Đang tải... (xem toàn văn)
Ngày nay, tất cả các nước trên thế giới đều đang dành sự đầu tư rất to lớn để phát triển công nghệ thông tin. Cùng với viễn thông, tin học là một thành phần cốt lõi của công nghệ thông tin. Thuật ngữ “mạng máy tính” đã trở nên quen thuộc và trở thành đối tượng nghiên cứu, ứng dụng của rất nhiều người có nghề nghiệp và phạm vi hoạt động khác nhau. Từ khi ra đời, mạng máy tính đã đáp ứng nhu cầu chia sẻ nguồn tài nguyên, giảm chi phí khi muốn trao đổi dữ liệu và được sử dụng trong công tác văn phòng một cách rất tiện lợi. Đến nay, do sự phát triển của xã hội, nhu cầu trao đổi thông tin ngày một nhiều, vì vậy mạng máy tính không ngừng phát triển, không ngừng tối ưu hóa các dịch vụ để đáp ứng yêu cầu đó. Trong những năm gần đây, internet đã trở thành một công cụ rất thuận tiện và phổ biến trong các hoạt động kinh doanh và giải trí. Trong môi trường mạng, một lượng thông tin hay một khối dữ liệu đi từ người gửi đến người nhận thường phải qua nhiều nút với sử dụng khác nhau, không có ai có thể đảm bảo rằng thông tin không bị sao chép, đánh cắp hay xuyên tạc. Do đó việc xây dựng và hoạch định ra một chính sách, triển khi xây dựng hệ thống mạng một cách an toàn nhằm tạo ra một môi trường mạng “trong sạch” đang là một vấn đề được rất nhiều tổ chức, doanh nghiệp, quốc gia quan tâm. Để làm được điều này, các cơ quan tổ chức cần phải xây dựng cho mình một chính sách bảo vệ môi trường mạng của mình một cách thiết thực nhất. Dựa trên những yêu cầu đặt ra ban đầu, thông quan những hiểu biết về việc cấu hình thiết bị mạng, phối kết hợp chúng để chúng phát huy được những điểm mạnh sẵn có và khắc phục được các điểm yếu cho nhau nhằm đạt được mục tiêu chính là bảo vệ an toàn cho hệ thống mạng đó. Với đồ án tốt nghiệp đề tài: “Mạng LAN và các phương pháp bảo mật”, em muốn nêu lên một số phương pháp giúp cho người quản trị mạng có thể triển khai để bảo vệ mạng trước những tấn công và truy nhập trái phép. Nội dung đồ án được chia thành các phần: Phần 1: Tổng quan về mạng máy tính Phần 2: Thiết kế mạng LAN và WAN Phần 3: Một số phương pháp tấn công và các biện pháp bảo vệ mạng Phần 4: Xây dựng mô hình hệ thống mô phỏng Kết luận
LỜI CẢM ƠN Đồ án hoàn thành nhờ giúp đỡ tận tính thầy cơ, bạn đồng niên người thân Lời xin bày tỏ lòng biết ơn đến tất người giúp đỡ em trình học tập hoàn thành đồ án tốt nghiệp Đặc biệt em xin bày tỏ lòng biết ơn chân thành tới thầy Hoàng Xuân Thảo, người trực tiếp hướng dẫn giúp đỡ em trình nghiên cứu thực đề tài Em xin chân thành cảm ơn ý kiến đóng góp quý báu thầy giáo phản biện Nhân dịp cho em bày tỏ lòng biết ơn sâu sắc đến thầy khoa Công Nghệ Thông Tin – Trường Đại học Kinh Doanh Công Nghệ Hà Nội suốt năm học qua cung cấp cho em nhiều kiến thức phục vụ cho công tác sau Sinh viên: Đỗ Duy Khánh Lớp: THE0206 MỤC LỤC LỜI CẢM ƠN NHỮNG THUẬT NGỮ VIẾT TẮT DANH MỤC HÌNH, BẢNG LỜI NÓI ĐẦU PHẦN 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH CHƢƠNG 1: CÁC KHÁI NIỆM CƠ BẢN Mạng kết nối mạng Các loại hình mạng CHƢƠNG 2: MỘT SỐ THIẾT BỊ MẠNG THÔNG THƢỜNG 