- Giá thành hợp lý, không vượt quá 2.000.000.000 VNĐ- Cung cấp được dịch vụ internet mạng không dây và mạng có dây: các chi nhánh kếtnối mạng về trụ sở để sử dụng ứng dụng, cập nhật dữ l
Trang 1TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
VIỆN TOÁN ỨNG DỤNG VÀ TIN HỌC
-000 BÁO CÁO MÔN HỌC THIẾT KẾ, CÀI ĐẶT VÀ QUẢN TRỊ MẠNG
Đề tài: Xây dựng, thiết kế hệ thống mạng cho công ty kiểm toán An Việt
Giảng viên hướng dẫn: PGS NGUYỄN ĐÌNH HÂN
Nhóm sinh viên thực hiện: nhóm 4
Trang 2Mục lục
I KHẢO SÁT VÀ PHÂN TÍCH HIỆN TRẠNG
Khảo sát yêu cầu khách hàng:
1 Mô hình mạng Campus Enterprise
1.1 Giới thiệu mạng Campus
3.1 Thông tin cần bảo vệ
3.2 Các rủi ro của hệ thống mạng và các cuộc tấn công3.3 Đề xuất giải pháp
Trang 33.3.1 Firewall
3.3.2 Hệ thống phát hiện chống xâm nhập (IDS/IPS)
3.3.3 Phần mềm Anti-Virus (AV)
3.3.4 Mạng riêng ảo (VPN)
3.3.5 Hệ thống giám sát an toàn mạng (SIEM)
4 Thiết kế module quản trị mạng
4.1 Mục tiêu quản trị mạng:
4.2 Module chức năng quản lý mạng
5 Mô phỏng Cisco
6 Thông số về lưu lượng và tải hệ thống
7 Sơ đồ đi dây và các thiết bị
IV Danh mục thiết bị và phần mềm
Danh mục thiết bị
1.1 Thiết bị phần cứng
1.2 Máy tính
1.3 Hệ điều hành cài đặt
1.4 Dịch vụ
2 Dự trù kinh phí
V Triển khai và nghiệm thu
1 Sắp xếp cài đặt cấu hình
2 Kiểm tra việc cấu hình và cài đặt
3 Đánh giá công việc nhóm
Danh mục hình ảnh
Figure 1: Mặt bằng tầng 1 6
Figure 2: Mặt bằng tầng 2 6
Figure 3 : Mặt bằng tầng 3, 4, 5 7
Figure 4 :Sơ đồ logic 15
Figure 5 : Sơ đồ vật lý tầng 1 16
Figure 6 : Sơ đồ vật lý tầng 2 17
Figure 7 : Sơ đô vật lý tầng 3, 4, 5 18
Figure 8 : Nguồn sinh log 33
Figure 9: Ý nghia mức cảnh báo 34
Figure 10 : Mô phỏng Cisco cả tòa nhà 34
Figure 11 : Mô phỏng Cisco các tầng 1, 3, 4, 5 35
Figure 12: Mô phỏng Cisco tầng 2 35
Figure 13: Cài dặt IP 36
Figure 14: Sơ đồ đi dây tầng 1 37
Trang 4Figure 15: Sơ đồ đi dây tầng2 38
Figure 16: Sơ đồ đi dây tầng3, 4, 5 40
Figure 17: Switch layer 2 42
Figure 18: Switch layer 3 43
Figure 19: Router 44
Figure 20: Cáp mạng 45
Figure 21: Firewall 46
Figure 22: PC 47
Trang 5I KHẢO SÁT VÀ PHÂN TÍCH HIỆN TRẠNG
1 Tổng quan công ty An Việt:
- Kiểm toán báo cáo tài chính theo luật định
- Hướng dẫn lập và quản lý chứng từ kế toán
- Cung cấp cho các khách hàng những giải pháp tốt nhất giúp cải tiến hệ thống kiểm soátnội bộ, nâng cao hiệu quả kinh doanh, tuân thủ các quy định của pháp luật
- Thẩm định giá đa dạng cho khách hàng Đào tạo, hướng dẫn về chế độ kế toán doanhnghiệp hiện hành của Việt Nam và Quốc tế
Trang 6Figure 1 : Mặt bằng tầng 1
Tầng 2:
Figure 2: Mặt bằng tầng 2
Trang 7Tầng 3,4,5:
2nii
Figure 3 : Mặt bằng tầng 3, 4, 52.2 Cơ sở vật chất
- Các thiết bị chưa có (Server, Router, Switch, Firewall, dây mạng, đầu cáp mạng, PC, )
- Các phòng mới xây, chưa từng thiết kế hệ thống mạng chỉ có phòng vật lý
- Hệ thống mạng công ty là một hệ thống mạng LAN lớn có xu hướng mở rộng đòi hỏicác công nghệ cao, khả năng thay đổi và cập nhật lớn
3 Yêu cầu khách hàng:
- Hệ thống dễ dàng nâng cấp khi cần thiết Hệ thống mạng được dự toán cho mức độ pháttriển 20% trong 5 năm (về số lượng người sử dụng, mở rộng chi nhánh, tải trọng
mạng.)
