Tiếp tục sử dụng thuê bao đường truyền Internet hiện tại của các nhà cung cấp dịch vụ. Gồm có hai đường Internet cáp quang của công ty VNPT và một đường dự phòng của của công ty FPT.
CHƯƠNG 3: TRIỂN KHAI HIỆN THỰC MÔ HÌNH 3.1. Mô hình hiện thực
Hình 3.1: Sơ đồ mô hình hiện thực.
Triển khai hiện thực mô hình trên phần mềm GNS3 kết nối với máy ảo VMware. Sử dụng hai Firewall ASA cấu hình tính năng Active/Standby, máy ảo VMware kết nối với GNS3 sử dụng card mạng host-only để đảm bảo các máy liên lạc được với nhau. Trên máy ảo VMware cài đặt bốn máy ảo:
- Client: đóng vai trò là người dùng Internet.
- Web: đóng vai trò là Web Server đặt tại vùng DMZ.
- TMG: đóng vai trò là Firewall back-end bảo vệ dùng LAN và vùng Server. - DC: đóng vai trò là Domain Controller.
Sử dụng ba Switch layer 3 để cấu hình chia VLAN cho các phòng ban, cấu hình VTP, STP để đồng bộ cấu hình VLAN, chống loop mạng, bảo vệ hệ thống mạng khỏi sự cố.
3.2. Cấu hình Failover trên ASA
Cấu hình mức bảo mật cho các cổng bằng câu lệnh nameif, mặc định inside có mức bảo mật là 100, ouside có mức bảo mật là 0. Hai cổng cùng mức bảo mật
không thể truy cập với nhau, cho đến khi được cấu hình bởi dòng lệnh same-
security-traffic permit.
- Mức bảo mật (Security Level) 100: Đây là mức bảo mật cao nhất, thường được gán cho cổng thuộc mạng bên trong (inside).
- Mức bảo mật 0: Đậy là mức bảo mật thấp nhất, thường được gán cho cổng mà kết nối ra Internet hay vùng không tin cậy còn gọi là vùng bên ngoài (outside). - Mức bảo mật từ 1-99: Cho phép bạn sử dụng để gán cho những cổng còn lại
nếu yêu cầu mở rộng vùng mạng.
Do đó trong quá trình cấu hình thông tin cho cổng đảm bảo mỗi cổng được gán giá trị mức bảo mật dựa vào chính sách phân vùng bảo vệ thông qua câu lệnh
security-level.
Cấu hình địa chỉ IP cho các cổng GigabitEthernet 0 và GigabitEthernet 1 cho thiết bị Primary:
ASA1(config)# interface GigabitEthernet 0 ASA1(config-if)# no shutdown
ASA1(config-if)# nameif outside
ASA1(config-if)# ip address 10.1.1.253 255.255.255.0 standby 10.1.1.254 ASA1(config)# interface GigabitEthernet 1
ASA1(config-if)# nameif inside
ASA1(config-if)# ip address 192.168.1.253 255.255.255.0 standby 192.168.1.254
Đặt tên cho 2 cổng GigabitEthernet 2 và GigabitEthernet 3:
ASA1(config)# interface GigabitEthernet 2 ASA1(config-if)# description Failover link
ASA1(config-if)# no shutdown
ASA1(config)# interface GigabitEthernet 3 ASA1(config-if)# description State link ASA1(config-if)# no shutdown
ASA1(config-if)# exit
Cấu hình và bật tính năng Failover:
ASA1(config)# failover lan unit primary ASA1(config)# failover key cisco123
ASA1(config)# failover lan interface failover gigabitEthernet 2 ASA1(config)# failover link state gigabitEthernet 3 (adsbygoogle = window.adsbygoogle || []).push({});
ASA1(config)# failover interface ip failover 172.16.1.1 255.255.255.252 standby 172.16.1.2 ASA1(config)# failover interface ip state 172.16.2.1 255.255.255.252 standby
172.16.2.2 ASA1(config)# failover
Trên thiết bị Secondary cấu hình và bật tính năng Failover:
ASA2(config)# failover lan unit secondary ASA2(config)# failover key cisco123
ASA2(config)# failover lan interface failover gigabitEthernet 2
ASA2(config)# failover interface ip failover 172.16.1.1 255.255.255.252 standby 172.16.1.2 ASA2(config)# failover
ASA2(config)# interface gigabitEthernet 2 ASA2(config-if)# no shutdown
ASA2(config-if)# exit
Sau khi cấu hình thành công thì thiết bị Secondary sẽ tự động sao chép cấu hình của Primary bao gồm tên hostname, khi đó hostname của thiết bị Secondary sẽ là ASA1.
