Báo Cáo Thực Tập Thiết Kế Mạng Lan Cho Công Ty TNHH Hiệp Thành

THIẾT KẾ MẠNG LAN CHO CÔNG TY TNHH HIỆP THÀNH1.1 Các thiết bị LAN cơ bản: Mạng cục bộ LAN lad hệ chuyền thông tốc độ cao được thiết kế để kết nốicác máy tính và các thiết bị xử lý dữ liệ

Mô tả công việc 11

TRƯỜNG ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI

KHOA CÔNG NGHỆ THÔNG TIN

************

BÁO CÁO THỰC TẬP

ĐỀ TÀI: THIẾT KẾ MẠNG LAN CHO CÔNG TY TNHH HIỆP THÀNH

Giáo Viên Hướng Dẫn:

Sinh Viên Thực Hiện : Nguyễn Thị Hồng Hạnh

MSV : 12300134

Hà Nội 8/2015

THIẾT KẾ MẠNG LAN CHO CÔNG TY TNHH HIỆP THÀNH

1.1 Các thiết bị LAN cơ bản:

Mạng cục bộ LAN lad hệ chuyền thông tốc độ cao được thiết kế để kết nốicác máy tính và các thiết bị xử lý dữ liệu khác nhau cùng hoạt động với nhautrong một khu vực địa lý nhỏ như ở một tầng của toà nhà, hoặc trong một toànhà… Một số mạng LAN có thể kết nối lại với nhau trong một khu làm việc

Các mạng LAN trở nên thông dụng vì nó cho phép những người sử dụngdùng chung những tàI nguyên quan trọng như máy in màu, ổ đĩa CD- ROM, cácphần mềm ứng dụng và những thông tin cần thiết khác Trước khi phát triểncông nghệ LAN các máy tính là độc lập với nhau, bị hạn chế bởi số lượng cácchương trình tiện ích, sau khi nối mạng LAN rõ ràng hiệu quả của chúng tănglên gấp bội

1.1.1.Các thiết bị nối chính của LAN:

1.1.1.1.Card mạng – NIC(Network Interface Card)

Card mạng _ NIC là một thiết bị được cắm vào trong máy tính để cung cấpcổng kết nối vào mạng.Card mạng được coi là thiết bị hoạt động ở lớp 2 của

mô hình OSI Mỗi card mạng có chứa một địa chỉ duy nhất là địa chỉ Media Access Control Card mạng điều khiển việc kết nối của máy tính vàocác phương tiện truyền dẫn trên mạng Card thực hiện các chức năng quantrọng:

MAC Điều khiển liên kết luận lý: liên lạc với các lớp trên trong máy tính

- Danh định: cung cấp một danh định là địa chỉ của MAC

- Đóng Frame: định dạng, đóng gói các bit để truyền tải

- Điều khiển truy xuất môi trường: cung cấp truy xuất có tổ chức đểchia sẻ môi trường.

- Báo hiệu: tạo các tín hiệu và giao tiếp với môi trường bằng cáchdùng các bộ thu phát tích hợp sẵn

Card mạng quyết định phần lớn các đặc tính của LAN như:

- Kiểu cáp

- Topo

- Phương pháp truy nhập mạng

- Tốc độ truyền thông tin

Thiết bị host không phải là một phần của bất cứ lớp nào của mô hình OSI, chúnghoạt động tại tất cả 7 lớp của mô hình OSI: kết nối vật lý với

card

mạng với các lớp OSI khác được thực hiện bằng phần mềm bên trong host

1.1.1.2 Repeater Bộ lặp:

Repeater là một thiết bị hoạt động ở mức 1 của mô hình OSI khuyếch đại vàđịnh thời lại tín hiệu Thiết bị này hoạt động ở mức 1 (Physical repeaterkhuyếch đại và gửi mọi tín hiệu mà nó nhận được từ một port ra tất cả cácport còn lại Mục đích của repeater là phục hồi lại các tín hiệu trên đườngtruyền mà không sửa đổi gì

1.1.1.3 Hub:

Là một trong những yếu tố quan trọng nhất của LAN, đây là điểm kết nối dâytrung tâm của mạng, tất cả các trạm trên mạng LAN được kết nối thông quahub Một hub thông thường có nhiều cổng nối với người sử dụng để gắn máytính và các thiêt bị ngoại vi Mỗi cổng hỗ trợ một bộ kết nối dây xoắn 10BASET từ mỗi trạm của mạng Khi có tín hiệu Ethernet được truyền tự mộttrạm tới hub, nó được lặp đI lặp lại trên khắp các cổng của hub Các hubthông minh có thể định dạng, kiểm tra, cho phép hoặc không cho phép bởingười điều hành mạng từ trung tâm quản lý hub

Có ba loại hub:

- Hub đơn (stand alone hub )

- Hub phân tầng (stackable hub, có tài liệu gọi là hub sắp xếp )

- Hub modun (modular hub ) Modular hub rất phổ biến cho các hệthống mạng vì nó có thể dễ dàng mở rộng và luôn có chức năngquản lý, modular có từ 4 đến 14 khe cắm, có thể lắp thêm cácmodun 10 BASET

Stackable hub là một ý tưởng cho những cơ quan muốn đầu tư tối thiểu banđầu cho nhưng kế hoạch phát triển LAN sau này

Nếu phân loại theo khả năng ta có 2 loại:

- Hub bị động (Passive hub): Hub bị động không chứa những linh kiệnđiện tử và cũng không xử lý các tín hiệu dữ liệu, nó có chức nưng duynhất là tổ hợp các tín hiệu từ một số đoạn cáp mạng