- Bảo mật dữ liệu, chia sẻ dễ dàng tài liệu giữa các máy nội bộ
- Nhân viên lưu trữ dữ liệu trên File Server, không cho phép nhân viên lưu trên máy local
- Xây dựng chiến lược phục hồi sao lưu khôi phục dữ liệu khi có sự cố xảy ra
Trang 8- Giá thành hợp lý, không vượt quá 2.000.000.000 VNĐ
- Cung cấp được dịch vụ internet (mạng không dây và mạng có dây): các chi nhánh kếtnối
mạng về trụ sở để sử dụng ứng dụng, cập nhật dữ liệu, tất cả nhân viên đều có thể kếtnối
Wifi nội bộ, khách hàng có thể truy cập được wifi public trên toàn công ty, tất cả cácmáy
tính trong toàn công ty có thể trao đổi thông tin với nhau
- Đảm bảo được tính thẩm mỹ của hệ thống bao gồm dây, vị trí lắp đặt của các thiết bị
- Đảm bảo được tính sẵn sàng và dễ dàng trong việc quản trị hệ thống
- Đường truyền hợp lý, băng thông ổn định đáp ứng 1000 truy cập ở mỗi thời điểm
4 Các ứng dụng khách hàng sử dụng:
- Email, phân quyền truy cập dữ liệu
- Fax và internet nội bộ
- Họp và đào tạo trực tuyến qua Zoom
- Chia sẻ dữ liệu nội bộ, kết nối các máy in
- Camera an ninh
- Dùng Zalo để giao tiếp nội bộ
Trang 9II Đê xuât giải pháp
1 Giải pháp hạ tầng
1.1 Giải pháp hạ tầng máy chủ
+ Giải pháp hạ tầng cho công ty An Việt đối với máy chủ bao gồm:
- Nhóm máy chủ quản lý và giám sát hệ thống
- Nhóm máy chủ cung câp các dịch vụ hạ tầng cơ bản(xác thực/địnhdanh,chia sẻ file và in ân, sao lưu dự phòng)
- Nhóm máy chủ chạy các ứng dụng quản lý nội bộ
- Nhóm máy chủ cung câp các dịch vụ trao đổi với bênngoài(web, mail,proxy, tường lửa)
+ Phân hoạch:
Vùng máy chủ: Bao gồm các máy chủ phục vụ cho các hoạt động chính Trongmột môi trường đầy đủ, vùng này phải bao gồm các môi trường máy chủ khácnhau như Môi trường vận hành (production), Môi trường dự phòng (backup),Môi trường đào tạo / kiểm thử (training / testing) Vùng này được thiết kế baogồm toàn bộ tât cả các máy chủ của các môi trường trên và được đặt trong cùngmột VLAN Vùng Truy cập: thuộc phạm vi hoạt động của các phòng nghiệp vụ,chứa các máy trạm làm việc
+ Giải pháp:
Để đảm bảo sự hoạt động liên tục và an ninh của hệ thống máy chủ chạy các ứngdụng tập trung, cần thiết phải duy trì môi trường đặt máy chủ riêng tách rời khỏimôi trường làm việc và trang bị một số thiết bị hỗ trợ như sau:
- Bộ lưu điện: Cần bổ sung thêm bộ lưu điện 3KVA cho mỗi hệ thống máychủ
- Máy phát điện: Cần trang bị mới 1 máy phát điện hỗ trợ cho môi trườngmáy chủ trong trường hợp mât điện cục bộ
- Báo cháy: Cần trang bị hệ thống báo cháy tại chỗ, lắp đặt cho môi trườngmáy chủ
1.2 Giải pháp hạ tầng mạng cục bộ
Mạng cục bộ của công ty phục vụ các nhu cầu trao đổi, chia sẻ tài nguyên cục bộgiữa các phòng và là hạ tầng chạy các ứng dụng nghiệp vụ cho toàn bộ các đơn vị nhàtrường Vê cơ bản vị trí các phòng ban vẫn sẽ có sự thay đổi và mở rộng khối nhà Dovậy mạng cần đạt được các yêu cầu sau khi thiết kế:
Trang 10- Có hiệu suất cao trên đoạn kết nối lõi Tiêu chuẩn đề xuất là Gigabit Ethernet vớicáp CAT6 , các switch thuộc phân đoạn này cần hỗ trợ cổng 1000Base-T Cácphân đoạn khác có thể duy trì chuẩn Fast Ethernet với sự ổn định và chi phí tiếtkiệm.
