Thiết kế hệ thống mạng cho công ty Hòa Phát

Bảng 1 Phân dải tài nguyên IP cho hệ thống mạng công ty Hòa Phát 38 Định nghĩa mạng máy tính: Mạng máy tính là một tập hợp các máy tính được nối với nhau bởi các đường truyền vật lý theo

Sau hơn một tháng nỗ lực thực hiện, đồ án "Thiết kế hệ thống mạng cho công tyHòa Phát" đã hoàn thành Để hoàn thành đồ án này, em đã nhận được sự giúp đỡ, tạođiều kiện phía nhà trường, các thầy cô trong khoa CNTT, cùng với sự ủng hộ và độngviên từ gia đình và bạn bè Chính những điều này đã mang lại cho chúng em sự độngviên rất lớn để chúng em có thể hoàn thành tốt đồ án của mình

Em xin chân thành cảm ơn nhà trường và các thầy cô trong khoa Công nghệthông tin đã đem lại cho chúng em nguồn tri thức để chúng em hoàn thành đồ án cũngnhư làm hành trang bước vào đời

Và đặc biệt em xin chân thành cảm ơn PGS.NCVC.TS Lê Huy Thập người đã hướngdẫn tận tình và giúp đỡ chúng trong suốt quá trình làm và hoàn thành đồ án

Em xin chân thành cảm thầy cô !

Hà nội, ngày 2 tháng 1năm 2012 Sinh viên thực hiện đồ án

Nguyễn Thanh Hưng 507104015

MỤC LỤC

TrangChương 1: LÝ THUYẾT CHUNG 6

1.1 PHÂN LOẠI MẠNG MÁY TÍNH 6

1.7.TỔNG QUAN VỀ THIẾT KẾ VÀ CÀI ĐẶT 11

1.7.1 Thiết Kế Mạng theo phương pháp PPDIOO 11

1.7.2 Thiết kế mô hình mạng và giải pháp 14

1.8.6 Giới thiệu về Ethernet Channel 25

1.8.7 Lựa chọn thiết bị và Công nghệ 25

Chương 2: THIẾT KẾ HỆ THỐNG MẠNG CHO CÔNG TY HÒA PHÁT 26

2.1 GIỚI THIỆU VỂ CÔNG TY HÒA PHÁT 26

2.2 XÁC ĐỊNH NHỮNG YÊU CẦU DO CÔNG TY ĐỀ RA 27

2.2.1 Yêu cầu chung đối với hệ thống mạng của công ty 27

2.2.2 Yêu cầu xây dựng các dịch vụ cần thiết 28

2.2.3 Ngân sách và thời gian 28

2.3 TIẾN HÀNH KHẢO SÁT 28

2.3.1 Con người và vật tư trang thiết bị 28

2.3.2 Hiện trạng địa lý cách bố trí các phòng ban 30

2.4.1 Xây dựng giải pháp về mạng cho công ty 30

2.4.2 Các thiết bị và kỹ thuật được lựa chọn cho công ty 30

4.3 Chọn công nghệ, quy trình lắp cáp Lan 62

4.4 Cấu hình phần mềm cài đặt Lan trên Windown XP 66

KẾT LUẬN 76

Các thuật ngữ viết tắt

DC Domain Controller

DMZ Demilitazy Zone

VLAN Virtual Local Area Network

WAN Wired Area Network

LAN Local Area Network

CPU Center Procesor Unit

RAM Random Access Memory

IP Internet Protocol

DNS Domain Name Service

MAC Media Access Control

VPN Virtual Private

SSL Secure Socket Layer

IDS Intrusion Detection System

NIDS Network Intrusion Detection System

DHCP Dynamic Host Configuration Protocol

WAP Wireless Application Protocol

STP Spanning Tree Protocol

VTP Vlan Trunking Protocol

GPO Group Policy Object

OU Organizational Unit

Hình 18 Sơ đồ thiết kế logic hệ thống mạng cho công ty Hòa Phát 28

Hình 33 Giải pháp cho công ty sử dụng kiến trúc phân cấp kết hợp an ninh 33

Bảng 1 Phân dải tài nguyên IP cho hệ thống mạng công ty Hòa Phát 38

Định nghĩa mạng máy tính: Mạng máy tính là một tập hợp các máy tính được nối với

nhau bởi các đường truyền vật lý theo một kiến trúc nào đó và qua đó các máy tínhtrao đổi thông tin qua lại với nhau

1.1 PHÂN LOẠI MẠNG MÁY TÍNH

Mạng cục bộ LAN:

LAN (Local Area Network)là một nhóm các máy tính và thiết bị truyền thông mạngđược kết nối với nhau trong một khu vực nhỏ như tòa nhà cao ốc, trường đại học, khugiải trí

GAN (Global Area Network) kết nối máytính từ các châu lục khác nhau

1.2 PHẦN CỨNG MẠNG

Cạc mạng (network card): Được thiết kế để nối máy tính với mạng,là thiết bị chịutrách nhiệm chuyển đổi các tín hiệu máy tính ra các tín hiệu trên phương tiệntruyền dẫn và ngược lại Gửi/nhận và kiểm soát luồng dữ liệu được truyền

Modem: Modem là thiết bị có tính năng chuyển đổi tín hiệu số (digital) thành tín

hiệu tương tự (analog) và ngược lại Do vậy, modem cho phép kết nối các máy tínhqua đường điện thoại để truyền dữ liệu

Bộ chuyển tiếp Repeater: bộ chuyển tiếp có chức năng nhận và chuyển tiếp các tín

hiệu dữ liệu, thường được dùng nối hai đoạn cáp để mở rộng mạng

Bộ tập trung Hub: chức năng của bộ tập trung đó là đấu nối mạng Các cáp nối từ

máy tính đến Hub được đấu thông qua các cổng trên Hub Hub càng nhiều cổng thì

hỗ trợ được càng nhiều máy tính

Đường truyền vật lý: đường truyền là hệ thống các thiết bị truyền dẫn có dây hay

không dây dùng để chuyển các tín hiệu điện, từ máy tính này đến máy tính khác.Tùy theo tần số của sóng điện từ có thể dùng các đường truyền vật lý khác nhau đểtruyền tín hiệu Hiện nay cả hai loại đường truyền hữu tuyến (cable) và vô tuyến(wireless) đều được sử dụng trong việc kết nối mạng máy tính

1.3 GIAO THỨC TCP/IP

Giao thức mạng là quy ước, cách thức mà các máy tính tham gia trên mạng phải tuân theo để giao tiếp được với nhau Do vậy, máy tính trong mạng phải thống

nhất một giao thức chung trước khi có sự trao đổi dữ liệu

Giao thức TCP/IP là một bộ giao thức gồm các giao thức truyền tải TCP và giao thứcmạng IP để cung cấp phương tiện truyền thông liên mạng Máy nào hỗ trợ giao thứcTCP/IP đều có thể truy cập vào Internet Do vậy mỗi máy muốn tham gia trên mạngphải tuân theo giao thức TCP/IP, khi đó máy đó sẽ có địa chỉ định danh duy nhất trênmạng - đó là địa chỉ IP

1.3.1 Giới thiệu tổng quan về địa chỉ IP

Mỗi địa chỉ IP là một dãy số có độ dài 32 bits được tách thành bốn vùng Cách viếtphổ biến nhất là dùng ký pháp thập phân có dấu chấm để phân tách các vùng.Địa chỉ IP gồm 2 phần chính: địa chỉ mạng - Network id và địa chỉ máy - Host id

Mục đích của địa chỉ IP là để định danh duy nhất cho một máy tính bất kỳ trên liênmạng nhằm tránh đụng độ, các địa chỉ mạng được ICANN gán.