Cấu hình ACLs cho phép bên ngoài Internet có thể truy cập Web Server:
ASA1(config)# access-list outside permit tcp any host 192.168.1.110 eq 3389 ASA1(config)# access-list outside permit tcp any host 192.168.1.110 eq www ASA1(config)# access-group outside in interface outside
Định tuyến tĩnh trên ASA:
ASA1(config)# route inside 172.16.30.0 255.255.255.0 192.168.1.100
Show route để kiểm tra bảng định tuyến:
ASA1(config)# show route
Mặc định ASA không cho phép gói ICMP trả về đi qua, nên để vùng inside có thể ping được ra ngoài Internet phải thêm ACLs sau:
ASA1(config)# access-list 101 permit icmp any any echo-reply ASA1(config)# access-list 101 permit icmp any any source-quench ASA1(config)# access-list 101 permit icmp any any unreachable ASA1(config)# access-list 101 permit icmp any any time-exceeded ASA1(config)# access-group 101 in interface outside
Để quản lý ngoài việc cấu hình trực tiếp bằng dòng lệnh từ thiết bị ASA, Cisco còn cung cấp một tính năng khác là Adative Security Device Manager (ASDM)
giúp thực hiện quản lý và kiểm tra ASA thông qua giao diện đồ họa. Được thiết kế theo giao diện Web-base cung cấp việc truy cập bảo mật vì vậy có thể kết nối đến và quản lý ASA từ mọi nơi bằng cách sử dụng một Web browser.
3.3. Cấu hình chia VLAN
Cấu hình VTP Domain tên là “benhvien” và VTP Password là “nhidong” trên 3 Switch. Cấu hình S3 hoạt động ở mode Server, S4 hoạt động ở mode Client và S5 là mode Transparent.
Trên Switch S3:
S3(config)# vtp mode server S3(config)# vtp domain benhvien S3(config)# vtp password nhidong S3(config)# end
Trên Switch S4:
S4(config)# vtp mode client S4(config)# vtp domain benhvien S4(config)# vtp password nhidong S4(config)# end
Trên Switch S5:
S5(config)# vtp mode transparent S5(config)# vtp domain benhvien S5(config)# vtp password nhidong S5(config)# end
F2/1, F2/2 802.1q Trunk
(Native VLAN 99) 172.16.99.0/24
F2/0, F2/15 Vlan 1 (default) 172.16.10.0/24 (adsbygoogle = window.adsbygoogle || []).push({});
F2/3 – 2/9 Vlan 10 – Client 172.16.20.0/24
F2/10 – 2/14 Vlan 20 – Server 172.16.30.0/24
Bảng 3.1: Các Port của VLAN và mạng tương ứng trên các Switch. Cấu hình Trunking và Native VLAN trên các switch:
Trên Switch S3:
S3(config)# interface range fastEthernet 2/1 - 2 S3(config-if-range)# switchport mode trunk
S3(config-if-range)# switchport trunk native vlan 99 S3(config-if-range)# no shutdown
S3(config-if-range)# end
Trên Switch S4:
S4(config)#interface range fastEthernet 2/1 - 2 S4(config-if-range)# switchport mode trunk
S4(config-if-range)# switchport trunk native vlan 99 S4(config-if-range)# no shutdown
S4(config-if-range)# end
Trên Switch S5:
S5(config)#interface range fastEthernet 2/1 – 2 S5(config-if-range)# switchport mode trunk
S5(config-if-range)# no shutdown S5(config-if-range)# end
Cấu hình VLAN trên VTP Server tạo ra 3 VLAN:
- VLAN 99 (management).
- VLAN 10 (client).
- VLAN 20 (server). Trên Switch S3:
S3(config)# vlan 99
S3(config-vlan)# name management S3(config-vlan)# exit
S3(config)# vlan 10
S3(config-vlan)# name client S3(config-vlan)# exit
S3(config)# vlan 20
S3(config-vlan)# name server S3(config-vlan)# exit
Kiểm tra sự đồng bộ thông tin VLAN giữa các Switch bằng câu lệnh show
vlan-switch brief. Nhận thấy chỉ có Switch S4 đồng bộ thông tin VLAN vì là mode
Client. Còn S5 ở mode Transparent nên không đồng bộ thông tin VLAN với các Switch khác.