- Hub chủ động (Active hub ): Hub chủ động có những linh kiện điện tử

có thể khuyếch đại và xư lý tín hiệu điện tư truyền giữa các thiết bị củamạng Quá trình xử lý dữ liệu được gọi là táI sinh tín hiệu, nó làm chotín hiệu trở nên tốt hơn, ít nhậy cảm và lỗi do vậy khoảng cách giữa cácthiết bị có thể tăng lên Tuy nhiên những ưu điểm đó cũng kéo theo giáthành của hub chủ động cao hơn nhiều so với hub bị động

Về cơ bản, trong mạch Ethernet, hub hoạt động như một repeater có nhiềucổng

- Dây cáp đồng trục sợi tơ (thick coax ) thì gọi là 10 BASET5 (Tốc độ

10 Mbps, tần số cơ sở, khoảng cáp tối đa 500m )

- Dây cáp đồng trục sợi nhỏ (thin coax ) gọi là 10 BASET2 (Tốc độ 10Mbps, tần số cơ sở, khoảng cáp tối đa 200m )

- Dây cáp xoắn không vỏ bọc (twisted pair ) gọi là 10 BASET (Tốc độ

10 Mbps, tần số cơ sở, sử dụng cáp sợi xoắn )

- Dây cáp quang (Fiber Optic Inter- Repeater Link ) gọi là FOIRL

1.1.1.4.Liên mạng (Iternetworking )

Việc kết nối các LAN riêng lẻ thành một liên mạng chung gọi làIternetworking Iternetworking sử dụng 3 công cụ chính: bridge, router vàswitch

1.1.1.5.Cầu nối (bridge ):

Là một thiết bị có xử lý dùng để nối hai mạng giống nhau hoặc khác nhau nó

có thể được dùng với các mạng có giao thức khác nhau Cầu nối hoạt độngtrên tầng liên kết dữ liệu nên không như bộ tiếp sức phải phát lại tất cả những

gì nó nhận được thì cầu nối đọc được các gói tin của tầng liên kết dữ liệutrong mô hình OSI và xử lý chúng trước khi quyết định có truyền đi haykhông

Khi nhận được các gói tin Bridge chọn lọc và chỉ truyền đi những gói mà nóthấy cần thiết Điều này làm cho Bridge trở nên có ích khi nối một vài mạngvới nhau và cho phép nó hoạt động một cách mềm dẻo

Bridge

A B

D E

Để thực hiện được điều này trong Bridge ở mỗi đầu kết nối có một bảngcác địa chỉ các trạm được kết nối vào phía đó, khi hoạt động cầu nối xem xét mỗigói tin nó nhận được bằng cách đọc địa chỉ của nơI gửi và nhận và dựa trên địachỉ phía nhận được gói tin nó quyết định gửi gói tin hay không gửi và bổ sungbảng địa chỉ.Khi đọc địa chỉ nơi gửi Bridge kiểm tra xem trong bảng địa chỉ củaphần mạng nhận được gói tin có địa chỉ đó hay không, nếu có thì Bridge sẽ chorằng đó là gói tin nội bộ thuộc phần mạng mà gói tin đến nên không gửi gói tin

đó đi, nếu ngược lại thì Bridge mới huyển gói tin dó đi sang phía bên kia

Ỏ đây chúng ta thấy một trạm không cần thiết chuyển thông tin trên toànmạng mà chỉ trên phần mạng có trạm nhận mà thôi

Application Presentation Session Transport Network Datalink Physic

Để đánh giá một Bridge người ta thường đưa ra khái niệm: lọc và vậnchuyển.

- Qua trình xử lý mỗi gói tin được gọi là quá trình lọc trong đó tốc độ lọcthể hiện trực tiếp khả năng hoạt động của Bridge

- Tốc độ chuyển vận được thể hiện số gói tin/ giây trong đó thể hiện khảnăng của Bridge chuyển các gói tin từ mạng này sang mạng khá

Hiện nay có hai loại Bridge đang được sử dụng là Bridge vận chuyển vàBridge biên dịch Bridge vận chuyển dùng để nối hai mạng cục bộ cùng sử dụngmột giao thức truyền thông của tầng liên kết dữ liệu, tuy nhiên mỗi mạng có thể

sử dụng loại dây nối khác nhau Bridge vận chuyển không có khả năng thay đổicấu trúc các gói tin mà nó nhận được mà chỉ quan tâm tới việc xem xét vàchuyển vận gói tin đó đi

Bridge biên dịch dùng để nối hai mạng cục bộ có giao thức khác nhau nó

có khả năng chuyển một gói tin thuộc mạng này sang gói tin thuộc mạng kiatrước khi chuyển qua

Ví dụ: Bridge biên dịch nối một mạng Ethernet và một mạng Token ring

Khi đó cầu nối thực hiện nút token ring và một nút Enthernet trên mạngEthernet Cầu nối có thể chuyền một gói tin theo chuẩn đang sử dụng trên mạngEnthernet sang chuẩn đang sử dụng trên mạng Token ring

Tuy nhien chú ý ở đây cầu nối không thể chia một gói tin ra làm nhiều góitin cho nên phait hạn chế kích thước tối đa các gói tin phù hợp với cả hai mạng

Ví dụ như kích thước tối đa của các gói tin trên mangh Ethernet là 1500 bytes vàtrên mạng Token ring là 6000 bytes do vậy nếu một trạm trên mạng Token ring

gửi một gói tin cho trạm mạng Ethernet với kích thước lớn hơn 1500 bytes thìkhi qua cầu nối số lượng bytes dư sẽ bị chặt bỏ.

