Thiết lập xây dựng tính sẵn sàng cho hệ thống mạng doanh nghiệp

TR-ờng đại học vinh Khoa công nghệ thông tin === === đồ án tốt nghiệp Đề tài: th iế t l Ë p - x ©y d ùn g tí nh sẵ n s àn g c ho h Ö th èng m ¹n g d oa nh n g hiệ p Giáo viên h-ớng dẫn: ThS Đặng Hồng Lĩnh Nhóm SV thực hiện: Nguyễn Xuân Hoàng Phan Văn HIƯp Líp: 46K1 - CNTT Vinh, 5/2010 =  = Thiết lập - Xây dựng tính sẵn sàng cho hệ thống mạng doanh nghiệp MụC LụC Lời nói đầu Ch-ơng i CƠ Sở Lý THUYếT Về CàI ĐặT Và QUảN TRị MạNG MáY TíNH I TổNG QUAN Về MạNG MáY TíNH 1.1 KiÕn thøc c¬ së mạng máy tính 1.2 Các loại mạng máy tính 1.3 Các mô hình xử lý mạng 1.4 Các mô hình quản lý mạng II QUảN TRị MạNG MáY TíNH 2.1 Khái niệm quản trị mạng 2.2 Mục tiêu quản trị mạng 2.3 Các tài nguyên đ-ợc quản trị Ch-ơng II CàI ĐặT CƠ Sở Hạ TầNG MạNG DOANH NGHIệP 10 i CàI ĐặT Và CấU HìNH CƠ Sở Hạ TầNG 10 1.1 M¸y chđ miỊn Domain Controller 10 1.2 HƯ thèng tªn miỊn Domain Name System (DNS) 12 1.3 DÞch vơ DHCP (Dynamic Host Configuration Protocol) 14 1.4 X©y dựng Backup Server cho DC, DNS, DHCP đồng hành 17 1.5 RAID 23 1.6 CÊu h×nh File server cân tải Distributed File System (DFS) 36 Ch-ơng III triển khai dịch vụ mạng 44 i DÞCH Vơ IIS, WEB SERVER 44 1.1 Giíi thiƯu vỊ IIS (Internet Information Services) 44 1.2 Cài đặt IIS 44 1.3 CÊu h×nh web Server 45 1.4 Cài đặt CA Server 48 II nat-VPN SERVER 53 2.1 Tỉng quan vỊ NAT (Network Address Translation) 53 2.2 Tỉng quan vỊ mạng riêng ảo (VPN) 54 2.3 CÊu h×nh NAT-VPN Server 59 SVTH: Nguyễn Xuân Hoàng - Phan Văn Hiệp Lớp 46K1 - CNTT Thiết lập - Xây dựng tính sẵn sàng cho hệ thống mạng doanh nghiệp Lời nói đầu Cách mạng máy tính với tốc độ phát triển nhanh chóng ứng dụng rộng rÃi công nghệ mạng đÃ làm thay đổi môi tr-ờng làm việc sinh hoạt ng-ời Trong quan, xí nghiệp nhờ có hỗ trợ hệ thống mạng máy tính đặc biệt Internet toàn cầu, ng-ời lao động khai thác tối đa nguồn tài nguyên thông tin quan, xí nghiệp giới mà trực tiếp trao đổi với vị trí địa lý nào, từ đ-a định sản xuất kinh doanh, thúc đẩy trình sản xuất phát triển để đáp ứng cho xÃ hội Nhận thấy tầm quan trọng tính cấp thiết từ nhu cầu thực tế, bối cảnh phát triển mạnh mẽ công nghệ thông tin nói chung phát triển công nghệ mạng nói riêng, nh- cần thiết phải lắp đặt hệ thống mạng quan đảm bảo tính ổn định cao cho hệ thống nên chúng em chọn đề tài Thiết kế xây dựng tính sẵn sàng cho hệ thống mạng doanh nghiệp Để thực hoàn thành tốt đồ án tốt nghiệp này, chúng em xin bày tỏ lời cảm ơn đến thầy cô giáo khoa Công nghệ thông tin - Tr-ờng Đại học Vinh đÃ cung cấp cho chúng em kiến thức cần thiết Đặc biệt, chúng em xin chân thành cảm ơn đến bảo tần tình thầy giáo Thạc sĩ Đặng Hồng Lĩnh - Bộ môn Kỹ thuật máy tính - khoa Công nghệ thông tin Tr-ờng Đại học Vinh Trong khuôn khổ đồ án tốt nghiệp, thời gian có hạn vốn kiến thức nhiều hạn chế nên kết qủa mà chúng em đạt đ-ợc chắn nhiều thiếu sót Chúng em mong nhận đ-ợc nhiều ý kiến đóng góp quý thầy cô bạn bè Vinh, tháng năm 2010 SVTH: Nguyễn Xuân Hoàng - Phan Văn Hiệp Lớp 46K1 - CNTT Thiết lập - Xây dựng tính sẵn sàng cho hệ thống mạng doanh nghiệp Nhóm sinh viên thực Ch-ơng i CƠ Sở Lý THUYếT Về CàI ĐặT Và QUảN TRị MạNG MáY TíNH I TổNG QUAN Về MạNG MáY TíNH 1.1 Kiến thức sở mạng máy tính Mạng máy tính hai hay nhiều máy tính đ-ợc nối với theo cách cho chúng trao đổi thông tin qua lại với Từ nhiều máy tính riêng rẽ, độc lập với nhau, ta kết nối chúng lại thành mạng máy tính chúng có thêm nhiều -u điểm sau: Có thể dùng chung phần mềm tiện ích Chia sẻ file liệu dùng chung, trao đổi thông tin Tăng độ tin cậy hệ thống Dùng chung thiết bị ngoại vi Giảm thiểu chi phí