco IP / MPLS định tuyến lõi giải pháp cung cấp dịch vụ linh hoạt và khả năng mở rộng cho các thế hệ kinh doanh và dịch vụ tiêu dùng

3.3 Giới thiệu các thiết bị trong hệ thống

3.3.1 Giới thiệu Core switch 4506

Ưu điểm Core switch 4506

+ Hiệu suất làm việc cao.

+Tính bảo mật cao.

+ Có nhiều kinh nghiệm khi sử dụng an toàn thông qua chuyển mạch

+ Tiết kiệm năng lượng trên cơ sở hạ tầng mạng của bạn

+ Có khả năng phục hồi, ảo hóa, tự động hóa,tiếp tục nâng cao dễ dàng sử dụngmạng

+ Khả năng mở rộng, chi phí cho các dịch vụ giảm,quyền sở hữu

+ Cung cấp các dự báo và khả năng mở rộng với hiệu suất cao, chất lượng độngtiên tiến

+ Với sự linh hoạt của cấu hình cho phép việc triển khai mạng không biên dễdàng

+ Tích hợp khả năng phục hồi các tính năng trong cả phần cứng và phần mềm tối

đa hóa khả dụng của mạng, giúp đảm bảo năng suất lao động, lợi nhuận, và thànhcông của khách hàng

+ Tập trung, sáng tạo, linh hoạt cho việc thiết kế hệ thống của nó, giúp đảm bảo

độ di chuyển với tốc độ dây IPv6 và 10 Gigabit Ethernet (GE)

+ Khi được triển khai thì tuổi thọ kéo dài, cung cấp các khả năng bảo vệ đặc biệtcho các tổ chức thuộc mọi quy mô, chi phí giảm, khắc phục những nhược điểmcủa Cisco Catalyst 4500

3.3.1.1 Cisco Catalyst 4500E Series và PDA Classic Line

Classic Catalyst 4500 cung cấp hai loại: 4500E Series và Classic Line

 Cisco Catalyst 4500E.

+ Cung cấp tăng khả năng chuyển đổi công suất của mỗi khe cắm

+ Có hai loại là : Dòng 47xx và dòng 46xx

o Dòng 47 xx hoạt động ở 48 Gb trên mỗi khe cắm chuyển đổi công suất

o Dòng 46 xx hoạt động ở 24 Gb trên mỗi khe cắm chuyển đổi công suất

 Classic Line

+ Cung cấp 6 gigabit cho việc chuyển đổi công suất trên mỗi khe cắm

Dòng Classic có thể được triển khai ở cả hai

o Với Cisco Catalyst 4500 Series giám sát động cơ

- Khả năng chuyển đổi mỗi khe cắm thẻ dòng cổ điển vẫn còn ở mức 6 Gb trên mỗi khe cắm

- Do các kiến trúc chuyển đổi tập trung của Cisco Catalyst 4500, các thẻ dòng cổ điển sẽ áp dụng tất cả các tính năng E-Series động cơ mới giám sát như

là tám hàng đợi trên mỗi cổng

o Với Cisco Catalyst 4500E Series công cụ giám sát

E-Series dòng card hoạt động ở cả 48 gigabits mỗi khe cắm hoặc 24 gigabits mỗi khe dựa vào việc chúng thuộc về 47xx hoặc 46xx của dòng thẻ

3.3.1.2 Sức mạnh của Ethernet trên Cisco Catalyst 4500E

+ Cisco Catalyst 4500E Series cung cấp thẻ trực tuyến, nguồn điện, và các phụkiện cần thiết để triển khai và hoạt động dựa trên các tiêu chuẩn Power overEthernet / Power over Ethernet Plus (PoE / PoEP)

+ PoE cung cấp điện trên 100m của tiêu chuẩn loại 3 / 5 không được che chở bởicáp xoắn đôi (UTP) khi một chuẩn IEEE 802.3af/at-phù hợp hoặc các tiêu chuẩncủa Cisco trang thiết bị được gắn vào / cổng PoE dòng thẻ PoEP

+ Không đòi hỏi sức mạnh của tường, thiết bị kèm theo như điện thoại IP, cáctrạm gốc không dây, máy quay video

+ Các thiết bị tương thích của chuẩn IEEE khác có thể sử dụng năng lượng cungcấp từ các Cisco Catalyst 4500 Series PoE dòng thẻ PoEP Khả năng này chophép mạng quản trị kiểm soát tập trung quyền lực và loại bỏ sự cần thiết phải càiđặt các cửa hàng trên trần nhà và khác ngoài cách nơi mà một thiết bị hỗ trợ cóthể được cài đặt

3.3.1.3 Cisco Catalyst 4500E Series và Gigabit Ethernet dòng PDA Classic

+ Cisco Catalyst 4500E Series 48-cổng Gigabit Ethernet dòng thẻ cung cấphiệu suất cao 10/100/1000 chuyển đổi