Người ta sử dụng Bridge trong các trường hợp sau:

- Mở rộng mạng hiện nay khi đã đạt tới khoảng cách tối đa do Bridgesau khi xử lý gói tin đã phát lại gói tin trên phần mạng còn lại nên tínhiệu tốt hơn bộ tiếp sức

Bridge

Token ring

Ethernet

Hình 3-5: Bridge biên dịch.

- Giảm bớt tắc nghẽn mạng khi có quá nhiều trạm bằng cách sử dụngBridge khi đó chúng ta chia mạng ra thành nhiều phần bằng các Bridge,các gói tin trong nội bộ từng phần mạng sẽ không được cho phép quaphần mạng khác

Để nối các mạng có giao thức khác nhau

Một vài Bridge còn có khả năng lựa chọn đối tượng vận chuyển Nó có thểchỉ chuyển vận những gói tin của những địa chỉ xác định

Ví dụ: Cho phép gói tin của máy A, B qua Bridge 1, gói tin của máy C, D

Một số Bridge được chế tạo thành một bộ riêng biệt, chỉ cần có dây vàbật Các Bridge khác chế tạo như card dùng cắm vào máy tính, khi đó trên máy

sẽ sử dụng phần mềm Bridge Việc kết hợp phần mềm với phần cứng cho phépuyển chuyển hơn trong hoạt động của Bridge

Bridge là thiết bị liên kết mạng được dùng để giảm bớt các miền đụng độ lớn,tăng băng thông cho một host nhờ chia mạng thành những segment nhỏ hơn

và giảm số lượng tải phải chuyển qua giữa các segment

Bridge tăng lẵng phí trên mạng 10-30% do mất thời gian đưa ra các quyếtđịnh

Bridge có khuynh hướng làm việc tôt nhất với những nôi tải thấp Khi tảigiữa các segment trở nên nặng nề, các bridge có thể trở nên thắt cổ chai vàtruyền thông sẽ chậm lại Với gói tin quảng bá thì bridge luôn luôn phảichuyển chúng và nếu có quá nhiều cuộc quảng bá diễn ra trên mạng sẽ gây racác time out, làm chậm tải và mạng hoạt động kém chất lượng

1.1.1.6.Bộ dẫn đường (router ): Router là một thiết bị hoạt động trên tầng

mạng, nó có thể tìm được đường đI tốt nhất cho các gói tin qua nhiều kết nối để

đI từ trạm gửi thuộc mạng đầu đến trạm nhậnthuộc mạng cuối Router có thểđược sử dụng trong việc nối nhiều mạng với nhau và cho phép các gói tin có thể

đI theo nhiều đường khác nhau đẻ tới đích

Khác với Bridge hoạt động trên tầng liên kết dữ liệu nên Bridge phải xử lýmọi gói tin trên đường truyền thì Router có địa chỉ riêng biệt và nó chỉ tiếp nhận

và xử lý các gói tin gửi đến mà thôi Khi một trạm muốn gửi gói tin qua Routerthì nó phải gửi gói tin với địa chỉ trực tiếp của Router ( Trong gói tin đó phảichứa các thông tin khác về đích đến ) và khi gói tin đến Router thì Router mới xử

lý và gửi tiếp

Khi xử lý các gói tin Router phải tìm được đường đi tốt nhất trong mạng dựatrên các thông tin no có về mạng, thông thường trên mỗi Router có một bảng chỉđường (Router table ) tối ưu dựa trên một thuật toán xác định trước.

Người ta phân chia Router thành hai loại là Router có phụ thuộc giao thức(The protocol dependent Routers ) và Router không phụ thuộc giao thức (Theprotocol independent Routers) dựa vào phương thức xử lý các gói tin khi quaRouter Router có thể phụ thuộc giao thức Chỉ thực hiện việc tìm đường vàtruyền gói tin từ mạng này sang mạng khác chứ không chuyển đổi phương cáchđóng gói của gói tin cho nên cả hai mạng phải dùng chung một giao thức truyềnthông

Routers không phụ thuộc vào giao thức có thể liên kết các mạng dùng giaothức truyền thông khác nhau và có thể chuyển đổi gói tin của giao thức này sanggiao thức của gói tin kia Router cũng chấp nhận kích thước các gói tin khácnhau (Router có thể chia nhỏ một gói tin lớn thành nhiều gói tin nhỏ trước truyềntrên mạng )

Application Presentation Session Transport Network Datalink

Để ngăn chặn việc mất mát dữ liệu Router còn nhận biết được đường đinào có thể chuyển vận và ngưng chuyển vận khi đường bị tắc.

Các lý do sử dụng Router:

- Router có các phần mềm lọc ưu việt hơn là Bridge do các gói tin muốn

đi qua Router cần phải gửi trực tiếp đến nó nên giảm được số lượng góitin qua nó Và thường được sử dụng trong khi nối các mạng thông qua

cá đường day thuê bao đắt tiền do nó không truyêng dữ liệu lên đườngtruyền

- Router có thể xác định được đường đi an toàn và tố nhất trong mạngnên độ an toàn của thông tin được đảm bảo hơn

Trong một mạng phức hợp khi các gói tin luân phiên chuyển các đường

có thể gây nên tình trạng tắc nghẽn của mạng thì các Router có thể được cài đặt

cá phương thức nhằm tránh được tắc nghẽn

Các phương thức hoạt động của Router : Đó là phương thức mà mộtRouter có thể nối với Router khác để qua đó chia sẻ thông tin về mạng hiện có.Các chương trình chạy trên Router luôn xây dựng bảng chỉ đường qua việc traođổi các thông tin vơi các Router khác

- Phương thức véctơ khoảng cách: mỗi Router luôn luôn truyền đi thôngtin về bảng chỉ đường của riêng mình trên mạng, thông qua đó cácRouter khác sẽ cập nhật lên bảng chỉ đường của mình/

- Phương thức trạng thái tĩnh: Router chỉ truyền cá thông báo khi có pháthiện có sự thay dổi trong mạng và chỉ khi đó các Router khác cập nhậtlại bảng chỉ đường, thông tin truyền đi khi đó thường là thông tin vềđường truyền.