1.3.2 Subnet Mask và địa chỉ mạng con

Subnet là một phương pháp kỹ thuật cho phép người quản trị phân chia mộtmạng thành nhiều mạng nhỏ hơn bằng cách sử dụng các chỉ số mạng được gán

1.4.2 Mạng Star

Trong cấu hình mạng Star, mỗi máy tính được nối trực tiếp vào một bộ tập trung

gọi là Hub hoặc Switch

Tín hiệu được truyền từ máy tính gửi, qua bộ tập trung Hub để đến tất các máytính trên mạng Nếu bộ tập trung hỏng hóc, toàn bộ mạng sẽ ngừng hoạt động

1.4.3 Mạng Ring

Mạng Ring nối các máy tính trên một vòng tròn cáp, không có đầu nào bị hở Tínhiệu truyền đi một chiều, qua từng máy tính theo chiều kim đồng hồ Vì là mạngdạng vòng nên khi một máy bị trục trặc thì có thể mạng sẽ ngưng hoạt động

- Cơ chế chia sẻ và dùng chung dữ liệu đơn giản.

- Cơ chế chia sẻ dữ liệu và sử dụng máy in trong mạng ngang cấp.

Nhược điểm của mạng ngang cấp

- Thiếu sự an toàn và bảo mật

-Cơ chế quản lý hệ thống mạng riêng lẻ thiếu tập trung

1.5.2 Mô hình mạng khách/chủ

a Khái niệm mạng khách/chủ

- Khái niệm: là mạng được thiết lập để liên kết các máy tính, trong đó có một haynhiều máy tính đóng vai trò là máy chủ, quản lý và phục vụ các yêu cầu từ các máykhách

b Hoạt động

Yêu cầu về phần cứng và phần mềm như mô hình mạng ngang hàng, điểm khác duynhất đó là: máy nào đóng vai trò là máy Server thì cài hệ điều hành Win 2KServer/2K Advanced, máy nào đóng vai trò là máy khách thì cài Win9X/Me/2K/XP

1.6 CÁC THIẾT BỊ MẠNG

1.6.1 Repeaters (Hình 1)

Repeater là một thiết bị ở lớp một (Physical Layer) trong mô hình OSI Repeater

không có khả năng xử lý tín hiệu mà nó chỉ loại bỏ các tín hiệu méo,nhiễu,khuyếch đại các tín hiệu đã bị suy hao và khôi phục lạitín hiệu ban đầu Việc

sử dụng Repeater đã làm tăng thêm chiều dài của mạng

Hình 1 Repeater

1.6.2 Hubs (Hình 2)

Hub được coi là một Repeater có nhiều cổng Một Hub có từ 4 đến 24 cổng và

có thể còn nhiều hơn Trong phần lớn các trường hợp, Hub được sử dụng trong cácmạng 10BASE-T hay 100BASE-T Khi cấu hình mạng là hình sao (Star topology),Hub đóng vai trò là trung tâm của mạng Với một Hub, khi thông tin vào từ một cổng

1.6.4 Switches (Hình 4)

Switch đôi khi được mô tả như là một Bridge có nhiều cổng Trong khi mộtBridge chỉ có hai cổng để liên kết được hai đoạn mạng với nhau, thì Switch lại có khảnăng kết nối được nhiều đoạn lại với nhau tùy thuộc vào số cổng (port) trên Switch.Cũng giống như Bridge, Switch cũng “học” thông tin của mạng thông qua các gói tin(packet) mà nó nhận được từ các máy trong mạng Switch sử dụng các thông tin này

để xây dựng lên bảng Switch, bảng này cung cấp thông tin giúp các gói thông tin đếnđúng địa chỉ

Hình 4 Switch

1.6.5 Routers (Hình 5)

Là một thiết bị cho phép gửi các gói dữ liệu dọc theo mạng Một Router được kết nối tới ít nhất là hai mạng, thông thường hai mạng đó là LAN, WAN hoặc là một LAN và mạng ISP của nó

Hình 5.Router Hình 6.Switch Layer 3

1.6.6 Switch Layer 3 (Hình 6)

Đây là loại switch có thể dùng để định tuyến Những Switch này có thể chạycác giao thức định tuyến và truyền thông cùng các Routers Switch layer 3 có cácinterfaces LAN để có thể thực hiện truyền dữ liệu Việc sử dụng công nghệ chuyểnmạch tại lớp network làm tăng tốc độ truyền các gói tin giữa các mạng LAN và giữacác VLAN Bạn có thể sử dụng các tính năng của Router như lọc gói tin

1.7.TỔNG QUAN VỀ THIẾT KẾ VÀ CÀI ĐẶT

1.7.1 Thiết Kế Mạng theo phương pháp PPDIOO

a Giới thiệu và khảo sát về PPDIOO:

PPDIOO là viết tắt của Prepare, Plan, Design, Implement, Operate, Optimize Phases Đây là một phương thức thiết kế một mô hình mạng nó có các ưu điểm:

Giảm tổng giá thành bằng cách xác định các công nghệ sau đó lập kế hoạch choviệc thay đổi cơ sở hạ tầng và các tài nguyên được yêu cầu

Tăng độ sẵn sàng của hệ thống mạng bằng việc cung cấp hệ thống chứng thựctrong mạng

Nó cải thiện tính linh hoạt trong kinh doanh bằng cách thiết lập các thiết bị phùhợp và công nghệ cần thiết

Tốc độ truy cập tới các ứng dụng và các dịch vụ được cải thiện, sự sẵn sàng, tincậy, bảo mật, khả năng mở rộng và hiệu xuất được nâng cao

Hình 7.Mô hình PPDIOOKhảo sát gồm các bước sau:

để thiết kế và thực hiện Kế hoạch này được xuyên suốt trong quá trình thiết kế

Design Phase:

Thiết kế mạng được áp dụng dựa trên công nghệ và các yêu cầu của người thuêđược thu thập từ các bước trước Thiết kế hệ thống mạng phải cung cấp: tính sẵn sàngcao, tính tin cậy, bảo mật, khả năng mở rộng, hiệu xuất cao.Thiết kế mạng bao gồm:thiết kế mô hình và lựa chọn các thiết bị

kiện và xác định sự sự hoạt động đúng dắn của mạng.Giai đoạn này được thực hiệnsau cùng.

