Thiết kế và triển khai mô hình mạng doanh nghiệp vừa và nhỏ

I – Kh ảo sát và triễn khai hạ tầng 1.1 - Kh ảo sát và phát họa sơ đồ 1.1.1 – Thu nh ập và phân tích yêu cầu khách hàng Doanh nghiệp trách nhiệm giới hạn TBT yêu cầu xây dựng một hệ th

M ục Lục

Lời nói đầu 5

I – KH ẢO SÁT VÀ TRIỄN KHAI HẠ TẦNG 6

1.1 Khảo sát và phát họa sơ đồ 6

1.1.1 – Thu nhập và phân tích yêu cầu khách hàng 6

1.1.2 – Phát họa và vẽ sơ đồ chi tiết 7

1.2 Lựa chọn, sử dụng thiết phù hợp 8

II – C ấu hình Switch layer 2, 3 và dịch vụ 8

2.1 Cấu hình trên switch layer 2 8

2.1.1 - Giới thiệu & cấu hình VTP 8

2.1.2 - Giới thiệu & cấu hình Port-Security 14

2.1.3 - Gán port phù hợp cho từng Vlan & Portfast 16

2.1.4 - Giới thiệu & cấu hình Trunk Port 19

2.1.5 - Giới thiệu & cấu hình Password & SSH 25

2.2 Cấu hình trên switch layer 3 (switch core) 2.2.1 - Cấu hình VTP 30

2.2.2 - Giới thiệu & cấu hình Vlan 31

2.2.3 - Cấu hình Trunk Port 35

2.2.4 - Giới thiệu & cấu hình HSRP & Cấu hình IP-Helper 37

2.2.5 – Cấu hình password & SSH 45

2.2.6 – Tạo SVI(Switch virtual interface) 47

III - GIỚI THIỆU TỔNG QUAN VỀ LINUX 50

3.1 Lịch sử phát triển của Linux 50

3.2 Ưu điểm & nhược điểm của Linux 3.2.1 Ưu điểm 54

Nhược Điểm 55

3.2.3 Kết Luận 56

IV - CÀI ĐẶT HỆ ĐIỀU HÀNH LINUX (RED HAT ENTERPRISE LINUX) 4.1 Yêu cầu phần cứng 57

4.2 Quản lý ổ đĩa và phân vùng đĩa trong Linux 57

4.3 Các bước cài đặt hệ điều hành Linux 59

V - GI ỚI THIỆU CÁC DỊCH VỤ SỬ DỤNG TRONG LINUX 5.1 Các dịch vụ trong vùng DMZ 5.1.1 Dịch vụ WEB SERVER 73

