4.2.1. Khảo sát mô hình thực tế của công ty giấc mơ Việt AHA.
• Trụ sở chính công ty tại Hà Nội là tòa nhà 5 tầng : - tầng 1: để xe cán bộ công nhân viên.
- tầng 2: phòng công nghệ thông tin. - tầng 3: + phòng hành chính. + phòng quản lý nhân sự. + phòng kinh doanh. + phòng kế toán. - tầng 4: phòng lập trình.
- tầng 5: phòng ban giám đốc và các phó giám đốc.
- Ngoài ra công ty còn một chi nhánh ở thành phố Hồ Chí Minh. • Một số chính sách được đề ra:
- Các máy tính trong cùng 1 tầng có thể truy cập với nhau và ở trong một mạng và không thể truy cập sang các máy tính khác thuộc tầng khác, được phép truy cập mạng internet.
- Các máy tính tầng 3 có thể truy cập nhau nhưng không được truy cập mạng internet.
4.2.2. Giaỉ pháp mạng cho công ty tin học DHA:
• Để đảm bảo hệ thống mạng cho công ty luôn được ổn định, tính bảo mật cao và phù hợp với giá thành thì đề xuất là chúng ta sẽ xây dựng hệ thống mạng dựa trên nền tảng Cisco.
• Do mạng theo mô hình WORKGROUP còn có rất nhiều khuyết điểm như bảo mật kém, quản lý rất khó …..nên giải pháp đề xuất là xây dựng mạng theo mô hình Server- Client. Khi đó mạng của ta sẽ có tính bảo mật cao, quản lý tập trung, tính linh động cao…
• Hệ thống Server thì ta sẽ sử dụng 2 Server: một Server làm DC ( Domain Controler), DNS Server, DHCP Server. Một Server đóng vai trò làm File Server và Web Server. Server này sẽ quản lý toàn bộ dữ liệu của công ty và quản lý trang web nội bộ của công ty.
• Đường kết nối Internet ta có thể dùng kết nối ADSL, cáp quang sử dụng cáp quang thì đường truyền rất ổn định, tốc độ cao nhưng chi phí thì khá đắt nên ta sẽ sử dụng đường kết nối ADSL của FPT hay VNPT. Sử dụng kết nối ADSL thì tốc độ và độ ổn định thì không bằng cáp quang nhưng giá thành rẻ và đáp ứng được nhu cầu của đa số doanh nghiệp vừa và nhỏ hiện nay.
• Do công ty có một chi nhánh ở Thành phố Hồ Chí Minh nên để cho phép người dùng ở một chi nhánh có thể truy cập vào mạng của công ty thì giải pháp là VPN hoặc Leass Line ( khá đắt).
• Do công có nhiều tổ và phòng máy vậy để đảm bảo tính riêng tư giữa các phòng cũng như khả năng bảo mật chúng ta sẽ sử dụng tính năng tạo VLAN trong các dòng Switch của Cisco. Thiết bị Switch được sử dụng là CE500 .
- VLAN là từ viết tắt của Virtual Local Are Network hay còn gọi là mạng riêng ảo .Một VLAN là một nhóm logic các thiết bị mạng được thiết lập dựa trên các yếu tố như chức năng, bộ phận, ứng dụng..của công ty.
- Phân loại VLAN :
+ Port – based VLAN : là cách cấu hình VLAN đơn giản và phổ biến. Mỗi cổng của switch được gắn với một VLAN xác định do vậy bất cứ thiết bị nào gắn vào cổng đó đều thuộc một VLAN nào đó.
+ MAC address based VLAN : cách cấu hình này ít được sử dụng do có nhiều bất tiện trong quản lý .Mỗi địa chỉ MAC được đánh dấu với một VLAN xác định.
- Lợi ích của VLAN:
+ Tiết kiệm băng thông mạng do VLAN chia mạng thành nhiều segment nhỏ trong đó mỗi đoạn là một vùng quảng bá (broast domain) khi đó
+ Tăng khả năng bảo mật do mỗi VLAN là một mạng riêng nên không thể truy cập lẫn nhau trừ khi ta sử dụng chức năng định tuyến giữa các VLAN.
