1. Trang chủ
  2. » Luận Văn - Báo Cáo

Thiết kế, xây dựng, vận hành mạng ethernet LAN cho doanh nghiệp nhỏ

52 567 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 52
Dung lượng 2,66 MB

Nội dung

Đồ Án: Thiết kế, xây dựng, vận hành mạng Ethernet LAN cho doanh nghiệp nho  ---------Giáo viên hướng dẫn: Nguyễn Quốc Tuấn Thành viên nhóm: - Đinh Trần Thiên Thăng - Lý Phú Thắng - Lô Xuân Đồng - Nguyễn Đăng Duẩn - Lê thị huyền trang 1 Mục lục 2 1. PHÂN TÍCH KHẢO SÁT THIẾT KẾ 1.1. Hiện trạng Công ty Vitico địa chỉ đặt tại đường ngân hàng khu đô thị mỹ đình từ liên hà nội, công ty có nhiệm vụ chuyên mua và bán các loại thiết bị phụ kiện dành cho tin học,thiết kế mạng cho doanh nghiệp, nhận sửa chữa bảo bảo hành chính hãng thiết bị Công ty Vitico mới thành lập nên chưa có bất kỳ trang thiết bị nào phuc vụ cho việc xây dựng, vận hành mạng Ethenet LAN. Do đó, yêu cầu đầu tư mới toàn bộ các trang thiết bị. 1.2. Yêu cầu doanh nghiệp Doanh nghiệp cần sử dụng một hệ thống mạng máy tính để phục vụ cho việc vận hành sản xuất, kinh doanh sản phẩm. - -Đảm bảo hệ thống hoạt động đáp ứng tất cả các yêu cầu va mo rong mang. -Bảo mật cho các phòng ban. - Cài đặt DHCP cấp IP động cho các máy trạm trong mạng. - Cấu hình File Server tạo các thư mục dùng chung và phân quyền truy cập vào các thư mục đó. -Hệ thống mạng kết nối Internet bằng một đường truyền ADSL. - Yêu cầu về kĩ thuật: Xây dựng hạ tầng mạng Đảm bảo số lượng người làm việc trên hệ thống Đảm bảo kết nối với các phòng máy khác,trong khu vực khác và ngược lại Yeu cau bao mat -.Yêu cầu về giải pháp: • • • • .*Khả năng mở rộng: Mạng phải có khả năng mở rộng trong tương lai:vì trong tương lai công ty sẽ mở rộng thêm các phòng cho nhân viên và các phòng thiết kế để có thể kết nối đến những nơi làm việc khác nhau do đó những phòng này phải có kết nối internet. *.Khả năng quản tri: Quản trị mạng bằng các phần mềm sử dụng giao thức chuẩn cho phép người quản lí mạng theo dõi toàn bộ hoạt động của mạng,của các thiết bị và người dùng trên toàn mạng -Tính bảo mật: bao mật truy cập dịch vụ 3 - Dịch vụ chia sẻ tệp tin,chia sẻ máy in - Dịch vụ web,dịch vụ thư điện tử - Truy cập internet 1.3. Lựa chọn kiến trúc, công nghệ, mô hình mạng cho doanh nghiệp 1.3.1. Kiến trúc mạng - Star: Mạng hình sao bao gồm một bộ kết nối trung tâm và các nút. Bộ nối trung tâm của mạng điều phối mọi hoạt động trong mạng. Mạng hình sao cho phép kết nối các máy tính và một bộ trung tâm (Hub) bằng cáp, giải pháp này cho phép nối trực tiếp máy tính với Hub không cần thông qua trục Bus, tránh được các yếu tố gây ngưng trệ mạng. Với việc sử dụng các bộ tập trung hoặc chuyển mạch, cấu trúc mạng hình sao có thể được mở rộng mạng bằng cách tổ chức nhiều mức phân cấp, do vậy dễ dàng trong việc quản lý và vận hành. Hình 1.3.1.1 Kiến trúc mạng hình sao + Ưu điểm: - Hoạt động theo nguyên lý nối song song nên có một thiết bị nào đó ở một nút thông tin bị hỏng thì mạng vẫn hoạt động bình thường. - Cấu trúc mạng đơn giản và các thuật toán điều khiển ổn định - Mạng có thể dễ dàng mở rộng hoặc thu hẹp + Nhược điểm: - Khả năng mở rộng mạng hoàn toàn phụ thuộc vào khả năng của thiết bị - Trung tâm có sự cố thì toàn mạng ngưng hoạt động - Mạng yêu cầu nối độc lập riêng rẽ từng thiết bị ở các nút thông tin đến trung tâm, khoảng cách từ máy trung tâm rất hạn chế (100 m). - Bus: Thực hiện theo cách bố trí hành lang, các máy tính và các thiết bị khác – các nút mạng đều được nối với nhau trên một trục đường dây cáp chính để chuyển tải tín hiệu. Tất cả các nút đều sử dụng chung đường dây cáp chính này. 4 Hình 1.3.1.2 Kiến trúc mạng Bus + + - Ưu điểm: Dùng ít dây nhất, dễ lắp đặt, giá thành dẻ. Nhược điểm: Hay nghẽn mạng khi di chuyển dữ liệu với dung lượng lớn. Khi có sự hỏng hóc ở một bộ phận nào đó thì rất khó phát hiện Muốn sửa chữa thì phải ngưng toàn bộ hệ thống nên cấu trúc này ngày nay ít được sử dụng. - Ring: Mạng dạng này, được bố trí theo dạng xoay vòng, đường dây cáp được thiểt kế làm thành một vòng khéo kín, tín hiệu được chạy theo một chiều nào đó. Các nút truyền tín hiệu cho nhau mỗi thời điểm chỉ có một nút mà thôi. Dữ liệu truyền đi phải kèm theo một địa chỉ cụ thể của mỗi trạm tiếp nhận. Hình 1.3.1.3. Kiến trúc mạng Ring + Ưu điểm: - Mạng dạng vòng có thuận lợi là nó có thể mở rộng mạng ra xa hơn, tổng đường dây cần thiết ít hơn so với hai kiểu trên. - Mỗi trạm có thể đạt được tốc độ tối đa khi truy nhập. + Nhược điểm: - Đường dây phải khép kín, nếu bị ngắt ở một thời điểm nào dó thì toàn hệ thống cũng bị ngưng. - Mạng kết hợp: + Kết hợp hình sao và tuyến (Star/Bus topology). Cấu hình mạng dạng này có bộ phận tách tín hiệu (Spiter) giữ vai trò thiết bị trung tâm, hệ thống dây cáp mạng có thể chọn Ring topology hoặc Linear Bus topology. Lợi điểm của cấu hình này là mạng có thể gồm nhiều nhóm làm việc ở cách xa nhau. Hình 1.3.1.4 kiến trúc mạng két hợp Star - Bus 5 + Kết hợp hình sao và vòng (Star/Ring topology). Cấu hình dạng kết hợp Star/Ring có một thẻ bài liên lạc (Token) được chuyển vòng quanh một cái Hub trung tâm. Mỗi trạm làm việc (Workstation) được nối với Hub – là cầu nối giữa các trạm làm việc và để tăng khoảng cách cần thiết. 1.3.2. Công nghệ mạng Công ty là một doanh nghiệp thuộc loại nhỏ nên em chọn giải pháp là mạng Ethernet - LAN dây dẫn và mô hình là Star. Nghĩa là có một phòng đặt các thiết bị trung tâm từ đó dẫn dây đến các phòng còn lại. Giao thức truy nhập đường truyền: Sử dụng giao thức: CSMA/CD (carrier Sense Multiple Access with Collision Detection) - Giao thức này thường được dùng cho mạng có cấu trúc hình tuyến, các máy trạm cùng chia sẻ một kênh truyền thông chung, các trạm đều có cơ hội thâm nhập đường truyền như nhau (Multiple Access). - Tuy nhiên tại một thời điểm thì chỉ có một trạm được truyền dữ liệu mà thôi, trước khi truyền dữ liệu, mỗi trạm phải lắng nghe đường truyền để chắc chắn rằng đường truyền đang rỗi (carrier Sense). Nếu gặp đườngtruyền rỗi mới được truyền. - Trong trường hợp hai trạm thực hiện việc truyền dữ liệu đồng thời, lúc này khả năng xẩy ra xung đột dữ liệu sẽ là rất cao. Các trạm tham gia phải phát hiện được sự xung đột và thông báo tới các trạm khác gây ra xung đột (Collision Dection), đồng thời các trạm phải ngừng thâm nhập truyền dữ liệu ngay, chờ đợi lần sau trong khoảng thời gian ngẫu nhiên nào đó rồi mới tiếp tục truyền tiếp. - Khi lưu lượng các gói dữ liệu cần di chuyển trên mạng quá cao, thì việc xung đột có thể xẩy ra với số lượng lớn dẫn đến làm chậm tốc độ truyền thông tin của hệ thống. Giao thức truyền thẻ bài: - Giao thức này thường được dùng trong các mạng LAN có cấu trúc dạng vòng sử dụng kỹ thuật chuyển thẻ bài (token) để cấp phát quyền truy nhập đường truyền dữ liệu đi. - Thẻ bài ở đây là một đơn vị dữ liệu đặc biệt, có kích thước và nội dung (gồm các thông tin điều khiển) được quy định riêng cho mỗi giao thức. Trong đường dây cáp liên tục có một thẻ bài chạy quanh trong mạng. - Phần dữ liệu của thẻ bài có một bít biểu diễn trạng thái sử dụng của nó (Bận hoặc rỗi). Trong thẻ bài có chữa một địa chỉ đích và mạng dạng xoay vòng thì trật tự của sự truyền thẻ bài tương đương với trật tự vật lý của trạm xung quanh vòng. Một trạm muốn truyền dữ liệu thì phải đợi đến khi nhận được một thẻ bài rỗi, khi đó trạm sẽ đổi bít trạng thái của thẻ bài thành bận, nén gói dữ liệu có kèm theo địa chỉ nơi nhận vào thẻ bài và truyền đi theo chiều của 6 vòng. Thẻ bài lúc này trở thành khung mang dữ liệu. Trạm đích sau khi nhận khung mang dữ liệu này sẽ copy dữ liệu vào bộ đệm rồi tiếp tục truyền khung theo vòng nhưng thêm một thông tin xác nhận. Trạm nguồn nhận lại khung của mình (theo vòng) đã nhận đúng, rồi bít bận thành bít rỗi và truyền thẻ bài đi. - Vì thẻ bài chạy vòng quanh trong mạng kín và có một thẻ nên việc đụng độ dữ liệu không thể xẩy ra. Do vậy hiệu suất truyền dữ liệu của mạng không thay đổi, trong các giao thức này cần giải quyết hai vấn đề có thể dấn đến phá vỡ hệ thống. Một là việc mất thẻ bài làm cho trên vòng không còn thẻ bài lưu chuyển nữa. Hai là một thẻ bài tuân thủ đúng sự phân chia của môi trường mạng, hoạt động dựa vào sự xoay vòng tới các trạm. Việc truyền thẻ bài sẽ không thực hiện được nếu việc xoay vòng bị đứt đoạn. Giao thức phải chữa các thủ tục kiểm tra thẻ bài để cho phép khôi phục lại thẻ bài bị mất hoặc thay thế trạng thái của thẻ bài và cung cấp các phương tiện để sửa đổi logic (thêm vào, bớt đi hoặc định lại trật tự của các trạm). 