Có được bản báo cáo tốt nghiệp này, chúng tôixin bày tỏ lòng biết ơn chân thành và sâu sắc tới đến trường Cao đẳngCông Nghiệp Huế, các thầy cô giáo trong khoa công nghệ thông tin,đặc biệ
Trang 1KHOA CÔNG NGHỆ THÔNG TIN
KHÓA LUẬN TỐT NGHIỆP
Trang 2đẳng Công Nghiệp Huế Có được bản báo cáo tốt nghiệp này, chúng tôixin bày tỏ lòng biết ơn chân thành và sâu sắc tới đến trường Cao đẳngCông Nghiệp Huế, các thầy cô giáo trong khoa công nghệ thông tin,đặc biệt là thầy giáo Lê Hữu Bình đã trực tiếp hướng dẫn, dìu dắt, giúp
đỡ chúng tôi với những chỉ dẫn khoa học quý giá trong suốt quá trìnhtriển khai, nghiên cứu và hoàn thành đề tài "TÌM HIỂU THIẾT BỊDRAYTEK VÀ ỨNG DỤNG TRONG MẠNG DOANH NGHIỆP" Xin chânthành cảm ơn các Thầy Cô giáo đã trực tiếp giảng dạy truyền đạtnhững kiến thức khoa học chuyên ngành truyền thông và mạng máytính cho bản thân chúng tôi trong những năm tháng qua Xin ghi nhậncông sức và những đóng góp quý báu và nhiệt tình của các bạn họcviên lớp đã đóng góp ý kiến và giúp đỡ chúng tôi triển khai và hoànthành khóa luận Có thể khẳng định sự thành công của khóa luận này,trước hết thuộc về công lao của tập thể, của nhà trường, cơ quan và xãhội Đặc biệt là quan tâm động viên khuyến khích cũng như sự thôngcảm sâu sắc của gia đình Cám ơn công ty An Phát đã tài trợ phòng Labcho các sinh viên được thực hành trên thiết bị mạng Draytek hiện đại,tiếp cận gàn hơn với mô hình mạng doanh nghiệp Một lần nữa chúngtôi xin chân thành cảm ơn các đơn vị và cá nhân đã hết lòng quan tâmtới sự nghiệp đào tạo đội ngũ cán bộ khoa Công Nghệ Thông Tin.Chúng tôi rất mong nhận được sự đóng góp, phê bình của quý hộiđồng, đọc giả và các bạn đồng nghiệp
Xin chân thành cảm ơn!
Trang 5ĐẶT VẤN ĐỀ
Hiện nay các Công ty, doanh nghiệp đều sử dụng máy tính và cácứng dụng trên máy tính như một công cụ làm việc thiết yếu Điều đócũng đồng nghĩa với việc xây dựng, quản trị và phát triển hệ thốngmạng máy tính là một công tác có ảnh hưởng quan trọng đến hoạtđộng sản xuất kinh doanh Doanh nghiệp ngày càng phát triển do đóquy mô mạng càng mở rộng dẫn đến nhu cầu tách hệ thống mạngthành nhiều phân đoạn để có thể hợp lí hóa băng thông, kiểm soát truycập
Lên kế hoạch và lựa chọn phương pháp triển khai phù hợp theonhu cầu của công ty, doanh nghiệp
Triển khai, thiết lập chính sách bảo mật và khắc phục các sự cố
đến mạng nội bộ cho cá nhân, doanh nghiệp
Hợp lý hoá băng thông, giảm các nguy cơ lây lan virus và kiểmsoát truy cập mạng Triển khai VPN cho cá nhân, doanh nghiệp
Để thực hiện được đề tài này phải nghiên cứu tìm hiểu về cácphương pháp thiết kế rồi tìm ra phương pháp phù hợp nhất Xây dựng
hệ thống mạng đảm bảo được các yêu cầu về các công nghệ, cácphương pháp thiết kế đối với từng nhu cầu của cá nhân, doanh nghiệp.Xây dựng hệ thống mạng cho cá nhân, doanh nghiệp nhằm đảmbảo cung cấp các dịch vụ truy cập internet, tìm kiếm thông tin, tàiliệu Phục vụ cho nhu cầu hoạt động sản xuất kinh doanh, việc sửdụng máy tính và các ứng dụng trên máy tính như một công cụ làmviệc thiết yếu trong mỗi doanh nghiệp, công ty
Đáp ứng công cuộc hiện đại hóa, công nghiệp hóa đất nước Toàn
bộ công ty được thiết lập hệ thống mạng, hệ thống tường lửa để đảmbảo cung cấp toàn bộ giải pháp mạng ổn định, hiện đại tới từng vănphòng Đồng thời linh hoạt để đáp ứng các khả năng mở rộng và phát
Trang 6trợ dịch vụ ở mức cao nhất Các giải pháp, công nghệ lựa chọn chothiết kế phải phù hợp với các yêu cầu hiện nay, cũng như khả năngphát triển trong tương lai dựa trên xu hướng, tốc độ phát triển chungcủa ngành CNTT thế giới trong thời gian 5 – 10 năm tới.