+ Có hai loại thẻ dòng E-Series dựa trên băng thông cho mỗi khe cắm:

o Thẻ dòng 46xx rằng ổ đĩa 24 Gbps trên mỗi khe cắm

+ Cisco Catalyst 4500 48-port 10/100/1000 E-Series dòng 47xx thẻ cung cấpcác tiêu chuẩn IEEE 802.3at PoEP hỗ trợ trên tất cả 48 cổng đồng thời Dòng thẻnày cũng hỗ trợ mã hóa tiêu chuẩn IEEE và Cisco 802.1AE TrustSec ™ trongphần cứng

+ Các Catalyst Cisco 4500 48-port 10/100/1000 E-Series thẻ dòng 46xx có sẵntrong ba phiên bản

3.3.1.4 Cisco Catalyst 4500E Series hỗ trợ 10 Gigabit Ethernet dòng card Fiber.

+ Cisco Catalyst 4500 12-port E-Series 10 Gigabit Ethernet dòng thẻ có thể

được triển khai cho hiệu suất cao và Ethernet mật độ cao 10 Gb tập hợp trong

khuôn viên trường và trong các mạng nhỏ và vừa làm nòng cốt; chuyển đổi + Cisco Catalyst 4500E Series 12-port 10 Gigabit Ethernet dòng card hỗ trợ tiêu chuẩn nhỏ

+ Các cổng có thể được sử dụng thay thế cho nhau như: Gigabit Ethernet và 10 Gigabit Ethernet hỗ trợ chuyển đổi theo từng giai đoạn từ Gigabit Ethernet

Gigabit Ethernet cho 10 Cisco Catalyst 4500E Series cổng 6-10 Gigabit Ethernet dòng thẻ có thể được triển khai, trong các mạng nhỏ và vừa như một chuyển mạch, hoặc cho hiệu năng cao dây lên đến 10 Gigabit Ethernet được yêu cầu + Các Cisco Catalyst 4500E Series 6-port 10 Gigabit Ethernet dòng card hỗ trợ quang học X2 tiêu chuẩn cũng như Cisco TwinGig mô-đun

- PoE IEEE 802.3af và Cisco prestandard (RJ-45 chỉ)

- Cung cấp đầy đủ các dòng chuyển mạch tốc độ gigabit trên tất cả các cổng

- Thiết kế để cung cấp cho khách hàng sự lựa chọn của RJ-45 có hoặc không

có PoE và SFP mà không chịu thêm chi phí

- Doanh nghiệp và thương mại: hiệu suất cao kết nối máy tính để bàn và máychủ trang trại; thiết kế để IP điện thoại, trạm gốc không dây, máy quay video, vàcác thiết bị tương thích IEEE khác

động

3.3.2 Giới thiệu Firewall ASA 5520

3.3.2.1 Giới thiệu về firewall:

Thuật ngữ FireWall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng

để ngăn chặn, hạn chế hoả hoạn Trong Công nghệ mạng thông tin, FireWall làmột kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy cập trái phépnhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệthông của một số thông tin khác không mong muốn

Internet FireWall là một tập hợp thiết bị (bao gồm phần cứng và phần

mềm) được đặt giữa mạng của một tổ chức, một công ty, hay một quốc gia(Intranet) và Internet

Trong một số trường hợp, Firewall có thể được thiết lập ở trong cùng mộtmạng nội bộ và cô lập các miền an toàn Ví dụ như mô hình dưới đây thể hiệnmột mạng Firewall để ngăn cách phòng máy, người sử dụng và Internet

3.3.2.2 Phân loại firewall:

Firewall được chia làm 2 loại, gồm Firewall cứng và Firewall mềm

Đặc điểm của Firewall cứng: Là những firewall được tích hợp trên Router

- Firewall cứng không thể kiểm tra được nột dung của gói tin

Ví dụ Firewall cứng: NAT (Network Address Translate)

Firewall mềm: Là những Firewall được cài đặt trên Server

Server Firewall

Đặc điểm của Firewall mềm:

- Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng

- Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng)

- Firewal mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa)

Ví dụ về Firewall mềm: Zone Alarm, Norton Firewall

3.3.2.3 Tai sao chúng ta cần Firewall?

Nếu máy tính của bạn không được bảo vệ, khi bạn kết nối Internet, tất cả cácgiao thông ra vào mạng đều được cho phép, vì thế hacker, trojan, virus có thể truycập và lấy cắp thông tin cá nhân cuả bạn trên máy tính Chúng có thể cài đặt cácđoạn mã để tấn công file dữ liệu trên máy tính Chúng có thể sử dụng máy tínhcuả bạn để tấn công một máy tính của gia đình hoặc doanh nghiệp khác kết nối

Internet Một firewall có thể giúp bạn thoát khỏi gói tin hiểm độc trước khi nóđến hệ thống của bạn

Chức năng chính của Firewall

Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet vàInternet Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong(Intranet) và mạng Internet Cụ thể là:

- Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet)

- Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vàoIntranet)

- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet

- Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập

- Kiểm soát người sử dụng và việc truy nhập của người sử dụng

- Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng

3.3.3 Firewall ASA 5520

Hình 1 Cisco ASA 5520 Series Adaptive Security Appliance

Cisco ASA 5520 Adaptive Security Appliance

Cisco ASA 5520 Adaptive Security Appliance cung cấp dịch vụ bảo vệ vớiActive / Active sẵn sàng cao và kết nối Ethernet Gigabit cho các mạng doanhnghiệp cỡ trung bình trong một thiết bị mô đun hiệu suất cao Với bốn giao diệnEthernet Gigabit và hỗ trợ lên tới 100 VLAN, các doanh nghiệp có thể dễ dàngtriển khai Cisco ASA 5520 thành nhiều khu vực trong phạm vi mạng của họ Cisco ASA 5520 Adaptive Security Appliance quy mô với các doanh nghiệp làyêu cầu an ninh mạng của họ phát triển, cung cấp bảo vệ đầu tư vững chắc Cácdoanh nghiệp có thể mở rộng SSL và IPsec VPN năng lực để hỗ trợ một số lượnglớn công nhân di động, từ xa các trang web, và các đối tác kinh doanh Lên đến

750 AnyConnect và / hoặc clientless VPN đồng nghiệp có thể được hỗ trợ trênmỗi Cisco ASA 5520 bằng cách cài đặt một khái quát hoặc một PremiumAnyConnect VPN giấy phép; 750 IPsec VPN đồng nghiệp được hỗ trợ trên nềntảng cơ bản

Năng lực và khả năng phục hồi VPN có thể được tăng lên bằng cách tận dụng củaCisco ASA 5520 tích hợp VPN clustering và khả năng cân bằng tải Các CiscoASA 5520 hỗ trợ lên đến 10 thiết bị trong mộtcluster, cung cấp tối đa là 7500AnyConnect và / hoặc clientless VPN đồng nghiệp hoặc 7500 IPsec VPN đồngnghiệp mỗi cụm Đối với kinh doanh liên tục và lập kế hoạch sự kiện, các ASA

5520 của Cisco cũng có thể hưởng lợi từ các VPN Cisco FLEX giấy phép, chophép các quản trị viên để phản ứng với hoặc kế hoạch cho nổ ngắn hạn của đồng

Premium VPN từ xa truy cập người dùng, cho đến một khoảng thời gian 2 tháng.Các tầng ứng dụng tiên tiến bảo mật và bảo vệ an ninh nội dung được cung cấpbởi Cisco ASA 5520 có thể được mở rộng bằng cách triển khai công tác phòngchống xâm nhập hiệu suất cao và khả năng giảm thiểu sâu của SSM AIP, hoặccác phần mềm độc hại bảo vệ toàn diện của SSM CSC Sử dụng tùy chọn bốicảnh khả năng bảo mật của Cisco ASA 5520 Adaptive Security Appliance, cácdoanh nghiệp có thể triển khai lên tới 20 bức tường lửa ảo trong một thiết bị đểcho phép kiểm soát compartmentalized của chính sách an ninh trên một cấp độphòng ban ảo hóa này tăng cường an ninh và làm giảm chi phí quản lý chung và

hỗ trợ trong khi củng cố các thiết bị bảo mật vào một thiết bị

● lên đến 375 Mbps với AIP SSM-20

● Lên đến 450 Mbps với AIP SSM-40

Bảng 3 liệt kê các tính năng của Cisco ASA 5520

Tính năng riêng được cấp phép

* Bao gồm hai với hệ thống cơ bản

** Có sẵn cho tính năng tường lửa đặt

Cisco ASA 5520 Series giúp các doanh nghiệp tăng hiệu quả và hiệu quả trongviệc bảo vệ mạng của họ và các ứng dụng trong khi cung cấp bảo vệ đầu tư đặcbiệt thông qua các yếu tố sau:

● Khả năng bảo mật thị trường đã được kiểm chứng - Cisco ASA 5500 Series

tích hợp nhiều tính năng đầy đủ, cao thực hiện dịch vụ bảo mật, bao gồm tườnglửa ứng dụng nhận biết, SSL và IPsec VPN, IPS với toàn cầu Sự tương quan vàđảm bảo phủ sóng, chống virus, chống spam, phishing, và lọc web dịch vụ Kếthợp với công nghệ danh tiếng thời gian thực, các công nghệ này mang lại hiệuquả cao và ứng dụng mạng lớp an ninh, dựa trên người dùng kiểm soát truy cập,giảm thiểu sâu, bảo vệ phần mềm độc hại, cải thiện năng suất lao động, tin nhắntức thời và kiểm soát peer-to-peer, và người dùng từ xa an toàn và kết nối trangweb Các chỉ IPS với thị trường công nghệ danh tiếng hàng đầu thế giới, CiscoIPS với toàn tương quan cung cấp hai lần hiệu quả của di sản IPS và bao gồm bảohiểm đảm bảo cho hòa bình tăng cường tâm Cung cấp liên tục của khách hàng vàclientless truy cập cho một loạt các nền tảng máy tính để bàn và di động, CiscoASA 5585-X cung cấp luôn luôn-về di động an toàn bảo mật web tích hợp và IPScho thực thi chính sách và bảo vệ mối đe dọa