Xác định các nhu cầu của mạng Bước này xảy ra tại bước Prepare của mô hình

PPDIOO (Identifying Customer Requirements)

Thu thập thông tin từ các yêu cầu của người sử dụng, nhân viên, người quản lýtrong công ty Sau đây là những bước thu thập các yêu cầu của người dùng:

Bước 1: Xác định các ứng dụng và các dịch vụ trong mạng.

Bước 2: Xác định mục tiêu của tổ chức.

Bước 3: Xác định các ràng buộc có thể có của tổ chức.

Bước 4: Xác định kỹ thuật, công nghệ được sử dụng.

Bước 5: Xác định tính khả thi dựa trên các sự ràng buộc về công nghệ.

Chúng ta cần xác định các ứng dụng hiện tại và kế hoạch thực hiện của các ứng dụng quan trọng Ví dụ như là email, IP telephony, băng thông cao, độ sẵn sàng cao cho các ứng dụng

Với mục tiêu của tổ chức, bạn có thể xác định nếu mục tiêu của công ty là để cải thiện hỗ trợ khác hàng, thêm mới các dịch vụ mới, tăng khả năng cạnh tranh, hoặc giảm chi phí Sự ràng buộc trong tổ chức bao gồm: ngân sách, nhân viên, các chính sách, và thời hạn

Các mục tiêu về mặt công nghệ để có thể hỗ trợ các kế hoạc của một tổ chức và hỗ trợ các ứng dụng:

Tăng tính sẵn sàng của hệ thống mạng

Giảm sự fail hay downtime của mạng

Cải thiện tính bảo mật của mạng.

Cải thiện độ tin cậy của các ứng dụng quan trọng

Đổi mới thay thế các công nghệ cũ

Thiết kế hệ thống mạng có thể bị hạn chế bởi các giải pháp Sau đây là một sốnhững khó khăn:

Tồn tại hệ thống truyền dẫn không hỗ trợ công nghệ mới trong hệ thống mạng.Băng thông có thể không hỗ trợ các ứng dụng mới

Các bước thu thập thông tin:

Khi tới một site nào đó bạn cần thu thập tất cả các tài liệu về nó Đôi khi không cóthông tin Bạn sẽ phải sử dụng các công cụ để thu thập thông tin, có thể đăng nhập vàocác thiết bị mạng để thu thập thông tin:

Giai đoạn1 : Xác định tất cả các thông tin tồn tại và các tài liệu.

Giai đoạn2 : Thực hiện kiểm tra mạng.

Giai đoạn3:Sử dụng các công cụ phân tích traffic để tăng thêm các thông tin về hệ

Giai đoạn 3

Thiết kế mô hình và các giải pháp mạng Ở bước này mô hình mạng đã được thiết

kế để thỏa mãn với các trang thiết bị và đã khắc phục được các lỗ hổng trong các bướctrước Thiết kế các giải pháp cho hệ thống bao gồm: cơ sỏ hạ tầng mạng, VoIP ( Voiceover IP), nội dung mạng, các dịch vụ mạng Bước này xảy ra tại giai đoạn thiết kế của

mô hình PPDIOO

1.7.2 Thiết kế mô hình mạng và giải pháp

a Phương pháp tiếp cận từ trên xuống:

Mô hình thiết kế khá đơn giản nghĩa là bạn bắt đầu thiết kế từ đầu mô hình OSI và

đi xuống Thiết kế theo kiểu này giúp chúng ta điều chỉnh hệ thống mạng theo các ứng dụng mà ta cần, với mô hình này thì các thiết bị và các công nghệ sẽ không được chọn trước cho tới khi các yêu cầu về các ứng dụng được phân tích xong

Ưu điểm của:

Kết hợp với các yêu cầu của tổ chức đưa ra bức tranh toàn cảnh Thiết kế thỏa mãnvới các yêu cầu hiện tại và tương lại

Nhược điểm:

Mất nhiều thời gian

b.Thử nghiệm và kiểm tra:

Sau khi thiết kế xong và trước khi thực hiện, bạn phải đem ra thử nghiệm trước.Quátrình kiểm tra có thể hoàn thành bởi một trong hai con đường: prototype hoặc pilot.Một mạng prototype là một tập con của mô hình lớn, được thử nghiệm trong một môitrường riêng Nó không được kết nối tới mạng chính Ưu điểm của nó là nó sẽ đượckiểm tra trước khi triển khai vào hệ thống thật

Một pilot là một phần thật sự của mạng nó sẽ được mang ra thử nghiệm trước sau đómới áp dụng cho toàn bộ các nơi khác Nó cho phép kiểm chứng các lỗi trong thực tế

để có thể phát hiện ra các lỗi trước khi triển khai thiết kế giải pháp

1.7.3 Mô hình mạng phân cấp

Được sử dụng để thiết kế mô hình mạng sử dụng tính năng chuyên môn hóa kếthợp cùng sự phân cấp của công ty Thiết kế như vậy sẽ làm đơn giản hóa nhiệm vụ cầnthiết để xây dựng nên mô hình mạng để đáp ứng nhu cầu hiện tại và các phát triển

Mô hình phân cấp sử dụng các lớp để đơn giản hóa các nhiệm vụ cho hệ thống mạng.Mỗi lớp sẽ có thể tập chung vào một chức năng cụ thể, cho phép bạn lựa chọn quyền

và các tính năng cho mỗi lớp Những mô hình phân cấp áp dụng cho cả LAN vàWAN

Hình 8 Hierarchical Network Models

Lợi ích của mô hình phân cấp:

Giảm giá thành

Dễ hiểu

Dễ dàng phát triển

Ngăn lỗi

Thiết kế mạng theo mô hình phân cấp

Hình 9 Hierarchical Network DesignTrong hình chúng ta thấy đây là mô hình phân cấp gồm có 3 lớp:

Core layer cung cấp sự truyền thông nhanh giữa các switchs phân tán trongphạm vi mạng campus

Distribution layer cung cấp kết nối dựa trên các chính sách của công ty

Access layer dành cho kết nối với người dùng và các workgroup tới mạng Mỗi layer sẽ cung cấp một chức năng cần thiết tới mạng campus

a Tầng lõi (Core layer hay Backbone)

