Thiết kế hệ thống mạng cho khách sạn le more hotel 4 sao

DANH MỤC CÁC TỪ VIẾT TẮTPAN: Personnal Area Network – Mạng cá nhân LAN: Local Area Network – Mạng cục bộ WAN: Wide Area Network – Mạng đô thị MAN: Metropolitan Area Network – Mạng

BÁO CÁO THỰC TẬP GIÁO TRÌNH

ĐỀ TÀI: THIẾT KẾ HỆ THỐNG MẠNG CHO KHÁCH SẠN CM HOTEL 4 SAO

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC NHA TRANG KHOA CÔNG NGHỆ THÔNG TIN

ĐỒ ÁN TỐT NGHIỆP

THIẾT KẾ HỆ THỐNG MẠNG CHO KHÁCH SẠN

LE MORE HOTEL

4 SAO

Giảng viên hướng dẫn : TS Đinh Đồng Lưỡng

Sinh viên thực hiện : Nguyễn Phú Lắm

Mã số sinh viên : 57131483

Khánh Hòa - 2019

TRƯỜNG ĐẠI HỌC NHA TRANG

KHOA CÔNG NGHỆ THÔNG TIN

BỘ MÔN MẠNG MÁY TÍNH

ĐỒ ÁN TỐT NGHIỆP THIẾT KẾ HỆ THỐNG MẠNG CHO KHÁCH

SẠN LE MORE HOTEL 4 SAO

TRƯỜNG ĐẠI HỌC NHA TRANG

Khoa: Công Nghệ Thông Tin

PHIẾU THEO DÕI TIẾN ĐỘ VÀ ĐÁNH GIÁ ĐỒ ÁN

Tên đề tài: THIẾT KẾ HỆ THỐNG MẠNG CHO kHÁCH SẠN LE MORE HOTEL

4 SAO

Giàng viên hướng dẫn: TS Đinh Đồng Lưỡng

Sinh viên được hướng dẫn: Nguyễn Phú Lắm MSSV: 57131483

Khóa: K57 Ngành: Công nghệ thông tin

Nhận xét chung(Sau khi sinh viên hoàn thành ĐA/KLTN):

CAM ĐOAN CỦA SINH VIÊN

Tôi xin cam đoan đây là công trình nghiên cứu của tôi và được sự hướng dẫn khoa học của TS Đinh Đồng Lưỡng Các nội dung nghiên cứu, kết quả trong đề tài này là trung thực và chưa công bố dưới bất kỳ hình thức nào trước đây Những nội dung trong phần khảo sát, phân tích, nhận xét và đánh giá được chính tác giả thu thập từ các nguồn khác nhau có ghi rõ trong phần tài liệu tham khảo Ngoài ra, trong đồ án còn tham khảo phần mềm của nhóm tác giả khác đều có trích dẫn và chú thích nguồn gốc Nếu phát hiện có bất kì sự gian lận nào tôi xin hoàn toàn chịu trách nhiệm về nội dung đồ án của mình Trường Đại Học Nha Trang không liên quan đến những vi phạm tác quyền, bản quyền do tôi gây ra trong quá trình thực hiện

LỜI CẢM ƠN

Em xin gửi lời cảm ơn chân thành và sự tri ân sâu sắc đối với các thầy cô đã giảng

dạy em trong suốt thời gian học tập tại khoa công nghệ thông tin trường Đại Học Nha

Trang, đặc biệt em xin cảm ơn tới TS Đinh Đồng Lưỡng đã tạo điều kiện cho em đi

thực tập và nhiệt tình hướng dẫn em hoàn thành đồ án

Em cũng xin chân thành cảm ơn sự giúp đỡ của các anh chị và toàn thể nhân viên

công ty ISC đã tạo điều kiện cho em có nơi thực tập, học hỏi kinh nghiệm, tìm hiểu cung

cấp các số liệu và tài liệu cho em trong quá trình thực tập và làm đồ án

Trong quá trình thực tập, cũng như là trong quá trình làm đồ án, khó tránh khỏi sai

sót, rất mong các thầy, cô bỏ qua Đồng thời do trình độ lý luận cũng như kinh nghiệm

thực tiễn còn hạn chế nên báo cáo đồ án không thể tránh khỏi những thiếu sót, em rất

mong nhận được ý kiến đóng góp thầy, cô để em học hỏi thêm được nhiều kinh nghiệm

Em xin chân thành cảm ơn!

