Đồ án thiết kế mạng

Đồ án thiết kế mạng

Mục Lục

Contents

Mục Lục 1

Contents 1

Thiết bị có sẵn ở Trụ sở chính : 4

Chi nhánh 1 và chi nhánh 2 vừa được xây dựng mới hoàn toàn 5

Mô hình mạng toàn nhà chính gồm các thiết bị chính được tập trung ở phòng server và IT Ngoài ra để đảm bảo mức tín hiệu giữa các thiết bị có khoảng cách hơn 100m, ta dùng các switch 24 và 48 port ở các tầng 7

Switch ở các tầng lầu có port Uplink có tốc độ 1000MB/s dùng để nối với switch trung tâm để đảm bảo tốc độ truyền dữ liệu 7

Router: Hệ thống bao gồm 2 router, 1 kết nối mạng WAN và 1 Router kết nối tới 2 chi nhánh .7

Hệ thống các máy chủ được đặt tại phòng server có máy lạnh và hệ thống dự phòng UPS, máy chủ Database cấu hình mạnh để đáp ứng nhu cầu xử lý và đồng bộ dữ liệu từ chi nhánh Database được bảo vệ bằng Server Backup 7

Hệ thống Firewall: Firewall gate là sự kết hợp của phần mềm bảo mật chuyên dụng của hãng checkpoint VPN-1 UTM chạy trên phần cứng chuyên dụng crossbeam 6, IPS để bảo vệ vùng CSDL : database server, App server , DHCP server … Web firewall để bảo vệ vùng DMZ (chứa web và mail server) và hệ thống Scan virus chuyên dụng của hãng Trend Micro đặt trước Firewall gateway 7

Các thiết bị được lắp đặt tập trung tại phòng server như chi nhánh chính 8

Router: 1 Router kết nối chi nhánh chính và truy cập WAN 8

Firewall: Firewall gate cho toàn bộ hệ thống 8

Các thiết bị được lắp đặt tập trung tại phòng server như chi nhánh chính 9

Router: 1 Router kết nối chi nhánh chính và truy cập WAN 9

Firewall: Firewall gate là sự kết hợp của phần mềm VPN-1 UTM của hãng checkpoint chạy trên phần cứng chuyên dụng crossbeam C6 – hệ thống IPS cho Web, Mail Server 9

3 Quy hoạch địa chỉ IP cho hệ thống mạng và thiết bị 25

Hệ thống Firewall gateway sẽ kiểm soát luồng dữ liệu đi qua bao gồm: Truy cập từ ngoài Internet vào vùng dịch vụ trực tuyến, người dùng ở mạng LAN truy cập Internet qua đường LeasedLine, ADSL hoặc Wireless, người dùng ở mạng LAN truy cập vào vùng Server ứng dụng và cơ sở dữ liệu Firewall sẽ kiểm soát, xác thực và ngăn chặn những truy cập không hợp

lệ, những tấn công của hacker từ ngoài Internet hoặc trực tiếp xuất phát từ bên trong mạng vào các vùng servers .46Với kinh nghiệm triển khai của công ty Misoft, kết hợp với sự phát triển của công nghệ, chúng tôi đề xuất hệ thống Firewall sẽ là sự kết hợp giữa Firewall VPN1- UTM của hãng Check Point chạy trên phần cứng chuyên dụng của hãng Crossbeam System Check Point Firewall VPN1-UTM hội đủ các yêu tố bảo vệ mạng bao gồm các tính năng Firewall, AntiVirus, IPS

