Báo cáo thực tập tốt nghiệp SV:Tạ Thị Hoài Thu-Lớp 46e2-CNTT BÁO CÁO THỰC TẬP TỐT NGHIỆP TẠI CÔNG TY MÁY TÍNH NAM VINH LỜI MỞ ĐẦU Cơng nghệ thơng tin ngày phát triển mạnh lĩnh vực Song song với việc phát triển đó, nhu cầu cần có đội ngũ cán kỹ thuật, trình độ chuyên môn cao, nắm bắt công nghệ, thành thạo kĩ điều thiết yếu Là sinh viên khoa cơng nghệ thơng tin ngồi việc học làm tập để nâng cao kiến thức mơn học việc nghiên cứu làm đề tài thực tập tốt nghiệp công ty giúp sinh viên hình thành nên nhiều kỹ Qua sinh viên bắt nhịp với công việc tốt trường Qua tháng thực tập CÔNG TY CỔ PHẦN BÁN LẺ NAM VINH, Với giúp đỡ nhiệt tình cán bộ, nhân viên làm việc công ty Em thu thập kiến thức, kinh nghiệm quý báu mà ngồi ghế nhà trường em chưa biết Em xin gửi lời cảm ơn chân thành đến Phó Giám Đốc cơng ty, anh Đặng Hồng phương người trực tiếp hướng dẫn, cán bộ, nhân viên làm việc công ty máy tính Nam Vinh, tạo điều kiện giúp đỡ em hồn thành tốt cơng việc thực tập Công ty Xin gửi lời cảm ơn chân thành đến Thầy Đặng Hồng Lĩnh người hướng dẫn em thực báo cáo Tuy nhiên, qua trình thực tập làm đề tài không tránh khỏi thiếu sót mong thầy cơ, anh chị cơng ty bạn đóng góp để đề tài hoàn thiện Em xin chân thành cảm ơn! Sinh viên thực tập T Thị Hoài Thu Lớp 46E2-CNTT Báo cáo thực tập tốt nghiệp SV:Tạ Thị Hoài Thu-Lớp 46e2-CNTT MỤC LỤC A Giới thiệu chung địa điểm thực tập………………………………3 B Nội dung thực tập : Tìm hiểu hệ thống mạng…………… Nhật ký thực tập………………………………………………………….4 2.Hệ mạng phần cứng……………………………………………………… 2.1.Sơ đồ hệ thống mạng 2.2 Đánh địa IP cho PC công ty 2.3 Bức tường lửa FireWall .6 2.4 Đổi net IPS 10 3.Thiết bị chuyễn đối SWITCH 13 4.ROURTER trung tâm .16 5.Hệ thống máy chủ……………………………………………………… 17 Báo cáo thực tập tốt nghiệp SV:Tạ Thị Hoài Thu-Lớp 46e2-CNTT A Giới thiệu chung địa điểm thực tập * CƠNG TY CỔ PHẦN MÁY TÍNH NAM VINH với lĩnh vực kinh doanh: - Tư vấn thiết kế triển khai: Mạng LAN, WAN, Internet cho doanh nghiệp, tổ chức cá nhân - Cung cấp thiết bị phần cứng, máy vi tính, thiết bị ngoại vi… - Thiết bị văn phòng: máy photo, máy phách, máy chiếu, máy in,… - Dịch vụ bảo hành, bảo trì máy tính, máy in trang thiếtt bị văn phịng khác nhà riêng, quan, xí nghiệp, trường học, tổ chức - Chuyên tư vấn, thiết kế phần mềm: Kế toán Doanh Nghiêp, Kế toán bán hàng, Quản lý siêu thị, Quản lý Viện Phí, Quản lý sản xuất, Thiết kế website thương mai Điện Tử, website tổ chức cá nhân *Phương Châm Kinh Doanh Chúng ý thức rằng: “Khách hàng tảng thành cơng- Lợi ích đích thực phải kết hợp hài hịa từ lợi ích khách hàng, cơng ty, nhân viên cộng đồng” Chính tập thể ban lãnh đạo nhân viên CƠNG TY CỔ PHẦN MÁY TÍNH NAM VINH tâm hoạt động với phương châm: Lợi ích khách hàng hết, lợi ích người lao động quan tâm, đóng góp có hiệu vào phát triển cộng đồng Công ty cam kết thỏa mãn tối đa