5.1.2 Dịch vụ Mail Server 86

VI – TÌM HI ỂU LDAP, CẤU HÌNH XÁC THỰC SSL VỚI LDAP 6.1 Giới thiệu 114

6.2 Mô hình LDAP 120

6.2.1 Mô hình thông tin LDAP (LDAP information model) 121

6.2.2 Mô hình đặt tên LDAP (LDAP naming model) 121

6.2.3 Mô hình chức năng LDAP (LDAP function model) 123

6.2.4 Mô hình bảo mật LDAP (LDAP security model) 127

6.3 Chứng thực trong LDAP 127

6.4 Cài đặt và cấu hình LDAP trên Ubuntu 12.04 128

6.4.1 Cài đặt và cấu hình LDAP 128

6.4.2 Thêm thuộc tính với LDAP 129

6.4.3 Chỉnh sửa LDAP với LDAP admin 130

6.4.4 Kết nối client tới server (login ssh bằng account LDAP) 130

VII – GI ỚI THIỆU WINDOWS SERVER 2008 7.1 Giới thiệu 132

7.2 Những cải tiến quan trọng của Windows Server 2008 R2 133

7.2.1 Công nghệ ảo hóa 133

7.2.2 Khả năng quản lý 133

7.2.3 Khả năng mở rộng 134

7.2.4 Web 134

7.2.5 Kết nối mạng và truy nhập 135

7.2.6 Khả năng kết nối tốt hơn với Windows 7 135

7.3 Cấu hình và cài đặt HĐH Windows Server 2008 R2 137

7.3.1 Cấu hình phần cứng tối thiểu 137

7.3.2 Cài đặt Windows Server 2008 R2 138

7.4 Cấu dịch vụ 145

7.4.1 Cài đặt Domain Controller 145

7.4.2 Cấu hình DHCP Server 152

7.4.3 Cấu hình DNS Server 161

VIII – T ỔNG QUAN VỀ PFSENSE 8.1 Giới thiệu Firewall 168

8.1.1 Firewall là gì? 168

8.1.2 Phân loại firewall 168

8.1.3 Chức năng firewall 169

8.2 Tổng quan về Pfsense 170

8.2.1 Giới thiệu Pfsense 170

8.2.2 Ưu nhược điểm của Pfsense 171

8.2.2.1 So sánh Pfsense với ISA Server 171

8.2.2.2 So sánh Pfsense với Firewall cứng 172

8.3 Cài đặt Pfsense 172

8.3.1 Yêu cầu cấu hình phần cứng 172

8.3.2 Cài đặt Pfsens trên máy tính 174

8.4 Tìm hiểu Pfsense 185

8.4.1 Các tính năng của Pfsense 185

8.4.1.1 Pfsense Aliases 185

8.4.1.2 NAT 186

8.4.1.3 Firewall Rules 186

8.4.1.4 Firewall Schedules 188

8.4.2 Một số dịch vụ của Pfsense 189

8.4.2.1 DHCP Server 189

8.4.2.2 NetworkLoadBalancer 190

8.4.2.3 VPN(PPTP) 192

8.4.2.4 Remote Desktop 201

8.5 Các thiết lập Pfsense trong hệ thống bài báo cáo 205

8.5.1 Các thiết lập cơ bản đầu tiên 205

8.5.2 Cấu hình tường lửa Pfsense theo yêu cầu của mô hình 209

8.5.2.1 Mô hình 209

8.5.2.2 Cấu Hình 210

IX – D ỊCH VỤ OWNCLOUD 9.1 Giới thiệu về dịch vụ Owncloud 220

9.2 Các tính năng của Owncloud 220

9.3 Các bước cài đặt và cấu hình dịch vụ Owncloud 221

9.3.1 Chuẩn bị cài đặt dịch vụ Owncloud 221

9.3.2 Tiến hành cài đặt Owncloud 221

9.4 Quản lý và sử dụng dịch vụ Owncloud 228

9.4.1 Đăng kí tài khoản admin 228

9.4.2 Tạo tài khoản khách 228

9.4.3 Kiểm tra hoạt động của dịch vụ 229

L ời nói đầu

Để có thể hoàn tất được đồ án này, chúng em xin được gửi lời cảm ơn trân tr ọng và sâu sắc nhất tới giảng viên hướng dẫn thầy Nguyễn Siêu Đẳng, người đã tận tình chỉ bảo, hướng dẫn và truyền đạt kiến thức cho chúng em trong su ốt quá trình thực hiện đề tài này

V ới lòng biết ơn sâu sắc, nhóm chúng em cũng xin chân thành cảm ơn các

th ầy cô thuộc Học viện Phần cứng và Mạng FPT Jetking, những người đã

t ận tình giảng dạy, trang bị cho chúng em kiến thức cũng như hỗ trợ về

m ặt thiết bị trong suốt thời gian qua Chúng em xin gửi lời cảm ơn đến gia đình và tập thể lớp J1HD-1402T1, những người đã động viên và chia

s ẽ, giúp đỡ chúng em trong suốt thời gian học tập tại trường

M ặc dù nhóm đã cố gắng tìm hiểu cũng như tham khảo rất nhiều nguồn tài li ệu trong sách, trên mạng internet, nhưng do kinh nghiệm còn hạn

h ẹp nên không tránh khỏi những thiếu sót Chúng em rất mong nhận được

sự đóng góp ý kiến của các thầy và các bạn để đề tài được hoàn thiện hơn

Xin trân trọng cảm ơn!

