LỜI NĨI ĐẦU Hiện nay, lĩnh vực Cơng nghệ thông tin không nhắc đến hệ thống mạng tảng để người sử dụng trao đổi liệu Chính tầm quan trọng hệ thống mạng nên thiết kế mạng mảng kiến thức cần thiết với sinh viên chuyên ngành Công nghệ thông tin Tập giảng Thiết kế mạng biên soạn cho đối tượng sinh viên Cao đẳng Đại học khoa Công nghệ thông tin, trường Đại học Sư phạm kỹ thuật Nam Định Tập giảng chia làm chương: Chương 1: Mạng cục Chương 2: Cơ sở cầu nối Chương 3: Cơ sở chuyển mạch Chương 4: Cơ sở chọn đường Chương 5: Công nghệ Wireless Chương 6: Thiết kế mạng Nhóm biên soạn xin chân thành cảm ơn đồng nghiệp khoa Công nghệ thông tin, đồng nghiệp trường Đại học Sư phạm Kỹ thuật Nam Định giúp chúng tơi hồn thành tập giảng Trong lần biên soạn đầu tiên, tập giảng khơng tránh khỏi sai sót, mong người đọc đóng góp ý kiến để tập giảng hồn thiện Mọi đóng góp ý kiến xin gửi Văn phịng Khoa Cơng nghệ thơng tin, trường Đại học Sư phạm kỹ thuật Nam Định Chúng xin chân thành cảm ơn! Nam Định, tháng 12 năm 2014 Nhóm biên soạn Th.s Trần Văn Long Th.s Trần Đình Tùng i MỤC LỤC LỜI NĨI ĐẦU i DANH MỤC HÌNH VẼ v DANH MỤC BẢNG x CÁC TỪ VIẾT TẮT xi Chƣơng MẠNG CỤC BỘ 1.1 Các khái niệm 1.1.1 Cấu trúc topo mạng .1 1.1.2 Các phƣơng thức truy nhập đƣờng truyền 1.1.3 Các loại đƣờng truyền chuẩn chúng 1.1.4 Các loại cáp mạng dùng mạng LAN .6 1.1.5 Các thiết bị sử dụng mạng LAN 11 1.2 Công nghệ Ethernet 17 1.2.1 Giới thiệu 17 1.2.2 Các đặc tính chung Ethernet 18 1.2.3 Các loại mạng Ethernet 22 1.3 Các kỹ thuật chuyển mạch LAN 22 1.3.1 Phân đoạn mạng LAN 23 1.3.2 Các chế độ chuyển mạch LAN 27 Chƣơng 28 CƠ SỞ VỀ CẦU NỐI 28 2.1 Giới thiệu liên mạng 28 2.2 Cầu nối .29 2.2.1 Cầu nối suốt .29 2.2.2 Cầu nối xác định đƣờng từ nguồn .32 2.2.3 Cầu nối trộn lẫn 34 Chƣơng 35 CƠ SỞ VỀ BỘ CHUYỂN MẠCH .35 3.1 Chức đặc tính chuyển mạch 35 3.2 Các thành phần chuyển mạch .36 3.3 Nguyên lý hoạt động 38 3.3.1 Học địa MAC .38 3.3.2 Chuyển tiếp khung tin .38 3.4 Phân loại chuyển mạch .40 3.4.1 Dựa vào cấu hình phần cứng 40 3.4.2 Dựa vào hoạt động .40 ii 3.4.3 Dựa vào mục đích sử dụng .40 3.5 Một số loại chuyển mạch Cisco 43 3.6 Cấu hình tham số cho chuyển mạch .43 3.6.1 Thiết lập kết nối Console 43 3.6.2 Cấu hình 45 3.7 Mạng LAN ảo 49 3.7.1 Giới thiệu 49 3.7.2 Phân loại VLAN 50 3.7.3 Tạo VLAN với chuyển mạch .51 3.7.4 Tạo VLAN với nhiều chuyển mạch 56 Chƣơng 70 CƠ SỞ VỀ BỘ CHỌN ĐƢỜNG 70 4.1 Giới thiệu 70 4.2 Chức chọn đƣờng 70 4.3 Các thành phần chọn đƣờng .71 4.4 Nguyên tắc hoạt động .73 4.4.1 Giới thiệu bảng chọn đƣờng .73 4.4.2 Nguyên tắc hoạt động 74 4.4.3 Cập nhật bảng chọn đƣờng .75 4.5 Phân loại chọn đƣờng 75 4.6 Cấu hình tham số cho chọn đƣờng 76 4.6.1 Thiết lập kết nối Console 76 4.6.2 Cấu hình 78 4.7 Giải thuật chọn đƣờng .84 4.7.1 Chức mục tiêu 84 4.7.2 Phân loại .84 4.8 Thiết kế liên mạng 86 4.8.1 Xây dựng bảng chọn đƣờng 86 4.8.2 Chọn đƣờng tĩnh .88 4.8.3 Giao thức chọn đƣờng RIP .93 4.8.4 Giao thức chọn đƣờng OSPF 105 4.8.5 Giao thức chọn đƣờng EIGRP .113 4.8.6 Giải thuật chọn đƣờng BGP 125 Chƣơng 133 CÔNG NGHỆ WIRELESS 133 5.1 Tổng quan 133 5.2 Các chuẩn Wireless 133 iii 5.3 Thiết lập mạng Wireless LAN .134 5.3.1 Các thành phần mạng Wireless LAN 134 5.3.2 Thiết lập mạng Wireless LAN 137 Chƣơng 142 THIẾT KẾ MẠNG 142 6.1 Các mơ hình thiết kế mạng 142 6.1.1 Mơ hình phân cấp (Hierarchical model) .142 6.1.2 Mơ hình an ninh-an tồn (Secure model) 143 6.2 Các bƣớc thiết kế mạng 143 6.2.1 Thu thập yêu cầu khách hàng 143 6.2.2 Phân tích yêu cầu .144 6.2.3 Thiết kế giải pháp 144 6.2.4 Cài đặt mạng 146 6.2.5 Kiểm thử mạng 146 6.2.6 Bảo trì hệ thống .146 6.3 Thực hành thiết kế mô mạng