CHƯƠNG I: TÌM HIỂU CÁC THIẾT BỊ MẠNG DRAYTEK
I Thiết bị Vigor 2925
1 Giới thiệu
Cuối năm 2014, Dòng sản phẩm Vigor2925 mới ra đời thay thế choSeries Vigor2920 rất thành công trước đây Trong vòng đời của mình,Dòng sản phẩm Vigor2920 đã làm rất tốt nhiệm vụ của mình, nhờ giá
cả hợp lý, hiệu năng cao và nhiều tiện ích, dòng sản phẩm này đượcđông đảo khách hàng tin dùng, từ các phòng game, đến các doanhnghiệp vừa và nhỏ Với mong muốn bắt nhịp với thời đại, Vigor2925Series được cải thiện hiệu năng hoàn toàn với phần cứng mới, ngoài radòng sản phẩm này cũng được hãng tiên phong lần đầu tiên trang bịcác tính năng mới như AP Management, Central VPN Management, sẽcung cấp thêm những tiện ích tuyệt vời cho việc quản trị hệ thống củamình
Trang 7Thiết bị draytek Vigor 2925
Vigor2925 Series được nâng cấp rất nhiều về phần cứng, tất cảcổng mạng đều dùng tốc độ Gigabit, 2 cổng WAN Giga, tăng thêm 1cổng LAN thành 5 cổng Gigabit Thêm 1 cổng USB 2.0, người dùng sẽ
có 2 cổng USB cho Printer/3G/4G/FTP server, chip xử lý và board mạchhoàn toàn mới giúp Vigor2925 có thể chạy cân bằng tải với tốc độ tối
đa lên tới 300Mbps, gấp 2,5 lần so với dòng Vigor2920 Series trướcđây
2 Chức năng
2.1 VPN
VPN server trên Vigor2925 được bổ sung thêm công nghệ SSL VPNvới tối đa 25 tunnels đồng thời giúp cho việc truy suất dữ liệu từ xa dễ
Trang 8VPN thông qua trình duyệt web Bên cạnh đó DrayTek cũng cải thiệnhiệu năng cho các công nghệ VPN còn lại IPSec/PPtP/L2TP Số lượng kếtnối VPN hỗ trợ tối đa tới 50 kết nối đồng thời Với chip xử lý phần cứngriêng cho VPN giúp tăng tối đa khả năng mã hóa AES/DES/3DES vàthuật toán hash SHA-1/MD5 mà vẫn đảm bảo tốc độ VPN đạt mức70Mbps.
2.2 Access Point Management (APM)
Vigor2925 trở thành dòng sản phẩm đầu tiên của DrayTek đượctrang bị tính năng này Với APM ta hoàn toàn có thể làm chủ một hệthống mạng với 20 APs chỉ với 3 bước cài đặt plug-plug-press là cácthiết bị di động đã có thể kết nối internet
Ta có thể xem trạng thái của tất cả các AP, bao gồm số lượngngười kết nối, tình trạng hoạt động v.v…
Thay đổi tên wifi và mật khẩu hàng loạt cho 1 nhóm hoặc toàn bộcác AP mà chỉ với vài cái click chuột Ví dụ nếu phải truy cập vào từng
AP để đổi mật khẩu wifi cho 20 cái Access Point mà ta lại đổi từng cáimột thì sẽ rất mất nhiều thời gian
Tự động reboot các AP được chỉ định Nếu muốn các AP của mình
tự động khởi động vào 1 thời gian nào đó thì cứ giao việc này cho APMlàm
Tự động backup/ restore cấu hình
2.3 Central VPN Management (CVM)
CVM giúp chúng ta thiết lập hệ thống VPN lên tới 8 sites trao đổi
dữ liệu chỉ với vài cú click chuột, CVM sẽ khai báo tất cả các tham sốliên quan một cách tự động, đồng thời nó cũng hỗ trợ chúng ta quản lý
hệ thống VPN này dễ dàng hơn bao giờ hết
Trang 92.4 VLAN
Vigor2925 hỗ trợ 5 cổng LAN Gigabit VLAN cho phép người quản trịmạng chia hệ thống thành 5 mạng con, mỗi VLAN sử dụng 1 dãy địachỉ IP khác nhau và được áp dụng các chính sách khác nhau từ đó giatăng mức độ bảo mật cho toàn hệ thống
Trang 102.5 User-based: quản lý người dùng theo tài khoản
Giả sử ta muốn cấm nhân viên A không được truy cậpfacebook.com, lúc đó ta sẽ tạo rule cấm facebook với địa chỉ IP máytính mà nhân viên A sử dụng, như vậy chúng ta đang tạo cấm cái máytính chứ không phải nhân viên A, điều đó cũng có nghĩa là nếu nhânviên B ngồi vào máy tính này thì cũng bị cấm vào facebook giống nhânviên A Và nếu nhân viên A ngồi ở máy tính không bị cấm thì anh ta sẽvào facebook bình thường Đây là cách mà Firewall Rule-Based làmviệc
Biết được hạn chế của Rule-based, DrayTek đã bổ sung tính năngmới cho phép người quản trị áp dụng chính sách lên đúng “người sửdụng” chứ không phải là là áp lên “máy tính” như cách mà Rule-basedlàm, DrayTek gọi tính năng mới này là User-based Với User-based, cácchính sách được áp dụng trên từng tài khoản người dùng, dù anh tangồi ở bất kì vị trí nào trong mạng thì cũng đều bị áp dụng 1 chínhsách như nhau, không quan tâm việc anh ta ngồi ở máy tính nào
Trang 11• Outbound Policy-based Load-balance
• WAN Connection Failover
Trang 12• Protocol : PPTP, IPsec, L2TP, L2TP over IPsec
• Encryption : MPPE and Hardware-based AES/DES/3DES
• Authentication : MD5, SHA-1
• IKE Authentication : Pre-shared Key and Digital Signature (X.509)
• LAN-to-LAN, Teleworker-to-LAN
• DHCP over IPsec
• IPsec NAT-traversal (NAT-T)
• Dead Peer Detection (DPD)
• Multi-NAT, DMZ Host, Port-redirection and Open Port
• Object-based Firewall, Object IPv6, Group IPv6
• MAC Address Filter
• SPI (Stateful Packet Inspection) (Flow Track)
• DoS / DDoS Prevention
• IP Address Anti-spoofing
• E-mail Alert and Logging via Syslog
• Bind IP to MAC Address
• Time Schedule Control
3.5 USB
• 3.5G (HSDPA)/4G (LTE) as WAN
• Printer Sharing
• File System :
• Support FAT32 File System
• Support FTP Function for File Sharing
• Support Samba for File Sharing
3.6 Bandwidth Management
• QoS
Trang 13• Class-based Bandwidth Guarantee by User-defined Traffic Categories
• Guarantee Bandwidth for VoIP
• DiffServ Code Point Classifying
• 4-level Priority for Each Direction (Inbound/Outbound)
• Bandwidth Borrowed
• Session Limitation
• Default & Specific Limitation
• Bandwidth Limitation
• Default & Specific Limitation
• Auto Adjustment by Exceeding Session/Available Bandwidth
• TOS/DSCP QoS Mapping
• Smart Bandwidth Limitation (Triggered by Traffic/ Session)
3.7 Network Management
• Web-Based User Interface (HTTP/HTTPS)
• Quick Start Wizard
• Dashboard
• CLI (Command Line Interface, Telnet/SSH)
• Administration Access Control
• Configuration Backup/Restore
• Built-in Diagnostic Function
• Firmware Upgrade via TFTP/FTP/HTTP/TR-069
• Logging via Syslog
• SNMP Management MIB-II (v2/v3)
• Object-based SMS/ Mail Alert
• Management Session Time Out
• 2-level management (Admin/User Mode)
Trang 15Hình ảnh mô phỏng phát được 4 lớp mạng khác nhau trên Vigor AP810
2.3 Mở rộng vùng phủ sống
AP810 được tích hợp nhiều tính năng giúp bạn mở rộng vùng phủ
Trang 16mở rộng vùng phủ sóng với Access Point hãng khác.