Lớp Core là phần xương sống có tốc độ chuyển mạch nhanh của mạng đó là phần quantrọng trong việc truyền thông của doanh nghiệp Lớp Core sẽ có các đặc điểm riêng:

Vận chuyển nhanh

Tin cậy cao

Giảm bớt sự dư thừa

Chịu lỗi tốt

Độ trễ thấp

Tránh thao tác gói chậm bởi các bộ lọc hay các xử lý khác

Khi một mạng sử dụng thiết bị định tuyến, số lượng các hop bộ định tuyến từ cạnh tớicạnh gọi là diameter Như đã nói, nó được coi là thực tiễn tốt để thiết kế cho mộtdiameter phù hợp trong một mạng lưới phân cấp Sự truyền tải từ một vài trạm cuối tớitrạm cuối qua mạng backbone nên có cùng số hop Khoảng cách từ bất kỳ trạm cuốinào tới một máy chủ trên mạng backbone cũng nên được nhất quán.

b Tầng phân phối (Distribution Layer)

Distribution layer là điểm cô lập giữa lớp Access và lớp Core Distribution có rất nhiềuvai trò, bao gồm việc thực hiện các chức năng:

Policy (ví dụ: bảo đảm rằng traffic gửi từu một mạng riêng biệt được chuyển tớimột interface trong khi tất cả các traffic khác được chuyển ra các interfacekhác.)

Có cơ chế loadbalancing

QoS

Security Filtering

Có cơ chế summary địa chỉ trước khi gửi đi

Định tuyến giữa các VLAN

Media translation ( ví dụ giữa mạng Ethernet và Token Ring)

Có khả năng định tuyến

Redistribute giữa các giao thức khác nhau ( EIGRP và OSPF )

c Tầng truy cập (Access Layer)

Lớp Access là nơi chứa các user trong mạng Một số chức năng của lớp Access:

Address Resolution Protocol (ARP) inspection

Virtual access control lists (VACL)

Spanning tree

Trust classification

Power over Ethernet (PoE) and auxiliary VLANs for VoIP

Tiến trình cài đặt phần mềm bao gồm:

Cài đặt hệ điều hành mạng cho các server, các máy trạm

Cài đặt và cấu hình các dịch vụ mạng

Phân quyền sử dụng mạng cho người dùng

Tiến trình cài đặt và cấu hình phần mềm phải tuân thủ theo sơ đồ thiết kế mạng mứcluận lý đã mô tả Việc phân quyền cho người dùng pheo theo đúng chiến lược khaithác và quản lý tài nguyên mạng Nếu trong mạng có sử dụng router hay phân nhánhmạng con thì cần thiết phải thực hiện bước xây dựng bảng chọn đường trên các router

và trên các máy tính

b Kiểm thử mạng

Sau khi đã cài đặt xong phần cứng và các máy tính đã được nối vào mạng Bước kếtiếp là kiểm tra sự vận hành của mạng Trước tiên, kiểm tra sự nối kết giữa các máytính với nhau Sau đó, kiểm tra hoạt động của các dịch vụ, khả năng truy cập của ngườidùng vào các dịch vụ và mức độ an toàn của hệ thống

Nội dung kiểm thử dựa vào bảng đặc tả yêu cầu mạng đã được xác định lúc đầu

c Bảo trì hệ thống

Mạng sau khi đã cài đặt xong cần được bảo trì một khoảng thời gian nhất định để khắcphục những vấn đề phát sinh xảy trong tiến trình thiết kế và cài đặt mạng

1.8 LẬP KẾ HOẠCH VÀ QUẢN TRỊ

1.8.1 Kế hoạch về địa chỉ IP

Lựa chọn phiên bản IPv4 hoặc IPv6

Xác định số mạng con bên trong của tổ chức

Xác định số máy trạm trong mỗi mạng con và số máy có thể mở rộng sau này.Lựa chọn dải địa chỉ phù hợp

Ví dụ: Chúng ta sử dụng dải địa chỉ 172.16.1.0/24 để chia địa chỉ cho 3 phòng mỗiphòng có 20 máy tính Khi đó chúng ta sẽ chia như sau:

Là một giao thức cho phép chuyển đổi từ địa chỉ IP sang tên miền tương ứng

Ví dụ: Địa chỉ 192.168.1.1 ứng với host có tên DC1 thì khi một client nào muốntìm DC1 nó chỉ cần nhớ tên DC1 chứ không cần nhớ địa chỉ IP

DNS hoạt động cùng port 53

Hoạt động của DNS: đầu tiên khi client gửi yêu cầu muốn truy cập vào 1 trangweb nào đó nó sẽ được chuyển tới hệ thống DNS local trước nếu hệ thống nàykhông phân giải được nó sẽ được chuyển tới Root hint ở đây nó sẽ trả lời lại choDNS local biết về Server tiêp theo và cuối cùng nó sẽ trả về lại cho Client địa chithoặc tên trang tương ứng

Hình 10 Mô hình triển khai DNS

Thiết lập triển khai có thể theo mô hình: 1 DNS local primary(phù hợp với công

ty lớn bên trong có nhiều máy tính, làm như vậy có thể giúp tận dụng cache làm tăng tốc độ mạng), 1 DNS để forward ra ngoài mạng, 1 DNS back up để sao lưu khi primary lỗi

IP Lease Offer:

Nếu có một DHCP hợp lệ (nghĩa là nó có thể cấp địa chỉ IP cho một client) nhậnđược gói tin DHCPDISCOVER của client thì nó sẽ trả lời lại bằng một gói tinDHCPOFFER, gói tin này đi kèm theo những thông tin sau:

+ MAC address của client

+ Một IP address cấp cho (offer IP address)

+ Một subnet mask

+ Thời gian thuê (mặc định là 8 ngày)

+ Địa chỉ IP của DHCP cấp IP cho client này

IP Lease Selection:

DHCP client đã nhận được gói tin DHCPOFFER thì nó sẽ phản hồi broadcast lại một gói DHCPREQUEST để chấp nhận cái offer đó DHCPREQUEST bao gồm thôngtin về DHCP server cấp địa chỉ cho nó

VI.2.2.4 IP Lease Acknowledgement:

DHCP server nhận được DHCPREQUEST sẽ gởi trả lại DHCP client một DHCPACK

để cho biết là đã chấp nhận cho DHCP client đó thuê IP address đó

Khái niệm về nhóm

Nhóm là một khoản mục có thể chứa những khoản mục nhóm khác và khoản mụccủa người sử dụng khác như là thành viên của mình