Một số giao thức hoạt động chính của Router

- RIP (Routing Information Protocol ) được phát triển bởi XeroxNetwork system và sử dụng SPX/ IPX và TCP/ IP RIP hoạt động theophương thức véctơ khoảng cách

- NLSP (Netware Link Servise Protocol ) được phát triển bởi Novell,dùng để thay thế RIP hoạt động theo phương thức véctơ khoảng cách,mỗi Router được biết cấu trúc của mạng và việc truyền các bảng chỉđường giảm đi

- OSPF (Open Shortest Path First ) là một phần của TCP/ IP với phươngthức trạng thái tĩnh, trong đó có xét tới ưu tiên, giá đường truyền, mật

độ đường truyền thông…

- OS - IS (Open System Interconnection Intermediate System toIntermediate System ) là một phần của TCP/ IP với những phương thứctrạng thái tĩnh, trong đó có xét tới ưu tiên, giá đường truyền, mật độtruyền thông…

1.1.1.7.Bộ chuyển mạch (switch ): Chức năng chính cua switch là cùng

một lúc duy trì nhiều cầu nối giữa các thiết bị mạng bằng cách dựa vào mộtloại đường truyền xương sống (backbone ) nội tại tốc độ cao Switch có nhiềucổng, mỗi cổng có thể hỗ trợ toàn bộ Ethernet LAN hoặc Token Ring Bộchuyển mạch kết nối một số LAN riêng biệt và cung cấp khả năng lọc gói dữliệu giữa chúng Các switch là loại thiết bị mạng mới, nhiều người cho rằng,

nó sẽ trở nên phổ biến nhất vì nó là bước đầu tiên trên con đường chuyểnsang chế độ truyền không đông bộ ATM.

Cáp có bọc kim loại (STP): Lớp bọc bên ngoài có tác dụng chống nhiễu điện

từ, có loại có một đôi dây xoắn vào nhau và có loại có nhiều đôi dây xoắn vàonhau

Cáp không bọc kim loại (UTP) : tính tương tự như STP nhưng kém hơn về

khả năng chống nhiễm từ và suy hao vì không có vỏ bọc

STP và UTP có 2 loại (Category-Cat) thường dùng:

 Loại 1 và 2 (Cat1 & Cat2) : thường ding cho truyền thoại và những đườngtruyền tốc độ thấp (nhỏ hơn 4Mb/s)

 Loại 3 (Cat3) : Tốc độ truyền dữ liệu khoảng 16Mb/s, nó là chuẩn hầu hếtcho các mạng điện thoại

 Loại 4 (Cat4) : Thích hợp cho đường truyền 20Mb/s

 Loại 5 (Cat5) : Thích hợp cho đường truyền 100Mb/s

 Loại 6 (Cat6) : Thích hợp cho đường truyền 300Mb/s

Đây là loại cáp rẻ , dễ lắp đặt tuy nhiên nó dễ bị ảnh hưởng của môi trường

1.1.2.2 Cáp đồng trục:

Cáp đồng trục có 2 đường dây dẫn và chúng có cùng 1 trục chung , 1 dâydẫn trung tâm (thường là dây đồng cứng) đường dây còn lại tạo thành đường ốngbao xung quanh dây dẫn trung tâm ( dây dẫn này có thể là dây bện kim loại và vì

nó có chức năng chống nhiễm từ nên còn gọi là lớp bọc kim) Giữa 2 dây dẫntrên có 1 lớp cách ly, và bên ngoài cùng là lớp vỏ plastic để bảo vệ cáp

Cáp đồng trục có độ suy hao ít hơn so với các loại cáp đồng khác ( như cápxoắn đôi) do ít bị ảnh hưởng của môI trường Các mạng cục bộ sử dụng cáp đồngtrục có thể có kích thước trong phạm vi vài ngàn mét, cáp đồng trục được sửdụng nhiều trong các mạng dạng đường thẳng

Hai loại cáp thường được sử dụng là cáp đồng trục mỏng và cáp đồng trụcdày Đường kính cáp đồng trục mỏng là 0,25 inch và dày là 0,5 inch Cả hai loạicáp đều làm việc ở cùng tốc độ nhưng cáp đồng trục mỏng có độ hao suy tín hiệulớn hơn.

Hiện nay có cáp đồng trục sau :

 RG -58,50 ôm: dùng cho mạng Ethernet

 RG - 59,75 ôm: dùng cho truyền hình cáp

Các mạng cục bộ sử dụng cáp đồng trục có dải thông từ 2,5 - 10Mbps, cápđồng trục có độ suy hao ít hơn so với các loại cáp đồng khác vì nó có lớp vỏ bọcbên ngoài, độ dài thông thường của một đoạn cáp nối trong mạng là 200m,thường sử dụng cho dạng Bus

Dải thông của cáp quang có thể lên tới hàng Gbps và cho phép khoảng cách

đi cáp khá xa do độ suy hao tín hiệu trên cáp rất thấp Ngoài ra vì cáp sợi quangkhông dùng tín hiệu điện từ để truyền dữ liệu nên nó hoàn toàn không bị ảnh

hưởng của nhiễu điện từ và tín hiệu truyền không bị phát hiện và thu trộn bằngcác thiết bị điện tử của người khác.

