Xây dựng mạng LAN dùng cho phòng giáo dục và đào tạo gia lâm

BẢNG TỪ VIẾT TẮT Giao thức phân giải địa chỉ Vùng mạng trung lập giữa mạng nội bộ và mạng Internet Hệ thống phân giải tên miền Giao thức cấu hình động máy chủ Giao thức mạng Nhà cung cấp

NGUYỄN THU HẰNG

XÂY DỰNG MẠNG LAN DÙNG CHO PHÒNG

GIÁO DỤC VÀ ĐÀO TẠO GIA LÂM

LUẬN VĂN THẠC SĨ KỸ THUẬT NGÀNH: CÔNG NGHỆ THÔNG TIN

HÀ NỘI – 2019

NGUYỄN THU HẰNG

XÂY DỰNG MẠNG LAN DÙNG CHO PHÒNG

GIÁO DỤC VÀ ĐÀO TẠO GIA LÂM

Chuyên ngành: Công nghệ thông tin

Mã số đề tài: 2016ACNTT-KT06

LUẬN VĂN THẠC SĨ KỸ THUẬT

NGƯỜI HƯỚNG DẪN KHOA HỌC

TS PHẠM HUY HOÀNG

HÀ NỘI – 2019

LỜI CAM ĐOAN Tôi xin cam đoan luận văn “Xây dựng mạng LAN dùng cho phòng giáo dục

và đào tạo Gia Lâm” (Building the LAN network for Gia Lam education and training department) là công trình nghiên cứu của riêng tôi Các số liệu được công

bố trong luận văn là hoàn toàn trung thực và chưa từng được công bố trong công trình khoa học nào khác

Tôi đã trích dẫn đầy đủ các tài liệu tham khảo, công trình nghiên cứu có liên quan trong nước và quốc tế Tôi cam đoan không sao chép, sử dụng lại bất cứ số liệu, kết quả nghiên cứu khác mà không ghi rõ tài liệu tham khảo Ngoài các tài liệu tham khảo có liên quan thì Luận văn này là kết quả nghiên cứu của cá nhân tôi

Hà Nội, ngày 2 tháng 4 năm 2019

Học viên

Nguyễn Thu Hằng

LỜI CẢM ƠN

Trước tiên, tôi xin gửi lời cảm ơn sâu sắc tới TS Phạm Huy Hoàng, người đã tận tình chỉ bảo tôi từ những bước nghiên cứu đầu tiên cho đến khi hoàn thành luận văn này

Tôi xin chân thành cảm ơn các thầy cô trong bộ môn Mạng và Truyền thông – Đại học Bách khoa Hà Nội đã hỗ trợ tôi rất nhiều về kiến thức chuyên môn trong quá trình thực hiện, hoàn thành đề tài

Cuối cùng, xin gửi lời cảm ơn tới gia đình và bạn bè, nguồn động viên tinh thần to lớn với tôi, luôn cổ vũ và tin tưởng tôi

Nguyễn Thu Hằng

MỤC LỤC

MỤC LỤC 3

BẢNG TỪ VIẾT TẮT 5

DANH MỤC BẢNG 6

DANH MỤC HÌNH VẼ 7

MỞ ĐẦU 10

1 Lý do chọn đề tài 10

2 Nhiệm vụ đặt ra 10

3 Phương pháp tiếp cận 11

4 Bố cục của luận văn 11

5 Kết luận 11

CHƯƠNG 1: KIẾN THỨC LIÊN QUAN 12

1.1 Kiến thức cơ sở 12

1.1.1 Một số bộ giao thức kết nối mạng 12

1.1.2 M h nh mạng trạm ch C ient – Server 14

1.1.3 Băng th ng mạng 15

1.2 Mạng LAN 15

1.2.1 Các thiết bị nối chính c a LAN 15

1.2.2 Cáp xoắn đ i 16

1.3 Các dịch vụ mạng cơ bản 16

1.3.1 DHCP 16

1.3.2 DNS 17

1.3.3 NAT 18

1.3.4 VLAN 19

1.3.5 Firewall 20

1.3.6 Email 21

CHƯƠNG 2: KHẢO SÁT YÊU CẦU 22

2.1 Sơ lược về PGD và ĐT Gia Lâm 22

2.2 Khảo sát hiện trạng 22

2.2.1 Vị trí địa ý 22

2.2.2 Sơ đồ các phòng ban 23

2.2.3 Tổ chức bộ máy 25

2.2.4 Nhu cầu sử dụng các trang thiết bị c a các phòng ban 26

2.2.5 Chức năng, nhiệm vụ c a từng bộ phận 26

2.2.6 Nhu cầu sử dụng dịch vụ 28

CHƯƠNG 3: THIẾT KẾ HỆ THỐNG VÀ TRIỂN KHAI THỬ NGHIỆM 30

3.1 Thiết kế hệ thống 30

3.2 Thiết kế mô hình mạng 30

3.3 Thiết kế mô hình logic 31

3.3.1 Sơ đồ ogic 31

3.3.2 Phân chia các VLAN 31

3.3.3 Thiết ập địa chỉ cho các VLAN 32

3.3.4 Bảng địa chỉ NAT 32

3.3.5 Xây dựng chiến ược khai thác và quản ý tài nguyên mạng 33

3.3.6 Ràng buộc về băng th ng (bandwidth) tối thiểu trên mạng 33

3.3.7 Thiết kế an ninh hệ thống và mức độ yêu cầu an toàn mạng 33

3.4 Xây dựng mô hình physic 30

3.4.1 Sơ đồ physic 34

3.4.2 Các Server cần thiết trong hệ thống 35

3.4.3 Các thiết bị phần cứng 35

3.5 Triển khai 35

3.5.1 Lắp đặt phần cứng 35

3.5.2 Cài đặt phần mềm 35

3.6 Giả lập hệ thống mạng LAN trên phần mềm Cisco Packet Tracer 7.0 36

3.6.1 Xây dựng các VLAN 36

3.6.2 Triển khai thử nghiệm với Firewa 45

3.6.3 Triển khai thử nghiệm với các dịch vụ 54

3.7 Bảo trì 71

KẾT LUẬN 72

TÀI LIỆU THAM KHẢO 73

BẢNG TỪ VIẾT TẮT

(Giao thức phân giải địa chỉ)

(Vùng mạng trung lập giữa mạng nội bộ và mạng Internet)

(Hệ thống phân giải tên miền)

(Giao thức cấu hình động máy chủ)

(Giao thức mạng)

(Nhà cung cấp dịch vụ nối mạng)

(Chuyển mạch nhãn đa giao thức)

(Biên dịch địa chỉ mạng)

(Mô hình tham chiếu kết nối các hệ thống mở)

(Giao thức kết nối và check mail offline)

(Cáp có bọc kim loại)

(Tên nhận dạng cho biết mạng tham gia)

(Giao thức điều khiển truyền vận)

(Giao thức gói dữ liệu người dùng)

(Cáp không bọc kim loại)

(Mạng LAN ảo)

(Mạng riêng ảo)

(Mạng lưới toàn cầu)

20 Hình 3.7 VLAN Wifi khách gồm 3 PC là Guest 3-Lap 1, Guest 3-Lap

2 và Guest 3-Lap 3

được với nhau và VLAN70-PC1 không truy cập được VLAN30-PC1, VLAN40-PC1 và PC50-PC1

