Xây dựng mạng lan dùng ho phòng giáo dục và đào tạo gia lâm

Mô hình OSI Mô hình OSI Open Systems Interconnection: Là mô hình tham chiếu kết nối các hệ thống mở – là một thiết kế dựa vào nguyên lý tầng cấp, lý giải một cách trừu tượng kỹ thuật kết

NGUY N THU H Ễ Ằ NG

XÂY DỰNG MẠNG LAN DÙNG CHO PHÒNG

GIÁO DỤC VÀ ĐÀO TẠO GIA LÂM

LUẬN VĂN THẠC SĨ Ỹ K THU T Ậ

HÀ N Ộ I – 2019

NGUY N THU H Ễ Ằ NG

XÂY DỰNG MẠNG LAN DÙNG CHO PHÒNG

GIÁO DỤC VÀ ĐÀO TẠO GIA LÂM

Chuyên ngành: Công ngh thông tin ệ

Mã s tài: 2016ACNTT-KT06 ố đề

LUẬN VĂN THẠC SĨ Ỹ K THU T Ậ

NGƯỜI HƯỚNG D N KHOA H C Ẫ Ọ

TS PHẠM HUY HOÀNG

LỜI CAM ĐOAN Tôi xin cam đoan luận văn “Xây dựng mạng LAN dùng cho phòng giáo dục

và đào tạo Gia Lâm” (Building the LAN network for Gia Lam education and

training department) là công trình nghiên cứu của riêng tôi Các số liệu được công

bố trong luận văn là hoàn toàn trung thực và chưa từng được công bố trong công trình khoa học nào khác

Tôi đã trích dẫn đầy đủ các tài liệu tham khảo, công trình nghiên cứu có liên quan trong nước và quốc tế Tôi cam đoan không sao chép, sử dụng lại bất cứ số liệu, kết quả nghiên cứu khác mà không ghi rõ tài liệu tham khảo Ngoài các tài liệu tham khảo có liên quan thì Luận văn này là kết quả nghiên cứu của cá nhân tôi

Hà Nội, ngày 2 tháng 4 năm 2019

Học viên

Nguyễn Thu Hằng

LỜI CẢM ƠN

Trước tiên, tôi xin gửi lời cảm ơn sâu sắc tới TS Phạm Huy Hoàng, người đã tận tình chỉ bảo tôi từ những bước nghiên cứu đầu tiên cho đến khi hoàn thành luận văn này

Tôi xin chân thành cảm ơn các thầy cô trong bộ môn Mạng và Truyền thông – Đại học Bách khoa Hà Nội đã hỗ trợ tôi rất nhiều về kiến thức chuyên môn trong quá trình thực hiện, hoàn thành đề tài

Cuối cùng, xin gửi lời cảm ơn tới gia đình và bạn bè, nguồn động viên tinh thần to lớn với tôi, luôn cổ vũ và tin tưởng tôi

