BÁO CÁO MÔN HỌC THIẾT KẾ, CÀI ĐẶT VÀ QUẢN TRỊ MẠNG Đề tài Xây dựng, thiết kế hệ thống mạng cho công ty kiểm toán An Việt

Hệ thống mạng được dự toán cho mức độ phát triển 20% trong 5 năm về số lượng người sử dụng, mở rộng chi nhánh, tải trọng mạng… - Bảo mật dữ liệu, chia sẻ dễ dàng tài liệu giữa các máy nộ

TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

VIỆN TOÁN ỨNG DỤNG VÀ TIN HỌC

-o0o -

BÁO CÁO MÔN HỌC THIẾT KẾ, CÀI ĐẶT VÀ QUẢN TRỊ MẠNG

Đề tài: Xây dựng, thiết kế hệ thống mạng cho công ty kiểm toán An Việt

Giảng viên hướng dẫn: PGS NGUYỄN ĐÌNH HÂN

Nhóm sinh viên thực hiện: nhóm 4

Mục lục

I KHẢO SÁT VÀ PHÂN TÍCH HIỆN TRẠNG

Khảo sát yêu cầu khách hàng:

1.Mô hình mạng Campus Enterprise

1.1 Giới thiệu mạng Campus

3.1 Thông tin cần bảo vệ

3.2 Các rủi ro của hệ thống mạng và các cuộc tấn công 3.3 Đề xuất giải pháp

3.3.1 Firewall

3.3.2 Hệ thống phát hiện chống xâm nhập (IDS/IPS)

3.3.3.Phần mềm Anti-Virus (AV)

3.3.4 Mạng riêng ảo (VPN)

3.3.5 Hệ thống giám sát an toàn mạng (SIEM)

4 Thiết kế module quản trị mạng

4.1 Mục tiêu quản trị mạng:

4.2 Module chức năng quản lý mạng

5 Mô phỏng Cisco

6 Thông số về lưu lượng và tải hệ thống

7 Sơ đồ đi dây và các thiết bị

IV Danh mục thiết bị và phần mềm

Danh mục thiết bị

1.1 Thiết bị phần cứng

1.2 Máy tính

1.3 Hệ điều hành cài đặt

1.4 Dịch vụ

2 Dự trù kinh phí

V Triển khai và nghiệm thu

1 Sắp xếp cài đặt cấu hình

2 Kiểm tra việc cấu hình và cài đặt

3 Đánh giá công việc nhóm

Danh mục hình ảnh

Figure 1: Mặt bằng tầng 1 6

Figure 2: Mặt bằng tầng 2 6

Figure 3 : Mặt bằng tầng 3, 4, 5 7

Figure 4 :Sơ đồ logic 15

Figure 5 : Sơ đồ vật lý tầng 1 16

Figure 6 : Sơ đồ vật lý tầng 2 17

Figure 7 : Sơ đô vật lý tầng 3, 4, 5 18

Figure 8 : Nguồn sinh log 33

Figure 9: Ý nghia mức cảnh báo 34

Figure 10 : Mô phỏng Cisco cả tòa nhà 34

Figure 11 : Mô phỏng Cisco các tầng 1, 3, 4, 5 35

Figure 12: Mô phỏng Cisco tầng 2 35

Figure 13: Cài dặt IP 36

Figure 14: Sơ đồ đi dây tầng 1 37

Figure 15: Sơ đồ đi dây tầng 2 38

Figure 16: Sơ đồ đi dây tầng 3, 4, 5 40

Figure 17: Switch layer 2 42

Figure 18: Switch layer 3 43

Figure 19: Router 44

Figure 20: Cáp mạng 45

Figure 21: Firewall 46

Figure 22: PC 47

I KHẢO SÁT VÀ PHÂN TÍCH HIỆN TRẠNG

1 Tổng quan công ty An Việt:

- Kiểm toán báo cáo tài chính theo luật định

- Hướng dẫn lập và quản lý chứng từ kế toán

- Cung cấp cho các khách hàng những giải pháp tốt nhất giúp cải tiến hệ thống kiểm soát nội bộ, nâng cao hiệu quả kinh doanh, tuân thủ các quy định của pháp luật

- Thẩm định giá đa dạng cho khách hàng Đào tạo, hướng dẫn về chế độ kế toán doanh nghiệp hiện hành của Việt Nam và Quốc tế

- Công ty gồm 1 trụ sở chính và 2 chi nhánh

- Trụ sở chính(ở Hà Nội): bao gồm tòa 5 tầng

+ Tầng 1: phòng hành chính, phòng giao dịch và phòng chăm sóc khách hàng + Tầng 2 :đặt datacenter lưu dữ liệu, cung cấp dịch vụ, ứng dụng cho toàn công ty

_ Tầng 2:

Figure 2: Mặt bằng tầng 2 Figure 1 : Mặt bằng tầng 1

_ Tầng 3,4,5:

Figure 3 : Mặt bằng tầng 3, 4, 5

2.2 Cơ sở vật chất

- Các thiết bị chưa có (Server, Router, Switch, Firewall, dây mạng, đầu cáp mạng, PC,…)

- Các phòng mới xây, chưa từng thiết kế hệ thống mạng chỉ có phòng vật lý

- Hệ thống mạng công ty là một hệ thống mạng LAN lớn có xu hướng mở rộng đòi hỏi các công nghệ cao, khả năng thay đổi và cập nhật lớn

3 Yêu cầu khách hàng:

- Hệ thống dễ dàng nâng cấp khi cần thiết Hệ thống mạng được dự toán cho mức độ phát triển 20% trong 5 năm (về số lượng người sử dụng, mở rộng chi nhánh, tải trọng

mạng…)

- Bảo mật dữ liệu, chia sẻ dễ dàng tài liệu giữa các máy nội bộ

- Nhân viên lưu trữ dữ liệu trên File Server, không cho phép nhân viên lưu trên máy local