26 Hình 3.13 Cấu hình cổng Trunk trên Core Switch nối với Switch

2-Tầng 3

27 Hình 3.14 Cấu hình cổng Trunk trên Switch 2-Tầng 3 nối với Core

Switch

VLAN 30-PC3

VLAN50-PC1

VLAN50-PC1

VLAN40-PC1

VLAN40-PC1 và VLAN50-PC1

40 Hình 3.27 Sử dụng Firewall để chỉ cho phép VLAN 30 được phép

truy cập vào trang facebook.com

trang facebook.com

vào trang facebook.com

truy cập vào trang facebook.com

51 Hình 3.38 Cấu hình DNS Server của SGDHN

56 Hình 3.43 Phân giải tên miền ra tên Website của Phòng GD Gia Lâm

61 Hình 3.48 Khai báo DNS trong trên DNS Server của vùng Server

69 Hình 3.56 Khai báo DNS ngoài trên DNS Server của Bộ Giáo Dục

71 Hình 3.58 Khai báo DNS ngoài trên DNS Server của Phòng GD Gia

Lâm

MỞ ĐẦU

1 Lý do chọn đề tài

Trong công cuộc đổi mới không ngừng của khoa học công nghệ, nhiều lĩnh vực

đã và đang phát triển vượt bậc, đặc biệt là lĩnh vực công nghệ thông tin Thành công lớn nhất là sự ra đời của máy tính, kể từ đó máy tính được coi là một phương tiện trợ

giúp đắc lực cho con người trong mọi lĩnh vực Nhưng tất cả các máy tính đều đơn ẻ

và kh ng thể chia sẻ thông tin cho nhau Chính vì vậy công nghệ thông tin - đặc biệt

là Internet, bắt đầu được sử dụng ở Hoa Kỳ vào năm 1995 (Wiles và Bondi, 2002) và sau đó bắt đầu được phổ biến rộng rãi trên toàn thế giới

Vì vậy cần phải có một mạng máy tính để chia sẻ dữ liệu và dùng chung dữ liệu, chia sẻ thông tin, dùng chung tài nguyên và cho phép giao tiếp trực tuyến trên mạng như: mail, thư điện tử

Trong điều kiện kinh tế hiện nay đa số các tổ chức hay các công ty, trường học

có phạm vi sử dụng bị giới hạn bởi diện tích và mặt bằng đều triển khai xây dựng

mạng LAN để phục vụ cho việc quản ý dữ iệu nội bộ cơ quan m nh được thuận ợi,

đảm bảo tính an toàn dữ iệu cũng như tính bảo mật dữ iệu Mặt khác, mạng LAN

còn giúp các nhân viên trong các tổ chức, nhà trường hay c ng ty truy nhập dữ iệu

một cách thuận tiện với tốc độ cao Một điểm thuận lợi nữa à mạng LAN còn giúp

cho người quản trị mạng phân quyền sử dụng tài nguyên cho từng đối tượng à người dùng một cách rõ ràng và thuận tiện giúp cho những người có trách nhiệm ãnh đạo

c ng ty, tổ chức hay nhà trường đó dễ dàng quản ý nhân viên và điều hành c ng ty

Hiện nay, ngành Giáo Dục cũng đang triển khai, áp dụng công nghệ thông tin vào trong công việc quản lý, giảng dạy, điều hành, … và tất cả mọi hoạt động ứng dụng CNTT đều nhanh chóng, tiện lợi, hiệu quả cao Nhận thấy được những lợi ích mà công nghệ thông tin mang lại cho toàn xã hội nói chung và cho nghành Giáo Dục nói

riêng, thì tác giả đã chọn, nghiên cứu và tìm hiểu đề tài “Xây dựng mạng LAN dùng cho phòng giáo dục và đào tạo Gia Lâm” và xin lấy quá trình thực hiện ở đơn vị

công tác làm kết quả báo cáo luận văn tốt nghiệp Đề tài được xây dựng nhằm mục

đích phân cấp, phân quyền trong quản lý, đưa ra giải pháp nhằm tiết kiệm thời gian và

công sức cho bộ phận quản lý, giúp bộ phận quản lý chủ động trong công việc, quản lý được các bộ phận nhân viên, nắm được đầy đủ thông tin trong cơ quan

2 Nhiệm vụ đặt ra

Thiết kế mô hình mạng LAN cho PGD & ĐT Gia Lâm theo các yêu cầu sau:

- Mô hình mạng Client – Server

- Các vùng mạng được phân chia theo chức năng rõ ràng:

+ Vùng mạng nội bộ để đặt các thiết bị mạng, máy trạm và máy chủ thuộc mạng

nội bộ của đơn vị

+ Vùng mạng DMZ để chứa các thông tin cho phép người dùng từ Internet truy

xuất vào và chấp nhận các rủi ro tấn công từ Internet

+ Vùng mạng Server để đặt các máy chủ không trực tiếp cung cấp dịch vụ cho

mạng Internet

+ Vùng mạng Internet để kết nối với mạng Internet toàn cầu

- Hệ thống có các tầng mạng được chia thành các VLAN khác nhau, yêu cầu của hệ thống có sự phân cấp, phân quyền giữa các VLAN

- Sử dụng các dịch vụ cần thiết: DHCP, DNS, VLAN, NAT, Firewall, Email và HTTP

3 Phương pháp tiếp cận

- Khảo sát thực tế và tìm hiểu rõ các yêu cầu của bài toán

- Tìm hiểu các công nghệ, các dịch vụ phục vụ cho bài toán

- Thiết kế và xây dựng mô hình mạng cho bài toán (sử dụng phần mềm giả lập mạng Cisco Packet Tracer)

- Triển khai và thử nghiệm

4 Bố cục của luận văn

Phần “Mở đầu”: Trong phần này tác giả giới thiệu lý do chọn đề tài, nhiệm vụ

đặt ra (yêu cầu của bài toán), phương pháp tiếp cận để giải quyết bài toán, giới thiệu

bố cục của luận văn Luận văn bao gồm 3 chương được mô tả như sau:

Chương 1: Kiến thức liên quan Ở chương này tác giả nhắc lại một số kiến

thức cơ sở như khái niệm về một số bộ giao thức kết nối mạng điển hình như mô hình OSI và bộ giao thức TCP/IP, mô hình mạng trạm chủ Client – Server, băng thông mạng Sau đó tác giả trình bày đặc điểm của mạng LAN như các thiết bị nối chính của LAN, cáp xoắn đôi Cuối cùng tác giả trình bày các dịch vụ mạng cơ bản như DHCP, DNS, VLAN, NAT, Firewall, Email và HTTP

Chương 2: Khảo sát yêu cầu Trong chương này tác giả mô tả sơ lược về

phòng giáo dục và đào tạo Gia Lâm, sau đó đi khảo sát hiện trạng như vị trí địa lý, sơ

đồ các phòng ban, tổ chức bộ máy, nhu cầu sử dụng các trang thiết bị của các phòng ban, chức năng, nhiệm vụ của từng bộ phận và nhu cầu sử dụng dịch vụ của PGD và