thời gian lại 1.2 Các loại mạng máy tính 1.2.1 Mạng cục LAN (Local Area Network) LAN hay gọi "mạng cục bộ", mạng t- nhân nhà, khu vực (tr-ờng học hay quan chẳng hạn) có cỡ chừng vài km Chúng nối máy chủ máy trạm văn phòng nhà máy để chia sẻ tài nguyên trao đổi thông tin LAN có đặc điểm: Giới hạn tầm cỡ phạm vi hoạt động từ vài mét km Th-ờng dùng kỹ thuật đơn giản có đ-ờng dây cáp (cable) nối tất máy Vận tốc truyền liệu thông th-ờng 10 Mbps, 100 Mbps, Gbps, gần 10 Gbps Hai kiến trúc mạng kiểu LAN thông dụng bao gồm: - Mạng bus hay mạng tuyến tính Các máy nối cách liên tục thành hàng từ máy sang máy Ví dụ Ethernet (chuẩn IEEE 802.3) SVTH: Nguyễn Xuân Hoàng - Phan Văn Hiệp Líp 46K1 - CNTT ThiÕt lËp - X©y dùng tính sẵn sàng cho hệ thống mạng doanh nghiệp - Mạng vòng Các máy nối nh- máy cuối lại đ-ợc nối ng-ợc trở lại với máy tạo thành vòng kín Thí dụ mạng vòng thẻ IBM (IBM token ring) - Mạng 1.2.2 Mạng đô thị MAN (Metropolitan Area Network) MAN (từ Anh ngữ: metropolitan area network), hay gọi "mạng đô thị", mạng có cỡ lớn LAN, phạm vi vài km Nó bao gồm nhóm văn phòng gần thành phố, công cộng hay tnhân có đặc điểm: - Chỉ có tối đa hai dây cáp nối - Không dùng kỹ thuật nối chuyển - Có thể hỗ trợ chung vận chuyển liệu đàm thoại, hay truyền hình Ngày ng-ời ta dùng kỹ thuật cáp quang ®Ĩ trun tÝnh hiƯu VËn tèc hiƯn cã thể đạt đến 10 Gbps - Do MAN kết nối nhiều LAN với nên độ phức tap tăng, đồng thời công tác quản trị khó khăn - Chi phí thiết bị mạng MAN t-ơng đối đắt tiỊn 1.2.3 M¹ng diƯn réng WAN (Wide Area Network) - WAN (wide area network): gọi "mạng diện rộng", dùng vùng địa lý lớn th-ờng cho quốc gia hay lục địa, phạm vi vài trăm vài ngàn km Chúng bao gồm tập họp máy nhằm chạy ch-ơng trình cho ng-ời dùng Các máy th-ờng gọi máy l-u trữ(host) hay có tên máy chủ, máy đầu cuối (end system) Các máy đ-ợc nối mạng truyền thông (communication subnet) hay gọn mạng (subnet) Nhiệm vụ mạng chuyển tải thông điệp (message) từ máy chủ sang máy chủ khác Mạng th-ờng có hai thành phần chính: Các đ-ờng dây vận chuyển gọi mạch (circuit), kênh (channel), hay đ-ờng trung chuyển (trunk) Các thiết bị nối chuyển Đây loại máy tính chuyện biệt hoá dïng ®Ĩ nèi hai hay nhiỊu ®-êng trung chun nh»m di chuyển liệu máy Khi liệu đến đ-ờng vô, thiết bị nối chuyển phải chọn (theo thuật toán đÃ định) đ-ờng dây để gửi liệu Tên gọi SVTH: Nguyễn Xuân Hoàng - Phan Văn Hiệp Lớp 46K1 - CNTT ThiÕt lËp - X©y dùng tÝnh sẵn sàng cho hệ thống mạng doanh nghiệp thiết bị nµy lµ nót chun gãi (packet switching node) hay hƯ thèng trung chun (intermediate system) M¸y tÝnh dïng cho viƯc nối chuyển gọi "bộ chọn đ-ờng" hay "bộ định tuyến" (router) - Hầu hết WAN bao gồm nhiều đ-ờng cáp đ-ờng dây điện thoại, đ-ờng dây nh- nối với cặp định tuyến Nếu hai định tuyến không nối chung đ-ờng dây chúng liên lạc cách gián tiếp qua nhiều định truyến trung gian khác Khi định tuyến nhận đ-ợc gói liệu chứa gói đ-ờng dây cần cho gói đ-ợc trống chuyển gói Tr-ờng hợp ta gọi nguyên lý mạng điểm nối điểm, hay nguyên lý mạng l-u trữ chuyển tiếp (store-andforward), hay nguyên lý mạng nối chuyển gói Có nhiều kiểu cấu hình cho WAN dùng nguyên lý điểm tới điểm nh- dạng sao, dạng vòng, dạng cây, dạng hoàn chỉnh, dạng giao vòng, hay bất định 1.3 Các mô hình xử lý mạng Cơ có mô hình xử lý mạng bao gồm: Mô hình xử lý mạng tập trung Mô hình xử lý mạng phân phối Mô hình xử lý mạng cộng tác 1.3.1 Mô hình xử lý mạng tập trung Toàn tiến trình xử lý diễn máy tính trung tâm Các máy trạm cuối (terminals) đ-ợc nối mạng với máy tính trung tâm hoạt động nh- thiết bị nhập xuất liệu cho phép ng-ời dùng xem hình nhập liệu bàn phím Các