1.1 Yêu cầu thiết kế
Thiết kế và triển khai mạng nội bộ cho một cơng ty có trụ sở tại Hà Nội và một chi nhánh trong TP Hồ Chí Minh đáp ứng đƣợc một số yêu cầu sau. Yêu cầu thiết kế:
+Các máy trong mạng có khả năng trao đổi thông tin với nhau. +Tất cả các máy đều có thể truy cập Internet.
+Áp dụng một số phƣơng pháp để tăng khả năng an toàn thơng tin. +Mạng có thể dễ dàng mở rộng thêm chi nhánh và mở rộng trong nội bộ một chi nhánh.
1.2 Mô tả hệ thống
Ở mỗi chi nhánh bao gồm 2 switch, mỗi switch ứng với một tầng. Mỗi switch đƣợc chia thành 3 VLAN là VLAN2, VLAN3 và VLAN4, mỗi VLAN switch đƣợc chia thành 3 VLAN là VLAN2, VLAN3 và VLAN4, mỗi VLAN tƣơng ứng với một phịng ban riêng biệt của cơng ty. Thực tế số switch và số VLAN có thể thay đổi tuỳ theo u cầu. Mơ hình và cách cấu hình cho hệ thống hồn tồn tƣơng tự.
Mạng sử dụng địa chỉ IP 172.16.0.0 với subnetmask là 255.255.0.0 Việc đánh địa chỉ IP đƣợc chia nhƣ sau:
Đối với các switch ở Hà Nội
+VLAN2 có dải địa chỉ IP là 172.16.2.0/24 +VLAN3 có dải địa chỉ IP là 172.16.3.0/24 +VLAN4 có dải địa chỉ IP là 172.16.4.0/24 Đối với các switch ở TP Hồ Chí Minh
+VLAN2 có dải địa chỉ IP là 172.16.5.0/24 +VLAN3 có dải địa chỉ IP là 172.16.6.0/24 +VLAN4 có dải địa chỉ IP là 172.16.7.0/24 Mạng nối 2 router với nhau có địa chỉ 172.16.1.0/30
2. Các thiết bị triển khai trên hệ thống
Nhƣ trên mơ hình đã thấy, các thiết bị đƣợc sử dụng bao gồm: +Router Cisco 2650
+Switch Cisco 2950
+Đƣờng nối giữa router ở Hà Nội và TP Hồ Chí Minh là kết nối serial (có thể là đƣờng leased line thuê của nhà cung cấp dịch vụ).
CHƢƠNG 2: TRIỂN KHAI CẤU HÌNH TRÊN
CÁC THIẾT BỊ
1. Router
1.1. Cấu hình địa chỉ IP
Cổng Serial 0/0 của router HaNoi đƣợc kết nối với cổng Serial 0/1 của router SaiGon. Để cho đƣờng kết nối hoạt động thì cần cấu hình địa chỉ IP cho các cổng này. Sau đây là lệnh cấu hình địa chỉ IP cho các cổng này:
Router#config terminal
Router(config)#hostname HaNoi HaNoi(config)#interface s0/0
HaNoi(config- if)#ip address 172.16.1.1 255.255.255.252 HaNoi(config- if)#clock rate 64000
HaNoi(config- if)#no shutdown HaNoi(config- if)#exit
Ở đây router HaNoi đƣợc coi là đầu DCE trong kết nối serial nên cần phải đặt clock rate.
Lệnh cấu hình địa chỉ cho router SaiGon:
Router#config terminal
Router(config)#hostname SaiGon SaiGon(config)#interface s0/1
SaiGon(config- if)#ip address 172.16.1.2 255.255.255.252 SaiGon(config- if)#no shutdown
SaiGon(config- if)#exit
1.2. Cấu hình password truy nhập
Để ngăn chặn những truy cập trái phép trực tiếp vào router bằng cách nhƣ qua telnet khi biết địa chỉ IP, hay là cắm trực tiếp thiết bị thông qua cổng console chúng ta tiến hành thiết lập và mã hoá password truy cập vào router.
Lệnh cấu hình: HaNoi(config)#line consol 0 HaNoi(config-line)#password bachkhoa HaNoi(config-line)#login HaNoi(config-line)#exit Lệnh đặt enable password:
HaNoi(config)#enable password bachkhoa
Password này khơng đƣợc mã hố, nó sẽ hiển thị dƣới dạng clear text khi thực hiện lệnh show runningconfig, để mã hố password có thể dùng lệnh:
HaNoi(config)#enable secret bachkhoa
Lệnh cấu hình password cho các phiên telnet:
HaNoi(config)#line vty 0 4
HaNoi(config-line)#password bachkhoa HaNoi(config-line)#login
HaNoi(config-line)#exit
Ngoài ra, để tăng khả năng bảo mật chúng ta có thể cấu hình PAP (Password Authentication Protocol) hoặc CHAP (Challenge Handshake Authentication Protocol) trên kết nối giữa hai router.