Chức năng mở rộng phủ sóng trên Vigor AP810
2.4 USB Printer Server
Vigor AP810 cũng được tích hợp 1 cổng USB, bạn có thể cắm 1máy in cổng USB vào đây và tiến hành in từ bất cứ vị trí nào trongmạng, có dây hoặc wifi
AP Bridge Point to Point
AP Bridge Point to Multipoint
AP Bridge WDS (Wireless Distribution System)
Trang 17• Wireless Isolation
• Internal RADIUS Server (Up to 96 Accounts)
• MAC Clone
• 802.1x Authentication:
Internal RADIUS Server Support PEAP
RADIUS Proxy Support TLS & PEAP
• DHCP Server & Client
• VLAN Grouping and SSID Mapping for LAN A & B
• Management VLAN for LAN A & B
• Limited Wireless Clients (Up to 64 Clients)
• Bandwidth Management for Multiple SSIDs
3.2 Network Management
• eb-based User Interface(HTTP)
• CLI(Command Line Interface, Telnet)
• Configuration Backup/Restore
• Firmware Upgrade via HTTP/HTTPS/TR-069
• Syslog
• TR-069 (Compliant with VigorACS SI)
• AP Management (with Vigor Series Routers)
Auto Provision
AP Status and Traffic Graph
III Thiết bị draytek Vigor 3900
1 Giới thiệu
Hiện nay nhu cầu xây dựng một hệ tầng mạng đa dịch vụ: VPN,Voice IP, và phải đảm bảo hoạt động ổn định của các doanh nghiệpngày càng lớn DrayTek đã đưa ra một vài dòng sản phẩm mới nhằmđáp ứng nhu cầu của quý khách hàng, một trong các sản phảm mới làVigor3900 đã dành được sự quan tâm, sự hài lòng từ khách hàng Trướcnay các dòng sản phẩm Vigor như Vigor2910, Vigor2920, Vigor2930,Vigor2950, Vigor3300 Thường dành cho các doanh nghiệp vừa vànhỏ đáp ứng các tiêu chí: Hoạt động ổn định, nhiều tính năng, giá cảphải chăng Vigor3900 ra đời đáp ứng những tiêu chí đó và đối tượngkhách hàng là doanh nghiệp lớn (Số lượng dưới 300 người dùng), cânbằng tải nhiều line Internet (5 đường truyền vật lý), đảm bảo băngthông cao, số lượng kênh VPN đồng thời lên đến 500
Trang 18Thiết bị Vigor 3900
2 Chức năng
2.1 Cân bằng tải trên 5 WAN port
Vigor3900 có 5 port Wan: 4 port Ethernet WAN (10/100/1000 Mbps),
1 slot SFP Gigabit Vigor3900 hỗ trợ load balance 5 line Internet trên 5cổng Wan vật lý, và ngoài ra Vigor3900 hỗ trợ Load Balancing 50 Wan.Băng thông tối đa của Vigor3900 là 700Mbps, đáp ứng nhu cầu băngthông truy cập Internet tốc độ cao của các doanh nghiệp lớn
Định tuyến các dịch vụ đi theo từng Wan cụ thể (Như POP3, SMTPluôn đi trên đường Lease line Wan 1, truy cập Web và các dịch vụ khác
đi trên các Wan khác), nhờ đó giảm thiểu chi phí thuê bao đường Leaseline mỗi tháng
2.2 Multi VLAN, multi subnet
Vigor3900 có 3 port LAN: 2 port Ethernet LAN (10/100/1000 Mbps),
1 slot SFP Gigabit cung cấp kết nối tốc độ cao trong hệ thống mạngLan Vigor3900 hỗ trợ 50 VLAN và 50 Subnet Việc chia VLAN giúp tăngkhả năng mở rộng, bảo mật và quản trị hệ thống mạng Lan tốt hơn
Trang 19Ngoài ra Vigor3900 hỗ trợ VPN Trunking, giúp tăng băng thông củakết nối VPN giữa 2 site hoặc dự phòng khi có một kết nối VPN bị giánđoạn Vigor3900 hỗ trợ VPN Trunking cả 2 mode: Load Balancing vàFailover.
2.4 Firewall
Vigor3900 cung cấp một cơ chế phòng thủ toàn diện, bao gồmchống DoS/DDoS và lọc các gói tin IP một cách linh hoạt Vigor3900cung cấp một số phương pháp lọc nội dung để kiểm soát nội dung truycập của người dùng Điều này giúp đảm bảo an toàn dữ liệu của hệthống mạng và năng suất làm việc của các nhân viên của doanhnghiệp
2.5 QoS
QoS giúp xử lý lưu lượng dữ liệu một cách hiệu quả, đảm bảo lưulượng dữ liệu quan trọng hoặc các lưu lượng đòi hỏi xử lý nhanh về thờigian được ưu tiên xử lý khi hệ thống mạng bị tắc nghẽn Lưu lượng truy
Trang 20nguồn, địa chỉ IP đích.