Nhóm th ực hiện đề tài

Trần Nam Phú Bình Mai Nhựt Trường

Hu ỳnh Tuấn Tú

I – Kh ảo sát và triễn khai hạ tầng

1.1 - Kh ảo sát và phát họa sơ đồ

1.1.1 – Thu nh ập và phân tích yêu cầu khách hàng

Doanh nghiệp trách nhiệm giới hạn TBT yêu cầu xây dựng một hệ thống mạng,

doanh nghiệp gồm có 3 lầu:

+ Lầu 1 có 3 phòng gồm có phòng GĐ, kinh doanh, IT, Server

+ Lầu 2 có 3 phòng gồm có phòng PGĐ, nghiên cứu và phát triễn, kế toán + Lầu 3 có 2 phòng gồm có phòng dịch vụ, nhân sự

Mỗi lầu đều có máy print server để các phòng ban trong một lầu có thể in tại liệu dễ dàng và trang bị hệ thống wifi cho các nhân viên trong công ty có thể truy cập mạng trên thiết bị di động hay laptop, các nhân viên sử dụng máy tính để bàn hệ điều hành windows 7 để làm việc Hệ thống server gồm có hệ thống Owncloud để lưu trứ dữ

liệu trực tuyến, Firewall để bảo mật hệ thống mạng an toàn tránh sự xâm nhập k đáng có, vùng DMZ bao gồm dịch vụ Web, Mail để cho bên ngoài mạng công ty có

thể truy xuất vào và vùng Server farm bao gồm các dịch vụ như FTP NTP, DNS, DHCP Hệ thống server ta sử dụng Windows Server 2008 R2 để quản lý Doanh nghiệp kết nối mạng Internet bằng hai đường truyền ADSL cấu hình Load balancing

để đảm bảo sự thông suốt trong quá trình kết nối Internet

Hệ Thống sử dụng trong công ty:

+ Máy chủ server dùng trên HĐH Linux RedHat Enterprise và Windows Server 2008 R2

+ Firewall dùng Pfsense

1.1.2 – Phát h ọa và vẽ sơ đồ chi tiết

Theo như những yêu cầu của doanh nghiệp đưa ra thì nhóm có sơ đồ tổng quát cho

hệ thống mạng như sau:

Hình 1.1.2.a – Sơ đồ tổng quát

1.2 – L ựa chọn và sử dụng thiết bị phù hợp

II – Cấu hình switch layer 2, 3 và dịch vụ

2.1 - C ấu hình trên switch layer 2

2.1.1 – Gi ới thiệu & cấu hình VTP

A Giới thiệu

• Khái niệm VTP

Vai trò của VTP là duy trì cấu hình VLAN thông qua admin domain của mạng VTP

là một giao thức lớp 2 sử dụng các Trunk Frame để quản lý việc thêm bớt, xoá và đổi tên các VLAN trên một domain Thêm nữa, VTP cho phép tập trung các thay đổi

tới tất cả các switch trong mạng

Thông điệp VTP được dóng gói trong một chi\uẩn CISCO là giao thức ISL hoặc IEEE 802.1q và sau đó đi qua các liên kết Trunk tới thiết bị khác

• Lợi ích của VTP

VTP cung cấp các lợi ích sau:

+ Cấu hình đúng các VLAN khi qua mạng ,theo dõi chính xác và kiểm tra VLAN + Hệ thống ánh xạ cho phép 1 VLAN được trunk qua các môi trường truyền hỗn

• Phiên b ản của VTP

VTP có 2 phiên bản: 1 và 2 Trong cùng một miền VTP , các switch phải có chạy cùng mộ tphiên bản như nhau Phiên bản 1 là phiên bản mặc định của VTP

Một số cải tiến của Version 2 so với Version 1 :

- Hỗ trợ kiểm tra tính nhất quán: kiểm tra VLAN name hoặc VLAN number Nếu

bị lỗi thì sẽ không truyền cho các switch khác

- Hỗ trợ Token-Ring

Trong chế độ trong suốt , switch hoạt động trong phiên bản 2 sẽ chuyển các thông tin VTP mà không cần kiểm tra miền ( phiên bản 1 có kiểm tra )