1.3.3. Mô hình mạng Mô hình mạng phân cấp: Hình 1.3.3 Mô hình mạng phân cấp Cấu trúc : - Lớp lõi (Core Layer) đây là trục xương sống của mạng (Backbone), thường được dùng các bộ chuyển mạch có tốc độ cáo (high – speed switching), thường có các đặc tính như độ tín cậy cao, có công suất dư thừa, có khả năng tự khắc phục lỗi, có khả năng lọc gói, hay lọc các tiến trình đang chuyển trong mạng - Lớp phân tán (Distribution Layer) Lớp phân tán là ranh giới giữa lớp truy nhập và lớp lõi của mạn. Lớp phân tán thực hiện các chức năng như đảm bảo gửỉ dữ liệu đến từng phân đoạn mạng, đảm bảo an ninh – an toàn phân đoạn mạng theo nhóm công tác. Chia miền Broadcastm / Multicast, định tuyến giữa các LAN ảo (VLAN), chuyển môi trường truyền dẫn, định tuyến giữa các miền, tạo biên giới giữa các miền trong tuyến định tuyến tĩnh và động, thực hiện các bộ lọc gói (theo địa chỉ, theo số hiệu cổng……..). Thực hiện các cơ chế đảm bảo chất lượng dịch vụ QOS. - Lớp truy nhập (Access Layer) lớp truy nhập cung cấp các khả năng truy nhập cho người dùng cục bộ hay từ xa truy nhập vào mạng. An toàn an ninh mạng: 7 - Hệ thống tường lửa 3 phần (Three- part Firewall System) đặc biệt quan trọng trong thiết kế WAN, chúng tôi sẽ trình bày trong chương 3. Ở đây chỉ nêu một khía cạnh chung nhất cấu trúc của mô hình sử dụng trong thiết kế mạng LAN Hình 1.3.3. Mô hình tường lửa 3 phần - LAN cô lập làm vùng đệm giữa mạng công tác với bên ngoài (LAN cô lập được gọi là khu phi quân sự hay vùng DMZ) - Thiết bị định tuyến trong có cài đặt bộ lọc gói được đặt giữa DMZ và mạng công tác. - Thiết bị định tuyến ngoài có cài đặt bộ lọc gói được đặt giữa DMZ và mạng ngoài. Quản lí: - Mô hình quản lý mạng phù hợp với yêu cầu của doanh nghiệp là Workroup – Domain. Sử dụng một máy chủ Server để quản lý các máy trạm, máy chủ sử dụng hệ điều hành Winserver 2003, còn máy trạm thì sử dụng hệ điều hành Windows XP Sp3 để làm việc. Ứng dụng: dùng Client – Server - Máy chủ có quyền cao nhất, máy chủ sẽ phân quyền cho các máy thành viên, tùy thuộc vào phòng ban nào, sẽ có những quyền riêng biệt của phòng ban đó. 8 2. THIẾT KẾ SƠ ĐÔ 2.1. Bản vẽ mặt bằng - Tầng 1: Hình 2.1.1. Sơ đồ mặt bằng tầng 1 - Tầng 2: Hình 2.1.2. Sơ đồ thiết kế mặt bằng tầng 2 - Tầng 3: 9 Hình 2.1.3. Sơ đồ thiết kế mặt bằng tầng 3 2.2. Thiết kế sơ dồ logic 10 2.3. Thiết kế sơ đồ vật lý: - Tầng 1: Hình 2.3.1. Sơ đồ vật lí tầng 1 - Tầng 2: Hình 2.3.2. Sơ đồ vật lí tầng 2 - Tầng 3: 11 Hình 2.3.3. Sơ đồ vật lí tầng 3 3. LẬP KẾ HOẠCH TRIỂN KHAI KẾT NỐI MẠNG 3.1. Lập bảng vật tư, thiết bị kết nối mạng T T 1 2 Mô tả 3 Servers Tủ RACK PCs Đặc tính kỹ thuật SLg (cái) 1 53 - Processor:Intel Pentium DualCore E2180 (2.2GHz, 1MB Cache L2, Bus 800) - Chipset: Intel 945GC Express - Memory: 1G DDR2/667MHz - Hard disk: 200GB Sata, 7200 rpm, 3Gb/s hard drive - Optical Drive:DVD-Rom 16X - Graphics: Intel GMA 950DVMT 224MB - Network: 10/100 Mbps Fast Ethernet (Gigabit Lan) - Keyboard, Mouse: FPT Elead PS/2, Optical - Chipset: Intel 5000V 1 - RAM:2x1GB-DDR2 - Vi Xử lý Intel Xeon Quad core 5405(4x2.0Ghz…) - Đồ hoạ ATI ES1000 16MB - Card mạng:Dual Gigabit LAN - Ổ cứng 2x250GB SATA2 - Ổ CD:DVD-ROM /CD-RW Đơn giá (NghìnVND) 2.500 4.500 Thành tiền (Triệu VND) 2.5 238.5 15.620 15.62 12 4 5 6 7 8 Patch Panel Modem Printers Faxes Dây UTP 9 Đầu RJ45 1 0 1 1 Bộ lưu điện (COMBO) - Bàn phím/chuột Elead PS/2 Patch Panel 48 cổng Modem ADSL 4 cổng Máy in HP laserejr Z 6L Máy Faxes Panasonix 1 cuộn dây UTP CAT 5 11 1 2 1 300 m Hạt mạng RJ45 có phủ lớp 150 chống oxy hóa 1 Thiết bị ổn định điện áp 1 2.800 1.200 7.500 3.500 800 1.2 14 3.5 0.8 4 0.6 13.500 13.5 7.500 7.5 … 3.2. Lập kế hoạch đi dây Điểm kết nối (MDF,IDF): - Để có thể nối các IDF về một MDF cần sử dụng thêm các patch panel kết nối chéo chiều đứng (VCC – Vertical Cross Connect Patch Panel). Dây cáp nối giữa hai VCC patch panel được gọi là cáp chiều đứng (Vertical Cabling). Chúng có thể là cáp xoắn đôi nếu khoảng cách giữa MDF và IDF không lớn hơn 100 mét. + MDF (Patch Panel, Switch): Tủ RACK + IDF (Patch Panel): Hộp nối - Các thiết bị kết nối tầng vật lý + Pathch Panel: đấu nối  Patch Panel → Patch Panel  Patch Panel → Switch  Patch Panel → tủ RACK + Outlet: đấu nối  Patch Panel → Outlet  Outlet → Computer 13 3.3. Tiến hành kết nối theo kế hoạch Chuẩn bấm dây: - Có rất nhiều các chuẩn về cáp mạng khác nhau. Thông thường người ta sử dụng cáp đồng trục (Coaxial Cable) hoặc cáp xoắn không bọc UTP (Unshielded Twisted Pair). Loại cáp đồng trục hiện đã lỗi thời do tốc độ thấp (10 Mbps) và hiện nay rất ít nơi còn sử dụng. Cáp xoắn UTP lại được chia ra làm nhiều tiêu chí (CAT - Category) khác nhau, nhưng phổ biến nhất trong mạng LAN là 2 loại CAT-5 và CAT-6 (100Mbps và 1000Mbps). Cáp UTP đi với đầu nối RJ-45 (RJ - Registered Jack), RJ-45 bằng nhựa cứng trong suốt có 8 chân bằng đồng, khi đưa đầu dây vào rồi dùng kìm bấm dây để bấm thì 8 chân này sẽ ghim vào 8 sợi dây CAT-5. Có 2 chuẩn bấm dây được sử dụng là T568A và T568B. Thông thường, khi bấm dây để nối từ PC vào HUB ta có thể bấm cả 2 đầu dây với cùng 1 chuẩn: cùng là T568A hoặc cùng T568B. Lúc này ta có dây cáp thẳng (Straight Through). Khi bấm dây để nối từ PC đến PC (trường hợp chỉ có 2 máy tính) hoặc từ HUB/SWITCH vào HUB/SWITCH (dây link trong trường hợp muốn nối 2 HUB/SWITCH lại với nhau) ta bấm 1 đầu dây theo chuẩn T568A còn đầu kia theo chuẩn T568B. Đây gọi là dây cáp chéo (Cross Over) Cắm đầu nối (RJ45) vào PatchPanel/Oulet: - Theo tiêu chuẩn quốc tế thì người ta sẽ không sử dụng dây cáp (thường cá cáp cat5e) để bấm đầu RJ45 rồi cắm thẳng vào switches vì thường đầu RJ45 không thể bấm chuẩn được. Hơn nữa nếu bấm cáp cat6 thì khả năng thành công thấp. Theo thời gian đầu RJ45 sẽ bị oxy hoá, các signals tới đầu sẽ bị dội tín hiệu và switches tối ngày phải nhận và xử lý những tín hiệu lỗi này và hậu quả là hệ thống mạng càng chậm. Khi gắn Patch Panel các thao tác connect tới switches sẽ rất thuận tiện, đồng thời hỗ trợ được cho các thiết bị Testers kiểm tra, Marping network system. Đồng thời sử dụng sợi patch cord (là sợi cáp được đúc sẳn 2 đầu RJ45 tại nhà máy sản xuất cáp, sẽ làm tối ưu hoá đường truyền và đầu RJ45 được tráng một lớp bảo vệ sự oxy hoá. Một đầu sẽ cắm vào patch panel, một đầu cắm vào switch. Các bước lắp đặt Patch Panel: B1. Cố định cáp mạng từ switch tầng vào mặt sau của patch panel: Với các patch panel, mặt trước là các jack để cắm đầu RJ45 (được cắm từ patch panel đến switch trong phòng server), phía sau (tương ứng với các jack cắm RJ45 của mặt trước) là các rãnh để cố định cáp mạng kéo từ switch tầng đến. Thao tác cố định cáp mạng vào các rãnh này cũng giống như cách cố định cáp mạng vào các modular jack mà chúng ta thường làm. Thường thì mặt sau của patch panel có nhãn ghi thứ tự màu của chuẩn 586A hay 586B và số thứ tự port, do đó nếu chúng ta sử dụng chuẩn 586B cho việc bấm cáp mạng, thì khi nhấn cáp mạng vào rãnh cũng sử dụng chuẩn 586B. Chú ý khi nhấn cáp mạng vào rãnh, hãy để lưỡi dao của dụng cụ punch down 14 tool hướng bên ngoài để cắt luôn các dây dư thừa và sau đó có thể dùng dây buộc để buộc các dây cáp mạng lại cho gọn gàng. B2. Bắt patch panel vào 2 thanh phía trước của tủ rack: Khi mua patch panel về, thường thì ở 4 góc của patch panel sẽ có 4 lỗ để bắt bu-lông cố định patch panel vào 2 thanh phía trước của tủ rack. Ở bước này, ta có thể dùng tay để siết đai ốc vào bu-lông, hoặc dùng thêm cờ lê để siết thật chặt đai ốc giúp cho hệ thống được chắc chắn, đảm bảo an toàn lâu dài. B3. Cắm cáp mạng từ mặt trước của patch panel đến các port của switch: Ở bước này, ta có thể tự bấm cáp mạng để cắm từ switch đến patch panel, nhưng như trên đã nói, để tín hiệu luôn hoạt động ổn định, nên mua cáp mạng để cắm từ patch panel đến switch, vì cáp mạng loại này đã được đúc sẵn 2 đầu và được tráng sẵn một lớp bảo vệ chống oxy hóa. Khi đã lắp đặt xong, ta tiến hành đấu nối các đầu nối RJ45 với Patch Panel, đầu kia nối tới Outlet. Tại các phòng ban, tiến hành nối mạng các máy PC với máy chủ. 4. TRIỂN KHAI XÂY DỰNG ETHERNET LAN 4.1. Cài đặt máy DC 4.1.1. Thiết lập RAID Khái niệm RAID: RAID (Redundant Arrays of Independent Disks) là hình thức ghép nhiều ổ đĩa cứng vật lý thành một hệ thống ổ đĩa cứng