Nguyễn Phú Lắm

MỤC LỤC

CAM ĐOAN CỦA SINH VIÊN 4

LỜI CẢM ƠN 5

DANH SÁCH BẢNG 8

DANH SÁCH HÌNH VẼ 9

DANH MỤC CÁC TỪ VIẾT TẮT 11

Chương 1: TỔNG QUAN VỀ ĐỀ TÀI 12

1.1 Mô tả bài toán 12

1.2 Mục tiêu cần đạt được 12

1.3 Hướng giải quyết và kế hoạch thực hiện 12

1.3.1 Thu thập dữ liệu 12

1.3.2 Thiết kế giải pháp 13

1.3.3 Tổng kết 13

Chương 2 CƠ SỞ LÝ THUYẾT 14

2.1 Tổng quan về mạng máy tính 14

2.1.1 Khái niệm mạng máy tính 14

2.1.2 Lịch sử mạng máy tính 15

2.1.3 Phân loại mạng máy tính 16

2.2 Mô hình mạng điển hình 22

2.2.1 Giao thức TCP/IP 22

2.3 Tổng quan mạng LAN 24

2.3.1 Khái niệm mạng LAN 24

2.3.2 Hệ thống dây cáp mạng 25

2.3.3 Thiết bị mạng 28

2.3.4 An toàn mạng 32

2.4 Các mô hình thiết kế mạng 36

2.4.1 Mô hình mạng phân cấp 36

2.4.2 Mô hình mạng module 39

2.4.3 Mô hình mạng dự phòng - High Availability (HA) 41

2.4.4 Mô hình mạng bảo mật 42

Chương 3 KHẢO SÁT THIẾT KẾ MẠNG 46

3.1 Giới thiệu về khách sạn 46

3.2 Thu thập yêu cầu khách hàng 50

3.2.1 Lý thuyết 50

3.2.2 Thực tiễn 51

3.3 Phân tích yêu cầu khách hàng 52

3.3.1 Yêu cầu về kỹ thuật 52

3.3.2 Yêu cầu về hệ thống 53

3.3.3 Yêu cầu về thiết kế 53

3.4 Lựa chọn mô hình mạng 55

Chương 4 TRIỂN KHAI XÂY DỰNG HỆ THỐNG 56

4.1 Thiết kế sơ đồ logic 56

4.2 Thiết kế sơ đồ vật lý 58

4.3 Lựa chọn thiết bị phần cứng 66

4.3.1 Router 66

4.3.2 Firewall 67

4.3.3 Core switch 68

4.3.4 Switch access 69

4.3.5 Wifi 70

4.3.6 IP phone 73

4.4 Cài đặt và cấu hình hệ thống 79

4.4.1 Bảng kết nối vật lý 79

Chương 5 KẾT LUẬN 83

TÀI LIỆU THAM KHẢO 84

PHỤ LỤC 85

DANH SÁCH BẢNG

Bảng 2.1: Tổng quan phân loại mạng theo topo 18

Bảng 3.1: Thiết bị dự tính 52

Bảng 3.2: Thông tin VLAN 54

Bảng 4.1: Thông số kỹ thuật Router 2911/K9 66

Bảng 4.2: Thông số kỹ thuật ASA 5512-X 67

Bảng 4.3: Thông số kỹ thuật Switch 3750G-24TS-Stackable 68

Bảng 4.4: Thông số kỹ thuật Switch WS-2960S-24PSL 69

Bảng 4.5: Thông số kỹ thuật IgniteNet SP-W2M-AC1200-POE 71

Bảng 4.6: Thông số kỹ thuật IgniteNet SP-W2-AC1200-POE 72

Bảng 4.7: Thông số kỹ thuật UCM6202 73

Bảng 4.8: Thông số kỹ thuật Grandstream GXP2130 74

Bảng 4.9: Thông số kỹ thuật Grandstream GXP1615 76

Bảng 4.10: Thông số kỹ thuật Vision NVR-3202 77

Bảng 4.11: Thông số kỹ thuật VS 201-2MP 78

Bảng 4.12: Thông số kỹ thuật VS 211-2MP 79

DANH SÁCH HÌNH VẼ

Hình 2.1: Mạng máy tính cơ bản 14

Hình 2.2: Mô hình Client – Server 19

Hình 2.3: Mô hình mạng ngang hàng 20

Hình 2.4: Mô hình TCP/IP 22

Hình 2.5: Mô hình chức năng TCP/IP 24

Hình 2.6: Cáp xoắn đôi có vỏ bọc 25

Hình 2.7: Cáp xoắn đôi không có vỏ bọc 26

Hình 2.8: Cáp đồng trục 27

Hình 2.9: Cáp quang Multimode 28

Hình 2.10: Cáp quang Singlemode 28

Hình 2.11: Network Interface Card 29

Hình 2.12: Repeater 29

Hình 2.13: Hub 30

Hình 2.14: Bridge 31

Hình 2.15: Router 31

Hình 2.16: Switch 32

Hình 2.17: Mô hình mạng phân cấp 37

Hình 2.18: Mô hình mạng module 40

Hình 2.19: Mô hình dự phòng mạng 42

Hình 2.20: Mô hình mạng bảo mật tổng quát 43

Hình 2.21: Mô hình mạng bảo mật loại 1 44

Hình 2.22: Mô hình mạng bảo mật loại 2 44

Hình 2.23: Mô hình mạng bảo mật loại 3 45

Hình 3.1: Khung cảnh khách sạn Le More 46

Hình 3.2: Khách sạn Le More 47

Hình 3.3: Khu vực lễ tân 47

Hình 3.4: Khu vực phòng họp 48

Hình 3.5: Khu vực nhà hàng 48

Hình 3.6: Khu vực hồ bơi 49

Hình 3.7: Khu vực phòng ngủ 49

Hình 4.1: Sơ đồ logic 56

Hình 4.2: Sơ đồ logic trên cisco packet tracer 57

Hình 4.3: Sơ đồ vật lý tổng quan 58

Hình 4.4: Sơ đồ vật lý tầng B 59

Hình 4.5: Sơ đồ vật lý tầng G 60

Hình 4.6: Sơ đồ vật lý tầng lửng 61

Hình 4.7: Sơ đồ vật lý tầng 1 62

Hình 4.8: Sơ đồ vật lý tầng 2 63

Hình 4.9: Sơ đồ vật lý tầng 3->20 64

Hình 4.10: Sơ đồ vật lý tầng 21 65

Hình 4.11: Router 2921/K9 66

Hình 4.12: Firewall ASA 5512-X 67

Hình 4.13: Switch 3750G-24TS-Stackable 68

Hình 4.14: Switch WS-2960S-24PSL 69

Hình 4.15: Wifi IgniteNet SP-W2M-AC1200-POE 70

Hình 4.16: Wifi IgniteNet SP-W2-AC1200-POE 72

Hình 4.17: Tổng đài Grandstream UCM6202 73

Hình 4.18: Điện thoại Grandstream GXP2130 74

Hình 4.19: Điện thoại Grandstream GXP1615 75

Hình 4.20: Đầu ghi Vision NVR-3202 77

Hình 4.21: Camera VS 201-2MP 78

Hình 4.22: Camera VS 211-2MP 79

DANH MỤC CÁC TỪ VIẾT TẮTPAN: Personnal Area Network – Mạng cá nhân

LAN: Local Area Network – Mạng cục bộ

WAN: Wide Area Network – Mạng đô thị

MAN: Metropolitan Area Network – Mạng diện rộng

P2P: Peer To Peer – Mạng ngang hàng

STP: Shielded Twisted-Pair – Cáp xoắn đôi có vỏ bọc

UTP: Unshielded Twisted-Pair – Cáp xoắn đổi không vỏ bọc

IDS: intrusion detection system – Hệ thống phát hiện xâm nhập

NIC: Network Interface Center – Card giao tiếp mạng

UDP: User Datagram Protocol – Giao thức gói dữ liệu người dùng

TCP: Transmission Control Protocol – Giao thức điều khiển truyền dẫn

HA: High Availability – Tính sẵn sàng cao

TCP/IP: Transmission Control Protocol/ Internet Protocol – Mô hình TCP/IP

OSI: Open Systems Interconnection Reference Model – Mô hình OSI

VLAN: Virtual Local Area Network – Mạng riêng ảo

DHCP: Dymanic Host Configuration Protocol – Giao thức cấu hình máy chủ động IP: Internet Protocol – Giao thức mạng

PoE: Power over Ethernet – Cấp nguồn qua Ethernet

Wifi: Wireless fidelity – kết nối mạng không dây

Chương 1: TỔNG QUAN VỀ ĐỀ TÀI

1.1 Mô tả bài toán

Trong những năm gần đây, du lịch ở Nha Trang là một trong những ngành có tốc

độ tăng trưởng cao nhất cả nước Rất nhiều khách sạn được phát triển, đổi mới liên tục và nhanh chóng theo đà phát triển của xã hội cả về qui mô và chất lượng

Hiện nay, do sự phát triển du lịch nhiều khách sạn được xây dựng với nhiều hệ thống đổi mới để đáp ứng nhu cầu của khách hàng, trong đó hệ thống mạng là phần đòi hỏi rất quan trọng đối với nhiều khách hàng hiện nay nên việc xây dựng một hệ thống mạng an toàn, bảo mật, tiện lợi và nhanh chống là sự ưu tiên hàng đầu của nhiều khách sạn

Đề tài “Thiết Kế Hệ Thống Mạng Cho Khách Sạn CM Hotel 4 Sao” được thực hiện để giải quyết vấn đề an toàn, bảo mật, tiện lợi và nhanh chống cho khách sạn CM Hotel nói riêng và khách sạn cho cả nước nói chung Đề tài góp phần hiểu rõ hơn kiến thức về mạng và cách hoạt động của một hệ thống mạng cho khách sạn Hệ thống mạng này thực sự mang lại hiểu quả trong việc quản lý, nâng cao chất lượng và hiệu quả cho nhiều khách sạn ở Nha Trang

- Mô hình tham chiếu hệ thống mở OSI và giao thức TCP/IP

- Các kiến thức cơ bản về LAN, các phương pháp điều khiển truy cập trong LAN, các công nghệ và các chuẩn cáp

- Có thể thiết kế và xây dựng các mạng LAN và các dịch vụ khác trong mạng có thể phục vụ tốt được các yêu cầu thực tế của các tổ chức hay bất kỳ một công ty nào, mang lại hiểu quả kinh tế cao.

1.3 Hướng giải quyết và kế hoạch thực hiện

1.3.1 Thu thập dữ liệu

Khảo sát tình hình thực tế, thu thập dữ liệu (thu thập các yêu cầu từ phía khách sạn, phân tích yêu cầu, tìm các bài viết, tài liệu liên quan…) Nghiên cứu tài liệu, tìm hiểu các phương pháp, áp dụng các kiến thức đã biết, tham khảo các hệ thống mạng ở các khách sạn khác đang được sử dụng Vẽ sơ đồ tổng thể, thiết kế giải pháp

1.3.2 Thiết kế giải pháp

Thiết kế sơ đồ mạng ở mức logic, thiết kế sơ đồ mạng ở mức vật lý liên quan đến việc chọn lựa mô hình mạng, giao thức mạng và thiết lặp các cấu hình cho các thành phần nhận dạng mạng Những vấn đề chung nhất khi thiết lặp cấu hình cho mô hình mạng là:

- Phân chia mạng con, thực hiện vạch đường đi cho thông tin trên mạng

- Thiết kế sơ đồ mạng ở mức logic, vật lý

- Định vị các thành phần nhận dạng mạng, bao gồm việc đặt tên cho máy tính, định địa chỉ IP cho các máy, định cổng cho từng dịch vụ

- Lựa chọn các thiết bị phần cứng phù hợp

- Cài đặt và cấu hình mạng

- Thử nghiệm và tối hóa thiết kế

1.3.3 Tổng kết

- Khái quát hóa và rút ra kết luận chung cho đề tài

- Viết báo cáo, công bố kết quả nghiên cứu đề tài

- Ý nghĩa lý luận và thực tiễn của đề tài: Đề tài giúp cho khách sạn có thể hoạt động

ở mức tốt nhất, an toàn, nhanh chóng và thuận tiện trong việc quản lý, bảo trì và nâng

cấp hệ thống mạng

- Với các kiến thức đã được học tập tại trường và sự tìm tòi học hỏi của bản thân qua đề tài này giúp em tăng thêm hiểu biết nhằm hoàn thiện hơn vốn kiến thức mạng của mình