2.6 High availability
Vigor3900 cung cấp một cơ chế dự phòng sử dụng giao thức CARP(Tương tự giao thức VRRP hay HSRP) cho phép bạn thiết lập 2Vigor3900 ở chế độ: Master và Slave Khi Vigor3900 đóng vai tròMaster bị lỗi thì Vigor 3900 đóng vai trò Slave sẽ tự động đảm nhận vaitrò của Vigor3900 master Điều này giúp đảm bảo hệ thống mạng củadoanh nghiệp hoạt động liên tục và không bị gián đoạn khi có sự cố vềthiết bị
3 Đặc tính kỹ thuật
3.1 Giao tiếp WAN
• 4 port WAN Gigabit + 1 port quang SFP Gigabit
• Hỗ trợ 802.1q và Sub-interface trên WAN
• 2 Port USB 2.0 kết nối 3.5G modem, hoặc dùng làm Print Server, FTPServer
3.2 Giao tiếp LAN
• 2 port LAN Gigabite + 1 port quang SFP Gigabit
• Hỗ trợ 802.1q Tag-base và Port-based VLANs
• Hỗ trợ tối đa 50 Subnet với 50 lớp mạng khác nhau
3.3 Các tính năng chính
• Load Balancing & Backup đến 50 đường truyền Internet đồng thời
Trang 21• Khả năng thiết lập 2 router Vigor3900 Master & Slave chạy song song,
dự phòng cho Master bị sự cố phần cứng, bảo đảm hoạt động 24/24
• VPN server 500 kênh đồng thời
• Băng thông VPN lên đến 500Mbps
• SSL VPN 50 kênh đồng thời (*)
• VPN Trunking (VPN Load Balancing & Backup)
• MOTP - Mobile One-Time Password - Mật khẩu dùng 1 lần cho ngườidùng làm việc di động
• User base management – Quản lý người dùng theo tên đăng nhập, kếthợp được với hệ thống User Domain của Microsoft
• Quản lý Băng thông và Session cho từng User/IP
• Internet Content Filtering
• Tường lửa với SPI; DMZ; Policy-base: IP packet filter, Application Filter,URL & WEB Content filter; Dos/DdoS, IP add anti-spooling
Nếu như Vigor P2260 chỉ có 2 cổng uplink tốc độ 1G còn 24 cổngcòn lại chỉ 100Mbps thì tất cả các cổng mạng của P2261 đều đạt chuẩnGigabit Điều này cũng có nghĩa là băng thông chuyển mạch cho hệthống tăng lên đến 10 lần
Nâng cấp đáng chú ý thứ 2 đó là công nghệ PoE được nâng cấp từ802.3af lên 802.3at giúp công suất nguồn cấp tối đa tăng gấp 2 lầntrên cổng mạng Nhờ đó bạn có thể sử dụng Switch P2261 để cấpnguồn cho nhiều loại thiết bị hơn, kể cả các thiết bị PoE mới nhất như
IP camera độ phân giải cao, Access Point công suất lớn v.v… Ngoài raP2261 vẫn có khả năng nhận biết các thiết bị đang sử dụng chuẩn PoE
cũ và cấp nguồn ra tương ứng nhằm tiết kiệm điện năng tiêu thụ tối
Trang 22- 2 Cổng SFP 100/1000 25 và 26 dùng cho UP Link hoặc Trunking
Ngoài ra thì thiết bị cũng hỗ trợ 1 cổng console và 1 nút resetcứng
bị mất
Trang 232.2 VLAN
Virtual LAN gần như là một tính năng không thể thiếu đối vớidoanh nghiệp Nhờ có VLAN người quản trị có thể tách hệ thống rathành nhiều nhóm nhỏ hơn, và áp dụng các chính sách bảo mật riêngcho từng nhóm ví dụ như VLAN không những giúp gia tăng mức độ anninh mà nó còn giúp hệ thống chạy ổn định và nhanh hơn, do VLANgiúp giảm bớt mức độ Broadcast trong hệ thống, ngăn chặn virus lâylan giữa các VLAN Ngoài 2 công nghệ VLAN phổ biến là Port-basedVLAN và 802.1Q VLAN, P2261 còn hỗ trợ chia VLAN thông minh theoMAC-Based VLAN và Voice VLAN Với MAC-Based VLAN, ta có thể chiaVLAN tự động theo địa chỉ MAC, khi thiết bị có địa chỉ MAC tương ứngđược cắm vào cổng mạng trên P2261 thì thiết bị đó sẽ tự động thuộc
về đúng VLAN cần thiết Với Voice-Based VLAN, P2261 sẽ tối ưu riêngcho Voice IP bằng QoS một cách tự động, giúp cho việc thoại qua nền
IP luôn rõ ràng và thông suốt ngay cả khi các ứng dụng khác chiếm hếtlưu lượng
Trang 242.3 Security
Bảo mật luôn là vấn đề được quan tâm hàng đầu của doanhnghiệp VigorP2261 cung cấp 1 loạt các công cụ như port security, IPSource Guard, Access Control List (ACL) giúp luôn đảm bảo chỉ có đúngthiết bị hợp lệ mới được truy cập vào hệ thống Ngoài ra phần quản lý
từ xa của P2261 cũng được bảo vệ bởi SSH, SSL và SNMPv3
V Giới thiệu thiết bị Vigor Switch G1241
DrayTek VigorSwitch G1241 có giá giảm hơn hẳn VigorSwitchG2240 nhưng vẫn đảm bảo tính tương thích cao, hỗ trợ các tính năngcần thiết cho người dùng như VLAN, LACP, QoS, port Mirror, SNMP, đặcbiệt IGMP Snooping cho các ứng dụng như Multiast Video Streaming,VoIP
Trang 25để thực hiện.