lợi ích khách hàng sở cung cấp cho khách hàng sản phẩm chất lượng, dịch vụ phong phú, đa dạng, đồng bộ, nhiều tiện ích, chi phí có tính cạnh tranh Cơng ty quan tâm đến đời sống vật chất đời sống tinh thần nhân viên Mỗi nhân viên có quyền lợi cà nghĩa vụ xây dựng cơng ty ngày lớn mạnh, trở thành tập thể đồn kết, tương trợ, văn minh, khơng ngừng học hỏi để hoàn thiện Báo cáo thực tập tốt nghiệp SV:Tạ Thị Hồi Thu-Lớp 46e2-CNTT Cơng ty cam kết thực tốt nghĩa vụ tài ngân sách Nhà nước, quan tâm chăm lo đến công tác xã hội, từ thiện để chia sẻ khó khăn cộng đồng B Nội dung thực tập : Tìm hiểu hệ thống quản trị mạng Nhật ký thực tập Thời gian từ: Tuần đầu 02-06/02/2010 đến: 22-27/02/2010 Cơng việc Tìm hiểu sơ đồ hệ thống mạng phần cứng, tìm hiểu VLAN,các VLAN sử dụng hệ thống, Tìm hiểu thiết bị phần cứng( chức ,cấu hình) ->Tìm hiểu FireWall Tìm hiểu thiết bị phần cứng( chức ,cấu hình) Tuần 01-06/03/2010 ->Tìm hiểu Router, Tìm hiểu thiết bị phần cứng( chức ,cấu hình) ->Tìm hiểu Switchlayer Quản trị hệ thống với Window server 2003 Tuần 08-13/03/2010 ->Hệ thống máy chủ AD, Quản trị hệ thống với Window server 2003 ->Hệ thống máy chủ DNS Quản trị hệ thống với Window server 2003 Tuần ->Hệ thống máy chủ DHCP 15-20/03/2010 Quản trị hệ thống với Window server 2003 ->Hệ thống máy chủ WINS Ghi Báo cáo thực tập tốt nghiệp SV:Tạ Thị Hoài Thu-Lớp 46e2-CNTT Quản trị hệ thống với Window server 2003 Tuần 22-25/03/2010 ->Hệ thống máy chủ WINS, Quản trị hệ thống với Window server 2003 ->Hệ thống mail Server Hệ thống mạng phân cứng 2.1 Sơ đồ hệ thống mạng Mô tả sơ đồ: - Hai đường truyền Megwan VTN Megawan Viettel (đưòng truyền dự phịng) Kết nối Router trung tâm Cơng ty với hai Router nằm trụ sở Báo cáo thực tập tốt nghiệp SV:Tạ Thị Hoài Thu-Lớp 46e2-CNTT - VLAN ATM: gồm máy ATM, CAMERA, XPE SERVER - VLAN SERVER: Tồn hệ thống máy chủ Cơng ty thuộc VLAN - VLAN PC: Các máy người dùng thuộc VLAN - Các thiết bị phần cứng mạng sử dụng sơ đồ: Switch layer 2, Switch layer 3, Firewall, Router, Modem SHDSL 2.2 Đánh Địa Chỉ IP cho PC công ty Các PC thuộc VLAN PC Công Ty đánh địa động (bởi DHCP server) nằm khoảng 10.83.80.2->10.83.81.254, địa mạng:10.83.80.0/26 Cấu trúc IP: IP Address : 10.83.80.2->10.83.81.254 Subnet Mask : 255.255.252.0 Default Gateway: 10.83.80.1 DHCP Server: 10.83.88.33 DNS Server: 10.83.88.33 10.83.88.32 WINS Server: 10.83.88.53 10.83.88.32 ATM1 IP Camera1 ATM2 IP Camera2 10.83.84.11 10.83.84.31 10.83.84.12 10.83.84.32 2.3 Bức tường lửa FireWall Ở công ty sử dụng Cisco ASA 5520 -Thồng tin phần cứng CPU Type CPU Speed Max Default Expansion Modules Interfaces RAM Supported Báo cáo thực tập tốt nghiệp Pentium Celeron 2.0 GHz SV:Tạ Thị Hoài Thu-Lớp 46e2-CNTT 150 512 MB CSC-SSM, AIPSSM, 4GE-SSM Auxiliary Ports: Console Port: x Serial WAN Ports: LAN Ports: x RJ-45 (4 Gigabit