- Xây dựng chiến lược phục hồi sao lưu khôi phục dữ liệu khi có sự cố xảy ra

- Giá thành hợp lý, không vượt quá 2.000.000.000 VNĐ

- Cung cấp được dịch vụ internet (mạng không dây và mạng có dây): các chi nhánh kết nối mạng về trụ sở để sử dụng ứng dụng, cập nhật dữ liệu, tất cả nhân viên đều có thể kết nối Wifi nội bộ, khách hàng có thể truy cập được wifi public trên toàn công ty, tất cả các máy tính trong toàn công ty có thể trao đổi thông tin với nhau

- Đảm bảo được tính thẩm mỹ của hệ thống bao gồm dây, vị trí lắp đặt của các thiết bị

- Đảm bảo được tính sẵn sàng và dễ dàng trong việc quản trị hệ thống

- Đường truyền hợp lý, băng thông ổn định đáp ứng 1000 truy cập ở mỗi thời điểm

4 Các ứng dụng khách hàng sử dụng:

- Email, phân quyền truy cập dữ liệu

- Fax và internet nội bộ

- Họp và đào tạo trực tuyến qua Zoom

- Chia sẻ dữ liệu nội bộ, kết nối các máy in

- Camera an ninh

- Dùng Zalo để giao tiếp nội bộ

II Đề xuất giải pháp

1 Giải pháp hạ tầng

1.1 Giải pháp hạ tầng máy chủ

+ Giải pháp hạ tầng cho công ty An Việt đối với máy chủ bao gồm:

- Nhóm máy chủ quản lý và giám sát hệ thống

- Nhóm máy chủ cung cấp các dịch vụ hạ tầng cơ bản (xác thực/định danh, chia sẻ file và in ấn, sao lưu dự phòng)

- Nhóm máy chủ chạy các ứng dụng quản lý nội bộ

- Nhóm máy chủ cung cấp các dịch vụ trao đổi với bên ngoài (web, mail, proxy, tường lửa)

+ Phân hoạch:

Vùng máy chủ: Bao gồm các máy chủ phục vụ cho các hoạt động chính Trong một môi trường đầy đủ, vùng này phải bao gồm các môi trường máy chủ khác nhau như Môi trường vận hành (production), Môi trường dự phòng (backup), Môi trường đào tạo / kiểm thử (training / testing) Vùng này được thiết kế bao gồm toàn bộ tất cả các máy chủ của các môi trường trên và được đặt trong cùng một VLAN Vùng Truy cập: thuộc phạm vi hoạt động của các phòng nghiệp vụ, chứa các máy trạm làm việc

+ Giải pháp:

Để đảm bảo sự hoạt động liên tục và an ninh của hệ thống máy chủ chạy các ứng dụng tập trung, cần thiết phải duy trì môi trường đặt máy chủ riêng tách rời khỏi môi trường làm việc và trang bị một số thiết bị hỗ trợ như sau:

- Bộ lưu điện: Cần bổ sung thêm bộ lưu điện 3KVA cho mỗi hệ thống máy chủ

- Máy phát điện: Cần trang bị mới 1 máy phát điện hỗ trợ cho môi trường máy chủ trong trường hợp mất điện cục bộ

- Báo cháy: Cần trang bị hệ thống báo cháy tại chỗ, lắp đặt cho môi trường máy chủ

1.2 Giải pháp hạ tầng mạng cục bộ

Mạng cục bộ của công ty phục vụ các nhu cầu trao đổi, chia sẻ tài nguyên cục bộ giữa các phòng và là hạ tầng chạy các ứng dụng nghiệp vụ cho toàn bộ các đơn vị nhà trường Về cơ bản vị trí các phòng ban vẫn sẽ có sự thay đổi và mở rộng khối nhà Do vậy mạng cần đạt được các yêu cầu sau khi thiết kế:

- Có hiệu suất cao trên đoạn kết nối lõi Tiêu chuẩn đề xuất là Gigabit Ethernet với cáp CAT6 , các switch thuộc phân đoạn này cần hỗ trợ cổng 1000Base-T Các phân đoạn khác có thể duy trì chuẩn Fast Ethernet với sự ổn định và chi phí tiết kiệm

- Cho phép chia mạng thành các phân đoạn mạng riêng biệt để đảm bảo an ninh và giảm xung đột dữ liệu, tăng hiệu suất mạng Các switch cần hỗ trợ VLAN để tạo các mạng cục bộ ảo giữa các nhóm người dùng phòng ban khác nhau Có khả năng mở rộng các nút mạng mà không ảnh hưởng tới kiến trúc thiết kế

1.3 Phân chia VLAN và phân hoạch IP

-VLAN1: Mạng ảo cho 50 máy trong 2 phòng làm việc ở tầng 3

-VLAN2: Mạng ảo cho 50 máy trong 2 phòng làm việc ở tầng 4

-VLAN3: Mạng ảo cho 50 máy trong 2 phòng làm việc ở tầng 5

-VLAN4: Mạng ảo cho tầng 1 gồm tổng cộng 12 máy

-VLAN5: Mạng ảo cho ban quản lý gồm tổng cộng 12 máy

*Bảng phân hoạch IP:

Network Address

Mask Usable Range

- Vận hành ổn định với hiệu năng cao, đảm bảo hệ thống hoạt động liên tục, ổn định 24/7

- Tiết kiệm thời gian, hạn chế rủi ro đối với các sự cố về hệ thống mạng, giảm thiểu thời gian gián đoạn công việc và duy trì hiệu suất làm việc

- Thông qua hoạt động dự báo và ngăn ngừa sự cố, công ty hoàn toàn yên tâm để tập trung vào các hoạt động nghiệp vụ chính, đồng thời chủ động trong việc lên kế hoạch sản xuất – kinh doanh