máy trạm đầu cuối không l-u trữ xử lý liệu Mô hình xử lý mạng triển khai hệ thống phần cứng phần mềm đ-ợc cài đặt Server Ưu điểm: Dữ liệu đ-ợc bảo mật an toµn, dƠ l-u vµ diƯt virus Chi phÝ thiết bị thấp Khuyết điểm: Khó đáp ứng đ-ợc yêu cầu nhiều ứng dụng khác nhau, tốc độ truy xuất chậm 1.3.2 Mô hình xử lý mạng phân phối Các máy tính có khả hoạt động độc lập, công việc đ-ợc tách nhỏ giao cho nhiều máy tính khác thay tập trung xử lý máy SVTH: Nguyễn Xuân Hoàng - Phan Văn Hiệp Lớp 46K1 - CNTT Thiết lập - Xây dựng tính sẵn sàng cho hệ thống mạng doanh nghiệp trung tâm Tuy liệu đ-ợc xử lý l-u trữ máy cục nh-ng máy tính đ-ợc nối mạng với nên chúng trao đổi liệu dịch vụ Ưu điểm: Truy xuất nhanh, phần lớn không giới hạn ứng dụng Khuyết điểm: Dữ liệu l-u rời rạc, khó đồng bộ, l-u dễ nhiễm virus 1.3.3 Mô hình xử lý mạng cộng tác Mô hình xử lý mạng cộng tác bao gồm nhiều máy tính hợp tác để thực công việc Một máy tính m-ợn lực xử lý cách chạy ch-ơng trình máy tính nằm mạng Ưu điểm: Rất nhanh mạnh, dung để chạy ứng dụng có phép toán lớn Khuyết điểm: Các liệu đ-ợc l-u trữ vị trí khác nên khó đồng l-u liệu, khả nhiễm virus cao 1.4 Các mô hình quản lý mạng 1.4.1 Workgroup Các nhóm làm việc làm việc theo ý t-ởng ng-ợc lại với dịch vụ thmục Nhóm làm việc dựa nguyên tắc mạng ngang hàng (peer-to-peer network), ng-ời sử dụng chia sẻ tài nguyên máy tính với ng-ời khác, máy vừa chủ (server) vừa khách (client) Ng-ời sử dụng cho phÐp çc ng-êi sư dơng kh¸c sư dơng tËp tin, máy in, modem mình, đến l-ợt sử dụng tài nguyên đ-ợc ng-ời sử dụng khác chia sẻ mạng Mỗi cá nhân ng-ời sử dụng quản lý việc chia sẻ tài nguyên máy cách xác định đ-ợc chia sẻ có quyền truy cập Mạng hoạt động đơn giản: sau logon vào, ng-ời sử dụng duyệt (browse) để tìm tài nguyên có sẵn mạng Workgroup nhóm logic máy tính tài nguyên chúng nối với mạng mà máy tính nhóm cung cấp tài nguyên cho Mỗi máy tính workgroup trì sách bảo mật CSDL quản lý tài khoản bảo mật SAM (Security Account Manager) riêng máy Do quản trị workgroup bao gồm việc quản trị CSDL tài khoản bảo mật máy tính cách riêng lẻ, mang tính cục bộ, phân SVTH: Nguyễn Xuân Hoàng - Phan Văn Hiệp Lớp 46K1 - CNTT Thiết lập - Xây dựng tính sẵn sàng cho hệ thống mạng doanh nghiệp tán Điều rõ ràng phiền phức làm đ-ợc ®èi víi mét m¹ng rÊt lín Nh-ng workgroup cịng cã điểm đơn giản, tiện lợi chia tài nguyên hiệu quả, thích hợp với mạng nhỏ, gồm nhóm ng-ời sử dụng t-ơng tự Tuy nhiên Workgroup dựa sở mạng ngang hàng (peer-to-peer), nên có hai trở ngại mạng lớn nh- sau: Đối với mạng lớn, có nhiều tài nguyên có sẵn mạng làm cho ng-ời sử dụng khó xác định chúng để khai thác Ng-ời sử dụng muốn chia sẻ tài nguyên th-ờng sử dụng cách dễ để chia sẻ tài nguyên với số hạn chế ng-ời sử dụng khác 1.4.2 Domain Domain m-ợn ý t-ởng từ th- mục nhóm làm việc Giống nh- workgroup, domain đ-ợc quản trị hỗn hợp biện pháp quản lý tập trung địa ph-ơng Domain tập hợp máy tính dùng chung nguyên tắc bảo mật CSDL tài khoản ng-ời dùng (ng-ời sử dụng account) Những tài khoản ng-ời dùng nguyên tắc an toàn đ-ợc nhìn thấy thuộc vào CSDL chung đ-ợc tập trung Giống nh- th- mục, domain tổ chức tài nguyên vài máy chủ vào cấu quản trị Ng-ời sử dụng đ-ợc cấp quyền logon vào domain vào máy chủ riêng lẻ Ngoài ra, domain điều khiển tài nguyên số máy chủ, nên việc quản lý tài khoản ng-ời sử dụng đ-ợc tập trung trở nên dễ dàng phải quản lý mạng với nhiều máy chủ ®éc lËp Çc m¸y chđ mét domain cung cÊp dịch vụ cho ng-ời sử dụng Một ng-ời sử dụng logon vào domain truy cập đến tất tài nguyên thuộc domain mà họ đ-ợc quyền truy cập Họ dò tìm (browse) tài nguyên domain giống