● Mở rộng dịch vụ tích hợp kiến trúc - Cisco ASA 5500 Series cung cấp cho cácdoanh nghiệp mạnh, thích ứng bảo vệ từ môi trường đe dọa phát triển nhanhthông qua sự kết hợp độc đáo của các phần cứng và phần mềm mở rộng vàModular Khung chính sách mạnh mẽ của nó (MPF) Việc mở rộng sáng tạo đathiết kế và kiến trúc phần mềm của Cisco 5500 Series ASA cho phép doanhnghiệp dễ dàng cài đặt các dịch vụ an ninh bổ sung hiệu suất cao thông qua anninh xử lý dịch vụ (SSPs), an ninh dịch vụ mô-đun (SSMs) và bảo mật dịch vụthẻ (SSCs) Điều này cung cấp cho các doanh nghiệp có nợ đầu tư bảo vệ, trongkhi cho phép họ mở rộng dịch vụ bảo mật thông tin về Cisco ASA 5500 của họSeries là của họ an toàn và nhu cầu phát triển Tất cả các dịch vụ này có thể dễdàng quản lý thông qua mạnh mẽ của Cisco Modular Policy Framework, chophép các doanh nghiệp để tạo ra an ninh tùy biến rất cao chính sách trong khi làmcho nó đơn giản để thêm an ninh mới và các dịch vụ mạng vào các chính sáchhiện có của họ

● Giảm chi phí triển khai và hoạt động - Cisco ASA 5500 Series cho phép tiêuchuẩn hóa trên t một nền tảng để giảm tổng chi phí hoạt động của an ninh Mộtmôi trường phổ biến cho các cấu hình đơn giản hoá việc quản lý và giảm chi phíđào tạo cho nhân viên, trong khi các nền tảng phần cứng thông thường của loạtbài này làm giảm chi phí tối thiếu hiệu quả bổ sung được thực hiện bằng cáchtriển khai khả năng tích hợp, obviating sự cần thiết phải thiết kế phức tạp cầnthiết để kết nối các giải pháp độc lập Toàn diện về quản lý giao diện - CiscoAdaptive Security đồ họa Device Manager (ASDM), một giao diện dòng lệnhtoàn diện (CLI), syslog tiết, và Simple Network Management Protocol (SNMP)

hỗ trợ vòng ra một phong phú bổ sung cho các tùy chọn quản lý Nhiều đơn vịtriển khai được nhiều lợi ích từ Cisco Security Manager, một nền tảng có khảnăng quản lý triển khai phân phối của hàng trăm thiết bị

3.3.3 Giới thiệu Router 2811

3.3.3.1 Router

3.3.3.1.1 Các thành phần bên trong router

Cấu trúc chính xác của router rất khác nhau tuỳ theo từng phiên bản router Trongphần này chỉ giới thiệu về cá c thành phần cơ bản của router

CPU - Đơn vị xử lý trung tâm: thực thi các câu lệnh của hệ điều hành để thực hiện

các nhiệm vụ sau: khởi động hệ thống, định tuyến, điều khiển các cổng giao tiếpmạng CPU là một bộ giao tiếp mạng CPU là một bộ vi xử lý Trong các router lớn

có thể có nhiều CPU

RAM: Được sử dụng để lưu bảng định tuyến, cung cấp bộ nhớ cho chuyển mạch

nhanh, chạy tập tin cấu hình và cung cấp hàng đợi cho các gói dữ liệu Trong đa số router, hệ điều hành Cisco IOS chạy trên RAM RAM thường được chia thành haiphần: phần bộ nhớ xử lý chính và phần bộ nhớ chia sẻ xuất/nhập Phần bộ nhớ chia

sẻ xuất/nhập được chia cho các cổng giao tiếp làm nơi lưu trữ tạm các gói dữliệu.Toàn bộ nội dung trên RAM sẽ bị xoá khi tắt điện Thông thường, RAM trên

router là loại RAM động (DRAM - Dynamic RAM) và có thể nâng thêm RAMbằng cách gắn thêm DIMM (Dual In-Line Memory Module)

Flash: Bộ nhớ Flash được sử dụng để lưu toàn bộ phần mềm hệ điều hành Cisco

IOS Mặc định là router tìm IOS của nó trong flash Bạn có thể nâng cấp hệ điều hành bằng cách chép phiên bản mới hơn vào flash Phần mềm IOS có thể ở dưới dạng nén hoặc không nén Đối với hầu hết các router, IOS được chép lên RAM trong quá trình khởi động router Còn có một số router thì IOS có thể chạy trực tiếptrên flash mà không cần chép lên RAM Bạn có thể gắn thêm hoặc thay thế cácthanh SIMM hay card PCMCIA để nâng dung lượng flash

NVRAM (Non-volative Random-access Memory): Là bộ nhớ RAM không bị mất

thông tin, được sử dụng để lưu tập tin cấu hình Trong một số thiết bị có NVRAM

và flash riêng, NVRAM được thực thi nhờ flash Trong một số thiết bị, flash vàNVRAM là cùng một bộ nhớ Trong cả hai trường hợp, nội dung của NVRAMvẫn được lưu giữ khi tắt điện