có chức năng gia tăng tốc độ đọc/ghi dữ liệu hoặc nhằm tăng thêm sự an toàn của dữ liệu chứa trên hệ thống đĩa hoặc kết hợp cả hai yếu tố trên. Phân loại: Theo RAB thì RAID được chia thành 7 cấp độ (level), mỗi cấp độ có các tính năng riêng, hết chúng được xây dựng từ hai cấp độ cơ bản là RAID 0 và RAID 1. - RAID 0 là cấp độ cơ bản: Các dữ liệu cần chứa trên hệ thống RAID 0 được phân tách thành hai phần để chứa trên tối thiểu hai ổ đĩa cứng khác nhau. Một cách đơn giản nhất, ta có thể hiểu theo ví dụ sau: Có hai ổ đĩa cứng: Ổ 0 và ổ 1 (trong tin học thường đánh số thứ tự bắt đầu từ 0), với dữ liệu mang nội dung A (có thể phân tách thành hai phần dữ liệu bằng nhau là A1 và A2) sẽ được ghi lại ở cùng trên hai đĩa: Đĩa 0 chứa dữ liệu A1 và đĩa 1 chứa dữ liệu A2. Khi đọc dữ liệu A này thì đồng thời cả hai ổ đĩa cứng đều hoạt động, cùng lấy ra dữ liệu A1 và A2 trên mỗi ổ đĩa cứng. Hệ điều hành sẽ tiếp nhận được nguyên vẹn nội dung dữ liệu A như nó được ghi vào. Qua ví dụ trên có thể nhận thấy rằng tốc độ đọc và ghi dữ liệu của hệ thống RAID 0 được tăng lên gấp đôi (cùng một thời điểm cùng đọc và cùng ghi). Do đó RAID 0 rất phù hợp với các hệ thống máy chủ, các máy tính của gamer khó tính hoặc các máy tính phục vụ việc đọc/ghi dữ liệu với băng thông cao. Cũng trong ví dụ trên, nếu như xảy ra hư hỏng một trong hai ổ đĩa cứng thì sẽ ra sao? Câu trả lời là dữ liệu sẽ mất hết, bởi dữ liệu cùng được tách ra ghi ở hai đĩa không theo dạng hoàn chỉnh. Trong ví dụ trên, nếu như chỉ 15 còn một nửa dữ liệu A1 (hoặc A2) thì hệ thống không thệ nhận biết chính sách đầy đủ dữ liệu được ghi vào là A. Vậy đặc điểm của RAID 0 sẽ là làm tăng băng thông đọc/ghi dữ liệu, nhưng cũng làm tăng khả năng rủi ro của dữ liệu khi hư hỏng ổ đĩa cứng. - RAID 1 cũng là một cấp độ cơ bản. Từ các nguyên lý của RAID 0 và RAID 1 có thể giải thích về các cấp độ RAID khác. RAID 1 là sự kết hợp của ít nhất hai ổ đĩa cứng trong đó dữ liệu được ghi đồng thời trên cả hai ổ đĩa cứng đó. Lặp lại ví dụ trên: Nếu dữ liệu có nội dung A được phân tách thành A1, A2 thì RAID 1 sẽ ghi nội dung A được ghi tại đồng thời cả hai ổ đĩa cứng 0 và ổ đĩa cứng 1. Mục đích của RAID 1 là tạo ra sự lưu trữ dữ liệu an toàn. Nó không tạo ra sự tăng tốc độ đọc và ghi dữ liệu (tốc độ đọc/ghi tương đương với chỉ sử dụng duy nhất một ổ đĩa cứng). RAID 1 thường sử dụng trong các máy chủ lưu trữ các thông tin quan trọng. Nếu có sự hư hỏng ổ đĩa cứng xảy ra, người quản trị hệ thống có thể dễ dàng thay thế ổ đĩa hư hỏng đó mà không làm dừng hệ thống. RAID 1 thường được kết hợp với việc gắn nóng các ổ đĩa cứng (cũng giống như việc gắn và thay thế nóng các thiết bị tại các máy chủ nói chung). - RAID 5 là sự cải tiến của RAID 0 nhưng có thêm (ít nhất) một ổ đĩa cứng chứa thông tin có thể khôi phục lại dữ liệu đã hư hỏng của các ổ đĩa cứng RAID 0. Giả sử dữ liệu A được phân tách thành 3 phần A1, A2, A3 (Xem hình minh hoạ RAID 5), khi đó dữ liệu được chia thành 3 phần chứa trên các ổ đĩa cứng 0, 1, 2 (giống như RAID 0). Phần ổ đĩa cứng thứ 3 chứa dữ liệu của tất cả để khôi phục dữ liệu có thể sẽ mất ở ổ đĩa cứng 0, 1, 2. Giả sử ổ đĩa cứng 1 hư hỏng, hệ thống vẫn hoạt động bình thường cho đến khi thay thế ổ đĩa cứng này. Sau khi gắn nóng ổ đĩa cứng mới, dữ liệu lại được khôi phục trở về ổ đĩa 1 như trước khi nó bị hư hỏng. Yêu cầu tối thiểu của RAID 5 là có ít nhất 3 ổ đĩa cứng. Cấu hình RAID trên Windows Server 2003: - Khi ổ cứng được hoạt động ở chế độ RAID sẽ có nhiều tính năng cao cấp như: RAID 0 tăng tốc độ truy xuất dữ liệu, RAID 1 an toàn cho dữ liệu, RAID 5 vừa tăng tốc độ truy cập dữ liệu và vẫn đảm bảo tốc độ truy xuất dữ liệu. Để triển khai RAID có hai loại Hardware RAID và Software RAID. Hầu hết máy chủ đều sử dụng Hardware RAID do có nhiều tính năng cao cấp. Trong bài viết này tôi sẽ trình bày cách thiết lập Software RAID trên Windows Server 2003 đáp ứng các yêu cầu nâng cao tốc độ và đảm bảo an toàn nhưng chi phí thấp hơn rất nhiều, dựa trên nền tảng các máy chủ cấp thấp. Giới thiệu về Ổ cứng Logic. - Ổ cứng vật lý là các loại ổ khác nhau như: ATA, SATA, SCSI, SAS nhưng khi cài hệ điều hành Windows lên nó chỉ nhận ra thành hai ổ logic đó là: + Ổ Basic: Mặc định khi các bạn cài Windows lên ổ cứng sẽ là định dạng ổ Basic. Khi một ổ cứng ở dạng này nó sẽ chỉ cho phép tạo 4 Primary Partition và 1 Extend Partition mà thôi. + Ổ Dynamic: Cho phép tạo không giới hạn số Volume (lưu ý là ổ Basic tạo ra các phân vùng sẽ là Partition còn ổ Dynamic sẽ là các Volume). Ngoài ra nó còn cho phép tạo Software RAID 4.1.2. Đặt địa chỉ IP tĩnh Bước 1. Right click My Network Places chọn Properties Bước 2. Right click Local Area Connection chọn Properties Bước 3. Chọn Internet Protocol (TCP/IP) => Properties 16 4.1.3. Cài đặt hệ điều hành Windows Server 2003 Do hệ thống phổ biến hiện nay là Winserver 2003 nên công ty cài đặt hệ thống Winserver 2003 cho máy chủ. Có thể cài đặt Win2k3 chạy được trên 01 máy có tốc độ 266MHz, nhưng để đảm bảo việc xử lý bạn nên sử dụng máy có tốc độ ít nhất là 1 GHz, tối thiểu 8GB hoặc 10GB dung lượng đĩa cứng chứa hệ điều hành và các phần mềm chạy trên server. Cách thức cài đặt một server tương tự với cách cài đặt các phiên bản Windows thường dùng (XP1, XP2, Windows 2000). Nhưng có một số điểm cần lưu ý sau: - Cấu hình BIOS của máy để có thể khởi động từ đĩa ổ đĩa CDROM. Cho đĩa cài đặt Windows server 2003 vào ổ đĩa CDROM và khởi động lại máy. Khi máy khởi động từ đĩa CDROM, bấm 1 phím bất kỳ khi xuất hiện thông báo “Press any key to boot from CD …”. Nếu máy có ổ đĩa SCSI thì bấm F6 để cài đặt driver cho ổ đĩa SCSI. Bấm F8 để chấp thuận bản quyền và tiếp tục quá trình cài đặt. Chọn vùng trống trên đĩa và nhấn phím C để tạo partition mới chứa hệ điều hành. Nhập dung lượng partition cần tạo --> chọn Enter. Định dạng partition chứa hệ điều hành theo hệ thống tập tin FAT hay NTFS, thông thường chọn Format the partition using the NTFS file system (Quick). Quá trình cài đặt sẽ sao chép các tập tin của hệ điều hành vào partition đã chọn. Sau quá trình này, hệ thống sẽ khởi động lại. Sau khi hệ thống khởi động lại, giao diện trình cài đặt Windows Server 2003 xuất hiện : 17 4.1.4. Nâng cấp DC Có hai cách để nâng cấp server thành domain controller: - Dùng tiện ích manage your server trong administrative tools. Vào start /run/ dcpromo Cài đặt: - Thiết lập địa chỉ IP: + Khi cài đặt Active Directory trên Windows Server 2003 bạn nên cài đặt DNS trước với các thiết lập chuẩn: - Địa chỉ IP đặt là địa chỉ tĩnh và địa chỉ DNS là địa của chính máy mình. - Vào card mạng thiết lập địa chỉ IP cho máy của chúng ta. Có thể thiết lập như sau: Hình 4.1.4. Đặt IP và địa chỉ DNS tĩnh. - - Chọn menu Start Run. Nhập DCPROMO trong hộp thoại Run và nhấn nút OK. Khi hộp thoại Active Directory Installation Wizard xuất hiện. Nhấn Next để tiếp tục. Chương trình xuất hiện hộp thoại cảnh báo DOS,WINDOWS 95 và WIN NT SP3 trở về trước sẽ bị loại khỏi miền Active Directory dựa trên Windows server 2003.Bạn chọn Next để tiếp tục. + Domain Controller for a New domain: Tạo ra Domain Controller đầu tiên trong Domain. + Additional domain Controller …: là lựa chọn để cài đặt thêm một máy chủ DC vào cho một Domain. Ở đây bạn chọn Option: Domain Controller for a New Domain.