Nhược điểm của cáp quang là khó lắp đặt và giá thanh cao, nhưng nhìnchung cáp quang thích hợp cho mọi mạng hiện nay và sau này

Các loại cáp Cáp xoắn

cặp

Cáp đồngtrục mỏng

Cáp đồng trụcdầy

Cáp quang

Chi tiết Bằng đồng,

co 4 cặp dây(loại 3,4,5)

Bằng đồng, 2dây, đườngkính 5mm

Bằng đồng, 2dây, đườngkình 10mm

Thuỷ tinh 2sợi

Bảo mật Trung bình Trung bình Trung bình Hoàn toàn

 Lớp phân tán(Distribution Layer): Là danh giới giữa lớp truy nhập và lớplõi của mạng Lớp phân tán đảm bảo chức năng như đảm bảo gửi dữ liệuđến từng phân đoạn, đảm bảo an ninh an toàn, đoạn mạng theo từng nhómcông tác, chia miền Broadcast/multicast, định tuyến giữa các LAN ảo(VLAN), chuyển môi trường chuyền dẫn, định tuyến giữa các miền, tạobiên giới giữa các miền trong định tuyến tĩnh và động, thực hiện các bộlọc gói ( theo địa chỉ theo số hiệu cổng), thực hiện các cơ chế đảm bảochất lượng dịch vụ QOS

 Lớp truy nhập (Access Layer): cung cấp các khả năng truy nhập cho ngườidùng cục bộ hay từ xa truy nhập vào mạng Thường được thực hiện bằngcác bộ chuyển mạch (switch) trong môi trường campus, hay công nghệWAN

1.2.2 Mô hình an ninh – an toàn:

 An toàn và bảo mật luôn là lý do khiến chúng ta chọn giải pháplắp đặt kiểu mạng dựa trên máy phục vụ

 Trong môi trường dựa trên máy phục vụ, chế độ bảo mật dongười quản trị mạng quản lý, bằng cách đặt ra các chính sách và

áp đặt các chính sách ấy cho từng người dùng trên mạng

Khái niệm:

Theo mội định nghĩa rộng thì an ninh – an toàn mạng dùng riêng, haymạng nội bộ là giữ không cho ai làm cái mà mạng nội bộ đó không muốn cholàm.

Vậy khi kết nối LAN phải triển khai cơ chế nào để thực hiện yêu cầu anninh an toàn Chúng ta gọi đó là an ninh an toàn mạng

Tài nguyên mà chúng ta muốn bảo vệ là gì?

 Là các dinhcj vụ mà mạng đang triển khai

 Là các thông tin quan trọng mà mạng đó đang lưu giữ, hay cần lưu chuyển

 Là các tài nguyên phần cứng và phần mềm mà hệ thống mạng đó có đểcung ứng cho những người dùng mà nó cho phép

Nhìn từ một khía cạnh khác thì vấn đề an ninh an toàn khi thực hiện kết nốiLAN còn được thể hiện qua tính bảo mật (confidentiality ), tính toàn vẹn(integrity) và tính sẵn dùng (availability) của các taì nguyên về phần cứng, phầnmềm, dữ liệu và các dịch vụ của hệ thống mạng

Vấn đề an ninh - an toàn còn thể hiện qua mối quan hệ giữa người dùng với

hệ thống mạng và tài nguyên trên mạng Các quan hệ này được xác định , đượcđảm bảo qua các phương thức xác thực (authentication ), xác định được phép(authorization ) dùng và bị từ chối (repudiation ) Chúng ta sẽ xét chi tiết:

 Tính bảo mật: Bảo đảm tài nguyên mạng không bị tiếp xúc, bị sử dụng

bởi người không có thêm quyền Chẳng hạn dữ liệu truyền đi trên mạngđược đảm bảo không bị lấy trộm cần được mã hoá trước khi truyền Cáctài nguyên đó đều có chủ và được bảo vệ bằng các công cụ và các cơ chế

an ninh – an toàn

 Tính toàn vẹn: Đảm bảo không có việc sử dụng, và sửa đổi nếu không

được cho phép, ví dụ như lấy hay sửa đổi dữ liệu, cũng như thay đổi cấuhình hệ thống bởi những người không được phép hoặc không có quyền.Thông tin lưu hay truyền trên mạng và các tệp cấu hình hệ thống luônđược đảm bảo giữ toàn vẹn Chúng chỉ được sử dụng và được sửa đổi bởinhững người chủ của nó hay được cho phép

 Tính sẵn dùng: Tài nguyên trên mạng luôn được đảm bảo không thể bị

chiếm giữ bởi người không có quyền Các tài nguyên luôn sẵn sàng phục

vụ những người được phép sử dụng Những người có quyền có thể đượcdùng bất cứ khi nào Thuộc tính này rất quan trọng, nhất là trong các dịch

vụ mạng phục vụ công cộng (ngân hàng, tư vấn, chính phủ điện tử,…)

 Việc xác thực: Thực hiện xác định người dùng được quyền dùng một tài

nguyên nào đó ngư thông tin hay tài nguyên phần mềm và phần cứng trênmạng Việc xác thực thường kết hợp với sự cho phép, hay từ chối phục vụ.Xác thực thường được dùng là mật khẩu (password), hay căn cước củangười dùng như vân tay hay các dấu hiệu đặc dụng Sự cho phép xác địnhngười dùng được quyền thực hiện một hành động nào đó như đọc ghi mộttệp (lấy thông tin ), hay chạy chương trình (dùng tài nguyên phần mềm),truy nhập vào một đoạn mạng (dùng tài nguyên phần cứng), gửi hay nhậnthư điện tử, tra cứu cơ sở dữ liệu, dịch vụ mạng… Người dùng thườngphải qua giai đoạn xác thực bằng mật khẩu (password, RADIUS …) trướckhi được phép khai thác thông tin hay một tài nguyên nào đó trên mạng

Xây dựng an ninh – an toàn mạng khi kết nối LAN

Các bước xây dung:

 Xác định cần bảo vệ cái gì?