Nguyễn Thu Hằng

MỤC LỤC

MỤC LỤC 3

BẢNG TỪ VIẾT TẮT 5

DANH MỤC BẢNG 6

DANH MỤC HÌNH VẼ 7

MỞ ĐẦU 10

1 Lý do chọn đề tài 10

2 Nhiệm vụ đặt ra 10

3 Phương pháp tiếp cận 11

4 Bố cục của luận văn 11

5 Kết luận 11

CHƯƠNG 1: KIẾN THỨC LIÊN QUAN 12

1.1 Kiến thức cơ sở 12

 12

 Server 14

 15

1.2 Mạng L AN 15

 15

 16

1.3 C ác dịch vụ mạng cơ bản 16

1.3.1 DHCP 16

1.3.2 DNS 17

1.3.3 NAT 18

1.3.4 VLAN 19

1.3.5 Firewall 20

1.3.6 Email 21

CHƯƠNG 2: KHẢO SÁT YÊU CẦU 22

2.1 Sơ lược về PGD và ĐT Gia Lâm 22

2.2 Khảo sát hiện trạng 22

 22

 23

 25

 26

 26

2.2. 28

CHƯƠNG 3: THIẾT KẾ HỆ THỐNG VÀ TRIỂN KHAI THỬ NGHIỆM 30

3.1 Thiết kế hệ thống 30

3.2 Thiết kế mô hình mạng 30

3.3 Thiết kế mô hình logic 31

 31

3.3.2 Phân chia các VLAN 31

 32

 32

 33

 bandwidth  33

 33

3.4 Xây dựng mô hình physic 30

3.4 34

3.4 35

3.4 35

3.5 Triển khai 35

3.5.1  35

3.5 35

3.6 Giả lập hệ thống mạng LAN trên phần mềm Cisco Packet Tracer 7.0 36

3.6 36

3.6 45

3.6 54

3.7 Bảo trì 71

KẾT LUẬN 72

TÀI LIỆU THAM KHẢO 73

BẢNG TỪ VIẾT TẮT

(Giao thức phân gi i đ a chỉ) ả ị

(Vùng m ng trung l p giạ ậ ữa mạng n i b và m ng Internet) ộ ộ ạ

(Hệ ố th ng phân gi i tên mi n) ả ề

4 DHCP Dynamic Host Configuration Protocol

(Giao thức cấu hình động máy ch ) ủ

(Giao thức m ng) ạ

p d ch v n i m ng) (Nhà cung cấ ị ụ ố ạ

(Chuy n mể ạch nhãn đa giao thức)

(Biên dịch địa chỉ ạ m ng)

9 OSI Open Systems Interconnection Reference Model

(Mô hình tham chiếu k t n i các h thế ố ệ ống m ) ở

10 POP3 Post Office Protocol phiên b n 3 ả

(Giao thức kế ốt n i và check mail offline)

(Cáp có bọc kim loại)

(Tên nhận d ng cho bi t mạng tham gia) ạ ế

(Giao thức điều khi n truy n v n) ể ề ậ

(Giao thức gói d liữ ệu người dùng)

(Cáp không bọc kim loại)

5 Bảng 3.2 Bảng địa chỉ NAT trên Router

6 Bảng 3.3 Bảng địa chỉ NAT trên Firewall

7 Bảng 3.4 Bảng mô tả các cổng kết nối

8 Bảng 3.5 Bảng địa chỉ NAT trên Router cho dịch vụ Email

9 Bảng 3.6 Bảng địa chỉ NAT trên Firewall cho dịch vụ Email

10 Bảng 3.7 Bảng kiểm thử dịch vụ Email

11 Bảng 3.8 Bảng địa chỉ NAT trên Router cho dịch vụ HTTP

12 Bảng 3.9 Bảng địa chỉ NAT trên Firewall cho dịch vụ HTTP

13 Bảng 3.10 Bảng kiểm thử dịch vụ HTTP

5 Hình 1.5 Sự khác nhau giữa OSI với TCP/IP

7 Hình 1.7 Nguyên tắc hoạt động của mô hình Client - Server

8 Hình 1.8 Cơ chế hoạt động của hệ thống DNS

17 Hình 3.4 Giả lập trên phần mềm Cisco Packet Tracer 7.0

18 Hình 3.5 VLAN 30 gồm 2 PC là VLAN30-PC1 và VLAN30-PC3

19 Hình 3.6 VLAN 70 gồm 2 PC là VLAN70-PC1 và VLAN70-PC2

20 Hình 3.7 VLAN Wifi khách gồm 3 PC là Guest 3-Lap 1, Guest 3 Lap

-2 và Guest 3-Lap 3

21 Hình 3.8 VLAN30-PC1, VLAN40-PC1 và PC50-PC1 có thể truy cập

được với nhau và VLAN70 PC1 không truy cập được VLAN30-PC1, VLAN40-PC1 và PC50-PC1