--> Next để tiếp tục. Lựa chọn Options Domain in a new forest. Rồi nhấn Next tiếp tục quá trình cài đặt. Cần phải lựa chọn nơi chứa thư mục NTDS cho quá trình Replications của hệ thống Domain Controller. Nhấn Next để tiếp tục. 18 - Cần phải thiết lập nơi lưu trữ thư mục SYSVOL đây là thư mục bắt buộc phải để trong Partition định dạng NTFS, với tác dụng chứa các dữ liệu để Replication cho toàn bộ Domain Controller trong Domain. Nhấn Next để tiếp tục quá trình cài đặt. Hệ thống sẽ hiển thị các thông tin về DNS đã được cấu hình chuẩn chưa và các thông tin về Domain.Nếu hệ thống báo lỗi bạn cần phải cài đặt và thiết lập DNS lại. Ở bước này bạn chọn Install and configure the DNS server on this computer,and set this computer to use this DNS server as its preferred DNS server. - 4.2. Cài đặt máy trạm 4.2.1. Cài đặt máy mẫu cho các phòng ban Tại một máy Client, tiến hành cài Hệ điều hành Windows XP, ta tiến hành cài đặt như khi cài đặt Hệ điều hành Windows Server 2003. Do các máy tính làm việc của công ty có cùng chủng loại và cấu hình nên ta sẽ cài trên một máy và sau đó sẽ dùng Ghostcast Server để ghost. Sau khi cài đặt thành công hệ điều hành Windows XP cho máy Client, ta tiến hành cài đầy đủ Driver cho máy. Tiếp đó cài các phần mềm phục vụ cho công việc. Khi đã cài đầy đủ, ta tiến hành tạo File ghost mẫu, để cài cho các máy khác. 4.2.2. Cài đặt máy Ghostcast Server Chúng ta dùng phiên bản Symantec Ghostcast Server 8.2 (Symantec Ghost Corporate Edition 8.2) Chúng ta có thể cài đặt từ giao diện chung của đĩa khi chạy Autorun hay có thể chạy từ file setup.exe trong thư mục \GHOST\INSTALL. Tuy nhiên trong trường hợp này thì cả 2 cách đều giống nhau, để thông dụng chúng ta chạy từ Autorun. Lúc đó sẽ có bảng sau: 4.2.3. Sử dụng Ghostcast Server để cài đặt các máy trạm B1. Chạy chương trình Symantec Ghostcast Server: Trên máy chủ chạy Ghostcast Server từ Start -> Programs -> Symantec Ghost -> Ghostcast Server 19 Session Name: Nhập một tên bất kỳ, đây xem như mã số mà máy client sẽ nhập và khi muốn kết nối với máy chủ để ghostcast, ví dụ nhập vào abc Restore Image: Mặc định được chọn để tiến hành phục hồi hệ điều hành cho máy con từ image lưu sẵn trên máy chủ. Khi đã chọn chức năng này thì ở phần Image File chúng ta click vào Browse rồi chỉ đến image đã được tạo sẵn trước đó và lưu ở máy chủ. Ở đây file 1.gho là file image của 1 máy con đã tạo sẵn. Create Image: chọn chức năng này khi muốn tạo image cho máy con để lưu trên máy chủ. Khi chọn chức năng này thì ở phần Image File chúng ta chọn Browse đến thư mục cần lưu image và nhập vào tên image sẽ tạo ra (xem như đặt tên trước) Sau khi đã chọn các phần trên chúng ta click vào Accept Clients để cho phép các client đang chạy ghostcast (từ file ghost.exe) có thể kết nối với máy chủ ghostcast. Chú ý: Ở máy con sau khi đã kết nối được máy chủ (sau khi ở máy chủ đã chọn Accept Clients) thì sau khi đã chọn các thao tác như khi tiến hành ghost bình thường trên dos với file ghost.exe thì quá trình ghost sẽ chưa được thực thi mà phải chờ đợi lệnh từ máy chủ. Việc này mục đích cho phép khi chúng ta tiến hành ghostcast cho 1 phòng máy thì ở các máy con chúng ta lặp lại thao tác như trên cho tất cả các máy, đến khi các máy con đã ở trạng thái chờ thì lúc đó chúng ta sẽ ra lệnh từ máy chủ thì lúc đó tiến trình ghostcast mới được thực thi bởi vì phương pháp Multicast yêu cầu quá trình phải tiến hành đồng thời. Việc ra lệnh đó có thể thực hiện tự động hay thủ cộng: - Thực hiện thủ công: chỉ cần click Send - Thực hiện tự động: thông qua phần Auto Start với các tùy chọn sau: * Time: chỉ định khoảng thời gian mà khi hết thời gian này máy chủ sẽ ra lệnh ghostcast 20 * Client Count: chỉ định số lượng máy con kết nối mà khi đủ số kết nối thì máy chủ tự động phát lệnh cho các máy con tiến hành ghost. * Timeout: chỉ định thời gian mà máy chủ sẽ ra lệnh ghostcast sau khi máy con đầu tiên kết nối vào 4.3. Lập bảng tên máy, địa chỉ IP, tài khoản người dùng STT Tên Máy Tên Nhân viên Tài khoản truy cập Địa chỉ IP 1 PC_KD01 Đinh Trần Thiên Thăng Thangnv 192.168.1.11 2 PC_KD02 Lý Phú Thắng PThangnm 192.168.1.12 3 PC_KD03 Lô Xuân Đồng Dongnv 192.168.1.13 4 PC_HC01 Nguyễn Đăng Duẩn Duannp 192.168.1.21 5 PC_HC02 Lê Thị Huyền Trang Trangpt 192.168.1.22 … … … … … 4.4. Tạo tài khoản người dùng -tạo tai khoản Hình 4.4. Tạo tài khoản người dùng 21 4.4.1. Cho phép người dùng truy cập trong giờ làm việc - Để cấu hình các thuộc tính của tài khoản người dùng trên màn hình Active Directory ta nhấp phải chuột vào tài khoản chọn Propertie 22 + + Từ thứ 2 đến thứ 6 : 8h -17h. Thứ 7: 8h - 12h Sau khi thiết lập xong, nhấn OK để lưu thiết lập. 4.4.2. Người dùng chỉ đăng nhập tài khoản trên máy của mình 23 - Nhấp chọn mục The following computer rồi nhập tên máy tính vào khung Computer name rồi nhấp Add. Nhấp OK để áp dụng và đóng hộp thoại. 4.5. Chia sẻ tài nguyên 4.5.1. Chia sẻ thư mục dùng chung, dùng riêng Thư mục dùng chung E:\Public Chia sẻ thư mục dùng lệnh netshare. 4.5.2. Chia sẻ máy in Cài đặt máy in: HP Laserjet 6L trên máy DC - B1. Nhấn vào Menu Start (nằm ở góc dưới bên trái của màn hình) sau đó chọn Printers and Faxes. B2. Trong Printers and Faxes chọn Add a Printer. 24 - - B3. Trong Welcome to the Add Printer Wizard chọn Next. B4. Trong Local or Network Printer chọn Local Printer attached to this computer và không đánh dấu trong ô Automatically detect and install my Plug and Play printer. Nhấn Next để tiếp tục. B5. Trong Select a Printer Port bạn giữ nguyên các thiết lập mặc nhiên như trong hình và nhấn Next B6. Trong Install Printer Software chọn máy in HP laserejr Z 6L bằng cách chọn Nhà sản xuất HP ở phần Manufacturer và Model máy in HP laserejr Z 6L ở phần Printers. Sau khi chọn xong nhấn Next để tiếp tục. 25 - B7. Trong Names Your Printer bạn có thể đặt tên cho máy in hoặc để tên đã định sẵn, nhấn Next để tiếp tục. B8. Trong Printer Sharing chọn Do not share this printer, nhấn Next B9. Trong Print Test Page chọn No và nhấn Next để tiếp tục B10. Trong Completing the Add Printer Wizard nhấn Finish để hoàn tất việc cài đặt máy in Sau khi máy in đã được cài đặt xong sẽ có một biểu tượng (Icon) và tên của máy in nằm trong cửa sổ Printers and Faxes. Cấp quyền: Chỉ cho các người dùng công ty được phép in - Sau khi cài đặt máy in xong, bấm chuột phải vào máy in, chọn Properties Chọn thẻ Seccurity: xóa hết các tài khoản, chỉ để lại Administrator. Sau đó chọn Add, tiến hành thêm nhóm được phép in vào và cấp quyền. Chọn Ok để hoàn tất 26 4.6. Cấp quyền cho người dùng 4.6.1. Cấp quyền truy cập thư mục dùng chung, dùng riêng Cấp quyền truy cập thư mục: - Nhấp phải chuột vào Folder hoặc File rồi chọn Properties rồi nhấp thẻ Security - Tại mục Group or User names: Chứa người dùng và nhóm được cấp quyền Tại mục Permission: Là các quyền có thể cấp cho người dùng hoặc nhóm Tương ứng với các quyền là 2 cột Allow là cho phép và Deny là cấm. 27 - Ngoài ra để cấp quyền truy cập đặc biệt nhấp nút Advanced - Trên màn hình Advanced Security Setting bỏ dấu check tại Allow inheritable permissions from the parent to propagate to this object and all child objects. Include these with entries explcitly defined here làm xuất hiện màn hình Security như sau: - Trên màn hình này nếu nhấp nút Copy tức là chúng ta sẽ copy các quyền đã cấp cho thư mục Parent xuống cho các thư mục con theo cấu trúc phân tầng. Nếu nhấp nút Remove chúng ta sẽ loại bỏ các quyền đã cấp và cấp lại quyền khác cho các thư mục con theo cấu trúc phân tầng. Nhấp nút Copy và nhấp OK để trở lại màn hình thuộc tính của thư mục. Trên màn hình này giờ muốn cấp quyền cho người dùng nào chỉ việc nhấp nút Add và chọn. Sau đó trong mục Permission nhấp chọn quyền thích hợp rồi nhấp OK để áp dụng và đóng hộp thoại. 28 - Để kết cấp quyền truy cập thư mục dùng riêng: + Với Share giữ nguyên default Full Control gán cho nhóm Everyone + Sau đó cấp quyền truy cập NTFS cho tài khoản người dùng hoặc tài khoản Group cụ thể để truy cập thư mực và tập tin chứa trong hệ thống phân tầng của forlder share Permiss 4.6.2. Cấp quyền sử dụng phần mềm 4.6.3. Tiến hành bảo mật bằng chính sách nhóm 29 4.7. Kết nối Internet và thực hiện bảo mật 4.7.1. Cài đặt ISA Server 2004/2006 - Triển khai hệ thống ISA Server (Standar và Enterprise) cho một công ty có số lượng nhân viên trên 50 người. Để cung cấp dịch vụ chia sẻ Internet, công ty sử dụng một đường ADSL và hệ thống ISA Server 2004 Firewall. Với địa chỉ modem ADSL là 1.1.1.2, hệ thống có hai lớp mạng chính là Internal bao gồm các máy tính của nhân viên có dãy địa chỉ IP riêng là 192.168.1.1 – 192.168.1.255/24 và DMZ dành cho máy chủ (như Exchange Server, Web Server) sử dụng địa chỉ mạng 172.16.1.0/24. Máy chủ dùng để cài đặt ISA Server chạy Windows Server 2003 SP1 có 3 NIC (network interface) với địa chỉ IP như sau: + Outside Interface: IP 1.1.1.1, Subnet Mask 255.255.255 và Default Gateway 1.1.1.2 (ADSL modem). + Inside Interface: IP 192.168.1.10, Subnet Mask 255.255.255.0 và DNS 192.168.1.11 (DNS Server và Domain Controler của hệ thống) + DMZ Interface: IP 172.16.1.1, Subnet Mask 255.255.255.0 Nhằm bảo đảm an toàn cho hệ thống và firewall, trên giao tiếp mạng Outside chọn Disable Netbios Over TCP IP, bỏ chọn Register this connections address in DNS và Enable LMHOST lookup Cài Đặt ISA Server: - Sau khi đã thiết lập đầy đủ các thồng tin cần thiết, chúng ta tiến hành cài đặt ISA Server 2004 Standard trên máy tính dùng làm firewall. Chúng ta có thể chọn một trong 3 chế độ cài đặt sau: - Typical: ở chế độ này chỉ cài đặt một số dịch vụ tối thiểu, không có dịch vụ Cache. - Complete: tất cả các dịch vụ sẽ được cài đặt như Firewall dùng để kiểm soát truy cập; Message Screener cho phép ngăn chặn spam và file đính kèm (cần phải cài IIS 6.0 SMTP trước khi cài Message Screener); Firewall Client Installation Share. Custom: cho phép chọn những thành phần cần cài đặt của ISA Server 2004. Ở đây chúng ta sẽ sử dụng chế độ cài đặt Custom, mặc định chỉ có hai dịch vụ Firewall Services và ISA Server Management, hãy chọn thêm Firewall Client Installation Share. 