và VPN server chỉ trong một sản phẩm Check Point Firewall được cài trên một cặp thiết bị an ninh tích hợp chuyên dụng của hãng Crossbeam System chạy clustering ở chế độ HA (High availability) đảm bảo tính sẵn sàng cao và hiệu năng hoạt động của toàn mạng .47Với mức độ quan trọng như trên, chúng tôi đề xuất triển khai thiết bị phòng chống xâm nhập Proventia Network IPS chuyên dụng của hãng Internet Security Systems –ISS Thiết bị này cho phép ngăn chặn trước các cuộc tấn công chưa biết cũng như các cuộc tấn công đã biết như DoS, trojan, peer to peer download, backdoor, malicious http và file đính kèm e-mail mà không ảnh hưởng đến hoạt động của mạng Đặc biệt, thiết bị Proventia Network IPS có khả năng phân tích và nhận dạng các giao thức được sử dụng trong VoIP như SIP, MGCP, H.323, H.225, H.245, Q.931, T.120 và SCCP để xác định các cuộc tấn công 48Thiết bị này sẽ được đặt trước vùng Server farm bảo vệ cho cả vùng, kiểm soát toàn bộ các yêu cầu truy cập dữ liệu cả ở mức Network và mức ứng dụng trên các Server Cơ sở dữ liệu về các mẫu tấn công (attacking Signatures) sẽ luôn được hệ thống update từ Internet Security Systems X-Force theo thời gian thực, đảm bảo ngăn chặn tối đa các tấn công có thể xảy ra hiện nay Proventia Network IPS có tính năng Fail-open và hỗ trợ cấu hình dạng

Active/Active, Active/Passive do vậy đảm bảo tính sẵn sàng cao của toàn mạng 48Ngăn chặn tấn công của Virus tại Gateway và trong các vùng mạng 49Các con đường mà virus có thể tấn công và bùng phát vào mạng của công ty chứng khoán tương đối đa dạng, xuất phát từ Internet, từ người dùng bên trong, bên ngoài mạng và đặc biệt qua email Để có một hệ thống phòng chống có hiệu quả cao thì cần phòng và chống Virus và Spyware tại cả 4 lớp mạng: gateway, mailserver, server, PCs Hệ thống này phải được quản lý tập trung, thống nhất và luôn luôn được cập nhật mẫu Virus và Spyware từ những trung tâm phòng chống Virus và Spyware lớn trên thế giới Ngoài ra cần phải có một chính sách bảo mật chung và kết hợp với các giải pháp bảo mật khác để phòng chống Virus và Spyware hiệu quả hơn 49Giải pháp tổng thể được chúng tôi đề xuất dựa trên công nghệ và sản phẩm phòng chống virus của hãng Trend Micro Các sản phẩm bao gồm: 50

Đối với ngăn chặn và phòng chống AntiVirus tại Internet Gateway, chúng tôi sử dụng thiết bị chuyên dụng InterScan Gateway Appliance (ISGA) của hãng Trend Micro Đây là thiết bị quét virus, spyware, phishing tại Internet Gateway trên các luồng: SMTP, POP3, HTTP, FTP và đặc biệt đảm bảo được tốc độ tại điểm Gateway mà hầu hết các traffice trao đổi thông tin giữa

mạng trong và mạng ngoài đều phải đi qua .50

Các web site thông tin về các sản phẩm bảo mật được đề xuất trong giải pháp tổng thể về an toàn thông tin cho các công ty chứng khoán: 51

Các sản phẩm của hệ thống Firewall/VPN 51

Các sản phẩm của hệ thống phòng chống xâm nhập (IPS) 51

Các sản phẩm của hệ thống phòng chống Virus 51

I Cơ sở hạ tầng và yêu cầu của

công ty ABC

1 Cơ sở hạ tầng:

 Trụ sở chính : Tòa nhà 3 lầu với diện tích mặt sàn 2400m2(60x40) , đặt ở Quận Thanh Khê

 Chi nhánh 1: Gồm một tòa nhà 2 lầu và 1 tầng hầm, với diện tích mặt sàn

600m2(30x20), đặt ở Quận Liên Chiểu

o Chi nhánh 2: Tòa nhà 4 lầu , diện tích mặt sàn 4000m2 Đặt Quận Ngũ Hành Sơn

o Cơ sở vật chất đã có sẵn của trụ sở chính:

H1.2 Mô hình mạng sẵn có của công ty ABC

Thiết bị có sẵn ở Trụ sở chính :

PC PV-D5701 20

Màn hình LCD SAMSUNG E1920NX Wide 20

máy in laser trắng đen HP LaserJet P1102 5

SW 24 port l2 Switch Cisco WS-CE500-24TT 2

DataBase Server IBM® System® x3550M3 (7944 - A2A) 1

• Chi nhánh 1 và chi nhánh 2 vừa được xây dựng mới hoàn toàn

2 Các yêu cầu về hệ thống mạng:

H1.3 Các yêu cầu của hệ thống mạng

 Hệ thống máy chủ mạnh , hoạt động 24/24, đảm bảo yêu cầu truy cập từ mọi trụ

sở và chi nhánh vào mọi thời điểm Thời gian phản hồi các yêu cầu đáp ứng thời gian thực

 Hệ thống chấm công bằng cách quét vân tay cho nhân viện trên trụ sở chính và chi nhánh trong vòng 15 phút

 Hệ thống mạng phải được bảo mật, các hệ thống ngoài mạng không nhìn thấy mô hình mạng bên trong cũng như các thiết bị

 Hệ thống trang web để quảng bá sản phẩm , hệ thống thư điện tử

 Hệ thống Voip

II Thiết kế hệ thống mạng

1 Mô hình mạng logic:

1.1 Tòa nhà chính:

H2.1 Mô hình logic tòa nhà chính

Mô hình mạng toàn nhà chính gồm các thiết bị chính được tập trung ở phòng server và IT Ngoài ra để đảm bảo mức tín hiệu giữa các thiết bị có khoảng cách hơn 100m, ta dùng các switch 24 và 48 port ở các tầng.

Switch ở các tầng lầu có port Uplink có tốc độ 1000MB/s dùng để nối với switch trung tâm để đảm bảo tốc độ truyền dữ liệu

Mô hình mạng toàn nhà bao gồm:

 Router: Hệ thống bao gồm 2 router, 1 kết nối mạng WAN và 1 Router kết nối tới 2 chi nhánh

 Hệ thống các máy chủ được đặt tại phòng server có máy lạnh và hệ thống dự phòng UPS, máy chủ Database cấu hình mạnh để đáp ứng nhu cầu xử lý và đồng bộ dữ liệu từ chi nhánh Database được bảo vệ bằng Server Backup

 Hệ thống Firewall: Firewall gate là sự kết hợp của phần mềm bảo mật chuyên dụng của hãng checkpoint VPN-1 UTM chạy trên phần cứng chuyên dụng

crossbeam 6, IPS để bảo vệ vùng CSDL : database server, App server , DHCP server … Web firewall để bảo vệ vùng DMZ (chứa web và mail server) và hệ thống Scan virus chuyên dụng của hãng Trend Micro đặt trước Firewall gateway.1.2 Chi nhánh 1:

Vì chi nhánh 1 khá nhỏ nên ko có hệ thống Server riêng, database sẽ được truy cập từ chi nhánh chính

H2.2 Mô hình logic chi nhánh 1

Mô hình mạng bao gồm:

 Các thiết bị được lắp đặt tập trung tại phòng server như chi nhánh chính

 Router: 1 Router kết nối chi nhánh chính và truy cập WAN

 Firewall: Firewall gate cho toàn bộ hệ thống

1.3 Chi nhánh 2 :

Tập trung số lượng lớn nhân viên của công ty ABC

H2.3 Mô hình logic chi nhánh 2

Mô hình mạng bao gồm:

 Các thiết bị được lắp đặt tập trung tại phòng server như chi nhánh chính

 Router: 1 Router kết nối chi nhánh chính và truy cập WAN

 Firewall: Firewall gate là sự kết hợp của phần mềm VPN-1 UTM của hãng checkpoint chạy trên phần cứng chuyên dụng crossbeam C6 – hệ thống IPS cho Web, Mail Server