-22 Hình 3.9 Cấu hình Gateway trên Coreswitch cho VLAN 30

23 Hình 3.10 Cấu hình cổng Trunk cho VLAN 30

24 Hình 3.11 Cấu hình Access Switch 2-Tầng 1 cho VLAN 30

25 Hình 3.12 Cấu hình Access Switch 2-Tầng 3 cho VLAN 30

26 Hình 3.13 Cấu hình cổng Trunk trên Core Switch nối với Switch

2-Tầng 3

27 Hình 3.14 Cấu hình cổng Trunk trên Switch 2-Tầng 3 nối với Core

Switch

28 Hình 3.15 Kiểm tra cấp IP cho VLAN 30-PC1

29 Hình 3.16 Kiểm tra cấp IP cho VLAN 30-PC3

30 Hình 3.17 VLAN 30-PC1 ping được qua VLAN 30-PC3

31 Hình 3.18 VLAN 30-PC3 ping được qua VLAN 30-PC1

32 Hình 3.19 VLAN 70-PC1 không ping được qua VLAN 30-PC1 và

VLAN 30-PC3

33 Hình 3.20 VLAN 30-PC1 ping được qua 2 PC là VLAN40-PC1 và

VLAN50-PC1

34 Hình 3.21 VLAN 30-PC1 không ping được qua VLAN70-PC1

35 Hình 3.22 VLAN 40-PC1 ping được qua 2 PC là VLAN30-PC1 và

VLAN50-PC1

36 Hình 3.23 VLAN 40-PC1 không ping được qua VLAN70-PC1

37 Hình 3.24 VLAN 50-PC1 ping được qua 2 PC là VLAN30-PC1 và

VLAN40-PC1

38 Hình 3.25 VLAN 50-PC1 không ping được qua VLAN70-PC1

39 Hình 3.26 VLAN 70-PC1 không ping được qua VLAN30-PC1,

VLAN40-PC1 và VLAN50-PC1

40 Hình 3.27 Sử dụng Firewall để chỉ cho phép VLAN 30 được phép

truy cập vào trang facebook.com

41 Hình 3.28 Cấu hình trên Firewall

42 Hình 3.29 VLAN 30-PC1 thuộc VLAN 30 được phép truy cập vào

trang facebook.com

43 Hình 3.30 VLAN 70-PC1 thuộc VLAN 70 không được phép truy cập

vào trang facebook.com

44 Hình 3.31 Guest-Lap 3 thuộc VLAN Wifi khách không được phép

truy cập vào trang facebook.com

45 Hình 3.32 Sơ đồ mô tả dịch vụ DHCP

46 Hình 3.33 Cấu hình DHCP trên DHCP Server

47 Hình 3.34 Cấu hình DHCP trên Core Switch

49 Hình 3.36 Sơ đồ mô tả dịch vụ DNS

50 Hình 3.37 Cấu hình DNS Server của Bộ GDĐT

51 Hình 3.38 Cấu hình DNS Server của SGDHN

52 Hình 3.39 Cấu hình DNS Server của Phòng GD Gia Lâm

53 Hình 3.40 Cấu hình DNS Server của vùng nội bộ

54 Hình 3.41 Phân giải tên miền ra tên Website của Bộ GDĐT

55 Hình 3.42 Phân giải tên miền ra tên Website của SGDHN

56 Hình 3.43 Phân giải tên miền ra tên Website của Phòng GD Gia Lâm

57 Hình 3.44 Phân giải tên miền ra trang facebook.com

58 Hình 3.45 Sơ đồ mô tả dịch vụ Email

59 Hình 3.46 Cấu hình dịch vụ trên Mail Server ở vùng DMZ

60 Hình 3.47 Khai báo DNS ngoài trên DNS Google Server

61 Hình 3.48 Khai báo DNS trong trên DNS Server của vùng Server

62 Hình 3.49 NAT ra ngoài trên Router

63 Hình 3.50 NAT ra ngoài trên Firewal

64 Hình 3.51 VLAN 30-PC1 gửi mail cho VLAN 40-PC1 và VLAN

68 Hình 3.55 Cấu hình dịch vụ HTTP trên Web Server

69 Hình 3.56 Khai báo DNS ngoài trên DNS Server của Bộ Giáo Dục