ĐT Gia Lâm

Chương 3: Thiết kế hệ thống và triển khai thử nghiệm Chương này tác giả

trình bày hướng tiếp cận đề xuất cho bài toán, gồm thiết kế hệ thống, thiết kế mô hình mạng, thiết kế mô hình logic, xây dựng mô hình physic, triển khai gồm lắp đặt phần cứng và cài đặt phần mềm, giả lập hệ thống mạng LAN trên phần mềm Cisco Packet Tracer 7.0 gồm xây dựng các VLAN, triển khai thử nghiệm với Firewall và triển khai thử nghiệm 4 dịch vụ DHCP, DNS, Email và HTTP

Phần “Kết luận”: Phần này tóm tắt những kết quả đã đạt được của Luận văn,

những hạn chế và phương hướng phát triển của Luận văn trong tương lai

CHƯƠNG 1: KIẾN THỨC LIÊN QUAN 1.1 Kiến thức cơ sở

1.1.1 Một số bộ giao thức kết nối mạng

1.1.1.1 Mô hình OSI

Mô hình OSI (Open Systems Interconnection): Là mô hình tham chiếu kết nối

các hệ thống mở – là một thiết kế dựa vào nguyên lý tầng cấp, lý giải một cách trừu tượng kỹ thuật kết nối truyền thông giữa các máy tính và thiết kế giao thức mạng giữa chúng Nó còn được gọi là mô hình 7 tầng của OSI [5]

Hình 1.1 Mô hình OSI

Mô hình tham chiếu OSI là một cấu trúc phả hệ có 7 tầng, nó xác định các yêu

cầu cho sự giao tiếp giữa hai máy tính Mục đích của mô hình là cho phép sự tương

giao giữa các hệ máy đa dạng được cung cấp bởi các nhà sản xuất khác nhau Mô

hình cho phép tất cả các thành phần của mạng hoạt động hòa đồng, bất kể thành phần

ấy do ai tạo dựng

Các tầng trong mô hình OSI:

Hình 1.2 Chức năng của 7 tầng trong mô hình OSI

1.1.1.2 Bộ giao thức TCP/IP

TCP/IP là một hệ thống giao thức - một tập hợp các giao thức hỗ trợ việc lưu truyền trên mạng TCP/IP là bộ giao thức cho phép kết nối các hệ thống mạng không đồng nhất với nhau Ngày nay TCP/IP được sử dụng rộng rãi trong mạng cục bộ cũng như mạng toàn cầu

TCP/IP (Transmission Control Protocol/Internet Protocol) được xem là giản lược của mô hình OSI với 4 lớp sau: Application (tích hợp 3 lớp trên cùng của mô hình OSI), Transport (tương đương với lớp Transport của OSI), Internet (ứng với lớp Network nhưng chỉ sử dụng giao thức IP để định địa chỉ logic cho các máy tính)

và Network Access (bao gồm 2 lớp dưới cùng của mô hình OSI)

Hình 1.3 Mô hình TCP/IP

Mô hình TCP/IP gọn nhẹ hơn mô hình tham chiếu OSI, đồng thời có những biến đổi phù hợp thực tế hơn Ví dụ: lớp Vận chuyển của mô hình OSI quy định việc truyền

dữ liệu phải đảm bảo độ tin cậy hoàn toàn [1]][2]

Hình 1.4 TCP/IP đƣợc xem nhƣ giản lƣợc của mô hình tham chiếu OSI

1.1.1.3 So sánh OSI với TCP/IP

Mỗi tầng trong TCP/IP có thể là một hay nhiều tầng của OSI Bảng sau chỉ rõ mối tương quan giữa các tầng trong mô hình TCP/IP với OSI

Session Layer, Presentation Layer, Application Layer Application Layer

Bảng 1.1 Bảng so sánh OSI với TCP/IP

Các điểm tương đồng:

- Cả hai đều phân lớp

- Cả 2 đều có lớp ứng dụng, từ đó chúng có các dịch vụ rất khác biệt

- Cả hai đều có lớp mạng và lớp vận chuyển gần giống nhau

- Cả hai đều cho các gói được chuyển mạch, có nghĩa là các gói riêng biệt có thể

đi theo các đường dẫn độc lập để đến cùng một đích Điều này là trái ngược với các mạng chuyển mạch nơi mà tất cả các gói đều phải đi trên cùng một đường dẫn duy nhất đến đích

Sự khác nhau giữa OSI với TCP/IP:

- TCP/IP kết hợp lớp trình bày và lớp phiên vào lớp ứng dụng (Tầng ứng dụng trong mô hình TCP/IP bao gồm luôn cả 3 tầng trên của mô hình OSI)

- TCP/IP kết hợp các lớp liên kết dữ liệu và lớp vật lý thành lớp truy nhập mạng

- Tầng giao vận trong mô hình TCP/IP không phải luôn đảm bảo độ tin cậy của việc truyền tin như ở trong tầng giao vận của OSI mà cho phép thêm một lựa chọn khác là UDP

- TCP/IP đơn giản hơn vì có ít lớp hơn

- Các giao thức TCP/IP là các tiêu chuẩn mà Internet dùng để phát triển, như vậy mô hình TCP/IP có được sự tín nhiệm chỉ bởi các giao thức của nó Ngược lại, các mạng không được xây dựng trên giao thức OSI, mô hình OSI chỉ được dùng như là một hướng dẫn

- Sự khác biệt quan trọng giữa một mô hình và một giao thức thực sự được dùng trong thiết kế mạng Mô hình OSI sẽ được dùng để mô tả các giao thức TCP/IP

Hình 1.5 Sự khác nhau giữa OSI với TCP/IP

1.1.2 Mô hình mạng trạm chủ Client – Server

Đối với Client/ Server có 2 phần chính là phần Server hoạt động trên máy chủ

và phần Client hoạt động trên Client

Hình 1.6 Mô hình Client/ Server

Nhiệm vụ c a C ient: Thông qua môi trường bên ngoài tại trạm làm việc và với

phía Server, Client sẽ thực hiện việc giao tiếp với user, từ đó xác nhận những thông tin

từ người dùng rồi tạo lập các query, truyền tới Server

Nhiệm vụ c a Server: Tiếp nhận các query string (chuỗi yêu cầu), sau đó phân

tích các query string, tiếp nhận xử lý dữ liệu và gửi kết quả tới Clients

Nguyên tắc hoạt động của mô hình Client - Server

Trong mô hình Client Server, server chấp nhận tất cả các yêu cầu hợp lệ từ mọi

nơi khác nhau trên mạng, sau đó trả kết quả về máy tính đã gửi yêu cầu

Máy tính được coi là máy khách khi chúng làm nhiệm vụ gửi yêu cầu đến các máy chủ và đợi câu trả lời được gửi về

Để máy khách và máy chủ có thể giao tiếp được với nhau thì giữa chúng phải có một chuẩn nhất định, và chuẩn đó được gọi là giao thức Một số giao thức chuẩn được

sử dụng rộng rãi hiện nay như TCP/IP, OSI,… Khi đó, nếu máy khách muốn lấy được thông tin từ máy chủ, chúng phải tuân theo một giao thức mà máy chủ đó đưa ra Nếu yêu cầu đó được chấp nhận thì máy chủ sẽ thu thập thông tin và trả về kết quả cho máy khách yêu cầu Bởi thông thường, server luôn trong trạng thái sẵn sàng nhận yêu cầu từ các client, nên chỉ cần client gửi tín hiệu và chấp nhận yêu cầu là server sẽ trả về kết quả trong thời gian ngắn nhất có thể

