HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA QUỐC TẾ VÀ ĐÀO TẠO SAU ĐẠI HỌC - - BÁO CÁO TIỂU LUẬN MÔN QUẢN TRỊ MẠNG Giảng viên: Lớp: PGS.TS Trần Quang Anh M16CQIS01-B Nhóm 4: Hà Nội, tháng năm 2017 I Mục tiêu Xây dựng cấu trúc hệ thống phòng máy chủ bao gồm server thiết bị chuyển mạch mạng kết nối với theo thể thống Trên sở xây dựng ứng dụng kiểm tra hoạt động thiết bị II Ý nghĩa Với tình hình phát triển nhanh chóng cơng nghệ thơng tin, doanh nghiệp, tổ chức hay quan cần có hệ thống thông tin Để vận hành quản lý hệ thống CNTT tổ chức hay quan cần phải có máy chủ Việc sở hữu máy chủ riêng giúp cho chủ động việc quản lý xử lý thông tin, không phụ thuộc vào bên cung cấp thứ Quan trọng khả quản lý thông tin tối ưu, tránh nguy cắp liệu, hạn chế công qua mạng, virut backdoor Bên cạnh đó, hầu hết ứng dụng thường viết để chạy hệ thống có kết nối mạng Tuy nhiên, máy tính bình thường khó có khả sức mạnh để xử lý khối lượng thông tin lớn thời gian ngắn Thách thức đặt thông tin xử lý thông suốt, không bị nghẽn mạng đảm bảo an tồn Vì việc thiết kế phòng máy chủ nhằm đảo bảo hiệu suất cao cần thiết Không thế, việc đảm bảo Internet thơng suốt đến máy tính nội phụ thuộc vào thiết bị chuyển mạch mạng Vì vậy, việc giám sát hoạt động làm việc thiết bị mạng việc làm thường xuyên liên tục III Phương pháp Sơ lược thiết bị đường truyền Hệ thống bao gồm: - 01 đường Leased line 200mb, đường FTTH 240Mb - 02 cân tải MikroTIK CCR1036-8G-2S+EM - 01 tường lửa Fortigate 500D - 01 tường lửa McAfee S3008 - 02 tường lửa ASA 5520 - 02 thiết bị Core Switch 4506 - 15 thiết bị Switch Cisco phân phối tòa nhà Quy trình hoạt động Phân phối mạng Internet từ phòng máy chủ đến tất máy trạm thông qua thiết bị Switch Cisco Các đường Internet từ chịu giám sát bảo mật thiết bị trên, gom phân phối Switch Cisco 4506 Thuyết minh giải pháp 3.1 Core Switch 4506 Đây thiết bị chuyển mạch lõi, có cấu hình phần cứng cao đủ khả xử lý toàn yêu cầu truy cập người dùng Mơ hình mạng lõi sử dụng thiết bị Core Switch (model: Cisco 4506) Hai thiết bị cấu hình hoạt động mode HSRP (Hot Standby Router Protocol), liệu thông tin cấu hình tự động Switch, cung cấp khả hoạt động dự phòng hai thiết bị gặp cố Trên 4506 tạo nhiều VLAN để dễ dàng quản lý khoanh vùng xử lý cố có lỗi Sử dụng access control list để chặn tất VLAN khác không đươc truy cập Tất VLAN định tuyến để truy cập vào vùng Public Server tìm kiếm thông tin làm việc, Sử dụng access control list để chặn toàn người dùng VLAN khách VLAN Wifi không truy cập vào vùng Server VLAN khác 3.2 Kết nối từ Internet vào máy chủ Public vùng DMZ DMZ vùng mạng chứa máy chủ dịch vụ, cổng thông tin,… cho phép sinh viên, cán nhà trường người dùng internet truy nhập, tương tác Các máy chủ vùng DMZ bảo vệ thiết bị FortiGate Firewall, thực thi hạn chế truy nhập ngăn chặn cơng mạng từ Internet Tại vùng DMZ, chức Load balancing server có khả cân tải cho Server Tường lửa FortiGate 500D thiết bị quan trọng hệ thống, vừa đảm nhiệm chức tường lửa quét liệu tầng