Chương 2 CƠ SỞ LÝ THUYẾT

2.1 Tổng quan về mạng máy tính

2.1.1 Khái niệm mạng máy tính

Mạng máy tính (Computer Network) là sự kết hợp các máy tính lại với nhau thông qua các thiết bị kết nối mạng và phương tiện truyền thông (giao thức mạng, môi trường truyền dẫn) theo một cấu trúc nào đó và các máy tính này trao đổi thông tin qua lại với nhau

Nói một cách cơ bản, mạng máy tính là hai hay nhiều máy tính được kết nói với nhau theo một cách nào đó Khác với các trạm truyền hình gửi thông tin đi, các mạng máy tính luôn hai chiều, sao cho khi máy tính A gửi thông tin tới máy tính B thì B có thể trả lời lại A

Hình 2.1: Mạng máy tính cơ bản

Mạng máy tính ra đời xuất phát từ nhu cầu muốn chia sẻ và dùng chung dữ liệu Nếu không có mạng máy tính thì dữ liệu muốn chia sẻ trên các máy tính độc lập với nhau phải thông qua việc in ấn, sao chép qua usb, cd-rom… điều này gây bất tiện rất lớn đối với người dùng Để giải quyết khó khăn đó, kết nối những máy tính độc lập lại thành mạng máy tính thì chúng ta sẽ có những ưu điểm sau:

- Nhiều người có thể dùng chung một phần mềm tiện ích

- Một nhóm người cùng thực hiện một công việc(ví dụ: làm chung một đồ án, một bài báo cáo nào đó…) thì họ sẽ dùng chung dữ liệu, dùng chung tập tin của công việc

đó, trao đổi thông tin với nhau dễ dàng hơn

- Dữ liệu được quản lý tập trung nên an toàn hơn, trao đổi với nhau nhanh chóng, thuận lợn hơn

- Có thể dùng chung các thiết bị ngoại vi đắt tiền (máy in, máy vẽ, máy photocopy,…)

- Người dùng trao đổi với nhau qua hộp thư điện tử dễ dàng(Email) và có thể sử dụng như là một công cụ để thông báo tin tức, nội dung của một buổi hợp, thời khóa biểu…

- An toàn cho dữ liệu và phần mềm vì phần mềm mạng sẽ khóa các tệp khi có những người dùng không đủ quyền truy xuất các tập tin và thư mục đó

2.1.2 Lịch sử mạng máy tính

Máy tính của thập niên 1940 là các thiết bị cơ - điện tử lớn và rất dễ hỏng Sự phát minh ra transistor bán dẫn vào năm 1947 tạo ra cơ hội để làm ra chiếc máy tính nhỏ và đáng tin cậy hơn

Năm 1950, các máy tính lớn (mainframe) chạy bởi chương trình ghi trên thẻ đục

lỗ (punched card) bắt đầu dùng trong các học viện lớn Điều này tạo nhiều thuận lợi với máy tính có khả năng được lập trình nhưng cũng có rất nhiều khó khăn trong việc tạo ra các chương trình dựa trên thẻ đục lỗ này

Vào cuối thập niên 1950, người ta phát minh ra mạch tích hợp (IC) chứa nhiều transistor trên một mẫu bán dẫn nhỏ, tạo ra một bước nhảy vọt trong việc chế tạo các máy tính mạnh hơn, nhanh hơn và nhỏ hơn Đến nay, IC có thể chứa hàng triệu transistor trên một mạch

Vào cuối thập niên 1960, đầu thập niên 1970, các máy tính nhỏ được gọi là minicomputer bắt đầu xuất hiện

Năm 1977, Công ty máy tính Apple Computer giới thiệu máy vi tính còn được gọi là máy tính cá nhân (personal computer - PC)

Năm 1981, IBM đưa ra máy tính cá nhân đầu tiên Sự thu nhỏ ngày càng tinh vi hơn của các IC đưa đến việc sử dụng rộng rãi máy tính cá nhân tại nhà và trong kinh doanh

Vào giữa thập niên 1980, người sử dụng dùng các máy tính độc lập bắt đầu chia

sẻ các tập tin bằng cách dùng modem kết nối với các máy tính khác Cách thức này được gọi là điểm nối điểm, hay truyền theo kiểu quay số Khái niệm này được mở rộng bằng cách dùng các máy tính là trung tâm truyền tin trong một kết nối quay số Các máy tính này được gọi là sàn thông báo(bulletin board) Các người dùng kết nối đến sàn thông báo này, để lại đó hay lấy đi các thông điệp, cũng như gửi lên hay tải về các tập tin Hạn chế của hệ thống là có rất ít hướng truyền tin, và chỉ với những ai biết về sàn thông báo

đó Ngoài ra, các máy tính tại sàn thông báo cần một modem cho mỗi kết nối, khi số lượng kết nối tăng lên, hệ thống không thề đáp ứng được nhu cầu

Qua các thập niên 1950, 1970, 1980 và 1990, Bộ Quốc phòng Hoa Kỳ đã phát triển các mạng diện rộng WAN có độ tin cậy cao, nhằm phục vụ các mục đích quân sự và khoa học Công nghệ này khác truyền tin điểm nối điểm Nó cho phép nhiều máy tính kết nối lại với nhau bằng các đường dẫn khác nhau Bản thân mạng sẽ xác định dữ liệu

di chuyển từ máy tính này đến máy tính khác như thế nào Thay vì chỉ có thể thông tin với một máy tính tại một thời điểm, nó có thể thông tin với nhiều máy tính cùng lúc bằng cùng một kết nối Sau này, WAN của Bộ Quốc phòng Hoa Kỳ đã trở thành Internet

2.1.3 Phân loại mạng máy tính

a Phân loại theo phạm vi địa lý

Mạng máy tính có thể phân bố trên vùng lãnh thổ nhất định và có thể phân bố trong phạm vi một quốc gia hay quốc tế

Trong cách phân loại này người ta chú ý đến đại lượng đường kính mạng Đường kính mạng là khoảng cách giữa hai máy tính xa nhất trong mạng Dựa vào đường kính của mạng người ta có thể phân ra các loại mạng như sau:

- Mang cá nhân PAN (Personnal Area Network): là mạng diện tích nhỏ gồm hai hay nhiều mạng máy tính nối với nhau bằng các thiết bị định tuyến cho phép dữ liệu được gửi qua lại giữa chúng Các thiết bị định tuyến có nhiện vụ hướng dẫn giao thông dữ liệu theo đường đúng trong số các đường có thể đi qua liên mạng để tới đích

- Mạng cục bộ LAN (Local Area Network): là mạng được thiết kế trong phạm vi nhỏ khoảng cách giữa các nút mạng nhỏ hơn 1km LAN thường được sử dụng trong phạm vi nội bộ cơ quan, xí nghiệp… Chúng nối các máy chủ và các máy trạm trong các văn phòng và nhà máy để chia sẻ tài nguyên và trao đổi thông tin Các LAN được kết nối với nhau thành một WAN (mạng diện rộng)

- Mạng đô thị MAN (Metropolitan Area Network) : là mạng có cỡ lớn hơn LAN, phạm vi vài km, mạng được thiết kế trong phạm vi đô thị, trong một tỉnh thành có bán kính khoảng 10km trở lại

- Mạng diện rộng WAN (Metropolitan Area Network): Phạm vi mạng có thể vượt qua biên giới quốc gia và thậm trí cả châu lục Hầu hết các WAN bao gồm nhiều đường cáp hay là đường dây điện thoại, mỗi đường dây như vậy nối với một cặp bộ định tuyến Nếu hai bộ định tuyến không nối chung đường dây thì chúng sẽ liên lạc nhau bằng cách gián tiếp qua nhiều bộ định truyến trung gian khác Khi bộ định tuyến nhận được một gói dữ liệu thì nó sẽ chứa gói này cho đến khi đường dây ra cần cho gói đó được trống thì nó sẽ chuyển gói đó đi Các WAN có thể kết nối với nhau thành GAN hay tự nó đã là GAN

- Mạng toàn cầu GAN (Global Area Network): Là mạng được thiết lập trên phạm

b Phân loại theo kỹ thuật truyền tin

- Mạng quảng bá (Broadcast Network): Trong hệ thống mạng quảng bá chỉ tồn tại một kênh truyền được chia sẻ cho tất cả máy tính Khi một máy tính gửi khung dữ liệu, tất cả các máy tính còn lại sẽ nhận được khung dữ liệu đó Tại một thời điểm chỉ cho phép một máy tính sử dụng đường truyền