70 Hình 3.57 Khai báo DNS ngoài trên DNS Server của SGDHN

71 Hình 3.58 Khai báo DNS ngoài trên DNS Server của Phòng GD Gia

Lâm

72 Hình 3.59 Khai báo DNS ngoài trên DNS Server Facebook

73 Hình 3.60 Khai báo DNS trong của DNS Server vùng nội bộ

74 Hình 3.61 NAT ra ngoài trên Router

75 Hình 3.62 NAT ra ngoài trên Firewall

76 Hình 3.63 VLAN50-PC1 truy cập vào trang của Bộ GDĐT

77 Hình 3.64 VLAN40-PC1 truy cập vào trang của SGDHN

78 Hình 3.65 VLAN20-PC1 truy cập vào trang của Phòng GD Gia Lâm

MỞ ĐẦU

1 Lý do chọn đề tài

Trong công cuộc đổi mới không ngừng của khoa học công nghệ, nhiều lĩnh vực

đã và đang phát triển vượt bậc, đặc biệt là lĩnh vực công nghệ thông tin Thành công lớn nhất là sự đời của máy tính, kể từ đó máy tính được coi là một phương tiện trợ ra giúp đắc lực cho con người trong mọi lĩnh vực Nhưng tất cả các máy tính  

thông tin cho nhau Chính vì vậy công nghệ thông tin đặc biệt -

là Internet, bắt đầu được sử dụng ở Hoa Kỳ vào năm 1995 (Wiles và Bondi, 2002) và sau đó bắt đầu được phổ biến rộng rãi trên toàn thế giới

Vì vậy cần phải có một mạng máy tính để chia sẻ dữ liệu và dùng chung dữ liệu, chia sẻ thông tin, dùng chung tài nguyên và cho phép giao tiếp trực tuyến trên mạng như: mail, thư điện tử

Trong điều kiện kinh tế hiện nay đa số các tổ chức hay các công ty, trường học

có phạm vi sử dụng bị giới hạn bởi diện tích và mặt bằng đều triển khai xây dựng

công tác làm kết quả báo cáo luận văn tốt nghiệp Đề tài được xây dựng  

 phân cấp, phân quyền trong quản lý, đưa ra giải pháp nhằm tiết kiệm thời gian và công sức cho bộ phận quản lý, giúp bộ phận quản lý chủ động trong công việc, quản lý được các bộ phận nhân viên, nắm được đầy đủ thông tin trong cơ quan

2 Nhiệm vụ đặt ra

Thiết kế mô hình mạng LAN cho PGD & ĐT Gia Lâm theo các yêu cầu sau:

- Mô hình mạng Client – Server

- Các vùng mạng được phân chia theo chức năng rõ ràng:

+ Vùng để đặt các thiết bị mạng, máy trạm và máy chủ thuộc mạng

nội bộ của đơn vị

+ để chứa các thông tin cho phép người dùng từ Internet truy

xuất vào và chấp nhận các rủi ro tấn công từ Internet

để đặt các máy chủ không trực tiếp cung cấp dịch vụ cho

mạng Internet

để kết nối với mạng Internet toàn cầu.

- Hệ thống có các tầng mạng được chia thành các VLAN khác nhau, yêu cầu của hệ thống có sự phân cấp, phân quyền giữa các VLAN

- Sử dụng các dịch vụ cần thiết: DHCP, DNS, VLAN, NAT, Firewall, Email và HTTP

3 Phương pháp tiếp cận

- Khảo sát thực tế và tìm hiểu rõ các yêu cầu của bài toán

- Tìm hiểu các công nghệ, các dịch vụ phục vụ cho bài toán

- Thiết kế và xây dựng mô hình mạng cho bài toán (sử dụng phần mềm giả lập mạng Cisco Packet Tracer)