Ethernet) CHỨC NĂNG: Ngăn chặn xâm nhập bất hợp pháp vào mạng nội thông qua firewall) Chức tường lửa ngăn chặn truy nhập trái phép (theo danh sách truy nhập xác định trước) chí lọc gói tin mà ta khơng muốn gửi nhận vào lý Phương thức bảo vệ dùng nhiều môi trường liên mạng Internet Nhận xét : Việc cấu hình firewall asa cơng việc khó địi hỏi ngưịi cấu hình phải có kiến thức đầy đủ quy tắc an ninh hệ thống mạng phực tạp, hiểu rõ việc áp dụng sách tưịng lửa đựơc mơ tả qua câu lệnh cấu hình hệ thống thiết bị ASA5520 thiết bị hoạt động tầng mơ hình OSI, ngồi việc làm chức tưịng lửa, ASA 5520 cịn có chức định tuyến VLAN (các subnet khác nhau) , Mặc dù có port GIGABYTE lợi asa5520 chia interface vật lý thành nhiều subinterface phục vụ cho nhiều VLAN  Subinterface: Một int vật lý chia thành nhiều subinterface ảo Nhằm mục đích chủ yếu cho việc định tuyến VLAN Báo cáo thực tập tốt nghiệp SV:Tạ Thị Hoài Thu-Lớp 46e2-CNTT VLAN viết tắt Virtual Local Area Network hay gọi mạng LAN ảo Một VLAN định nghĩa nhóm logic thiết bị mạng  Và thiết lập dựa yếu tố chức năng, phận, ứng dụng… công ty, VLAN cho phép kết hợp port switch thành nhóm để giảm lưu lượng broadcast mạng Các lưu lượng giới hạn phạm vi xác định VLAN  Kết nối trunk liên kết point-to-point port switch với router với switch khác Kết nối trunk vận chuyển thông tin nhiều VLAN thông qua liên kết đơn cho phép mở rộng VLAN hệ thống mạng  Mục đích VLAN: i Giảm broadcast hệ thống có nhiều VLAN ii Tăng cưịng an ninh cho hệ thống iii Các Frame lưu chuyển nhanh Trong hệ thống mạng ASA 5520 thực định tuyến VLAN bao gồm: VLAN ATM (10.83.84.1), VLAN TSO (10.83.76.1), VLAN CITAD (10.83.38.1), VLANSERVER (10.83.88.1), VLAN INSIDE (10.83.89.129), VLAN OUTSIDE (10.83.64.17) Trong VLAN ATM, VLAN SERVER, VLAN TSO cấu hình qua đường trunk (1 đường vật lý nhất) cổng số ASA5520 cần lắp thêm hai module, module AIP-SSM có tính phát ngăn chặn xâm nhập (IPS), module CSCSSM phòng ngừa virus, spyware lọc spam (Anti-Virus, Anti-Spyware Anti-Spam) Ở công ty trang bị thêm module phần cứng AIP-SSM, đồng thời phải hy sinh tính Anti-Virus, Anti-Spyware, Anti-Spam URL filtering ASA gắn thêm mudule (AIP-SSM CSC-SSM) Module AIP-SSM có cổng Consol RJ45 để cấu hình, ngồi khơng có interface mở rộng khác Báo cáo thực tập tốt nghiệp SV:Tạ Thị Hoài Thu-Lớp 46e2-CNTT Cách lắp đặt - Tháo đinh vít để đưa che - Đưa Module AIP-SSM qua khe Giải thích cần phải trang bị tính IPS cho ASA5520 Trả lời: Do Firewall cịn có hạn chế định khơng có khả phát công từ bên mạng số hạn chế khác Vì người ta sáng chế hệ thống ngăn ngừa xâm nhập ( IPS ) nhằm hạn chế yếu điểm Firewall cải thiện tính bảo mật hệ thống mạng nâng cao độ an tồn mạng.Ngồi cịn có IDS ( hệ thống phát xâm nhập ) hệ thống chức so với IPS Báo cáo thực tập tốt nghiệp SV:Tạ Thị Hoài Thu-Lớp 46e2-CNTT 2.4 Đôi