Hình 1.7 Nguyên tắc hoạt động của mô hình Client - Server

Mạng cục bộ LAN: Là mạng được lắp đặt trong phạm vi hẹp, khoảng cách giữa

các nút mạng nhỏ hơn 10 Km Mạng cục bộ LAN là hệ thống truyền thông tốc độ cao được thiết kế để kết nối các máy tính và các thiết bị xử lý dữ liệu khác nhau cùng hoạt động với nhau trong một khu vực địa lý nhỏ như ở một tầng của toà nhà, hoặc trong một toà nhà

1.2.1 Các thiết bị nối chính của LAN

1.2.1.1 Bộ chuyển mạch (Switch)

Switch: Là thiết bị mạng thuộc ớp 2 (Data Link Layer) của mô hình OSI Trong

khi một Bridge chỉ có 2 cổng để liên kết được 2 Segment mạng với nhau, thì Switch lại có

khả năng kết nối được nhiều Segment lại với nhau tuỳ thuộc vào số cổng trên Switch Switch cũng “học” thông tin của mạng thông qua các gói tin mà nó nhận được từ các máy trong mạng [3]

1.2.1.2 Bộ định tuyến (Router)

Bộ định tuyến (Router): Là thiết bị mạng ớp 3 (Network Layer) của mô hình OSI,

nó có thể tìm được đường đi tốt nhất cho các gói tin qua nhiều kết nối để đi từ trạm gửi thuộc mạng đầu đến trạm nhận thuộc mạng cuối

Router kết nối hai hay nhiều mạng IP với nhau Các máy tính trên mạng phải

“nhận thức” được sự tham gia của một Router, nhưng đối với các mạng IP thì một trong những quy tắc của IP là mọi máy tính kết nối mạng đều có thể giao tiếp được với Router

1.2.2 Cáp xoắn đôi

Đây là loại cáp gồm hai đường dây dẫn đồng được xoắn vào nhau nhằm làm giảm nhiễu điện từ gây ra bởi môi trường xung quanh và giữa chúng với nhau Đây là loại cáp

rẻ, dễ cài đặt tuy nhiên nó dễ bị ảnh hưởng của môi trường Hiện nay có hai loại cáp xoắn

là cáp có bọc kim loại (STP) và cáp không bọc kim loại (UTP - Unshield Twisted Pair) Cáp có bọc kim loại (STP): Lớp bọc bên ngoài có tác dụng chống nhiễu điện từ, có loại

có một đôi dây xoắn vào nhau và có loại có nhiều đôi dây xoắn với nhau Cáp không bọc kim loại (UTP): Tính tương tự như STP nhưng kém hơn về khả năng chống nhiễu và suy hao vì không có vỏ bọc [4]

1.3 Các dịch vụ mạng cơ bản

1.3.1 DHCP

DHCP - viết tắt của Dynamic Host Configuration Protocol (Giao thức cấu hình

máy chủ động) là giao thức được sử dụng để giúp quản lý nhanh, tự động và tập trung việc phân phối địa chỉ IP bên trong một mạng DHCP cũng được sử dụng để cấu hình subnet mask, cổng mặc định và thông tin máy chủ DNS phù hợp trên thiết bị

Cách thức hoạt động của DHCP

- Bước 1: Máy trạm khởi động với "địa chỉ IP rỗng" cho phép liên lạc với máy chủ

DHCP bằng giao thức UDP Nó chuẩn bị một thông điệp (DHCP Discover) chứa địa chỉ MAC (ví dụ địa chỉ của card Ethernet) và tên máy tính Thông điệp này có thể chứa địa chỉ IP trước đây đã thuê Máy trạm phát tán liên tục thông điệp này lên mạng cho đến khi nhận được phản hồi từ máy chủ

- Bước 2: Mọi máy chủ DHCP có thể nhận thông điệp và chuẩn bị địa chỉ IP cho máy trạm Nếu máy chủ có cấu hình hợp lệ cho máy trạm, nó chuẩn bị thông điệp đề nghị (DHCP Offer) chứa địa chỉ MAC của khách, địa chỉ IP đề nghị, mặt nạ mạng con (subnet mask), địa chỉ IP của máy chủ và thời gian cho thuê Địa chỉ đề nghị được đánh dấu là

"reserve" (để dành) Máy chủ DHCP phát tán thông điệp đề nghị này lên mạng

- Bước 3: Khi khách nhận thông điệp đề nghị và chấp nhận một trong các địa chỉ

IP, máy trạm phát tán thông điệp này để khẳng định nó đã chấp nhận địa chỉ IP và từ máy chủ DHCP nào

- Bước 4: Cuối cùng, máy chủ DHCP khẳng định toàn bộ sự việc với máy trạm

Để ý rằng lúc đầu máy trạm phát tán yêu cầu về địa chỉ IP lên mạng, nghĩa là mọi máy chủ DHCP đều có thể nhận thông điệp này Do đó, có thể có nhiều hơn một máy chủ DHCP tìm cách cho thuê địa chỉ IP bằng cách gửi thông điệp đề nghị Máy trạm chỉ chấp nhận một thông điệp đề nghị, sau đó phát tán thông điệp khẳng định lên mạng Vì thông

điệp này được phát tán, tất cả máy chủ DHCP có thể nhận được nó Thông điệp chứa địa chỉ IP của máy chủ DHCP vừa cho thuê, vì thế các máy chủ DHCP khác rút lại thông điệp chào hàng của mình và hoàn trả địa chỉ IP vào vùng địa chỉ, để dành cho khách hàng

khác

1.3.2 DNS

DNS là một giao thức của mạng máy tính Hệ thống phân giải tên miền DNS cho

phép thiết lập kết nối tương ứng giữa địa chỉ IP và tên miền trên Internet có nghĩa là dùng

để định danh cho địa chỉ IP, do nó quá dài dòng và khó nhớ nên người ta sử dụng DNS để thay thế

Hoạt động của hệ thống DNS

Giả sử người sử dụng muốn truy cập vào trang web có địa chỉ là www.vnn.vn

Hình 1.8 Cơ chế hoạt động của hệ thống DNS

- Bước 1: Chương trình trên máy người sử dụng gửi yêu cầu tìm kiếm địa chỉ IP ứng với tên miền www.vnn.vn tới máy chủ quản lý tên miền (name server) cục bộ thuộc mạng của nó

- Bước 2: Máy chủ tên miền cục bộ này kiểm tra trong cơ sở dữ liệu của nó có chứa cơ sở dữ liệu chuyển đổi từ tên miền sang địa chỉ IP của tên miền mà người sử dụng yêu cầu không Trong trường hợp máy chủ tên miền cục bộ có cơ sở dữ liệu này, nó sẽ gửi trả lại địa chỉ IP của máy có tên miền nói trên

- Bước 3: Trong trường hợp máy chủ tên miền cục bộ không có cơ sở dữ liệu về

tên miền này nó sẽ hỏi lên các máy chủ tên miền ở mức cao nhất (máy chủ tên miền làm việc ở mức ROOT) Máy chủ tên miền ở mức ROOT này sẽ chỉ cho máy chủ tên miền cục bộ địa chỉ của máy chủ tên miền quản lý các tên miền có đuôi VN