nh- workgroup, nh-ng an toàn, bảo mật Để xây dựng mạng dựa domain, ta phải có máy Windows NT Server mạng Một máy tính thuộc vào workgroup domain, nh-ng đồng thời thuộc hai Mô hình domain đ-ợc thiết lập cho mạng lớn với khả kết nối mạng SVTH: Nguyễn Xuân Hoàng - Phan Văn Hiệp Líp 46K1 - CNTT ThiÕt lËp - X©y dùng tính sẵn sàng cho hệ thống mạng doanh nghiệp toàn xí nghiệp hay liên kết kết nối mạng với mạng khác công cụ cần thiết để điều hành Việc nhóm ng-ời sử dụng mạng tài nguyên mạng thành domain có lợi ích sau: MÃ số ng-ời sử dụng đ-ợc quản lý tập trung nơi sở liệu máy chủ, quản lý chặt chẽ Các nguồn tài nguyên cục đ-ợc nhóm vào domain nên dễ khai thác II QUảN TRị MạNG MáY TíNH 2.1 Khái niệm quản trị mạng Chức quản trị mạng tập trung vào vài phần tử hay phân tán nhiều đối t-ợng mạng, nh-ng nói chung chúng phải đảm bảo đ-ợc nhiệm vụ quản trị mạng Theo tài liệu IEEE 802.6, khái niệm quản trị mạng là: quản trị cung cấp chế cho việc giám sát, điều khiển phối hợp tất đối t-ợng đ-ợc quản trị nằm tầng vât lý tầng liên kết liệu nút mạng Theo định nghĩa trên, quản trị mạng có ba nhiệm vụ bản: - Giám sát: Liên tục theo dõi tài nguyên mạng hiệu chỉnh hoạt động làm ảnh h-ởng đến chức tài nguyên - Điều khiển: Làm cho tài nguyên hệ thống phải hoạt động chứng yêu cầu - Phối hợp: hoạt động điều khiển tài nguyên cho hoạt động chún ăn khớp với để thực chức đ-ợc yêu cầu 2.2 Mục tiêu quản trị mạng - Nâng cao tính sẵn sang mạng: tức thúc đẩy hiệu hoạt động mạng, bao gồm giảm thời gian chết tăng thời gian đáp ứng hệ thống mạng Do vấn đề nảy ính mạng cần đ-ợc giải nhanh tốt Tuy nhiên, việc thực quản trị mạng đòi hỏi tốn công suốt xử lý băng thong để truyền liệu quản trị, thiết kế cài đặt ch-ơng trình cần tính đến hiệu suất sử dụng - Giảm chi phí hoạt động: Bao gồm chi phí khai thác bảo d-ỡng hệ thống mạng Đặc biệt tình hiènh công nghệ thay đổi nhanh SVTH: Nguyễn Xuân Hoàng - Phan Văn Hiệp Líp 46K1 - CNTT ThiÕt lËp - X©y dùng tính sẵn sàng cho hệ thống mạng doanh nghiệp chóng, ng-ời quản trị cần óc chiến l-ợc khai thác công nghệ hợp lý giảm chi phí nâng cấp, thay đổi thành pầhn mạng - Giảm tắc nghẽn mạng: Thông tin cần trao đổi ng-ời dung qua mạng ngày phức tạp nh- âm thanh, hình ảnh, video, ng-ời quản trị cần giám sát điều khiển hoạt động mạng nhằm giảm tắc nghẽn truyền liệu - Tăng tính linh hoạt thao tác tích hợp: Các công nghệ mạng thay đổi nhanh chóng nhằm đáp ứng nhu cầu ng-ời Do việc nâng câp tích hợp them công nghệ cần thuận tiện, dễ dàng không làm ảnh h-ởng đến toàn hệ thống mạng hành - Nâng cao hiệu sử dụng: thấy số mục tiêu quản trị mạng mâu thuẫn với Nêu ta giảm chi phí vận hành mạng tăng tính sẵn sàng cho mạng hiệu chung tăng lên, nh-ng làm giảm tính linh hạot tăng chi phí nâng cấp, tích hợp công nghệ - Dễ sử dụng: Để tăng tính thuận tiện quản trị hệ thống mạng, sản phẩm quản trị mạng cần cung cấp giao diện ng-ời dung cho phép thực thi việc quản trị dễ dàng, đơn giản - Tính bảo mật: tính quan trọng, đảm bảo tính hoạt động bình th-ờng hệ thống, chống lại xâm nhập phá hoại bất hợp pháp 2.3 Các tài nguyên đ-ợc quản trị Quản trị mạng máy tính liên quan đến giám sát điều khiển thành phần phần cứng phần mềm mạng máy tính Một số thành phần phần cứng cần quản trị là: - Các thành phần máy tính: Bao gồm thiết bị l-u trữ, vi xử lý, máy in, - Các thành phần kết nối liên kết nối: repeater, hub, switch, modem, - Các thành phần phần mềm gồm có: hệ điều hành, phần mềm ứng dụng công cụ phần mềm SVTH: Nguyễn Xuân Hoàng - Phan Văn Hiệp Lớp 46K1 - CNTT ThiÕt lËp - X©y dùng tÝnh sẵn sàng cho hệ thống mạng doanh nghiệp - Vy ta cấu hình xong CA, ta thử kiểm tra webserver