cho công ty 146 PHẦN BÀI TẬP 150 Bài tập chƣơng & 150 Bài tập chƣơng .167 Bài tập chƣơng .176 Bài tập chƣơng 181 Bài tập chƣơng .190 TÀI LIỆU THAM KHẢO .210 iv DANH MỤC HÌNH VẼ Hình 1.1 Cấu trúc mạng hình Hình 1.2 Cấu trúc mạng hình tuyến Hình 1.3 Cấu trúc mạng hình vịng Hình 1.4 Cấu trúc mạng hình vịng FDDI Hình 1.5 Mối quan hệ chuẩn IEEE mơ hình OSI Hình 1.6 Cáp xoắn Hình 1.7 Cáp xoắn loại STP Hình 1.8 Cáp xoắn loại UTP Hình 1.9 Cáp đồng trục Hình 1.10 Cáp sợi quang Hình 1.11 Sơ đồ thành phần hệ thống cáp nhà 10 Hình 1.12 Kết nối từ máy tính tới Hub/Switch 11 Hình 1.13 Mơ hình liên kết mạng sử dụng Repeater Hình 1.14 Hoạt động cầu nối Hình 1.15 Hoạt động Bridge mơ hình OSI Hình 1.16 Bridge biên dịch Hình 1.17 Liên kết mạng sử dụng Bridge Hình 1.18 Hoạt động Router mơ hình OSI Hình 1.19 Cấu trúc khung tin Ethernet Hình 1.20 Khung Unicast Hình 1.21 Hai trạm hai phía xa mạng Ethernet 10Mb/s Hình 1.22 Kết nối mạng Ethernet 10BaseT sử dụng Hub Hình 1.23 Miền xung đột miền quảng bá 12 13 14 15 15 16 18 19 21 23 24 Hình 1.24 Luật 5-4-3 Hình 1.25 Truyền khung cầu nối Hình 1.26 Miền xung đột miền quảng bá Hình 1.27 Quy tắc 80/20 Hình 1.28 Phân đoạn mạng Router 24 24 25 25 26 Hình 1.29 Cấu hình chuyển mạch thành nhiều cầu ảo 26 Hình 1.30 Miền xung đột, miền quảng bá 27 Hình 1.31 Miền xung đột, miền quảng bá 27 Hình 2.1 Liên mạng sử dụng Repeater Hình 2.2 Vịng quẩn mạng Hình 2.3 Liên mạng nhiều cầu nối Hình 2.4 Liên mạng xây dựng lại Spanning tree v 28 30 31 32 Hình 2.5 Cầu nối mạng Token Ring 32 Hình 2.6 Cấu trúc trường thông tin đường 33 Hình 3.1 Kết nối mạng Switch 35 Hình 3.2 Switch với giao tiếp song công 35 Hình 3.3 Mặt trước Switch 36 Hình 3.4 Mặt sau Switch 37 Hình 3.5 Bên Switch 37 Hình 3.6 Bảng địa MAC 38 Hình 3.7 Lưu chuyển tiếp 39 Hình 3.8 Xuyên cắt 39 Hình 3.9 Hoạt động Switch mơ hình OSI 40 Hình 3.10 Workgroup Switch 41 Hình 3.11 Segment Switch 41 Hình 3.12 Backbone Switch 42 Hình 3.13 Symetric Switch 42 Hình 3.14 Asymetric Switch 43 Hình 3.15 Switch Cisco 43 Hình 3.16 Kết nối Switch vào PC Hình 3.17 Tạo kết nối Hình 3.18 Khai báo cổng kết nối Hình 3.19 Khai báo thông số kết nối Hình 3.20 Mạng VLAN chia theo phòng ban Hình 3.21 Miền quảng bá trước có VLAN Hình 3.22 Miền quảng bá có VLAN Hình 3.23 Tạo VLAN với chuyển mạch 44 44 44 45 49 50 50 51 Hình 3.24 Mơ hình tạo VLAN với chuyển mạch Hình 3.25 Tạo VLAN với nhiều chuyển mạch_1 Hình 3.26 Tạo VLAN với nhiều chuyển mạch_2 Hình 3.27 Cấu trúc khung tin ISL Hình 3.28 Sử dụng giao thức 802.1Q tạo VLAN Hình 3.29 Cấu trúc 802.1Q Hình 3.30 Mơ hình tạo VLAN với nhiều chuyển mạch Hình 3.31 Kết lệnh Ping 52 57 57 58 59 60 61 64 Hình 3.32 Kết cấu hình Trunk Hình 3.33 Kết cấu hình Trunk Hình 3.34 Kết lệnh Ping Hình 3.35 Định tuyến sử dụng nhiều cổng vật lý 64 65 65 65 vi Hình 3.36 Định tuyến sử dụng cổng vật lý 66 Hình 3.37 Mơ hình định tuyến VLAN 67 Hình 3.38 Kết lệnh Ping 69 Hình 4.1 Xây dựng mạng diện rộng Router 70 Hình 4.2 Sơ đồ đường mạng 70 Hình 4.3 Mặt trước Router 72 Hình 4.4 Mặt sau Router 72 Hình 4.5 Bên Router 73 Hình 4.6 Sơ đồ đường mạng 73 Hình 4.7 Hoạt động Router 74 Hình 4.8 Một số loại Router Cisco 76 Hình 4.9 Kết nối Router vào PC 76 Hình 4.10.Tạo kết nối 77 Hình 4.11 Khai báo cổng kết nối 77 Hình 4.12 Khai báo thông số kết nối 78 Hình 4.13 Mạng cấu trúc phẳng mạng phân cấp 85 Hình 4.14 Mơ hình liên mạng 86 Hình 4.15 Sơ đồ mạng cấu hình giao thức chọn đường tĩnh Hình 4.16 Sử dụng tên cổng Interface Hình 4.17 Sử dụng địa IP Hình 4.18 Sơ đồ mạng cấu hình giao thức chọn đường tĩnh Hình 4.19 Cấu hình địa IP Router Hình 4.20 Cấu hình địa IP Router Hình 4.21 Cấu hình địa IP