- Bước 4: Máy chủ tên miền cục bộ gửi yêu cầu đến máy chủ quản lý tên miền có đuôi (.VN) tìm tên miền www.vnn.vn Máy chủ tên miền quản lý các tên miền.VN sẽ gửi

lại địa chỉ của máy chủ quản lý tên miền vnn.vn

- Bước 5: Máy chủ tên miền cục bộ sẽ hỏi máy chủ quản lý tên miền vnn.vn này

địa chỉ IP của tên miền www.vnn.vn Do máy chủ quản lý tên miền vnn.vn có cơ sở dữ liệu về tên miền www.vnn.vn nên địa chỉ IP của tên miền này sẽ được gửi trả lại cho máy chủ tên miền cục bộ

- Bước 6: Máy chủ tên miền cục bộ chuyển thông tin tìm được đến máy của người

sử dụng Người sử dụng dùng địa chỉ IP này để kết nối đến server chứa trang web có địa chỉ www.vnn.vn

1.3.3 NAT

NAT (Network Address Translation) giống như một Router, chuyển tiếp các gói

tin giữa những lớp mạng khác nhau trên một mạng lớn NAT dịch hay thay đổi một hoặc

cả hai địa chỉ bên trong một gói tin khi gói tin đó đi qua một Router, hay một số thiết bị khác Thông thường NAT thường thay đổi địa chỉ thường là địa chỉ riêng (IP Private) của một kết nối mạng thành địa chỉ công cộng (IP Public)

Ban đầu, NAT được đưa ra nhằm giải quyết vấn đề thiếu hụt địa chỉ của IPv4 NAT không những giúp chia sẻ kết nối Internet (hay 1 mạng khác) với nhiều máy trong LAN chỉ với 1 IP duy nhất mà còn che giấu IP bên trong LAN Ngoài ra, NAT còn giúp quản trị mạng lọc các gói tin được gửi đến hay gửi từ một địa chỉ IP và cho phép hay cấm truy cập đến một port cụ thể

Cơ chế hoạt động của NAT: NAT sử dụng IP của chính nó làm IP công cộng

cho mỗi máy con (client) với IP riêng Khi một máy con thực hiện kết nối hoặc gửi dữ liệu tới một máy tính nào đó trên Internet, dữ liệu sẽ được gửi tới NAT, sau đó NAT sẽ thay thế địa chỉ IP gốc của máy con đó rồi gửi gói dữ liệu đi với địa chỉ IP của NAT Máy tính từ xa hoặc máy tính nào đó trên Internet khi nhận được tín hiệu sẽ gửi gói tin trở về cho NAT computer bởi vì chúng nghĩ rằng NAT computer là máy đã gửi những gói dữ liệu đi NAT ghi lại bảng thông tin của những máy tính đã gửi những gói tin đi ra ngoài trên mỗi cổng dịch vụ và gửi những gói tin nhận được về đúng máy tính đó (client) NAT

xử lý một gói tin xuất phát từ bên trong đi ra bên ngoài một mạng theo cách thức sau:

- Khi NAT nhận một gói tin từ một cổng bên trong, gói tin này đáp ứng các tiêu chuẩn để NAT, Router sẽ tìm kiếm trong bảng NAT địa chỉ bên ngoài (outside address) của gói tin Nói cách khác, tiến trình NAT tìm kiếm một hàng ở trong bảng NAT trong đó địa chỉ outside local address bằng với địa chỉ đích của gói tin Nếu không có phép so trùng nào tìm thấy, gói tin sẽ bị loại bỏ

- Nếu có một hàng trong bảng NAT là tìm thấy (trong hàng này, địa chỉ đích của gói tin bằng với địa chỉ outside local), NAT sẽ thay thế địa chỉ đích trong gói tin bằng địa chỉ outside global theo thông tin trong bảng NAT

- Tiến trình NAT tiếp tục tìm kiếm bảng NAT để xem có một địa chỉ inside local nào bằng với địa chỉ nguồn của gói tin hay không Nếu có một hàng là tìm thấy, NAT tiếp tục thay thế địa chỉ nguồn của gói tin bằng địa chỉ inside global Nếu không có một hàng nào được tìm thấy, NAT sẽ tạo ra một hàng mới trong bảng NAT và chèn địa chỉ mới vào

trong gói tin

- NAT sẽ xử lý một gói tin xuất phát từ mạng bên ngoài đi vào mạng bên trong

theo cách sau:

+ Bước 1: Khi NAT nhận được một gói tin xuất phát từ một cổng bên ngoài, đáp ứng các tiêu chuẩn để NAT, tiến trình NAT sẽ tìm kiếm trong bảng NAT một hàng trong

đó địa chỉ inside global là bằng với địa chỉ đích của gói tin

+ Bước 2: Nếu không có hàng nào trong bảng NAT được tìm thấy, gói tin bị loại

bỏ Nếu có một hàng tìm thấy trong bảng NAT, NAT sẽ thay thế địa chỉ đích bằng địa chỉ inside local từ bảng NAT

+ Bước 3: Router tìm kiếm bảng NAT để tìm ra địa chỉ outside global bằng với địa chỉ nguồn của gói tin Nếu có một hàng là tìm thấy, NAT sẽ thay thế địa chỉ đích bằng địa chỉ outside local từ bảng NAT Nếu NAT không tìm thấy một hàng nào, nó sẽ tạo ra một hàng mới trong bảng NAT và cũng thực hiện như ở bước 2

Hình 1.9 Cơ chế hoạt động của NAT

1.3.4 VLAN

VLAN là cụm từ viết tắt của Virtual Local Area Network hay còn được gọi

là mạng LAN ảo VLAN là một kỹ thuật cho phép tạo lập các mạng LAN độc lập một cách logic trên cùng một kiến trúc hạ tầng vật lý Việc tạo lập nhiều mạng LAN ảo trong cùng một mạng cục bộ giúp giảm thiểu miền quảng bá (Broadcast Domain) cũng như tạo thuận lợi cho việc quản lý một mạng cục bộ rộng lớn

Hiện nay, VLAN đóng một vai trò rất quan trọng trong công nghệ mạng LAN Để thấy rõ được lợi ích của VLAN, chúng ta hãy xét trường hợp sau: Giả sử một công ty có 3

bộ phận là Engineering, Marketing, Accounting, mỗi bộ phận trên lại trải ra trên 3 tầng

Hình 1.10 Ví dụ về một mạng LAN

Để kết nối các máy tính trong một bộ phận với nhau thì ta có thể lắp cho mỗi tầng một Switch Điều đó có nghĩa là mỗi tầng phải dùng 3 Switch cho 3 bộ phận, nên để kết nối 3 tầng trong công ty cần phải dùng tới 9 Switch Rõ ràng cách làm trên là rất tốn kém

mà lại không thể tận dụng được hết số cổng (Port) vốn có của một Switch Chính vì lẽ đó, giải pháp VLAN ra đời nhằm giải quyết vấn đề trên một cách đơn giản mà vẫn tiết kiệm được tài nguyên

Như hình vẽ trên ta thấy mỗi tầng của công ty chỉ cần dùng một Switch, và Switch này được chia VLAN Các máy tính ở bộ phận kỹ sư (Engineering) thì sẽ được gán vào VLAN Engineering, các PC ở các bộ phận khác cũng được gán vào các VLAN tương ứng là Marketing và kế toán (Accounting) Cách làm trên giúp ta có thể tiết kiệm tối đa số switch phải sử dụng đồng thời tận dụng được hết số cổng (Port) sẵn có của Switch