nét IPS Hệ thống xâm nhập IPS (Instrusion prevention systems) thiết bị phần cứng hay phần mềm có khả phát ngăn ngừa nguy an ninh mạng IPS thiết bị tích hợp IDS hiệ thống ngăn chặn nhằm khắc phục điểm yếu IDS IPS gồm hai phần : i Phần phát xâm nhập IDS Phần ngăn ngừa xâm nhập: nhằm mục đích bảo vệ tài nguyên, liệu mạng Chúng làm giảm bớt mối đe doạ công việc ii loại bỏ lưu lượng mạng có hại hay có ác ý cho phép hoạt động hợp pháp tiếp tục Các phương thức ngăn ngừa là: - Những ứng dụng không mong muốn công “Trojan horse” nhằm vào mạng ứng dụng cá nhân, qua việc sử dụng nguyên tắc xác định danh sách điều khiển truy nhập (access control lists).Các gói tin cơng giống gói tin từ LAND WinNuke qua việc sử dụng lọc gói tốc độ cao - Sự lạm dụng giao thức hành động lảng tránh thao tác giao thức mạng giống Fragroute khảo sát lấn TCP (TCP overlap exploits) - Thông qua ráp lại thông minh - Các công từ chối dịch vụ (DOS/DDOS) “lụt” gói tin SYN ICMP việc sử dụng thuật toán lọc dựa sở ngưỡng.Sự lạm dụng ứng dụng thao tác giao thức - công biết chưa biết chống lại HTTP, FTP, DNS, SMTP qua việc sử dụng quy tắc giao thức ứng dụng chữ ký - Những công tải hay lạm dụng ứng dụng việc sử dụng hữu hạn tiêu thụ tài nguyên dựa sở ngưỡng Các chế độ API-SSM 10 Báo cáo thực tập tốt nghiệp SV:Tạ Thị Hoài Thu-Lớp 46e2-CNTT - Chế độ Promicuous: IPS module ko ảnh hưởng đến luồng traffic mạng bảo đảm performance Vì thân Promicuous mode khơng có khả ngăn chặn công mà phải nhờ vào giúp đỡ ASA or ROUTER nên host bị cơng nên nhược điểm Chế độ gửi chép luồng liệu tới AIPSSM AIP SSM block luồng liệu dẫn asa khởi tạo lại kết nối hệ thống chính.Hơn AIP SSM phân tích luồng liệu đ ó , số lượng nhỏ luồng liệu khác qua hệ thống tới vào mạng cục trước AIP SSM block Hình cho thấy AIP SSM chế độ promiscuous Trong ví dụ này, AIP SSM gửi tin nhắn yêu cầu hệ thống tránh xa luồng liệu - Chế độ inline: Trong mode ips module can thiệp trực tiếp đến traffic mạng.Các traffic cần qua ips module trước đến target Những công ngăn chặn kịp thời không gây ảnh hưởng đến target AIP SSM liên kết với asa (Adaptive Security Appliance) trình làm việc? Khi bạn xác nhận trình thẩm tra luồng liệu ASA, luồng liệu thơng qua asa AIP SSM theo cách sau: Luồng liệu vào asa 11 Báo cáo thực tập tốt nghiệp SV:Tạ Thị Hoài Thu-Lớp 46e2-CNTT Chính sách tường lửa áp d ụng Luồng liệu gửi tới AIP SSM thơng qua backplane AIP SSM áp dụng sách an ninh tới luồng liệu , đưa cách xử lý phù h ợp Các luồng liệu xác thực đựơc gửi trở lại ASA qua blackblanet , AIP SSM block vài luồng liệu tưongứng với sách an ninh , luồng liệu bị loại bỏ VPN policies áp dụng (nếu cấu hình) Luồng liệu khỏi ASA Hình cho thấy đường luồng liệu chạy AIP SSM chế độ inline Trong ví dụ , AIP SSM tự động block luồng liệu xác định cơng hệ thống AIP SSM sử dụng IPS software Version 