+ Tăng độ linh hoạt của mạng do việc thêm bớt các VLAN rất đơn giản . •Sử dụng giao thức VTP ( VLAN Trunking Protocol) để quản lý hệ thống switch. - Trong các hệ thống mạng lớn có rất nhiều switch kết nối bên trong do đó việc cấu hình và quản lý một số lượng lớn switch, VLAN và VLAN trunk là một công việc tốn rất nhiều thời gian và công sức .Cisco đã triển khai một phương pháp quản lý VLAN qua mạng đó là VLAN trunking protocol – VTP.
- VTP là một giao thức quảng bá cho phép duy trì cấu hình thống nhất trên một miền quản trị. Sử dụng gói trunk lớp 2 để quản lý các VLAN như là thêm bớt hoặc xóa các VLAN hay đặt tên cho các VLAN trong một miền quảng bá nhất định .Đồng thời VTP cho phép tập trung thông tin về sự thay đổi từ tất cả các switch trong hệ thống mạng.
- VTP làm giảm độ phức tạp khi cấu hình và quản trị các VLAN. - VTP hoạt động ở ba chế độ : server, client , Transparent.
+ VTP Server (Chế độ mặc định)
Switch được cấu hình ở chế độ server, thì switch đó có thể khởi tạo, thay đổi và xoá các VLAN. VTP server ghi thông tin cấu hình VLAN trong NVRAM. VTP server gửi các thông điệp VTP qua tất cả các cổng Trunk
+ VTP Client
Một switch được cấu hình ở chế độ VTP Client không thể khởi tạo, sửa chữa hoặc xoá thông tin VLAN. Thêm nữa, Client không thể lưu thông tin VLAN.
Chế độ này có ích cho các switch không đủ bộ nhớ để lưu trữ bảng thông tin VLAN lớn. VTP Client sử lý các thay đổi VLAN giống như server, nó cũng gửi các thông điệp qua các cổng Trunk.
Các switch cấu hình ở chế độ Transparent không tham gia vào VTP. Một VTP Transparent switch không quảng bá cấu hình VLAN của nó và không đồng bộ các cấu hình VLAN của nó dựa trên các quảng cáo nhận được. Chúng chuyển tiếp các quảng cáo VTP nhận được trên các cổng Trunk nhưng bỏ qua các thông tin bên trong thông điệp. Một Transparent switch không thay đổi database của nó, khi các switch nhận các thông tin cập nhật cũng gửi một bản cập nhật chỉ ra sự thay đổi trạng thái VLAN. Trừ khi chuyển tiếp một quảng cáo VTP, VTP bị vô hiệu hoá trên switch được cấu hình ở chế độ Transparent.
• Để có thể kiểm soát các luồng thông tin truy cập trong thống mạng như là cho phép một số máy tính trong mạng không được phép truy cập internet….chúng ta sẽ sử dụng chức năng Access Control List (ACL) trong hệ thống mạng. (adsbygoogle = window.adsbygoogle || []).push({});
- ACL là một danh sách các câu lệnh được áp đặt vào các cổng (interface) của router. Danh sách này chỉ ra cho router biết loại packet nào được chấp nhận (allow) và loại packet nào bị hủy bỏ (deny) . Sự chấp nhận hủy bỏ có thể dựa vào địa chỉ nguồn, địa chỉ đích, hoặc chỉ số port.
Các loại ACL : có hai loại ACL đó là standard ACL và Extended ACL:
Hoạt động của ACL : ACL sẽ được thực hiện theo trình tự của các câu lệnh trong danh sách cấu hình khi tạo Access Control List. Nếu có một điều kiện được so khớp ( matched) trong danh sách thì nó sẽ thực hiện, và các câu lệnh còn lại sẽ không được kiểm tra nữa. Trường hợp tất cả các câu lệnh trong danh sách đều không khớp ( unmatched) thì một câu lệnh mặc đinh “deny any” được thực hiện . Cuối Access Control List mặc định sẽ là lệnh loại bỏ tất cả (deny all). Vì vậy trong Access Control List cần phải có ít nhất một câu lệnh permit.
Khi Packet đi vào một Interface, Router sẽ kiểm tra xem có một ACL trong Inbound Interface hay không, nếu có packet sẽ được kiểm tra đối chiếu với những điều kiện trong danh sách .Nếu Packet đó được cho phép nó sẽ được tiếp tục được kiểm tra trong bảng routing để quyết định chọn Interface để đi đến đích. Tiếp đó router sẽ kiểm tra xem outbound interface có ACL hay không ? .Nếu không thì packet có thể sẽ được
gửi tới mạng đích . Nếu có ACL ở Outbound Interface, nó sẽ kiểm tra đối chiếu với những điều kiện trong danh sách ACL.