 Xác định bảo vệ khỏi những loại tấn công nào ?

 Xác định những mối đe doạ an ninh có thể ?

 Xác định các công cụ đẻ đảm bảo an ninh ?

 Xây dựng mô hình an ninh – an toàn

Thường kiểm tra các bước trên, nâng cấp, cập nhật và hệ thống khi có một lỗhổng an ninh - an toàn được cảnh báo

Mục đích của việc xây dụng mô hình an ninh – an toàn khi kết nối LAN làxây dựng các phương án để triển khai vấn đề an ninh – an toàn khi kết nối vàđưa LAN vào hoạt động

Đầu tiên mục đích và yêu cầu về vấn đề an ninh – an toàn hệ thống ứng dụngphải được vạch ra rõ ràng

Chẳng hạn mục tiêu và yêu cầu an ninh – an toàn khi kết nối LAN cho các cơquan hành chính nhà nước sẽ khác với việc kết nối LAN cho các trường đại học

mô hình an ninh – an toàn phải phù hợp với các chính sách, nguyên tặc vàluật lệ hiện hành

phải giải quyết cá vấn đề liên quan đến an ninh – an toàn một cách toàn cụa Cónghĩa là phải đảm bảo cả về phương tiện kỹ thuật và con người triển khai

Một số công cụ triển khai mô hình an ninh – an toàn

Hệ thống tường lửa 3 phần (three-part firewall System)

Tường lửa trong tiếng Anh là Firewall, là ghép của hai từ fireproof và wallnghĩa là ngăn không cho lửa cháy lan Trong xây dung, tường lửa được thiết kế

để ngăn không cho lửa cháy lan từ phần này của toà nhà sang phần khác của toànhà khi có hoả hoạn Trong công nghệ mạng, tường lửa được xây dựng với mụcđích tương tự, nó ngăn ngừa các hiểm hạo từ phía cộng đồng các mạng côngcộng hay mạng Internet, hay tấn công vào một mạng nội bộ (internal networt)của một công ty, hay một tổ chức khi mạng này kết nối qua mạng công cộng, hayinternet

- Chức năng của hệ thống tường lửa:

Tường lửa dặt ở cổng vào/ ra của mạng, kiểm soát việc truy cập vào ra củamạng để ngăn ngừa việ tấn công từ phía ngoài vào mạng nội bộ

Tường lửa phải kiểm tra, phát hiện, dò tìm dấu vết tất cả các dữ liệu đi qua

nó để làm cơ sở cho các quyết định (cho phép, loại bỏ, xác thực, mã hoá, ghinhật ký…) kiểm soát các dịch vụ của mạng nó bảo vệ

Để đảm bảo múc độ an ninh – an toàn cao, tường lửa phải có khả năngtruy nhập, phân tích và sử dụng các thông tin về truyền thông trong 7 tầng và cáctrạng thái của các phiên truyền thông và các ứng dụng Tường lửa cũng phải cókhả năng thao tác các dữ liệu bằng các phép toán logic, số học nhằm thực hiện

các yêu cầu về an ninh – an toàn Tường lửa bao gồm các thành phần: các bộ lọchay sàng lọc.

Tường lửa chính là cổng (gateway) vào/ ra của một mạng nội bộ (mạngtrong), trên đó có đặt hai bộ lọc vào/ra để kiểm tra dữ liệu vào/ra mạng nội bộ.Xác định vị trí đặt tường lửa trong hệ thống mạng hiện đại

Theo truyền thống thì tường lửa được đặt tại vị trí vào/ra mạng nội bộ (mạngđược bảo vệ) với mạng công cộng (mạng ngoài), hay mạng internet (khi kếtnối với internet)

Bộ lọc vào

Bộ lọc ra

Gateway Cổng vào/ ra

Mô hình tường lửa

Hình 3-11: Mô hình logic của tường lửa

Ngày nay trong một tổ chức khi kết nối LAN có thể nối mạng khác nhau,

và do yêu cầu an ninh – an toàn của đoạn mạng đó khác nhau Khi đó tường lửa

sẽ được đặt ở vị trí vào/ ra của đoạn mạng cần bảo vệ

Dữ liệu vào/ra mạng nội bộ với mạng ngoài đều đi qua tường lửa, do đótường lửa, do đó tường lửa có thể kiểm soát và đảm bảo dữ liệu nào đó là có thểđược chấp nhận (acceptable) cho phép vào/ra mạng nội bộ

Về mặt logic thì tường lửa là điểm thắt (choke point) Cơ chế này bắt buộcnhững kẻ tấn công từ phía ngoài

Hệ thống tường lửa chia thành ba phần (Three- Part Fire Wall System) đặcbiệt quan trọng tring thiết kế WAN.ở đây chúng tôi chỉ nêu một số khía cạnhchung nhất cấu trúc của mô hình trong thiết kế mạng LAN

Internet

Hidden Corporate

Systems

Inside Filter

Outside Filter

Bastion Hosts

Advertise Route to Isolation LAN Only

H×nh 3-12 : M« h×nh t êng löa 3 phÇn

- LAN cô lập làm vùng đệm giữa mạng công tác với mạng bên ngoài(LAN cô lập được gọi là khu phi quân sự hay vùng DMZ).