- Cho phép chia mạng thành các phân đoạn mạng riêng biệt để đảm bảo an ninh vàgiảm xung đột dữ liệu, tăng hiệu suất mạng Các switch cần hỗ trợ VLAN để tạocác mạng cục bộ ảo giữa các nhóm người dùng phòng ban khác nhau Có khảnăng mở rộng các nút mạng mà không ảnh hưởng tới kiến trúc thiết kế
1.3 Phân chia VLAN và phân hoạch IP
-VLAN1: Mạng ảocho 50máy trong 2 phòng làmviệc ởtầng3
-VLAN2: Mạng ảocho 50máy trong 2 phòng làmviệc ởtầng4
-VLAN3: Mạng ảocho 50máy trong 2 phòng làmviệc ởtầng5
-VLAN4: Mạng ảocho tầng 1 gồm tổng cộng 12 máy
-VLAN5: Mạng ảo cho ban quản lý gồm tổng cộng 12 máy
*Bảng phân hoạch IP:
Network Address
- Vận hành ổn định với hiệu năng cao, đảm bảo hệ thống hoạt động liên tục, ổn định
24/7
Trang 11- Tiết kiệm thời gian, hạn chế rủi ro đối với các sự cố về hệ thống mạng, giảm thiểu thờigian gián đoạn công việc và duy trì hiệu suất làm việc
- Thông qua hoạt động dự báo và ngăn ngừa sự cố, công ty hoàn toàn yên tâm để tậptrung vào các hoạt động nghiệp vụ chính, đồng thời chủ động trong việc lên kế hoạchsản xuất - kinh doanh
- Giảm thiểu chi phí: doanh nghiệp sẽ tiết kiệm được nhiều chi phí hơn nếu chủ động ápdụng các giải pháp phòng ngừa sự cố cho hệ thống mạng, hệ thống dữ liệu thông tin của doanh nghiệp, thay vì phải trả tiền để hồi phục hệ thống mạng mỗi khi gặp sự cố
2.1 Hệ điều hành
Chúng tôi đề xuất sử dụng hệ điều hành Windows 10 Professional cho các máy tính củanhân viên.Hệ điều hành Windows 10 Pro mang đến giải pháp tuyệt vời dành cho các doanhnghiệp có quy mô nhỏ, hỗ trợ nhiều tính năng mới so với hệ điều hành cũ Bên cạnh đó cũngcần nhắc đến khả năng dễ dàng chuyển đổi cho tới hệ thống bảo mật an toàn được tăng cường
rõ rệt từ nhà sản xuất hơn hẳn những phiên bản win trước đó Một điểm mạnh ở Windows 10Pro chính là khả năng chia sẻ dữ liệu vượt trội, nó ghi điểm ở: quản lý Group Policy, BusinessStore lại có và đặc quyền được sử dụng đến với Microsoft’s Azure Active Directory Tínhnăng này cho phép các nhân viên trong một đơn vị có thể dễ dàng truy cập hệ thống mở dònglưu trữ đám mây chỉ với một cần đăng nhập.
Các máy server sẽ sử dụng hệ điều hành Ubuntu Server 20.04 là hệ điều hành mã
nguồn mở nên không cần chi phí cao cho việc cấp giấy phép như các hệ điều hành khác, nhómmáy chủ Linux luôn được đảm bảo bảo mật hơn Window và tốc độ và khả năng xử lý rất cao
lý các máy nhân viên
- Giảm gánh nặng quản lý hệ thống: IP được đánh tự động nhờ máy chủ DHCP giúpquản lý IP khoa học do không có sự nhầm lẫn và sửa đổi IP
- Giúp hệ thống mạng luôn được ổn định: Các địa chỉ IP luôn là duy nhất, không trùnglặp IP sẽ giảm bớt sự cố, giúp hệ thống mạng luôn hoạt động ổn định
- Khả năng mở rộng linh hoạt: Người quản trị dễ dàng thay đổi cấu hình, thông số kỹthuật của các địa chỉ IP giúp việc nâng cấp cơ sở hạ tầng mạng thuận tiện, dễ dàng.Sau khi cài đặt DHCP, người quản trị tạo ra các DHCP Scope dễ dàng cho việc phânhoạch IP cho từng phòng ban
Trang 12Dùng DNS server dễ dàng cho quá trình cập nhật và quản lý các máy tính trong mộtdomain, mọi thay đổi không cần cập nhật lại trên tất cả các máy tính, các client muốn truy xuấtvới client khác chỉ cần thông qua DNS server.
Giải pháp cho Công ty An Việt là dùng Active Directory, DNS, DHCP trên server với hệđiều hành Ubuntu Server 20.04 để phân giải tên miền, cấp phát IP động Từ đó tiết kiệm đượcchi phí giúp cho việc quản lý các máy tính dễ dàng, tận dụng tối đa tài nguyên và nhân lực
2.4 Dịch vụ Wireless
Sử dụng bộ phát wifi (access point)với 3 SSID hỗ trợ VLAN 802.1q:
- SSID- Guest: sử dụng cho khách hàng và không thiết lập khóa key, được cô lậpvới mạng LAN và có thể truy cập internet
- SSID- Member: sử dụng cho các thành viên của công ty An Việt và có thiết lậpbảo mật khóa key, có quyền truy cập vào LAN nội bộ tùy chọn cho phép
- SSID- Manager: sử dụng cho giám đốc và ban quản trị của công ty An Việt, toànquyền truy cập
Để đảm bảo việc bảo mật Wireless, đề xuất sản phẩm có tích hợp chuẩn bảo mật WEP(mãhóa 64 bit hoặc 128 bit), WPA,WPA2, chứng thực bằng 802.1X Công ty có thể bảo mật dữliệu bên trong mạng LAN nhưng vẫn đảm bảo được máy tính sử dụng Wireless ra đượcInternet, đồng thời ngăn các máy khách truy cập lẫn nhau nếu muốn
2.5 Dịch vụ Mail Server
Mail Server hay Email Server là hệ thống máy chủ được cấu hình riêng theo tên miềncủa doanh nghiệp dùng để gửi và nhận thư điện tử.Bên cạnh tính năng lưu trữ và sắp xếp cácEmail trên Internet, Mail Server là một giao thức chuyên nghiệp để giao tiếp thư tín, quản lý và
Trang 13truyền thông nội bộ, giao dịch thương mại Không chỉ thao tác với tốc độ
định, Mail Server còn đảm bảo tính an toàn với khả năng khôi phục dữ liệu cao
Bởi tình trạng spam mail, email gửi kèm phần mềm độc hại khiến Mail Server được
đánh giá cao
• Email với tên miền riêng của riêng công ty thể hiện sự chuyên nghiệp trong hoạtđộng
• Tốc độ, bảo mật cao, kèm theo nhiều tiện ích
• Kiểm tra mail mọi nơi: tại văn phòng (thông qua phần mềm duyệt mail) và tại bất
kỳ nơi đâu (khi đi công tác), trên tất cả các loại trình duyệt mail (Outlook.)