4.3. XÂY DỰNG MÔ HÌNH MẠNG CHO CÔNG TY AHA.4.3.1 Mô hình triển khai. 4.3.1 Mô hình triển khai.
Hiện nay, hầu hết các ứng dụng mới đều cần rất nhiều tài nguyên của hệ thống và băng thông mạng, cũng như các yêu cầu về điều khiển, giám sát mạng, vậy làm thế nào để một số doanh nghiệp vừa và nhỏ, trường học với kinh phí và số vốn đầu tư hạn chế, có thể tiếp cận với các công nghệ hiện đại bắt kịp sự phát triển của thế giới. Với các sản phẩm dành cho doanh nghiệp vừa và nhỏ của Cisco, điều này sẽ trở thành hiện thực.
Sau đây tôi sẽ giới thiệu và triển khai mô hình mạng và một số các sản phẩm của Cisco dành cho các doanh nghiệp vừa và nhỏ SMB, những sản phẩm với giá thành cạnh tranh với các tính năng vượt trội về băng thông, khả năng mở rộng , tích hợp sẵn các công nghệ mạng hiện đại, khả năng bảo mật, khả năng hỗ trợ VPN…..
4.3.2 Giới thiệu về các thiết bị được sử dụng trong mô hình trên:
4.3.2.1. Cisco Catalyst Express 500 (CE500):
Đây là sản phẩm giá thành thấp dùng cho kết nối các thiết bị đầu cuối lớp truy cập (access layer). Ngoài ra CE500-24LC còn hỗ trợ 4 cổng PoE, có khả năng cấp nguồn giúp triển khai các AP (access point) một cách dể dàng.
• Cung cấp 24 cổng 10/100 Mbps, với tính năng MDI/ MDIX giúp cho người cài đặt mạng không còn phải lo lắng về các vấn đề cáp thẳng hay chéo nữa.
Có 2 cổng 10/100/1000 BaseT, 2 slot SFP dành cho các kết nối uplink, giúp cho hệ thống mạng đảm bảo băng thông cho các ứng dụng Mutimedia, tải file lớn .. có thể sử dụng modul quang.
• Tốc độ chuyển mạch lên tới 8.8 Gbps, 6,6 Mbps đảm bảo chuyển mạch không trễ (wire speed switching ) . Hỗ trợ lên tới 8000 địa chỉ MAC, 32MB DRAM…
• Có khả năng cung cấp VLAN theo cổng (port base VLAN) lên tới 32 VLAN. Hỗ trợ cho việc quản lý, phân chia các phòng ban bằng VLAN.
• Hỗ trợ 4 cổng PoE, cho phép cấp nguồn qua cáp Ethernet, giúp cho triển khai các thiết bị hỗ trợ PoE như Ipcamera, IP phone, Access Point,…. Đơn giản vì không phải cấp nguồn tại chỗ.
• Hỗ trợ các tính năng bảo mật như Port sercurity, các tính năng QoS cho voice traffic, khả năng phần luồng dữ liệu, hỗ trợ thuật toán Spanning tree giúp tối ưu băng thông mạng.
• Hỗ trợ quản lý và cấu hình dựa trên giao diện đồ họa (thông qua web- base hoặc sử dụng phần mềm Cisco Network Assitant) giúp quản trị trực quan.
4.3.2.2 Cisco 2811 Integrated Service Router:
• Router 2811 là một phần của cisco 2800 intergrated services router series (router tích hợp dịch vụ )
• Một số tính năng của router 2811:
- Hiệu suất Wire – speed cho các dịch vụ đồng thời như bảo mật, thoại, và các dịch vụ cải tiến tối đa tốc độ T1/E1/ xDSL WAN.
- Tăng sự bảo vệ thông qua việc tăng hiệu suất và kết nối modun. - Tăng mật độ thông qua khe cắm giao diện WAN tốc độ cao. - Tăng khe cắm mạng.
- Hỗ trợ hơn 90 modun hiện có hoặc sản xuất mới. - Hỗ trợ AIMs, NMs, WICs, VWICs, VICs.