- Thiết bị định tuyến trong có cài đặt bộ lọc gói được đặt giữa DMZ vàmạng công tác

- Thiết bị định tuyến ngoài có cài đặt bộ lọc gói được đặt giữa DMZ vàmạng ngoài

1.2.3 Các bước thiết kế:

1.2.3.1 Phân tích yêu cầu sử dụng:

- Xác định muc tiêu sử dụng LAN: ai sử dụng LAN và yêu cầu dunglượng trao đổi dữ liệu loại hình dịch vụ , thời gian đáp ứng…, yêu cầuphát triển của LAN trong tương lai, xác định chủ sở hữu và quản trịLAN

- Xác định số lượng nút mạng hiện thời và tương lai (rất lớn trên 1000nút, vừa trên 100 nút và nhỏ dưới 10 nút ) Trên cơ sở số lượn nútmạng, chúng ta có phương thức phân cấp, chọn kỹ thuật chuyển mạch,

và chọn kỹ thuật chuyển mạch

- Dựa vào mô hình phòng ban để phân đoạn vật lý để đảm bảo hai yêucầu an ninh và đảm bảo chât lượng dịch vụ

- Dựa vào mô hình TOPO lựa chọn công nghệ đi cáp

- Dự báo các yêu cầu mở rộng

1.2.3.2.Lựa chọn các thiết bị phần cứng:

Dựa trên các phân tích yêu cầu và kinh phí dự kiến cho iệc triển khai,chúng ta sẽ lựa chọn nhà cung cấp thiết bị lớn nhất như là Cisco, Nortel, 3COM,Intel… Các công nghệ tiên tiến nhất phù hợp với điều kiện VIệt Nam (kinh tế và

kỹ thuật ) hiện đã có trên thị trường, và sẽ có trong tương lai gần

Các công nghệ có khả năng mở rộng

Phần cứng chia làm 3 phần: hạ tầng kết nối (hệ thống cáp ), các thiết bị nối(hub, switch, bridge, router ), các thiết bị xử lý (các loại server, các loại máy in,các thiết bị lưu trữ…)

1.2.3.3.Lựa chọn phần mềm:

- Lựa chọn hệ điều hành Unix (AIX, OSP, HP, Solais,… ), Linux,Windows dựa trên yêu cầu về xử lý số lượng giao dịch, đáp ứng giao dịch, đápứng thời gian thực, kinh phí, an ninh an toàn

- Lựa chọn các công cụ phát triển ứng dụng phần mềm như các phần mềmquản trị cơ sở dữ liệu (Oracle, Informix, SQL, Lotusnote,…) các phần mềmportal như Websphere,…

- Lựa chọn các phần mềm mạng như thư điện tử (Sendmail, PostOffice,Netscape,… ), Webserver (Apache, IIS,…)

- Lựa chọn các phần mềm đảm bảo an ninh an toàn mạng như phần mềmtường lửa (PIX, Checkpoint, Netfilter,…), phần mềm chống virut (VirutWall,NAV,…) phần mềm chống đột nhập và phần mềm quét lỗ hổng an ninh trênmạng

- Lựa chọn các phần mềm quản lý và quản trị mạng

1.2.3.4 Công cụ quản trị:

Các công cụ quản trị có thể được cài đặt trên máy chủ hoặc cài đặt trênmáy trạm (Cài đặt Administrative Tools)

Các công cụ quản trị có thể không xuất hiện trong các nhóm công cụ quảntrị.

bao gồm những công cụ thường dùng và những công cụ nâng cao sau:

1.2.4.Xây dựng mạng LAN quy mô một toà nhà:

Xây dựng LAN trong toà nhà điều hành , phục vụ cho công tác nghiên cứu

và giảng dạy

1.2.4.1 Hệ thống mạng bao gồm:

Hệ thống các thiết bị chuyển mạch (switch,switch có chức năng địnhtuyến – laver 3 switch ) cung cấp nền tảng mạng cho các máy tính có thể trao đổi

thông tin với nhau Do toàn bộ phận mạng xây dựng tập trong 1 toà nhà nên hệthống cáp truyền dẫn sẽ sử dụng bao gồm các cáp đồng tiêu chuẩn UTP CAT5

và cáp quang đa mode Công nghệ mạng cục bộ sẽ sử dụng là Ethernet/fastEthernet/ GigabitEthernet tương ứng tốc độ 10/100/100 Mbps chạy trên cápUTP hoặc cáp quang

- Các máy chủ dịch vụ như `cơ sở dữ liệu quản lý, giảng dạy, truyềnthông…

- Các máy tính phục vụ cho công tác nghiên cứu khoa học : Cung cấpcác thông tin cho sinh viên, giáo viên, và cung cấp công cụ làm việccho các bộ giảng dạy, các bộ môn, khoa

- Các máy tính phục vụ riêng cho công tác quản lý hành chính nhằmthực hiện mục tiêu tin học hoá quản lý hành chính

1.2.4.2: Phân tích yêu cầu:

- Mạng máy tính là mạng LAN Campus Network có băng thông rộng đủ

để khai thác hiệu quả các ứng dụng, cơ sở dữ liệu đặc trưng của tổ chứccũng như đáp ứng các khả năng chạy các ứng dụng đa phương tiện( hình ảnh, âm thanh,…) phục vụ cho công tác giảng dạy từ xa

- Mạng xây dựng dựa trên nền tảng công nghệ truyền dẫn tốc độ caoEthernet/ fastEthernet/ GigabitEthernet và hệ thống cáp mạng xoắnUTP CAT 5 và cáp quang đa mode

- Mạng cần có độ ổn định cao và khả năng dự phòng để đảm bảo chấtlượng cho việc truy cập các dữ liệu quan trọng cũng như đào tạo từ xa

Hệ thống các mạng phải có khả năng dự phòng 1:1 cho các kết nốiSwitch – switch cũng như đảm bảo khả năng sửa chữa cách ly sự cố dễdàng

- Mạng có khả năng cung cấp việc giảng dạy từ xa trong phạm vi tổ chứcnên các ứng dụng phải đáp ứng thời gian thực.