• Có thể tùy biến các thông số và chức năng cho từng User
• Ngăn chặn spam và virus cực kỳ hiệu quả
• Có không gian lưu trữ riêng biệt, bất khả xâm phạm
• Tính bảo mật cao nhờ trang bị giao thức SSL
• Sử dụng IP riêng nên sẽ chống được việc vô cớ bị vào blacklist
• Hỗ trợ tính năng Forwarder Email để cài đặt Email Offline
Chúng tôi đề xuất dùng dịch vụ Mail Server của Vinahost gói cước EServer-Six vớigiá cả hợp lý cùng đầy đủ tiện ích cần thiết
Trang 14III Thiết kế hệ thống mạng
1 Mô hình mạng Campus Enterprise
Hiện nay việc thiết kế một hệ thống mạng tốt, an toàn với lợi ích kinh tế cao đang rấtđược quan tâm Một vấn đề đặt ra có rất nhiều giải pháp về công nghệ, trong một giải pháp lại
có rất nhiều yếu tố cấu thành, trong mỗi yếu tố có nhiều cách lựa chọn Đề xuất giải pháp thiết
kế mạng cho công ty An Việt sử dụng mô hình Campus Enterprise là một trong những giảipháp tối ưu hiện nay
1.1 Giới thiệu mạng Campus
Liên mạng (internetworking) là sự truyền thông giữa một hay nhiều mạng, gồm cónhiều máy tính kết nối lại với nhau Liên mạng máy tính ngày càng lớn mạnh để hỗ trợ cho cácnhu cầu truyền thông khác nhau của hệ thống đầu cuối Một liên mạng đòi hỏi nhiều giao thức
và tính năng để cho phép sự mở rộng Các liên mạng lớn gồm có 3 thành phần như sau:
- Mạng Campus: gồm có các user kết nối cục bộ trong một hay một nhóm các tòa nhà
- Mạng WAN: kết nối các mạng Campus lại với nhau
- Kết nối từ xa: liên kết các nhánh và các user đơn lẻ tới mạng Campus hay InternetMột mạng Campus gồm có nhiều LAN trong một hoặc nhiều tòa nhà, tất cả các kết nốinằm trong cùng một khu vực địa lý Thông thường các mạng Campus gồm có Ethernet,
Wireless LAN, Fast Ethernet, Fast EtherChannel, Gigabit Ethernet và FDDI Sau đây là các
mô hình mạng được dùng để phân loại và thiết kế mạng Campus:
- Mô hình mạng chia sẻ (Shared Network Model)
- Mô hình phân đoạn LAN (LAN Segmentation Model)
- Mô hình lưu lượng mạng (Network Traffic Model)
- Mô hình mạng dự đoán trước (Predictable Network Model)
Trang 151.2 Sơ đồ
logic
Figure 4 :Sơ đồ logic
- Access layer (tầng truy cập): bao gồm các switch, kết nối LAN, mỗi tầng đều có thiết
bị chuyển mạch (switch access), có thể chia vlan tương ứng với các phòng tùy thuộc vào chứcnăng, quyền hạn của từng phòng
- Switch layer 3 đặt ở tầng 2 Các thiết bị Server được nối với Firewall Tầng này đảmbảo phân phối dữ liệu gọi là Distribution Layer
- Các thiết bị tầng Distribution sẽ được triển khai định tuyến lớp 3 với các thiết bịchuyển mạch lõi (Core Switch)
Theo sơ đồ thiết kế trên, mạng được thiết kế với tính năng dự phòng 1:1 đảm bảo đượctính ổn định và đề phòng các sự cố, công ty sẽ hoạt động liên tục không bị gián đoạn, an toàncho các hoạt động mạng, truy cập dữ liệu của toàn bộ công ty
- Mô hình thiết kế với firewall và các hệ thống chống xâm nhập đảm bảo yêu cầu củacông ty An Việt Firewall như trên mô hình có chức năng cho public server đảm bảo ngănchặn các tấn công từ bên ngoài vào server và mạng LAN nội bộ
- Mô hình mạng đưa ra giải pháp với thiết kế các switch chuyển mạch tốc độ cao hạnchế
xung đột dữ liệu truyền tải và tránh việc switch quá tải.Các switch có khả năng tạo các
Trang 161.2 Sơ đồ
logicVLAN
phân đoạn mạng thành các phần nhỏ hơn cho từng phòng ban
Trang 19Tầng 3,4,5 gồm có
+ 6 switch layer 2: 6 loại 16 cổng
+ 1 máy in
+ 1 máy chiếu
+ Số lượng pc: 2 máy phòng quản lý, 50 máy phòng làm việc, 1 máy phòng họp
Figure 7 : Sơ đô vật lý tâng 3, 4, 5
Trang 201.4 Mô hình 3 lớp
- Mạng Campus Enterprise có băng thông rộng, được xây dựng trên nền tảng công nghệtruyền dẫn tốc độ cao Ethernet/FastEthernet/Gigabit Ethernet và hệ thống cáp quang Như vậyviệc xây dựng mô hình Campus Enterprise sẽ đảm bảo được các yêu cầu của công ty An Việt.Việc khai thác các ứng dụng, truy cập cơ sở dữ liệu của công ty trở nên hiệu quả, chạy các ứngdụng, cập nhật dữ liệu và mở rộng trở nên hiệu quả