- Hai cổng tích hợp 10/100 Fast Ethernet. • Bảo mật
- Mã hóa On- board
- Hỗ trợ lên tới 1500 tunnel (đường hầm) VPN với modun AIM-EPII-PLUS. - Hỗ trợ phòng chống virus thông qua Network Administrator Control (NAC). - Chống xâm nhập ( Intruction Prevention) như kiểm soát trạng thái của Cisco IOS Firewall hỗ trợ và nhiều đặc tính bảo mật khác.
• Thoại
- Hỗ trợ cuộc gọi số hoặc analog. - Lựa chọn hỗ trợ voice mail.
- Lựa chọn hỗ trợ Cisco CallManager Express (Cisco CME) cho việc xử lý cuộc gọi cục bộ cho doanh nghiệp. (adsbygoogle = window.adsbygoogle || []).push({});
• Dòng Switch 3560 là một thiết bị mạng hoạt động ở layer hai và layer ba của mô hình OSI, đây là dòng switch có khả năng làm việc ở tầng Data Access được sử dụng phổ biến trong các doanh nghiệp vừa và nhỏ nó bao gồm một số tính năng sau :
- Hỗ trợ hầu hết tốc độ của mạng 10/100/1000
- Hỗ trợ các ứng dụng mới như :IP telephone, Wireless access. Truyền hình hội nghị, …..
- Hỗ trợ các dịch vụ thông minh chất lượng cao (QoS).
- Hỗ trợ tốc độ tối đa, Access Control List, quản lý Multicast, khả năng định tuyến làm việc với yêu cầu.
- Cho phép đơn giản hóa quá trình quản trị với các công cụ của Cisco Switch, router và Wireles Access Point.
- Với Cisco Network Assitant giúp quá trình cấu hình Switch một cách đơn giản, triển khai mạng một cách nhanh chóng.
4.4. Cấu hình các thiết bị trong mô hình mạng:4.4.1. Chia VLAN và gán địa chỉ IP cho các VLAN: 4.4.1. Chia VLAN và gán địa chỉ IP cho các VLAN:
• Chia VLAN và đặt tên cho VLAN. - VLAN 10: tầng 5.
- VLAN 20: tầng 4. - VLAN 30: tầng 3. - VLAN 40: tầng 2. - VLAN 60: Server.
• Đặt địa chỉ IP cho các VLAN. - VLAN 10 : 192.168.10.0/24. - VLAN 20 : 192.168.20.0/24. - VLAN 30 :192.168.30.0/24. - VLAN 40 : 192.168.40.0/24.
- VLAN 60 :192.168.60.0/24.
4.4.2. Cấu hình trên các thiết bị mạng:
4.4.2.1. Cấu hình trên switch core:
- Trên Switch Core ta sẽ cấu hình password để vào chế độ đặc quyền của switch là “cisco” và password để truy cập từ xa vào chế độ cấu hình của switch là “ccna” Switch> Switch>enable Switch#configure ter Switch(config)#hostname SwitchCore SwitchCore(config)#no ip domain-lookup SwitchCore(config)#enable secret cisco SwitchCore(config)#line vty 0 4 SwitchCore(config-line)#password ccna SwitchCore(config-line)#login SwitchCore(config-line)#exit SwitchCore(config)#line console 0 SwitchCore(config-line)#password ccna SwitchCore(config-line)#exit
- Cấu hình giao thức VTP trên switch core. SwitchCore(config)#vtp mode server SwitchCore(config)#vtp domain dha SwitchCore(config)#vtp password ccna - Tạo các Vlan trên switch Core.