- Giảm thiểu chi phí: doanh nghiệp sẽ tiết kiệm được nhiều chi phí hơn nếu chủ động áp dụng các giải pháp phòng ngừa sự cố cho hệ thống mạng, hệ thống dữ liệu thông tin… của doanh nghiệp, thay vì phải trả tiền để hồi phục hệ thống mạng mỗi khi gặp sự cố 2.1 Hệ điều hành

Chúng tôi đề xuất sử dụng hệ điều hành Windows 10 Professional cho các máy tính của nhân viên.Hệ điều hành Windows 10 Pro mang đến giải pháp tuyệt vời dành cho các doanh nghiệp có quy mô nhỏ, hỗ trợ nhiều tính năng mới so với hệ điều hành cũ Bên cạnh đó cũng cần nhắc đến khả năng dễ dàng chuyển đổi cho tới hệ thống bảo mật an toàn được tăng cường

rõ rệt từ nhà sản xuất hơn hẳn những phiên bản win trước đó Một điểm mạnh ở Windows 10 Pro chính là khả năng chia sẻ dữ liệu vượt trội, nó ghi điểm ở: quản lý Group Policy, Business Store lại có và đặc quyền được sử dụng đến với Microsoft’s Azure Active Directory Tính năng này cho phép các nhân viên trong một đơn vị có thể dễ dàng truy cập hệ thống mở dòng lưu trữ đám mây chỉ với một cần đăng nhập

Các máy server sẽ sử dụng hệ điều hành Ubuntu Server 20.04 là hệ điều hành mã

nguồn mở nên không cần chi phí cao cho việc cấp giấy phép như các hệ điều hành khác, nhóm máy chủ Linux luôn được đảm bảo bảo mật hơn Window và tốc độ và khả năng xử lý rất cao 2.2 Dịch vụ DHCP

Chúng tôi lựa chọn sử dụng dịch vụ DHCP để gán địa chỉ IP và cấp phát dữ liệu cấu hình TCP/IP cho các máy tính nhân viên một cách tự động Ưu điểm của DHCP là:

- Quản lý TCP/IP tập trung: Máy chủ DHCP quản lý cả địa chỉ IP và các tham số trên cùng một màn hình quản lý Như vậy sẽ thuận tiện cho việc theo dõi các thông số, quản

lý các máy nhân viên

- Giảm gánh nặng quản lý hệ thống: IP được đánh tự động nhờ máy chủ DHCP giúp quản lý IP khoa học do không có sự nhầm lẫn và sửa đổi IP

- Giúp hệ thống mạng luôn được ổn định: Các địa chỉ IP luôn là duy nhất, không trùng lặp IP sẽ giảm bớt sự cố, giúp hệ thống mạng luôn hoạt động ổn định

- Khả năng mở rộng linh hoạt: Người quản trị dễ dàng thay đổi cấu hình, thông số kỹ thuật của các địa chỉ IP giúp việc nâng cấp cơ sở hạ tầng mạng thuận tiện, dễ dàng Sau khi cài đặt DHCP, người quản trị tạo ra các DHCP Scope dễ dàng cho việc phân hoạch IP cho từng phòng ban

Dùng DNS server dễ dàng cho quá trình cập nhật và quản lý các máy tính trong một domain, mọi thay đổi không cần cập nhật lại trên tất cả các máy tính, các client muốn truy xuất với client khác chỉ cần thông qua DNS server

Giải pháp cho Công ty An Việt là dùng Active Directory, DNS, DHCP trên server với hệ điều hành Ubuntu Server 20.04 để phân giải tên miền, cấp phát IP động Từ đó tiết kiệm được chi phí giúp cho việc quản lý các máy tính dễ dàng, tận dụng tối đa tài nguyên và nhân lực 2.4 Dịch vụ Wireless

Sử dụng bộ phát wifi (access point)với 3 SSID hỗ trợ VLAN 802.1q:

- SSID- Guest: sử dụng cho khách hàng và không thiết lập khóa key, được cô lập với mạng LAN và có thể truy cập internet

- SSID- Member: sử dụng cho các thành viên của công ty An Việt và có thiết lập bảo mật khóa key, có quyền truy cập vào LAN nội bộ tùy chọn cho phép

- SSID- Manager: sử dụng cho giám đốc và ban quản trị của công ty An Việt, toàn quyền truy cập

Để đảm bảo việc bảo mật Wireless, đề xuất sản phẩm có tích hợp chuẩn bảo mật WEP(mã hóa 64 bit hoặc 128 bit), WPA,WPA2, chứng thực bằng 802.1X Công ty có thể bảo mật dữ liệu bên trong mạng LAN nhưng vẫn đảm bảo được máy tính sử dụng Wireless ra được Internet, đồng thời ngăn các máy khách truy cập lẫn nhau nếu muốn

2.5 Dịch vụ Mail Server

Mail Server hay Email Server là hệ thống máy chủ được cấu hình riêng theo tên miền của doanh nghiệp dùng để gửi và nhận thư điện tử.Bên cạnh tính năng lưu trữ và sắp xếp các Email trên Internet, Mail Server là một giao thức chuyên nghiệp để giao tiếp thư tín, quản lý và

truyền thông nội bộ, giao dịch thương mại… Không chỉ thao tác với tốc độ nhanh chóng và ổn định, Mail Server còn đảm bảo tính an toàn với khả năng khôi phục dữ liệu cao

Bởi tình trạng spam mail, email gửi kèm phần mềm độc hại khiến Mail Server được đánh giá cao

● Email với tên miền riêng của riêng công ty thể hiện sự chuyên nghiệp trong hoạt động

● Tốc độ, bảo mật cao, kèm theo nhiều tiện ích

● Kiểm tra mail mọi nơi: tại văn phòng (thông qua phần mềm duyệt mail) và tại bất

kỳ nơi đâu (khi đi công tác), trên tất cả các loại trình duyệt mail (Outlook…)