6.0 cao chạy nhiều sensor ảo (virtual sensors) , điều có nghĩa bạn cấu hình nhiều sách an ninh AIP SSM Bạn gán phạm vi chế độ đơn hệ thống tới nhiều virtual sensors Hình cho thấy phạm vi an ninh (context) ghép với virtual sensor ( chế độ inline) , hai phạm vi an ninh chia virtual sensor 12 Báo cáo thực tập tốt nghiệp SV:Tạ Thị Hoài Thu-Lớp 46e2-CNTT Hình cho thấy chế độ đơn ( single mode ) ASA kết hợp với nhiều virtual sensors ( chế độ inline ) Thiết bị chuyển mạch SWITCH Switch layer có khả kết nối nhiều segment lại với tuỳ thuộc vào số cổng (port) Switch Switch “học” thông tin mạng thơng qua gói tin (packet) mà nhận từ máy mạng Switch sử dụng thông tin để xây dựng lên bảng Switch, bảng cung cấp thơng tin giúp gói thơng tin đến địa 13 Báo cáo thực tập tốt nghiệp SV:Tạ Thị Hoài Thu-Lớp 46e2-CNTT Ngày nay, giao tiếp liệu, Switch thường có chức chuyển khung liệu từ nguồn đến đích, xây dựng bảng Switch Switch hoạt động tốc độ cao nhiều so với Repeater cung cấp nhiều chức khả tạo mạng LAN ảo (VLAN) Switch layer 3: witch layer loại Switch layer có thêm tính route routing (như Router) hay bạn mường tượng router bình thường có tích hợp thêm nhiều port LAN Vlan SERVER Công ty sử dụng switch layer (bayStack 5510, 48 p ort) ASA5520 Công ty sử dụng switch layer (bayStack 5510,48 Inside p ort),(10.83.89.129) thiết bị làm nhiệm vụ định tuyến VLAN VLAN 1(10.83.66.1, VLAN thuộc VLAN Reply IP quản lý), VLAN (10.83.80.1, thuộc VLAN người dùng), VLAN (10.83.89.162), thiết bị trung gian cho VLAN thuộcVlan ASA5520 qua, có nghĩa SW pix-layer layer phải có sẵn sở liệu VLAN ATM, VLAN CITD, VLAN Server SW định dùng thuộc layer tuyến ASA5520 Ngoài máy ngưòi DHCP relay agent Request IP VLAN PC nhận địa động từ DHCP SERVER nằm VLAN khác l Address IP for PC VLAN SERVER nên switch layer phải yêu cầu cài đặt DHCP-RELAY – AGENT (DHCP Relay Agent thực thể trung gian cho phép chuyển tiếp (relay) DHCP Discover (hoặc DHCP Request), mà thường bị chặn router, từ DHCP Client đến DHCP Server) Sơ đồ mô tả chế hoạt độngducủa DHCP –RELAY-AGENT sơ đồ hệ DHCP Server phong 10.83.88.0/22 thống mạng công ty VLAN Server 10.83.88.33 VLAN PC 10.83.80.0/22 14 Báo cáo thực tập tốt nghiệp SV:Tạ Thị Hồi Thu-Lớp 46e2-CNTT Một DHCP Server, có IP 10.83.88.31, nối với Switch layer Có nhiệm vụ cấp IP động cho máy thuộc VLAN PC Quản lý scope 10.83.80.1 10.83.80.255 ROURTER trung tâm Router trung tâm hệ thống giao tiếp với router trụ sở (HÀ NỘI) định tuyến gói liệu từ mạng bên ngồi hệ thống vào bên hệ thông ngược lại Router nối trực tiếp vào SW layer (trong sơ đồ vật lý), thuộc VLAN Pix-Router SW layer 3, sơ đồ hệ thống mạng công ty, liệu từ bên vào qua router ,sau tới SW layer3, tới giao diện outside (do cấu hình OSPF) ASA 5520 liệu tường lửa xử lý xác minh độ an tồn gói tin đó, vượt qua q trình kiểm tra này, gói