10 Cáp .10 Card mạng 10 Hub 11 Bridge .11 Switch 11 Router .11 Card mạng không dây điểm truy cập 11 CHƢƠNG 3: MƠ HÌNH OSI VÀ TCP/IP 12 Mơ hình OSI 12 1.1 Kiến trúc phân tầng .12 1.2 Chức tầng mơ hình OSI 13 1.3 Quan hệ tầng mơ hình OSI 15 Mơ hình TCP/IP 17 2.1 Kiến trúc phân tầng .17 2.2 Các tầng mơ hình TCP/IP 18 2.3 Giao thức IP 20 PHẦN 2: THIẾT KẾ MẠNG LAN VÀ WAN 25 CHƢƠNG 1: THIẾT KẾ MẠNG LAN .25 Yêu cầu chung 25 Lớp 27 Lớp 28 Lớp 28 CHƢƠNG 2: MƠ HÌNH PHÂN LỚP MẠNG LAN 30 Lớp truy cập .30 Lớp phân bố .31 Lớp lõi 32 CHƢƠNG 3: THIẾT MẠNG WAN 33 Các bước thiết kế mạng WAN 33 Một số topology mạng WAN 34 Mơ hình phân lớp mạng WAN 36 PHẦN 3: MỘT SỐ PHƢƠNG THỨC TẤN CÔNG VÀ CÁC BIỆN PHÁP BẢO VỆ MẠNG 37 CHƢƠNG 1: MỘT SỐ PHƢƠNG THỨC TẤN CÔNG CHỦ YẾU .37 Các vấn đề chung .37 Tấn công chủ động 38 2.1 Phương pháp công DoS 38 2.2 Phương pháp công DDoS 40 2.3 Tấn công SYN .41 Tấn công bị động .43 3.1 Sniffing 43 3.2 Vulnerability scanning 43 Tấn công password 43 4.1 Brute force attacks .43 4.2 Dictionary-based attacks .44 CHƢƠNG 2: MỘT SỐ BIỆN PHÁP BẢO VỆ MẠNG .45 Switch 45 1.1 Password truy cập port security 45 1.2 VLAN 47 Router .51 2.1 Password truy cập 51 2.2 Access Control Lists 52 Tường lửa 54 3.1 Packet filtering firewall .55 3.2 Application layer gateways 56 3.3 Stateful inspection 57 3.4 Một số mơ hình mạng triển khai firewall 57 Thiết bị phát xâm nhập hệ thống .59 4.1 Network-based IDSs 60 4.2 Host-based IDSs 60 4.3 Application-based IDSs .61 PHẦN 4: XÂY DỰNG HỆ THỐNG MÔ PHỎNG 62 CHƢƠNG 1: TỔNG QUAN MẠNG MÔ PHỎNG .62 Mơ hình mạng mơ 62 1.1 Yêu cầu thiết kế 63 1.2 Mô tả hệ thống .63 Các thiết bị triển khai hệ thống 64 CHƢƠNG 2: TRIỂN KHAI CẤU HÌNH TRÊN CÁC THIẾT BỊ .65 Router .65 1.1 Cấu hình địa IP 65 1.2 Cấu hình password truy nhập 65 1.3 Cấu hình phương pháp định tuyến 66 1.4 Cấu hình ACLs 67 Switch 68 2.1 Cấu hình password truy nhập 68 2.2 Cấu hình VLAN 69 2.2.1 Cấu hình cho chi nhánh Hà Nội .69 2.2.2 Cấu hình cho chi nhánh Sài Gòn 72 KẾT LUẬN 73 TÀI LIỆU THAM KHẢO 75 NHỮNG THUẬT NGỮ VIẾT TẮT ACK Acknowledgement ACLs Access Control Lists ARP Address Resolution Protocol ATM Asynchronous Transfer Mode CAM Content Addressable Memory CHAP Challenge Handshake Authentication Protocol DCE Data Circuit-Terminating Equipment DDoS Distributed Denial of Service DNS Domain Name System DoS Denial of Service DTE Data Terminal Equipment FDDI Fiber Distributed Data Interface FTP File Transfer Protocol IDSs Intrusion Detection System ICMP Internet Control Message Protocol IP Internet Protocol ISDN Intergrated Services Digital Network LAN Local Area Network MAC Media Access Control NAT Network Address Transtation NIC Network Interface Card OSI Open Systems Interconnection OSPF Open Shortest Path Firth PAP Password Authentication Protocol PPP Point to point Protocol RIP Routing Information Protocol SMTP Simple Mail Transfer Protocol SNMP Simple Network Management Protocol SONET Synchronous Optical Network STP Shield Twisted Pair TCP Transmission Control Protocol UDP User Datagram Protocol UTP