TỔNG CỤC DÂN SỐ - KẾ HOẠCH HỐ GIA ĐÌNH TRUNG TÂM NGHIÊN CỨU, THÔNG TIN VÀ DỮ LIỆU  Thiết lập hệ thống mạng riêng ảo phục vụ đồng kho liệu điện tử cấp Hà Nội 2013 Mục lục Mục lục Mở đầu .3 I Chuẩn hóa mạng cục kho liệu điện tử Chuẩn hóa hệ thống mạng cục (LAN) Chuẩn hóa hệ thống địa IP .4 Thiết lập, quản trị dịch vụ (DNS, AD, DHCP ) 10 3.1 Cài đặt cấu hình dịch vụ DNS .10 Active Directory .22 3.3 Dịch vụ DHCP 38 Quản trị tài nguyên mạng 49 4.1 Chia sẻ máy in 49 4.2 Chia sẻ file 63 II Thiết lập hệ thống mạng riêng ảo ngành Dân số - KHHGĐ (VPN- Gopfp) 73 Tiến độ thực kết nối mạng riêng ảo VPN 73 Mơ hình kết nối, truyền nhận liệu Trung ương-Tỉnh-Huyện 74 2.1 Mô hình tổng thể 74 2.2 Mơ hình truyền nhận liệu điện tử Trung ương - cấp Tỉnh 75 2.3 Mơ hình truyền nhận liệu điện tử cấp Tỉnh - cấp Huyện 75 2.4 Chuẩn hố mơ hình liệu điện tử Trung ương - Tỉnh - Huyện 75 2.5 Thiết lập, vận hành, quản trị hệ thống địa IP cho cấp tỉnh, huyện76 2.6 Truyền nhận liệu điện tử tiện ích Total Commander 8.00 78 Thiết lập mạng riêng ảo Chi cục Dân số-KHHGĐ tỉnh, thành phố.88 3.1 Truy cập, thiết lập cấu hình Fortinet FortiGate V4 88 3.2 Các bước thiết lập cấu hình (11 bước) 89 3.3 Thiết lập kết nối mạng VPN 116 Kiểm tra hoạt động FortiGate .128 Sao lưu phục hồi cấu hình .129 Hướng dẫn đăng ký sản phẩm 130 Mở đầu Chiến lược Dân số - Sức khỏe sinh sản Việt Nam giai đoạn 2011-2020, nêu rõ giải pháp thực mục tiêu Chiến lược: “Thường xuyên cập nhật, cung cấp thông tin dân số, giới tính sinh, sức khỏe sinh sản tới cấp ủy Đảng, quyền, tổ chức trị - xã hội ngững người có uy tín cộng đồng” “Nâng cao chất lượng thu thập, xử lý thông tin số liệu dân số, sức khỏe sinh sản sở áp dụng công nghệ thơng tin hồn thiện hệ thống báo, tiêu; cung cấp đầy đủ, xác, kịp thời thông tin, số liệu phục vụ đạo, điều hành, quản lý cơng tác dân số, kiểm sốt cân giới tính sinh, chăm sóc sức khỏe sinh sản cấp”; “Giai đoạn I (2011-2015), Tiếp tục hoàn thiện sở liệu chuyên ngành dân số, sức khỏe sinh sản” Trong giai đoạn 2006-2010, Kho liệu điện tử quan Dân số KHHGĐ 63 tỉnh/thành phố gần 700 quận/huyện bước xây dựng hoàn thiện, thông tin biến động Dân số - KHHGĐ cập nhật thường xuyên Trong giai đoạn này, để phục vụ nhu cầu chuyển nhận liệu điện tử Kho liệu điện tử cấp, số dịch vụ triển khai gồm: - Tại Trung ương, triển khai dịch vụ kết nối mạng riêng ảo (VPN theo mơ hình Clients to Site) đáp ứng yêu cầu cán Tổng cục kết nối vào hệ thống mạng Tổng cục làm việc xa - Giữa Trung ương Địa phương triển khai dịch vụ chuyển nhận liệu FTP (theo mơ hình Offline) phục vụ trao đổi liệu điện tử cho 63 tỉnh, thành phố gần 700 quận, huyện tồn quốc, 700 điểm (tỉnh, huyện) kết nối lên Trung ương để chuyển nhận liệu Tuy nhiên dịch vụ chuyển nhận, trao đổi liệu định kỳ, không liên