2 Lý do chọn mô hình mạng:

• Với mô hình mạng trên sẽ đảm bảo được các yêu cầu về tốc độ xử lý, an toàn

thông tin và bảo mật dữ liệu cho web, mail, server farm

• Chúng tôi chọn mô hình trên theo hướng mở rộng các dịch vụ cho tương lai, mô hình trên sẵn sàng đáp ứng các nhu cầu về thêm các thiết bị như PC, IP Phone,

Print một cách dễ dàng

• Hệ thống web có thể dùng để mua hàng và thanh toán trực tiếp một cách an toàn

• Hệ thống IPX riêng biệt có thễ dễ dàng mở rộng các dịch vụ video conferencing dễ dàng – Với đường line riêng nên mạng Lan trong công ty được bảo vệ khỏi các

cuộc tấn công từ PSTN

• Các tòa nhà đều có hệ thống máy chủ cơ sở dữ liệu riêng,nhằm giảm tải cho máy chủ CSDL ở tòa trung tâm hệ thống CSDL ở 2 chi nhánh sẽ được truyền về máy chủ CSDL ở tòa nhà chính vào thời gian định săn để quản lý tập trung và backup kịp thời

3 Sơ đồ vật lý:

3.1 Tòa nhà chính:

Trụ sở chính diện tích 2400 m2 - 132 nhân viên gồm nhân viên các phòng – Giám Đốc – Phó Giám Đốc

H2.4 Sơ đồ vật lý – Trụ sở chính – lầu 1

Trụ sở chính – lầu 1:

• Quầy tiếp tân: 2PC – 1 IP Phone

• Phòng thu ngân: 5 PC – 2 Print – 2 POS – 1 IP Phone

• Phòng giao hàng: 1 PC – 1 IP Phone

H2.5 Sơ đồ vật lý – Trụ sở chính – lầu 2

o Tòa nhà chính - Tầng 2:

 Kho hàng: 2 PC – 2 IP Phone – 2 Print

 Nhận lắp đặt: 2 PC – 2 IP Phone

 Bảo hành: 5 PC – 5 IP Phone – 2 Print

H2.6 Sơ đồ vật lý – Trụ sở chính – lầu 3

H2.7 Sơ đồ vật lý – Trụ sở chính – lầu 1 – phòng server

Tòa nhà chính - Tầng 3:

• Phòng Giám Đốc: 1 PC – 1 IP Phone

• Phòng Phó Giám Đốc: 1 PC – 1 IP Phone

• Phòng Thư Ký: 2 PC – 2 IP Phone – 2 Print

• Phòng Nghiên Cứu Thị Trường: 5 PC – 2 IP Phone – 2 Print

• Phòng Kinh Doanh: 6 PC – 6 IP Phone – 1 Print

• Phòng Kế Toán Tài Chính: 5 PC – 5 IP Phone – 1 Print

• Phòng Nhân Sự: 5 PC – 3 IP Phone – 1 Print

• Phòng IT: 5 PC – 1 IP Phone – 1 Print

• Phòng Họp + Phòng Nghỉ: 2 Acess point

3.2 Chi nhánh 1:

Chi nhánh 1 diện tích 600 m2 (30x20)

H2.7 Sơ đồ vật lý – Chi nhánh 1 – lầu 1

CN1 - Tầng hầm:

Kho Hàng: 2PC – 1 IP Phone – 1 Print

H2.8 Sơ đồ vật lý – chi nhánh 1 – lầu 2

CN1 - Tầng 1:

Bộ phận lắp đặt: 16 PC – 16 IP Phone – 3 Print

Phòng bảo hành: 4 PC – 1 IP Phone

Phòng kế toán: 8 PC – 8 IP Phone – 4 Print

1 Finger divice – 1 máy POS

H2.9 Sơ đồ vật lý – chi nhánh 1 – lầu 3

CN1 - Tầng 2:

Phòng tiếp thị và hoặch định chiến lược: 12 PC – 12 IP Phone – 2 Print

Phòng tài chính kế toán: 14 PC – 14 IP Phone – 2 Print

Phòng tiếp tân: 1 PC – 1 IP Phone

Phòng Giám Đốc: 2 PC – 2 IP Phone – 1 Print

Phòng Nhân Sự: 11 PC – 11 IP Phone – 2 Print

Phòng IT: 6 PC – 6 IP Phone

Phòng Họp: 1 Access Point

3.3 Chi nhánh 2:

Chi nhánh 2 với diện tích 4000 M2, nhưng diện tích mặt sàn xây dựng là 3000m2(60x50)

Chi nhánh 2 có 229 người bao gồm quản lý – nhân viên – bảo vệ - lao công

H2.10 Sơ đồ vật lý – chi nhánh 2 – lầu 1

CN2 - Lầu 1 :

• Bộ phận thu ngân gồm 6 PC + 2 máy in + 1 máy quét thẻ

• Bộ phận giao hàng gồm 2 PC + 1 máy tin

• Bộ phận kho-lầu 1 gồm 1 PC + 1 máy tin

• Quầy tiếp tân 1 PC

• Ngoài ra, còn nối tới 2 máy quét vân tay và 2 máy quét thẻ

-H 2.11 – Thiết bị CN2-lầu 1

H2.12 Sơ đồ vật lý – chi nhánh 2 – lầu 2

CN2 – lầu 2 : gồm :

 Thu Ngân : 6 người

 Giao hàng : 10 người

 Quản kho : 5 người

 Nhân viên tư vấn : 30 người

 Lắp đặt , bảo trì: 20

Chi tiết thiết kế :

CN2- lầu 2 gồm 1 switch 48 port + patch panel 48 port, được dẫn tới các PC và máy in tới tất cả các phòng ban ở lầu 2

H2.13 – Chi tiết thiết bị CN2- lầu 2 CN2-lầu2 gồm các thiết bị:

• Bộ phận thu ngân gồm 6 PC + 2 máy in + 2 máy quét thẻ

• Giao hàng gồm 2 pc và 1 máy in

• Bộ phần lắp đặt-bảo trì gồm 20 PC và 2 máy in

• Switch được nối lên switch trung tâm bằng port uplink 1000Mb/s

Cn2 - Lầu 3 :

H2.14 Sơ đồ vật lý – chi nhánh 2 – lầu 3 CN2 – lầu 3 : Số lượng nhân viên lầu 2 gồm 56 người được phân bố như sau :

• Thu Ngân : 6 người : 6 PC + 2 máy in

• Nhân viên tư vấn : 30 người : 20 PC + 2 máy tin

• Bảo hành : 18 người : 18 PC + 2 máy tin

• Tiếp viên phòng bảo hành: 2

• 1 switch 48 port dẫn dây âm tường đi đến các PC các phòng, quầy

• Kết nối lên switch trung tâm ở lầu 4 bằng port uplink

CN2 - Lầu 4 :

H2.15 Sơ đồ vật lý – chi nhánh 2 – lầu 4

Đây là lầu đặt hệ thống máy chủ, các switch của các lầu sẽ được dẫn lên tầng 4 này

CN2 – lầu 4 gồm : phòng giám đốc chi nhánh , phòng kế toán, phòng quản lý nhân sự, phòng server , thư viện, hội trường

CN2 – lầu 4 có 49 người được phân bố :

• Giám đốc : 1

• Thư ký: 1

• Kế toán : 15

• Phòng họp gồm 1 access point + 1 PC + 1 máy chiếu

• Phòng giải trí + thư viện : 1 access point

• Phòng server : 1 Database server + 1 DHCP server

• 1 switch 48 port + 2 sw 24 port + 2 patch panel 48 port để kết nối tới các phòng ban

• Switch trung tâm là 1 sw 24 port L3 có tốc độ xử lý cao và 1 sw dự phòng

được thiết kế theo mô hình phân cấp

• Hệ thống firewall Check point và IPS

• Một router để kết nối ra internet và kết nối tới chi nhánh trung tâm

Giải thích về sự chọn lọc các thiết bị :

Sử dụng Access Point ở phòng họp và phòng thư viện tiện lợi cho việc sử dùng laptop kết nối internet và tài nguyên trong khi hội họp , và 1 access point trong phòng thư viện để nhân viện sử dụng laptop vào giờ giải lao.