tin tiếp tục chuyển xuống SW layer trước vào mạng nội Sơ đồ thể đưịng gói liệu từ vào: 1->2->3->4 Router Ports of VLAN-Pix Router Dây nối SW Layer 3 OUTSIDE(10.83.64.17) ASA5520 15 Báo cáo thực tập tốt nghiệp SV:Tạ Thị Hoài Thu-Lớp 46e2-CNTT 1: Dữ liệu từ vao đựơc chuyển tới SW layer 2:Dữ liệu chuyển lên ASA 5520 qua giao diện outside để xử lý 3:Dữ liệu chuyển xuống SW layer 4: Dữ liệu vào mạng nội Lưu ý: Đường liệu từ hệ thống theo chiều ngược lại tức 4->3->2->1 Hệ thống máy chủ Chức máy chủ - Máy chủ Công ty: Back up liệu, cài đặt phần mềm toàn BDS, Trade Finace, CHS, Swift Editor, IBS Editor, BDS/TF VAT, SQL Server , máy chủ Cơng ty đóng vai trị Datatase Server - Máy chủ AD: Chứng thực người dùng đăng nhập vào miền, toàn tài khoản người dùng miền tập trung máy chủ  Tài khoản người dùng miền (domain user account) tài khoản người dùng định nghĩa Active Directory phép đăng nhập (logon) vào mạng máy trạm thuộc vùng Đồng thời với tài khoản người dùng truy cập đến tài nguyên mạng - Máy chủ DNS: Phân giải tên máy mạng thành IP ngược lại, trường hợp máy truy cập vào máy tính khác nằm mạng DNS SERVER nội trực tiếp làm nhiệm vụ phân giải IP tên hai máy này, máy tính mạng truy cập máy tính khác nằm mạng (Chẳng hạn truy cập internet) DNS SERVER nội làm nhiệm vụ truy vấn đến DNS SERVER bên mạng , trường hợp DNS SERVER bên ngồi mạng đóng vai trị phân giải tên miền thay cho vai trò DNS SERVER nội 16 Báo cáo thực tập tốt nghiệp SV:Tạ Thị Hoài Thu-Lớp 46e2-CNTT Các Computer Internal Network cấu hình với vai trị WINS client, đăng kí tên (NetBIOS/Computer name) với WINS server WINS client gửi yêu cầu truy vấn tên đến WINS server để phân giải Name thành IP address Nếu Internal Network khơng có WINS Server, Computer mạng gửi message dạng broadcast để phần giải Netbios name Computer khác mà muốn giao tiếp Tuy nhiên, Computer nằm Network khác (khác Network ID) broadcast message bị ngăn chặn (chức ngăn chặn broadcast message mặc định Router) Như Internal Network Tổ chức, gồm nhiều Network Segment, giải pháp cho việc Computer từ Segment phân giải NetBios name Computer Segment khác, lý tưởng dùng WINS server Nhận xét :Cần phải hiểu nắm bắt vấn đề liên quan đến quản trị Microsoft windows 2003 17 ... bảo mật hệ thống mạng nâng cao độ an tồn mạng.Ngồi cịn có IDS ( hệ thống phát xâm nhập ) hệ thống chức so với IPS Báo cáo thực tập tốt nghiệp SV:Tạ Thị Hoài Thu-Lớp 46e2 -CNTT 2.4 Đôi nét IPS Hệ... SV:Tạ Thị Hoài Thu-Lớp 46e2 -CNTT Ngày nay, giao tiếp liệu, Switch thường có chức chuyển khung liệu từ nguồn đến đích, xây dựng bảng Switch Switch hoạt động tốc độ cao nhiều so với Repeater cung... minh, không ngừng học hỏi để hoàn thiện Báo cáo thực tập tốt nghiệp SV:Tạ Thị Hồi Thu-Lớp 46e2 -CNTT Cơng ty cam kết thực tốt nghĩa vụ tài ngân sách Nhà nước, quan tâm chăm lo đến công tác xã