thứ để đảm bảo tính an ninh cho hệ thống, ngồi nhiệm vụ phân vùng truy cập LAN local vùng DMZ thiết bị có chức xác thực kiểm soát người dùng qua tài khoản AD (Active Directory), kiểm sốt thơng đảm bảo tính ổn định cho hệ thống 3.3 Kết nối cán bộ, giảng viên nhà trường Internet Trên Core Switch, cấu hình chia VLAN theo nhóm người dùng thuộc phòng ban làm việc nhà trường Khi người dùng kết nối vào hệ thống mạng sử dụng Wifi mạng dây (wired) cấp địa IP từ máy chủ DHCP server Wireless Access Point FortiGate Firewall cấu hình tích hợp hệ thống Active Directory, u cầu người dùng xác thực sử dụng Domain User trước phép truy nhập internet Ngay sau xác thực thành cơng, người dùng áp dụng sách kiểm soát truy nhập tổ chức, bảo vệ người dùng vơ tình/cố ý truy nhập Blacklist Domain Website có nội dung xấu, chứa mã độc … 3.4 Kết nối Server Zone Internet Server Zone phân vùng chứa máy chủ quan trọng tổ chức DB server, Apps server, File server, … Mọi kết nối vào/ra phân vùng Server kiểm soát bảo vệ lớp McAfee Firewall Trên McAfee Firewall, cấu hình sách kiểm sốt truy nhập tối thiểu dựa Src IP, Dst IP, Dst Port, … Hạn chế rủi ro gây an toàn an ninh cho hệ thống 3.5 Phòng Lab thực hành kết nối Internet Trên Core Switch: - Cấu hình chia VLAN cho nhóm Phòng Lab - Cấu hình Access List, chặn kết nối từ Phòng Lab đến tất phân vùng nội nhà trường - Cấu tính Source-based-Routing, định tuyến VLAN Phòng Lap đến Cisco ASA Firewall trước phép truy nhập internet Trên Cisco ASA Firewall: - Cấu hình tính QoS, hạn chế băng thơng sử dụng tối thiểu theo địa IP Cấu hình kiểm sốt địa truy nhập internet theo thời gian (Ví dụ: chặn sinh viên đọc báo xem video học) Xây dựng ứng dụng theo dõi làm việc thiết bị chuyển mạch mạng Các thiết bị liên kết với theo hoạt động theo thể thống Vì vậy, thiết bị khơng hoạt động dẫn đến tình trạng kết nối mạng Việc xây dựng ứng dụng thực nguyên lý ping đến thiết bị IV Dự kiến kết Thiết kế hệ thống mạng có cấu trúc đảm bảo dễ dàng nâng cấp, phân vùng truy cập rõ ràng, thiết lập sách truy cập vùng đảm bảo tính an tồn cao nhất, lưc xử lý hệ thống đáp ứng khoảng 1000 người dùng Cấu trúc hệ thống khai thác hiệu tính lực xử lý thiết bị, đảm bảo an ninh cao cho vùng ưu tiên, tránh tình trạng “nghẽn cổ chai” Hệ thống kiểm soát người dùng, quản lý truy cập qua tài khoản xác thực AD (Active Directory) Giám sát thiết bị chuyển mạch mạng có hoạt động tốt không ... hành quản lý hệ thống CNTT tổ chức hay quan cần phải có máy chủ Việc sở hữu máy chủ riêng giúp cho chủ động việc quản lý xử lý thông tin, không phụ thuộc vào bên cung cấp thứ Quan trọng khả quản. .. nghẽn mạng đảm bảo an tồn Vì việc thiết kế phòng máy chủ nhằm đảo bảo hiệu suất cao cần thiết Không thế, việc đảm bảo Internet thông suốt đến máy tính nội phụ thuộc vào thiết bị chuyển mạch mạng. .. truy nhập internet theo thời gian (Ví dụ: chặn sinh viên đọc báo xem video học) Xây dựng ứng dụng theo dõi làm việc thiết bị chuyển mạch mạng Các thiết bị liên kết với theo hoạt động theo thể thống