● Có thể tùy biến các thông số và chức năng cho từng User

● Ngăn chặn spam và virus cực kỳ hiệu quả

● Có không gian lưu trữ riêng biệt, bất khả xâm phạm

● Tính bảo mật cao nhờ trang bị giao thức SSL

● Sử dụng IP riêng nên sẽ chống được việc vô cớ bị vào blacklist

● Hỗ trợ tính năng Forwarder Email để cài đặt Email Offline

Chúng tôi đề xuất dùng dịch vụ Mail Server của Vinahost gói cước EServer-Six với giá cả hợp lý cùng đầy đủ tiện ích cần thiết

III Thiết kế hệ thống mạng

1.Mô hình mạng Campus Enterprise

Hiện nay việc thiết kế một hệ thống mạng tốt, an toàn với lợi ích kinh tế cao đang rất được quan tâm Một vấn đề đặt ra có rất nhiều giải pháp về công nghệ, trong một giải pháp lại

có rất nhiều yếu tố cấu thành, trong mỗi yếu tố có nhiều cách lựa chọn Đề xuất giải pháp thiết

kế mạng cho công ty An Việt sử dụng mô hình Campus Enterprise là một trong những giải pháp tối ưu hiện nay

1.1 Giới thiệu mạng Campus

Liên mạng (internetworking) là sự truyền thông giữa một hay nhiều mạng, gồm có nhiều máy tính kết nối lại với nhau Liên mạng máy tính ngày càng lớn mạnh để hỗ trợ cho các nhu cầu truyền thông khác nhau của hệ thống đầu cuối Một liên mạng đòi hỏi nhiều giao thức

và tính năng để cho phép sự mở rộng Các liên mạng lớn gồm có 3 thành phần như sau:

- Mạng Campus: gồm có các user kết nối cục bộ trong một hay một nhóm các tòa nhà

- Mạng WAN: kết nối các mạng Campus lại với nhau

- Kết nối từ xa: liên kết các nhánh và các user đơn lẻ tới mạng Campus hay Internet Một mạng Campus gồm có nhiều LAN trong một hoặc nhiều tòa nhà, tất cả các kết nối nằm trong cùng một khu vực địa lý Thông thường các mạng Campus gồm có Ethernet,

Wireless LAN, Fast Ethernet, Fast EtherChannel, Gigabit Ethernet và FDDI Sau đây là các

mô hình mạng được dùng để phân loại và thiết kế mạng Campus:

- Mô hình mạng chia sẻ (Shared Network Model)

- Mô hình phân đoạn LAN (LAN Segmentation Model)

- Mô hình lưu lượng mạng (Network Traffic Model)

- Mô hình mạng dự đoán trước (Predictable Network Model)

1.2 Sơ đồ logic

Figure 4 :Sơ đồ logic

- Access layer (tầng truy cập): bao gồm các switch, kết nối LAN, mỗi tầng đều có thiết

bị chuyển mạch (switch access), có thể chia vlan tương ứng với các phòng tùy thuộc vào chức năng, quyền hạn của từng phòng

- Switch layer 3 đặt ở tầng 2 Các thiết bị Server được nối với Firewall Tầng này đảm bảo phân phối dữ liệu gọi là Distribution Layer

- Các thiết bị tầng Distribution sẽ được triển khai định tuyến lớp 3 với các thiết bị

chuyển mạch lõi (Core Switch)

Theo sơ đồ thiết kế trên, mạng được thiết kế với tính năng dự phòng 1:1 đảm bảo được tính ổn định và đề phòng các sự cố, công ty sẽ hoạt động liên tục không bị gián đoạn, an toàn cho các hoạt động mạng, truy cập dữ liệu của toàn bộ công ty

- Mô hình thiết kế với firewall và các hệ thống chống xâm nhập đảm bảo yêu cầu của công ty An Việt Firewall như trên mô hình có chức năng cho public server đảm bảo ngăn chặn các tấn công từ bên ngoài vào server và mạng LAN nội bộ

- Mô hình mạng đưa ra giải pháp với thiết kế các switch chuyển mạch tốc độ cao hạn chế xung đột dữ liệu truyền tải và tránh việc switch quá tải.Các switch có khả năng tạo các VLAN phân đoạn mạng thành các phần nhỏ hơn cho từng phòng ban

Tầng 3,4,5 gồm có

+ 6 switch layer 2: 6 loại 16 cổng

+ 1 máy in

+ 1 máy chiếu

+ Số lượng pc: 2 máy phòng quản lý, 50 máy phòng làm việc, 1 máy phòng họp

Figure 7 : Sơ đô vật lý tầng 3, 4, 5

1.4 Mô hình 3 lớp

- Mạng Campus Enterprise có băng thông rộng, được xây dựng trên nền tảng công nghệ truyền dẫn tốc độ cao Ethernet/FastEthernet/Gigabit Ethernet và hệ thống cáp quang Như vậy việc xây dựng mô hình Campus Enterprise sẽ đảm bảo được các yêu cầu của công ty An Việt Việc khai thác các ứng dụng, truy cập cơ sở dữ liệu của công ty trở nên hiệu quả, chạy các ứng dụng, cập nhật dữ liệu và mở rộng trở nên hiệu quả

- Mạng đảm bảo an toàn cho toàn bộ các thiết bị nội bộ, thông tin dữ liệu của công ty trước các truy nhập trái phép ở mạng ngoài có mục đích phá hoại hệ thống Mô hình thiết kế với firewall và các hệ thống chống xâm nhập đảm bảo yêu cầu của công ty An Việt Firewall như trên mô hình có chức năng cho public server đảm bảo ngăn chặn các tấn công từ bên ngoài vào server và mạng LAN nội bộ