B Cấu Hình

Hình 2.1.1.a – Cấu hình VTP trên Lau-1

Hình 2.1.1.b – Cấu hình VTP trên Lau-2

Hình 2.1.1.c – Cấu hình VTP trên Lau-3

2.1.2 – Gi ới thiệu & cấu hình Port-Security

A Gi ới thiệu

• L ợi ích khi sử dụng Port Security

Cơ chế của Switch là dựa vào bảng CAM (Content Addressable Memory) của Switch lưu trữ các địa chỉ MAC của các port và Switch quy định tương ứng port nào thì chỉ có những MAC nào thì được phép hoạt động và tối đa có bao nhiêu MAC (do admin tự đặt) Nếu vi phạm (tức là cắm PC khác, hay cắm quá số PC cho phép) sẽ bị shudown hoặc đưa Port vào trạng thái không hoạt động Tạo ra sự an toàn cho hệ thống mạng

B Cấu Hình

Hình 2.1.2.a: Cấu hình Port-security trên Lau-1

Hình 2.1.2.b: Cấu hình Port-security trên Lau-2

Hình 2.1.2.c: Cấu hình Port-security trên Lau-3

2.1.3 – Gán port phù h ợp cho từng Vlan & Portfast

A Cấu Hình

Hình 2.1.3.a: Cấu hình Port cho Vlan & Portfast trên Lau-1

Hình 2.1.3.b: Cấu hình Port cho Vlan & Portfast trên Lau-1

Hình 2.1.3.c: Cấu hình Port cho Vlan & Portfast trên Lau-2

Hình 2.1.3.d: Cấu hình Port cho Vlan & Portfast trên Lau-2

Hình 2.1.3.e: Cấu hình Port cho Vlan & Portfast trên Lau-3

Hình 2.1.3.f: Cấu hình Port cho Vlan & Portfast trên Lau-3

B Kiểm tra

Hình 2.1.3.g: Cấu hình Port cho Vlan & Portfast trên Lau-1

Hình 2.1.3.g: Cấu hình Port cho Vlan & Portfast trên Lau-2

Hình 2.1.3.h: Cấu hình Port cho Vlan & Portfast trên Lau-3

2.1.4 – Gi ới thiệu & cấu hình Trunk Port

A Khái ni ệm

Trong khuôn khổ môi trường chuyển mạch VLAN, một đường Trunk là một kết nối point-to-point để hỗ trợ các VLAN trên các switch liên kết với nhau Một đường được cấu hình Trunk sẽ gộp nhiều liên kết ảo trên một liên kết vật lý để chuyển tín

hiệu từ các VLAN trên các switch với nhau dựa trên một đường cáp vật lý

B Cơ chế hoạt động

Giao thức Trunking được phát triển để nâng cao hiệu quả quản lý việc lưu chuyển các Frame từ các VLAN khác nhau trên một đường truyền vật lý Giao thức trunking thiết lập các thoả thuận cho việc sắp sếp các Frame vào các cổng được liên

kết với nhau ở hai dầu đường trunk Hiện tại có 2 kỹ thuật Trunking là Frame Filtering và Frame Tagging Trong khuôn khổ của luận văn này chỉ đề cập đến kỹ thuật Frame Tagging Giao thức Trunking sử dụng kỹ thuật Frame Tagging để phân

biệt các Frame và để dễ dàng quản lý và phân phát các Frame nhanh hơn Các tag được thêm vào trên đường gói tin đi ra vào đường trunk và được bỏ đi khi ra khỏi đường trunk Các gói tin có gắn tag không phải là gói tin Broadcast

Một đường vật lý duy nhất kết nối giữa hai switch thì có thể truyền tải cho mọi VLAN Để lưu trữ, mỗi Frame được gắn tag để nhận dạng trước khi gửi đi, Frame

của VLAN nào thì đi về VLAN đó

C Cấu hình

Hình 2.1.4.a: C ấu hình trunking port trên lầu 1

Hình 2.1.4.b: C ấu hình trunking port trên lầu 2

Hình 2.1.4.c: C ấu hình trunking port trên lầu 3 2.1.5 – Gi ới thiệu & cấu hình Password & SSH

A Giới thiệu

1 Mật khẩu Console: Cổng Console dùng trong trường hợp: cấu hình lần

đầu tiên, recovery mật khẩu, cài đặt, nâng cấp IOS

Đặt mật khẩu truy cập cho cổng consol trên router nhằm giới hạn người dùng truy xuất Router/switch qua cổng này