Unshield Twisted Pair VLAN Virtual LAN VTP VLAN Trunking Protocol WAN Wide Area Network DANH MỤC HÌNH, BẢNG HÌNH: Hình 1.1.1 Một hệ thống mạng đơn giản Hình 1.1.2 Một số topology mạng thơng thường .6 Hình 1.1.3 Peer to peer network .7 Hình 1.1.4 Client/server network .8 Bảng 1.2.1 Một số loại cáp thông dụng 10 Hình 1.3.1 Mơ hình OSI tầng 13 Hình 1.3.2 Quan hệ tầng mơ hình OSI .15 Hình 1.3.3 Quá trình Encapsulation 16 Hình 1.3.4 So sánh OSI TCP/IP 18 Hình 1.3.5 Các lớp địa IP 21 Hình 2.1.1 Mơ hình thiết kế mạng LAN 26 Hình 2.1.2 Các lớp thiết kế mạng LAN 27 Hình 2.1.3 Các gói tin chạy VLAN 29 Hình 2.2.1 Mơ hình phân lớp thiết kế mạng LAN 31 Hình 2.3.1 Mơ hình point to point 34 Hình 2.3.2 Mơ hình star 35 Hình 2.3.3 Mơ hình mesh 35 Hình 2.3.4 Mơ hình phân lớp thiết kế mạng WAN 36 Hình 3.1.1 Quá trình bắt tay bước (3-way handshake) 41 Hình 3.1.2 SYN attack .42 Hình 3.2.1 Mơ hình triển khai VLAN 48 Hình 3.2.2 VLAN trunk 49 Hình 3.2.3 Application Layer Gateway 56 Hình 3.2.4 Mơ hình triển khai firewall 57 Hình 3.2.5 Mơ hình triển khai kết hợp firewall nhiều tầng .58 Hình 3.2.6 Vị trí hoạt động NIDSs 60 Hình 4.1.1 Mơ hình mạng mơ .62 BẢNG: Bảng 1.3.1: Phân lớp địa IP 22 Bảng 2.2.1: Một số dòng switch Cisco sử dụng lớp truy cập 31 Bảng 2.3.1: Bandwidth số công nghệ mạng WAN .34 LỜI NÓI ĐẦU Ngày nay, tất nước giới dành đầu tư to lớn để phát triển công nghệ thông tin Cùng với viễn thông, tin học thành phần cốt lõi công nghệ thơng tin Thuật ngữ “mạng máy tính” trở nên quen thuộc trở thành đối tượng nghiên cứu, ứng dụng nhiều người có nghề nghiệp phạm vi hoạt động khác Từ đời, mạng máy tính đáp ứng nhu cầu chia sẻ nguồn tài nguyên, giảm chi phí muốn trao đổi liệu sử dụng công tác văn phòng cách tiện lợi Đến nay, phát triển xã hội, nhu cầu trao đổi thông tin ngày nhiều, mạng máy tính khơng ngừng phát triển, khơng ngừng tối ưu hóa dịch vụ để đáp ứng yêu cầu Trong năm gần đây, internet trở thành công cụ thuận tiện phổ biến hoạt động kinh doanh giải trí Trong mơi trường mạng, lượng thông tin hay khối liệu từ người gửi đến người nhận thường phải qua nhiều nút với sử dụng khác nhau, khơng có đảm bảo thông tin không bị chép, đánh cắp hay xuyên tạc Do việc xây dựng hoạch định sách, triển xây dựng hệ thống mạng cách an toàn nhằm tạo môi trường mạng “trong sạch” vấn đề nhiều tổ chức, doanh nghiệp, quốc gia quan tâm Để làm điều này, quan tổ chức cần phải xây dựng cho sách bảo vệ mơi trường mạng cách thiết thực Dựa yêu cầu đặt ban đầu, thơng quan hiểu biết việc cấu hình thiết bị mạng, phối kết hợp chúng để chúng phát huy điểm mạnh sẵn có khắc phục điểm yếu cho nhằm đạt mục tiêu bảo vệ an tồn cho hệ thống mạng Với đồ án tốt nghiệp đề tài: “Mạng LAN phƣơng pháp bảo mật”, em muốn nêu lên số phương pháp giúp cho người quản trị mạng triển khai để bảo vệ mạng trước công truy nhập trái phép Nội dung đồ án chia thành phần: Phần 1: Tổng quan mạng máy tính Phần 2: Thiết kế mạng LAN WAN Phần 3: Một số phƣơng pháp công biện pháp bảo vệ mạng Phần 4: Xây dựng mơ hình hệ thống mơ Kết luận mạng mức chi tiết nhiều so với