- Mô hình mạng đưa ra giải pháp với thiết kế các switch chuyển mạch tốc độ cao hạn chế xung đột dữ liệu truyền tải và tránh việc switch quá tải gây tràn bảng CAM Các switch có khả năng tạo các VLAN phân đoạn mạng thành các phần nhỏ hơn cho từng phòng ban Mỗi port của switch là một miền đụng độ riêng lẻ và không truyền đụng độ qua port khác, tuy nhiên các frame broadcast và multicast vẫn tràn qua tất cả các port của switch Để phân chia miền broadcast ta sẽ dùng VLAN bên trong mạng chuyển mạch Một switch sẽ chia các port một cách logic thành các đoạn riêng biệt VLAN là một nhóm các port vẫn chia sẻ môi trường truyền của đoạn LAN Như vậy, ngay trong mạng LAN tại toà nhà điều hành ta có thể thực hiện phân chia thành các phần mạng nhỏ hơn nữa cho các phòng ban để dễ dàng quản lý và giám sát mạng

Xây dựng hệ thống mạng theo mô hình Campus Enterprise với 3 lớp: access layer, distribution layer, core layer:

- Access Layer (lớp truy cập) xuất hiện ở người dùng đầu cuối được kết nối vào mạng Các thiết bị trong lớp này thường được gọi là các switch truy cập, và có các đặc điểm sau:

+ Chi phí trên mỗi port của switch thấp

+ Mật độ port cao

+ Mở rộng các uplink đến các lớp cao hơn

+ Chức năng truy cập của người dùng như là thành viên VLAN, lọc lưu lượng và giao thức, và QoS

+ Tính co giãn thông qua nhiều uplink

- Distribution Layer (lớp phân phối) cung cấp kết nối bên trong giữa lớp truy cập và lớp nhân của mạng Campus Thiết bị lớp này được gọi là các switch phân phát Đây cũng là nơi quan trọng trong việc định tuyến Tại đây chúng ta có thể dùng các giao thức như OPSF,

EIGRP, STP để điều khiển luồng dữ liệu trong khối Access-Distribution với phần còn lại của mạng Lớp có các đặc điểm như sau:

+ Thông lượng lớp ba cao đối với việc xử lý gói

+ Chức năng bảo mật và kết nối dựa trên chính sách qua danh sách truy cập hoặc lọc gói

+ Tính năng QoS

+ Tính co dãn và các liên kết tốc độ cao đến lớp Core và lớp Access

- Core Layer (lớp nhân) của mạng Campus cung cấp các kết nối của tất cả các thiết bị lớp phân phối Lớp nhân thường xuất hiện ở phần xương sống (backbone) của mạng, và phải

có khả năng chuyển mạch lưu lượng một cách hiệu quả Các thiết bị lớp nhân thường được gọi

là các backbone switch, và có những thuộc tính sau:

+ Thông lượng ở lớp 2 hoặc lớp 3 rất cao

+ Chi phí cao + Có khả năng dự phòng và tính co dãn cao

+ Chức năng QoS

Để tiết kiệm chi phí và giúp cho việc quản trị dễ hơn chúng tôi đề xuất tích hợp 2 lớp Core và Distribution thành lớp Core/Distribution, từ 2 Core và 2 Switch Distribution giảm xuống còn 2 Core đảm nhiệm cả 2 chức năng của lớp Core và Distribution

1.5 Ưu điểm của mô hình Campus Enterprise

- Tính sẵn sàng và khả năng mở rộng cao

- Giảm sự đụng độ dữ liệu khi số lượng thiết bị và lưu lượng mạng tăng cao

- Tăng hiệu năng mạng

- Cô lập sự cố trong mạng dễ dàng và nhanh chóng hơn

2 Tính sẵn sàng

2.1 Load balancing

_ Kỹ thuật load balancing(cân bằng tải) có khả năng chia tải cho các web, mail server đảm bảo các server hoạt động hiệu quả, đáp ứng nhu cầu truy cập của lượng lớn khách hàng Load balancing là cơ chế rất quan trọng trong việc mở rộng quy mô của mạng máy tính Khi lắp đặt một máy chủ mới vào hệ thống, cân bằng tải sẽ tự động cắt giảm khối lượng công việc

từ các máy chủ cũ và chuyển sang máy chủ mới

_ Các lợi ích của Load balancing:

+ Tối đa hoá Uptime:

Cân Bằng Tải giúp dàn trải lưu lượng truy cập và truy xuất giữa hai hoặc nhiều máy chủ Trong trường hợp lỗi sự cố xảy ra tại một điểm máy chủ, Cân Bằng Tải sẽ phát hiện vấn đề và di chuyển lưu lượng truy cập đến các máy chủ online còn lại, dịch

vụ cho người dùng sẽ không bị gián đoạn

+ Giúp Datacenter linh hoạt trong mở rộng:

Khi khách hàng có nhu cầu mở rộng hệ thống Datacenter, Cân Bằng Tải sẽ tự động điều phối giữa các máy chủ cũ và mới để xử lý các yêu cầu dịch vụ mà không làm gián đoạn quá trình hoạt động, xử lý

+ Tăng tính bảo mật cho Datacenter:

Thông thường khi người dùng gửi yêu cầu dịch vụ lên hệ thống sẽ được Cân Bằng Tải tiếp nhận rồi mới phân chia cho các máy chủ bên trong xử lý Quá trình phản hồi yêu cầu cũng thông qua thành phần Cân Bằng Tải Bằng cách đó có thể ngăn chặn người dùng giao tiếp trực tiếp với các máy chủ, ẩn đi các thông tin và cấu trúc mạng nội

bộ, ngăn ngừa luôn các cuộc tấn công trên mạng hoặc truy cập trái phép

Đề xuất giải pháp cho công ty An Việt là sử dụng Load balancing Long Vân Datacenter của Long Vân cung cấp cơ chế Cân Bằng Tải dự phòng được tích hợp đầy đủ thông qua giao diện quản lý trên website hoặc API Đó là cấu trúc mạng được điều khiển bằng phần mềm, tận dụng khả năng mở rộng và tính linh hoạt của môi trường điện toán đám mây Ưu điểm tiếp theo Cân Bằng Tải là cơ chế tự xử lý, sửa chữa, giúp datacenter có tính sẵn sàng cao và cho phép khách hàng chủ động quản lý lưu lượng truy cập Khách hàng cũng có thể xây dựng khả năng chịu lỗi (fault tolerance) vào hạ tầng mạng để việc truy cập được phân bổ đồng đều trên các nguồn tài nguyên và thậm chí trên các datacenter khi nhu cầu tăng lên