30 - Tiếp theo tiến trình cài đặt sẽ yêu cầu bạn xác định giao tiếp mạng với hệ thống mạng nội bộ (Internal Network), trong cửa sổ Internal Network nhấn Add rồi Select Network Adapter. Đánh dấu chọn Inside trong trang Select Network Adapter. - Tiếp theo, chúng ta cần cung cấp dãy địa chỉ IP chứa các máy tính trong mạng nội bộ (From, To). Lưu ý, dãy địa chỉ này phải chứa IP của giao tiếp mạng Inside. Trong cửa số Firewall Client Connection Settings hãy đánh dấu chọn Allow nonencrypted Firewall client connections và Allow Firewall clients running earlier versions of the Firewall client software to connect to ISA Server, nhấn Next trong các bước tiếp theo để hoàn tất quá trình cài đặt. - 4.7.2. Thiết lập luật vào ra bảo vệ máy trạm - ISA Server 2004 Firewall có 3 dạng chính sách bảo mật: system policy, access rule và publishing rule. System policy thường ẩn và được dùng cho việc tương tác giữa firewall và các dịch vụ mạng khác như ICMP, RDP... System policy được xử lý trước khi access rule được áp dụng. Sau 31 - khi cài đặt các system policy mặc định cho phép ISA Server sử dụng các dịch vụ hệ thống như DHCP, RDP, Ping… Access Rule: là tập hợp các quy tắc truy cập Internet hay email. Cần đặc biệt lưu ý đến thứ tự các access rule vì luồng xử lý của firewall sẽ chấm dứt khi nó gặp policy "chặn" lại. Để hiểu rõ cơ chế này, chúng ta xem ví dụ có 5 access rule với thứ tự như sau: + Deny HTTP (không cho phép sử dụng HTTP protocol) + Allow HTTP (cho dùng HTTP protocol) + Allow FTP (cho phép sử dụng FTP) + Deny FTP (không cho phép sử dụng FTP) + Deny All (default policy) Trong trường hợp chúng ta cho rằng đối tượng sử dụng là như nhau, thì khi một người dùng sử dụng giao thức HTTP để duyệt web, anh ta sẽ bị từ chối truy cập vì access rule đầu tiên không cho phép sử dụng giao thức này. Nhưng nếu người dùng đó tải về tập tin thông qua FTP thì anh ta sẽ được phép vì access rule thứ 3 cho phép dùng FTP, và firewall sẽ bỏ qua các access rule còn lại. - Publishing Rule: dùng để cung cấp các dịch vụ như Web Server, Mail Server trên lớp mạng Internal hay DMZ cho phép các người dùng trên Internet truy cập. Khi quá trình cài đặt ISA Server 2004 hoàn tất, chúng ta kết nối ISA Server với Internet và cấu hình các ISA client để có thể truy cập Internet thông qua ISA Server Firewall. Mặc định ISA Server chỉ có một access rule sau khi cài đặt là Deny All, từ chối mọi truy cập vào/ra thông qua ISA firewall, vì vậy chúng ta cần tạo các quy tắc thích hợp với nhu cầu tổ chức hoặc áp dụng các quy tắc mẫu (Predefine Template) cho ISA Server. Có thể cấu hình ISA Firewall Policy thông qua giao diện ISA Management Console trên chính ISA Server hoặc cài công cụ quản lý ISA Management Console trên một máy khác và kết nối đến ISA Server để thực hiện các thao tác quản trị từ xa. Giao diện quản lý của ISA Server Management console có 3 phần chính: + Khung bên trái để duyệt các chức năng chính như Server name, Monitoring, Firewall Policy, Cache... + Khung ở giữa hiển thị chi tiết các thành phần chính mà chúng ta chọn như System Policy, Access Rule... + Khung bên phải còn được gọi là Tasks Pane chứa các tác vụ đặc biệt như Publishing Server, Enable VPN Server... Tạo Access Rule Trên ISA: - Mở giao diện quản lý ISA Management Server bằng cách chọn Start - >All Programs - > Microsoft ISA Server - > ISA Server Management. Nhấn phải vào Firewall Policy và chọn Create New Access Rule hoặc chọn từ khung tác vụ (Task Pane) của màn hình quản lý. Đặt tên cho access rule cần tạo là Permit any traffic from internal network hoặc tên phù hợp với hệ thống của bạn và chọn Next. Trong phần Rule Action chúng ta chọn Allow, vì đây là access rule cho phép client sử dụng các giao thức và ứng dụng thông qua firewall. 32 - - - Xác định những giao thức mà người dùng được sử dụng như HTTP hay FTP... Trong cửa sổ Protocols, hãy chọn All outbond trafic, nếu muốn thay đổi bạn chỉ cần chọn trong danh sách như Selected Protocol để chọn một số giao thức nào đó hay All inbound trafic cho trường hợp cung cấp các kết nối từ bên ngoài vào. Hệ thống cần biết đối tượng sử dụng các giao thức trong access rule, ở trường hợp này các client là những người sử dụng trong hệ thống mạng nội bộ cho nên chúng ta chọn Add trên Access Rule Source và chọn Internal. Đối với User thì chúng ta chọn All User (trong trường hợp cần thiết bạn có thể xác định những Group hay User thích hợp của hệ thống như Group Domain User, Administrator..., khi Firewall không thuộc Domain thì hãy sử dụng local account của Firewall trong Local Users And Groups). Nhấn Apply để hiệu lực firewall policy mới tạo, lúc này chúng ta đã có 2 acess rule là Default Rule (có chức năng Deny All, lưu ý Default Rule không thể xoá được) và Permit Any Traffic from internal network cho phép người dùng trong mạng nội bộ được phép sử dụng tất cả các giao thức trên Internet. Cấu hình ISA Client: - Để sử dụng ISA Server thì các client trên mạng phải cấu hình một trong ba loại sau: SecureNAT, Firewall Client, Web Proxy Client hoặc cả 3 dạng trên. + SecureNAT Client: Các máy tính chỉ cần cấu hình Default Gateway là địa chỉ card mạng trong của ISA Server là được (trong trường hợp này là 192.168.1.10), hoặc chúng ta có thể cấp phát thông qua DHCP server với option 006 dành cho Router. + Firewall Client: Thông thường khi cài đặt ISA Server bạn sẽ cài dịch vụ Firewall Client Installation Share, sau đó trên ISA Server mở system policy cho phép truy cập tài nguyên chia sẻ và máy tính client chỉ cần kết nối đến ISA Server theo địa chỉ IP nội bộ với tài khoản hợp lệ để tiến hành chạy tập tin cài đặt Firewall Client. Nếu không muốn cài đặt Firewall Client Installation Share trên từng máy client thì chúng ta có thể chọn cài dịch vụ này trên bất kỳ máy tính nào như file server hoặc domain controller như sau: chọn Setup Type loại Custom và chọn This feature, and all subfeatures, will be installed on the local hard drive trong mục Firewall Client Installation Share. Sau đó trên các máy tính client tiến hành cài đặt Firewall Client bằng cách mở Start - > Run và chạy lệnh: \\192.168.1.10\mspclnt\setup. + Web Proxy Client: Để sử dụng Web Proxy, các máy tính client phải cấu hình trong trình duyệt web bằng cách mở Internet Explore, chọn Tools - > Internet Options, chọn tab Connections - > LAN Settings và nhập vào địa chỉ của Proxy server. Các máy tính trong mạng có thể truy cập Internet qua ISA Server là cấu hình SecureNAT client dựa trên hệ thống cấp phát địa chỉ IP động hoặc cấu hình IP tĩnh và trỏ default gateway là địa chỉ mạng nội bộ của ISA Server. Ngoài ra để quá trình phân giải địa chỉ IP diễn ra suôn sẻ thì các client cần cấu hình địa chỉ DNS server nội bộ và cả ISP DNS Server như 210.245.31.10 hay 203.162.4.191. Thiết Lập Các Private Policy 33 Công ty có những yêu cầu riêng về chính sách hệ thống như không cho phép chat bằng AOL hay MSN Messenger, cho phép tải tập tin thông qua FTP. Bên cạnh đó, để phục vụ nhu cầu duyệt web, giao thức HTTP được cho phép sử dụng nhưng cấm không cho tải những tập tin có thể thực thi trên hệ thống Windows qua HTTP để ngăn ngừa sự lây nhiễm virus. Để thực hiện điều này, bạn cần phải hiệu chỉnh lại firewall policy của mình. + Tạo access rule không cho phép sử dụng AOL và MSN Mesenger Nhấn chuột phải Firewall Policy, chọn Create new Access Rule và đặt tên là deny MSN and AIM, nhấn Next. Ở cửa sổ Rule Action hãy chọn Deny và nhấn Next. Trong phần This rule applies to chọn Selected Protocols. Nhấn Add. Sau đó mở Protocols của Instant Messaging và nhấn đúp AOL Instant Messenger và MSN Messenger. Nhấn Close. Tiếp theo chúng ta chọn Internal và External trong