Tạo VLAN trên Switch S5:
S5(config)# vlan 99
S5(config-vlan)# exit S5(config)# vlan 10 (adsbygoogle = window.adsbygoogle || []).push({});
S5(config-vlan)# name client S5(config-vlan)# exit
S5(config)# vlan 20
S5(config-vlan)# name server S5(config-vlan)# exit
Đặt ip cho các cổng VLAN trên từng Switch:
VLAN Switch S3 IP addressSwitch S4 Switch S5
VLAN 172.16.10.2/24 172.16.10.3/24 172.16.10.1/24
VLAN 172.16.20.2/24 172.16.20.3/24 172.16.20.1/24
VLAN 172.16.30.2/24 172.16.30.3/24 172.16.30.1/24
VLAN 172.16.99.2/24 172.16.99.3/24 172.16.99.1/24 Bảng 3.2: Địa chỉ của các cổng địa chỉ.
Trên Switch S3:
S3(config)# interface vlan 1
S3(config-if)# ip address 172.16.10.2 255.255.255.0 S3(config-if)# exit
S3(config)# interface vlan 10
S3(config-if)# ip address 172.16.20.2 255.255.255.0 S3(config-if)# exit
S3(config)# interface vlan 20
S3(config-if)# exit
S3(config)# interface vlan 99
S3(config-if)# ip address 172.16.99.2 255.255.255.0 S3(config-if)# end
Trên Switch S4:
S4(config)# interface vlan 1
S4(config-if)# ip address 172.16.10.3 255.255.255.0 S4(config-if)# exit
S4(config)# interface vlan 10
S4(config-if)# ip address 172.16.20.3 255.255.255.0 S4(config-if)# exit
S4(config)# interface vlan 20
S4(config-if)# ip address 172.16.30.3 255.255.255.0 S4(config-if)# exit
S4(config)# interface vlan 99
S4(config-if)# ip address 172.16.99.3 255.255.255.0 S4(config-if)# end
Trên Switch S5:
S5(config)# interface vlan 1
S5(config-if)# ip address 172.16.10.1 255.255.255.0 S5(config-if)# exit (adsbygoogle = window.adsbygoogle || []).push({});
S5(config-if)# ip address 172.16.20.1 255.255.255.0 S5(config-if)# exit
S5(config)# interface vlan 20
S5(config-if)# ip address 172.16.30.1 255.255.255.0 S5(config-if)# exit
S5(config)# interface vlan 99
S5(config-if)# ip address 172.16.99.1 255.255.255.0 S5(config)# end
VTP chỉ đồng bộ thông tin VLAN, không đồng bộ Port của VLAN. Do đó cần phải tự gán Port trên từng Switch. Sau đây là cấu hình cho S3, với S4 và S5 thì làm tương tự. Sau đó lưu lại cấu hình:
S3(config)# interface range fastEthernet 2/3 - 9 S3(config-if-range)# switchport access vlan 10 S3(config-if-range)# exit
S3(config)# interface range fastEthernet 2/10 - 14 S3(config-if-range)# switchport access vlan 20 S3(config-if-range)# end
S3# copy running-config startup-config startup-config
Cấu hình VTP Pruning trên Switch trong mode Server:
S3(config)# vtp pruning
Cấu hình giao thức Spanning Tree Protocol (STP) để có thể ngăn chặn loop mạng và đảm bảo tính năng dự phòng. Switch S5 làm root cho VLAN 99, S3 làm
root cho VLAN 1, 10 và 20. Chú ý khi thay đổi giá trị priority phải chọn giá trị là bội số của 4096.