Router Hình 4.22 Bảng chọn đường 89 89 90 90 91 91 91 92 Hình 4.23 Bảng chọn đường Hình 4.24 Kết lệnh Ping Hình 4.25 Cấu trúc gói tin RIPv1 Hình 4.26 Các đích đến gói tin RIPv1 Hình 4.27 Sơ đồ mạng cấu hình giao thức chọn đường RIPv1 Hình 4.28 Cấu hình chọn đường RIPv1 cho Router Hình 4.29 Cấu hình chọn đường RIPv1 cho Router Hình 4.30 Cấu hình chọn đường RIPv1 cho Router 92 93 94 95 95 97 97 98 Hình 4.31 Bảng chọn đường Router Hình 4.32 Giao thức định tuyến sử dụng Hình 4.33 Kết lệnh Ping Hình 4.34 Kết lệnh Ping 98 99 99 99 vii Hình 4.35 Cấu trúc gói tin RIPv2 100 Hình 4.36 Thơng tin chứng thực 100 Hình 4.37 Các đích đến gói tin RIPv2 101 Hình 4.38 Sơ đồ mạng cấu hình giao thức chọn đường RIPv2 102 Hình 4.39 Kiến trúc mạng phân cấp OSPF 107 Hình 4.40 Cấu trúc gói tin OSPF 108 Hình 4.41 Sơ đồ mạng cấu hình giao thức chọn đường OSPF 109 Hình 4.42 Khai báo Process ID 110 Hình 4.43 Thêm địa IP mạng 111 Hình 4.44 Thêm địa IP mạng 111 Hình 4.45 Thêm địa IP mạng 111 Hình 4.46 Kết lệnh Ping 111 Hình 4.47 Kết lệnh Ping 111 Hình 4.48 Bảng chọn đường Router 112 Hình 4.49 Thơng tin giao thức định tuyến 112 Hình 4.50 Nội dung sở liệu OSPF 112 Hình 4.51 Bảng cấu trúc mạng 114 Hình 4.52 Nhãn giá trị Administrator tag Hình 4.53 Đường Successor Hình 4.54 Bảng láng giềng bảng cấu trúc mạng Hình 4.55 Sử dụng thuật tốn DUAL Hình 4.56 Đường Successor đặt bảng cấu trúc mạng Hình 4.57 Bảng láng giềng, bảng cấu trúc mạng, bảng chọn đường Hình 4.58 Đường Feasible successor Hình 4.59 Cấu trúc gói tin EIGRP 115 115 116 116 117 117 118 119 Hình 4.60 Sơ đồ mạng cấu hình giao thức chọn đường EIGRP Hình 4.61 Cấu hình Interface Router Hình 4.62 Cấu hình Interface Router Hình 4.63 Cấu hình Interface Router Hình 4.64 Cấu hình giao thức chọn đường EIGRP cho Router Hình 4.65 Cấu hình giao thức chọn đường EIGRP cho Router Hình 4.66 Cấu hình giao thức chọn đường EIGRP cho Router Hình 4.67 Bảng chọn đường Router 120 121 121 122 122 123 123 124 Hình 4.68 Giao thức chọn đường Router sử dụng Hình 4.69 Kết lệnh Ping Router Hình 4.70 Kết lệnh Ping Router Hình 4.71 IBGP EBGP 124 125 125 126 viii Hình 4.72 Thuộc tính weight BGP 127 Hình 4.73 Thuộc tính Local Preference 127 Hình 4.74 Thuộc tính Multi-Exit Discriminator 128 Hình 4.75 Thuộc tính AS_path 129 Hình 4.76 Thuộc tính Next-Hop 130 Hình 4.77 Thuộc tính No-export 131 Hình 4.78 Thuộc tính No-advertise 131 Hình 4.79 Thuộc tính Internet 132 Hình 5.1 NIC Wireless 135 Hình 5.2 USB Wireless 135 Hình 5.3 Access Point 135 Hình 5.4 Root mode 136 Hình 5.5 Bridge mode 136 Hình 5.6 Repeater mode 137 Hình 5.7 Mơ hình mạng độc lập 137 Hình 5.8 Mơ hình mạng sở 138 Hình 5.9 Mơ hình mạng mở rộng 138 Hình 5.10 Mơ hình mạng khơng dây Hình 5.11 Mục Basic Setup Hình 5.12 Mục Wireless Security Hình 5.13 Lắp NIC Wireless cho PC Hình 5.14 Kết nối vào mạng Hình 6.1 Mơ hình phân cấp Hình 6.2 Mơ hình an ninh-an toàn Hình 6.3 Sơ đồ sở Hà Nội 139 139 140 141 141 142 143 147 Hình 6.4 Sơ đồ sở TP Hồ Chí Minh 147 Hình 6.5 Sơ đồ vật lý công ty A 148 Hình 6.6 Mơ sơ đồ mạng công ty A 148 ix DANH MỤC BẢNG Bảng 1.1 Bảng thống kê loại cáp Bảng 1.2 Bảng chọn đường Router 16 Bảng 1.3 Bảng tổng kết thực phân đoạn mạng 26 Bảng 2.1 Bảng liên mạng 28 Bảng 2.2 Bảng địa cầu nối 30 Bảng 3.2 Bảng địa IP 52 Bảng 3.4 Bảng địa IP 61 Bảng 3.5 Bảng địa IP 67 Bảng 4.1 Bảng chọn đường Router R1 74 Bảng 4.2 Bảng địa IP 87 Bảng 4.3 Bảng chọn đường Router 87 Bảng 4.4 Bảng chọn đường máy tính 88 Bảng 6.1 Bảng hoạch định địa IP 149 x Hiện có 03 điểm kết nối quang (Nhà A1, Nhà A3, Nhà C) nên số thiết bị mạng vật tư cho việc kết nối tính tốn hợp lý Trong tương lai, số điểm kết nối