- Mạng điểm tới điểm: Trong hệ thống mạng này, các máy tính được nối lại với nhau thành từng cặp Khung dữ liệu sẽ được gởi đi sẽ được truyền trực tiếp từ máy gởi đến máy nhận hoặc được chuyển tiếp qua nhiều máy trung gian trước khi đến máy tính nhận

c Phân loại theo topo

Topology của mạng là cấu trúc hình học không gian mà thực chất là cách bố trí phần tử của mạng cũng như cách nối giữa chúng với nhau Thông thường mạng có 3 dạng cấu trúc là: Mạng dạng hình sao (Star Topology), mạng dạng vòng (Ring Topology) và mạng dạng Bus (Bus topology) Ngoài 3 dạng cấu hình kể trên còn có một

số dạng khác biến tướng từ 3 dạng này như mạng dạng cây, mạng dạng hình sao – vòng, mạng hỗn hợp,v.v…

Bảng 2.1: Tổng quan phân loại mạng theo topo

Mạng hình sao cho phép kết nối các máy tính vào một bộ tập trung bằng cáp, giải pháp này cho phép nối trực tiếp máy tính với bộ tập trung không cần thông qua trục bus, nên tránh được các yếu tố gây nghẽn mạng

Mạng dạng này,

bố trí theo dạng xoay vòng, đường dây cáp được thiết kế làm thành một vòng khép kín, tín hiệu chạy quanh theo một chiều nào đó

Các nút truyền tín hiệu cho nhau mỗi thời điểm chỉ được một nút mà thôi

Dữ liệu truyền

đi phải có kèm theo địa chỉ cụ thể của mỗi trạm tiếp nhận

Các máy trạm được phân chia trên

truyền chính

Đường truyền này được giới hạn hai đầu nói đặc biệt gọi là thiết bị đầu cuối, các trạm được nối vào bus qua 1 đấu nối chữ T hay 1 thiết bị thu phát

Khi một trạm truyền dữ liệu thì mọi trạm còn lại đều có thể nhận tín hiệu trực tiếp

Mạng kết hợp là mạng liên kết giữa các mô hình lại với nhau (vd: mạng hình sao kết hợp với mạng vòng, mạng Bus kết hợp với mạng vòng)

Ưu điểm Hoạt động theo

nguyên lý nối song song nên nếu

có một thiết bị nào

đó ở một nút thông tin bị hỏng thì mạng vẫn hoạt động bình thường

Cấu trúc mạng đơn giản và các thuật toán điều khiển ổn định

Mạng có thể mở rộng hoặc thu hẹp tuỳ theo yêu cầu của người sử dụng

Có thể nới rộng

ra xa

Tổng đường dây cần thiết ít

Bán kính mạng không

bị hạn chế

Chi phí lắp đặt thấp vì dùng chung đường truyền

Dễ lắp đặt,mở rộng tương đối đơn giản

Tốc độ truyền cao

Khắc phục những hạng chế của các

mô hình mạng, giúp cho việc đi dây và kết nối tương thích và dễ dàng đối với bất kỳ tòa nhà nào

Nhược

điểm

Khả nǎng mở rộng mạng hoàn toàn phụ thuộc vào khả nǎng của trung tâm Khi trung tâm có sự cố thì toàn mạng ngừng hoạt động

Mạng yêu cầu nối độc lập riêng rẽ từng thiết bị ở các nút thông tin đến trung tâm

Khoảng cách từ máy đến trung tâm rất hạn chế (100 m)

Đường dây phải khép kín, nếu bị ngắt ở một nơi nào đó thì toàn

bộ hệ thống cũng

bị ngừng

Khi có sự cố khó kiểm soát và khắc phục, dễ giây ảnh hưởng tới toàn mạng hơn mạng star

Dễ xảy ra va chạm, xung đột trên đường truyền

d Phân loại mạng theo chức năng

- Mô hình Client – Server

Một hay nhiều máy tính được thiết lập để cung cấp các dịch vụ như file server, mail-server, web-server, ftp… Các máy tính này được thiết lập để cung cấp các dịch vụ được gọi là server, còn các máy tính truy cập và sử dụng dịch vụ gọi client

Hình 2.2: Mô hình Client – Server

- Mạng ngang hàng (Peer-to-Peer)

Mạng ngang hàng (p2p) là mạng mà trong đó hai hay nhiều máy tính chia sẻ tập tin và truy cập các thiết bị như máy in mà không cần đến máy chủ hay phần mềm máy chủ

Nói một cách đơn giản, mạng p2p được tạo ra bởi hai hay nhiều máy tính được kết nối với nhau và chia sẻ tài nguyên mà không phải thông qua một máy chủ dành riêng Mạng p2p có thể là kết nối tại chỗ – hai máy tính nối với nhau qua cổng USB để truyền tập tin P2p cũng có thể là cơ sở hạ tầng thường trực kết nối 5-6 máy tính với nhau trong một văn phòng nhỏ bằng cáp đồng Hay nó cũng có thể là một mạng có quy mô lớn hơn nhiều, dùng các giao thức và ứng dụng đặc biệt để thiết lập những mối quan hệ trực tiếp giữa người dùng trên internet

Hình 2.3: Mô hình mạng ngang hàng

e Mô hình mạng quản lý

- Mô hình mạng workgroup

Mô hình mạng Workgroup là một nhóm máy tính mạng cùng chia sẻ tài nguyên như file dữ liệu, máy in Nó là một nhóm lôgíc của các máy tính mà tất cả chúng có cùng tên nhóm Có thể có nhiều nhóm làm việc (workgroups) khác nhau cùng kết nối trên một mạng cục bộ (LAN)

Mô hình mạng Workgroup cũng được coi là mạng peer-to-peer bởi vì tất cả các máy trong workgroup có quyền chia sẻ tài nguyên như nhau mà không cần sự chỉ định của Server Mỗi máy tính trong nhóm tự bảo trì, bảo mật cơ sở dữ liệu cục bộ của nó Điều này có nghĩa là, tất cả sự quản trị về tài khoản người dùng, bảo mật cho nguồn tài nguyên chia sẻ không được tập trung hóa Bạn có thể kết nối tới một nhóm đã tồn tại hoặc khởi tạo một nhóm mới

Ưu điểm:

 Workgroups không yêu cầu máy tính chạy trên hệ điều hành Windows Server để tập trung hóa thông tin bảo mật

 workgroups thiết kế và hiện thực đơn giản và không yêu cầu lập kế hoạch có phạm

vi rộng và quản trị như domain yêu cầu

 workgroups thuận tiện đối với nhóm có số máy tính ít và gần nhau (≤ 10 máy) Nhược điểm:

 mỗi người dùng phải có một tài khoản người dùng trên mỗi máy tính mà họ muốn đăng nhập

 Bất kỳ sự thay đổi tài khoản người dùng, như là thay đổi mật khẩu hoặc thêm tài khoản người dùng mới, phải được làm trên tất cả các máy tính trong Workgroup, nếu bạn quên bổ sung tài khoản người dùng mới tới một máy tính trong nhóm thì người dùng mới sẽ không thể đăng nhập vào máy tính đó và không thể truy xuất tới tài nguyên của máy tính đó

 việc chia sẻ thiết bị và file được xử lý bởi các máy tính riêng, và chỉ cho người dùng có tài khoản trên máy tính đó được sử dụng

- Mô hình mạng Domain

Mô hình mạng Domain là một nhóm máy tính mạng cùng chia sẻ cơ sở dữ liệu thư mục tập trung (central directory database) Thư mục dữ liệu chứa tài khoản người dùng và thông tin bảo mật cho toàn bộ Domain Thư mục dữ liệu này được biết như là thư mục hiện hành (Active Directory)

Trong một Domain, thư mục chỉ tồn tại trên các máy tính được cấu hình như máy điều khiển miền (domain controller) Một domain controller là một Server quản lý tất

cả các khía cạnh bảo mật của Domain Không giống như mạng Workgroup, bảo mật và quản trị trong domain được tập trung hóa Để có Domain controller, những máy chủ (server) phải chạy dịch vụ làm Domain controller (dịch vụ được tích hợp sẵn trên các phiên bản Windows Server của Microsoft; hoặc trên Linux, ta cấu hình dịch vụ Samba

để làm nhiệm vụ Domain controller, )

Một domain không được xem như một vị trí đơn hoặc cấu hình mạng riêng biệt Các máy tính trong cùng domain có thể ở trên một mạng LAN hoặc WAN Chúng có

thể giao tiếp với nhau qua bất kỳ kết nối vật lý nào, như: Dial-up, Integrated Services Digital Network (ISDN), Ethernet, Token Ring, Frame Relay, Satellite, Fibre Channel