phần Network, áp dụng cho All user và Apply để áp dụng policy này cho hệ thống. + Tạo access rule cho phép client sử dụng FTP tải về và tải lên Trong trường hợp bạn muốn phép người dùng sử dụng FTP để tải về (download) và cả tải lên (upload) hãy tiến hành như sau: Tạo access rule mới thông qua Create a New Access Rule, đặt tên là permit FTP với Rule Action là Allow, áp dụng cho All User và Internal Network. Sau khi nhấn Apply thì User trên hệ thống mạng nội bộ đã có thể tải về thông qua FTP bằng các chương trình FTP Client như FileZilla. Tuy nhiên để họ có thể tải lên các FTP server thì chúng ta cần bỏ thiết lập Read Only cho FTP access rule bằng cách nhấn phải chuột vào Access Rule permit FTP và chọn Configure FTP. Trong cửa sổ Configure FTP protocol policy bỏ chọn Read Only sẽ cho phép upload lên Ftp server. + Tạo access rule cho phép sử dụng HTTP nhưng không cho phép tải về những file có khả năng thực thi trên hệ thống Windows. + Tạo access rule mới tên là permit HTTP deny executables cho phép người dùng trên lớp mạng Internal sử dụng HTTP protocol. Nhấn phải chuột vào permit HTTP deny executables và chọn configure HTTP. Đánh dấu chọn vào ô Block responses containing Windows executable content 4.7.3. Cài đặt chương trình diệt virus Lưu ý trước khi cài đặt chương trình - Trước khi cài đặt, bạn phải remove sạch sẽ phần mềm antivirus của hãng khác Đảm bảo giờ hệ thống trùng khớp với hiện tại mới có thể kích hoạt được bản quyền Máy tính phải được kết nố Internet mới có thể kích hoạt được bản quyền Hệ điều hành hỗ trợ cài đặt: + Máy trạm: Windows 2000 Pro, Windows XP, Windows Vista, Windows 7 (bao gồm 64bit) + Máy chủ: Windows Server 2000, Windows Server 2003, Windows Server 2008 (bao gồm 64bit và R2) Tiến hành cài đặt chương trình: 34 - Đến từng máy tính trong công ty, sử dụng source cài đặt được cung cấp trong CD để tiến hành cài đặt. Bạn cũng có thể tải source cài đặt tại: http://www.kaspersky.com/downloads/small/office/security Các bước cài đặt bạn chọn theo tùy chỉnh mặc định Sau khi cài đặt thành công, bước kích hoạt bản quyền xuất hiện như hình dưới: bạn điền vào mã “Activation code” được ghi trên thẻ bản quyền (bao gồm 20 ký tự) sau đó chọn Next - Sau khi kích hoạt thành công, thông tin bản quyền sẽ xuất hiện. Bạn chọn Next để qua bước tiếp theo. - Quá trình cài đặt hoàn thành, chọn Finish 35 4.8. Cài đặt dịch vụ 4.8.1. FTP Server Cài đặt dịch vụ FTP: - - Kích vào Start => Setting => trỏ đến Control Panel, và rồi kích Add or Remove Programs. Kích vào Add/Remove Windows Components. Trong Components, kích vào Application Server, kích vào Internet Information Services (IIS) (không chọn hoặc bỏ chọn check box), và rồi kíchDetails. Kích chọn các check box sau (nếu chúng chưa được chọn): + Common Files + File Transfer Protocol (FTP) Service + Internet Information Services Manager Kích chọn các check box liên quan IIS hoặc các thành phần mà ta muốn cài đặt, và rồi kích OK. Kích vào Next. Khi được nhắc chèn đĩa Windows Server 2003 CD-ROM thì chèn đĩa vào ổ hoặc cung cấp đường dẫn tìm đến các file yêu cầu, và rồi kích OK. Kích vào Finish để kết thúc. Cấu hình dịch vụ FTP Để cấu hình dịch vụ FTP chỉ cho phép các kết nối anonymous ta thực hiện như sau: - Khởi động Internet Information Services Manager hoặc mở snap-in IIS. 36 - Mở nhánh CDN_BCVT-DC-01 Mở nhánh FTP Sites Kích phải chuột vào Default FTP Site, và rồi kích Properties. Kích vào tab Security Accounts . Kích chọn check box Allow Anonymous Connections (nếu nó chưa được chọn), và rồi kích chọn check box Allow only anonymous connections. Kích chọn check box Allow only anonymous connections để cấu hình dịch vụ FTP chỉ cho phép các kết nối anonymous: User không cần log on với user name và password. Kích vào tab Home Directory. Kích chọn các check box Read và Log visits (nếu nó chưa được chọn), và rồi kích để xóa check box Write (nếu nó chưa được xóa). Và rồi kích vào OK. Thoát Internet Information Services Manager hoặc đóng snap-in IIS. 37 Server FTP hiện không được cấu hình để tiếp nhận các yêu cầu FTP income. Copy hoặc Move tất cả các file mà ta muốn publish đến thư mục mặc định drive:\Inetpub\Ftproot, trong đó: drive là ổ đĩa mà IIS được cài đặt. 4.8.2. Mail Server - Chọn Start->Programs->Administrative Tools->Manage Your Server. Click chọn: Add or remove a role. Lúc này sẽ xuất hiện màn hình Configure Your Server Wizard. Nhấn Next để tiếp tục Chọn mục Mail Server (Pop3, SMTP) , nhấn next để tiếp tục cài đặt Chọn chế độ xác thực Window Authentication trong mục Authentication Method. Gõ tên domain trong mục E-mail Domain Name Sau đó Click Next cho đến khi Finish. Hình 4.8.2. Cài đặt Mail server 38 Cấu hình Mail Server - Click Start -> Run (Nhấn Window + E). Gõ p3server.msc rồi nhấn Enter Hộp thoại POP3 Service xuất hiên. Ở khung bên trái, bạn click vào tên máy server, sau đó click chuột phải chọn Properties. Sau đó cấu hình như hình sau: Tạo hộp thư - Trong POP3 Service, bạn chọn tên Domain vừa mới tạo, click chọn Add MailBox ở khung bên phải (hoặc click chuột phải để chọn trong menu) - Gõ tên hộp mail và password vào, rồi nhấn OK (Lưu ý: Password của bạn phải đặt theo Policy được quy định trên Server. Tạm thời bạn để thực hành, bạn có thể password như sau: Abc@123). Nhấn OK ở màn hình tiếp theo để hoàn tất cài đặt hộp mail Cài đặt SMTP để nhận Mail - Vào Run gõ inetmgr để mở Internet Information Service (Bạn phải cài IIS mới sử dụng được chức năng này). Click chuột phải lên mục Default SMTP Virtual Server và chọn Properties. 39 - Chọn tab Access. Chọn nút Authentication và tick vào tùy chọn Anonymous Access and Integrated Windows Authentication Chọn nút Relay , tick vào mục Allow all computers which successfully và Only the list below. Cấu hình mail clients - Chọn Outlook Express (Hay bất kỳ một trình quản lý mail nào, chằng hạn: Outlook trong bộ Office của Microsoft, Thunderbird của Mozilla,…) Chọn Tool -> Accounts Click nút Add và chọn Mail. Sau đó bạn cài đặt với các thông số sau: Display name: hungtk E-mail address: hungtk@ptit.edu.vn Incoming mail server is a: POP3 Incoming mail server: ptit.edu.vn Outgoing mail server: ptit.edu.vn Account name: hungtk@ptit.edu.vn Password: Abc@123 Remember Password: Checked SPA: Unchecked Như vậy là xong 4.9. Thiết lập truy cập không dây 4.9.1. Cài đặt Access Point Bước 1: Cài đặt thiết bị theo mô hình chỉ dẫn trên thiết bị Bước 2: Cấu hình modem kết nối Internet 4.9.2. Cấu hình Access Point Đầu tiên, để cấu hình Access Point, bạn phải biết địa chỉ IP hiện tại của thiết bị đó. Lúc mới mua về, hoặc sau khi bạn tiến hành Reset lại thiết bị, bằng cách dùng một chiếc bút có đầu nhỏ, nhấn và giữ nút Reset trong 10 giây, thiết bị sẽ quay về địa chỉ IP mặc định, thường là 192.168.0.1. Dùng trình duyệt truy cập địa chỉ http://192.168.0.1. Bạn sẽ vào được trang web cấu hình thiết bị mạng không dây này. Luu ý rằng khi đó, máy tính dùng cấu hình web cũng phải được đặt địa chỉ cùng lớp mạng với Access Point, ví dụ như 192.168.0.2 chẳng hạn. Trong cầu hình mặc định, phần User bạn nhập vào admin, còn phần Password thì bạn bỏ trống, rồi nhấn nút Log In để đăng nhập vào cấu hình. Những thông tin về tài khoản mật khẩu mặc định bạn có thể đọc trong sách hướng dẫn đi kèm thiết bị, hoặc tìm kiếm trên Internet. 