Dùng nhóm nhằm mục đích: Giao cho người sử dụng quyền thực hiện các công việc

hệ thống như dự trữ và phục hồi các tệp hoặc thay đổi thời gian hệ thống Theo ngầmđịnh từ khi mới được tạo ra, khoản mục người sử dụng chưa có quyền gì Họ phảiđược gán vào một nhóm nào đó để lấy quyền được phép truy nhập vào các tài nguyênnhư tệp, thư mục và máy in Quyền của nhóm được gán tự động cho các thành viêncủa nhóm do đó người quản trị mạng chỉ cần xử lý thông qua khoản mục nhóm là cóthể xử lý tất cả người sử dụng trong nhóm

Các kiểu nhóm

a Nhóm cục bộ (Local Group)

Kiểu nhóm này được cài đặt trong cơ sở dữ liệu khoản mục cục bộ của máytính Nhóm cục bộ có thể chứa khoản mục của người sử dụng cũng như của nhóm toàncục từ bất kỳ một vùng được tin cậy nào của mạng Có nhiều nhóm cục bộ được tạosẵn để quản lý những công việc hệ thống Người quản trị có thể tạo thêm các nhómcục bộ mới để quản lý việc truy nhập tài nguyên

b Nhóm toàn cục (Global group)

Loại nhóm này được sử dụng trên toàn bộ mạng Nhóm toàn cục chỉ chứa cáckhoản mục USER từ những CSDL khoản mục cục bộ

c Nhóm đặc biệt (Special group)

Loại nhóm này chỉ dùng để truy nhập hệ thống Nhóm đặc biệt không chứa cáckhoản mục USER hay các khoản mục nhóm

Nhóm cục bộ cho phép thành viên của nó được quyền truy cập tài nguyên của các máytính trong nhóm cục bộ này.

Các nhóm toàn cục được gán quyền truy cập đến các tài nguyên ở máy tính chứa nhómhay từ những vùng tin cậy Các nhóm toàn cục cũng có thể gán quyền truy cập tàinguyên bằng cách đưa chúng vào nhóm cục bộ (tức là có cùng khoản mục) và nhómcục bộ có quyền trên

Khái niêm GPO

Group policy là tính năng của Windows nó được khởi động để thay mặt bạn quản

lý và cấu hình cho các người dùng và các máy tính từ một điểm trung tâm quản trị

Hình 11.Mô tả GPO

Ví dụ các chính sách (Policy) chúng ta có thể áp đặt cho các người dùng: Chính sách

về password: phải có mức độ phức tạp cao, chiều dài tối đa , thiết lập cấp một sốquyền đặc biết cho các user riêng như: chỉ cho phép các user nào đó có quyền backup

dữ liệu, cấm remote Desktop

Các policy chúng ta tạo ra có phạm vi áp dụng trong mức Local, Site Domain, haymột OU( Organiration Unit) Vấn đề này sẽ tùy vào mục đích cụ thể của tổ chức

Hình 12 Mô tả quản lý GPO

1.8.4 Lên kế hoạch cho việc backup và tính sẵn sàng

a BackUp chúng ta phải nghĩ tới các vấn đề:

Dữ liệu gì cần backup

Môi trường lưu trữ

Bao lâu thực hiện 1 lần

b Đảm bảo tính sẵn sàng của mạng:

Sử dụng RAID: RAID là chữ viết tắt của Redundant Array of Independent Disks.Ban đầu, RAID được sử dụng như một giải pháp phòng hộ vì nó cho phép ghi dữ liệulên nhiều đĩa cứng cùng lúc Về sau, RAID đã có nhiều biến thể cho phép không chỉđảm bảo an toàn dữ liệu mà còn giúp gia tăng đáng kể tốc độ truy xuất dữ liệu từ đĩacứng Dưới đây là năm loại RAID được dùng phổ biến:

Ví dụ:

Hình 14.Mô hình 802.1xSupplicant: là các user yêu cầu được truy cập vào mạng Thiết bị này phải hỗ trợ802.1x

Authenticator: switch là một ví dụ của một authenticator, bởi vì authenticator làmột thiết bị cung cấp truy cập tới network

Authenticator không phải để xác thực cho Supplicant, nó thực hiện như mộtgateway, chuyển thông điệp xác thực giữa supplicant tới server xác thực ở xa.Authenticator nhận 1 frame EAPOL được đóng gói cùng chuẩn 802.1x Sau đóthông điệp này sẽ được giải mã dưới định dạng RADIUS và chuyển chúng tớiAuthenticate server và sau đó thông tin xác thực sẽ gửi lại cho supplicant duwoisdạng message được mã hóa dạng RADIUS.Thông điệp này sẽ được giải mã trongAuthenticator dưới dạng 802.1x và chuyển về cho supplicant

Authentication server: là một RADIUS server cấp giấy phép cho các client

Port của switch kết nối với PC có 2 chế độ: controlled port và uncontrolled port.Uncontrolled port là trạng thái khi PC chưa được permit vào mạng Nó có thểcho các traffic đi qua: EAPOL,STP, CDP

Controlled port: là trạng thái PC đã được permit vào mạng và có thể gửi dữ liệu.Khi cấu hình cho phép xác thực 802.1x trong 1 interface chúng ta phải cấu hình hànhđộng khi xác thực

Dot1x port-control có 3 chế độ:

forced-authorized: đây là thiết lập mặc định,port sẽ tiến tới trạng thái đã được chophép mà không cần qua kiêm tra 802.1x.

forced-unauthorized: lựa chọn này sẽ làm cho port của switch ở trạng tháiunauthorized

Auto: chế độ này sẽ mặc định ban đầu port ở trạng thái unauthorized Tuy nhiên ởchế độ này vẫn có thể tiếp nhận frame EAP, switch xác định thiết này dựa vàoMAC của nó, sau khi request thành công nó có thể truy cập vào mạng Nếu thiết bịlog off ra thì port này sẽ trở về trạng thái ban đầu

1.8.6 Giới thiệu về Ethernet Channel

Hình 15 Ethernet ChannelEthernet Channel là một công nghệ:

Cho phép nhiều link song song được chia ra bởi Spanning Tree như là một kết nối vật lý

Cung cấp băng thông của kết nối full-duplex Fasethernet từ 200 tới 800 Mbps.Tất cả các traffic được quản lý thông qua các liên kết trong Channel