2 Mật khẩu telnet: Dùng để bảo mật cho đăng nhập từ xa vào

Router/Switch

Ví dụ bạn ngồi ở một máy tính khác nhưng vẫn có thể telnet đến Router/Switch và làm việc qua giao diện dòng lệnh (có thể mạng LAN hoặc là mạng Internet, miễn là bạn có thể liên lạc được với Router/Switch)

3 Mật khẩu chế độ enable: Dùng để bảo mật cho đăng nhập vào “global configuration mode”, Có hai loại, mật khấu không mã hóa và mật khẩu mã hóa, nếu đặt hai loại mật khẩu cùng lúc thì loại mật khẩu không mã hóa sẽ không còn

hiệu lực thay vào đó mật khẩu dạng “enable secret”sẽ được hỏi để được quyền đăng

nhập

4 SSH là gì? SSH (có tên tiếng Anh: Secure Shell) là một giao thức mạng

dùng để thiết lập kết nối mạng một cách bảo mật

SSH hoạt động ở lớp trên trong mô hình phân lớp TCP/IP Các công cụ SSH (như là

OpenSSH,…) cung cấp cho người dùng cách thức để thiết lập kết nối mạng được mã hoá để tạo một kênh kết nối riêng tư Hơn nữa tính năng tunneling của các công cụ này cho phép chuyển tải các giao vận theo các giao thức khác Do vậy có thể thấy khi xây dựng một hệ thống mạng dựa trên SSH, chúng ta sẽ có một hệ thống mạng riêng ảo VPN đơn giản

SSH là một chương trình tương tác giữa máy chủ và máy khách có sử dụng

cơ chế mã hoá đủ mạnh nhằm ngăn chặn các hiện tượng nghe trộm, đánh cắp thông tin trên đường truyền Sử dụng SSH là biện pháp hữu hiệu bảo mật dữ liệu trên đường truyền từ hệ thống này đến hệ thống khác

B Cấu hình

Hình 2.1.5.a: C ấu hình Password và SSH trên Lau-1

Hình 2.1.5.b: C ấu hình Password và SSH trên Lau-2

Hình 2.1.5.c: C ấu hình Password và SSH trên Lau-3

2.2 - C ấu hình trên switch layer 3

2.2.1 C ấu hình VTP

Hình 2.2.1.a: Cấu hình VTP trên SW-Core

Hình 2.2.1.b: Cấu hình VTP trên SW-Core-Backup

2.2.2 Gi ới thiệu & cấu hình Vlan

A Gi ới thiệu

• Khái ni ệm

VLAN là một mạng LAN ảo Về mặt kỹ thuật, VLAN là một miền quảng bá được

tạo bởi các switch Bình thường thì router đóng vai trò tạo ra miền quảng bá Đối với VLAN, switch có thể tạo ra miền quảng bá

Hình 2.2.2.a: ví dụ minh họa

Việc này được thực hiện khi bạn - quản trị viên - đặt một số cổng switch trong VLAN ngoại trừ VLAN 1 - VLAN mặc định Tất cả các cổng trong một mạng VLAN đơn đều thuộc một miền quảng bá duy nhất

Vì các switch có thể giao tiếp với nhau nên một số cổng trên switch A có thể nằm trong VLAN 10 và một số cổng trên switch B cũng có thể trong VLAN 10 Các bản tin quảng bá giữa những máy tính này sẽ không bị lộ trên các cổng thuộc bất kỳ

VLAN nào ngoại trừ VLAN 10 Tuy nhiên, tất cả các máy tính này đều có thể giao tiếp với nhau vì chúng thuộc cùng một VLAN Nếu không được cấu hình bổ sung, chúng sẽ không thể giao tiếp với các máy tính khác nằm ngoài VLAN này

• L ợi ích khi dùng Vlan

VLAN giúp tăng hiệu suất mạng LAN cỡ trung bình và lớn vì nó hạn chế bản tin quảng bá Khi số lượng máy tính và lưu lượng truyền tải tăng cao, số lượng gói tin quảng bá cũng gia tăng Bằng cách sử dụng VLAN, bạn sẽ hạn chế được bản tin quảng bá

VLAN cũng tăng cường tính bảo mật bởi vì thực chất bạn đặt một nhóm máy tính trong một VLAN vào mạng riêng của chúng