1.3.5 Firewall

Firewall (Tường lửa) là một hệ thống an ninh mạng, có thể dựa trên phần cứng

hoặc phần mềm, sử dụng các quy tắc để kiểm soát vào, ra khỏi hệ thống Tường lửa hoạt động như một rào chắn giữa mạng an toàn và mạng không an toàn Nó kiểm soát các truy cập đến nguồn lực của mạng thông qua một mô hình kiểm soát chủ động Nghĩa là, chỉ những gì phù hợp với chính sách được định nghĩa trong tường lửa mới được truy cập vào mạng, mọi cái khác đều bị từ chối

Nguyên lý hoạt động của Firewall

Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS …) thành các gói dữ liệu (data packets) rồi gán cho các packet này những địa chỉ có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các

packet và những con số địa chỉ của chúng

Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được Nó kiểm tra toàn

bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật lệ

của lọc packet hay không Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi

packet (header), dùng để cho phép truyền các packet đó ở trên mạng Bao gồm:

- Địa chỉ IP nơi xuất phát (Source)

- Địa chỉ IP nơi nhận (Destination)

- Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …)

- Cổng TCP/UDP nơi xuất phát

- Cổng TCP/UDP nơi nhận

- Dạng thông báo ICMP

- Giao diện Packet đến

- Giao diện Packet đi

Nếu Packet thỏa mãn các luật lệ đã được thiết lập trước của Firewall thì packet đó được chuyển qua, nếu không thỏa mãn thì sẽ bị loại bỏ Việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định được phép mới vào được

hệ thống mạng cục bộ Lưu ý là do việc kiểm tra dựa trên Header của các packet nên bộ lọc không kiểm soát được nội dụng thông tin của Packet Các Packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu

1.3.6 Email

Quá trình gửi nhận một Email

- Bước 1: Sau khi soạn tin nhắn và nhấn gửi, khách hàng email sẽ kết nối với máy chủ SMTP thuộc tên miền của email

- Bước 2: Khách hàng email liên lạc với máy chủ SMTP, cho nó địa chỉ email, địa chỉ email của người nhận, nội dung thư và bất kỳ file đính kèm

- Bước 3: Các máy chủ SMTP xử lý địa chỉ email của người nhận - đặc biệt là phạm vi của nó Nếu tên miền là giống như người gửi, tin nhắn sẽ được chuyển trực tiếp qua máy chủ POP3 hoặc IMAP của tên miền - không cần định vị đường đi khi các máy chủ cùng tên miền Tuy nhiên, nếu tên miền là khác nhau, các máy chủ SMTP sẽ phải giao tiếp với máy chủ của tên miền khác

- Bước 4: Để tìm thấy máy chủ của người nhận, máy chủ SMTP của người gửi phải giao tiếp với các DNS, hoặc các máy chủ quản lý tên miền Các DNS lấy tên miền email của người nhận và chuyển nó thành một địa chỉ IP Máy chủ SMTP của người gửi

có thể không gửi một email đúng với một tên miền riêng; một địa chỉ IP là một số duy nhất được gán cho mỗi máy tính được kết nối với Internet Khi biết thông tin này, một máy chủ mail gửi đi có thể thực hiện công việc của mình hiệu quả hơn

- Bước 5: Các máy chủ SMTP có địa chỉ IP của người nhận, nó có thể kết nối với máy chủ SMTP của nó

- Bước 6: Máy chủ SMTP của người nhận quét các tin nhắn gửi đến Nếu nhận ra những tên miền và tên người sử dụng, nó sẽ chuyển các thông điệp tới máy chủ POP3 hoặc IMAP của tên miền Từ đó, nó được đặt trong một hàng đợi cho đến khi khách hàng email của người nhận cho phép nó được tải về Vào thời điểm đó, các thông điệp có thể được đọc bởi người nhận

CHƯƠNG 2: KHẢO SÁT YÊU CẦU 2.1 Sơ lược về PGD và ĐT Gia Lâm

Phòng giáo dục và đào tạo Gia Lâm là đơn vị hành chính nhà nước thuộc huyện Gia Lâm, thành phố Hà Nội Cơ quan đang xây dựng có 76 cán bộ nhân viên, làm việc trực tiếp tại cơ quan

2.2 Khảo sát hiện trạng

2.2.1 Vị trí địa lý

Trụ sở tại xã Cổ Bi – huyện Gia Lâm – thành phố Hà Nội Tòa nhà cần xây dựng hệ thống là toà nhà 3 tầng cao 10.5m (mỗi tầng cao khoảng 3.5m) và mỗi một tầng có diện tích là 402,5m2 (kể cả diện tích cầu thang, nhà vệ sinh và hành lang) Chi

tiết các phòng ban theo tầng như Bảng 2.1

Tầng 1

Phòng Phó phòng 1 Văn phòng

Phòng Tổ Mầm Non Phòng Tổ Tiểu Học Phòng Nghiệp vụ và Thanh tra giáo dục Phòng Đoàn Đội

Phòng Bảo vệ Phòng Nhân viên tạp vụ Cầu thang đi bộ 1 + WC tầng 1 Hành lang tầng 1

Tầng 2

Phòng Phó phòng 2 Phòng Tổ THCS Phòng Tổ GD thường xuyên

Phòng Phổ cập Giáo Dục Phòng hội họp

Phòng Tổ chức cán bộ Cầu thang đi bộ 2 + WC tầng 2 Hành lang tầng 2

Tầng 3

Phòng Trưởng phòng Phòng Công Đoàn Phòng Kế toán - Tài chính Phòng LAB

Phòng IT Phòng Server Phòng Quản lý cơ sở vật chất – trang thiết bị Cầu thang đi bộ 3 + WC tầng 3

Phòng Giáo dục và Đào Gia Lâm có 16 phòng ban với 76 cán bộ và nhân viên

Cơ cấu tổ chức bộ máy như Bảng 2.2

1

1 Phó phòng

5 nhân viên Văn phòng

5 chuyên viên Tổ Mầm Non

5 chuyên viên Tổ Tiểu Học

5 cán bộ Nghiệp vụ và Thanh tra giáo dục

5 chuyên viên Tổ GD thường xuyên

5 chuyên viên Tổ Phổ cập Giáo Dục

5 cán bộ Tổ chức cán bộ

3

1 Trưởng phòng

5 cán bộ phụ trách Công Đoàn

5 nhân viên Kế toán - Tài chính

5 cán bộ Quản lý cơ sở vật chất – trang thiết bị

5 nhân viên IT

Bảng 2.2 Tổ chức bộ máy cơ quan

2.2.4 Nhu cầu sử dụng các trang thiết bị của các phòng ban

PGD có tổng 118 máy (trong đó 68 máy tính dành cho cán bộ nhân viên và 50 máy tính ở phòng LAB) Trong đó:

Tầng 1 có 8 phòng, 42 máy tính

Tầng 2 có 6 phòng, 36 máy tính

Tầng 3 có 7 phòng, 40 máy tính

2.2.5 Chức năng, nhiệm vụ của từng bộ phận

Trong luận văn, tác giả dự kiến thiết kế mô hình mạng LAN cho PGD và Đào tạo Gia Lâm và hệ thống có các tầng mạng được chia thành các VLAN khác nhau, yêu cầu của hệ thống có sự phân quyền giữa các VLAN Để đảm bảo tính an toàn thông tin khi ghép các máy thuộc các phòng ban theo chức năng vào thành một VLAN thì tác giả

có khảo sát chức năng, nhiệm vụ của từng bộ phận để phục vụ cho việc phân chia các VLAN (Mục 3.3.2.) Thông tin như sau:

Trưởng phòng: Chỉ đạo và quyết định mọi hoạt động của PGD

Phó phòng 1: Quản lý chung về hoạt động của các tổ Mầm Non, Tiểu Học,

Nghiệp vụ và Thanh tra giáo dục

Phó phòng 2: Quản lý chung về hoạt động của các tổ THCS, GD thường xuyên,

Phổ cập Giáo Dục

Khối Mầm Non: Quản lý toàn bộ các hoạt động của các trường Mầm Non

Khối Tiểu Học: Quản lý toàn bộ các hoạt động của các trường Tiểu Học

Khối THCS: Quản lý toàn bộ các hoạt động của các trường THCS

Khối GD thường xuyên: Quản lý toàn bộ các hoạt động của các trường GD

thường xuyên

Phòng Tổ chức cán bộ: Tham mưu giúp Trưởng phòng trong công tác tổ chức

và cán bộ

C ng Đoàn: Xây dựng và thực hiện các chính sách liên quan đến quyền lợi và

nghĩa vụ của công nhân, viên chức

Đoàn Đội: Tổ chức hoạt động tạo môi trường giáo dục, rèn luyện đoàn viên của

các trường

Bộ phận Phổ cập Giáo Dục: Quản lý toàn bộ các hoạt động liên quan đến phổ

cập GD của các khối Mầm Non, Tiểu Học, THCS

Bộ phận Nghiệp vụ và Thanh tra giáo dục: Thanh tra toàn bộ các hoạt động của

các ban nghành trong PGD

Bộ phận quản ý cơ sở vật chất – trang thiết bị: Quản lý chung tất cả hoạt động

liên quan đến cơ sở vật chất

Bộ phận IT: Quản lý và khắc phục sự cố các hoạt động liên quan đến mạng nội

bộ, website nội bộ,…

Phòng Kế toán - Tài chính: Lên bảng lương, thưởng hàng tháng đồng thời thực

hiện việc thu, chi tài chính phục vụ các hoạt động của cơ quan đúng với chế độ tài chính và kế hoạch được cấp phát, thực hiện việc chi trả lương cho CBCNV trong cơ

quan

Văn phòng: Quản lý hồ sơ, văn bản chuyển đến và được phép giải quyết nhanh

trong thẩm quyền, lưu trữ các dữ liệu, văn bản tài liệu của PGD

Bộ phận Bảo vệ: Quản lý khách vào – ra cơ quan, bảo vệ cơ sở vật chất của

- Mọi người đều đều có 1 máy bàn riêng để làm việc

- Cần chia sẻ tài nguyên, máy in dùng chung

- Sử dụng Internet

- Nhân viên in ấn, photocopy trực tiếp trên thiết bị cá nhân của mình

- Dù ở xa hay đi công tác mọi nhân viên có thể truy cập vào Web hay Mail nội

bộ

- Mỗi tầng sẽ gồm 1 Wifi cho guest (khách), chỉ kết nối với Internet, không có quyền truy vấn đến các VLAN khác trong mạng và 1 Wifi cho nhân viên

- Sử dụng Mail nội bộ để trao đổi thông tin với nhau

- Cơ quan có hệ thống dữ liệu được chia sẻ và có sự phân quyền quản lý Phân quyền chia sẻ thư mục cho từng đối tượng cụ thể (Ban lãnh đạo – các ban nghành)

- Cần 1 VLAN dùng cho hệ thống Quản lý gồm Trưởng, phó phòng đào tạo, Thanh tra GD, được phân quyền và kết nối với toàn bộ nên VLAN này có thể kết nối được đến tất cả các đến các VLAN trong hệ thống và dịch vụ

- Còn các hệ thống khác không có quyền có thể kết nối được đến các VLAN trong hệ thống và dịch vụ khác

- VLAN 10: Dùng cho hệ thống khách (Guest), chỉ kết nối với Internet, không

có quyền truy vấn đến các VLAN khác trong mạng

- Cần 1 VLAN dùng cho hệ thống Tài chính – Kế toán chuyên xử lý vấn đề tài chính

- Cần 1 VLAN dùng cho hệ thống chuyên trách về nhân sự, gồm Tổ chức cán

bộ, Công đoàn, Đoàn đội và Văn phòng

- Cần 1 VLAN dùng cho hệ thống chuyên trách về các bộ phận chuyên môn gồm các tổ Mầm Non, Tiểu học, THCS, GD thường xuyên và Bộ phận Phổ cập Giáo Dục

- Cần 1 VLAN chuyên trách về hệ thống Quản lý CSVC – Trang thiết bị

- Cần 1 VLAN dùng cho hệ thống phòng LAB và bộ phận IT

CHƯƠNG 3: THIẾT KẾ HỆ THỐNG VÀ TRIỂN KHAI THỬ NGHIỆM 3.1 Thiết kế hệ thống

- Trên hệ thống cần có mạng LAN đến các phòng ban Các phòng ban có quyền truy xuất dữ liệu dùng chung đặt tại Server

- Hệ thống phải phân cấp phân quyền theo chức năng

bộ và mạng Internet, kiểm soát và cấm địa chỉ truy cập

- Khả năng kết nối Internet nhanh chóng

3.2 Thiết kế mô hình mạng

Trong một mô hình mạng hợp lý cần phải phân biệt rõ ràng giữa các vùng mạng theo chức năng và thiết lập các chính sách an toàn thông tin riêng cho từng vùng mạng theo yêu cầu thực tế Trước tiên ta cần tìm hiểu về các thành phần trong mô hình mạng

Vùng mạng nội bộ: Còn gọi là mạng LAN (Local Area Network), là nơi đặt các

thiết bị mạng, máy trạm và máy chủ thuộc mạng nội bộ của đơn vị

Vùng mạng DMZ: Vùng DMZ là một vùng mạng trung lập giữa mạng nội bộ và

mạng Internet, là nơi chứa các thông tin cho phép người dùng từ Internet truy xuất vào và chấp nhận các rủi ro tấn công từ Internet Các dịch vụ thường được triển khai trong vùng DMZ là máy chủ Web, máy chủ Mail, máy chủ DNS,

Vùng mạng Server: Vùng mạng Server hay Server Farm, là nơi đặt các máy chủ

không trực tiếp cung cấp dịch vụ cho mạng Internet Các máy chủ triển khai ở vùng mạng này thường là Database Server, LDAP Server (Lightweight Directory Access Protocol Đây là chuẩn cho dịch vụ thư mục (Directory Service - DS) chạy trên nền tảng OSI.),…

Vùng mạng Internet: Còn gọi là mạng ngoài, kết nối với mạng Internet toàn cầu Mục đích c a việc tổ chức m h nh mạng hợp ý: Tạo sự an toàn cho các hệ thống

mạng và các cổng thông tin điện tử Đây là cơ sở đầu tiên cho việc xây dựng các hệ thống phòng thủ và bảo vệ Ngoài ra, việc tổ chức mô hình mạng hợp lý có thể hạn chế được các tấn công từ bên trong và bên ngoài một cách hiệu quả