- Mạng đảm bảo an toàn cho toàn bộ các thiết bị nội bộ, thông tin dữ liệu của công tytrước các truy nhập trái phép ở mạng ngoài có mục đích phá hoại hệ thống Mô hình thiết kếvới firewall và các hệ thống chống xâm nhập đảm bảo yêu cầu của công ty An Việt Firewallnhư trên mô hình có chức năng cho public server đảm bảo ngăn chặn các tấn công từ bên ngoàivào server và mạng LAN nội bộ
- Mô hình mạng đưa ra giải pháp với thiết kế các switch chuyển mạch tốc độ cao hạnchế xung đột dữ liệu truyền tải và tránh việc switch quá tải gây tràn bảng CAM Các switch cókhả năng tạo các VLAN phân đoạn mạng thành các phần nhỏ hơn cho từng phòng ban Mỗiport của switch là một miền đụng độ riêng lẻ và không truyền đụng độ qua port khác, tuy nhiêncác frame broadcast và multicast vẫn tràn qua tất cả các port của switch Để phân chia miềnbroadcast ta sẽ dùng VLAN bên trong mạng chuyển mạch Một switch sẽ chia các port mộtcách logic thành các đoạn riêng biệt VLAN là một nhóm các port vẫn chia sẻ môi trườngtruyền của đoạn LAN Như vậy, ngay trong mạng LAN tại toà nhà điều hành ta có thể thựchiện phân chia thành các phần mạng nhỏ hơn nữa cho các phòng ban để dễ dàng quản lý vàgiám sát mạng
Xây dựng hệ thống mạng theo mô hình Campus Enterprise với 3 lớp: access layer,distribution layer, core layer:
- Access Layer (lớp truy cập) xuất hiện ở người dùng đầu cuối được kết nối vào mạng.Các thiết bị trong lớp này thường được gọi là các switch truy cập, và có các đặc điểm sau:
+ Chi phí trên mỗi port của switch thấp
+ Mật độ port cao
+ Mở rộng các uplink đến các lớp cao hơn
+ Chức năng truy cập của người dùng như là thành viên VLAN, lọc lưu lượng vàgiao thức, và QoS
+ Tính co giãn thông qua nhiều uplink
- Distribution Layer (lớp phân phối) cung cấp kết nối bên trong giữa lớp truy cập và lớpnhân của mạng Campus Thiết bị lớp này được gọi là các switch phân phát Đây cũng là nơiquan trọng trong việc định tuyến Tại đây chúng ta có thể dùng các giao thức như OPSF,
EIGRP, STP để điều khiển luồng dữ liệu trong khối Access-Distribution với phần còn lại củamạng Lớp có các đặc điểm như sau:
+ Thông lượng lớp ba cao đối với việc xử lý gói
+ Chức năng bảo mật và kết nối dựa trên chính sách qua danh sách truy cập hoặclọc gói
+ Tính năng QoS
Trang 21+ Tính co dãn và các liên kết tốc độ cao đến lớp Core và lớp Access.
- Core Layer (lớp nhân) của mạng Campus cung cấp các kết nối của tất cả các thiết bịlớp phân phối Lớp nhân thường xuất hiện ở phần xương sống (backbone) của mạng, và phải
có khả năng chuyển mạch lưu lượng một cách hiệu quả Các thiết bị lớp nhân thường được gọi
là các backbone switch, và có những thuộc tính sau:
+ Thông lượng ở lớp 2 hoặc lớp 3 rất cao
+ Chi phí cao+ Có khả năng dự phòng và tính co dãn cao
+ Chức năng QoS
Để tiết kiệm chi phí và giúp cho việc quản trị dễ hơn chúng tôi đề xuất tích hợp 2 lớpCore và Distribution thành lớp Core/Distribution, từ 2 Core và 2 Switch Distribution giảmxuống còn 2 Core đảm nhiệm cả 2 chức năng của lớp Core và Distribution
1.5 Ưu điểm của mô hình Campus Enterprise
- Tính sẵn sàng và khả năng mở rộng cao
- Giảm sự đụng độ dữ liệu khi số lượng thiết bị và lưu lượng mạng tăng cao
- Tăng hiệu năng mạng
- Cô lập sự cố trong mạng dễ dàng và nhanh chóng hơn
2 Tính sẵn sàng
2.1 Load balancing
_ Kỹ thuật load balancing(cân bằng tải) có khả năng chia tải cho các web, mail serverđảm bảo các server hoạt động hiệu quả, đáp ứng nhu cầu truy cập của lượng lớn khách hàng.Load balancing là cơ chế rất quan trọng trong việc mở rộng quy mô của mạng máy tính Khilắp đặt một máy chủ mới vào hệ thống, cân bằng tải sẽ tự động cắt giảm khối lượng công việc
từ các máy chủ cũ và chuyển sang máy chủ mới
_ Các lợi ích của Load balancing:
+ Tối đa hoá Uptime:
Cân Bằng Tải giúp dàn trải lưu lượng truy cập và truy xuất giữa hai hoặc nhiềumáy chủ Trong trường hợp lỗi sự cố xảy ra tại một điểm máy chủ, Cân Bằng Tải sẽphát hiện vấn đề và di chuyển lưu lượng truy cập đến các máy chủ online còn lại, dịch
vụ cho người dùng sẽ không bị gián đoạn
+ Giúp Datacenter linh hoạt trong mở rộng:
Trang 22Khi khách hàng có nhu cầu mở rộng hệ thống Datacenter, Cân Bằng Tải sẽ tựđộng điều phối giữa các máy chủ cũ và mới để xử lý các yêu cầu dịch vụ mà không làmgián đoạn quá trình hoạt động, xử lý.