Ưu điểm:

 Cho phép quản trị tập trung

 Nếu người dùng thay đổi mật khẩu của họ, thì sự thay sẽ được cập nhật tự động trên toàn Domain

 Domain cung cấp quy trình đăng nhập đơn giản để người dùng truy xuất các tài nguyên mạng mà họ được phép truy cập

 Domain cung cấp linh động để người quản trị có thể khởi tạo mạng rất rộng lớn Nhược điểm:

 Không giống như Workgroup, Domain phải tồn tại trước khi người dùng tham gia vào nó

 Việc tham gia vào Domain luôn yêu cầu người quản trị Domain cung cấp tài khoản cho máy tính của người dùng tới domain đó

TCP/IP là bộ giao thức cho phép kết nối các hệ thống mạng không đồng nhất với nhau Ngày này TCP/IP được sử dụng rộng rãi trong các mạng cục bộ cũng như trên mạng Internet toàn cầu

TCP/IP được xem là giản lược của mô hình tham chiếu OSI với bốn tầng như sau:

- Tầng liên kết mạng – Network Access Layer

- Tầng Internet – Internet Layer

- Tầng giao vận – Host to Host Tranport Layer

- Tầng ứng dụng – Application Layer

b Chức năng của mỗi tầng trong mô hình TCP/IP

- Tầng liên kết mạng: Tầng liên kết mạng (Network Access Layer) là tầng thấp nhất trong mô hình TCP/IP, bao gồm các thiết bị mạng và chương trình cung cấp các thông tin cần thiết có thể hoạt động, truy nhập đường truyền vật lý qua thiết bị giao tiếp mạng

- Tầng Internet: Xử lý qua trình gói tin trên mạng Các giao thức của tầng này bao gồm: IP (Internet Protocol), ICMP(Internet Control Message Protocol), IGMP (Internet Group Messages Protocol),…

- Tầng giao vận

 Tầng giao vận phụ trách luồng dữ liệu giữa hai trạm thực hiện các ứng dụng của tầng mạng Tầng này có hai giao thức chính: TCP (Transmission Protocol) và UDP

(User Datagram Protocol)

 TCP cung cấp một luồn dữ liệu tin cậy giữa hai máy trạm, sử dụng các cơ chế như chia nhỏ các gói tin của tầng trên thành các gói tin có kich thước thích hợp cho tầng mạng bên dưới, báo nhận gói tin, đặt hạn chế thời gian time-out để đảm bảo bên nhận biết được các gói tin đã gửi đi Do tầng này đảm bảo tính tin cậy, tầng trên sẽ

không cần quan tâm đến nữa

 UDP cung cấp một dịch vụ đơn giản hơn cho tầng ứng dụng Gửi các gói dữ liệu từ trạm này đến trạm kia mà không đảm bảo các gói tin đến được tới đích Các cơ chế đảm bảo độ tin cậy cần được thực hiện bởi tầng trên

Hình 2.5: Mô hình chức năng TCP/IP

Cũng tương tự như trong mô hình OSI, khi truyền dữ liệu, quá trình tiến hành từ tầng trên xuống tầng dưới, qua mỗi tầng dữ liệu được thêm vào một thông tin điều khiển được gọi là phần header Khi nhận dữ liệu thì quá trình xảy ra ngược lại, dữ liệu được truyền từ tầng dưới lên và qua mỗi tầng thì phần header tương ứng được lấy đi và khi đến tầng trên cùng thì dữ liệu không còn phần header nữa Hình vẽ 1.7 cho ta thấy lược

đồ dữ liệu qua các tầng Trong hình vẽ này ta thấy tại các tầng khác nhau dữ liệu được mang những thuật ngữ khác nhau:

- Trong tầng ứng dụng dữ liệu là các luồng được gọi là stream

- Trong tầng giao vận, đơn vị dữ liệu mà TCP gửi xuống tầng dưới gọi là TCP

segment

- Trong tầng mạng, dữ liệu mà IP gửi tới tầng dưới được gọi là IP datagram

- Trong tầng liên kết, dữ liệu được truyền đi gọi là frame

2.3 Tổng quan mạng LAN

2.3.1 Khái niệm mạng LAN

Mạng cục bộ LAN (Local Area Network) là hệ thống truyền thông tốc độ cao được thiết kế để kết nối các máy tính và các thiết bị xử lý dữ liệu khác cùng hoạt động với

nhau trong một khu vực địa lý nhỏ như ở một tầng của tòa nhà, hoặc một tòa nhà… Tên gọi “mạng cục bộ” được xem xét từ quy mô của mạng Tuy nhiên, đó không phải là đặc tính duy nhất của mạng cục bộ nhưng trên thực tế, quy mô của mạng quyết định nhiều đặc tính và công nghệ của mạng

- Một số đặc điểm của mạng LAN

 Mạng cục bộ có quy mô nhỏ, thường là bán kính dưới vài km Đặc điểm này

cho phép không cần dùng các thiết bị dẫn đường với các mối liên hệ phức tạp

 Mạng cục bộ thường là sở hữu của một tổ chức Điều này dường như có vẻ ít quan trọng nhưng trên thực tế đó là điều khá quan trọng để việc quản lý mạng có hiệu

quả

 Mạng cục bộ có tốc độ cao và ít lỗi Trên mạng rộng tốc độ nói chung chỉ đạt vài Kbit/s Còn tốc độ thông thường trên mạng cục bộ là 10, 100 Mb/s và tới nay với Gigabit Ethernet, tốc độ trên mạng cục bộ có thể đạt 1Gb/s Xác xuất lỗi rất thấp

2.3.2 Hệ thống dây cáp mạng

a Cáp xoắn đôi

Cáp xoắn đôi gồm nhiều cặp dây đồng xoắn lại với nhau nhằm chống phát xạ nhiễu điện từ Do giá thành thấp nên cáp xoắn được dùng rộng rãi Có hai loại cáp xoắn đôi được sử dụng rộng rãi trong LAN là: loại có vỏ bọc chống nhiễu và loại không có vỏ bọc chống nhiễu

- Cáp xoắn đôi có vỏ bọc – STP (Shielded Twisted-Pair)

Hình 2.6: Cáp xoắn đôi có vỏ bọc

Gồm nhiều cặp xoắn được phủ bên ngoài một lớp vỏ làm bằng dây đồng bện Lớp

vỏ này có tác dụng chống EMI từ ngoài và chống phát xạ nhiễu bên trong Lớp vỏ bọc

chống nhiễu này được nối đất để thoát nhiễu Cáp xoắn đôi có bọc ít bị tác động bởi nhiễu điện và có tốc độ truyền qua khoảng cách xa cao hơn cáp xoắn đôi trần

 Chi phí: đắt tiền hơn UTP nhưng lại rẻ tiền hơn cáp quang

 Tốc độ: tốc độ lý thuyết 500Mbps, thực tế khoảng 155Mbps, với đường chạy 100m Tốc độ phổ biến 16Mbps (Token Ring)

 Độ suy dần: Tín hiệu yếu dần nếu cáp càng dài, thông thường ngắn hơn 100m

- Cáp xoắn đôi không có vỏ bọc – UTP (Unshielded Twisted-Pair)

Hình 2.7: Cáp xoắn đôi không có vỏ bọc

Gồm nhiều cặp xoắn như cáp STP nhưng không có lớp vỏ đồng chống nhiễu Cáp xoắn đôi trần sử dụng chuẩn 10BaseT hoặc 100BaseT Do giá thành rẻ nên đã nhanh chóng trở thành loại cáp mạng cục bộ được ưu chuộng nhất Độ dài tối đa của một đoạn cáp là 100 mét Không có vỏ bọc chống nhiễu nên dễ bị nhiễu khi đặt gần các thiết bị và cáp khác do đó thông thường dùng để đi dây trong nhà Đầu nối dùng đầu RJ-45.

b Cáp đồng trục

Hình 2.8: Cáp đồng trục

Cáp đồng trục là loại cáp điện với một lõi dẫn điện được bọc lại bởi một lớp điện môi không dẫn điện, chung quanh quấn thêm một lớp bện kim loại, ngoài cùng lại có vỏ bọc cách điện

Cáp đồng trục thường dùng làm đường truyền cho tín hiệu vô tuyến Ứng dụng của

nó bao gồm các đường cấp giữa thiết bị thu phát sóng vô tuyến và ăng ten của chúng, các kết nối mạng máy tính, và làm cáp truyền hình

Cáp quang hiện nay có hai loại chính là Multimode và Singlemode:

- Cáp quang Multimode hiện nay được sử dụng rộng rãi trong các ứng dụng truyền

dữ liệu với khoảng cách < 5km, thường được các doanh nghiệp, cơ quan sử dụng trong các hệ thống mạng nội bộ, truyền thông trong công nghiệp

Hình 2.9: Cáp quang Multimode

- Cáp quang Singlemode là loại cáp có đường kính lõi nhỏ (<10 micron), truyền dữ liệu với khoảng cách rất xa, được các đơn vị viễn thông sử dụng để truyền dữ liệu trong

hệ thống Hiện nay cách dịch vụ viễn thông được rất đông đảo người dân sử dụng nên các nhà cung cấp dịch vụ liên tục phải mở rộng hệ thống truyền dẫn quang của họ để có thể đáp ứng nhu cầu của khách hàng, do vậy đã làm cho cáp quang Singlemode trở nên rất phổ dụng, giá thành hạ đi rất nhiều

Hình 2.10: Cáp quang Singlemode 2.3.3 Thiết bị mạng

a NIC (Network Interface Card)

NIC (card mạng) là một thiết bị được cắm vào trong máy tính để cung cấp cổng kết nối vào mạng Card mạng được coi là một thiết bị hoạt động ở lớp 2 của mình OSI Mỗi card mạng có chứa một địa chỉ duy nhất là địa chỉ MAC – Media Access Control

Card mạng điều khiển việc kết nối của máy tính vào các phương tiện truyền dẫn trên mạng

Hình 2.11: Network Interface Card

b Repeater

Repeater là một thiết bị hoạt động ở tầng 1 của mô hình OSI, khuếch đại và định hình lại tín hiệu Repeater gửi mọi tín hiệu mà nó nhận được từ một port ra tất cả các port còn lại Chức năng của repeater là phục hồi lại các tín hiệu trên đường truyền mà không sửa đổi gì

Hình 2.12: Repeater

c Hub

Hub được coi là một Repeater có nhiều cổng Một Hub có từ 4 đến 24 cổng và có thể còn nhiều hơn Trong phần lớn các trường hợp, Hub được sử dụng trong các mạng 10BASE-T hay 100BASE-T Khi cấu hình mạng là hình sao (Star topology), Hub đóng

vai trò là trung tâm của mạng Với một Hub, khi thông tin vào từ một cổng và sẽ được đưa đến tất cả các cổng khác

Hub có 2 loại là Active Hub và Smart Hub Active Hub là loại Hub được dùng phổ biến, cần được cấp nguồn khi hoạt động, được sử dụng để khuếch đại tín hiệu đến và cho tín hiệu ra những cổng còn lại, đảm bảo mức tín hiệu cần thiết Smart Hub (Intelligent Hub) có chức năng tương tự như Active Hub, nhưng có tích hợp thêm chip

có khả năng tự động dò lỗi - rất hữu ích trong trường hợp dò tìm và phát hiện lỗi trong mạng

Hình 2.13: Hub

d Bridge

Bridge là thiết bị mạng thuộc lớp 2 của mô hình OSI (Data Link Layer) Bridge được sử dụng để ghép nối 2 mạng để tạo thành một mạng lớn duy nhất Bridge được sử dụng phổ biến để làm cầu nối giữa hai mạng Ethernet Bridge quan sát các gói tin (packet) trên mọi mạng Khi thấy một gói tin từ một máy tính thuộc mạng này chuyển tới một máy tính trên mạng khác, Bridge sẽ sao chép và gửi gói tin này tới mạng đích

Ưu điểm của Bridge là hoạt động trong suốt, các máy tính thuộc các mạng khác nhau vẫn có thể gửi các thông tin với nhau đơn giản mà không cần biết có sự “can thiệp” của Bridge Một Bridge có thể xử lý được nhiều lưu thông trên mạng như Novell, Banyan… cũng như là địa chỉ IP cùng một lúc Nhược điểm của Bridge là chỉ kết nối những mạng cùng loại và sử dụng Bridge cho những mạng hoạt động nhanh sẽ khó khăn nếu chúng không nằm gần nhau về mặt vật lý

Hình 2.14: Bridge

e Router

Router là thiết bị mạng lớp 3 của mô hình OSI (Network Layer) Router kết nối hai hay nhiều mạng IP với nhau Các máy tính trên mạng phải “nhận thức” được sự tham gia của một router, nhưng đối với các mạng IP thì một trong những quy tắc của IP là mọi máy tính kết nối mạng đều có thể giao tiếp được với router

Hình 2.15: Router

Ưu điểm của Router: Về mặt vật lý, Router có thể kết nối với các loại mạng khác lại với nhau, từ những Ethernet cục bộ tốc độ cao cho đến đường dây điện thoại đường dài có tốc độ chậm

Nhược điểm của Router: Router chậm hơn Bridge vì chúng đòi hỏi nhiều tính toán hơn để tìm ra cách dẫn đường cho các gói tin, đặc biệt khi các mạng kết nối với nhau không cùng tốc độ Một mạng hoạt động nhanh có thể phát các gói tin nhanh hơn nhiều

so với một mạng chậm và có thể gây ra sự nghẽn mạng Do đó, Router có thể yêu cầu

máy tính gửi các gói tin đến chậm hơn Một vấn đề khác là các Router có đặc điểm chuyên biệt theo giao thức - tức là, cách một máy tính kết nối mạng giao tiếp với một router IP thì sẽ khác biệt với cách nó giao tiếp với một router Novell hay DECnet Hiện nay vấn đề này được giải quyết bởi một mạng biết đường dẫn của mọi loại mạng được biết đến Tất cả các router thương mại đều có thể xử lý nhiều loại giao thức, thường với chi phí phụ thêm cho mỗi giao thức.

f Switch

Switch đôi khi được mô tả như là một Bridge có nhiều cổng Trong khi một Bridge chỉ có 2 cổng để liên kết được 2 segment mạng với nhau, thì Switch lại có khả năng kết nối được nhiều segment lại với nhau tuỳ thuộc vào số cổng (port) trên Switch Cũng giống như Bridge, Switch cũng “học” thông tin của mạng thông qua các gói tin (packet) mà nó nhận được từ các máy trong mạng Switch sử dụng các thông tin này để xây dựng lên bảng Switch, bảng này cung cấp thông tin giúp các gói thông tin đến đúng địa chỉ

Hình 2.16: Switch

Ngày nay, trong các giao tiếp dữ liệu, Switch thường có 2 chức năng chính là chuyển các khung dữ liệu từ nguồn đến đích, và xây dựng các bảng Switch Switch hoạt động ở tốc độ cao hơn nhiều so với Repeater và có thể cung cấp nhiều chức năng hơn như khả năng tạo mạng LAN ảo (VLAN)

Vậy phải triển khai cơ chế nào để thực hiện yêu cầu an ninh - an toàn, chúng ta gọi

đó là cơ chế an ninh-an toàn mạng

Trước hết tài nguyên chúng ta muốn bảo vệ là gì?

- Là các dịch vụ mà mạng đang triển khai

- Là các thông tin quan trọng mà mạng đó đang lưu giữ, hay cần lưu chuyển

- Là các tài nguyên phần cứng và phần mềm mà hệ thống mạng đó có, để cung cấp

cho những người dùng cho phép,…

Nhìn từ một phía khác thì vấn đề an ninh - an toàn khi thực hiện còn được thể hiện qua tính bảo mật (confidentiality), tính toàn vẹn (integrity) và tính sẵn dùng (availability) của các tài nguyên về phần cứng, phần mềm, dữ liệu và các dịch vụ của hệ thống mạng

Vấn đề an ninh - an toàn còn thể hiên qua mối quan hệ giữa người dùng với hệ thống mạng và tài nguyên trên mạng Các quan hệ này được xác định, được đảm bảo qua phương thức xác thực (authentication), xác định được phép (authorization) dùng, và

bị từ chối (repudiation) Chúng ta sẽ xem xét chi tiết:

 Tính bảo mật: Bảo đảm tài nguyên mạng không bị tiếp xúc, bị sử dụng bởi những người không có thẩm quyền Chẳng hạn dữ liệu truyền trên mạng được đảm bảo không bị lấy trộm cần được mã hoá trước khi truyền Các tài nguyên đó đều có chủ và được bảo vệ bằng các công cụ và các cơ chế an ninh-an toàn