- Triển khai và thử nghiệm

4 Bố cục của luận văn

Phần “Mở đầu”: Trong phần này tác giả giới thiệu lý do chọn đề tài, nhiệm vụ đặt ra (yêu cầu của bài toán), phương pháp tiếp cận để giải quyết bài toá giới thiệu n,

bố cục của luận văn Luận văn bao gồm 3 chương được mô tả như sau:

Chương 1 Kiến thức liên quan: Ở chương này tác giả nhắc lại một số kiến thức cơ sở như khái niệm về một số bộ giao thức kết nối mạng điển hình như mô hìnhOSI và bộ giao thức TCP/IP, mô hình mạng trạm chủ Client – Server, băng thông mạng Sau đó tác giả trình bày đặc điểm của mạng LAN như các thiết bị nối chính của LAN, cáp xoắn đôi Cuối cùng tác giả trình bày các dịch vụ mạng cơ bản như DHCP, DNS, VLAN, NAT, Firewall, Email và HTTP

Chương 2: Khảo sát yêu cầu Trong chương này tác giả mô tả ơ lược về sphòng giáo dục và đào tạo Gia Lâm, sau đó đi khảo sát hiện trạng như vị trí địa lý sơ ,

đồ các phòng ban, tổ chức bộ máy nhu cầu sử dụng các trang thiết bị của các phòng , ban, chức năng, nhiệm vụ của từng bộ phận và nhu cầu sử dụng dịch vụ của PGD và

ĐT Gia Lâm

Chương 3 Thiết kế hệ thống và triển khai thử nghiệm: Chương nàytác giảtrình bày hướng tiếp cận đề xuất cho bài toán, gồm thiết kế hệ thống, thiết kế mô hình mạng, iết kế th mô hình logic, xây dựng mô hình physic, triển khai gồm lắp đặt phần cứng và cài đặt phần mềm, giả lập hệ thống mạng LAN trên phần mềm Cisco Packet Tracer 7.0 gồm xây dựng các VLAN, triển khai thử nghiệm với Firewall và triển khai thử nghiệm 4 dịch vụ DHCP, DNS, Email và HTTP

Phần “Kết luận”: Phần này tóm tắt những kết quả đã đạt được của Luận văn, những hạn chế và phương hướng phát triển của Luận văn trong tương lai

5 Kết luận

Trong chương này luận văn đã trình bày những nội dung cơ bản bài toán “Xây

dựng mạng LAN dùng cho phòng giáo dục và đào tạo Gia Lâm” đưa ra các phương pháp chính để giải quyết bài toán Phần tiếp theo tác giả sẽ trình bày cơ sở lý thuyết để giải quyết bài toán

CHƯƠNG KIẾN THỨC LIÊN QUAN1:

1.1 Kiến thức cơ sở

1.1.1 Một số bộ giao thức kết nối mạng

1 1.1.1 Mô hình OSI

các hệ thống mở – là một thiết kế dựa vào nguyên lý tầng cấp, lý giải một cách trừu tượng kỹ thuật kết nối truyền thông giữa các máy tính và thiết kế giao thức mạng giữa chúng Nó còn được gọi là mô hình 7 tầng của OSI ] [5

Hình 1.1 Mô hình OSI

Mô hình tham chiếu OSI là một cấu trúc phả hệ có 7 tầng, nó xác định các yêu

cầu cho sự giao tiếp giữa hai máy tính Mục đích của mô hình là 

              Mô hình cho phép tất cả các thành phần của mạng hoạt động hòa đồng, bất kể thành phần

ấy do ai tạo dựng

Các tầng trong mô hình OSI:

Hình 1.2 Chức năng của 7 tầng trong mô hình OSI



TCP/IP là một hệ thống giao thức một tập hợp các giao thức hỗ trợ việc lưu - truyền trên mạng TCP/IP là bộ giao thức cho phép kết nối các hệ thống mạng không đồng nhất với nhau Ngày nay TCP/IP được sử dụng rộng rãi trong mạng cục bộ cũng như mạng toàn cầu