+ Tăng tính bảo mật cho Datacenter:
Thông thường khi người dùng gửi yêu cầu dịch vụ lên hệ thống sẽ được CânBằng Tải tiếp nhận rồi mới phân chia cho các máy chủ bên trong xử lý Quá trình phảnhồi yêu cầu cũng thông qua thành phần Cân Bằng Tải Bằng cách đó có thể ngăn chặnngười dùng giao tiếp trực tiếp với các máy chủ, ẩn đi các thông tin và cấu trúc mạng nội
bộ, ngăn ngừa luôn các cuộc tấn công trên mạng hoặc truy cập trái phép
Đề xuất giải pháp cho công ty An Việt là sử dụng Load balancing Long Vân Datacenter củaLong Vân cung cấp cơ chế Cân Bằng Tải dự phòng được tích hợp đầy đủ thông qua giao diệnquản lý trên website hoặc API Đó là cấu trúc mạng được điều khiển bằng phần mềm, tận dụngkhả năng mở rộng và tính linh hoạt của môi trường điện toán đám mây Ưu điểm tiếp theo CânBằng Tải là cơ chế tự xử lý, sửa chữa, giúp datacenter có tính sẵn sàng cao và cho phép kháchhàng chủ động quản lý lưu lượng truy cập Khách hàng cũng có thể xây dựng khả năng chịu lỗi(fault tolerance) vào hạ tầng mạng để việc truy cập được phân bổ đồng đều trên các nguồn tàinguyên và thậm chí trên các datacenter khi nhu cầu tăng lên
2.2 Ảo hóa máy chủ
Xây dựng một hệ thống máy chủ (server) và trung tâm dữ liệu (datacenter) chuyênnghiệp thông qua ảo hóa trên nền tảng đám mây là xu hướng công nghệ thông tin hiện naybằng cách ảo hóa hệ thống nền tảng công nghệ thành nền tảng điện toán đám mây với cáchquản lý linh động, tốc độ nhanh giải quyết các vấn đề quan trọng của hạ tầng công nghệ hiệnđại đáp ứng các yêu cầu của công ty An Việt đặt ra
Ưu điểm: Ảo hóa là cách hiệu quả nhất để giảm chi phí CNTT trong khi hiệu quả đượctăng nhanh, không chỉ cho các doanh nghiệp lớn mà còn đối với các doanh nghiệp vừa và nhỏ
Ảo hóa cho phép các công ty:
- Chạy nhiều hệ điều hành và các ứng dụng trên một máy tính
- Củng cố phần cứng để năng suất được cao hơn từ các máy chủ có cấu hình thấp hơn
- Tiết kiệm 50% trên tổng chi phí CNTT
- Tăng tốc độ và đơn giản hóa quản lý CNTT, bảo trì và triển khai các ứng dụng mới
Đề xuất giải pháp ảo hóa cho công ty An Việt với VMWare Vsphere:
- Nền tảng vsphere: nền tảng tốt nhất cho ứng dụng của bạn, đám mây và doanh nghiệpcủa bạn
- Vsphere giúp bạn đạt được hiệu quả tốt nhất, tính khả dụng và hiệu quả từ cơ sở hạtầng và ứng dụng của mình Đó là nền tảng lý tưởng cho bất kỳ môi trường đám mây
- Vsphere với Quản lý Hoạt động sẽ đưa ảo hóa lên cấp độ tiếp theo với quản lý hoạtđộng thông minh Nó cung cấp cho bạn thông tin chi tiết tốt hơn, dẫn đến hiệu suất được cảithiện và sẵn có
- Tính năng:
Trang 23+ Đơn giản hóa hoạt động của trung tâm dữ liệu, tăng hiệu quả kinh doanh vàgiảm chi phí CapEx và OpEx thông qua ảo hóa.