NIDSs Nó xác định trình hay hoạt động người sử dụng mạng có dấu hiệu gây nguy hiểm cho mạng Ngồi HIDSs có khả tập trung thơng báo tình trạng mạng gửi từ thiết bị khác để tạo cho sở liệu riêng để cấu hình hay quản lý host HIDSs có khả phát công mà NIDSs không phát có độ xác cao Ngồi ra, hoạt động gói tin bị mã hóa hoạt động tốt nơi sử dụng chuyển mạch tốc độ cao 4.3 Application-based IDSs Đây dạng IDS có chức quản lý giám sát ứng dụng đặc biệt Nó thường hoạt động để dự trữ ứng dụng quan trọng sở liệu việc quản lý hệ thống mạng hay nội dung công tác quản lý hệ thống, đặc biệt hệ thống tính cước AIDSs nhận dạng dạng liệu bị mã hóa đường truyền, sử dụng server làm chức mã hóa giải mã Nhìn chung để phát huy cách tốt tính ưu việt IDS công tác bảo vệ liệu hệ thống mạng nên kết hợp ba kiểu Việc kết hợp mang nhiều ý nghĩa cơng tác triển khai bảo đảm an tồn cho hệ thống Bởi dạng IDS có điểm mạnh điểm yếu riêng kết hợp triển khai IDS với làm chúng phát huy tính bật khắc phục cho điểm yếu tồn Chính yếu tố mà xây dựng thống ta phải quan tâm đến việc sử dụng thiết bị cho mục đích để đảm bảo độ an toàn cao Tùy loại IDS khác mà ta phối kết hợp với loại thiết bị khác (firewall, server ) 61 PHẦN 4: XÂY DỰNG HỆ THỐNG MÔ PHỎNG CHƢƠNG 1: TỔNG QUAN MẠNG MƠ PHỎNG Mơ hình mạng mơ Hình 4.1.1 Mơ hình mạng mơ 62 1.1 Yêu cầu thiết kế Thiết kế triển khai mạng nội cho cơng ty có trụ sở Hà Nội chi nhánh TP Hồ Chí Minh đáp ứng số yêu cầu sau Yêu cầu thiết kế: + Các máy mạng có khả trao đổi thông tin với + Tất máy truy cập Internet + Áp dụng số phương pháp để tăng khả an tồn thơng tin + Mạng dễ dàng mở rộng thêm chi nhánh mở rộng nội chi nhánh 1.2 Mô tả hệ thống Ở chi nhánh bao gồm switch, switch ứng với tầng Mỗi switch chia thành VLAN VLAN2, VLAN3 VLAN4, VLAN tương ứng với phòng ban riêng biệt cơng ty Thực tế số switch số VLAN thay đổi tùy theo u cầu Mơ hình cách cấu hình cho hệ thống hoàn toàn tương tự Mạng sử dụng địa IP 172.16.0.0 với subnet mask 255.255.0.0 Việc đánh địa IP chia sau: - Đối với switch Hà Nội + VLAN2 có dải địa IP 172.16.2.0/24 + VLAN3 có dải địa IP 172.16.3.0/24 + VLAN4 có dải địa IP 172.16.4.0/24 - Đối với switch TP Hồ Chí Minh + VLAN2 có dải địa IP 172.16.5.0/24 + VLAN3 có dải địa IP 172.16.6.0/24 + VLAN4 có dải địa IP 172.16.7.0/24 Mạng nối router với có địa 172.16.1.0/30 63 Các thiết bị triển khai hệ thống Như mơ hình thấy, thiết bị sử dụng bao gồm: + Router Cisco 2650 + Switch Cisco 2950 + Đường nối router Hà Nội TP Hồ Chí Minh kết nối serial (có thể đường leased line thuê nhà cung cấp dịch vụ) 64 CHƢƠNG 2: TRIỂN KHAI CẤU HÌNH TRÊN CÁC THIẾT BỊ Router 1.1 Cấu hình địa IP Cổng Serial 0/0 router HaNoi kết nối với cổng Serial 0/1 router SaiGon Để cho đường kết nối hoạt động cần cấu hình địa IP cho cổng Sau lệnh cấu hình địa IP cho cổng này: Router#config terminal Router(config)#hostname HaNoi HaNoi(config)#interface s0/0 HaNoi(config-if)#ip address 172.16.1.1 255.255.255.252 HaNoi(config-if)#clock rate 64000 HaNoi(config-if)#no shutdown HaNoi(config-if)exit Ở router HaNoi coi đầu DCE kết nối