quang nhiều 03 điểm mua bổ sung thêm Core Switch 24 10/100/1000Mbps and SFP module phụ kiện đấu nối (Hộp đấu nối quang, cáp nhảy,…) Sơ đồ kết nối hệ thống mạng giai đoạn (GD1) tương lai sở - Hệ thống mạng Trường ĐHSPKT Nam Định chia thành Module (Internet Module, DMZ Module, Core Module, Internal Server) Module thực chức riêng biệt: + Module Internet: Dùng cho kết nối vào/ra Internet, kết nối VPN truy cập từ xa, kết nối vào truy xuất liệu người dùng bên mạng 196 + Server Farm: Nơi đặt máy chủ quan trọng (máy chủ nghiệp vụ, máy chủ sở liệu…) Đây vùng quan trọng nhất, chứa tài nguyên quan trọng Trường + Module DMZ: Vùng trung lập DMZ Module dùng để đặt máy chủ Public Internet, cho phép truy cập từ Internet để cung cấp dịch vụ thư điện tử (Email), truy cập Web + Module Core: Vùng cốt lõi hệ thống mạng Vùng đảm bảo kết nối cho toàn mạng, phục vụ nhu cầu kết nối từ vùng trình bày Các Module phải có thiết bị an toàn bảo mật cần thiết thiết bị tường lửa (Firewall) để điều khiển truy cập Module Mô hình kết nối hệ thống mạng giai đoạn 197 Mơ hình kết nối tổng thể hệ thống mạng kết nối với sở Sơ đồ kết nối tổng thể hệ thống mạng kết nối với sở 198 c) Giải pháp kết nối mạng LAN Để đảm bảo tính linh hoạt hiệu hoạt động hệ thống mạng, hệ thống mạng LAN Trường ĐHSPKT Nam Định sử dụng kết hợp công nghệ kết nối mạng LAN đây: - Công nghệ VLAN Các tòa nhà phân bổ chia thành VLAN khác với mục đích tăng hiệu xuất mạng (Giảm Broadcast) Việc chia VLAN đánh địa thực sau: Nhà A2: 192.168.2.0/24 Nhà A1: 192.168.1.0/24 Nhà A3: 192.168.3.0/24 Nhà C : 192.168.4.0/24 …………………… Vùng DMZ chia thành 01 VLAN riêng: 192.168.11.0/24 Vùng Server Farm chia thành VLAN: 192.168.2.0/28 Vùng User địa mạng tòa nhà tương ứng Để kết nối VLAN hay nói cách khác để máy tịa nhà giao tiếp với Core Switch Layer làm nhiệm vụ định tuyến kết nối VLAN - Công nghệ Routing VLAN Công nghệ VLAN dùng để phân tách mạng LAN tầng mơ hình tầng OSI, mạng LAN phân chia làm việc với lớp qua thiết bị có chức định tuyến (Router Core Switch Layer 3) Routing VLAN - Công nghệ VPN (Virtual Private Network) 199 + Mạng riêng ảo (VPN) mở rộng phạm vi mạng LAN mà không cần đường dây riêng Có thể dùng VPN để cấp quyền truy cập mạng cho người dùng di động từ xa, kết nối chi nhánh phân tán mặt địa lý thành mạng cho phép sử dụng từ xa trình ứng dụng dựa dịch vụ có trường + Thiết kế mạng riêng ảo VPN dựa đường truyền Internet ADSL kênh thuê bao riêng Dựa vào thiết bị mạng trường để thiết kế cấu hình VPN với mục đích cho giảng viên sinh viên bên mạng (bên mạng LAN) truy cập, sử dụng tài nguyên trường ngồi mạng LAN d) Mô hình thiết kế hệ thống cáp mạng Hệ thống cáp đóng vai trị phương tiện truyền dẫn tín hiệu thiết bị mạng thiết bị mạng thiết bị đầu cuối (máy tính, máy in, ) Do hệ thống cáp đóng vai trị quan trọng khả thực thi hệ thống mạng thơng tin Dựa mơ hình theo kiểu hình phân lớp, tồn hệ thống mạng có lớp cáp kết nối phân thành cấp sau: Mơ hình thiết kế hệ thống cáp mạng Để đảm bảo nhu cầu sử dụng, hệ thống cáp kết nối trung tâm phân chia theo khoảng cách theo chủng loại kết nối: - Tất thiết bị chuyển mạch Patch Pannel đặt tủ mạng phòng máy chủ trung tâm liệu - Hệ thống máy chủ kết nối trực tiếp đến Core Switch - Kết nối Switch nhánh đến Core Switch sử dụng UTP Cat 5e (hoặc Cat 6) tốc độ truyền nhận liệu 1Gbps với khoảng cách < 100m - Kết nối từ máy trạm đến Switch nhánh sử dụng cáp AMP UTP Cat 6, khoảng cách tối đa 90m , tốc độ truyền nhận liệu Gbps 200 - Các đầu kết nối tập trung điểm đường cáp mạng ống Gen để đảm bảo an toàn, thẩm mỹ - Khi thi cơng hệ thống cáp mạng tịa nhà, việc thi công thực theo phương