Bundle- gộp các link được quản lý bởi EthernetChannel

1.8.7 Lựa chọn thiết bị và Công nghệ

Hiện nay trên thị trường có rất nhiều các loại thiết bị của các hãng khác nhau nhưng nổi bật và chiếm thị phần lớn nhất là Cisco, Microsoft, UNIX

a Cisco

Cisco được thành lập năm 1984 Sản phẩm đầu tiên của công ty là “Bộ địnhtuyến”, kết nối với phần mềm và phần cứng hoạt động như hệ thống giao thông trên tổhợp mạng TCP/IP1 để tạo ra mạng Internet Là một nhà cung cấp các thiết bị mạngnhư: Router, Switch, Firewall Ngoài ra tổ chức này còng phát triển các công nghệ

tích hợp cùng với các thiết bị của hãng như: Spanning tree để sử dụng trong các môhình nhiều switch kết nối với nhau để tránh vòng lặp, bộ giao thức EIGRP độc quyềncủa Cisco để sử dụng định tuyến trong mạng intranet

b Microsoft

Microsoft Windows là tên của các dòng phần mềm hệ điều hành độc quyền củahãng Microsoft Lần đầu tiên Microsoft giới thiệu một môi trường điều hành mang tênWindows (Cửa sổ) là vào tháng 11 năm 1985 với những tín năng thêm vào Hệ điềuhành đĩa từ Microsoft giao diện dụng hộ đồ hoạ (Graphical User Interfaces, gọi tắt làGUI) - đang được sự quan tâm cao vào thời điểm này đồng thời để cạnh tranh với hãngApple Computers

Chương 2

THIẾT KẾ HỆ THỐNG MẠNG CHO CÔNG TY HÒA PHÁT

2.1 GIỚI THIỆU VỂ CÔNG TY HÒA PHÁT

Công ty Hòa Phát là công ty chuyên sản xuất kinh doanh hàng hóa trang trí nội thất,ngoại thất…Trụ sở chính đặt tại 34, đường Đại Cồ Việt, quận Hai Bà Trưng, Hà Nội.Công ty có hàng chục nhà máy và mạng lưới đại lý phân phối sản phẩm trên toàn lãnhthổ Việt Nam

Công ty có 7 phòng ban bao gồm: ban giám đốc, phòng tổ chức, phòng kếhoạch, phòng kinh doanh, phòng tài chính – kế toán, phòng vật tư, phòng kỹ thuật Sốlượng nhân viên của từng phòng ban được trình bày ở bảng 01:

Bảng 01 Số lượng nhân viên của các phòng ban

2.1.2 Các hoạt động vào giao dịch thường ngày

Hàng ngày, tại công ty Hòa Phát luôn diễn ra các hoạt động như sau:

Mua bán ,sản xuất ,kinh doanh hàng hóa trang trí nội thất, ngoại thất …

Bảo hành các sản phẩm

Nghiên cứu thiết kế các giải pháp cho sản phẩm của công ty

Thực hiện các giao dịch thanh toán chuyển khoản qua mạng internet với đối táckhách hàng

Đăng tải thông tin về các sản phẩm mới và các hoạt động đáng chú ý của công

ty lên trên Website riêng và Internet

Thay đổi cập nhật cơ sở dữ liệu về các sản phẩm và đối tác khách hàng

Nhận gửi email, tài liệu, công văn, quyết định … từ nội bộ công ty hoặc bênngoài

Thực hiện các dịch vụ chăm sóc khách hàng qua điện thoại, internet

Nhận xét:

Những hoạt động hàng ngày của công ty muốn đạt được hiểu quả tối ưu nhất thì việcxây dựng một hệ thống mạng là cần thiết Khi có hệ thống mạng thì các giao dịch củacông ty sẽ trở lên thuận tiện, bảo mật và chính xác Không chỉ vậy, thông tin nội bộcũng được trao đổi chia sẻ nhanh chóng

2.2 XÁC ĐỊNH NHỮNG YÊU CẦU DO CÔNG TY ĐỀ RA

2.2.1 Yêu cầu chung đối với hệ thống mạng của công ty

Hệ thống mạng phải có băng thông rộng để đáp ứng khai thác hiệu quả các ứngdụng, cơ sở dữ liệu cũng như đáp ứng khả năng chạy các ứng dụng đa phươngtiện phục vụ cho các hoạt động trình chiếu, hội họp của công ty

Hệ thống mạng cần có độ ổn định cao và khả năng dự phòng để đảm bảo chấtlượng công việc

Có tính bảo mật cao, bảo vệ toàn bộ các thiết bị nội bộ trước sự tấn công truynhập từ bên ngoài cũng như các truy nhập gián tiếp có mục đích phá hoại hệthống

Các máy tính có cấu hình đáp ứng đủ các yêu cầu hoạt động của từng phòng ban.Máy tính được cài hệ điều hành windows XP hoặc Windows 7, các máy Servercài hệ điều hành Windows Server 2008

Có một đường WAN kết nối với chi nhánh trong TP HỒ CHÍ MINH

Đặc biệt hệ thống mạng có thể nâng cấp và mở rộng trong tương lai

2.2.2 Yêu cầu xây dựng các dịch vụ cần thiết

Dịch vụ Mail: dùng để quản các tài khoản của nhân viên và thực hiện các chứcnăng nhận, gửi Email

Dịch vụ Web: dùng để quảng bá sản phẩm, thực hiện các chức năng mua bán đặthàng qua mạng cũng như cung cấp các thông tin cần thiết đến với khách hàng.Dịch vụ Wifi: giúp cho nhân viên có thể làm việc trong một môi trường linh độnghơn không phải ở vị trí cố định Dịch vụ này đa phần là dùng cho các nhân viên

có Laptop rất thích hợp trong các buổi hội họp tại công ty

Dịch vụ DNS: Sử dụng DNS sẽ tăng khả năng thực thi của mạng vì nó có thể đápứng ngay yêu cầu của người dùng khi vào 1 trang web nào đó bằng cách tra cứungay trong cache của nó đối với những lần truy cập sau do đó nhanh hơn

Dịch vụ internet

Dịch vụ AAA: để xác thực tài khoản sử dụng của các nhân viên trong công ty

2.2.3 Ngân sách và thời gian

Sau khi hợp đồng ký kết thành công bên phía công ty Hòa Phát đề ra yêu cầuxây dựng hệ thống mạng đạt những tiêu chuẩn nói trên và cung cấp ngân sách 500triệu, thời gian hoàn thành dự án đề ra là 5 tháng kể từ ngày ký kết

Đánh giá dự án

Với ngân sách là 800 triệu và khung thời gian 5 tháng thì việc xây dựng một hệthống mạng như yêu cầu của công ty Hòa Phát đề ra là hoàn toàn có thể thực hiệnđược

2.3 TIẾN HÀNH KHẢO SÁT

2.3.1 Con người và vật tư trang thiết bị

a Con người: Các nhân viên trong công ty đều có chứng chỉ tin học và ngoạingữ, sử thành thạo các phần mềm như Microsoft Word, Microsoft Exel, MicrosoftPower Point ngoài ra một số nhân viên kỹ thuật có khả năng sử dụng các phầnmềm AutoCAD, Corel Draw trong việc thiết kế các chi tiết cơ khí

b Phương tiện máy móc: Công ty Hòa Phát mới xây dựng nên hệ thống mạngmáy tính còn chưa đầy đủ vì thế yêu cầu làm mới từ đầu