- Hệ thống cáp mạng cần được thiết kế đảm bảo đáp ứng các yêu cầu vềkết nối tốc độ cao và khả năng dự phòng cũng như mở rộng lên cáccông nghệ mới

- Mạng cần đảm bảo an ninh an toàn cho toàn bộ thiết bị nội bộ trứơccác truy nhập trái phép ở mạng ngoài cũng như từ các truy nhập giántiếp có mục đích phá hoại nên cần có tường lửa

- LAN này được cấu thành bởi các Switch chuyên mạch tốc độ cao hạnchế tối thiểu xung đột dữ liệu truyền tải ( non – Blocking) các switch

có khả năng tạo các LAN ảo phân đoạn mạng thành các phân đoạn nhỏhơn cho từng phòng ban

- Việc phân chia các phân mạng LAN ảo cho phép các phòng ban tổchức có các phân mạng máy tính độc lập để tiện cho việc phát triển cácứng dụng nội bộ cũng như tăng cường tính bảo mật giữa các phânmạng máy tính của các phòng ban khác nhau

- Mạng đảm bảo khả năng định tuyến trao đổi thông tin giữa các phânmạng LAN ảo khác nhau cho phép các phân mạng khác nhau có thể kếtnối đến nhau thông qua môi trường mạng dùng chung

1.2.4.3 Thiết kế hệ thống :

Hệ thống chuyển mạch và định tuyến trung tâm cho LAN

- Hệ thống chuyển mạch chính bao gồm các Switch có khả năng xử lýtốc độ cao có cơ cấu phân thành 2 lớp là lớp phân tán ( distribution) vàlớp cung cấp truy nhập (access) cho các đầu cuối máy tính Switch truycập làm nhiệm vụ cung cấp cổng truy nhập cho các đầu cuối máy tính

và tích hợp cổng truy cập với mật độ cao Các kết nối giữa switch truycập và switch phân phối là các kết nối truyền tải dữ liệu qua lại cho cácLAN ảo nên có tốc độ cao 100/100 Mbps Các switch truy cập cungcấp các cổng truy cập cho máy tính mạng có tốc độ thấp hơn nên cần

có cổng 10/100 Mbps

- Hệ thống Switch phân phối theo cấu hình chuẩn sẽ bao gồm 2 switch

có cấu hình mạnh đáp ứng được yêu cầu chuyển mạch dữ liệu tốc độcao và tập trung lưu lượng đến từi các access switch Cấu hình 2 switchphân phối cho phép mạng lưới có độ dự phòng cao ( dự phòng nóng1:1) tuy nhiên trong trường hợp quy mô mạng ban đầu không lớn vàchi phí hạn chế vẫn có thể triển khai mạng với một mạng switch phânphối dáp ứng được yêu cầu hoạt động

- Hệ thống các Switch truy cập cung cấp các máy tính đường kết nối vàomạng dữ liệu Do phần lớn các giao tiếp mạng cho các máy tính đầucuối cũng như server hiện tại có băng thông 10/100 Mbps nên cácswitch truy cập cũng sử dụng công nghệ 10/100 base TX Fast Ethernet

và đáp ứng mục tiêu cung cấp số lượng cổng truy nhập lớn để cho phép

mở rộng số lượng người truy cập và mạng Các đường kết nối giữaswitch truy cập và switch phân phối được goi là ácung cấp kết nối lên(up – Link)

Mạng LAN mới trong toà nhà

Kết nối 100Mbps Kết nối 10Mbps

Máy chủ quả ly

Máy trạm

Switch truy cập

Chức năng layer 3 Chức năng layer 2

Máy chủ cơ sở dữ liệu

Máy trạm

Switch truy cập

Switch phân tán layer 3

Hình 3-13: Mô hình thiết kế

Máy trạm Máy trạm

PHẦN 2

THIẾT KẾ MẠNG

1 Yêu cầu thiết kế:

- Thực hiện xây dựng một hệ thống mạng nội bộ trong phạm vi mộttoà nhà 1 tầng có 100 nốt mạng được bố trí các thiết bị (Các tủphân phối, các thiết bị mạng, các máy tính và máy

- Hệ thống mạng được thiết kế theo TOPO hình sao hai mức, gồmcác Switch 100/1000 Mbps đặt tại trung tâm mạng (mức 1), cácswitch 10/100 Mbps bố trí tạo phân khu làm việc, các tầng (mức 2)chi tiết xem phụ lục

- Hệ thống máy chủ phục vụ được đặt tại trung tâm mạng gồm có 1máy chủ mail phục vụ việc gửi / nhận thư điện tử, máy phục vụ( Gateway,Proxy, DHCP), máy chủ phục vụ như một trung tâm dữliệu và cung cấp các công cụ cho việc quản trị hệ thống

- Hệ thống cáp truyền dẫn cần đựoc đảm bảo về yêu cầu kết nối tốc

độ cao, khả năng dự phòng để hạn chế thấp nhất những sự cố xảy ra

trong quá trình vận hành ngoài ra đáp ứng được khả năng mở rộngmạng trong tương lai.

2 Phân tích, thiết kế hệ thống.

SƠ ĐỒ PATCHPANEL 24 PORT

STT Port/ Patchpanel Ký hiệu Outlet Số Phòng