40 Vào được trang cấu hình, bạn sẽ thấy ở cạnh trái gồm các thành phần cần thiết, trong đó quan trọng nhất là Internet Setup, Wireless Setup và LAN Setup. Với mỗi mục cấu hình, bạn có thể dùng tính năng Wizard để thực hiện từng bước theo kiểu hỏi đáp. Nhưng để hiểu rõ thiết bị và tận dụng những tính năng mạnh mẽ của chúng, bạn nên chọn chế độ cấu hình bằng tay (manual). Trong phần Internet Setup, là phần liên kết giữa Access Point với đường ra Internet, bạn có thể chọn một trong các kiểu cài đặt địa chỉ IP. Nếu Router ADSL của bạn được cấu hình để cấp địa chỉ IP tự động, thì bạn chọn My Internet Connection là Dynamic IP (DHCP). Còn ngược lại, bạn chọn chế độ cài đặt để dùng IP tĩnh (Static IP). Trường hợp dùng IP tĩnh bạn phải biết Router ADSL của mình đang sử dụng vùng địa chỉ IP nào, để kết nối vào mạng LAN, trong đó có Access Point. Có được địa chỉ IP của Router ADSL, bạn nhập nó vào làm địa chỉ ISP Gateway Address của Access Point, và chọn một địa chỉ khác chưa dùng trong mạng LAN làm địa chỉ của điểm truy cập này trong mục IP Address. Phần Subnet Mask thì bạn dùng theo dạng chuẩn của việc phân lớp địa chỉ IP. (Xem thêm bài địa chỉ IP). Sau đó, bạn nhập hai địa chỉ máy chủ phân giải tên miền DNS (tùy mỗi nhà cung cấp dịch vụ Internet mà địa chỉ này có thể khác nhau) vào các mục Primary DNS Address và Secondary DNS Address. Kết thúc bước cài đặt thông số cho cấu hình Internet Connection này, bạn bấm nút Save Settings để lưu lại. 41 Kế tiếp là bước cấu hình cho phần LAN Setup. Bạn có thể chọn một vùng địa chỉ bất kỳ để cài đặt trong phần này. Đặt địa chỉ trong mục Router IP Address, và điền phần mặt nạ mạng chuẩn vào mục Default Subnet Mask. Bạn đừng quên tắt đi hộp chọn Enable DNS Relay. Hộp chọn này cho phép biến Access Point thành một máy chủ DNS chuyển tiếp, nhưng theo kinh nghiệm của người dùng, thì nó làm cho việc truy cập Internet bị chậm hơn việc sử dụng thẳng các máy chủ DNS bên ngoài. Nếu như ở phía cấu hình Internet Connection ở trên, Access Point đóng vai trò là kẻ nhận địa chỉ IP động từ Router ADSL, thì trong phần LAN Setup này, Access Point lại đóng vai trò là nơi cấp phát địa chỉ IP động cho các máy tính xách tay sử dụng tín hiệu không dây, khi chúng kết nối vào. Bạn đánh dấu hộp chọn Enable DHCP Server để bật tính năng máy chủ DHCP này lên. Rồi điền hai giá trị giới hạn vùng địa chỉ IP sẽ được cấp phát động vào hai ô ngay sau mục DHCP IP Address Range. Bạn cũng sẽ phải bấm vào nút Save Settings để lưu lại những thay đổi mà bạn vừa thực hiện, và thoát ra khỏi bước cấu hình này. 42 Bước cấu hình cần thiết sau cùng, cũng là bước quan trọng nhất đồi với một Access Point, chính là mục Wireless setup. Muốn kích hoạt sóng Wifi để mọi người truy cập, bạn đánh dấu mục Enable Wireless. Để phân biệt Access Point của bạn và các điểm truy cập mạng không dây khác trong khu vực, bạn phải đặt một tên định danh trong mục Wireless Network Name (SSID). Mục Wireless Channel cho phép bạn lựa chọn một kênh phát sóng Wifi để khỏi trùng lắp sóng với các điểm truy cập khác gần đó.Có 11 kênh sóng để cho bạn chọn lựa, tuy nhiên sóng của ba kênh 1, 6, và 11 hỗ trợ việc truyền dữ liệu tốt nhất, còn các kênh khác chỉ dùng khi cần thiết. Tuy nhiên, nếu các Access Point xung quanh khu vực bạn cài đặt đã chiếm giữ hết các kênh 1,6,11 như trên, thì cách tốt nhất là bạn sử dụng tính năng tự động chọn kênh bằng cách đánh dấu hộp chọn Enable Auto Channel Selection. Phần chọn lựa tốc độ truyền tải dữ liệu, Transmission Rate, bạn cũng nên chọn chế độ tự động bằng mục Best (automatic). Đặc biệt, để tăng tính an toàn cho hệ thống, bạn có thể đánh dấu thêm phần Enable Hidden Wireless để giấu đi định danh mạng Access Point của mình. Khi bạn làm như thế, những người dùng thông thường không được phép, khi dùng chức năng quét tìm mạng không dây, sẽ không nhìn thấy Access Point của bạn. Dĩ nhiên, một số phần mềm chuyên dụng vẫn sẽ phát hiện ra nó. Trong phần mã hóa bảo mật mạng không dây, bạn có thể chọn Security Mode là một trong các kiểu mã hóa WEP, WPA, WPA2... tùy theo mỗi loại Access Point hỗ trợ những chuẩn nào. Tuy nhiên bạn cũng cần nhớ rằng hiện nay chuẩn mã hóa WEP đã có thể bị giải mã khá dễ dàng bằng đĩa công cụ có sẳn trên Internet. Còn các chuẩn WPA, WPA2 đến hiện nay vẫn còn được xem là an toàn. Đi kèm với chuẩn WPA là hai thông số Cipher Type và PSK / EAP, bạn có thể chọn mặc định nếu chưa có kinh nghiệm. Và dĩ nhiên không thể thiếu phần chuỗi bí mật dùng để kiểm tra tính hợp lệ khi người dùng kết nối vào Access Point của bạn. Tùy theo bạn chọn cách mã hóa nào mà chuỗi Network Key có thể dài hay ngắn, dùng ký tự hay dùng ký số thập lục phân. 43 Và để bảo vệ những cấu hình đã thực hiện, cũng như bảo vệ những truy cập tái phép vào Access Point, bạn đừng quên cài đặt một mật khẩu để quản lý. Chọn thẻ Maintenance, chọn mục Device Administration ở cạnh trái, bạn nhập tên tài khoản muốn dùng khi truy cập trong mục Login Name, nhập mật khẩu trong vùng New Password, rồi xác định lại lần nữa trong mục Confirm Password. Muốn truy cập vào Access Point mà bạn vừa cấu hình, trong Vista bạn bấm phải chuột trên biểu tượng mạng, rồi chọn Connect to a network. Nhấn nút làm tươi lại danh sách, bạn sẽ thấy tên SSID mà bạn đã đặt cho Access Point của mình hiện ra cùng với các điểm truy cập khác trong vùng phủ sóng. Muốn kết nối vào, bạn bấm chọn vào tên của nó rồi bấm nút Connect. Nếu bạn không cấu hình bảo mật, thì kết nối sẽ được tạo ra ngay. Trường hợp bạn có dùng cách mã hóa WEP hay WPA, bạn sẽ bị yêu cầu nhập vào từ khóa trong phần Key. 44 Tuy nhiên, khi bạn dùng tính năng ẩn giấu SSID, thì việc cấu hình có khác biệt một tí. Vì không thấy tên của Access Point trong danh sách, nên bạn phải bấm chọn mục Setup a connection or network, rồi chọn Manually connect to a wireless network. Sau đó, bạn gõ chính xác tên định danh SSID vào mục Network Name, chọn kiểu phương cách bảo mật trong vùng Security Type, kiểu mã hóa trong vùng Encryption type và cuối cùng là chuỗi ký tự chìa khóa trong vùng Security Key/ Passphrase. Nhấn Next rồi chọn Connect để tiến hành kết nối theo phần cấu hình vừa thực hiện để kiểm tra. Việc cấu hình truy cập không dây bằng tay có thể thực hiện tương tự trên Windows XP hay Windows 7. Tuy nhiên, bạn có thể để máy tính truy cập theo cách thông thường (không ẩn SSID) , lưu kết nối rồi sau đó mới tiến hành ẩn định danh mạng. Trong lần truy cập sau, máy tính sẽ dùng các thông số kết nối cũ mà không cần tiến hành tìm kiếm lại. Như vậy, việc thực hiện kết nối sẽ dễ dàng hơn, mà vẫn đảm bảo tính an toàn của mạng không dây. 45 5. VẬN HÀNH MẠNG ETHERNET LAN 5.1 Tiến hành giám sát các máy trạm 5.1.1. Kiểm tra xác thực đăng nhập 5.1.2. Kiểm tra cấp quyền 5.2. Thiết lập quản lý dung lượng đĩa 5.2.1. Thiết lập quota cho các nhóm và người dùng Thiết lập Group Policy Vào Start / Run gõ gpedit.msc, sau đó vào Computer Configuration > Administrative Templates > System > Disk Quotas. Ở khung bên phải bạn sẽ thấy một danh sách các policy (chính sách để cấu hình) có thể sử dụng được. Kích đúp vào thiết lập “Default Quota Limit and Warning Level Properties” Giới hạn quota mặc định là tổng số không gian lớn nhất gán cho từng quota mặc định, còn mức cảnh báo thì thấp hơn, là tổng không gian cho phép đạt đến ngưỡng nào đó trước khi đưa ra cảnh báo. Thông thường được đặt là 90-95%. Bạn có thể cấu hình các thiết lập khác bằng cách kích chọn chúng ở khung bên phải. Nếu muốn các thay đổi này được áp dụng ngay lập tức, đánh dấu cho phép vào ô “Disk Quota Policy Processing” và chọn “Process Even If The Group Policy Objects Have Not Changed” từ Administrative Templates > System > Group Policy. 46 Bạn cũng có thể dùng tiện ích gpupdate để cấu hình update group policy. Thực hiện bằng cách vào Start >Run, gõ gpupdate. Sau khi thực hiện xong nó sẽ refresh lại cả các chính sách cho máy tính và người dùng. Bất kỳ thay đổi nào thực hiện trong Group Policy sẽ tương ứng với tab thuộc tính trong Quota của từng đĩa bạn muốn cấu hình trong domain. Các tùy chọn này xuất hiện với đường viền màu xám và không thể chỉnh sửa. Cấu hình Disk Quota và các Disk Quota Entries Sử dụng Computer Management, bạn có thể cấu hình các disk quota cho bộ đĩa cục bộ hoặc từ xa từ một vị trí trung tâm. Mở Computer Management, có ba lựa chọn: hoặc là kích phải chuột lên My Computer và chọnManage, hoặc gõ compmgmt.msc trong Run, hoặc chọn Computer Management từ thư mục Administrative Tools. Chọn máy tính bạn muốn quản lý từ nút gốc. Muốn chọn máy từ xa, kích phải chuột lên nút “Computer Management”, chọn “Connect to another computer…” và trỏ tới máy tính bạn muốn quản lý. Bây giờ, chuyển đến Storage > Disk Management và chọn đĩa bạn muốn cấu hình từ khung bên phải. Mở hộp thoại Properties, kích vào nhãn Quota và kích chọn các tùy chọn bạn muốn sử dụng. 47 Biểu tượng đèn giao thông xanh đỏ ở trên đầu để chỉ trạng thái của disk quota. Màu đỏ nghĩa là các quotas không được sử dụng, màu cam nghĩa là các thay đổi đang diễn ra (khi xây dựng lại thông tin ổ đĩa) và màu xanh nghĩa là các disk quotas được cho phép sử dụng. Phần thông tin trạng thái thể hiện dưới dạng văn bản được hiển thị ở bên phải biểu tượng. Đánh dấu chọn vào “Deny disk space to users exceeding quota limit” để Windows hạn chế người dùng thêm dữ liệu vào không gian đĩa được cấp phát khi giới hạn quota được sử dụng. Người dùng sẽ không thể thêm dữ liệu vào cho đến khi phần không gian này được giải phóng. Như bạn có thể thấy trên Hình 3, giới hạn quotas cho người dùng mới có đường viền màu xám. Nó sẽ được hiển thị như vậy sau khi thiết lập disk quota trong Group Policy, và ghi đè lên bất kỳ thiết lập tùy biến nào trên tab Quota của đĩa. Trong trường hợp này chúng ta giới hạn không gian đĩa là 500 MB và thiết lập mức cảnh báo là 450 MB. Bạn có thể chọn không giới hạn không gian dùng mà chỉ theo dõi việc sử dụng chúng trên từng phân vùng đĩa bằng cách bỏ dấu chọn ở hộp “Deny disk space to users exceeding quota limit” và đưa ra một thông báo khi người dùng vượt quá mức cảnh báo trong giới hạn quotas. Bất kỳ khi nào người dùng vượt quá giới hạn này, nhật ký sự kiện Warning sẽ được ghi vào Application Event Log và được hiển thị trong Event Viewer. 