án sau: Mô hình thi cơng cáp UTP tịa nhà nhiều tầng - Đối với hệ thống kết nối mạng máy tính cục LAN cho hệ thống mạng tòa nhà Trường ĐHSPKT Nam Định, việc lựa chọn thiết bị mạng, việc lựa chọn phụ kiện mạng đóng vai trị quan trọng định đến khả hoạt động toàn thể hệ thống: + Thiết bị chuyển mạch trung tâm (Core Switch lớp 3) dạng Rack, có cổng Gigabit cáp đồng (10/100/1000Base-Tx) khe cắm chuẩn SFP (Small Form Factor) + Thiết bị chuyển mạch Switch nhánh nhà Switch dạng Rack, với cổng 10/100Base-TX cổng kết nối Gigabit cáp đồng, với Switch việc sử dụng cáp UTP Cat kết nối Switch đạt tốc độ 1Gbps phạm vi 100m + Các máy chủ kết nối trực tiếp tới thiết bị chuyển mạch Core Switch lớp + Ổ cắm mạng Wallbox, Patch Panel: Wallbox, Patch Panel phải đảm bảo tốc độ 100 Mbps hỗ trợ lên Gbps tương lai Các đầu dây mạng phòng người sử dụng đấu vào hộp Wallbox Máy tính nối với hộp Wallbox thông qua đoạn dây Patch 2m 3m 201 + Tủ thiết bị: Các thiết bị mạng đặt tủ thiết bị chuyên dụng (Comrack) sử dụng Patch Panel để gài đầu dây Từ Patch Panel đến Switch sử dụng đoạn dây Patch Cable m 3m để đảm bảo ổn định, dễ bảo trì tính thẩm mỹ mạng Các tủ thiết bị đặt phòng máy chủ Tủ mạng 27U cho vùng mạng phân phối, tủ mạng 10U treo tường cho tòa nhà (hoặc tầng tòa nhà có nhiều nút mạng) 2) Thiết kế hệ thống an ninh, bảo mật a) Nguyên tắc thiết kế Để thiết kế hệ thống an ninh, bảo mật cần xác định mối đe dọa tài ngun hệ thống thơng tin trường Phân tích mối đe dọa ảnh hưởng trực tiếp đến tài nguyên thể bảng đây: Phân tích mối đe dọa STT Các tài nguyên Hệ thống phần cứng 1.1 Các máy chủ trường 1.2 1.3 1.4 2.1 2.2 3.1 4.1 5.1 Virus: Tấn công ứng dụng máy chủ gây ngừng hoạt động hệ thống Các Virus viết dạng Cookies, JavaScript Applet Phá máy chủ: Hacker truy nhập vào máy chủ, thay đổi nội dung, thay đổi dịch vụ máy chủ, ngừng máy chủ Các thiết bị mạng Mạng bị chia nhỏ thiết bị mạng bị hỏng bị cơng Các thiết bị lưu trữ bên ngồi Thiết bị lưu trữ bên bị hỏng Virus hay Hacker Thiết bị lưu trữ bên bị lấy trộm Máy Client phịng Bị kẻ lạ cơng, truy nhập bất hợp pháp hay chuyên môn trường chỉnh sửa thông tin máy chủ Hệ thống mạng Hệ thống mạng trường Mạng hoạt động khơng bình thường khối lượng liệu lớn liên tục xuất mạng (do Hacker công hay gói liệu khơng rõ địa chạy quẩn) Dữ liệu truyền mạng Dữ liệu truyền mạng bị giải mã/phá hoại thay đổi nội dung Hệ thống phần mềm ứng dụng Hệ thống phần mềm quản lý Hệ thống phần mềm ứng dụng bị phá hoại đào tạo Virus hay Hacker làm thay đổi chức hay vận hành sai Các liệu người sử dụng Tên truy cập mật Dữ liệu người sử dụng bị đánh cắp người sử dụng Các CSDL chương trình Các liệu hệ thống máy Dữ liệu bị thay đổi 202 STT Phân tích mối đe dọa Các tài nguyên chủ Người sử dụng 6.1 Các cán sử dụng vận hành Các cán vận hành sai quy trình, sai chức hệ thống phòng ban, gây mát liệu khoa Người sử dụng làm hỏng ứng dụng nhầm lẫn Người sử dụng thực nhiều công việc khác hệ thống làm giảm tốc độ hệ thống Người sử dụng chạy chương trình lại khơng ngồi cạnh bên máy Tạo hội cho người lạ sử dụng bất hợp pháp chương trình Bảng nguyên tắc thiết kế b) Thiết kế hệ thống an ninh, bảo mật Giải pháp bảo mật an toàn liệu áp dụng cho Trường ĐHSPKT Nam Định xây dựng sở kết hợp giải pháp sau: Giải pháp chống truy nhập bất hợp pháp Giải pháp bảo vệ hệ thống phần cứng Giải pháp bảo mật hệ điều hành Giải pháp bảo mật phần mềm ứng dụng Giải pháp bảo mật Cơ sở liệu Giải pháp phòng chống Virus Giải pháp kiểm sốt nội dung thơng tin mạng - Giải pháp chống truy nhập bất hợp pháp Giải pháp chống truy nhập bất hợp pháp xây dựng sở sau: + Định danh, xác thực người sử dụng