Mục tiêuXây dựng cấu trúc của một hệ thống phòng máy chủ bao gồm các server và các thiết bị chuyển mạch mạng được kết nối với nhau theo một thể thống nhất.. Core Switch 4506 Đây là thiết
Trang 1HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA QUỐC TẾ VÀ ĐÀO TẠO SAU ĐẠI HỌC
- -BÁO CÁO TIỂU LUẬN
MÔN QUẢN TRỊ MẠNG
Giảng viên: PGS.TS Trần Quang Anh
Lớp: M16CQIS01-B Nhóm 4:
Hà Nội, tháng 4 năm 2017
Trang 2I Mục tiêu
Xây dựng cấu trúc của một hệ thống phòng máy chủ bao gồm các server
và các thiết bị chuyển mạch mạng được kết nối với nhau theo một thể thống nhất Trên cơ sở đó xây dựng ứng dụng kiểm tra hoạt động của các thiết bị
II Ý nghĩa
Với tình hình phát triển nhanh chóng của công nghệ thông tin, thì bất cứ một doanh nghiệp, tổ chức hay một cơ quan nào cũng cần có một hệ thống thông tin Để vận hành và quản lý hệ thống CNTT đó thì tổ chức hay cơ quan cần phải
có máy chủ Việc sở hữu một máy chủ riêng giúp cho chủ động trong việc quản
lý và xử lý thông tin, không phụ thuộc vào bên cung cấp thứ 3 Quan trọng hơn
là khả năng quản lý thông tin tối ưu, tránh được nguy cơ mất cắp dữ liệu, hạn chế được các cuộc tấn công qua mạng, virut backdoor
Bên cạnh đó, hầu hết các ứng dụng trong hiện nay thường được viết để có thể chạy trong hệ thống có kết nối mạng Tuy nhiên, một máy tính bình thường khó có khả năng và sức mạnh để xử lý khối lượng thông tin lớn trong một thời gian ngắn
Thách thức đặt ra là thông tin được xử lý thông suốt, không bị nghẽn mạng và đảm bảo an toàn Vì vậy việc thiết kế một phòng máy chủ nhằm đảo bảo hiệu suất cao là rất cần thiết Không những thế, việc đảm bảo Internet thông suốt đến từng máy tính trong nội bộ còn phụ thuộc vào các thiết bị chuyển mạch mạng Vì vậy, việc giám sát hoạt động làm việc của các thiết bị mạng là việc làm thường xuyên và liên tục
III Phương pháp
1 Sơ lược về thiết bị và đường truyền
Hệ thống bao gồm:
- 01 đường Leased line 200mb, 3 đường FTTH 240Mb
- 02 cân bằng tải MikroTIK CCR1036-8G-2S+EM
- 01 tường lửa Fortigate 500D
- 01 tường lửa McAfee S3008
Trang 3- 02 tường lửa ASA 5520
- 02 thiết bị Core Switch 4506
- 15 thiết bị Switch Cisco phân phối các tòa nhà
2 Quy trình hoạt động
Phân phối mạng Internet từ phòng máy chủ đến tất cả các máy trạm được thông qua các thiết bị Switch Cisco
Các đường Internet đi từ ngoài sẽ chịu giám sát và bảo mật bởi các thiết bị trên, được gom và phân phối tại 2 Switch Cisco 4506
3 Thuyết minh giải pháp
3.1 Core Switch 4506
Đây là thiết bị chuyển mạch lõi, có cấu hình phần cứng khá cao đủ khả năng xử lý toàn bộ yêu cầu truy cập của người dùng
Mô hình mạng lõi sử dụng 2 thiết bị Core Switch (model: Cisco 4506) Hai thiết bị được cấu hình hoạt động mode HSRP (Hot Standby Router Protocol), dữ liệu và thông tin cấu hình được tự động bộ giữa các Switch, cung cấp khả năng hoạt động dự phòng khi một trong hai thiết bị gặp sự cố
Trên 4506 tạo ra nhiều VLAN để dễ dàng quản lý và khoanh vùng xử lý
sự cố khi có lỗi
Sử dụng access control list để chặn tất cả các VLAN khác không đươc truy cập Tất cả các VLAN sẽ được định tuyến để có thể truy cập vào vùng Public Server tìm kiếm thông tin và làm việc, Sử dụng access control list để chặn toàn bộ người dùng VLAN khách và VLAN Wifi không được truy cập vào vùng Server và các VLAN khác
3.2 Kết nối từ Internet vào máy chủ Public vùng DMZ