tục Dịch vụ chuyển nhận liệu điện tử (giao thức FTP) triển khai đáp ứng yêu cầu giai đoạn xây dựng hoàn thiện kho liệu điện tử giai đoạn 2006-2010 Trong giai đoạn 2011-2015, với mục tiêu chuyển đổi hoàn toàn hệ thống báo cáo thống kê chuyên ngành DS-KHHGĐ lập thủ công (trên giấy) sang hệ thống báo cáo thống kê điện tử đòi hỏi việc kết nối kho liệu điện tử phải liên tục (Online) Trung ương Địa phương, dịch vụ chuyển nhận liệu điện tử FTP không đáp ứng yêu cầu kết nối, chuyển nhận liệu điện tử, trao đổi thông tin Trung ương Địa phương Do vậy, việc hoàn thiện, nâng cấp mở rộng kết nối mạng hệ thống quan Dân số KHHGĐ Trung ương Địa phương nhu cầu cần thiết I Chuẩn hóa mạng cục kho liệu điện tử Chuẩn hóa hệ thống mạng cục (LAN) Nhằm giúp cấp tỉnh thiết lập quản trị hệ thống mạng LAN cho đơn vị cách đơn giản nhất, chúng tơi đưa mơ hình mạng LAN gồm thành phần thiết bị mạng bản, chia vùng (LAN Zone ADMIN Zone) Trong giai đoạn phát triển dịch vụ cơng nghệ thơng tin, cấp tỉnh thêm vùng (ví dụ DMZ Zone) thiết bị tin học khác (Access point, Network Printer, NAT, SAN Server cài đặt dịch vụ (email, website ứng dụng tin học hố) Chuẩn hóa hệ thống địa IP Tổng quan địa IP Là địa có cấu trúc, chia làm hai ba phần là: network_id&host_id network_id&subnet_id&host_id Là số có kích thước 32 bit Khi trình bày, người ta chia số 32 bit thành bốn phần, phần có kích thước bit, gọi octet byte Có cách trình bày sau: - Ký pháp thập phân có dấu chấm (dotted-decimal notation) Ví dụ: 172.16.30.56 - Ký pháp nhị phân Ví dụ: 10101100 00010000 00011110 00111000 - Ký pháp thập lục phân Ví dụ: AC 10 1E 38 Khơng gian địa IP (gồm 232 địa chỉ) chia thành nhiều lớp (class) để dễ quản lý Đó lớp: A, B, C, D E; lớp A, B C triển khai để đặt cho host mạng Internet; lớp D dùng cho nhóm multicast; lớp E phục vụ cho mục đích nghiên cứu Địa IP gọi địa logical, địa MAC gọi địa vật lý (hay địa physical) Network_id: giá trị để xác định đường mạng Trong số 32 bit dùng địa IP, có số bit dùng để xác định network_id Giá trị bit dùng để xác định đường mạng Host_id: giá trị để xác định host đường mạng Trong số 32 bit dùng làm địa IP, có số bit cuối dùng để xác định host_id Host_id giá trị bit Địa host: địa IP, dùng để đặt cho interface host Hai host nằm thuộc mạng có network_id giống host_id khác Mạng (network): nhóm nhiều host kết nối trực tiếp với Giữa hai host không bị phân cách thiết bị layer Giữa mạng với mạng khác phải kết nối với thiết bị layer Địa mạng (network address): địa IP dùng để đặt cho mạng Địa dùng để đặt cho interface Phần host_id địa chỉ chứa bit Ví dụ 172.29.0.0 địa mạng Mạng (subnet network): mạng có địa mạng (thuộc lớp A, B, C) phân chia nhỏ (để tận dụng số địa mạng cấp phát) Địa mạng xác định dựa vào địa IP mặt nạ mạng (subnet mask) kèm (sẽ đề cập rõ phần sau) Địa broadcast: địa IP dùng để đại diện cho tất host mạng Phần host_id chứa bit Địa dùng để đặt cho host Ví dụ 172.29.255.255 địa broadcast Các phép tốn làm việc bit: Ví dụ sau minh hoạ phép AND địa 172.29.14.10 mask 255.255.0.0 172.29.14.10 = 10101100000111010000111000001010AND 255.255.0.0 = 11111111111111110000000000000000 172.29.0.0 = 10101100000111010000000000000000 Mặt nạ mạng (network mask): số dài 32 bit, phương tiện giúp máy xác định địa mạng địa IP (bằng cách AND địa IP với mặt nạ mạng) để phục vụ cho công việc routing Mặt nạ mạng cho biết số bit nằm phần host_id Được xây dựng theo cách: bật bit tương ứng với phần network_id (chuyển thành bit 1) tắt bit tương ứng với phần host_id (chuyển thành bit 0) Mặt nạ mặc định lớp A: sử dụng cho địa lớp A không chia mạng con, mặt nạ có giá trị 255.0.0.0 Mặt nạ mặc định lớp B: sử dụng cho địa lớp B khơng chia mạng con, mặt nạ có giá trị 255.255.0.0 Mặt nạ mặc định lớp C: sử dụng cho địa lớp C không chia mạng con, mặt nạ có giá trị 255.255.255.0 Các lớp địa IP Lớp A Dành byte cho phần network_id ba byte cho phần host_id Địa lớp B có dạng : Network.Host.Host.Host Để nhận diện lớp A, bit byte phải bit Dưới dạng nhị phân, byte có dạng 0xxxxxxx Vì vậy, địa IP có byte nằm khoảng từ (00000000) đến 127 (01111111) thuộc lớp A Ví dụ địa 50.14.32.8 địa lớp A (50 < 127) Byte network_id, trừ bit làm ID nhận dạng lớp A, lại bit để đánh thứ tự mạng, ta 128 (27) mạng lớp A khác Bỏ hai trường hợp đặc biệt 127 Kết lớp A 126 (27-2) địa mạng, 1.0.0.0 đến 126.0.0.0 Phần host_id chiếm 24 bit, tức đặt địa cho 16.777.216 (224) host khác mạng Bỏ địa mạng (phần host_id chứa toàn bit 0) địa broadcast (phần host_id chứa tồn bit 1) có tất 16.777.214 (2242) host khác mạng lớp A Ví dụ, mạng 10.0.0.0 giá trị host hợp lệ 10.0.0.1 đến 10.255.255.254 Lớp B Dành hai byte cho phần network_id host_id Địa lớp B có dạng : Network.Network.Host.Host Dấu hiệu để nhận dạng địa lớp B byte bắt đầu hai bit 10 Dưới dạng nhị phân, octet có dạng 10xxxxxx Vì địa nằm khoảng từ 128 (10000000) đến 191 (10111111) thuộc lớp B Ví dụ 172.29.10.1 địa lớp B (128 < 172 < 191) Phần network_id chiếm 16 bit bỏ bit làm ID cho lớp, lại 14 bit cho phép ta đánh thứ tự 16.384 (214) mạng khác (128.0.0.0 đến 191.255.0.0) Phần host_id dài 16 bit hay có 65536 (216) giá trị khác Trừ trường hợp đặc biệt lại 65534 host mạng lớp B Ví dụ, mạng 172.29.0.0 địa host hợp lệ từ 172.29.0.1 đến 172.29.255.254 Lớp C Dành ba byte cho phần network_id byte cho phần host_id Địa lớp C có dạng : Networkr.Network.Network.Host Byte bắt đầu ba bit 110 dạng nhị phân octet 110xxxxx Như địa nằm khoảng từ 192 (11000000) đến 223 (11011111) thuộc lớp C Ví dụ địa lớp C 203.162.41.235 (192 < 203 < 223) Phần network_id dùng ba byte hay 