hệ thống + Sử dụng hệ thống Firewall + Bảo vệ hình Screen Saver Windows máy trạm làm việc - Định danh người sử dụng Mỗi người sử dụng hệ thống (cán phịng ban chun mơn) cấp tên mật truy nhập vào hệ thống Mỗi truy nhập vào hệ thống người sử dụng phải khai báo tên mật Hệ thống bảo mật an toàn người sử dụng có tên mật khác cho mức: + Mức hệ thống: Mỗi người sử dụng truy nhập vào mạng thông qua kết nối từ xa phải gõ tên mật + Mức hệ điều hành: Mỗi người sử dụng truy nhập vào máy chủ để chạy ứng dụng phải gõ tên mật 203 + Mức sở liệu: Mỗi người sử dụng truy nhập vào CSDL phải gõ tên mật + Mức chương trình ứng dụng: Mỗi người sử dụng truy nhập vào ứng dụng để khai thác ứng dụng phải gõ tên mật - Hệ thống Firewall Trong công nghệ mạng thông tin, Firewall kỹ thuật tích hợp vào hệ thống mạng để chống lại việc truy cập trái phép nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập vào hệ thống Phần bên mạng nội (LAN) chia làm khu vực: khu vực vành đai khu vực bảo mật Khu vực vành đai hay cịn gọi DMZ có bảo mật tương đối nhằm cho phép bên ngồi truy cập vào Khu vực thường đặt Web Server,… Khu vực bảo mật nằm bên hệ thống mạng mà không cho phép bên truy cập vào chưa phép người quản trị mạng, khu vực chứa máy chủ nội máy PC người dùng hệ thống Về mặt chức hệ thống, Firewall thành phần đặt hai mạng để kiểm soát tất việc lưu thông truy cập chúng với nhau, bao gồm: + Tất trao đổi liệu từ ngược lại phải thực thông qua Firewall + Chỉ trao đổi phép chế độ an ninh hệ thống mạng nội quyền lưu thông qua Firewall Về mặt vật lý, Firewall gồm nhiều hệ thống máy chủ/Firewall chuyên dùng kết nối với chọn đường có chức chọn đường Firewall đảm bảo gói phép vào mạng LAN phải đáp ứng nguyên tắc định (chính sách bảo mật) mà nhân viên quản trị mạng thiết lập Để sử dụng Firewall cách hiệu quả, cần phải xây dựng sách bảo mật tốt chặt chẽ Với Firewall, kiểm tra truy cập vào mạng sử dụng dịch vụ Firewall hoạt động theo cách: + Từ chối chấp nhận gói tin dựa danh sách địa nguồn không chấp nhận + Cho phép từ chối gói tin dựa danh sách địa cổng đích khơng chấp nhận - Bảo mật phần mềm ứng dụng Giải pháp ngăn chặn việc thay đổi phần mềm ứng dụng nguyên nhân sửa đổi File cách bất hợp pháp hay Virus Giải pháp bao gồm: + Phân quyền truy nhập vào thư mực chứa chương trình thực ứng dụng + Chạy tự động ứng dụng 204 + Kiểm soát ngày, tháng, kích thước File chứa chương trình thực Danh sách File phiên chạy lưu trữ người quản trị có trách nhiệm kiểm tra kích thước, ngày tháng File để tránh việc thay đổi bất hợp pháp nội dung File - Bảo mật sở liệu Giải pháp bảo mật sở liệu phòng chống việc chép, sửa đổi liệu bất hợp pháp người sử dụng hệ thống Giải pháp bảo mật sở liệu gồm: + Bảo mật tên mật mức sở liệu hệ điều hành: Người quản trị phân quyền truy nhập vào sở liệu cho số người sử dụng Người sử dụng bình thường khơng có quyền truy nhập vào sở liệu + Giải pháp phân quyền người sử dụng: Được áp dụng để tránh việc sử dụng sai chức cán vận hành hệ thống Mỗi người sử dụng vào hệ thống có tên, mật quyền truy cập vào số chức hệ thống + Sử dụng bảo mật cho sở liệu quan trọng + Ghi vào nhật ký thay đổi mặt liệu người sử dụng - Phòng chống Virus Giải pháp phòng chống Virus kiến nghị sử dụng chương trình phịng chống Virus theo dạng Server-Client, quản lý tập trung Đây dòng sản phẩm Anti-virus dành cho đơn vị Nó bảo vệ đơn điểm mạng Sử dụng nhiều công nghệ quét, bao gồm so mẫu, kiểm soát hành vi dựa vào tập luật, sản phẩm bảo vệ đơn vị khỏi loại Virus 3) Hệ thống lưu phục hồi liệu Dữ liệu trình quản lý đào tạo sinh viên lớn Dữ liệu lưu trữ mãi nhiên theo yêu cầu hệ thống phải có khả xử lý, lưu