B Cấu hình

Hình 2.2.2.b: Cấu hình VLan trên SW-Core

Hình 2.2.2.c: Cấu hình VLan trên SW-Core-Backup

2.2.3 – C ấu hình Trunk Port

Hình 2.2.3.a: Cấu hình Trunk Port trên SW-Core

Hình 2.2.3.b: Cấu hình Trunk Port trên SW-Core-Backup

2.2.4 – Gi ới thiệu & Cấu hình HSRP & Cấu hình IP-Helper

A Khái ni ệm

HSRP là một chuẩn của Cisco nhằm cung cấp tính sẵn sàng làm việc cao của hệ

thống mạng bằng cách đưa ra sự dự phòng cho các host trên một mạng LAN đã được

cấu hình với một địa chỉ IP default gateway HSRP sẽ định tuyến các lưu lượng IP

mà không cần dựa vào tính sẵn sàng của một router đơn lẻ nào đó

Hình 2.2.4.a: Ví dụ minh họa

B Cơ chế hoạt động

HSRP cho phép một nhóm các interface của router có thể làm việc với nhau để biểu

diễn sự xuất hiện của một virtual router hoặc một default gateway cho các host trong

mạng LAN Khi HSRP được cấu hìn trên một network hoặc một segment, thì nó sẽ

có khả năng cung cấp một địa chỉ Virtual MAC và một địa chỉ IP được chia sẻ cho

một nhóm các router HSRP cho phép hai hoặc nhiều router đã cấu hình tính năng HSRP có thể sử dụng địa chỉ MAC và địa chỉ IP của một Virtual Router.Virtual Router không tồn tại; nó được biểu diễn như một thành phần chung cho các router đã được cấu hình tính năng HSRP để cung cấp cơ chế dự phòng cho mỗi router đó Một router được chọn với vai trò là Active Router và một router khác sẽ được chọn với vai trò là Standby Router, và Standby Router sẽ làm nhiệm điều khiển nhóm địa chỉ MAC và địa chỉ IP nếu Active Router bị lỗi

C HSRP Gateway Address

Mỗi router trong một HSRP group có một địa chỉ IP riêng của nó đc gán đến một interface Đồng thời, mỗi router có chung một địa chỉ IP gateway, gọi là địa chỉ gateway ảo, đc giữ ở tình trạng luôn up bởi HSRP Địa chỉ này cũng đc biết đến là địa chỉ HSRP hoặc địa chỉ Standby address Các clients có thể trỏ địa chỉ gateway đến địa chỉ này, một router sẽ luôn giữ địa chỉ này active Địa chỉ gateway ảo này và địa chỉ của interface phải nằm trong cùng subnet

Đối với địa chỉ router ảo, HSRP định nghĩa một loại địa chỉ MAC ảo có dạng 0000.0c07.acxx, trong đó xx đại diện cho nhóm HSRP number với 2 giá trị hex Ví

dụ, nhóm 1 thì địa chỉ là ac01, nhóm 16 là ac10

D Độ ưu tiên & trạng thái

Active router được lựa chọn dựa trên một giá trị priority (từ 0-255) được cấu hình trên mỗi router trong group, mặc định là 100 Router có giá trị priority cao nhất sẽ

trở thành Active trong group Nếu tất cả các giá trị prio bằng nhau, router nào có giá

trị IP cao nhất trên HSRP interface sẽ trở thành Active router

Khi HSRP đc cấu hình trên một interface, router sẽ phải trải qua các trạng thái trước khi trở thành Active Các HSRP router sẽ phải lần lượt trải qua các trạng thái:

-Disabled -> Init -> Listen -> Speak -> Standby -> Active

F Ip-helper là gì?

Các client sẽ gửi broadcast DHCP discover message để tìm các dhcp servers, nhưng router sẽ không chuyển các broadcast message ra các cổng, điều đó có nghĩa là DHCP server sẽ không thể biết client đang cần một IP, Lệnh ip-helper sẽ giúp router chuyển từ broadcast sang unicast và sẽ forward các gói tin đó tới dhcp server

G Cấu hình

Hình 2.2.4.b: Cấu hình HSRP & IP-helper trên SW-Core