2.2 Ảo hóa máy chủ

Xây dựng một hệ thống máy chủ (server) và trung tâm dữ liệu (datacenter) chuyên nghiệp thông qua ảo hóa trên nền tảng đám mây là xu hướng công nghệ thông tin hiện nay bằng cách ảo hóa hệ thống nền tảng công nghệ thành nền tảng điện toán đám mây với cách quản lý linh động, tốc độ nhanh giải quyết các vấn đề quan trọng của hạ tầng công nghệ hiện đại đáp ứng các yêu cầu của công ty An Việt đặt ra

Ưu điểm: Ảo hóa là cách hiệu quả nhất để giảm chi phí CNTT trong khi hiệu quả được tăng nhanh, không chỉ cho các doanh nghiệp lớn mà còn đối với các doanh nghiệp vừa và nhỏ

Ảo hóa cho phép các công ty:

- Chạy nhiều hệ điều hành và các ứng dụng trên một máy tính

- Củng cố phần cứng để năng suất được cao hơn từ các máy chủ có cấu hình thấp hơn

- Tiết kiệm 50% trên tổng chi phí CNTT

- Tăng tốc độ và đơn giản hóa quản lý CNTT, bảo trì và triển khai các ứng dụng mới

Đề xuất giải pháp ảo hóa cho công ty An Việt với VMWare Vsphere:

- Nền tảng vsphere: nền tảng tốt nhất cho ứng dụng của bạn, đám mây và doanh nghiệp của bạn

- Vsphere giúp bạn đạt được hiệu quả tốt nhất, tính khả dụng và hiệu quả từ cơ sở hạ tầng và ứng dụng của mình Đó là nền tảng lý tưởng cho bất kỳ môi trường đám mây

- Vsphere với Quản lý Hoạt động sẽ đưa ảo hóa lên cấp độ tiếp theo với quản lý hoạt động thông minh Nó cung cấp cho bạn thông tin chi tiết tốt hơn, dẫn đến hiệu suất được cải thiện và sẵn có

- Tính năng:

+ Đơn giản hóa hoạt động của trung tâm dữ liệu, tăng hiệu quả kinh doanh và giảm chi phí CapEx và OpEx thông qua ảo hóa

+ Quản lý hoạt động thông minh và tự động hóa: Thêm hoạt động quản lý và tự động hóa thông minh vào trung tâm dữ liệu thông qua vSphere với Operations

Management Theo dõi và quản lý sức khỏe, tại chỗ tắc nghẽn hiệu suất và thiếu năng lực và cân bằng khối lượng công việc trước khi nhu cầu tăng đột ngột để cho phép hiệu suất ứng dụng, trong khi tận dụng các thuật toán tự học và phân tích tiên đoán thích ứng với môi trường của bạn

+ Ảo hóa Bigdata: Đơn giản hóa việc quản lý cơ sở hạ tầng dữ liệu lớn của bạn đồng thời mang lại hiệu quả về chi phí VMware là nền tảng tốt nhất cho dữ liệu lớn cũng như đối với các ứng dụng truyền thống

+ Di chuyển Legacy Unix sang Virtual Linux: Di chuyển cơ sở hạ tầng IT UNIX sang Linux ảo Có được hiệu suất cao, tính sẵn sàng nâng cao, khả năng VM lớn hơn và khả năng khôi phục thảm họa

+ Hiệu suất và tính khả dụng của ứng dụng nâng cao: Nâng cao hiệu quả ứng dụng và tính sẵn có để tăng năng suất kinh doanh của bạn Kiểm soát việc quản lý tài nguyên; tải khối lượng công việc cân bằng và ưu tiên truy cập vào các nguồn lực để đảm bảo hiệu suất hàng đầu cho các ứng dụng quan trọng nhất của bạn Cung cấp nhanh chóng và triển khai khối lượng công việc trong môi trường ảo của công ty

+ Hỗ trợ Văn phòng Từ xa và Văn phòng Chi nhánh: Quản lý văn phòng và văn phòng chi nhánh từ xa của bạn với ít hoặc không có nhân viên CNTT tại địa phương Cho phép cung cấp nhanh chóng các máy chủ thông qua ảo hóa, giảm thiểu trôi dạt cấu hình máy chủ và tăng cường khả năng hiển thị tuân thủ quy định, trên nhiều trang web 2.3 Khả năng recovery

Symantec System Recovery 2013 R2 hỗ trợ và phục hồi dữ liệu máy tính bằng giải pháp đơn giản và hiệu quả nhất, giúp cho doanh nghiệp của bạn phục hồi dữ liệu sau quá trình bị vô hiệu hóa hoặc bị chờ nhờ những thao tác đơn giản và tiết kiệm về thời gian cũng như chi phí Cùng với đó, Symantec System Recovery 2013 R2 mang đến tính năng vượt trội bằng công nghệ Restore Anyware, với công nghệ này, cho phép quản trị viên công nghệ thông tin có thể nhanh chóng khôi phục lại chính xác những gì họ cần dù ở trong khoảng thời gian nào hay bất cứ nơi đâu với tiêu chuẩn cho phép (bao gồm toàn bộ máy vật lý, máy