trữ, phân tích, tổng hợp số liệu trình học tập sinh viên Sau sinh viên trường tùy theo quy định yêu cầu quản lý mà trường lưu trữ tiếp hay cất sang chỗ khác Có phương thức lưu liệu: - Sao lưu đầy đủ: Dùng để lưu tất thông tin chọn, khơng quan tâm đến việc thơng tin lưu trữ vào thời điểm lần lưu trước Phương pháp cho phép lưu đầy đủ nhất, tốn thời gian phương tiện lưu Hơn nữa, lưu đầy đủ thực ngừng toàn hoạt động hệ thống - Sao lưu gia tăng: Dùng để lưu tất thơng tin có thay đổi cập nhật so với lần lưu gần trước Phương thức cho phép tiết kiệm tối đa thời gian, đồng thời cho phép thực lưu trực tuyến hệ thống hoạt động 205 - Sao lưu khác biệt: Dùng để lưu tất thơng tin có thay đổi cập nhật so với lần lưu đầy đủ gần trước Phương thức phức tạp thực ngừng toàn hoạt động hệ thống Phương án thiết kế hệ thống lưu trữ/phục hồi cho loại liệu sau: Định kỳ Hình lưu thức Cơ sở liệu Hàng ngày Đầy đủ chương (sau làm trình ứng dụng việc, 17h), định thời làm tự động nhờ tính Backup Loại liệu Chương trình nguồn tài liệu liên quan đến phiên ứng dụng Các File văn đính kèm Khi có thay Đầy đủ đổi, nâng cấp phiên ứng dụng Nơi lưu Ghi trữ Đĩa cứng - Trong trường hợp xảy máy chủ cố, liệu phục hồi đến ngày hôm trước Dữ liệu phát sinh ngày đến có cố gõ lại dựa số liệu lưu cứng - Quản trị hệ thống xác định thời gian thực Backup Đĩa cứng Được thực quản trị máy chủ hệ thống Hàng ngày Gia Đĩa cứng Được thực quản trị (nếu có phát tăng máy chủ hệ thống sinh) Bảng phương án thiết kế hệ thống lưu trữ phục hồi 4) Thiết kế hệ thống máy chủ a) Yêu cầu thiết kế: - Hệ thống đại Tiêu chí hệ thống đáp ứng yêu cầu khác có mối quan hệ tương hỗ với khả mở rộng, phù hợp với xu hướng công nghệ giới quan trọng đáp ứng yêu cầu ngày cao công tác nghiệp vụ Để đáp ứng yêu cầu hệ thống sau thiết kế, triển khai phải lựa chọn tảng công nghệ tiên tiến có xu hướng tương lai máy chủ hãng lớn (IBM, HP, Sun, Dell ), kiến trúc máy chủ tiên tiến (kiến trúc vi xử lý 64bit, xử lý đa luồng-multithread ), hệ quản trị sở liệu hàng đầu (Oracle, DB2,SQL ), ngơn ngữ lập trình mạnh & xu hướng toàn cầu (Java, Microsoft Net, ), hệ điều hành có sức mạnh cơng nghệ chiếm ưu (Unix, Linux, Windows-64bit Server ) - Khả mở rộng: Hệ thống hạ tầng kỹ thuật phải đảm bảo khả dễ nâng cấp hãng cung cấp cam kết hỗ trợ khả nâng cấp khoảng thời gian tương đối (3- 206 năm) Khả nâng cấp yêu cầu quan trọng tăng trưởng khối lượng liệu số lượng người sử dụng Khả nên tập trung vào: + Khả nâng cấp máy chủ sở liệu (database server), máy chủ ứng dụng (application server) máy chủ web (web server) dung lượng nhớ RAM, dung lượng lưu trữ liệu (Hard Disks), số lượng vi xử lý (Processor); + Khả nâng cấp thiết bị lưu trữ liệu lưu (backup server, ) tích hợp cao Các thiết bị sau thiết kế triển khai phải đảm bảo khả tích hợp cao để tận dụng mạnh cơng nghệ tồn hệ thống, tận dụng tài nguyên hệ thống nâng cấp cơng nghệ Bên cạnh hệ thống phần mềm (hệ điều hành, hệ quản trị sở liệu, phần mềm dùng chung, phần mềm ứng dụng ) phải đảm bảo khả để hoàn thiện ―kho‖ liệu đầu mối khai thác liệu tập trung, thống - Tính tiêu chuẩn Để đáp ứng yêu cầu hệ thống đại, công nghệ tiên tiến, tính mở, khả tích hợp cao tiền đề khơng thể thiếu ―tính tiêu chuẩn‖ Ở hệ thống sau triển khai phải đáp ứng yêu cầu cao tiêu chuẩn quốc tế, tiêu chuẩn Việt Nam tiêu chuẩn nội riêng Trong tiêu chuẩn quốc tế mang tính quy chuẩn chuyên nghiệp thiết phải đáp ứng - Bảo hành bảo trì hệ thống Một nhiệm vụ lâu dài trước bắt tay xây dựng vận hành hệ thống phải coi trọng công tác bảo hành bảo trì hệ thống, bao gồm hệ thống phần cứng chương trình phần mềm Mọi hạng mục đầu tư phải đảm