3.3 Thiết kế mô hình logic

3.3.1 Sơ đồ logic

Hình 3.1 Sơ đồ logic

3.3.2 Phân chia các VLAN

Trong hệ thống có các tầng mạng được chia thành các VLAN khác nhau, yêu cầu của hệ thống có sự phân quyền giữa các VLAN

Thực hiện xây dựng một hệ thống mạng nội bộ trong phạm vi một toà nhà 3 tầng có 7 VLAN được thiết kế như sau:

VLAN 100: Dùng cho hệ thống khách (Guest), chỉ kết nối với Internet

VLAN 20: Dùng cho hệ thống Tài chính – Kế toán

VLAN 30: Dùng cho hệ thống Quản lý gồm Trưởng, phó phòng đào tạo, Thanh

tra GD

VLAN 40: Dùng cho hệ thống Tổ chức cán bộ, Công đoàn, Đoàn đội và Văn

phòng

VLAN 50: Dùng cho hệ thống các bộ phận chuyên môn (Mầm Non, Tiểu học,

THCS, GD thường xuyên, Bộ phận Phổ cập Giáo Dục)

VLAN 60: Dùng cho hệ thống Quản lý CSVC – Trang thiết bị

VLAN 70: Dùng cho hệ thống phòng LAB

Trong tương lai, khi PGD mở rộng các phòng ban chức năng, có thể thiết lập từng VLAN riêng cho các ban nghành

3.3.3 Thiết lập địa chỉ cho các VLAN

- Bảng chia địa chỉ ip

HTTP 203.1.1.2 80 192.168.5.5 80

Bảng 3.2 Bảng địa chỉ NAT trên Router

3.3.4.2 NAT trên Firewall

(IP của Web Server)

Bảng 3.3 Bảng địa chỉ NAT trên Firewall

3.3.5 Xây dựng chiến lược khai thác và quản lý tài nguyên mạng

Chiến lược này nhằm xác định ai được quyền làm gì trên hệ thống mạng Ví dụ trưởng phòng sẽ được quyền gì, quyền của bộ phận chuyên môn nghiệp vụ khác bộ

phận phục vụ như thế nào (đã phân tích rõ ở chương 2, mục 2.2.6 Nhu cầu sử dụng

dịch vụ) Thông thường, người dùng trong mạng được nhóm lại thành từng nhóm và

việc phân quyền được thực hiện trên các nhóm người dùng Ví dụ nhóm Quản lý, nhóm

Tài chính kế toán, nhóm bộ phận chuyên môn… (đã phân tích rõ ở chương 3, 3.3.2

Phân chia các VLAN)

3.3.6 Ràng buộc về băng thông (bandwidth) tối thiểu trên mạng

Giả sử trung bình mỗi một nhân viên sử dụng là 0,5Mbps, PGD có 76 nhân viên,

sử dụng với hiệu suất là 70% Vậy thì băng thông tối thiểu trên mạng với hiệu suất 100% sẽ là:

0,5 Mbps x 76 x 100/70 = 54,29 Mbps

Do đó PGD nên thuê một đường truyền Internet từ nhà cung cấp VNPT với

đường truyền Internet có tốc độ tương đối cao 55 Mbps để phục vụ công việc

3.3.7 Thiết kế an ninh hệ thống và mức độ yêu cầu an toàn mạng

Tường lửa: Sử dụng tường lửa ở lớp phía ngoài nằm ngay sau bộ định tuyến kết

nối với các mạng diện rộng khác nhằm bảo vệ sự thâm nhập từ bên ngoài vào trong

mạng của trung tâm Trên cơ sở phân tích, tác giả sẽ sử dụng thiết bị Firewa (bức

tường ửa) với mục đích tạo ra các luật để ngăn chặn các kết không được phép vào hệ

thống mạng của Phòng Giáo Dục Chặn cấm các trang Web độc hại Quản lý việc truy nhập Internet

Phòng chống Virus: Nguy cơ virus đến chủ yếu tập trung qua hai đường cổng

Internet và các máy trạm Một giải pháp phòng chống tập trung theo mô hình Server cộng với giải pháp quét ngăn ngừa mã độc hại qua kết nối Internet có thể đáp

Client-ứng được nhu cầu

3.4 Xây dựng mô hình physic

3.4.1 Sơ đồ physic

Hình 3.3 Sơ đồ physic STT Thiết bị Cổng kết nối Thiết bị kết nối tới

Bảng 3.4 Bảng mô tả các cổng kết nối

3.4.2 Các Server cần thiết trong hệ thống

Server: Đóng vai trò là Active directory, phân giải tên miền, cấp IP cho các

VLAN, làm File Server chia sẻ cho các User, dùng để lưu trữ dữ liệu trên Website …

3.4.2.1 DHCP Server: Để cung cấp địa chỉ IP cho toàn bộ hệ thống vì mọi thiết

bị kết nối vào mạng đều cần một địa chỉ IP và địa chỉ IP đó thường được cấp phát bởi máy chủ DHCP (DHCP Server) tích hợp trên Router

3.4.2.2 DNS Server: Phòng giáo dục sử dụng Domain để dễ dàng quản lý các

máy trạm của nhân viên trong cơ quan DNS Server được dựng lên để phân giải những

Domain đó

3.4.2.3 File Server: Dữ liệu được quản lý 1 cách tập trung, đồng thời bảo mật

dữ liệu của cơ quan khi mỗi User đều được cấp quyền hạn truy cập riêng

3.4.2.4 Web Server: Là hệ thống dùng để lưu trữ dữ liệu trên Website, để phục

vụ nhân viên truy cập vào Website một cách đơn giản, dễ dàng

3.4.2.5 Mail Server: Dùng để trao đổi, gửi Mail giữa các bộ phận trong cơ quan

với nhau và nhân viên có thể nhận Mail và gửi Mail bình thường khi đi công tác xa

3.4.3 Các thiết bị phần cứng

4.1.3.1 Router: Để kết nối ra vùng Internet Sử dụng 1 con Router dịch vụ tích

hợp (29) của Cisco 2911 cung cấp dịch vụ dữ liệu, thoại, video và ứng dụng bảo mật cao Các tính năng chính bao gồm: 3 cổng Ethernet 10/100/1000 tích hợp (chỉ dành cho RJ-45)

3.4.3.2 Core Switch: Để kết nối các Switch Access, Firewall, Router Sử dụng 1

Core Switch 2960-24 ports

3.4.3.3 Access Switch: Đóng vai trò chia VLAN, kết nối vào máy trạm, wifi

Sử dụng 6 Acess Switch 2960-24 ports

3.4.3.4 Cáp: Chọn cáp dùng cho hệ thống là loại cáp mạng CAT5e có lõi đặc

với băng thông lên đến 100Mhz, đặc biệt được hỗ trợ Ethernet Gigabit tốc độ cao với khả năng truyền tải lên đến 1Gb/s

3.4.3.5 Firewall: Để chặn cấm các trang Web độc hại và quản lý việc truy nhập

Internet Sử dụng 1 Wirewall Cisco loại ASA 5506-X, 8 cổng, Công nghệ Gigabit Ethernet, chuẩn mạng 10/100 / 1000Base-T

3.4.3.6 Bộ phát Wifi: Phát Wifi cho khách và cho nhân viên trong các tầng Sử

dụng 6 Wifi loại WRT300N

3.4.3.7 Cổng Trunk: Dùng để liên kết giữa hai Switch hoặc giữa một Router và

một Switch truyền tải lưu lượng của nhiều VLAN