Việc cấu hình có thể thực hiện bằng lệnh sau:
HaNoi(config)#username SaiGon password bachkhoa HaNoi(config)#interface s0/0
HaNoi(config- if)#encapsulation ppp HaNoi(config- if)#ppp authentication chap
Trên router SaiGon các lệnh cấu hình hồn tồn tƣơng tự nhƣ đối với router HaNoi.
1.3. Cấu hình phƣơng pháp định tuyến
Việc áp dụng các phƣơng pháp định tuyến sẽ làm tăng khả năng an toàn thơng chạy trong mạng. Có hai phƣơng pháp định tuyến là phƣơng pháp định tuyến tĩnh (Static Routes) và định tuyến động (Dynamic Routes). Có nhiều phƣơng pháp định tuyến động nhƣ RIP, IGRP, EIGRP, OSPF… Ở đây chúng ta sử dụng giao thức RIP (Routing Information Protocol). RIP là giao thức sử dụng cho các mạng tƣơng đối nhỏ, có các đặc điểm sau:
+Sau 30 giây nó cập nhật bảng định tuyến một lần và thông tin định tuyến đƣợc các router gửi quảng bá trên mạng.
+Sử dụng hop count (số bƣớc nhày) để xác lập bảng định tuyến. Nếu số bƣớc nhảy lớn hơn 15, gói tin sẽ bị loại bỏ.
Các lệnh cấu hình RIP trên các router:
HaNoi(config)#router rip
HaNoi(config-router)#network 172.16.0.0 SaiGon(config)#router rip
SaiGon(config-router)#network 172.16.0.0
1.4. Cấu hình ACLs
Việc cấu hình ACLs trên các router sẽ khiến các router hoạt động nhƣ một firewall thực thụ.
Ở đây có thể cấu hình ACLs để ngăn chặn các gói tin của host 172.16.5.5 đi qua router HaNoi.
HaNoi(config)#access-list 1 deny 172.16.5.5 0.0.0.0
HaNoi(config)#access-list 1 permit 0.0.0.0 255.255.255.255 HaNoi(config)#interface s0/0
HaNoi(config-if)#ip access-group 1 in
Hai dịng lệnh trên cùng có thể đƣợc thay bằng lệnh sau:
HaNoi(config)#access-list 1 permit any
Trên mơ hình mơ phỏng, để ngăn chặn hacker ở ngồi telnet vào router chúng ta có thể tạo ACLs ngăn chặn telnet:
HaNoi(config)#access-list 101 deny tcp any any eq 23 HaNoi(config)#access-list 101 permit ip any any HaNoi(config)#interface s0/1
HaNoi(config-if)#ip access-group 101 in
Với cấu trúc lệnh nhƣ trên, các phiên telnet từ ngoài vào router HaNoi sẽ bị ngăn chặn trong khi đó các gói tin IP khác vẫn hoạt động bình thƣờng.
Ngồi những phƣơng pháp bảo hệ thống thơng qua cấu hình trên router cũng có thể sử dụng phƣơng pháp chuyển đổi địa chỉ mạng (Network Address Transtation) để ngăn chặn việc bị phát hiện địa chỉ IP của các máy trong nội bộ mạng.
2. Switch
2.1. Cấu hình password truy nhập
Cũng giống nhƣ router, trên switch cũng có thể cấu hình password cho cổng consol cũng nhƣ các phiên telnet. Lệnh cấu hình nhƣ sau:
Switch1(config)#line console 0
Switch1(config-line)#password bachkhoa Switch1(config-line)#login
Switch1(config-line)#exit
Lệnh đặt enable password:
Switch1(config)#enable password bachkhoa
Password này khơng đƣợc mã hố, nó sẽ hiển thị dƣới dạng clear text khi thực hiện lệnh show runningconfig, để mã hoá password có thể dùng lệnh:
Lệnh cấu hình password cho các phiên telnet: Switch1(config)#line vty 0 15 Switch1(config-line)#password bachkhoa Switch1(config-line)#login Switch1(config-line)#exit 2.2. Cấu hình VLAN
Trên mỗi switch đƣợc chia thành 3 VLAN là VLAN2, VLAN3 và VLAN4. Việc phân chia các port của switch vào các VLAN nhƣ sau:
+Port 1 đến 8 thuộc VLAN2 +Port 9 đến 16 thuộc VLAN3 +Port 17 đến 24 thuộc VLAN4
Riêng VLAN1 đƣợc dùng làm VLAN quản lý và khơng có port nào của switch đƣợc gắn vào VLAN1.