+ Quản lý hoạt động thông minh và tự động hóa: Thêm hoạt động quản lý và tựđộng hóa thông minh vào trung tâm dữ liệu thông qua vSphere với Operations
Management Theo dõi và quản lý sức khỏe, tại chỗ tắc nghẽn hiệu suất và thiếu nănglực và cân bằng khối lượng công việc trước khi nhu cầu tăng đột ngột để cho phép hiệusuất ứng dụng, trong khi tận dụng các thuật toán tự học và phân tích tiên đoán thích ứngvới môi trường của bạn
+ Ảo hóa Bigdata: Đơn giản hóa việc quản lý cơ sở hạ tầng dữ liệu lớn của bạnđồng thời mang lại hiệu quả về chi phí VMware là nền tảng tốt nhất cho dữ liệu lớncũng như đối với các ứng dụng truyền thống
+ Di chuyển Legacy Unix sang Virtual Linux: Di chuyển cơ sở hạ tầng IT UNIXsang Linux ảo Có được hiệu suất cao, tính sẵn sàng nâng cao, khả năng VM lớn hơn vàkhả năng khôi phục thảm họa
+ Hiệu suất và tính khả dụng của ứng dụng nâng cao: Nâng cao hiệu quả ứngdụng và tính sẵn có để tăng năng suất kinh doanh của bạn Kiểm soát việc quản lý tàinguyên; tải khối lượng công việc cân bằng và ưu tiên truy cập vào các nguồn lực đểđảm bảo hiệu suất hàng đầu cho các ứng dụng quan trọng nhất của bạn Cung cấp nhanhchóng và triển khai khối lượng công việc trong môi trường ảo của công ty
+ Hỗ trợ Văn phòng Từ xa và Văn phòng Chi nhánh: Quản lý văn phòng và vănphòng chi nhánh từ xa của bạn với ít hoặc không có nhân viên CNTT tại địa phương.Cho phép cung cấp nhanh chóng các máy chủ thông qua ảo hóa, giảm thiểu trôi dạt cấuhình máy chủ và tăng cường khả năng hiển thị tuân thủ quy định, trên nhiều trang web
2.3 Khả năng recovery
Symantec System Recovery 2013 R2 hỗ trợ và phục hồi dữ liệu máy tính bằng giảipháp đơn giản và hiệu quả nhất, giúp cho doanh nghiệp của bạn phục hồi dữ liệu sau quátrình bị vô hiệu hóa hoặc bị chờ nhờ những thao tác đơn giản và tiết kiệm về thời gian cũngnhư chi phí Cùng với đó, Symantec System Recovery 2013 R2 mang đến tính năng vượttrội bằng công nghệ Restore Anyware, với công nghệ này, cho phép quản trị viên côngnghệ
thông tin có thể nhanh chóng khôi phục lại chính xác những gì họ cần dù ở trong khoảngthời gian nào hay bất cứ nơi đâu với tiêu chuẩn cho phép (bao gồm toàn bộ máy vật lý,máy
ảo dù có sự khác nhau về phần cứng) Hơn thế nữa, điểm vượt trội và cũng là lợi thế cạnhtranh của Symantec System so với các phần mềm khác là phần mềm này đưa ra và cungcấp
nhiều nền tảng Physical-to-Virtual (P2V), Virtual-to-Virtual (V2V), và Virtual-to-Physical(V2P), làm cho Symantec System trở nên hoàn hảo hơn bao giờ hết trong cả hệ thống máychủ thực hay ảo
Lợi ích của phần mềm System Recovery không thể không phủ nhận Phần mềm cho
Trang 24phép nhiều đối tượng khách hàng đang sử dụng được hỗ trợ cập nhật cho Windows, Linux,Vmware, Microsoft Hyper-V, Citrix XenServer Với System Recovery có thể:
Trang 25- Giảm thiểu thời gian chờ, tránh thiệt hại doanh thu và hiệu quả làm việc trongtrường hợp hệ thống bị gián đọan.
- Đáp ứng được nhiều mục tiêu, cùng cách xử lý đơn giản trong thời gian tối ưuvới 4 bước dễ dàng
- Tiết kiệm thời gian và chi phí phần cứng
- Chủ động thực hiện làm mới phần cứng và chuyển đổi hệ thống
- Đơn giản hoá việc quản trị IT bằng cách quản lý tập trung sao lưu và phục hồicho nhiều máy chủ trên toàn bộ tổ chức của bạn với System Recovery ManagementSolution hoặc System Recovery Monitor Solution
Các tính năng chính: Giải pháp sao lưu và phục hồi cho máy chủ, desktop và laptopgiúp cho các doanh nghiệp phục hồi trong vài phút với các bước đơn giản
- Phục hồi nhanh, tự động và linh họat:
+ Khôi phục nhanh toàn bộ hệ thống máy chủ (máy chủ vật lý và máy chủ ảo) từ
+ Chức năng tự động sao chép các ổ đĩa bên ngoài, trên mạng hoặc máy chủ FTP
từ xa
+ Tuỳ biến Symantec Recovery Disk tự động phát hiện phần cứng và nạp cáctrình
duyệt thích hợp để khởi động hệ thống kết quả nhanh hơn
+ Tạo ra một bản sao lưu và phục hồi USB, tất cả trong một,cho phép nhanhchóng
phục hồi và khởi động nhanh chóng bất kỳ hệ thống
- Khả năng ảo hoá phù hợp với công nghệ hiện tại
+ Tích hợp với VMware Application Programming Interfaces (APIs) của DataProtection (VADP) và Microsoft Volume Shadow Copy Service (VSS)
+ Thúc đẩy sức mạnh của ảo hoá cho liền mạch và tự động P2V qua định hướnggiao diện dễ dàng
+ Tự động cập nhật Vmware virtual disk files (VMDK) chuyển đổi từ các điểmphục hồi trực tiếp đến VMware ESX hosts
+ Đơn giản hóa việc kiểm tra và di chuyển, cài đặt ứng dụng, thay đổi cấu hình,hoặc cập nhật trình điều khiển trong một môi trường ảo trước khi áp dụng thay đổi cho
hệ thống sản xuất
Trang 26+ Bảo vệ tất cả các máy ảo trên một hệ thống Hypervisor là sự an toàn tuyệt đốivới giấy phép duy nhất của SymantecTM System Recovery Virtual Edition.