Bus: Phần lớn các router đều có bus hệ thống và CPU bus B us hệ thống được sử

dụng để thông tin liên lạc giữa CPU với các cổng giao tiếp và các khe mở rộng.Loại bus này vận chuyển dữ liệu và các câu lệnh đi và đến các địa chỉ của ô nhớtương ứng

ROM (Read Only Memory): Là nơi lưu đoạn mã của chương trình kiểm tra khi

khởi động Nhiệm vụ chính của ROM là kiểm tra phần cứng của router động, sau

đó chép phần mềm Cisco phiên bản IOS cũ dùng làm nguồn khởi động dự phòng.Các cổng giao tiếp: Là nơi router kết nối với bên ngoài Router có 3 loại cổng:LAN, WAN và console/AUX Cổng giao tiếp LAN có thể gắn cố định trên routerhoặc dưới dạng card rời

Cổng giao tiếp WAN có thể là cổng Serial, ISDN, cổng tích hợp đơn vị dịch vụkênh CSU (Chanel Service Unit) Tương tự như cổng giao tiếp LAN, các cổng giaotiếp WAN cũng có chip điều khiển đặc biệt Cổng giao tiếp WAN có thể định trênrouter hoặc ở dạ ng card rời

Router là một loại máy tính đặc biệt Nó cũng có các thành phần cơ bản giống như

máy tính: CPU, bộ nhớ, system bus và các cổng giao tiếp Tuy nhiên router được kết là để thực hiện một số chức năng đặc biệt Ví dụ: router được thiết kế là để thực hiện một số chức năng đặc biệt Ví dụ: router kết nối hai hệ thống mạng với nhau

và cho phép hai hệ thống này có thể liên lạc với nhau, ngoài ra router còn thực hiện việc chọn lự a đường đi tốt nhất cho dữ liệu

Nguồn điện: Cung cấp điện cho các thành phần của router, một số router lớn

có thể sử dụng nhiều bộ nguồn hoặc nhiều card nguồn Còn ở một số router nhỏ, nguồn điện có thể là bộ phận nằm ngoài router

Hình 4: Sơ đồ khối các thành phần trên mạch Router

Hình 5: Hình ảnh bên ngoài Router.

Hình 6: Hình ảnh bên trong Router

3.3.3.2 chức năng như sau

• Lưu bảng định tuyến

• Lưu bảng ARP

• Có vùng bộ nhớ chuyển mạch nhanh

• Cung cấp vùng nhớ đệm cho các gói dữ liệu

• Duy trì hàng đợi cho các gói dữ liệu

• Cung cấp bộ nhớ tạm thời cho tập tin cấu hình của router khi

3.3.3.3 Router 2811

Tổng quan sản phẩm

Cisco 2811 Integrated Services Router là một phần của dịch vụ tích hợp Cisco

2800 Series Router mà bổ sung cho dịch vụ tích hợp Router Danh mục đầu tư.Cisco 2811 Integrated Services Router cung cấp các hỗ trợ sau đây:

* Dây tốc độ hiệu suất cho các dịch vụ đồng thời như an ninh và tiếng nói, và dịch vụ tiên tiến cho nhiều mức giá T1/E1/xDSL WAN

* Tăng cường đầu tư bảo vệ thông qua tăng hiệu suất và mô đun

* Tăng cường đầu tư bảo vệ thông qua các mô đun tăng

* Tăng mật độ thông qua tốc độ cao WAN Interface Card Slots (bốn)

* Enhanced Network Module Slot

* Hỗ trợ cho hơn 90 module hiện có và mới

* Hỗ trợ cho phần lớn các hiện mục tiêu, NMS, WICs, VWICs, và VIC

* Hai tích hợp cổng Ethernet 10/100 Fast

* Tùy chọn chuyển mạch lớp 2 hỗ trợ nguồn qua mạng Ethernet (PoE) (là một tùychọn)

* An ninh

o-board mã hóa

o Hỗ trợ lên đến 1500 đường hầm VPN với các Module AIM-EPII-PLUS

o Antivirus quốc phòng hỗ trợ thông qua mạng Admission Control (NAC)

o ngăn chặn xâm nhập cũng như Cisco IOS hỗ trợ tường lửa trạng thái và nhiều hơn nữa tính năng bảo mật cần thiết

* Voice

o Analog và cuộc gọi thoại kỹ thuật số hỗ trợ

o Tùy chọn hộp thư thoại hỗ trợ

o Tùy chọn hỗ trợ cho Cisco CallManager Express (Cisco CME) để xử lý cuộc gọi địa phương trong kinh doanh một mình đứng lên to36 Điện thoại IP

o Tùy chọn hỗ trợ cho Survivable Remote Site Telephony hỗ trợ cho xử lý cuộc gọi địa phương tại các văn phòng chi nhánh doanh nghiệp nhỏ cho tới 36 điện thoại IP