2.2.1. Cấu hình cho chi nhánh Hà Nội
+Các lệnh cấu hình cho switch1 nhƣ sau:
Switch1#vlan database Switch1(vlan)#vlan 2 Switch1(vlan)#vlan 3 Switch1(vlan)#vlan 4
Switch1(vlan)#vtp domain hanoi Switch1(vlan)#vtp server
Switch1(vlan)#exit
Sau các câu lệnh này VLAN2, VLAN3 và VLAN4 đƣợc tạo ra trên switch1. Switch1 đƣợc đặt ở trạng thái VTP server và nằm trong domain hahoi. Nhƣ vậy switch1 sẽ có nhiệm vụ quảng bá thơng tin về VLAN cho các switch còn lại.
Để định tuyến cho các VLAN ta cần phải cấu hình các subinterface trên router.
HaNoi(config)#interface fa0/0 HaNoi(config-if)#no shutdown HaNoi(config-if)#interface fa0/0.2 HaNoi(config-if)#encapsulation dot1q 2 HaNoi(config-if)#ip address 172.16.2.1 255.255.255.0 ---------------------------------------------------------------------------------------------- HaNoi(config-if)#interface fa0/0.3 HaNoi(config-if)#encapsulation dot1q 3 HaNoi(config-if)#ip address 172.16.3.1 255.255.255.0 ---------------------------------------------------------------------------------------------- HaNoi(config-if)#interface fa0/0.4 HaNoi(config-if)#encapsulation dot1q 4 HaNoi(config-if)#ip address 172.16.4.1 255.255.255.0 HaNoi(config-if)#exit
Qua các câu lệnh trên, cổng fa0/0 của router HaNoi đƣợc chia thành 3 cổng logic tƣơng ứng với 3 VLAN.
Sau khi tạo ra các VLAN cần phải gán các cổng của switch vào các VLAN tƣơng ứng.
Switch1#config terminal
Switch1(config)#interface fa0/x
Switch1(config-if)#switchport mode access Switch1(config-if)#switchport access vlan 2 Switch1(config-if)#exit
Ở đây x là số port đƣợc gán vào VLAN2, x có giá trị từ 1 đến 8.
----------------------------------------------------------------------------------------------
Switch1#config terminal
Switch1(config)#interface fa0/y
Switch1(config-if)#switchport mode access Switch1(config-if)#switchport access vlan 3
Switch1(config-if)#exit
Ở đây y là số port đƣợc gán vào VLAN3, y có giá trị từ 9 đến 16.
----------------------------------------------------------------------------------------------
Switch1#config terminal
Switch1(config)#interface fa0/z
Switch1(config-if)#switchport mode access Switch1(config-if)#switchport access vlan 4 Switch1(config-if)#exit
Ở đây z là số port đƣợc gán vào VLAN4, z có giá trị từ 17 đến 24.
---------------------------------------------------------------------------------------------- Đƣờng nối giữa hai switch cần phải đƣợc cấu hình ở mức trunk để mang thông tin giữa các VLAN.
Switch1#config terminal
Switch1(config)#interface gigabit1
Switch1(config-if)#switchport mode trunk
Ngoài ra, để thuận tiện cho việc quản lý ta cũng có thể đặt địa chỉ IP cho switch.
Switch1#config terminal
Switch1(config)#interface vlan1
Switch1(config-if)#ip address 172.16.0.1 255.255.255.0
+Các lệnh cấu hình cho switch2 nhƣ sau:
Switch2#vlan database
Switch2(vlan)#vtp domain hanoi Switch2(vlan)#vtp client
Switch2(vlan)#exit
Switch2 đƣợc cấu hình VTP cùng domain với switch1 và ở mức client. Nhƣ vậy switch2 khơng có khả năng tạo cũng nhƣ xố các VLAN. Nó sẽ nhận thông tin về VLAN từ switch1. Cả việc gán các cổng vào các VLAN
cũng khơng cần cấu hình vì nó sẽ nhận từ switch1. Trên switch2 chỉ cần cấu hình mode trunk cho đƣờng nối và đặt IP để tiện quản lý:
Switch2#config terminal
Switch2(config)#interface gigabit1
Switch2(config-if)#switchport mode trunk Switch2(config-if)#exit
Switch1(config)#interface vlan1
Switch1(config-if)#ip address 172.16.0.2 255.255.255.0
2.2.2. Cấu hình cho chi nhánh Sài Gịn
Việc cấu hình trên các switch ở chi nhánh Sài Gịn hồn tồn tƣơng tự. Ở đây vtp domain sẽ là saigon và địa chỉ IP cho các VLAN sẽ tƣơng ứng nhƣ sau:
+VLAN2 172.16.5.0/24 +VLAN3 172.16.6.0/24 +VLAN4 172.16.7.0/24
KẾT LUẬN
Để đảm bảo sự an tồn thơng tin trên mạng cần phải thực hiện nhiều lớp bảo vệ khác nhau, mỗi lớp có những mặt hạn chế và cũng có những ƣu điểm riêng. Tuỳ vào yêu cầu cụ thể của công việc mà ta cần lựa chọn những biện pháp sao cho thích hợp để đáp ứng đƣợc nhu cầu đảm bảo an tồn thơng tin cho hệ thống.