Trên Switch S5:
S5(config)# spanning-tree vlan 99 priority 4096 S5(config)# exit
Trên Switch S3:
S3(config)# spanning-tree vlan 1 priority 4096 S3(config)# spanning-tree vlan 10 priority 4096 S3(config)# spanning-tree vlan 20 priority 4096 S3(config)# exit
Sau khi thay đổi priority, STP sẽ được tính toán lại. Thực hiện câu lệnh sau để kiểm tra kết quả thay đổi trên từng Switch:
S3# show spanning-tree vlan 99 S3# show spanning-tree vlan 10
Máy ảo Card mạng IP Tùy chọn
Người dùng
bên ngoài VMnet6
IP address: 10.1.1.1 Subnet mask: 255.255.255.0 Default geteway: 10.1.1.253
Host-only
Web Server VMnet3 IP address: 192.168.1.110
Subnet mask: 255.255.255.0 Host-only
TMG LAN: VMnet2 IP address: 172.16.30.10 Subnet mask: 255.255.255.0 Default gateway: 172.16.30.2 Preferred DNS server: 172.16.30.100 Host-only
Subnet mask: 255.255.255.0 Domain Controller VMnet5 IP address: 172.16.30.100 Subnet mask: 255.255.255.0 Default gateway: 172.16.30.10 Preferred DNS server: 172.16.30.100 Host-only
Bảng 3.3: Thông số địa chỉ Card mạng.
Thực hiện Routing trên các thiết bị: TMG, Web Server và trên ASA để hệ thống mạng thông với nhau. (adsbygoogle = window.adsbygoogle || []).push({});
3.4. Cấu hình AnyConnect VPN
Anyconnect VPN là giải pháp tương tự như IPSec VPN Remote Access, tuy nhiên vẫn giữ lại ưu điểm của WebVPN là dễ dàng sử dụng và cho phép hỗ trợ hầu hết các loại ứng dụng, điều này đảm bảo khả năng linh động và mở rộng trong việc truy cập tài nguyên từ bên ngoài nhưng vẫn đảm bảo tính an toàn dữ liệu cao với SSL.
Cấu hình webvpn trên cổng outside của thiết bị Primary:
ASA1(config)# webvpn
ASA1(config-webvpn)# enable outside
Cài đặt tiện ích mềm Anyconnect VPN, phải đảm bảo đã có trong flash. Có thể tải AnyConnect về sử dụng tftp để thêm vào flash bằng câu lệnh:
ASA1# copy tftp: flash:
Thực hiện cài đặt tiện tích Anyconnect:
ASA1(config-webvpn)# svc image disk0: /anyconnect-win-2.0.0343-k9.pkg 1 ASA1(config-webvpn)#svc enable
Cấu hình Group-List, cho phép người dùng chọn Group khi thực hiện đăng nhập:
ASA1(config-webvpn)#tunnel-group-list enable
Định nghĩa Group Policy:
ASA1(config)# group-policy WEBVPN internal
Xác định thuộc tính cho Group:
ASA1(config)# group-policy WEBVPN attributes
Xác định giao thức VPN được hỗ trợ cho Group:
ASA1(config-group-policy)# vpn-tunnel-protocol svc
Sử dụng tính năng Split-tunnel:
ASA1(config-group-policy)#split-tunnel-policy tunnelspecified ASA1(config-group-policy)#split-tunnel-network-list value VPN ASA1(config-group-policy)#address-pools value MYPOOL
Xác định thuộc tính cho SVC:
ASA1(config-group-policy)# webvpn
Phần mềm Anyconnect VPN Client sẽ được giữ lại sau khi ngừng kết nối:
ASA1(config-group-webvpn)#svc keep-installer installed
Định nghĩa Connnetion Profile:
ASA1(config)# tunnel-group WEBVPN type remote-access
Kết hợp Group Policy với Connection Profile:
ASA1(config)# tunnel-group WEBVPN general-attributes ASA1(config-tunnel-general)#default-group-policy WEBVPN
Kết hợp Group-alias với Group-List:
ASA1(config)# tunnel-group WEBVPN webvpn-attributes ASA1(config-tunnel-webvpn)#group-alias WEBVPN enable
Thực hiện kết nối đến ASA, đăng nhập với username “benhvien”, password “nhidong”. (adsbygoogle = window.adsbygoogle || []).push({});
Hình 3.2: Kết nối VPN thông qua trình duyệt Web.
Hình 3.3: Cài đặt WebLaunch trên máy Client.
Thực hiện kết nối đến 10.1.1.253, username “benhvien”, password “nhidong”
3.5. Cấu hình quản trị trên TMG.
TMG sử dụng bảng Routing của Windows Server 2008 để có thể định tuyến đồng thời thay thế chức năng định tuyến của Routing and Remote Access trên Windows server 2008. Lúc này TMG sẽ đóng vai trò quản lý chính đối với tất cả các cổng và các luồng dữ liệu. Hệ thống mạng mô phỏng hiện tại, TMG có 3 cổng vật lý để giao tiếp với 3 đường mạng. Một đường nối vào vùng DMZ, hai đường nối vào vùng LAN.