serial nên cần phải cài đặt clock rate Lệnh cấu hình địa cho router SaiGon: Router#config terminal Router(config)#hostname SaiGon SaiGon(config)#interface s0/1 SaiGon(config-if)#ip address 172.16.1.2 255.255.255.252 SaiGon(config-if)#no shutdown SaiGon(config-if)#exit 1.2 Cấu hình password truy nhập Để ngăn chặn truy cập trái phép trực tiếp vào router cách qua telnet biết địa IP, cắm trực tiếp thiết bị thông qua cổng console tiến hành thiết lập mã hóa password truy cập vào router 65 Lệnh cấu hình: HaNoi(config)#line consol HaNoi(config-line)#password hoanghai HaNoi(config-line)#login HaNoi(config-line)#exit Lệnh đặt enable password: HaNoi(config)#enable password hoanghai Password khơng mã hóa, hiển thị dạng clear text thực lệnh show runningconfig, để mã hóa password dùng lệnh: HaNoi(config)#enable secret hoanghai Lệnh cấu hình password cho phiên telnet: HaNoi(config)#line vty HaNoi(config-line)#password hoanghai HaNoi(config-line)#login HaNoi(config-line)#exit Ngoài ra, để tăng khả bảo mật cấu hình PAP (Password Authentication Protocol) CHAP (Challenge Handshake Authentication Protocol) kết nối hai router Việc cấu hình thực lệnh sau: HaNoi(config)#username SaiGon password hoanghai HaNoi(config)#inferface s0/0 HaNoi(config-if)#encapsulation ppp HaNoi(config-if)#ppp authentication chap Trên router SaiGon lệnh cấu hình hồn toàn tương tự router HaNoi 1.3 Cấu hình phương pháp định tuyến Việc áp dụng phương pháp định tuyến làm tăng khả an toàn thơng chạy mạng Có hai phương pháp định tuyến phương pháp định 66 tuyến tĩnh (Static Routes) định tuyến động (Dynamic Routes) Có nhiều phương pháp định tuyến động RIP, IGRP, EIGRP, OSPF Ở sử dụng giao thức RIP (Routing Information Protocol) RIP giao thức sử dụng cho mạng tương đối nhỏ, có đặc điểm sau: + Sau 30 giây cập nhật bảng định tuyến lần thông tin định tuyến router gửi quảng bá mạng + Sử dụng hop count (số bước nhảy) để xác lập bảng định tuyến Nếu số bước nhảy lớn 15, gói tin bị loại bỏ Các lệnh cấu hình RIP router: HaNoi(config)#router rip HaNoi(config-router)#network 172.16.0.0 SaiGon(config)#router rip SaiGon(config-router)#network 172.16.0.0 1.4 Cấu hình ACLs Việc cấu hình ACLs router khiến router hoạt động firewall thực thụ Ở cấu hình ACLs để ngăn chặn gói tin host 172.16.5.5 qua router HaNoi HaNoi(config)#access-list deny 172.16.5.5 0.0.0.0 HaNoi(config)#access-list permit 0.0.0.0 255.255.255.255 HaNoi(config)#interface s0/0 HaNoi(config-if)#ip access-group in Hai dòng lệnh thay lệnh sau: HaNoi(config)#access-list deny host 172.16.5.5 HaNoi(config)#access-list permit any Trên mơ hình mơ phỏng, để ngăn chặn hacker ngồi telnet vào router tạo ACLs ngăn chặn telnet: 67 HaNoi(config)#access-list 101 deny tcp any any eq 23 HaNoi(config)#access-list 101 permit ip any any HaNoi(config)#interface s0/1 HaNoi(config-if)#ip access-group 101 in Với cấu trúc lệnh trên, phiên telnet từ vào router HaNoi bị ngăn chặn gói tin IP khác hoạt động bình thường Ngồi phương pháp bảo vệ hệ thống thơng qua cấu hình router sử dụng phương pháp chuyển đổi địa mạng (Network Address Transtation) để ngăn chặn việc bị phát địa IP máy nội mạng Switch 2.1 Cấu hình password truy nhập Cũng giống router, switch cấu hình password cho cổng consol phiên telnet Lệnh cấu sau: Switch1(config)#line console Switch1(config-line)#password hoanghai Switch1(config-line)#login Switch1(config-line)#exit Lệnh đặt enable password: Switch1(config)#enable password hoanghai Password khơng mã hóa, hiển thị dạng clear text thực lệnh show runningconfig, để mã hóa password dùng lệnh: Switch1(config)#enable secret hoanghai Lệnh cấu hình password cho phiên telnet: Switch1(config)#line vty 15 Switch1(config-line)#password hoanghai Switch1(config-line)#login Switch1(config-line)#exit 68 2.2 Cấu hình VLAN Trên switch chia thành VLAN VLAN2, VLAN3 VLAN4 Việc phân chia port switch vào VLAN sau: + Port đến thuộc VLAN2 + Port đến 16 thuộc VLAN3 + Port 17 đến 24 thuộc VLAN4 Riêng VLAN1 dùng làm VLAN quản lý khơng có port switch gắn vào VLAN1 2.2.1 Cấu hình cho chi nhánh Hà Nội + Các lệnh cấu hình cho switch1 sau: Switch1#vlan database Switch1(vlan)#vlan Switch1(vlan)#vlan Switch1(vlan)#vlan Switch1(vlan)#vtp domain hanoi Switch1(vlan)#vtp server Switch1(vlan)#exit Sau câu lệnh VLAN2, VLAN3 VLAN4 tạo switch1 Switch1 đặt trạng thái VTP server nằm domain hanoi Như switch1 có nhiệm vụ quảng bá thơng tin VLAN cho switch lại Để định tuyến cho VLAN ta cần phải cấu hình subinterface router HaNoi(config)#interface fa0/0 HaNoi(config-if)#no shutdown HaNoi(config-if)#interface fa0/0.2 HaNoi(config-if)#encapsulation dot1q 69 HaNoi(config-if)#ip address 172.16.2.1 255.255.255.0 -HaNoi(config-if)#interface fa0/0.3 HaNoi(config-if)#encapsulation dot1q HaNoi(config-if)#ip address 172.16.3.1 255.255.255.0 -HaNoi(config-if)#interface fa0/0.4 HaNoi(config-if)#encapsulation dot1q HaNoi(config-if)#ip address 172.16.4.1 255.255.255.0 HaNoi(config-if)#exit Qua câu lệnh trên, cổng fa0/0 router HaNoi chia thành cổng logic tương ứng với VLAN Sau tạo VLAN cần phải gán cổng switch vào VLAN tương ứng Switch1#config terminal Switch1(config)#interface fa 0/x Switch1(config-if)#switchport mode access Switch1(config-if)#switchport access vlan Switch1(config-if)#exit Ở x số port gán vào VLAN2, x có giá trị từ đến -Switch1#config terminal Switch1(config)#interface fa0/y Switch1(config-if)#switchport mode access Switch1(config-if)#switchport access vlan Switch1(config-if)#exit 70 Ở y số port gán vào VLAN3, y có giá trị từ đến 15 -Switch1#config terminal Switch1(config)#interface fa0/z Switch1(config-if)#switchport mode access Switch1(config-if)#switchport access vlan Switch1(config-if)#exit Ở z số port gán vào VLAN4, z có giá trị từ 17 đến 24 -Đường nối hai switch cần phải cấu hình mức trunk để mang thơng tin VLAN Switch1#config terminal Switch1(config)#interface gigabit1 Switch1(config-if)#switchport mode trunk Ngoài ra, để thuận tiện cho việc quản lý ta đặt địa IP cho switch Switch1#config terminal Switch1(config)#interface vlan1 Switch1(config-if)#ip address 172.16.0.1 255.255.255.0 + Các lệnh cấu hình cho switch2 