24 bit, trừ bit làm ID lớp, lại 21 bit hay 2.097.152 (221) Phần host_id dài byte cho 256 (28) giá trị khác Trừ hai trường hợp đặc biệt ta 254 host khác mạng lớp C Ví dụ, mạng 203.162.41.0, địa host hợp lệ từ 203.162.41.1 đến 203.162.41.254 Lớp D E Các địa có byte nằm khoảng 224 đến 255 địa thuộc lớp D E Do lớp không phục vụ cho việc đánh địa host nên khơng trình bày Lớp dùng giao tiếp mạng đặc biệt Bảng tổng kết Lớp A Lớp B Lớp C * Ghi chú: XX số miền cho phép Để quản lý địa IP cho hệ thống mạng riêng ảo nói chung, hệ thống mạng LAN mối đơn vị nói riêng cách thuận tiện, đơn giản hiệu việc chuẩn hóa dải địa IP việc cấn thiết Chúng đưa phương án chuẩn hóa địa IP sau: Chuẩn hóa địa IP Chi cục Dân số - KHHGĐ tỉnh/thành phố Stt Tên đơn vi IP Lan Stt Tên đơn vi IP Lan TP Hà Nội 10.60.102.0/24 32 TP Đà Nẵng 10.60.164.0/24 Vĩnh Phúc 10.60.104.0/24 33 Quảng Nam 10.60.166.0/24 Bắc Ninh 10.60.106.0/24 34 Quảng Ngãi 10.60.168.0/24 Quảng Ninh 10.60.108.0/24 35 Bình Định 10.60.170.0/24 Hải Dương 10.60.110.0/24 36 Phú Yên 10.60.172.0/24 TP Hải Phòng 10.60.112.0/24 37 Khánh Hoà 10.60.174.0/24 Hưng Yên 10.60.114.0/24 38 Ninh Thuận 10.60.176.0/24 8 Thái Bình 10.60.116.0/24 39 Bình Thuận 10.60.178.0/24 Hà Nam 10.60.118.0/24 40 Kon Tum 10.60.180.0/24 10 Nam Định 10.60.120.0/24 41 Gia Lai 10.60.182.0.24 11 Ninh Bình 10.60.122.0/24 42 Đắk Lắk 10.60.184.0/24 12 Hà Giang 10.60.124.0/24 43 Đắk Nông 10.60.186.0/24 13 Cao Bằng 10.60.126.0/24 44 Lâm Đồng 10.60.188.0/24 14 Bắc Kạn 10.60.128.0/24 45 Bình Phước 10.60.190.0/24 15 Tuyên Quang 10.60.130.0/24 46 Tây Ninh 10.60.192.0/24 16 Lào Cai 10.60.132.0/24 47 Bình Dương 10.60.194.0/24 17 Yên Bái 10.60.134.0/24 48 Đồng Nai 10.60.196.0/24 18 Thái Nguyên 10.60.136.0/24 49 Bà Rịa-Vũng Tàu 10.60.198.0/24 19 Lạng Sơn 10.60.138.0/24 50 TP.Hồ Chí Minh 10.60.200.0/24 20 Bắc Giang 10.60.140.0/24 51 Long An 10.60.204.0/24 21 Phú Thọ 10.60.142.0/24 52 Tiền Giang 10.60.206.0/24 22 Điện Biên 10.60.144.0/24 53 Bến Tre 10.60.208.0/24 23 Lai Châu 10.60.146.0/24 54 Trà Vinh 10.60.210.0/24 24 Sơn La 10.60.148.0/24 55 Vĩnh Long 10.60.212.0/24 25 Hồ Bình 10.60.150.0/24 56 Đồng Tháp 10.60.214.0/24 26 Thanh Hoá 10.60.152.0/24 57 An Giang 10.60.216.0/24 27 Nghệ An 10.60.154.0/24 58 Kiên Giang 10.60.218.0/24 28 Hà Tĩnh 10.60.156.0/24 59 TP Cần Thơ 10.60.220.0/24 29 Quảng Bình 10.60.158.0/24 60 Hậu Giang 10.60.222.0/24 30 Quảng Trị 10.60.160.0/24 61 Sóc Trăng 10.60.224.0/24 31 Thừa Thiên Huế 10.60.162.0/24 62 Bạc Liêu 10.60.226.0/24 63 Cà Mau 10.60.228.0/24 Địa IP Tổng cục Các vùng mạng: DMZ Zone: 10.60.254.192/27 Admin zone: 10.60.0.0/26 LAN Zone: 10.60.10.0/23 Tên miền: gopfp.gov.vn Địa IP Public: 112.72.97.244; 113.191.251.22 Địa ổ đĩa public dùng chung: 10.60.254.215 dùng dịch vụ Thiết lập, quản trị