TCP/IP (Transmission Control Protocol/Internet Protocol) được xem là giản lược của mô hình OSI với 4 lớp sau: Application (tích hợp 3 lớp trên cùng của mô hình OSI), Transport (tương đương với lớp Transport của OSI), Internet (ứng với lớp Network nhưng chỉ sử dụng giao thức IP để định địa chỉ logic cho các máy tính)

và Network Access (bao gồm 2 lớp dưới cùng của mô hình OSI)

Hình 1.3 Mô hình TCP/IP

Mô hình TCP/IP gọn nhẹ hơn mô hình tham chiếu OSI, đồng thời có những biến đổi phù hợp thực tế hơn Ví dụ: lớp Vận chuyển của mô hình OSI quy định việc truyền

dữ liệu phải đảm bảo độ tin cậy hoàn toàn [1]][2]

Hình 1.4 TCP/IP đƣợc xem nhƣ giản lƣợc của mô hình tham chiếu OSI

1.1.1P/IP

Mỗi tầng trong TCP/IP có thể là một hay nhiều tầng của OSI Bảng sau chỉ rõ mối tương quan giữa các tầng trong mô hình TCP/IP với OSI

Physical Layer, Data Link Layer Network Access Layer

Session Layer, Presentation Layer, Application Layer Application Layer

Bảng 1.1 Bảng so sánh OSI với TCP/IP



- Cả hai đều phân lớp

- Cả 2 đều có lớp ứng dụng, từ đó chúng có các dịch vụ rất khác biệt

- Cả hai đều có lớp mạng và lớp vận chuyển gần giống nhau

- Cả hai đều cho các gói được chuyển mạch, có nghĩa là các gói riêng biệt có thể

đi theo các đường dẫn độc lập để đến cùng một đích Điều này là trái ngược với các mạng chuyển mạch nơi mà tất cả các gói đều phải đi trên cùng một đường dẫn duy nhất đến đích

 OSI  TCP/IP:

- TCP/IP kết hợp lớp trình bày và lớp phiên vào lớp ứng dụng (Tầng ứng dụng trong mô hình TCP/IP bao gồm luôn cả 3 tầng trên của mô hình OSI)

- TCP/IP kết hợp các lớp liên kết dữ liệu và lớp vật lý thành lớp truy nhập mạng.

- Tầng giao vận trong mô hình TCP/IP không phải luôn đảm bảo độ tin cậy của việc truyền tin như ở trong tầng giao vận của OSI mà cho phép thêm một lựa chọn khác là UDP

- TCP/IP đơn giản hơn vì có ít lớp hơn

- Các giao thức TCP/IP là các tiêu chuẩn mà Internet dùng để phát triển, như vậy mô hình TCP/IP có được sự tín nhiệm chỉ bởi các giao thức của nó Ngược lại, các mạng không được xây dựng trên giao thức OSI, mô hình OSI chỉ được dùng như là một hướng dẫn

- Sự khác biệt quan trọng giữa một mô hình và một giao thức thực sự được dùng trong thiết kế mạng Mô hình OSI sẽ được dùng để mô tả các giao thức TCP/IP

Hình 1.5 Sự khác nhau giữa OSI với TCP/IP

1.1.2 Mô hình mạng trạm chủ Client – Server

Đối với Client/ Server có 2 phần chính là hần S p erver hoạt động trên máy chủ

và phần Client hoạt động trên Client

Hình 1.6 Mô hình Client/ Server

phía Server, Client sẽ thực hiện việc giao tiếp với user, từ đó xác nhận những thông tin

từ người dùng rồi tạo lập các query, truyền tới Server

 Tiếp nhận các query string (chuỗi yêu cầu), sau đó phân

tích các query string, tiếp nhận xử lý dữ liệu và gửi kết quả tới Clients

Nguyên tắc hoạt động của mô hình Client - Server

Trong mô hình Client Server, server chấp nhận tất cả các yêu cầu hợp lệ từ mọi nơi khác nhau trên mạng, sau đó trả kết quả về máy tính đã gửi yêu cầu