sau: Switch2#vlan database Switch2(vlan) domain hanoi Switch2(vlan)#vtp client Switch2(vlan)#exit Switch2 cấu hình VTP domain với switch1 mức client Như switch2 khơng có khả tạo xóa VLAN Nó nhận thơng tin VLAN từ switch1 Cả việc gán cổng vào VLAN 71 không cần cấu hình nhận từ switch1 Trên switch2 cần cấu hình mode trunk cho đường nối đặt IP để tiện quản lý: Switch2#config terminal Switch2(config)#interface gigabit1 Switch2(config-if)#switchport mode trunk Switch2(config-if)#exit Switch2(config)#interface vlan1 Switch(config-if)#ip address 172.16.0.2 255.255.255.0 2.2.2 Cấu hình cho chi nhánh Sài Gòn Việc cấu hình switch chi nhánh Sài Gòn hoàn toàn tương tự Ở vtp domain saigon địa IP cho VLAN tương ứng sau: + VLAN2 172.16.5.0/24 + VLAN3 172.16.6.0/24 + VLAN4 172.16.7.0/24 72 KẾT LUẬN Để đảm bảo an tồn thơng tin mạng cần phải thực nhiều lớp bảo vệ khác nhau, lớp có mặt hạn chế có ưu điểm riêng Tùy vào yêu cầu cụ thể công việc mà ta cần lựa chọn biện pháp cho thích hợp để đáp ứng nhu cầu đảm bảo an toàn thông tin cho hệ thống Hiện để triển khai hệ thống mạng an tồn có nhiều phương pháp áp dụng, việc sử dụng thiết bị mạng phương pháp quang trọng Những thiết bị sử dụng nhiều để phát huy hết khả chúng người quản trị cần phải có hiểu biết tương đối sâu thiết bị Trên thực tế nay, tất công ty hay tổ chức cần xây dựng an ninh mạng tùy theo mức độ quan trọng thông tin Việc thực đề tài phần đáp ứng u cầu Đề tài hồn tồn đem áp dụng để xây dựng hệ thống mạng thực tế Có thể quy mơ mạng lớn có yêu cầu an ninh cao hơn, kết hợp nhiều bạn pháp khác để đảm bảo an tồn cho mạng Đề tài có nhiều điểm tích cực hạn chế, vấn đề nêu dừng lại mức bản, chưa thực sâu vào vấn đề Vì thời gian thực đề tài khơng dài, thiết bị dùng để thực có hạn, việc thực cấu hình thiết bị khơng nhiều nhiều hạn chế để thực nhiều biện pháp đảm bảo an ninh mạng thiết bị Nếu có điều kiện thiết bị thời gian đề tài chắn mang tính thực tế nhiều hơn, giúp cho người đọc dễ dàng hiểu hệ thống mạng thực bao gồm chúng hoạt động 73 Thơng qua q trình thực đề tài em may mắn tiếp xúc với thiết bị hệ thống mạng máy tính, biết chúng hoạt động nào, điều giúp em mở mang thêm nhiều kiến thức Việc kết hợp lý thuyết học ghế nhà trường với kiến thức thực tế tạo nhiều thuận lợi cho công tác em sau 74 TÀI LIỆU THAM KHẢO [1] Nguyễn Thúc Hải – “Mạng máy tính hệ thống mở” – NXB Giáo dục [2] Khương Anh – “Giáo trình hệ thống mạng máy tính CCNA” – NXB Lao động – Xã hội [3] Giáo trình CCNA 3.1 [4] CCNA Lab Pro 75 ... bị mạng, phối kết hợp chúng để chúng phát huy điểm mạnh sẵn có khắc phục điểm yếu cho nhằm đạt mục tiêu bảo vệ an tồn cho hệ thống mạng Với đồ án tốt nghiệp đề tài: Mạng LAN phƣơng pháp bảo mật ,... số phương pháp giúp cho người quản trị mạng triển khai để bảo vệ mạng trước công truy nhập trái phép Nội dung đồ án chia thành phần: Phần 1: Tổng quan mạng máy tính Phần 2: Thiết kế mạng LAN. .. sánh OSI TCP/IP 18 Hình 1.3.5 Các lớp địa IP 21 Hình 2.1.1 Mơ hình thiết kế mạng LAN 26 Hình 2.1.2 Các lớp thiết kế mạng LAN 27 Hình 2.1.3 Các gói tin chạy VLAN