2.2 QoS (Quality of Service)
Đảm bảo các lưu lượng dữ liệu quan trọng đi trên hàng đợi có độ
ưu tiên cao, hay nói cách khác tính năng QoS cung cấp 8 hàng đợi đểphân loại lưu lượng dữ liệu, mỗi hàng đợi sẽ có độ ưu tiên khác nhau,tùy vào mức độ quan trọng của lưu lương dữ liệu mà ta có thể đưa vàohàng đợi có độ ưu tiên tương ứng Trong đó độ ưu tiên cao nhất sẽ có
độ trễ thấp nhất trong VigorSwitch G1241
2.3 Tăng băng thông
Các port 1G có thể kết hợp lại với nhau thành một nhóm và kết nốiđến cùng một nhóm trên Switch khác để chạy Load-Sharing.VigorSwitch G1241 hỗ trợ tối đa 8 port 1G trong một nhóm Ví dụ bạncần tốc độ kết nối giữa 2 Switch với nhau là 2G, bạn có thể nối dâymạng từ 2 port 1G của Switch thứ nhất đến 2 port 1G của Switch thứ 2
Trang 26dùng có thể kích hoạt tính năng này trên từng port Ethernet Kỹ thuậtnày giúp Switch phát hiện trạng thái nhàn rỗi hay khoảng cách cáptrên port Ethernet để điều chỉnh năng lượng điện cung cấp thích hợpcho port Ethernet đó.
3 Đặc tính kỹ thuật 3.1 IP Version
• Ipv4
• Ipv6
3.2 Standard Compliance
• IEEE 802.3 10Base-T
• IEEE 802.3u 100Base-T
• IEEE 802.3ab 1000Base-TX
• IEEE 802.3x Flow Control Capability
• ANSI/IEEE 802.3 Auto-negotiation
• IEEE 802.1q VLAN
• IEEE 802.1p Class of Service
• IEEE 802.1d Spanning Tree
• IEEE 802.1w Rapid Spanning Tree
• IEEE 802.3ad Port Trunk with LACP
• IEEE 802.1AB Link Layer Discovery Protocol (LLDP)
3.3 VLAN
• IEEE802.1Q Tag-based VLAN
• Support Port-based VLAN
• Support Static VLAN
• Supports Port-based, Flow-based, IP DSCP and IP TOS Precedence
• Supports 802.1p VLAN Priority based
• Supports WRR, WFQ and Strict Priority
3.5 Management
• Support SNMP v1, v2c
• Support IGMP v1/v2 Snooping/v3 Basis (BISS)
Trang 27• Support IGMP v2/v3 Querier
• Firmware Upgrade via HTTP/TFTP
• Support Porting Mirroring
• Support DHCP Client/DNS Client
• Broadcast Storm/Unknown Multicast/Unknown Unicast Protection
• Support Loop Detection
• IEEE802.3az Energy Efficient Ethernet Task Force
• Support Cable Diagnostic
Trang 28I Cấu trúc tổng quát của một mạng doanh nghiệp
Giới thiệu chung
Ngày nay, Internet là một phần không thể tách rời với hoạt động kinh doanh của hầuhết các doanh nghiệp Xây dựng một hệ thống mạng tiêu chuẩn, ổn định, bảo mật là nềntảng ban đầu cho sự phát triển vững vàng của doanh nghiệp
Yêu cầu đặt ra khi thiết kế một hệ thống mạng hoàn chỉnh và an toàn cho doanhnghiệp là các giải pháp mạng được áp dụng vào trong hệ thống cần triển khai Đối vớicác doanh nghiệp nếu có nhiều chi nhánh tách rời nhau thì việc trao đổi dữ liệu trongcông ty gặp rất nhiều khó khăn Vì vậy giải pháp mạng riêng ảo VPN là một trong nhữnggiải pháp cần triển khai trong mạng doanh nghiệp Với VPN các chi nhánh của một công
ty có thể thâm nhập và trao đổi dữ liệu qua mạng với các chi nhánh còn lại trong công tymột cách dễ dàng mà không cần kéo dây rợ phức tạp và tốn kém
Cấu trúc tổng quát của mạng doanh nghiệp
Mô hình cấu trúc mạng của một công ty.
Trang 29Các thành phần cơ bản trong mạng doanh nghiệp
Đường truyền internet
DMZ là một vùng mạng trung lập giữa mạng nội bộ và mạng internet, là nơi chứacác thông tin cho phép người dùng từ internet truy xuất vào
DMZ có thể triển khai theo 2 cách:
Đặt DMZ giữa 2 Firewall, một để lọc các thông tin từ internet vào và một để kiểm tra cácluồng thông tin vào mạng cục bộ
Sử dụng Router có nhiều cổng để đặt vùng DMZ vào một nhánh riêng tách rời với mạngcục bộ
Trang 30trình giao tiếp trao đổi dữ liệu trong mạng doanh nghiệp.