ảo dù có sự khác nhau về phần cứng) Hơn thế nữa, điểm vượt trội và cũng là lợi thế cạnh tranh của Symantec System so với các phần mềm khác là phần mềm này đưa ra và cung cấp nhiều nền tảng Physical-to-Virtual (P2V), Virtual-to-Virtual (V2V), và Virtual-to-Physical (V2P), làm cho Symantec System trở nên hoàn hảo hơn bao giờ hết trong cả hệ thống máy chủ thực hay ảo

Lợi ích của phần mềm System Recovery không thể không phủ nhận Phần mềm cho phép nhiều đối tượng khách hàng đang sử dụng được hỗ trợ cập nhật cho Windows, Linux, Vmware, Microsoft Hyper-V, Citrix XenServer Với System Recovery có thể:

- Giảm thiểu thời gian chờ, tránh thiệt hại doanh thu và hiệu quả làm việc trong trường hợp hệ thống bị gián đọan

- Đáp ứng được nhiều mục tiêu, cùng cách xử lý đơn giản trong thời gian tối ưu với 4 bước dễ dàng

- Tiết kiệm thời gian và chi phí phần cứng

- Chủ động thực hiện làm mới phần cứng và chuyển đổi hệ thống

- Đơn giản hoá việc quản trị IT bằng cách quản lý tập trung sao lưu và phục hồi cho nhiều máy chủ trên toàn bộ tổ chức của bạn với System Recovery Management Solution hoặc System Recovery Monitor Solution

Các tính năng chính: Giải pháp sao lưu và phục hồi cho máy chủ, desktop và laptop giúp cho các doanh nghiệp phục hồi trong vài phút với các bước đơn giản

- Phục hồi nhanh, tự động và linh họat:

+ Khôi phục nhanh toàn bộ hệ thống máy chủ (máy chủ vật lý và máy chủ ảo) từ

+ Chức năng tự động sao chép các ổ đĩa bên ngoài, trên mạng hoặc máy chủ FTP

- Khả năng ảo hoá phù hợp với công nghệ hiện tại

+ Tích hợp với VMware Application Programming Interfaces (APIs) của Data Protection (VADP) và Microsoft Volume Shadow Copy Service (VSS)

+ Thúc đẩy sức mạnh của ảo hoá cho liền mạch và tự động P2V qua định hướng giao diện dễ dàng

+ Tự động cập nhật Vmware virtual disk files (VMDK) chuyển đổi từ các điểm phục hồi trực tiếp đến VMware ESX hosts

+ Đơn giản hóa việc kiểm tra và di chuyển, cài đặt ứng dụng, thay đổi cấu hình, hoặc cập nhật trình điều khiển trong một môi trường ảo trước khi áp dụng thay đổi cho

hệ thống sản xuất

+ Bảo vệ tất cả các máy ảo trên một hệ thống Hypervisor là sự an toàn tuyệt đối với giấy phép duy nhất của SymantecTM System Recovery Virtual Edition

- Tích hợp mã hóa AES để đảm bảo sự an toàn tuyệt đối của dữ liệu kinh doanh quan trọng

Dễ dàng chuyển đổi lịch trình của các điểm phục hồi vật lý (sao lưu) đến hệ thống ảo (P2V)

Lịch trình khôi phục tự động chạy, bao gồm cả việc kích hoạt sao lưu dựa trên các thông

số quản trị quy định cụ thể mà không gây ảnh đến người sử dụng

Cho phép tạo và giữ một bản sao lưu của một hệ thống ở trạng thái tiền khởi động, mà không cần phải cài đặt bất kỳ phần mềm trên hệ thống với công nghệ hình cold imaging

+ Khả năng sao lưu các tập tin và thư mục chọn lọc theo một trình tự riêng biệt và

vô cùng hiệu quả

+ Lưu giữ và hồi phục hầu hết tất cả các ổ, bao gồm trực tiếp lưu trữ; USB, ổ FireWire và mạng lưới lưu trữ; Network Attached Storage (NAS) và Storage Attached Network (SAN) và CD, DVD, Blu-ray

+ Xây dựng trong phần mềm mã hoá AES các bản sao lưu đảm bảo sự an toàn của

dữ liệu quan trọng

- Lưu trữ hiệu quả

Nhanh chóng sao lưu và giảm thiểu sao lưu dữ liệu với tích hợp SmartSector và công nghệ nén Công nghệ SmartSector tăng tốc quá trình sao lưu bằng cách chỉ sao chép các phần cứng có chứa dữ liệu và công nghệ nén làm giảm kích thước của tập tin sao lưu bằng cách lưu trữ cùng một lượng dữ liệu với dung lựơng ít hơn

- Linh hoạt và chi tiết trong báo cáo:

+ Đơn giản hoá việc theo dõi báo cáo

+ Cho phép người dùng dễ dàng theo dõi lịch sử, hiện tại và lịch trình sao lưu phục hồi trên tất cả các vị trí

+ Xuất báo cáo ra csv, html, Microsoft Excel, PDF, hoặc xml để linh họat và dễ dàng trong phân phối

3 Tính bảo mật

3.1 Thông tin cần bảo vệ

Trong công ty có rất nhiều thông tin mật bao gồm các dữ liệu nhân viên, kế hoạch, phương thức hoạt động, mục tiêu tương lai, tiền tệ, đây là những thông tin không thể bị lộ ra ngoài Nếu bị lộ sẽ giúp các đối thủ cạnh tranh phân tích được hoạt động, bất lợi trong cạnh tranh

có thể là sụp đổ, ngoài ra các hacker có thể dựa vào để tống tiền và một số nguy cơ rất nghiêm trọng khác Việc bảo vệ dữ liệu, tài nguyên của công ty là cấp thiết và ưu tiên số một trong công việc quản lý và giám sát hệ thống mạng, hệ thống dữ liệu của doanh nghiệp