dịch vụ (DNS, AD, DHCP ) 3.1 Cài đặt cấu hình dịch vụ DNS Có nhiều cách cài đặt dịch vụ DNS môi trường Windows như: Ta cài đặt DNS ta nâng cấp máy chủ lên domain controllers cài đặt DNS máy stand-alone Windows 2003 Server từ tùy chọn Networking services thành phần Add/Remove Program Các bước cài đặt dich vụ DNS Khi cài đặt dịch vụ DNS Windows 2003 Server đòi hỏi máy phải cung cấp địa IP tĩnh, sau số bước để cài đặt dịch vụ DNS Windows 2003 stand-alone Server Chọn Start | Control Panel | Add/Remove Programs Chọn Add or Remove Windows Components hộp thoại Windows components Từ hộp thoại bước ta chọn Network Services sau chọn nút Details Chọn tùy chọn Domain Name System(DNS), sau chọn nút OK 10 Cấu hình Policy Trên giao diện web: http, https Firewall → Policy Kiểm tra hoạt động kết nối VPN VPN → Monitor → IPSec Sau dos Ping để kiểm tra thông mạng chưa? 3.3.3 Thiết lập cấu hình SSL VPN server cấp tỉnh Tạo vùng địa kết nối SSL VPN: phần bơi đen hình vẽ 119 Trước bạn phải tạo vùng địa SSL VPN hình vẽ Trong phần Firewall chon Address, chon Create new Điền thơng tin thích hợp theo hình vẽ Trong phần User chọn Local tạo user sử dụng SSL VPN cách chon Create new 120 Điền thông tin người sử dụng: user name, password Ta danh sách user sử dụng SSL VPN sau Chọn mục Users Group tạo nhóm dùng cho User sử dụng SSL VPN 121 Sau chọn user cần sử dụng SSL VPN chuyển sang sổ Menber cho vào nhóm sử dụng VPN Thơng tin tạo ssl.root hình vẽ Trong phần Router chon Static, tạo định tuyến cho ssl.root 3.3.4 Thiết lập cấu hình cấp huyện Phần cài đặt phần mềm SSL VPN máy trạm Để cài đặt phần mềm truy cập SSL VPN, người sử dụng chạy gói cài đặt FortiClientSSLSetup 3.0.389 (có thể download internet) 122 Kích đúp vào tên file setup, sau chọn lênh Run, trình cài đặt bắt đầu, hình giới thiệu chọn lênh Next Màn hình xác nhận quyền, lựa chọn I accept the terms in the licence agreement 123 Điền tên người sử dụng lựa chọn nhóm người sử dụng Lựa chọn chế độ cài đặt Complate chọn Next 124 Màn hình xác nhận, chọn Install Màn hình thơng báo việc cài đặt thành công, chọn Finish 125 Trên menu Start hệ thống có chương trình ForitClient SSL VPN cài đặt, để chạy chương trình kết nối SSL VPN, người dùng kích vào biểu tượng chương trình Chương trình khởi động có hình sau 126 Phần khai báo kết nối SSL VPN: Thiết lập vào mạng Internet máy khách người dùng Điền thông tin cần thiết: - Server Address: điền theo tên miền địa IP đơn vị cần kết nối tới ví dụ: danso-nghean.gov.vn theo địa IP tĩnh Public (tên miền địa Chi cục Dân số KHHGD đăng ký với nhà cung cấp internet) - User Name: điền tên người sử dụng thiết lập VPN server cấp tỉnh Ví dụ: tttt.ductam - Password: nhập mật truy cập vào mạng VPN thiết lập VPN server cấp tỉnh - Lựa chọn thêm: kích vào biểu tượng