Hiện nay để triển khai một hệ thống mạng an tồn có rất nhiều phƣơng pháp có thể áp dụng, trong đó việc sử dụng các thiết bị mạng cũng là một phƣơng pháp rất quan trọng. Những thiết bị đƣợc sử dụng là rất nhiều nhƣng để phát huy hết những khả năng của chúng thì ngƣời quản trị cần phải có những hiểu biết tƣơng đối sâu về những thiết bị đó.
Trên thực tế hiện nay, tất cả các cơng ty hay tổ chức đều cần xây dựng một hệ thống mạng cho riêng mình, mỗi hệ thống mạng đều có những yêu cầu về an ninh mạng tuỳ theo mức độ quan trọng của thông tin. Việc thực hiện đề tài đã phần nào đáp ứng đƣợc các u cầu đó. Đề tài hồn tồn có thể đem áp dụng để xây dựng một hệ thống mạng thực tế. Có thể quy mơ mạng lớn hơn và có những yêu cầu an ninh cao hơn, khi đó sẽ kết hợp nhiều biện pháp khác để đảm bảo an toàn cho mạng. Đề tài có nhiều điểm tích cực nhƣng cũng còn những hạn chế, các vấn đề đƣợc nêu ra mới chỉ dừng lại ở mức cơ bản, chƣa thực sự đi sâu vào một vấn đề nào. Vì thời gian thực hiện đề tài khơng dài, thiết bị dùng để thực hiện là có hạn, việc thực hiện cấu hình trên các thiết bị khơng đƣợc nhiều do đó cịn nhiều hạn chế để thực hiện đƣợc nhiều biện pháp đảm bảo an ninh mạng trên các thiết bị. Nếu có điều kiện về thiết bị cũng nhƣ thời gian thì đề tài chắc chắn sẽ mang tính thực tế nhiều hơn, giúp cho ngƣời đọc dễ dàng hiểu đƣợc một hệ thống mạng thực sự bao gồm những gì và chúng hoạt động thế nào.
Thơng qua q trình thực hiện đề tài này em cũng đã may mắn đƣợc tiếp xúc với các thiết bị của một hệ thống mạng máy tính, biết đƣợc chúng hoạt động thế nào, điều đó giúp em mở mang thêm rất nhiều kiến thức. Việc kết hợp giữa lý thuyết học trên ghế nhà trƣờng với những kiến thức thực tế sẽ tạo rất nhiều thuận lợi cho công tác của em sau này.
NHỮNG THUẬT NGỮ VIẾT TẮT
ACK Acknowledgement ACLs Access Control Lists
ARP Address Resolution Protocol ATM Asynchronous Transfer Mode CAM Content Addressable Memory
CHAP Challenge Handshake Authentication Protocol DCE Data Circuit-Terminating Equipment
DDoS Distributed Denial of Service DNS Domain Name System
DoS Denial of Service
DTE Data Terminal Equipment
FDDI Fiber Distributed Data Interface FTP File Transfer Protocol
IDSs Instrution Direction Systems
ICMP Internet Control Message Protocol IP Internet protocol
ISDN Intergrated Services Digital Network LAN Local Area Network
MAC Media Access Control
NAT Network Address Transtation NIC Network Interface Card
OSI Open Systems Interconnection OSPF Open Shortest Path Firth
PAP Password Authentication Protocol PPP Point to point Protocol
SMTP Simple Mail Transfer Protocol
SNMP Simple Network Management Protocol SONET Synchronous Optical Network
STP Shield Twisted Pair
TCP Transmission Control Protocol UDP User Datagram Protocol
UTP Unshield Twisted Pair VLAN Virtual LAN
VTP VLAN Trunking Protocol WAN Wide Area Network
TÀI LIỆU THAM KHẢO
[1]. Nguyễn Thúc Hải – “Mạng máy tính và các hệ thống mở” – NXB Giáo dục
[2]. Khƣơng Anh – “Giáo trình hệ thống mạng máy tính CCNA” – NXB Lao động – Xã hội
[3]. Giáo trình CCNA 3.1 [4]. CCNA Lab Pro