3.2 Các rủi ro của hệ thống mạng và các cuộc tấn công

Rủi ro của hệ thống mạng: là các lỗ hổng bảo mật bao gồm những điểm yếu trên hệ thống hoặc ẩn chứa trong một dịch vụ hệ thống đó cung cấp, dựa vào đó tin tặc có thể xâm nhập trái phép để thực hiện các hành động phá hoại hoặc chiếm đoạt tài nguyên bất hợp pháp

Có nhiều nguyên nhân gây ra lỗ hổng bảo mật:

- Thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp pháp vào

hệ thống

- Các lỗ hổng cũng có thể còn tồn tại ngay chính tại hệ điều hành như trong Windows

10, LINUX, hệ điều hành các thiết bị router, modem hoặc trong các ứng dụng thường xuyên sử dụng như word processing, các hệ Databases

- Do lỗi bản thân hệ thống, do người quản trị yếu kém không hiểu sâu sắc các dịch vụ cung cấp, do người sử dụng có ý thức bảo mật kém Điểm yếu ở yếu tố con người cũng được xem là lỗ hổng bảo mật

Các loại lỗ hổng bảo mật:

– Lỗ hổng loại C: cho phép thực hiện tấn công kiểu DoS (Denial of Services – từ chối dịch vụ) làm ảnh hướng tới chất lượng dịch vụ, ngưng trệ, gián đoạn hệ thống, nhưng không phá hỏng dữ liệu hoặc đạt được quyền truy cập hệ thống

– Lỗ hổng loại B: lỗ hổng cho phép người sử dụng có thêm các quyền truy cập hệ thống

mà không cần kiểm tra tính hợp lệ dẫn đến lộ, lọt thông tin

– Lỗ hổng loại A: cho phép người ngoài hệ thống có thể truy cập bất hợp pháp vào hệ thống, có thể phá hủy toàn bộ hệ thống

3.3 Đề xuất giải pháp

3.3.1 Firewall

Firewall là rào chắn mà một số cá nhân, tổ chức, doanh nghiệp, cơ quan nhà nước lập ra nhằm ngăn chặn các truy cập thông tin không mong muốn từ ngoài vào hệ thống mạng nội bộ cũng như ngăn chặn các thông tin bảo mật nằm trong mạng nội bộ xuất ra ngoài internet mà không được cho phép Firewall có thể là thiết bị phần cứng hoặc phần mềm Nhiệm vụ cơ bản của firewall là kiểm soát giao thông dữ liệu giữa hai vùng có độ tin cậy khác nhau Các vùng tin cậy điển hình bao gồm: mạng Internet (vùng không đáng tin cậy) và mạng nội bộ (một vùng

có độ tin cậy cao) Mục đích cuối cùng là cung cấp kết nối có kiểm soát giữa các vùng với độ tin cậy khác nhau thông qua việc áp dụng một chính sách an ninh và mô hình kết nối dựa trên nguyên tắc quyền tối thiểu

Có hai loại tường lửa thông dụng là tường lửa bảo vệ để bảo vệ an ninh cho máy tính cá nhân hay mạng cục bộ, tránh sự xâm nhập, tấn công từ bên ngoài và tường lửa ngăn chặn thường do các nhà cung cấp dịch vụ Internet thiết lập và có nhiệm vụ ngăn chặn không cho máy tính truy cập một số trang web hay máy chủ nhất định, thường dùng với mục đích kiểm duyệt Internet

Đề xuất giải pháp Firewall cho công ty An Việt sử dụng firewall CISCO ASA5520-BUN-K9

là giải pháp hợp lý, với các ưu điểm về an ninh:

- Bảo vệ mạng nội bộ với các mạng bên ngoài và internet

- Lọc nội dung thông tin web khi các user truy cập ra bên ngoài Internet để hạn chế và kiểm soát các users theo quy định sử dụng Internet của doanh nghiệp

- Xây dựng hệ thống phòng chống virus cho toàn hệ thống mạng khi truy cập ra bên ngoài Internet

- Ngăn chặn và phòng chống thư rác (spam email) thông qua địa chỉ IP, dò tìm địa chỉ email khi các cuộc tấn công bên ngoài internet truy cập vào Server Farm DMZ

- Kiểm soát và nhận dạng các thiết bị di động (Device Manager) dựa trên các nền tảng

di động phổ biến hiện nay như Android, IOS, Windowphone… với các thiết bị như Tablet hay Smartphone, cho phép thực thi các chính sách cho từng loại thiết bị, đem lại khả năng bảo mật cao nhất cho hệ thống

- Ngăn chặn các dữ liệu nhạy cảm bị rò rỉ từ bên trong hệ thống mạng ra bên ngoài Internet (DLP)

- Kiểm soát và ngăn chặn một số ứng dụng (như Instant Message, P2P, ứng dụng

download, các chương trình remote access …) khi các users cục bộ truy cập ra bên ngoài Internet

- Có thể bảo vệ các biến cố có thể gây nguy hại cho hệ thống mạng cao Có thể đưa ra các xác lập ưu tiên cho các mối nguy hiểm cần xử lý

- Ghi các thông tin cho mỗi cảnh báo và cách giải quyết các vấn đề đó từ trước, trong và sau khi vấn đề được giải quyết xong

3.3.2 Hệ thống phát hiện chống xâm nhập (IDS/IPS)

Hệ thống phát hiện xâm nhập IDS (intrusion detection system) là hệ thống giám sát lưu lượng mạng nhằm phát hiện hiện tượng bất thường, các hoạt động trái xâm nhập phép và hệ thống IDS có thể phân biệt được những tấn công từ bên trong hay tấn công từ bên ngoài IDS

có thể là 1 phần mềm, 1 phần cứng hoặc kết hợp giữa phần mềm và phần cứng

IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết hay dựa trên so sánh lưu thông mạng hiện tại với baseline để tìm ra các dấu hiệu khác thường

Tính năng quan trọng nhất của IDS là:

- Giám sát lưu lượng mạng và các hoạt động khả nghi

- Cảnh báo về tình trạng mạng cho hệ thống và nhà quản trị