SwitchCore(config)#vlan 10
SwitchCore(config-vlan)#name tang5 SwitchCore(config-vlan)#exit
SwitchCore(config)#vlan 20 SwitchCore(config-vlan)#name tang4 SwitchCore(config-vlan)#exit SwitchCore(config)#vlan 30 SwitchCore(config-vlan)#name tang3 SwitchCore(config-vlan)#exit SwitchCore(config)#vlan 40 SwitchCore(config-vlan)#name tang2 SwitchCore(config-vlan)#exit SwitchCore(config)#vlan 60 SwitchCore(config-vlan)#name server SwitchCore(config-vlan)#exit
- Cấu hình DHCP Server trên switch core để cung cấp địa chỉ ip động cho các máy trong các VLAN mỗi Vlan có một dải địa chỉ IP riêng và 5 địa chỉ IP đầu tiên không sử dụng thường dùng cho các máy chủ trong các VLAN
SwitchCore(config)#ip dhcp pool net10
SwitchCore(dhcp-config)#network192.168.10.0 255.255.255.0 SwitchCore(dhcp-config)#default-router 192.168.1.1
SwitchCore(dhcp-config)#dns-server 210.245.0.254 SwitchCore(dhcp-config)#exit
SwitchCore(config)#ip dhcp pool net20
SwitchCore(dhcp-config)#network192.168.20.0 255.255.255.0 SwitchCore(dhcp-config)#default-router 192.168.20.1
SwitchCore(dhcp-config)#dns-server 210.245.0.254 SwitchCore(dhcp-config)#exit
SwitchCore(config)#ip dhcp pool net30
SwitchCore(dhcp-config)#network192.168.30.0 255.255.255.0 SwitchCore(dhcp-config)#default-router 192.168.30.1
SwitchCore(dhcp-config)#dns-server 210.245.0.254 SwitchCore(dhcp-config)#exit
SwitchCore(config)#ip dhcp pool net40 (adsbygoogle = window.adsbygoogle || []).push({});
SwitchCore(dhcp-config)#network192.168.40.0 255.255.255.0 SwitchCore(dhcp-config)#default-router 192.168.40.1
SwitchCore(dhcp-config)#dns-server 210.245.0.254 SwitchCore(dhcp-config)#exit
SwitchCore(config)#ip dhcp pool net60
SwitchCore(dhcp-config)#network192.168.60.0 255.255.255.0 SwitchCore(dhcp-config)#default-router 192.168.60.1 SwitchCore(dhcp-config)#dns-server 210.245.0.254 SwitchCore(dhcp-config)#exit SwitchCore(config)#ip dhcp excluded-address 192.168.10.1 192.168.10.5 SwitchCore(config)#ip dhcp excluded-address 192.168.20.1 192.168.20.5 SwitchCore(config)#ip dhcp excluded-address 192.168.30.1 192.168.30.5 SwitchCore(config)#ip dhcp excluded-address 192.168.40.1 192.168.40.5 SwitchCore(config)#ip dhcp excluded-address 192.168.60.1 192.168.60.5
- Tạo ra các interface Vlan cho các Vlan khi đó các máy tính thuộc vlan nào thì sẽ lấy interface vlan của vlan đó làm default gateway.
SwitchCore(config-if)#ip address 192.168.10.1 255.255.255.0 SwitchCore(config-if)#no shutdown SwitchCore(config-if)#exit SwitchCore(config)#interface vlan 20 SwitchCore(config-if)#ip address 192.168.20.1 255.255.255.0 SwitchCore(config-if)#no shutdown SwitchCore(config-if)#exit SwitchCore(config)#interface vlan 30 SwitchCore(config-if)#ip address 192.168.30.1 255.255.255.0 SwitchCore(config-if)#no shutdown SwitchCore(config-if)#exit SwitchCore(config)#interface vlan 40 SwitchCore(config-if)#ip address 192.168.40.1 255.255.255.0 SwitchCore(config-if)#no shutdown SwitchCore(config-if)#exit SwitchCore(config)#interface vlan 60 SwitchCore(config-if)#ip address 192.168.60.1 255.255.255.0 SwitchCore(config-if)#no shutdown SwitchCore(config-if)#exit
- Kích hoạt chức năng định tuyến giữa các vlan trên switch layer ba trên switch core.
Sau các bước cấu hình như trên thì các máy trong các vlan có thể truy cập các máy thuộc vlan khác .Để các máy trong các vlan có thể truy cập đến router thì ta phải định tuyến các mạng , giao thức định tuyến mà chúng ta sử dụng là “RIP “ và “Static route”, khi đó chúng ta sẽ quảng bá các mạng kết nối trực tiếp vào router .
SwitchCore(config)#router rip SwitchCore(config-router)#version 2 SwitchCore(config-router)#network 192.168.10.0 SwitchCore(config-router)#network 192.168.20.0 SwitchCore(config-router)#network 192.168.30.0 SwitchCore(config-router)#network 192.168.40.0 SwitchCore(config-router)#network 192.168.60.0 SwitchCore(config-router)#network 192.168.70.0 SwitchCore(config-router)#no auto-summary SwitchCore(config-router)#exit.
- Cấu hình trunk trên port fa0/1