- Tích hợp mã hóa AES để đảm bảo sự an toàn tuyệt đối của dữ liệu kinh doanhquan
trọng
Dễ dàng chuyển đổi lịch trình của các điểm phục hồi vật lý (sao lưu) đến hệ thống ảo(P2V)
Lịch trình khôi phục tự động chạy, bao gồm cả việc kích hoạt sao lưu dựa trên các thông
số quản trị quy định cụ thể mà không gây ảnh đến người sử dụng
Cho phép tạo và giữ một bản sao lưu của một hệ thống ở trạng thái tiền khởi động, màkhông cần phải cài đặt bất kỳ phần mềm trên hệ thống với công nghệ hình cold imaging
+ Khả năng sao lưu các tập tin và thư mục chọn lọc theo một trình tự riêng biệtvà
vô cùng hiệu quả
+ Lưu giữ và hồi phục hầu hết tất cả các ổ, bao gồm trực tiếp lưu trữ; USB, ổFireWire và mạng lưới lưu trữ; Network Attached Storage (NAS) và Storage AttachedNetwork (SAN) và CD, DVD, Blu-ray
+ Xây dựng trong phần mềm mã hoá AES các bản sao lưu đảm bảo sự an toàncủa
dữ liệu quan trọng
- Lưu trữ hiệu quả
Nhanh chóng sao lưu và giảm thiểu sao lưu dữ liệu với tích hợp SmartSector vàcông nghệ nén Công nghệ SmartSector tăng tốc quá trình sao lưu bằng cách chỉ saochép
các phần cứng có chứa dữ liệu và công nghệ nén làm giảm kích thước của tập tin sao lưubằng cách lưu trữ cùng một lượng dữ liệu với dung lựơng ít hơn
- Linh hoạt và chi tiết trong báo cáo:
+ Đơn giản hoá việc theo dõi báo cáo
+ Cho phép người dùng dễ dàng theo dõi lịch sử, hiện tại và lịch trình sao lưuphục
hồi trên tất cả các vị trí
+ Xuất báo cáo ra csv, html, Microsoft Excel, PDF, hoặc xml để linh họat và dễdàng trong phân phối
3 Tính bảo mật
3.1 Thông tin cần bảo vệ
Trong công ty có rất nhiều thông tin mật bao gồm các dữ liệu nhân viên, kế hoạch,
Trang 27thức hoạt động, mục tiêu tương lai, tiền tệ, đây là những thông tin không thể bị lộ ra ngoài.Nếu bị lộ sẽ giúp các đối thủ cạnh tranh phân tích được hoạt động, bất lợi trong cạnh tranh
Trang 28có thể là sụp đổ, ngoài ra các hacker có thể dựa vào để tống tiền và một số
trọng khác Việc bảo vệ dữ liệu, tài nguyên của công ty là cấp thiết và ưu tiên
công việc quản lý và giám sát hệ thống mạng, hệ thống dữ liệu của doanhnghiệp
3.2 Các rủi ro của hệ thống mạng và các cuộc tấn công
Rủi ro của hệ thống mạng: là các lỗ hổng bảo mật bao gồm những điểm yếu trên hệthống hoặc ẩn chứa trong một dịch vụ hệ thống đó cung cấp, dựa vào đó tin tặc có thể xâmnhập trái phép để thực hiện các hành động phá hoại hoặc chiếm đoạt tài nguyên bất hợp pháp
Có nhiều nguyên nhân gây ra lỗ hổng bảo mật:
- Thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp pháp vào
hệ thống
- Các lỗ hổng cũng có thể còn tồn tại ngay chính tại hệ điều hành như trong Windows
10, LINUX, hệ điều hành các thiết bị router, modem hoặc trong các ứng dụng thường xuyên sửdụng như word processing, các hệ Databases
- Do lỗi bản thân hệ thống, do người quản trị yếu kém không hiểu sâu sắc các dịch vụcung cấp, do người sử dụng có ý thức bảo mật kém Điểm yếu ở yếu tố con người cũng đượcxem là lỗ hổng bảo mật
Các loại lỗ hổng bảo mật:
- Lỗ hổng loại C: cho phép thực hiện tấn công kiểu DoS (Denial of Services - từ chốidịch vụ) làm ảnh hướng tới chất lượng dịch vụ, ngưng trệ, gián đoạn hệ thống, nhưng khôngphá hỏng dữ liệu hoặc đạt được quyền truy cập hệ thống
- Lỗ hổng loại B: lỗ hổng cho phép người sử dụng có thêm các quyền truy cập hệ thống
mà không cần kiểm tra tính hợp lệ dẫn đến lộ, lọt thông tin
- Lỗ hổng loại A: cho phép người ngoài hệ thống có thể truy cập bất hợp pháp vào hệthống, có thể phá hủy toàn bộ hệ thống
3.3 Đề xuất giải pháp
3.3.1 Firewall
Firewall là rào chắn mà một số cá nhân, tổ chức, doanh nghiệp, cơ quan nhà nước lập ranhằm ngăn chặn các truy cập thông tin không mong muốn từ ngoài vào hệ thống mạng nội bộcũng như ngăn chặn các thông tin bảo mật nằm trong mạng nội bộ xuất ra ngoài internet màkhông được cho phép Firewall có thể là thiết bị phần cứng hoặc phần mềm Nhiệm vụ cơ bảncủa firewall là kiểm soát giao thông dữ liệu giữa hai vùng có độ tin cậy khác nhau Các vùngtin cậy điển hình bao gồm: mạng Internet (vùng không đáng tin cậy) và mạng nội bộ (một vùng
có độ tin cậy cao) Mục đích cuối cùng là cung cấp kết nối có kiểm soát giữa các vùng với độ