II nat-VPN SERVER 2.1 Tỉng quan vỊ NAT (Network Address Translation) 2.1.1 NAT gì? NAT hay gọi Network Address Translation kĩ thuật đ-ợc phát minh lúc khởi đầu dùng để giải vấn đề IP shortage Khi có hai máy tính lớp mạng (cùng subnet), máy tính kết nối trực tiếp với nhau, điều có nghĩa chúng gởi nhận liệu trực tiếp với Nếu máy tính không lớp mạng kết nối trực tiếp liệu đ-ợc chuyển tiếp qua lại lớp mạng nh- phải cần router (có thể phần mềm phần SVTH: Nguyễn Xuân Hoàng - Phan Văn Hiệp Lớp 46K1 - CNTT 53 Thiết lập - Xây dựng tính sẵn sàng cho hệ thống mạng doanh nghiệp cứng) tr-ờng hợp máy tính muốn kết nối tới máy khác internet 2.1.2 NAT hoạt động nh- nào? NAT làm việc nh- router, công việc chuyển tiếp gói tin (packets) lớp mạng khác mạng lớn Bạn nghĩ Internet mạng đơn nh-ng có vô số subnet Routers có đủ khả để hiểu đ-ợc lớp mạng khác xung quanh chuyển tiếp gói tin đến nơi cần đến NAT sử dụng IP làm IP công cộng cho máy (client) với IP riêng Khi máy thực kết nối gởi liệu tới máy tính internet, liệu đ-ợc gởi tới NAT, sau NAT thay địa IP gốc máy gửi gói liệu với địa IP NAT Máy tính từ xa máy tính internet nhận đ-ợc tÝn hiƯu sÏ gưi gãi tin trë vỊ cho NAT computer chúng nghĩ NAT computer máy đÃ gửi gói liệu NAT ghi lại bảng thông tin máy tính đÃ gửi gói tin cổng dịch vụ gửi gói tin nhận đ-ợc máy tính (client) NAT thực công việc sau: - Chuyển đổi địa IP nguồn thành địa IP nó, có nghĩa liệu nhận đ-ợc máy tính từ xa (remote computer) giống nh- nhận đ-ợc từ máy tính có cấu hình NAT - Gửi liệu tới máy tính từ xa nhớ đ-ợc gói liệu đÃ sử dụng cổng dịch vụ - Dữ liệu nhận đ-ợc từ máy tính từ xa đ-ợc chuyển tới cho máy 2.2 Tổng quan mạng riêng ảo (VPN) Trong thời đại ngày nay, Internet đÃ phát triển mạnh mẽ mặt mô hình công nghệ, đáp ứng nhu cầu ng-ời sử dụng Internet đÃ đ-ợc thiết kế để kết nối nhiều mạng khác cho phép thông tin chuyển đến ng-ời sử dụng cách tự nhanh chóng mà không xem xét đến máy mạng mà ng-ời sử dụng dùng Để làm đ-ợc điều ng-ời ta sử dụng máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ (ISPInternet Service Provider), cần giao thức chung TCP/IP Điều mà kỹ thuật tiếp tục phải giải lực truyền thông mạng viễn SVTH: Nguyễn Xuân Hoàng - Phan Văn Hiệp Líp 46K1 - CNTT 54 ThiÕt lËp - X©y dùng tính sẵn sàng cho hệ thống mạng doanh nghiệp thông công cộng Với Internet, dịch vụ nh- giáo dục tõ xa, mua hµng trùc tuyÕn, t- vÊn y tÕ, nhiều điều khác đÃ trở thành thực Tuy nhiên, Internet có phạm vi toàn cầu không tổ chức, phủ cụ thể quản lý nên khó khăn việc bảo mật an toàn liệu nhtrong việc quản lý dịch vụ Từ ng-ời ta đ-a mô hình mạng nhằm thỏa mÃn yêu cầu mà tận dụng lại sở hạ tầng có Internet, mô hình mạng riêng ảo (Virtual Private Network - VPN) Với mô hình này, ng-ời ta đầu t- thêm nhiều sở hạ tầng mà tính nh- bảo mật, độ tin cậy dảm bảo, đồng thời quản lý riêng đ-ợc sử hoạt động mạng VPN cho phép ng-ời sử dụng làm việc nhà, đ-ờng hay văn phòng chi nhánh kết nối an toàn đến máy chủ tổ chức sở hạ tầng đ-ợc cung cấp mạng công cộng Nó đảm bảo an toàn thông tin đại lý, ng-ời cung cấp đối tác kinh doanh víi m«i tr-êng trun th«ng réng lín Trong nhiỊu tr-êng hỵp VPN cịng gièng nhWAN (Wide Area Network), nhiên đặc tính định VPN chúng dùng mạng công cộng nh- Internet mà đảm bảo tính riêng t- tiết kiệm nhiều Tổng quan VPN 2.2.1 Khái niệm mạng riêng ảo (VPN) VPN (Virtual Private Network) đ-ợc hiểu đơn giản nh- mở rộng mạng riêng (private network) thông qua mạng công cộng Về bản, VPN mạng riêng rẽ sử dụng mạng chung (th-ờng SVTH: Nguyễn Xuân Hoàng - Phan Văn Hiệp Líp 46K1 - CNTT 55 ThiÕt lËp - X©y dùng tính sẵn sàng cho hệ thống mạng doanh