DMZ là vùng mạng chứa các máy chủ dịch vụ, cổng thông tin,… cho phép sinh viên, cán bộ nhà trường hoặc người dùng internet có thể truy nhập, tương tác Các máy chủ vùng DMZ được bảo vệ bởi thiết bị FortiGate Firewall, thực thi chính hạn chế truy nhập và ngăn chặn tấn công mạng từ Internet
Trang 4Tại vùng DMZ, chức năng Load balancing server có khả năng cân bằng tải cho Server
Tường lửa FortiGate 500D là thiết bị rất quan trọng trong hệ thống, vừa đảm nhiệm chức năng tường lửa và có thể quét dữ liệu ở tầng thứ 7 để đảm bảo tính an ninh cho hệ thống, ngoài nhiệm vụ phân vùng truy cập LAN local và vùng DMZ thiết bị này con có chức năng xác thực và kiểm soát người dùng qua tài khoản AD (Active Directory), kiểm soát năng thông đảm bảo tính ổn định cho hệ thống
3.3 Kết nối của cán bộ, giảng viên nhà trường ra Internet
Trên Core Switch, cấu hình chia VLAN theo nhóm người dùng thuộc các phòng ban đang làm việc tại nhà trường
Khi người dùng kết nối vào hệ thống mạng sử dụng Wifi hoặc mạng dây (wired) sẽ được cấp địa chỉ IP từ máy chủ DHCP server hoặc Wireless Access Point
FortiGate Firewall được cấu hình tích hợp hệ thống Active Directory, yêu cầu người dùng xác thực sử dụng Domain User trước khi được phép truy nhập ra internet Ngay sau khi xác thực thành công, mỗi người dùng sẽ được áp dụng chính sách kiểm soát truy nhập của tổ chức, bảo vệ người dùng khi vô tình/cố ý truy nhập Blacklist Domain hoặc Website có nội dung xấu, chứa mã độc …
3.4 Kết nối Server Zone ra Internet
Server Zone là phân vùng chứa những máy chủ quan trọng của tổ chức như DB server, Apps server, File server, … Mọi kết nối vào/ra phân vùng Server đều được kiểm soát và bảo vệ bởi lớp McAfee Firewall
Trên McAfee Firewall, cấu hình chính sách kiểm soát truy nhập tối thiểu dựa trên Src IP, Dst IP, Dst Port, … Hạn chế rủi ro gây mất an toàn an ninh cho
hệ thống
3.5 Phòng Lab thực hành kết nối Internet
Trên Core Switch:
- Cấu hình chia VLAN cho nhóm Phòng Lab
- Cấu hình Access List, chặn các kết nối từ Phòng Lab đến tất cả phân vùng nội bộ của nhà trường
Trang 5- Cấu tính năng Source-based-Routing, định tuyến VLAN Phòng Lap đến Cisco ASA Firewall trước khi được phép truy nhập internet
Trên Cisco ASA Firewall:
- Cấu hình tính năng QoS, hạn chế băng thông sử dụng tối thiểu theo địa chỉ IP
Cấu hình kiểm soát địa chỉ truy nhập internet theo thời gian (Ví dụ: chặn sinh viên đọc báo xem video trong giờ học)
4 Xây dựng ứng dụng theo dõi làm việc của các thiết bị chuyển mạch mạng
Các thiết bị được liên kết với nhau theo và hoạt động theo một thể thống nhất Vì vậy, một thiết bị không hoạt động sẽ dẫn đến tình trạng mất kết nối mạng Việc xây dựng ứng dụng được thực hiện trên nguyên lý ping đến từng thiết bị
IV Dự kiến kết quả
Thiết kế một hệ thống mạng có cấu trúc đảm bảo dễ dàng nâng cấp, phân vùng truy cập rõ ràng, thiết lập chính sách truy cập giữa các vùng đảm bảo tính an toàn cao nhất, năng lưc xử lý của hệ thống đáp ứng được khoảng 1000 người dùng
Cấu trúc hệ thống khai thác hiệu quả tính năng và năng lực xử lý của từng thiết bị, đảm bảo an ninh cao cho các vùng ưu tiên, tránh tình trạng “nghẽn cổ chai”
Hệ thống kiểm soát được người dùng, quản lý truy cập qua tài khoản xác thực trên AD (Active Directory)
Giám sát các thiết bị chuyển mạch mạng có hoạt động tốt không