Hệ thống bảo mật cho phép các nhà quản trị mạng có thể thiết lập các chính sáchbảo mật bên trong hệ thống của mình, cũng như ngăn chặn các sự tấn công, xâm nhập tráiphép từ bên ngoài vào hệ thống
Hệ thống bảo mật thường sẽ bao gồm các bộ thiết bị tường lửa chuyên dụng hoặccác phần mềm bảo mật
1 Các giao thức cần triển khai trong mạng doanh nghiệp
Mỗi interface phải được cấu hình bằng một địa chỉ IP tĩnh
Đã chuẩn bị sẵn danh sách các địa chỉ IP định cấp phát cho các máy client, và các tham
số liên quan đến việc truy cập mạng (như Subnet Mask, DNS, Default getway, …)
DNS (Domain Name System): Là hệ thống phân giải tên miền thành địa chỉ IP vàngược lại
Tại sao các mạng doanh nghiệp thường cài đặt DNS riêng? Câu trả lời là các doanh
nghiệp lớn sử dụng domain để dễ dàng quản lý các máy trạm của nhân viên trong doanhnghiệp DNS server được dựng lên để phân giải những domain đó Các doanh nghiệp cũng
có thể tự mình tạo ra những domain nội bộ dành cho các trang web chỉ hoạt động trong nội
bộ của mình trên DNS server nội bộ của riêng họ Các DNS nội bộ trong doanh nghiệpcũng được triển khai vì mục đích bảo mật nhằm phân giải 1 số tên miền quan trọng
Cân bằng tải cũng là cơ chế rất quan trọng trong việc mở rộng quy mô của mạngmáy tính Khi lắp đặt một máy chủ mới vào hệ thống, cân bằng tải sẽ tự động cắt giảm
Trang 314 VPN (Virtual Private Network)
VPN là công nghệ cho phép kết nối các vị trí cách xa về mặt địa lý, hoặc ngườidùng từ xa kết nối vào mạng LAN thông qua internet
VPN có thể được tạo bằng cách sử dụng phần cứng, phần mềm hoặc kết hợp cả hai
để tạo ra một kết nối ảo bảo mật giữa hai mạng riêng thông qua mạng công cộng
Ưu điểm của VPN là đáp ứng nhu cầu trao đổi thông tin, truy cập từ xa và tiết kiệmchi phí
Mô hình triển khai VPN
2 Các thiết bị thường sử dụng trong mạng doanh nghiệp
1 Hub và Switch
Cả Hub và Switch đều là thiết bị trung tâm dùng để kết nối các nút mạng Ethernetthông qua dây cáp Tốc độ truyền của các thiết bị này có thể đạt từ 10/100/1000 Mbps
Trang 32Khi một gói dữ liệu được chuyển đến hub, nó sẽ phân phát gói dữ liệu đó đến tất cảcác cổng của hub (trừ cổng gửi gói dữ liệu đến) Mỗi nút mạng sẽ so sánh xem địa chỉcủa gói dữ liệu có phải chuyển cho mình không, nếu phải thì nhận lấy, nếu không phải thì
bỏ qua
Tại một thời chỉ một máy gửi được dữ liệu.(Chia sẻ đường truyền)
Với kiểu hoạt động như vậy, nếu trên hệ thống có nhiều máy gửi dữ liệu trong cùngmột thời điểm thì sẽ dẫn đến xung đột và tốc độ truyền sẽ rất chậm
Cách thức truyền gói tin trên Hub
2 Switch
Là một thiết bị chuyển mạch, switch làm việc dựa trên nguyên tắc thiết lập và duytrì bảng CAM (content address memory) Bảng CAM gồm 2 cột (Địa chỉ MAC của máytính và Cổng của Switch)
Cơ chế chuyển mạch: Khi Switch nhận được một gói tin đến nó kiểm tra xem địachỉ MAC đích của gói tin có trong bảng CAM hay không? Nếu không có nó hoạt độngnhư là Hub Nếu có nó tìm kiếm trong bảng CAM xem địa chỉ MAC đích gắn với cổngnào của Switch và tiến hành truyền từ cổng nguồn đến cổng đích
Tại một thời điểm, nhiều máy tính có thể truyền nhận đồng thời
Trang 33Cách thức truyền gói tin trên switch
2 Router
Router, hay còn gọi là thiết bị định tuyến hoặc bộ định tuyến, là một thiết bị mạngmáy tính dùng để chuyển các gói dữ liệu qua một liên mạng và đến các đầu cuối, thôngqua một tiến trình được gọi là định tuyến Định tuyến xảy ra ở tầng 3 (network) của môhình OSI
Theo cách nói thông thường, một router hoạt động như một liên kết giữa hai hoặcnhiều mạng và chuyển các gói dữ liệu giữa chúng Router đưa vào bảng định tuyến(routing table) để tìm đường đi cho gói dữ liệu Bảng định tuyến được quản trị mạng cấuhình tĩnh (static), nghĩa là được thiết lập 1 lần và thường do quản trị mạng nhập bằng tay,hoặc động (dynamic), nghĩa là bảng tự học đường đi và nội dung tự động thay đổi theo sựthay đổi của tô pô mạng Một cách giúp xây dựng bảng định tuyến là theo hướng dẫn củaCCNA
Router không phải một thiết bị chuyển mạch (network switch)
II CÁC GIẢI PHÁP ĐƯỢC SỬ DỤNG TRÊN THIẾT BỊ DRAYTEK
Giải pháp về Loadbalancing
Trong hệ thống khi cần cân bằng tải cho những dịch vụ như : Web, mail, FTP, VPN,File, Print service cần phải cấu hình hệ thống Load balancing
Cân bằng tải có một số chức năng cơ bản sau:
Chặn lưu lượng mạng (chẳng hạn lưu lượng web) đến một trang web Bản thân thiết bịcân bằng tải có thể là một Proxy hay một Firewall tầng ứng dụng (Application Layer), nó
Trang 34coi như là thiết yếu của một cân bằng tải.