2.3.2 Hiện trạng địa lý cách bố trí các phòng ban

Công việc không thiếu trước khi đi vào thiết kế là khảo sát thực địa tại công tyHòa Phát , sau đó tiến hành mô hình hóa sơ đồ trên Microsoft Visio để có một sơ đồtổng quan về cách bố trí các phòng ban trong công ty Dựa vào đây ta có thể nghiêncứu và đề ra các giải pháp thích hợp cho việc xây dựng hệ thống mạng Và sau đây là

sô đồ tổng quan của tòa nhà dưới góc độ là một hình chiếu cạnh

Hình 17 Sơ đồ tổng quan về tòa nhà công tyCông ty Hòa Phát có cách bố trí các phòng ban như sau:

Tầng 1 gồm: khu vực lễ tân, phòng vật tư, phòng kỹ thuật, phòng kinh doanh

Tầng 2 gồm: phòng tổ chức, phòng giám đốc, phòng tài chính - kế toán

Tầng 3 gồm: phòng họp, phòng hệ thống thông tin

Theo khảo sát tòa nhà của công ty được xây dựng theo kiến trúc hiện đại toàn bộ

hệ thống dây điện được đi trong đường ống và chôn trong tường, ngoài ra còn có cácđường ống kỹ thuật phục vụ cho việc di dây Và khu vực cầu thang chính là nơi đặtcác đường ống này Hiện tại ở đây đang có một đường ống đang trong trạng thái chờ

và sau này sẽ được sử dụng để đi dây mạng

2.4.THIẾT KẾ VÀ XÂY DỰNG HỆ THỐNG MẠNG

2.4.1 Xây dựng giải pháp về mạng cho công ty

Hệ thống mạng của công ty có hoạt động trơn tru hay không và có mạng lạihiệu quả hay không là do nhà thiết kế Mạng thiết kế không tối ưu và khoa học thì việcgây tổn thất cho khách hàng là việc không thể tránh khỏi Qua đó, chúng ta càng thấy

rõ hơn được vai trò của nhà thiết kế cũng như giải pháp mà họ đưa ra Nếu một giải

pháp tốt được đưa ra thì lợi ích đem lại cho khách hàng là rất cao và nó còn có lợi chochính nhà thiết kế trong việc thi công Nắm rõ được những điều trên em đã cố gắng hếtsức đưa ra các giải pháp để xây dựng một hệ thống mạng đảm bảo những yêu cầu docho công ty Hòa Phát đặt ra Em đã thiết kế sơ đồ thiết kế logic hệ thống mạng chocông ty (hình 19).

2.4.2 Các thiết bị và kỹ thuật được lựa chọn cho công ty

a Các thiết bị:

Router Cisco 881-SEC-K9 (hình 18).

Hình 18 Secure Router 811 series

Có hiệu suất cao phù hợp cho các doanh nghiệp vừa và nhỏ Bao gồm tường lửa và

hệ thống chống xâm nhập (IPS) để giảm thiếu các mối đe dọa và bảo vệ chống lại cáccuộc tấn công của virus.Với chức năng lọc nội dung gói nhằm hạn chế truy cập đếncác trang web không muốn nhằm bảo vệ người sử dụng chống lại phần mềm độc hại

và tấn công lừa đảo.Bảo mật kết nối sử dụng cả hai phương pháp IPSEC và SecureSockets Layer (SSL) VPN giữa các địa điểm cho việc truy nhập từ xa

Switch layer 3 Cisco WS-C3750E-24PD-E (hình 20).

Hình 20 Switch 3750 series

Là Switch thuộc nhóm lai layer 3 Switch 3750 giúp chuyển mạch nhanh hơn cácSwitch thông thường giúp cải thiện tốc độ mạng, có các tính năng ngăn DHCPSnooping giả mạo địa chỉ MAC, Routing Ngoài ra Switch 3750 còn hỗ trợ các tínhnăng bảo mật tích hợp ngay trên nó: VACLs …

Switch SR2016T-NA (hình 21).

Hình 21 Switch 2016 series

Là Switch thuộc nhóm Layer 2 nghĩa là chúng không có khả năng định tuyến, chỉ

có khả năng chuyển mạch Các Switch loại này hỗ trợ 802.1x và ethernet channel màcác loại khác không hỗ trợ Chúng làm nhiệm vụ kết nối các máy trạm với nhau và làmcầu nối để gửi xác thực khi một máy tính vào hệ thống mạng Ngoài ra nó cũng hỗ trợchúng ta chia các Vlan trên nó

Pix Firewall (hình 22).

Hình 22 Cisco Pix Firewall 525

PIX là là thiết bị tường lửa stateful là thành phần chính trong giải pháp bảo mậtend-to-end của Cisco Nó là giải pháp bảo mật về phần cứng và phần mềm , đáp ứngbảo mật mạng mức độ cao mà không ảnh hưởng đến hoạt động của mạng Pix là mộtthiết bị hybrid vì nó kết hợp các đặc điểm của công nghệ Packet Filtering và ProxyServer

Domain Controller(DC) (hình 23).

Hình 23 Minh họa một Domain Controller

Một domain là tập hợp các tài khoản người dùng và tài khoản máy tính được nhómlại với nhau để quản lý một cách tập trung .DC cung cấp dịch vụ thẩm định(authentication),thực hiện quản lý các tài khoản có vai trò giúp việc khai thác tàinguyên trở nên dễ dàng hơn

DHCP server (hình 24).

Hình 24 Minh họa một DHCP server

Được thiết kế làm giảm thời gian chỉnh cấu hình cho mạng bằng cách tự động gáncác địa chỉ IP cho nhân viên khi họ vào mạng DHCP tự động quản lý các địa chỉ IP vàloại bỏ được các lỗi có thể làm mất liên lạc và tránh được trùng IP.

Web Server (hình 25).

Hình 25 Minh họa một Web serverWeb Server là máy chủ có dung lượng lớn, tốc độ cao, được dùng để lưu trữ thôngtin dữ liệu website đã được thiết kế của công ty Server phải hoạt động liên tục 24/24giờ, 7 ngày một tuần và 365 ngày một năm, để phục vụ cho việc cung cấp thông tintrực tuyến

DNS server (hình 26).

Hình 26 Minh họa một DNS serverGiúp cho việc truy cập các trang web, địa chỉ trên Internet một cách nhanh hơnbằng các phân giải tên thành địa chỉ IP tương ứng ngoài ra chúng ta sử dụng riêng 1DNS server sẽ tận giúp tốc độ phân giải nhanh hơn và tận dụng được cache của nhữnglần truy cập cũ

Mail server (hình 27).

Hình 27 Minh họa một Mail serverDùng để quản lý các account, nhận và gửi mail cho các nhân viên trong công ty

Database Server (hình 28).