Giao tiếp LAN

10/100/1000

Khe cắm

Khe cắm Interface Card 4 slots, each slot can support HWIC, WIC, VIC, or VWIC type modules

Giao thức bảo mật

With the Cisco IOS® Software Advanced Security feature set, the Cisco 2800 provides a robust array of common security features such as a Cisco IOS

Software Firewall, intrusion prevention, IPSec VPN, Secure Socket Layer (SSL) VPN, advanced application

Khe cắm Onboard AIM

Khe cắm PVDM (DSP) 2

The Cisco 2811 Cryptographic Module Physical Characteristi

Các bộ định tuyến Cisco 2811 là một module đa chip mật mã độc router có một

2811 có một giao diện điều khiển cổng, một cổng phụ, hai Universal Serial Bus (USB) cổng, bốn tốc độ cao giao diện WAN card (HWIC) khe, two10/100

Gigabit Ethernet cổng RJ45, một nâng cao Network Module (ENM) khe, và một

ổ đĩa Compact Flash (CF) Các router Cisco 2811 hỗ trợ một chiều rộng mạng lưới đơn module, bốn đơn chiều rộng hoặc hai đôi chiều rộng HWICs, hai bên tiến tích hợp mô-đun (AIMS) 1, Hai bên trong gói dữ liệu thoại mô-đun

(PVDMs), hai nhanh chóng Ethernet kết nối, và 16 cổng của sản lượng điện thoại

IP hiển thị bảng điều khiển phía sau Mặt trước có 4 đèn LED rằng tình trạng đầu

ra dữ liệu về hệ thống điện phụ trợ điện, hoạt động hệ thống, và đèn flash nhỏ gọn

tình trạng bận rộn Các bảng điều khiển trở lại bao gồm 12 đèn LED:

+, Ethernet hoạt động hai đèn LED, hai đèn LED kép, hai đèn LED tốc độ, hai đèn LED liên kết, hai PVDM đèn LED, một hai AIM đèn LED.Có hai cổng USB nhưng họ không được hỗ trợ hiện nay Các cảng sẽ được hỗ trợ trong tương lai cho thẻ thông minh hoặc đầu đọc thẻ

Thẻ CF có lưu trữ các hình ảnh IOS được xem là một module bộ nhớ trong, bởi vì các hình ảnh IOS lưu trữ trong thẻ có thể không được sửa đổi hoặc nâng cấp Các thẻ chính nó không bao giờ phải được loại bỏ khỏi ổ đĩa Tamper dấu rõ ràng sẽ được đặt trong thẻ có trong ổ

3.3.4 Giới thiệu Acess switch 2960

3.3.4.1 Swith 2960

3.3.4.1.1Một số tính năng của 2960

 2960-S và 2960 chuyển mạch là những lớp hàng đầu, cung cấp dễ dàng

trong sử dụng, hoạt động kinh doanh bảo mật cao, tính bền vững được cải thiện,

và một mạng không biên giới kinh nghiệm

 2960-S bao gồm FlexStack chuyển xếp chồng khả năng với 1 và 10 kết nối Gigabit, và nguồn qua Ethernet Plus

 Cisco 2960 Switch kết nối nhanh chóng cung cấp truy cập Ethernet

 Cisco 2960-S và 2960 Series được truy cập cố định cấu hình thiết bị chuyển mạch thiết kế cho các doanh nghiệp, thị trường cỡ vừa, và mạng lưới chi nhánh văn phòng để cung cấp thấp hơn tổng chi phí sở hữu

Cisco Catalyst 2960-S Series với phần mềm LAN Base:

● 10 và 1 đường lên Ethernet Gigabit linh hoạt với Small Form-Factor Pluggable Plus (SFP +), cung cấp cho doanh nghiệp liên tục và nhanh chóng chuyển tiếp đến 10 Gigabit Ethernet

● 24 hoặc 48 cổng của máy tính để bàn kết nối Gigabit Ethernet

● Cisco FlexStack xếp module với 40 Gbps, cho phép dễ dàng hoạt động với duy nhấtcấu hình và nâng cấp chuyển đổi đơn giản

● PoE + với lên đến 30W cho mỗi cổng cho phép bạn hỗ trợ PoE mới nhất + có khả năng thiết bị

● Power cung cấp, với 740W hoặc 370W nguồn điện cố định cho PoE + thiết bị chuyển mạch có sẵn

● USB lưu trữ để phân phối tập tin, sao lưu, và các hoạt động đơn giản

● Một loạt các tính năng phần mềm để cung cấp một cách dễ dàng hoạt động, độ

an toàn cao hoạt động kinh doanh,tính bền vững, và một mạng lưới kinh nghiệm biên giới

● TNHH đời phần cứng bảo hành, bao gồm thay thế tiếp theo-kinh doanh-ngày với dịch vụ 90-ngày và hỗ trợ của Cisco Catalyst 2960 Series tắc với LAN cung cấp phần mềm cơ bản như sau:

● Dual-mục đích đường lên cho Gigabit Ethernet uplink linh hoạt, cho phép sử dụng hoặc là một đường lên đồng hoặc cáp quang, mỗi mục đích kép đường lên cổng có một cổng Ethernet 10/100/1000 và dựa trên một cổng SFP Gigabit