nghiệp internet) để kết nối với site (các mạng riêng lỴ) hay nhiỊu ng-êi sư dơng tõ xa Thay cho viƯc sư dơng bëi mét kÕt nèi thùc, chuyªn dơng nh-ng đ-ờng Leased line, VPN sử dụng kết nối ảo đ-ợc dẫn qua đ-ờng Internet từ mạng riêng công ty với site hay nhân viên từ xa Để gửi nhận liệu thông qua mạng công cộng mà bảo đảm tính anh tòan bảo mật VPN cung cấp chế mÃ hóa liệu đ-ờng truyền tạo đ-ờng ống bảo mật nơi nhận nơi gử (Tunnel) giống nh- kết nói point-to-point mạng riêng Để tạo đ-ờng ống bảo mật đó, liệu phải đ-ợc mÃ hóa hay che giấu cung cấp phần đầu gói liệu (Header) thông tin đ-ờng cho phép đến đích thông qua mạng công cộng cách nhanh chóng Dữ liệu đ-ợc mÃ hóa cách cẩn thận packet bị bắt lại đ-ờng truyền công cộng đọc đ-ợc nội dung khóa để giải mÃ Liên kết với liệu đ-ợc mÃ hóa đóng gói đ-ợc gọi kết nối VPN Các đ-ờng kết nối VPN th-ờng đ-ợc gọi đ-ờng ống VPN (VPN Tunnel) 2.2.2 Kiểu kết nối máy nối mạng (Client to Site): Kiểu đ-ợc diễn dịch nh- tr-ờng hợp giảm cấp mô hình VPN site-to-site Kiểu thiết lập cho phép máy tính truy cập đ-ợc mạng đÃ đ-ợc mÃ hóa đ-ợc xác thực Kiểu kiểu setup phổ biến th-ờng dùng ng-ời làm việc từ xa làm việc nhà, nhân viên muốn nối mạng vào công ty cách an toàn trình di chuyển Mô hình VPN client to site SVTH: Nguyễn Xuân Hoàng - Phan Văn HiƯp Líp 46K1 - CNTT 56 ThiÕt lËp - X©y dựng tính sẵn sàng cho hệ thống mạng doanh nghiệp 2.2.3 Çc giao thøc sư dơng VPN 2.2.3.1 Giao thức PPTP (Protocol Point-To-Point) Giao thức định h-ớng đ-ờng hầm ®iĨm-®iĨm PPTP(protocol point-topoint) lµ giao thøc quay sè truy cËp vào internet phổ biến PPTP cung cấp khả quay số truy cập tạo đ-ờng hầm bảo mật thông qua Internet đến site đích PPTP sử dụng giao thức bọc gói định tuyến chung PPTP tạo kết nối khách hàng máy chủ truy cập mạng PPTP thực thi chức năng: - Thiết lập kết thúc kết nối vật lý - Xác thực ng-ời dùng - Tạo gói liệu 2.2.3.2 Giao thøc L2TP (Layer Tunneling Protocol) Giao thøc định h-ớng đ-ờng hầm lớp L2TP (Layer Tunneling Protocol) kết hợp hai giao thức lµ PPTP vµ chun tiÕp líp L2F (Layer Forwarding) Giống nh- PPTP, L2F giao thức đ-ờng hầm, sử dụng tiêu đề đóng gói riêng cho việc truyền gói lớp Một điểm khác biệt L2F PPTP L2F không phụ thuộc vµo IP, cho phÐp nã cã thĨ lµm viƯc ë môi tr-ờng vật lý khác L2TP mang đặc tính PPTP L2F Nên có khả chạy mạng IP mạng khác nh- ATM, Frame Relay Vì giao thức L2TP ngày phổ biến L2TP cho phÐp mét sè l-ỵng lín Client tõ xa đ-ợc kết nối vào VPN hay cho kết nối LAN-LAN có dung l-ợng lớn L2TP có chế điều khiển luồng để giảm tắc nghẽn đ-ờng hầm L2TP L2TP cho phép thiết lập nhiều đ-ờng hầm Mỗi đ-ờng hầm đ-ợc gán cho ng-ời dùng xác định, nhóm ng-ời dùng gán cho môi tr-ờng khác tùy theo thuộc tính chất l-ợng dịch vụ ng-ời dùng 2.2.4 Ưu điểm nh-ợc điểm VPN 2.2.4.1 Ưu điểm VPN cung cấp nhiều đặc tính so với mạng truyền thông mạng Leased-line Những lợi ích bao gồm: SVTH: Nguyễn Xuân Hoàng - Phan Văn Hiệp Líp 46K1 - CNTT 57 ThiÕt lËp - X©y dùng tính sẵn sàng cho hệ thống mạng doanh nghiệp - Chi phí thấp mạng riêng: VPN giảm chi phí truyền tới 20-40% so với mạng thuộc mạng Leased-line giảm việc chi phí truy cËp tõ xa tõ 60-80% - TÝnh linh ho¹t cho khả kinh tế Internet: VPN vốn đÃ có tính linh hoạt leo thang kiến trúc mạng mạng cổ điển, cách ®ã nã cã thĨ ho¹t ®éng kinh doanh nhanh chãng chi phí cách hiệu cho việc kết nối mở rộng Theo cách VPN dễ dàng kết nối ngắt kết nối từ xa văn phòng, vị trí quốc tế, ng-ời truyền thông, ng-ời dùng điện thoại di động, ng-ời hoạt động kinh doanh bên nh- yêu cầu kinh doanh đÃ đòi hỏi - Đơn giản hóa gánh nặng - Những cấu trúc mạng ống, giảm việc quản lý gánh