Đường kết nối từ các switch các lầu đến swich trung tâm đều dùng port uplink tốc độ

1000 mb/s, trong khi từ các switch đến các PC là tốc dộ 100MB/s nhắm đảm bảo tốc

độ truyền dữ liệu và giải quyết vấn đề tắt ngẵn khi nhiều luồng dữ liệu up lên cùng 1 lúc

Hệ thống core gồm 1 sw L3 , ở đây chọn Cisco Switch WS-C3560G-24TS-S với thong số Catalyst 3560 24 10/100/1000T + 4 SFP + IPB Image (24 port của Sw L3 này đều đạt đến tốc độ 1000mb/s), bên đó ta dùng 1 Sw nữa thiết kế theo mô hình phân cấp nhắm dự phòng trường họp sw core gặp sự cố

3 Quy hoạch địa chỉ IP cho hệ thống mạng và thiết bị

Mô hình chung :

H 2.17 Mô hình chung quy định địa chi IP

Thiết bị Ký hiệu Cổng IP Subnet mask Default gateway Ghi chú

sw core bên trong mạng

Router

CN1 R2 S0/1 192.168.200.6 255.255.255.252 N/A Kết nối với R1

R2 F0/0 192.168.10.1 255.255.255.0 N/A Kết nối tới

sw core bên trong mạng

Router

CN2

R3 S0/1 192.168.200.2 255.255.255.252 N/A Kết nối với

R1R3 F0/0 192.168.100.1 255.255.255.0 N/A Kết nối tới

sw core bên trong mạng

Bảng 1 : Địa chỉ IP trên các cổng router

 Trụ sở chính :

 IP Internet: 203.100.100.3 và 203.100.100.4

 IP Web server: 203.100.100.1

 IP Mail server: 203.100.100.2

 Chi nhánh 1: IP Internet: 203.101.101.1 - 4

 Chi nhánh 2: IP Internet: 203.102.102.1 - 4

Hệ thống sử dụng VLAN để chia mạng

Lợi ích của VLAN

Tiết kiệm băng thông của hệ thống mạng:

Tăng khả năng bảo mật:

Dễ dàng thêm hay bớt máy tính vào VLAN:

Giúp mạng có tính linh động cao:

Hệ thống Vlan được biểu diễn qua các bảng sau :

• Tòa nhà trung tâm

STT VLAN Số thiết bị cần

cấp địa chỉ

MAX IP Dải địa chỉ (IP đầu/subnet Mask -> IP

cuối/subnet Mask)

1 RJ45 192.168.1.116/28 192.168.1.113

14 Server Farm Backup

server IBM System X3500 M3 (7380

1 RJ45 192.168.1.210/28 192.168.1.209

24 DMZ Mail server IBM® System®

x3550M3 (7944 - A2A)

GXE5028 VoIP Phone System - GXE-5028

192.168.5.254 /24 192.168.5.1

Bảng 3 – Tòa trung tâm – chia IP cho từng thiết bị

• Chi nhánh 1 – quy hoạch địa chỉ IP

STT VLAN Số thiết bị

cần cấp địa chỉ

Số địa chỉ IP tối

đa có thể dử dụng

Dải địa chỉ (IP đầu/subnet Mask -> IP cuối/subnet Mask)

Bảng 4 : quy hoạch địa chỉ IP chi nhánh 1

Bảng thông tin chi tiết chia IP cho từng loại thiết bị trên từng VLan cụ thể :

1 IP Phone IP Phone Grandstream GXE5028

VoIP Phone System - GXE-5028