Hình 3.5: Bảng Routing của TMG.
TMG kế thừa những tính năng nổi bật của ISA để tạo các Rule quản trị mạnh mẽ, giúp đảm bảo giám sát một cách tối ưu nhất tất cả các cổng luận lý. Các tính năng trong mô hình mô phỏng này cho phép kết nối VPN Client từ ngoài vào Internal, cho phép sử dụng DNS Server, Mail Server, có thể giới hạn hoặc cấm một cách rất chi tiết, chính xác từng giao thức tới từng User Domain, hay từng máy Client trong hệ thống mạng của bệnh viện theo thời gian mong muốn của người quản trị mạng. Ngoài các Rule mặc định, người quản trị có thể tự tạo thêm các Rule theo mong muốn của mình với những tùy chỉnh linh hoạt trong việc định nghĩa các Group, User, Protocol, Schedule,...
TMG còn một ưu điểm nổi bật nữa là có thể đồng bộ với công cụ AD trên DC của Windows Server 2008. Cho phép sử dụng các thông tin người dùng, Group và các chính sách của AD để quản lý một cách dễ dàng, hiệu quả và đồng bộ trên nền tảng của Windows.
Hình 3.6: Rule cấu hình, quản lý trên TMG.
Các chính sách cho phép (Allow) hoặc cấm (Deny) sử dụng các giao thức mạng, cổng luận lý chủ yếu như DNS, POP3, SMTP, HTTP, HTTPS được chỉ định chính xác đến các Group như GiamDoc, IT, SoSinh, TaiChinh. Trong từng Group chứa các Dữ liệu người dùng của bệnh viện: GiamDoc, IT1, IT2, SoSinh1, SoSinh2, TaiChinh1, TaiChinh2,....
Tạo Rule cho phép người dùng trong Group GiamDoc, IT sử dụng Internet không hạn chế, trong mọi thời điểm. Do các người dùng trong hai Group này có trách nhiệm giám sát, quản lý cao nhất trong hệ thống mạng nên cần phải có quyền cao nhất.
Triển khai Web Server ở vùng DMZ, tạo Rule cho các giao thức HTTP, HTTPS để người dùng truy cập.
Hình 3.7: Người dùng GiamDoc có thể sử dụng Internet không bị hạn chế.
Tạo Rule quản lý các Group chứa các Dữ liệu người dùng còn lại của bệnh viện để quản lý giờ truy cập trong thời gian giải lao từ 11 giờ đến 13 giờ. Trong giờ làm việc chỉ cho phép truy cập vào trang Web của bệnh viện để lấy các số liệu cần thiết, không cho phép ra Internet để các người dùng phải làm việc một cách nghiêm túc nhất, có hiệu quả nhất, giảm thiểu các nguy cơ mất an toàn cho hệ thống mạng. Ngoài ra, cấm truy cập các trang Web có nội dung không tốt, có thể làm ảnh hưởng xấu tới hình ảnh của bệnh viện, các trang mà Ban Giám đốc yêu cầu cấm truy cập.
Hình 3.9: Người dùng TaiChinh1 bị cấm truy cập Internet trong giờ làm việc.
Hình 3.11: Các người dùng bị khóa giao thức POST.
Hình 3.13: Cấm sử dụng Yahoo Messenger.
3.6. Cấu hình quản trị trên Mdeamon
Mdeamon có thể quản lý số lượng tài khoản Mail từ vài chục đế vài trăm hoặc vài nghìn. Có tính năng quản trị tốt trên thể sử dụng tốt tính năng thông qua giao công cụ chính hoặc thông qua trình duyệt web http://nhidong1.com:3000.
Hình 3.14: Công cụ quản lý tài khoản người dùng trên Mdeamon 13.
Người dùng Taichinh1 sử dụng công cụ duyệt mail như Microsoft Outlook hoặc trình duyệt Web để có thể sử dụng hộp thư của mình trong việc nhận, gửi thư trong nội bộ cho GiamDoc và tất cả các người dùng khác trong bệnh viện.
Hình 3.16: Giao diện đăng nhập của người dùng sử dụng trình duyệt Web.