nặng: Sử dụng giao thức Internet backbone loại trừ PVC tĩnh hợp với kết nối h-ớng giao thức nh- Frame Rely ATM - Tăng tính bảo mật: Các liệu quan đ-ợc che giấu ng-ời quyền truy cập cho phép truy cậ ng-ời dùng có quyền truy cập - Hỗ trợ giao thức mạng thông dụng nh- TCP/IP - Bảo mật địa IP: Bởi thông tin đ-ợc gửi VPN đÃ đ-ợc mÃ hóa địa bên mạng riêng đ-ợc che giấu sử dụng địa bên Internet 2.2.4.2 Nh-ợc điểm - Yêu cầu chuẩn: hai đầu đ-ờng hầm yêu cầu phải dùng thiết bị để đảm bảo liên vận hành - Khó thiết lập quản trị - Mọi thông tin liệu qua VPN đ-ợc mÃ hóa bất chấp có cần mÃ hóa hay không Việc có chiều h-ớng gây nên t-ợng tắc nghẽn cổ chai - Không cung cấp bảo vệ mạng VPN kết thúc đầu mạng - Khi nhân viên đÃ vào đ-ợc mạng liệu không đ-ợc mÃ hóa SVTH: Nguyễn Xuân Hoàng - Phan Văn Hiệp Lớp 46K1 - CNTT 58 Thiết lập - Xây dựng tính sẵn sàng cho hệ thống mạng doanh nghiệp 2.3 Cấu hình NAT-VPN Server NAT-VPN Client02 Card m¹ng WAN LAN Ip Address 192.168.1.23 172.16.0.254 192.168.1.25 255.255.255.0 255.255.0.0 255.255.255.0 Subnet Mask Default gateway DNS 192.168.1.1 192.168.1.1 172.16.0.1 172.16.0.2 * Cấu hình máy NAT-VPN: - Tạo user để Client2 kết nối vào VPN Server Trên máy DC ta tạo tài khoản để máy client sư dơng: User: kd1 Cho phÐp kd1 cã qun Allow access Đầu tiên ta cấu hình NAT-VPN máy Với VPN ta cấu hình theo giao thức PPTP sau chuyển thành giao thức L2TP - Cấu h×nh Routing and Remote Access Chän Start Programs Administrative Tools  Routing and Remote Access Trong cưa sỉ Routing and Remote Access, Click chuét ph¶i NAT-VPN chän Configure and Enable Routing and Remote Access Cưa sỉ Welcome to the Routing and Remote Access Server Setup Wizard, nhÊn Next.T¹i cưa sỉ Configuration, check vào ô Virtual Private Network (VPN) access and NAT Next SVTH: Nguyễn Xuân Hoàng - Phan Văn HiƯp Líp 46K1 - CNTT 59 ThiÕt lËp - X©y dựng tính sẵn sàng cho hệ thống mạng doanh nghiệp Cưa sỉ VPN Connection, chän card WAN vµ bá dÊu chọn ô Enable security on the selectedBasic Firewall Next Cửa sổ IP Address Assignment, check vào ô From a specified range of addresses Next SVTH: Nguyễn Xuân Hoàng - Phan Văn Hiệp Lớp 46K1 - CNTT 60 Thiết lập - Xây dựng tính sẵn sàng cho hệ thống mạng doanh nghiƯp T¹i cưa sỉ Address Range Assignment, chän New, cửa sổ New Address Range, nhập vào Start IP End IP, IP đ-ợc cấp phát tự động cho máy client VPN vào, nhấn OK Next Tại cửa sổ Managing Multiple Remote Access Servers, check vào « “No, use Routing and Remote Access to autheticate connection requests, Nhấn Next Finish * Cấu hình VPN Client máy Client02: - Click chuột phải My Network Places chän Properties - Create a new connection cöa sỉ Welcome Next - T¹i cưa sỉ Network Connection Type check vào ô Connect to the network at my workplaceNext - Cửa sổ Network Connection, check vào ô Virtual Private Network Connection” Next - T¹i cưa sỉ Connection Name t¹i ô Company Name gõ vào tên (VD: VPN-Hoanghiep) Next SVTH: Nguyễn Xuân Hoàng - Phan Văn Hiệp Lớp 46K1 - CNTT 61 ThiÕt lËp - X©y dùng tÝnh sẵn sàng cho hệ thống mạng doanh nghiệp - Tại cưa sỉ VPN Server Selection, gâ host name hc IP máy SERVER1 vào ô Host name or IP address Next Finish Đến ta cấu hình xong NAT-VPN Nh-ng víi VPN th× ta chØ míi cÊu h×nh víi giao thøc PPTP chø ch-a cÊu h×nh theo giao thức L2TP Với giao thức PPTP tính bảo mật kém, ta kiểm tra xem VPN đÃ thông ch-a - Tại máy Client02 vào biểu t-ợng kết nối VPN gõ kd1 pass vào sau ấn Connect Ta vào Run gõ ipconfig /all kiểm tra địa IP Với hình d-ới ta thấy đÃ hiển thị thêm địa VPN-HoangHiep thể VPN đÃ thông Nh-ng với giao thức PPTP tính bảo mật nên ta cấu hình