 Tính toàn vẹn: Đảm bảo không có việc sử dụng, và sửa đổi nếu không được phép, ví dụ như lấy hay sửa đổi dữ liệu, cũng như thay đổi cấu hình hệ thống bởi những người không được phép hoặc không có quyền Thông tin lưu hay truyền trên mạng và các tệp cấu hình hệ thống luôn được đảm bảo giữ toàn vẹn Chúng chỉ được sử dụng và được sửa đổi bởi những người chủ của nó hay được cho phép

 Tính sẵn dùng: Tài nguyên trên mạng luôn được bảo đảm không thể bị chiếm giữ bởi người không có quyền Các tài nguyên đó luôn sẵn sàng phục vụ những người được phép sử dụng Những người có quyền có thể dùng bất cứ khi nào, bất cứ lúc nào Thuộc tính này rất quan trọng, nhất là trong các dịch vụ mạng phục vụ công cộng (ngân hàng, tư vấn, chính phủ điện tử, )

 Việc xác thực: Thực hiện xác định người dùng được quyền dùng một tài nguyên nào đó như thông tin hay tài nguyên phần mềm và phần cứng trên mạng Việc xác thực

thường kết hợp với sự cho phép, hay từ chối phục vụ Xác thực thường dùng là mật khẩu (password), hay căn cước của người dùng như vân tay hay các dấu hiệu đặc dụng

Sự cho phép xác định người dùng được quyền thực hiện một hành động nào đó như đọc/ghi một tệp (lấy thông tin), hay chạy chương trình (dùng tài nguyên phần mềm), truy nhập vào một đoạn mạng (dùng tài nguyên phần cứng), gửi hay nhận thư điện tử, tra cứu cơ sở dữ liệu - dịch vụ mạng, Người dùng thường phải qua giai đoạn xác thực bằng mật khẩu (password, RADIUS, ) trước khi được phép khai thác thông tin hay một tài nguyên nào đó trên mạng

b Thiết bị triễn khai mô hình an ninh – an toàn mạng:

- Tường lửa

Tường lửa là một công cụ phục vụ cho việc thực hiện an ninh - an toàn mạng từ vòng ngoài, nhiệm vụ của nó như là hệ thống hàng rào vòng ngoài của cơ sở cần bảo vệ Tường lửa trong tiếng Anh là Firewall, là ghép của 2 từ fireproof và wall nghĩa là ngăn không cho lửa cháy lan Trong xây dựng, tường lửa được thiết kế để giữ không cho lửa lan từ phần này của toà nhà sang phần khác của toà nhà khi có hoả hoạn Trong công nghệ mạng, tường lửa được xây dựng với mục đích tương tự, nó ngăn ngừa các hiểm hoạ từ phía cộng đồng các mạng công cộng hay mạng INTERNET, hay tấn công vào một mạng nội bộ (internal network) của một công ty, hay một tổ chức khi mạng này kết nối qua mạng công cộng, hay INTERNET

Chức năng của hệ thống tường lửa:

 Tường lửa đặt ở cổng vào/ra của mạng, kiểm soát việc truy nhập vào/ra mạng nội bộ để ngăn ngừa tấn công từ phía ngoài vào mạng nội bộ Tường lửa phải kiểm tra, phát hiện, dò tìm dấu vết tất cả các dữ liệu đi qua nó để làm cơ sở cho các quyết định (cho phép, loại bỏ, xác thực, mã hoá, ghi nhật ký, ) kiểm soát các dịch vụ của mạng

nó bảo vệ

 Để đảm bảo mức độ an ninh - an toàn cao, tường lửa phải có khả năng truy nhập, phân tích và sử dụng các thông tin về truyền thông trong cả 7 tầng và các trạng thái của các phiên truyền thông và các ứng dụng Tường lửa cũng phải có khả năng thao tác các các dữ liệu bằng các phép toán logic, số học nhằm thực hiện các yêu cầu về an ninh - an toàn Tường lửa bao gồm các thành phần: các bộ lọc hay sàng lọc

 Dữ liệu vào/ra mạng nội bộ với mạng ngoài đều đi qua tường lửa, do đó tường lửa có thể kiểm soát và đảm bảo dữ liệu nào là có thể được chấp nhận (acceptable) cho phép vào/ra mạng nội bộ

 Về mặt logic thì tường lửa là bộ tách, bộ hạn chế và bộ phân tích Tường lửa là điểm thắt(choke point) Cơ chế này bắt buộc những kẻ tấn công từ phía ngoài chỉ có thể thâm nhập vào hệ thống qua một kênh rất hẹp (nơi này thể giám sát và điều khiển được) Cơ chế này hoạt động cũng tương tự như các trạm thu phí giao thông đặt tại các đầu cầu, hay các điểm kiểm soát vé vào cổng ở một sân vận động

- Hệ thống phát hiện đột nhập

Là hệ thống nhằm phát hiện ra việc sử dụng không hợp pháp tài nguyên hệ thống, phát hiện những hoạt động lạm dụng, tấn công vào hệ thống máy tính hoặc mạng máy tính Hệ thống phát hiện đột nhập IDS (intrusion detection system) là hệ thống bao gồm phần mềm và phần cứng thực hiện việc theo dõi, giám sát, thu nhận thông tin từ các nguồn khác nhau, sau đó phân tích để phát hiện ra dấu hiệu (“signature”) của sự đột nhập (dấu hiệu của các hoạt động tấn công hay lạm dụng hệ thống), cảnh báo cho quản trị hệ thống, hay ra các quyết định phản ứng để phòng vệ Nói một cách tổng quát IDS là hệ thống cho phép phát hiện các dấu hiệu làm hại đến tính bảo mật, tính toàn vẹn, và tính sẵn dùng của hệ thống máy tính hay hệ thống mạng máy tính làm cơ sở cho việc phản ứng lại, bảo đảm an ninh - an toàn hệ thống

Để phát hiện ra những dấu hiệu của sự đột nhập, IDS cần phân tích các hoạt động của hệ thống, đồng thời nó phải có khả năng chỉ ra hoạt động nào là hoạt động tấn công hoặc lạm dụng hệ thống Đôi khi để phát hiện sự đột nhập cần phải kết hợp nhiều phương pháp phân tích và quá trình phân tích cũng chia ra làm nhiều bước để phát hiện việc đột nhập đã vào chưa và ở mức độ nào (trước khi, trong khi, hay sau khi đã đột nhập thành công vào hệ thống?) Chẳng hạn một cuộc đột nhập bị phát hiện trước khi xảy ra thì người quản trị hệ thống sẽ dễ dàng ngăn chặn hoặc là cơ sở để giăng bẫy để bắt kẻ đột nhập khi chúng đột nhập và tấn công vào hệ thống (thu thập chứng cứ cho việc truy tố sau này) Nếu việc đột nhập được phát hiện trong khi đang xảy ra, hay thậm chí sau khi

nó đã hoàn thành, thì điều phải làm đầu tiên của người quản trị hệ thống là đánh giá mức

độ gây hại và cô lập đoạn mạng bị tấn công

Cơ sở để thực hiện phản ứng lại với những hoạt động gây hại thường là ghi các sự kiện ra một hay nhiều nhật ký hệ thống thuận tiện cho việc phân tích sau này Hệ thống phát hiện đột nhập cũng có thể được cấu hình để báo động khi có dấu hiệu tấn công được phát hiện (dấu hiệu này được lưu trong cơ sở dữ liệu các dấu hiệu về các cuộc tấn công

đã được biết) Phản ứng lại với các hoạt động gây hại cũng có thể là ngăn chặn tin tặc truy nhập vào hệ thống hoặc cho phép truy nhập kèm theo giám sát chặt, hoặc kích hoạt

hệ thống tường lửa ngăn chặn các tác nhân gây hại

Người đột nhập trong cuộc xâm nhập vào một hệ thống một cách có ý thức được phân làm hai dạng: từ bên trong và từ bên ngoài Những kẻ đột nhập từ bên ngoài là những người không có quyền truy nhập vào máy hay mạng Những kẻ xâm nhập từ bên trong là những người dùng hợp pháp nhưng chỉ được cấp quyền hạn chế trong hệ thống

Họ hoạt động bằng cách cố gắng truy cập tới những phần mà họ không được phép truy nhập của hệ thống Họ truy nhập vì tò mò hoặc để lấy trộm thông tin không được phép

Hệ phát hiện đột nhập là một hệ thống có các chức năng sau:

 Theo dõi, giám sát toàn mạng, thu nhận thông tin từ nhiều nguồn khác nhau của

hệ thống

 Phân tích những thông tin đã nhận được, để phát hiện những dấu hiệu phản ánh

sự lạm dụng hệ thống hoặc những dấu hiệu phản ánh những hoạt động bất thường xảy

ra trong hệ thống

 Quản lý, phân tích hoạt động của người sử dụng hệ thống

 Kiểm tra cấu hình hệ thống và phát hiện khả năng hệ thống có thể bị tấn công

 Phân tích bằng thống kê để phát hiện những dấu hiệu thể hiện hoạt động bất

thường của hệ thống

 Quản lý nhật ký của hệ điều hành để phát hiện các hoạt đông vi phạm quyền

của các người dùng

 Tổ chức tự động phản ứng lại những hành động đột nhập hay gây hại mà nó phát hiện ra, ghi nhận những kết quả của nó

2.4 Các mô hình thiết kế mạng

2.4.1 Mô hình mạng phân cấp

Để đáp ứng các mục tiêu kinh doanh và kỹ thuật chiến lược của khách hàng cho một mô hình mạng ưng ý khách hàng, bạn có thể cần phải giới thiệu một đồ hình mạng

bao gồm nhiều thành phần liên quan Nhiệm vụ này được thực hiện dễ dàng hơn nếu bạn có thể "phân chia và làm chủ" công việc và phát triển mô hình thiết kế theo các lớp Các chuyên gia thiết kế mạng đã phát triển mô hình thiết kế mạng theo thứ bậc để giúp bạn phát triển mô hình mạng theo các lớp riêng biệt Mỗi lớp có thể được tập trung vào các chức năng cụ thể, cho phép bạn chọn các hệ thống và tính năng phù hợp theo từng lớp

Hình 2.17: Mô hình mạng phân cấp

Mỗi lớp của mô hình phân cấp có một vai trò cụ thể:

- Lớp lõi cho phép vận chuyển tối ưu giữa các địa điểm

- Lớp phân phối kết nối các dịch vụ mạng với lớp truy cập và thực hiện các chính sách liên quan đến bảo mật, tải giao thông và định tuyến

- Lớp truy cập cung cấp các thiết bị chuyển mạch hoặc hub để truy cập người dùng cuối

Đặc điểm và chức năng chi tiết của mỗi lớp như sau:

a Lớp lõi

Lớp lõi của một mô hình ba lớp là thành phần chính của mạng internet Bởi vì lớp lõi rất quan trọng cho tính liên kết nên thiết kế các lớp lõi với các thành phần dự phòng Lớp lõi nên có độ tin cậy cao và phải thích ứng với những thay đổi nhanh chóng

Khi cấu hình các bộ định tuyến trong lớp lõi, bạn nên sử dụng các tính năng định tuyến để tối ưu hóa luồng gói tin Bạn nên tránh sử dụng bộ lọc gói tin hoặc các tính năng khác làm chậm thao tác của các gói dữ liệu Bạn nên tối ưu hóa lõi cho độ trễ thấp và khả năng quản lý tốt

Lớp lõi có một “đường kính” giới hạn và nhất quán Các bộ định tuyến lớp phân phối (hoặc switch) và mạng LAN của khách hàng có thể được thêm vào mô hình mà không tăng “đường kính” của lớp lõi Hạn chế đường kính của lõi cung cấp hiệu suất dự đoán và dễ dàng khắc phục sự cố

Để cải thiện hiệu năng giao thức định tuyến, lớp phân phối có thể tóm tắt các tuyến

từ lớp truy cập Đối với một số mạng, lớp phân phối cung cấp một tuyến đường mặc định để truy cập các bộ định tuyến lớp và chỉ chạy các giao thức định tuyến động khi giao tiếp với các bộ định tuyến lõi

Để cải thiện hiệu năng giao thức định tuyến, lớp phân phối có thể tóm tắt đường

đi ngắn nhất từ lớp lỗi đến truy cập

c Lớp truy cập

Lớp truy cập cung cấp cho người dùng trên các phân đoạn địa phương có quyền truy cập internet Lớp truy cập có thể bao gồm các bộ định tuyến, thiết bị chuyển mạch, hub và các điểm truy cập không dây Như đã đề cập, thiết bị chuyển mạch thường được thực hiện ở lớp truy cập trong các mạng để phân chia các miền băng thông để đáp ứng nhu cầu của các ứng dụng cần nhiều băng thông hoặc không thể chịu được sự chậm trễ biến đổi được đặc trưng bởi băng thông chia sẻ

d Tại sao nên sử dụng mô hình mạng phân cấp?

Sử dụng mô hình phân cấp có thể giúp chúng ta giảm thiểu chi phí, có thể mua các thiết bị kết nối thích hợp cho từng lớp của hệ thống phân cấp, do đó tránh phải tốn tiền

vào các tính năng không cần thiết cho một lớp Ngoài ra, tính mô đun của mô hình thiết

kế theo cấp bậc cho phép lập kế hoạch năng lực chính xác trong mỗi lớp của hệ thống phân cấp, do đó giảm băng thông lãng phí Nhiệm vụ quản lý mạng và hệ thống quản lý mạng có thể được phân phối tới các lớp khác nhau của kiến trúc mạng module để kiểm soát chi phí quản lý

Thiết kế theo kiểu module cho phép chúng ta có được yếu tố thiết kế đơn giản và dễ hiểu Tính đơn giản giảm thiểu nhu cầu đào tạo rộng rãi cho nhân viên vận hành mạng và đẩy nhanh việc thực hiện thiết kế Thử nghiệm thiết kế mạng được thực hiện dễ dàng bởi vì có các chức năng rõ ràng ở mỗi lớp Sự cô lập lỗi được cải thiện bởi vì các kỹ thuật viên mạng có thể dễ dàng nhận ra các điểm chuyển tiếp trong mạng để giúp các kỹ thuật viên cô lập những điểm bị lỗi

Thiết kế phân cấp tạo điều kiện thay đổi Vì các yếu tố trong một mạng đòi hỏi phải thay đổi, chi phí thực hiện nâng cấp là một “tập con” nhỏ của mạng tổng thể Trong kiến trúc mạng phẳng, các thay đổi có xu hướng tác động lớn đến hệ thống Thay thế một thiết bị có thể ảnh hưởng đến rất nhiều mạng do các kết nối phức tạp

Khi khả năng mở rộng là một mục tiêu chính, cấu trúc mạng phân cấp được khuyến khích bởi vì module trong một thiết kế cho phép tạo ra các yếu tố thiết kế có thể được nhân rộng khi mạng tăng lên Bởi vì mỗi trường hợp của một module là nhất quán, mở rộng rất dễ dàng để lên kế hoạch và thực hiện

2.4.2 Mô hình mạng module

Khi mạng trở nên ngày càng tinh vi và đa dạng hơn, thì việc dùng phương pháp tiếp cận nhiều module để thiết kế mạng không còn quá xa lạ với nhiều người Phương thức thiết kế theo module được xem như là phương thức bổ sung cho phương thức thiết

kế Hierarchical

Trong một hệ thống mạng qui mô lớn, nói chung sẽ bao gồm nhiều vùng mạng phục vụ các hoạt động và chức năng khác nhau Việc thiết kế theo module cho một hạ tầng mạng lớn bằng việc tách biệt các vùng mạng với chức năng khác nhau, cũng đang là một phương pháp thiết kế được sử dụng rộng rãi trong thiết kế hạ tầng mạng cho các doanh nghiệp, các công ty, và các tổ chức lớn

Hệ thống mạng được thiết kế dựa trên nguyên tắc module hóa các thành phần Việc module hóa khi thiết kế có những đặc điểm nổi bật sau:

- Đơn giản, rõ ràng

- Có thể mở rộng hệ thống mạng dễ dàng

- Tách biệt rõ ràng chứng năng của từng module, từ đó có đầy đủ thông tin để chọn lựa đúng thiết bị mạng cho từng module:

Hình 2.18: Mô hình mạng module

Mô hình mạng module bao gồm các module sau:

- Core/Distribution Block: Module trung tâm của toàn bộ hệ thống mạng, chịu trách nhiệm kết nối các module còn lại với nhau Từ đây có thể thấy ưu tiên chọn thiết bị ở lớp này là “càng nhanh càng tốt”

- Access Layer Block : Là module cung cấp kết nối cho người dùng cuối Ưu tiên khi chọn thiết bị thuộc module này là “cung cấp nhiều cổng kết nối downlink cho người dùng, đồng thời phải có kết nối Uplink tốc độ cao để kết nối lên module Core/Distribution”, và tối ưu hóa chỉ số “giá thành / cổng downlink” Thông thường thiết bị sử dụng tại module này chỉ cần hỗ trợ các tính năng ở lớp 2