Tách các lưu lượng thành các yêu cầu riêng biệt và quyết định máy chủ nào nhận các yêucầu đó Đây là chức năng chủ chốt của cân bằng tải Tùy vào thuật toán áp dụng mà sẽ cótừng cách thức khác nhau để phân chia cụ thể cho mỗi máy chủ
Duy trì một cơ chế ở những máy chủ đang sẵn sàng Giữa cân bằng tải và máy chủ luôn phải
có liên lạc với nhau (Keep Alive) để biết được máy chủ đó còn “sống” hay không
Cung cấp khả năng dự phòng bằng cách sử dụng nhiều hơn một kịch bản fail- over
Cung cấp khả năng nhận thức nội dung phân tán bằng cách đọc URL, chặn cookie và biêndịch XML Đây được coi là một trong những tiêu chí chia tải của hệ thống
Nguyên tắc Loadbalancing (IP Based / Session Based)
Thực tế cho thấy, truy cập Internet tốc độ cao (chơi game trực tuyến, streamingphim 4K) đã và đang là nhu cầu thiết yếu của hầu hết doanh nghiệp, điểm dịch vụInternet công cộng, trung tâm Cyber Game và cả nhóm người dùng cá nhân, gia đình.Tuy nhiên, chi phí để sở hữu kết nối Internet tốc độ cao hiện cũng được khách hàng tínhtoán kỹ lưỡng để tối ưu ngân sách đầu tư
Qua tham khảo bảng giá cáp quang của các nhà mạng trong nước,giá thuê 1 đườngtruyền 100Mbps cao hơn rất nhiều lần so với giá thuê 2 đường truyền 60Mbps hoặc 3đường 40Mbps
Theo như bảng so sánh bên dưới, mỗi năm, một doanh nghiệp có thể tiết kiệm hơn
58 triệu nếu sử dụng 2 line tốc độ 60Mbps, hoặc hơn 76 triệu nếu dùng 3 line 40Mbpsthay cho 1 line 100Mbps trong khi vẫn đảm bảo được tính hiệu quả về băng thông kếtnối
Bảng so sánh giá thuê bao
Với công nghệ IP Based (phân luồng tải dựa trên địa chỉ IP) trước đây, để tận dụnghết tốc độ của nhiều đường truyền thì phải dùng nhiều PC; hoặc một PC nhưng kết nối tớinhiều server khác nhau trên mạng (truy cập, download từ nhiều trang web khác nhau)
Trang 35Thậm chí, dù đang sở hữu nhiều đường truyền tốc độ cao và có đường truyền rảnh rỗinhưng vẫn gặp hiện tượng truy cập Internet với tốc độ rất chậm do tình huống sau:
PC1 truy cập www.pcworld.com.vn Đi WAN1 và router lưu cache
PC2 tải tập tin từ mediafire.com Vô tình lúc đó WAN1 còn dư nhiều băng thông hơn
WAN2 và PC2 tải tập tin dung lượng lớn bằng WAN1 chiếm đường truyền đến 30 phút
Sau đó PC1 xem chuyên mục khác trên www.pcworld.com.vn (tạo connection mới), do là
IP based nên sẽ đi theo cache là WAN1 và sẽ không thể nào chạy nổi vì không còn băngthông
Trên cơ sở này, có thể thấy rằng, công nghệ IP Based cũ, hầu hết tác vụ tương tácInternet thông thường của người dùng chỉ tận dụng được tốc độ của một đường truyền
Vậy đâu là giải pháp cộng băng thông các đường truyền để người dùng đạt được tổng băng thông tối đa?
Câu trả lời nằm ở công nghệ cân bằng tải dựa trên Session (Session Based) hoàntoàn mới mà DrayTek vừa triển khai cách đây không lâu cho các dòng sản phẩm, trong
đó có Vigor2925
Do định tuyến dựa trên Session, nên ngay bên trong một trang web chúng ta vẫn cóthể tận dụng tốc độ tất cả đường truyền khi click vào các mục khác nhau Dĩ nhiên tìnhhuống nan giải phía trên sẽ không còn, và hiện tượng nghẽn cục bộ cũng không xảy ra.Qua thử nghiệm trên mô hình dùng 2 đường truyền 30Mbps Ưu điểm thể hiện rõ khi dùngcác chương trình hỗ trợ download (chẳng hạn Internet Download Manager) hay trình duyệt CốcCốc để tải một tập tin từ một trang web (chẳng hạn mediafire) Với công nghệ IP Based cũ, tốc
độ download chỉ là 30Mbps (giả sử mạng của chúng ta có 2 đường truyền 30Mbps), nhưng vớiSession Based tốc độ download lúc này đến 30Mbps + 30Mbps = 60Mbps
Điều này sẽ đặc biệt hữu ích nếu buộc phải dùng nhiều đường truyền băng thôngthấp, chẳng hạn ở vài khu vực chưa có cáp quang, mà chỉ có ADSL
Quy tắc tạo một Loadbalancing (Load Balance/Backup/Policy).
Chính sách cân bằng tải (Load Balance Policy) là phương pháp cho phép người quảntrị thiết lập các lưu thông mạng (vd lưu thông của giao thức HTTPS) ưu tiên đi trên một cổngWAN nhất định Chẳng hạn một công ty có thuê 2 đường truyền, 1 đường ADSL, 1 đườngLeased Line và có sử dụng chức năng Load Balancing Người quản trị có thể thiết lập chínhsách cân bằng tải để các ứng dụng quan trọng như Mail, FTP, VoIP đi trên đường LeasedLine nhằm giúp cho tốc độ truyền/nhận dữ liệu được nhanh chóng và ổn định Còn đối vớicác ứng dụng giải trí, không quan trọng như truy cập web, nghe nhạc, xem phim trực tuyến
Trang 36Một vài ứng dụng (như HTTPS, FTP, VoIP, Terminal Services, Mail ) kiểm soátđịa chỉ IP public rất chặt chẽ Các ứng dụng này luôn giám sát IP của chúng ta và nếu IP
bị thay đổi chúng sẽ lập tức ngắt truyền thông Trong khi chúng ta sử dụng LoadBalancing trên 2 WAN thì khó tránh khỏi việc IP WAN (IP public) bị thay đổi liên tục
Ví dụ: người dùng sẽ gặp khó khăn khi đăng nhập vào những trang web sử dụng
giao thức HTTPS (chẳng hạn dịch vụ ngân hàng trực tuyến - Online Banking) Khi IPpublic thay đổi thì liên tục bị log out khỏi hệ thống Vì vậy để có thể sử dụng các ứngdụng đó một cách ổn định phải cho nó đi trên 1 WAN (1 IP public) cố định
Tính ổn định khi có 1 IP Public Trường hợp 2:
Có 2 đường truyền và đường truyền trên WAN 2 là đường truyền tốc độ cao Đồngthời có một máy tính làm Mail Server, Web Server, FTP Server ở ngoài Internet với địachỉ IP là 202.211.200.130 Muốn các máy tính trong mạng LAN khi truy cập đến Serverphải đi trên đường truyền tốc độ cao để việc truyền nhận mail và file được nhanh chóng
Trang 37Sử dụng đường truyền tốc độ cao trên WAN 2 Trường hợp 3:
Có thể phân chia từng bộ phận trong công ty đi trên 1 đường riêng biệt để dễ quản
lý Ví dụ bộ phận kinh doanh sẽ đi trên đường WAN 1 và bộ phận nghiên cứu & pháttriển đi trên WAN 2
Sử dụng đường truyền riêng biệt.