VPN theo giao thức L2TP có tính bảo mật cao SVTH: Nguyễn Xuân Hoàng - Phan Văn Hiệp Lớp 46K1 - CNTT 62 Thiết lập - Xây dựng tính sẵn sàng cho hệ thống mạng doanh nghiệp Trên máy NAT-VPN - Nhấp chuột phải vào NAT-VPN chọn properties - Chọn TAB security đánh vào Pre-share Key pass bảo vệ - Nhấp chuột phải vµo Port chän Properties - Chän wan miniport (PPTP)/ Ên vào configure Ta cấu hình t-ơng tự nhhình vẽ bên d-ới SVTH: Nguyễn Xuân Hoàng - Phan Văn Hiệp Lớp 46K1 - CNTT 63 ThiÕt lËp - X©y dùng tÝnh sẵn sàng cho hệ thống mạng doanh nghiệp - Chọn WAN miniport (L2TP) Ên Configure Ta cịng cÊu h×nh nh- hình vẽ bên d-ới CLIENT- 02 - Nhấp vào biểu t-ëng VPN - Chän properties/chän Tab Security/Ên vµo nót IPSec setting sau đánh vào pass bảo vệ giống bên Pre-share Key (máy NAT-VPN) Sau ấn OK Vậy ta đÃ cấu hình xong VPN với giao thức L2TP Bây thử kiểm tra coi VPN có thông hay không - Thử Connect kiểm tra VPN có phải sử dụng giao thức L2TP hay không - Ta thÊy VPN ®· sư dơng giao thøc L2TP ®Ĩ m· hãa (sư dơng kiĨu m· hãa ESP 3DES) SVTH: Ngun Xuân Hoàng - Phan Văn Hiệp Lớp 46K1 - CNTT 64 Thiết lập - Xây dựng tính sẵn sàng cho hệ thống mạng doanh nghiệp SVTH: Nguyễn Xuân Hoàng - Phan Văn Hiệp Lớp 46K1 - CNTT 65 Thiết lập - Xây dựng tính sẵn sàng cho hệ thống mạng doanh nghiệp Kết luận Đồ án tốt nghiệp với đề tài: Thiết lập xây d-ng tính sẵn sàng cho hệ thông mạng doanh nghiệp đÃ thực đ-ợc yêu cầu lý thuyết xây dựng triển khai ứng dụng Về lý thuyết, đồ án đÃ trình bày đ-ợc vấn đề sau: - Những khái niệm tổng quan mạng máy tính - Một số khái niệm dịch vụ đ-ợc cài đặt cấu hình mạng nh- máy chủ quản trị miền Domain Controller, Dịch vụ DNS, DHCP,IIS, DFS Về mặt ứng dụng, đồ án đÃ xây dựng đ-ợc mô hình hệ thống mạng với tính sẵn sàng cao Các dịch vụ cài đặt cấu hình môi tr-ờng Windows Server 2003 Enterprise Edition nh- sau: - X©y dùng hƯ thèng máy chủ quản trị miền chạy song song mang tính sẵn sàng cho hệ thống mạng lúc hoạt động bình th-ờng máy Domian Controller chết - Tạo RAID hai Server nhằm chống lỗi có cố ổ cứng tăng tốc độ truy cập liệu máy Server nhanh - Thiết lập cấu hình Distributed File System nhằm đồng liệu tất user hai Server DC - Xây dựng cấu hình bảo mật hai Web Server chạy song song nhằm đảm bảo tính ổn định khả phân phối trình xử lÝ nhiÒu ng-êi truy cËp Web Site cïng mét lúc - Xây dựng máy chủ NAT-VPN nhằm mục đích hỗ trợ truy cập Internet sử dụng Internet để truy cập từ xa SVTH: Nguyễn Xuân Hoàng - Phan Văn Hiệp Lớp 46K1 - CNTT 66 Thiết lập - Xây dựng tính sẵn sàng cho hệ thống mạng doanh nghiệp Tài liệu tham khảo Phạm Hoàng Dũng: Làm chđ Windows Server 2003, Nxb Thèng kª 2005 Dan Holm and Orin Thomas: Managing and Maintaining a MS Windows Server2003 Environment J.C Mackin & Ian McLean: Implementing, Managing, and Maintaining a Mircosoft Windows Server 2003 network Infrastructure Will Wills & Ian Mc Lean: Implementing and Managing Mircosoft Windows Server 2003 www.nhatnghe.com www.quantrimang.com www.microsoft.com SVTH: Nguyễn Xuân Hoàng - Phan Văn Hiệp Lớp 46K1 - CNTT 67 .. .Thiết lập - Xây dựng tính sẵn sàng cho hệ thống mạng doanh nghiệp MụC LụC Lời nói đầu Ch-ơng i CƠ Sở Lý THUYếT Về CàI ĐặT Và QUảN TRị MạNG MáY TíNH I TổNG QUAN Về MạNG MáY TíNH. .. 46K1 - CNTT Thiết lập - Xây dựng tính sẵn sàng cho hệ thống mạng doanh nghiệp Nhóm sinh viên thực Ch-ơng i CƠ Sở Lý THUYếT Về CàI ĐặT Và QUảN TRị MạNG MáY TíNH I TổNG QUAN Về MạNG MáY TíNH 1.1 Kiến... CNTT 28 Thiết lập - Xây dựng tính sẵn sàng cho hệ thống mạng doanh nghiệp Nhấn Add Mirror để tiếp tục trình Đợi lát ta cho hệ thống đồng hai ổ cứng vật lý - Trong tình ta chọn Add Mirror cho ổ