48 Có một vấn đề đã được biết đến ở Service Pack trước đó của Windows 2003 là các nhật ký sự kiện Warning được hiển thị không chính xác như một Information log trong Event Viewer. Chỉ riêng đối với ứng dụng Quota Entries nó mới được thể hiện chính xác là một Warning. Khi bạn ấn nút Apply trên hộp thoại Disk Quota Properties Dialog, bạn được thông báo là bộ đĩa này sẽ được quét lại để update số liệu thống kê và quá trình này có thể mất một vài phút. Đơn giản chỉ cần ấn OK để tiếp tục, các disk quotas sẽ được sử dụng cho đĩa. Các Quota Entry Kích vào nút Quota Entries trên hộp thoại Disk Quota Properties Dialog, bạn có thể xem danh sách các điểm vào disk quota riêng. Trên khu vực này bạn có thể tạo, xóa hoặc quản lý các điểm vào quota cho từng người dùng hoặc nhóm cụ thể. Nếu một người dùng nào đó yêu cầu lượng không gian sử dụng lớn hơn những người khác, bạn có thể thiết lập tại đây. Vào Quota > New Quota Entry, hộp thoại Active Directory User Picker xuất hiện. Chọn người dùng trênActive Directory và ấn OK. Bạn sẽ được cung cấp tùy chọn giới hạn không gian đĩa và thiết lập mức cảnh báo hoặc không giới hạn việc sử dụng. Chọn các thiết lập bạn thích hợp rồi ấn OK, người dùng sẽ được thêm vào danh sách. Bạn có thể giám sát không gian đĩa sử dụng bằng cách nhìn vào thuộc tính của từng cột. Cột “Status” chỉ trạng thái người dùng có nằm trọng giới hạn của họ hay không. Nếu một cảnh báo được ghi nhận hoặc giới hạn quá tải, biểu tượng sẽ thay đổi tương ứng với từng trường hợp. 49 5.2.2. Ánh xạ ổ đĩa - Tạo 1 folder trên domain, share folder đó cho everyone "mọi người đều có thể truy cập" - Trong folder này bạn tạo các folder khác có tên giống các user cần ánh xạ nhé ví dụ: user 1 có quyền full ở folder 1.... tiếp tục với các user khác 50 - Vào Run gõ dsa.msc ấn Enter - Nhấn Apply và Ok để hoàn thành. Tìm đến User hoặc Group cần ánh xạ ổ đĩa, bạn click chuột phải vào User/Group chọn Properties  Profile 5.2.3. Quản lý dung lượng đĩa theo quota cấp Hạn ngạch đĩa được dùng để chỉ định lượng không gian đĩa tối đa mà một người dùng có thể sử dụng trên một volume NTFS. Có thể áp dụng hạn ngạch đĩa cho tất cả người dùng hoặc chỉ đối với từng người dùng riêng biệt. Một số vấn đề bạn phải lưu ý khi thiết lập hạn ngạch đĩa: - Chỉ có thể áp dụng trên các volume NTFS. - Lượng không gian chiếm dụng được tính theo các tập tin và thư mục do người dùng sở hữu. Khi người dùng cài đặt một chương trình, lượng không gian đĩa còn trống mà chương trình thấy được tính toán dựa vào hạn ngạch đĩa của người dùng, không phải là lượng không gian còn trống trên volume. Được tính toán trên kích thước thật sự của tập tin trong trường hợp tập tin/thư mục được nén. 51 5.3. Thiết lập sao lưu dữ liệu 5.3.1. Lập kế hoạch sao lưu 5.3.2. Tiến hành sao lưu 5.4. Bảo trì mạng 5.4.1. Xử lý sự cố mạng 5.4.2. Xử lý sự cố phần mềm 5.4.3. Xử lý sự cố điện 52 [...]... + Deny HTTP (không cho phép sử dụng HTTP protocol) + Allow HTTP (cho dùng HTTP protocol) + Allow FTP (cho phép sử dụng FTP) + Deny FTP (không cho phép sử dụng FTP) + Deny All (default policy) Trong trường hợp chúng ta cho rằng đối tượng sử dụng là như nhau, thì khi một người dùng sử dụng giao thức HTTP để duyệt web, anh ta sẽ bị từ chối truy cập vì access rule đầu tiên không cho phép sử dụng... thống như không cho phép chat bằng AOL hay MSN Messenger, cho phép tải tập tin thông qua FTP Bên cạnh đó, để phục vụ nhu cầu duyệt web, giao thức HTTP được cho phép sử dụng nhưng cấm không cho tải những tập tin có thể thực thi trên hệ thống Windows qua HTTP để ngăn ngừa sự lây nhiễm virus Để thực hiện điều này, bạn cần phải hiệu chỉnh lại firewall policy của mình + Tạo access rule không cho phép sử... lập Read Only cho FTP access rule bằng cách nhấn phải chuột vào Access Rule permit FTP và chọn Configure FTP Trong cửa sổ Configure FTP protocol policy bỏ chọn Read Only sẽ cho phép upload lên Ftp server + Tạo access rule cho phép sử dụng HTTP nhưng không cho phép tải về những file có khả năng thực thi trên hệ thống Windows + Tạo access rule mới tên là permit HTTP deny executables cho phép người... nút Copy tức là chúng ta sẽ copy các quyền đã cấp cho thư mục Parent xuống cho các thư mục con theo cấu trúc phân tầng Nếu nhấp nút Remove chúng ta sẽ loại bỏ các quyền đã cấp và cấp lại quyền khác cho các thư mục con theo cấu trúc phân tầng Nhấp nút Copy và nhấp OK để trở lại màn hình thuộc tính của thư mục Trên màn hình này giờ muốn cấp quyền cho người dùng nào chỉ việc nhấp nút Add và chọn Sau...2.3 Thiết kế sơ đồ vật lý: - Tầng 1: Hình 2.3.1 Sơ đồ vật lí tầng 1 - Tầng 2: Hình 2.3.2 Sơ đồ vật lí tầng 2 - Tầng 3: 11 Hình 2.3.3 Sơ đồ vật lí tầng 3 3 LẬP KẾ HOẠCH TRIỂN KHAI KẾT NỐI MẠNG 3.1 Lập bảng vật tư, thiết bị kết nối mạng T T 1 2 Mô tả 3 Servers Tủ RACK PCs Đặc tính kỹ thuật SLg (cái) 1... Graphics: Intel GMA 950DVMT 224MB - Network: 10/100 Mbps Fast Ethernet (Gigabit Lan) - Keyboard, Mouse: FPT Elead PS/2, Optical - Chipset: Intel 5000V 1 - RAM:2x1GB-DDR2 - Vi Xử lý Intel Xeon Quad core 5405(4x2.0Ghz…) - Đồ hoạ ATI ES1000 16MB - Card mạng:Dual Gigabit LAN - Ổ cứng 2x250GB SATA2 - Ổ CD:DVD-ROM /CD-RW Đơn giá (NghìnVND) 2.500 4.500 Thành tiền (Triệu VND) 2.5 238.5 15.620 15.62 12 4 5 6... phần Network, áp dụng cho All user và Apply để áp dụng policy này cho hệ thống + Tạo access rule cho phép client sử dụng FTP tải về và tải lên Trong trường hợp bạn muốn phép người dùng sử dụng FTP để tải về (download) và cả tải lên (upload) hãy tiến hành như sau: Tạo access rule mới thông qua Create a New Access Rule, đặt tên là permit FTP với Rule Action là Allow, áp dụng cho All User và Internal... Khi đã lắp đặt xong, ta tiến hành đấu nối các đầu nối RJ45 với Patch Panel, đầu kia nối tới Outlet Tại các phòng ban, tiến hành nối mạng các máy PC với máy chủ 4 TRIỂN KHAI XÂY DỰNG ETHERNET LAN 4.1 Cài đặt máy DC 4.1.1 Thiết lập RAID Khái niệm RAID: RAID (Redundant Arrays of Independent Disks) là hình thức ghép nhiều ổ đĩa cứng vật lý thành một hệ thống ổ đĩa cứng có chức năng gia tăng tốc... bạn cài Windows lên ổ cứng sẽ là định dạng ổ Basic Khi một ổ cứng ở dạng này nó sẽ chỉ cho phép tạo 4 Primary Partition và 1 Extend Partition mà thôi + Ổ Dynamic: Cho phép tạo không giới hạn số Volume (lưu ý là ổ Basic tạo ra các phân vùng sẽ là Partition còn ổ Dynamic sẽ là các Volume) Ngoài ra nó còn cho phép tạo Software RAID 4.1.2 Đặt địa chỉ IP tĩnh Bước 1 Right click My Network Places... cài đặt - 4.7.2 Thiết lập luật vào ra bảo vệ máy trạm - ISA Server 2004 Firewall có 3 dạng chính sách bảo mật: system policy, access rule và publishing rule System policy thường ẩn và được dùng cho việc tương tác giữa firewall và các dịch vụ mạng khác như ICMP, RDP System policy được xử lý trước khi access rule được áp dụng Sau 31 - khi cài đặt các system policy mặc định cho phép ISA Server ... 45 VẬN HÀNH MẠNG ETHERNET LAN 5.1 Tiến hành giám sát các máy trạm 5.1.1 Kiểm tra xác thực đăng nhập 5.1.2 Kiểm tra cấp quyền 5.2 Thiết lập quản lý dung lượng đĩa 5.2.1 Thiết. .. vụ web,dịch vụ thư điện tử - Truy cập internet 1.3 Lựa cho n kiến trúc, công nghệ, mô hình mạng cho doanh nghiệp 1.3.1 Kiến trúc mạng - Star: Mạng hình bao gồm kết nối trung tâm nút Bộ... học,thiết kế mạng cho doanh nghiệp, nhận sửa chữa bảo bảo hành hãng thiết bị Công ty Vitico thành lập nên chưa có trang thiết bị phuc vụ cho việc xây dựng, vận hành mạng Ethenet LAN Do đó, yêu cầu

Ngày đăng: 08/10/2015, 13:04

TRÍCH ĐOẠN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w