bảo cam kết chặt chẽ bảo hành bảo trì từ nhà cung cấp tư vấn dịch vụ Cam kết bảo hành bảo trì phần cứng phải đảm bảo yếu tố như: thời gian bảo hành, khả bảo hành chỗ, khả thay thiết bị sau thời gian ngắn, cam kết bảo hành bảo trì thiết bị khoảng thời gian tương đối (3-6 năm) Cam kết bảo hành bảo trì chương trình phần mềm phải đảm bảo yếu tố như: thời gian bảo hành sau nghiệm thu hợp đồng, hình thức bảo hành chỗ, hình thức hỗ trợ, kinh phí trì thời gian bảo hành b) Thiết kế hệ thống máy chủ Hệ thống máy chủ (Server Farm) kết nối trực tiếp vào Core Switch thông qua Firewall để đảm bảo tốc độ truy cập tính bảo mật 207 FW/IPS Server Farm DB Cluster SAS Anti Virus Server Proxy Server Hệ thống máy chủ Các máy chủ làm nhiệm vụ: - Máy chủ Antivirus dùng để quét virus, ngăn chặn lây lan virus qua mạng Máy chủ đề xuất sử dụng 01 x Intel® Xeon® E5630 2.53Ghz, 12M Cache, 16GB RAM DDR3 có khả mở rộng lên tới 144GB RAM DDR3,Cho phép quản lý hàng trăm máy trạm mạng LAN Thiết bị lưu trữ HDD 04x300GB 10k hotplug , cấu hình RAID ( địi hỏi tối thiểu 03 HDD) 01 hotspare để đảm bảo cho việc bảo vệ liệu khả truy xuất liệu nhanh chóng Sở dĩ chọn 04 HDD 300GB thay chọn 04 HDD 146GB chi phí cho việc mua 04 x 146GB 10K gần tương đương với chi phí cho việc mua 04 x 300GB 10K - Máy chủ Proxy cho phép quản lý việc vào/ra Internet Cũng tương tự máy chủ Antivirus việc lựa chọn 04 HDD x 300GB 10K, processor, RAM DDR3 - Máy chủ sở liệu (CSDL) sử dụng cho việc quản lý chạy ứng dụng CSDL Máy chủ đề xuất sử dụng 02 x Intel® Xeon® E7540 2.00GHz, 18M cache, 6Core Dòng chip E7500 series cải thiện đáng kể hiệu khả tiết kiệm điện so với dịng chip cũ E7400 series Vì tính chất riêng máy chủ CSDL yêu cầu phần cứng phải mạnh đặc biệt yêu cầu processor nhớ RAM lớn nên việc sử dụng dịng chip E7500 series cơng nghệ RAM 32GB RAM DDR3 RDIMM cho phép mở rộng lên 512GB RAM hoàn toàn đáp ứng yêu cầu hiệu hệ thống chạy CSDL khả nâng cấp mở rộng sau Vì CDSL lưu hoàn toàn HDD nên máy chủ CSDL sử dụng 02 x 146GB 10k hotplug , cấu hình RAID ( Mirror) chạy Clustering để đảm bảo cho việc bảo vệ liệu , độ sẵn sàng cao khả truy xuất liệu - Máy chủ Portal: Để chạy phần mềm cổng thông tin điện tử - Máy chủ DC: Cung cấp khả dự phòng tự động chuyển đổi dự phòng hai nhiều domain controller triển khai domain Nó tự động quản lý truyền thông domain controller để bảo đảm mạng trì 208 Người dùng truy cập vào tất tài nguyên mạng thông qua chế đăng nhập lần Căn vào chiến lược phát triển Trường ĐHSPKT Nam Định Các máy chủ chạy với cấu hình RAID (Redundant Array of Independent Disks) RAID để đảm bảo an toàn mặt liệu 209 TÀI LIỆU THAM KHẢO [1] Th.s Ngô Bá Hùng, Thiết kế cài đặt mạng, Đại học Cần Thơ, 2005 [2] GV Vũ Khánh Quý, Giáo trình mạng doanh nghiệp, Đại học Sư phạm Kỹ thuật Hưng Yên [3] Giáo trình Thiết kế xây dựng mạng LAN-WAN, Đề án 112, 2004 [4] Nguyễn Hồng Sơn, Giáo trình mạng máy tính CCNA, NXB Lao động xã hội, 2004 [5] Gilbert Held, Ethernet Networks: Design, Implementation, Operation, Management, 2003 [6] Internetworking Design Basics, Cisco Press 2003 210 ... Giới thiệu liên mạng Liên mạng tập hợp nhiều mạng riêng lẻ kết nối lại thiết bị nối mạng trung gian chúng vận hành mạng lớn Người ta kết nối thành liên mạng để kết nối nhiều mạng lại với nhờ... hình (Star topology) Mạng dạng hình bao gồm kết nối trung tâm node Các node trạm đầu cuối, máy tính thiết bị khác mạng Bộ kết nối trung tâm mạng điều phối hoạt động mạng Mạng dạng hình cho phép... 133 iii 5.3 Thiết lập mạng Wireless LAN .134 5.3.1 Các thành phần mạng Wireless LAN 134 5.3.2 Thiết lập mạng Wireless LAN 137 Chƣơng 142 THIẾT KẾ MẠNG