Hình 28 Minh họa một Database server

Là Server dùng để chứa dữ liệu cho toàn bộ công ty nó sẽ được lưu lại và đượcBackup thường xuyên

AAA Server (hình 29).

Hình 29 Minh họa một AAA Server

Các dịch vụ AAA được chia thành ba phần, xác thực (Authentication), cấp quyền

(Authorization), tính cước (accounting).

Authentication: xác thực dùng để nhận dạng người dùng Trong suốt quá trình xác

thực, username và password của người dùng được kiểm tra và đối chiếu với cơ sở dữliệu lưu trong AAA Serve

Authorization: cho phép nhà quản trị điều khiển việc cấp quyền trong một khoảng thời

gian, hay trên từng thiết bị, từng nhóm, từng người dùng cụ thể hay trên từng giao thức

Accounting: cho phép giám sát dịch vụ và tài nguyên được người dùng sử dụng cho

phép nhà quản trị có thể thu thập thông tin như thời gian bắt đầu, thời gian kết thúcngười dùng truy cập vào hệ thống, các câu lệnh đã thực thi, thống kê lưu lượng, việc

sử dụng tài nguyên và sau đó lưu trữ thông tin trong hệ thống cơ sở dữ liệu quan hệ

Admin Server (hình 30).

Hình 30 Minh họa một AAA serverGiúp cho người quản trị theo dõi các hoạt động giúp nhà quản trị mạng có thểquản lý, thay đổi trạng thái của mạng Không chỉ các thiết bị vật lý mới quản lý được

mà cả những phần mềm như web server, database

Ví dụ chúng ta có thể dùng SNMP để tắt một interface nào đó trên router của mình,theo dõi hoạt động của card Ethernet, hoặc kiểm soát nhiệt độ trên switch và cảnh báokhi nhiệt độ quá cao

NIDS server (hình 31).

Hình 31 Cisco 4250-XL Sensor

Có khả năng phát hiện các mối đe dọa đang tấn công vào mạng Một NIDS liênquan đến việc triển khai các thiết bị giám sát (monitoring device), hay còn gọi làSensor (thiết bị này dùng để capture- bắt gói và phân tích traffic khi nó đi qua mạng).Sensor sẽ detect các hoạt động không đủ thẩm quyền và gây hại cho hệ thống trongthời gian thực và có thể đưa ra hành động tương ứng khi được cấu hình

Các Sensor có thể được triển khai ở các điểm trong mạng mà làm cho các nhà quản lý

về bảo mật có thể theo dõi các hoạt động mạng trong khi nó đang hoạt động, mà khôngcần biết vị trí mục tiêu của tấn công

NIDS đưa ra cho các nhà quản lý về bảo mật một cái nhìn về bảo mật ở thời gian thựcmạng của họ mà không liên quan đến sự phát triển của mạng

Mạng có thể phát triển bằng cách thêm các host hay các thiết bị mạng mới Các thiết bịhay các host thêm vào đo vẫn được bảo vệ mà không cần phải thêm Sensor CácSensor được thêm vào có thể dễ dàng được triển khai để bảo vệ các mạng mới

b Các kỹ thuật

Sử dụng WAN để kết nối tới chi nhánh ở xa

Sử dụng Firewall để chia hệ thống mạng thành 3 vùng bảo mật: Inside – DMZ –Outside

Sử dụng Radius Server để xác thực đối với các User muốn vào mạng, kết hợp vớicông nghệ 802.1x trong các Switch tại các phòng ban

Sử dụng công nghệ Ethernet Channel để tăng hiệu xuất của mạng giúp cải thiện tốc

độ ngoài ra còn hỗ trợ loadbalancing trên nó

Sử dụng STP để ngăn Loop trong mạng

Sử dụng VTP để tự động cấp các VLAN xuống các Switch tại các phòng ban

Sử dụng Switch layer 3 để có thể định tuyến giữa các Vlan ngoài ra còn có chế độbảo vệ khỏi sự tấn công bên trong, đặt các Rule cho mạng

Sử dụng Mail Exchange để tạo một hệ thống mail riêng của công ty

Sử dụng FTP 7 để thiết lập chia sẻ tài nguyên cho các nhân viện trong công ty

2.4.3 Kiến trúc và chức năng

a Xương sống của mạng

Giải pháp mà em đưa ra cho công ty Hòa Phát ở đây là 1 mô hình mạng theo kiếntrúc phân cấp (hierarchical models) kết hợp với mô hình an ninh

Hình 32 Kiến trúc chung của mô hình phân cấp

Hình 33 Giải pháp cho công ty sử dụng kiến trúc phân cấp kết hợp an ninh

Lớp lõi (Core Layer): đây là trục xương sống của mạng và được dùng Router cótốc độ cao, có công suất dư thừa, có khả năng tự khắc phục lỗi, có khả năng lọcgói, hay lọc các tiến trình đang chuyển trong mạng ở đây chúng ta dùng thiết bị

dòng 881 của Cisco Router này có chức năng firewall khi kết hợp với thiết bị PIX

525 sẽ giúp tạo ra hai lớp bảo vệ cho hệ thống mạng của công ty

Lớp phân phối (Distribution Layer): là ranh giới giữa lớp truy nhập và lớp lõi củamạng Lớp phân tán thực hiện các chức năng như đảm bảo gửỉ dữ liệu đến từngphân đoạn mạng, đảm bảo an ninh – an toàn phân đoạn mạng theo nhóm công tác.Chia miền Broadcast/ Multicast, định tuyến giữa các LAN ảo (VLAN), chuyển môitrường truyền dẫn, định tuyến giữa các miền, tạo biên giới giữa các miền trongtuyến định tuyến tĩnh và động, thực hiện các bộ lọc gói (theo địa chỉ, theo số hiệucổng…… ) Thực hiện các cơ chế đảm bảo chất lượng dịch vụ QOS Bởi nhữngyêu cầu khắt khe như vậy nên chúng ta phải sử dụng một switch layer 3 kết hợp vớihai switch layer 2

Lớp truy cập (Access Layer) cung cấp các khả năng truy nhập cho người dùng cục

bộ hay từ xa truy nhập vào mạng Ở đây chỉ cần sử dụng các switch layer 2

b Xây dựng vùng DMZ(Demilitarized Zone)

Hình 34 Vùng DMZDMZ được thiết kế là 1 vùng LAN được đặt cô lập giữa mạng nội bộ vàInternet Mục đích khi thiết lập một vùng DMZ là né sự tấn công từ bên ngoài và từtrong mạng nội bộ Đây sẽ là nơi chứa các thông tin cho phép người dùng từ internettruy xuất vào và chấp nhận các rủi ro tấn công từ internet Trên đây chúng ta sẽ tiếnhành cài đặt các dịch vụ: DNS Server, Mail Server, Web Server