Ethernet, với một trong những cảng hoạt động tại một thời

● 24 hoặc 48 cổng kết nối Fast Ethernet máy tính để bàn

● PoE cấu hình lên đến 15,4 W trên mỗi cổng

● Một loạt các tính năng phần mềm để cung cấp một cách dễ dàng hoạt động, độ

an toàn cao hoạt động kinh doanh,tính bền vững, và mạng một kinh nghiệm biên giới

● Giới hạn bảo hành suốt đời phần cứng

3.3.4.2 Power over Ethernet Plus

Ngoài 802.3af PoE, Cisco Catalyst 2960-S Series hỗ trợ nguồn qua mạng Ethernet Plus (PoE +)

(IEEE 802.3at tiêu chuẩn), cung cấp lên đến 30W năng lượng trên mỗi cổng Cisco Catalyst 2960-S và 2960 Series

Thiết bị chuyển mạch có thể cung cấp một chi phí thấp hơn tổng số của

quyền sở hữu cho các triển khai có kết hợp điện thoại IP Cisco, Cisco Aironet ® mạng LAN không dây (WLAN) các điểm truy cập, hoặc bất kỳ thiết bị IEEE 802.3af cuối tương thích PoE loại bỏ sự cần thiết phải thành sức mạnh để mỗi PoE-kích hoạt thiết bị và loại bỏ các chi phí cho hệ thống cáp điện bổ sung và cácmạch điện sẽ nếu không cần thiết trong điện thoại IP và triển khai mạng WLAN

3.3.4.3 Intelligent Power Over Ethernet quản lý

Cisco Catalyst 2960-S PoE mô hình hỗ trợ PoE mới nhất + thiết bị bao gồm điện thoại IP Cisco và Cisco

Các điểm truy cập Aironet WLAN cung cấp lên đến 30W năng lượng trên mỗi cổng, cũng như bất kỳ cuối theo chuẩn IEEE 802.3af,thiết bị

● Công suất tiêu thụ mỗi Port lệnh cho phép khách hàng xác định công suất tối đađặt trên một

IP hoặc các điểm truy cập hơn những gì được cung cấp bởi

IEEE phân loại

● Các MIB PoE cung cấp khả năng chủ động vào sử dụng quyền lực và cho phép khách hàng thiết lập khác nhau cấp điện ngưỡng

Cisco Catalyst 2960-S và 2960 Series với phần mềm cơ sở LAN Switch hiệu quả và khả năng mở rộng thông tin

Hiệu suất và quy mô số cho tất cả các mô hình Switch

Chuyển tiếp băng

Tỷ lệ chuyển tiếp: 64-Byte gói Cisco Catalyst 2960-S

Catalyst 2960 Series chuyển mạch cung cấp cho quản lý mạng lưới rộng lớn bằngcách sử dụng quản lý SNMP nền tảng như CiscoWorks cho chuyển mạch

Internetworks Quản lý với CiscoWorks, thiết bị chuyển mạch Cisco Catalyst có thể được cấu hình và quản lý để cung cấp các end-to-end thiết bị, VLAN, giao thông, và quản lý chính sách Ngoài ra, quản lý tài nguyên CiscoWorks

Essentials, một Web-based công cụ quản lý, giúp cho phép thu thập hàng tồn kho

tự động, triển khai phần mềm, dễ dàng theo dõi các thay đổi mạng, quan điểm vào thiết bị sẵn sàng, và cô lập nhanh chóng các điều kiện lỗi

3.4 Các bước để cấu hình thiết bị cisco:

3.4.1 Chuẩn cáp kết nối

3.4.1.1 Cáp đôi dây xoắn (Twisted pair cable)

Cáp đôi dây xoắn là cáp gồm hai dây đồng xoắn để tránh gây nhiễu cho

các đôi dây khác, có thể kéo dài tới vài km mà không cần khuyếch đại Giải tần trên cáp dây xoắn đạt khoảng 300–4000Hz, tốc độ truyền đạt vài kbps đến vài Mbps Cáp xoắn có hai loại:

- Loại có bọc kim loại để tăng cường chống nhiễu gọi là STP ( Shield TwistedPair) Loại này trong vỏ bọc kim có thể có nhiều đôi dây Về lý thuyết thì tốc

độ truyền có thể đạt 500 Mb/s nhưng thực tế thấp hơn rất nhiều (chỉ đạt

155 Mbps với cáp dài 100 m)

- Loại không bọc kim gọi là UTP (UnShield Twisted Pair), chất lượng kém hơn STP nhưng rất rẻ Cáp UTP được chia làm 5 hạng tuỳ theo tốc độ truyền Cáp loại 3 dùng cho điện thoại Cáp loại 5 có thể truyền với tốc độ 100Mb/s rất hay dùng trong các mạng cục bộ vì vừa rẻ vừa tiện sử dụng Cáp này có 4 đôi dây xoắn nằm trong cùng một vỏ bọc