Trường hợp 4:
Thuê 2 đường truyền 1 của FPT và 1 của VNN Theo mặc định khi chạy LoadBalancing, router sẽ phân bố các máy tính trong mạng truy cập Internet chạy trên cả 2
Trang 38đưởng truyền VNN nên không thể xem phim được (chỉ xem được với đưởng FPT).
Tính năng Load Balancing Policy có thểgiải quyết vấn đề này bằng cách có thể thiếtlập cho các máy tính trong mạng, khi truy cập các trang web khác thì có thể chạy trên cả
2 đường truyền, nhưng khi truy cập trang web www.ephim.com thì bắt buộc phải chạytrên đường FPT
Nội dung, ý nghĩa và lợi ích Load Balancing
Khả năng của cân bằng tải thể hiện ở các mặt sau:
Tính linh hoạt (Flexibility): Hệ thống cho phép bổ sung và loại bỏ các máy chủ bất kỳ khi
nào cần và hiệu quả ngay tức thì Thực tế, việc này không làm gián đoạn tới hoạt độngcủa cả hệ thống, mà chỉ tại một điểm (node) trong hệ thống đó Điều này cho phép duytrì, sửa chữa bất kỳ máy chủ nào trong hệ thống (thậm chí trong giờ cao điểm) mà ít tácđộng hoặc không có tác động nào tới hệ thống Một cân bằng tải (Load Balancer) cũng cóthể trực tiếp điều khiển lưu lượng mạng bằng cách sử dụng tập tin cookie, phân tích cúpháp URL, các thuật toán tĩnh/động để tìm ra cách phân tải tối ưu cho hệ thống
Tính sẵn sàng cao (High availability): Hệ thống sẽ liên tục kiểm tra trạng thái của các
máy chủ trong hệ thống và tự động “loại” bất kỳ máy chủ nào không “trả lời” trong mộtchu kỳ, cũng như tự động bổ sung máy chủ đó ngay khi nó hoạt động trở lại Quá trìnhnày là hoàn toàn tự động, thông qua cơ chế giao tiếp của cân bằng tải và các máy chủ,không cần có sự tham gia điều khiển trực tiếp của người quản trị Do dó, một hệ thốngcân bằng tải hướng đến tính dự phòng cho thiết bị chính trong trường hợp có thiết bị nào
đó bị “hỏng”
Khả năng mở rộng (Scalability): Cân bằng tải chịu trách nhiệm phân phối tải tới nhiều
máy chủ trong một hệ thống (Server Farm theo mặt vật lý và được gọi là Server Cluser –các bó Server), với mục đích là nâng cao hiệu quả, tăng sức mạnh phục vụ với số lượnglớn các máy chủ Điều này mang lại lợi ích lớn về kinh tế, vì chỉ phải chi phí cho nhiềumáy chủ nhỏ, thay vì đầu tư cho một máy chủ lớn, thiết bị chuyên dụng Ngoài ra, trongquá trình hoạt động, số các máy chủ có thể thay đổi, thêm/bớt, loại bỏ, thay thế một cách
dễ dàng mà không ảnh hưởng đến hoạt động của hệ thống, giữ cho hệ thống luôn có tínhsẵn sàng cao
1 Giải pháp về Firewall
Trang 39Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngănchặn, hạn chế hoả hoạn Trong công nghệ mạng thông tin, Firewall là một kỹ thuật đượctích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thôngtin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống Cũng có thể hiểuFirewall là một cơ chế (mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi cácmạng không tin tưởng (Untrusted network).
Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công ty, tổchức, ngành hay một quốc gia, và Internet Vai trò chính là bảo mật thông tin, ngăn chặn
sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong(Intranet) tới một số địa chỉ nhất định trên Internet
1Ý nghĩa và tổng quan về Firewall
Firewall điều khiển truy cập bằng việc cho phép hoặc từ chối các dòng dữ liệuvào/ra, dựa trên một tập luật, mà ta thường gọi là chính sách Firewall
Chính sách Firewall.
Tuy nhiên, việc quản lý hiệu quả các luật của Firewall có thể trở thành vấn đề khótrong các hệ thống mạng lớn, phức tạp và có nhiều biến động Tập luật của Firewallthường được tạo ra bằng cách thủ công, tuân thủ theo các chính sách an ninh của các tổchức và kinh nghiệm của những người làm công tác quản trị mạng Việc tạo ra tập luậtbằng cách thủ công có thể có những nhầm lẫn và tạo ra các tập luật không nhất quán, dẫn
Trang 40pháp vào trong hệ thống mạng.
2Chính sách của Firewall.
Chính sách của Firewall thường được cấu hình dựa trên tri thức của người quản trị
và trên cơ sở những phát biểu trong chính sách an ninh của một tổ chức Chính sáchFirewall bao gồm một tập các luật, nó xác định một hành động từ chối (deny) hoặc chấpnhận (accept) đối với một gói tin đi qua Firewall Ví dụ, một luật cho phép tất cả các góitin đi đến dịch vụ web trên một máy chủ có địa chỉ IP là 192.128.17.10, được cấu hìnhtrong Pix Firewall như sau (VD1):
Mỗi luật trong Firewall thường có 7 thuộc tính mô tả dưới đây:
- Chiều đi của gói tin (vào hoặc ra)
- Giao thức TCP hoặc UDP
- Địa chỉ IP nguồn, hoặc một dải địa chỉ IP nguồn
Cụ thể là:
- Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet)
- Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet)
- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet
- Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập
- Kiểm soát người sử dụng và việc truy nhập của người sử dụng
- Kiểm soát nội dung thông tin luân chuyển trên mạng
Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:
- Bộ lọc packet (packet-filtering router)
- Cổng ứng dụng (application-level gateway hay proxy server)
- Cổng mạch (circuite level gateway)
- Bộ lọc paket (Paket filtering router)