3.4.1.2 Cáp đồng trục (Coaxial cable) băng tần cơ sở

Là cáp mà hai dây của nó có lõi lồng nhau, lõi ngoài là lưới kim loại , Khả

năng chống nhiễu rất tốt nên có thể sử dụng với chiều dài từ vài trăm met đến vài km Có hai loại được dùng nhiều là loại có trở kháng 50 ohm và loại có trởkháng 75 ohm

3.4.1.3 Cáp đồng trục (Coaxial cable) băng tần cơ sở

Là cáp mà hai dây của nó có lõi lồng nhau, lõi ngoài là lưới kim loại , Khả năng chống nhiễu rất tốt nên có thể sử dụng với chiều dài từ vài trăm met đến vài km Có hai loại được dùng nhiều là loại có trở kháng 50 ohm và loại có trởkháng 75 ohm

Hình 1.7 Cáp đồng trục

Dải thông của cáp này còn phụ thuộc vào chiều dài của cáp Với khoảng cách1

km có thể đạt tốc độ truyền từ 1– 2 Gbps Cáp đồng trục băng tần cơ sở

thường dùng cho các mạng cục bộ Có thể nối cáp bằng các đầu nối theo chuẩn BNC có hình chữ T ở VN người ta hay gọi cáp này là cáp gầy do dịch

từ tên trong tiếng Anh là ‘Thin Ethernet”

Một loại cáp khác có tên là “Thick Ethernet” mà ta gọi là cáp béo Loại này thường có màu vàng Người ta không nối cáp bằng các đầu nối chữ T như cáp gầy mà nối qua các kẹp bấm vào dây Cứ 2m5 lại có đánh dấu để nối dây (nếu cần) Từ kẹp đó người ta gắn các tranceiver rồi nối vào máy tính

3.4.1.4 Cáp đồng trục băng rộng (Broadband Coaxial Cable)

Đây là loại cáp theo tiêu chuẩn truyền hình (thường dùng trong truyền hình cáp) có dải thông từ 4 – 300 Khz trên chiều dài 100 km Thuật ngữ “băng rộng” vốn là thuật ngữ của ngành truyền hình còn trong ngành truyền số liệu điều này chỉ có nghĩa là cáp loại này cho phép truyền thông tin tuơng tự

(analog) mà thôi Các hệ thống dựa trên cáp đồng trục băng rộng có thể

truyền song song nhiều kênh Việc khuyếch đại tín hiệu chống suy hao có thể làm theokiểu khuyếch đại tín hiệu tương tự (analog) Để truyền thông cho máytính cần chuyển tín hiệu số thành tín hiệu tương tự

3.4.1.5 Cáp quang

Dùng để truyền các xung ánh sáng trong lòng một sợi thuỷ tinh phản xạ toàn phần Môi trường cáp quang rất lý tưởng vì

- Xung ánh sáng có thể đi hàng trăm km mà không giảm cuờng độ sáng

- Dải thông rất cao vì tần số ánh sáng dùng đối với cáp quang cỡ khoảng

1014 –1016

- An toàn và bí mật, không bị nhiễu điện từ

Chỉ có hai nhược điểm là khó nối dây và giá thành cao

Cáp quang cũng có hai loại

- Loại đa mode (multimode fiber): khi góc tới thành dây dẫn lớn đến một mức nào đó thì có hiện tượng phản xạ toàn phần Các cáp đa mode có đường kính khoảng 50 µ

- Loại đơn mode (singlemode fiber): khi đường kính dây dẫn bằng bước sóng thì cáp quang giống như một ống dẫn sóng, không có hiện tượng phản xạ nhưng chỉ cho một tia đi Loại này có đường kính khoản 8µm và phải dung diode laser Cáp quang đa mode có thể cho phép truyền xa tới hàng trăm km

mà không cần phải khuyếch đại.

3.4.2 Các thiết bị ghép nối

3.4.2.1 Bộ chuyển tiếp (REPEATER )

Nhiệm vụ của các repeater là hồi phục tín hiệu để có thể truyền tiếp cho các trạm khác bao gồm cả công tác khuyếch đại tín hiệu, điều chỉnh tín hiệu

3.4.2.2 Các bộ tập trung (Concentrator hay HUB)

HUB là một loại thiết bị có nhiều đầu cắm các đầu cáp mạng Người ta sử

dụng HUB để nối mạng theo kiểu hình sao Ưu điểm của kiểu nối này là tăng

độ độc lập của các máy khi một máy bị sự cố dây dẫn

Có loại HUB thụ động (passive HUB) là HUB chỉ đảm bảo chức năng kết nối hoàn toàn không xử lý lại tín hiệu HUB chủ động (active HUB) là HUB có chức năng khuyếch đại tín hiệu để chống suy hao HUB thông minh

(intelligent HUB) là HUB chủ động nhưng có khả năng tạo ra các gói tin mang tin tức về hoạt động của mình và gửi lên mạng để người quản trị mạng

có thể thực hiện quản trị tự động

3.4.2.3 Switching Hub (hay còn gọi tắt là switch)