Máy tính được coi là máy khách khi chúng làm nhiệm vụ gửi yêu cầu đến các máy chủ và đợi câu trả lời được gửi về

Để máy khách và máy chủ có thể giao tiếp được với nhau thì giữa chúng phải có một chuẩn nhất định, và chuẩn đó được gọi là giao thức Một số giao thức chuẩn được

sử dụng rộng rãi hiện nay như TCP/IP, OSI,… Khi đó, nếu máy khách muốn lấy được thông tin từ máy chủ, chúng phải tuân theo một giao thức mà máy chủ đó đưa ra Nếu yêu cầu đó được chấp nhận thì máy chủ sẽ thu thập thông tin và trả về kết quả cho máy khách yêu cầu Bởi thông thường, server luôn trong trạng thái sẵn sàng nhận yêu cầu từ các client, nên chỉ cần client gửi tín hiệu và chấp nhận yêu cầu là server sẽ trả về kết quả trong thời gian ngắn nhất có thể

Hình 1.7 Nguyên tắc hoạt động của mô hình Client - Server

các nút mạng nhỏ hơn 10 Km Mạng cục bộ LAN là hệ thống truyền thông tốc độ cao được thiết kế để kết nối các máy tính và các thiết bị xử lý dữ liệu khác nhau cùng hoạt động với nhau trong một khu vực địa lý nhỏ như ở một tầng của toà nhà, hoặc trong một toà nhà

1.2.1 Các thiết bị nối chính của LAN

1.2.1.1

Switch: Là thiết bị mạng thuộc  (Data Link Layer) của mô hình OSI Trong

khi một Bridge chỉ có 2 cổng để liên kết được 2 Segment mạng với nhau, thì Switch lại có

khả năng kết nối được nhiều Segment lại với nhau tuỳ thuộc vào số cổng trên Switch Switch cũng “học” thông tin của mạng thông qua các gói tin mà nó nhận được từ các máy trong mạng [3]

1.2.1.2

Bộ định tuyến (Router): Là thiết bị mạng  Network Layer) của mô hình OSI,

nó có thể tìm được đường đi tốt nhất cho các gói tin qua nhiều kết nối để đi từ trạm gửi thuộc mạng đầu đến trạm nhận thuộc mạng cuối

Router kết nối hai hay nhiều mạng IP với nhau Các máy tính trên mạng phải

“nhận thức” được sự tham gia của một Router, nhưng đối với các mạng IP thì một trong những quy tắc của IP là mọi máy tính kết nối mạng đều có thể giao tiếp được với Router

1.2.2 Cáp xoắn đôi

Đây là loại cáp gồm hai đường dây dẫn đồng được xoắn vào nhau nhằm làm giảm nhiễu điện từ gây ra bởi môi trường xung quanh và giữa chúng với nhau Đây là loại cáp

rẻ, dễ cài đặt tuy nhiên nó dễ bị ảnh hưởng của môi trường Hiện nay có hai loại cáp xoắn

là cáp có bọc kim loại (STP) và cáp không bọc kim loại (UTP - Unshield Twisted Pair) Cáp có bọc kim loại (STP): Lớp bọc bên ngoài có tác dụng chống nhiễu điện từ, có loại

có một đôi dây xoắn vào nhau và có loại có nhiều đôi dây xoắn với nhau Cáp không bọc kim loại (UTP): Tính tương tự như STP nhưng kém hơn về khả năng chống nhiễu và suy hao vì không có vỏ bọc [4]

1.3 Các dịch vụ mạng cơ bản

1.3.1 DHCP

DHCP - viết tắt của Dynamic Host Configuration Protocol (Giao thức cấu hình máy chủ động) là giao thức được sử dụng để giúp quản lý nhanh, tự động và tập trung việc phân phối địa chỉ IP bên trong một mạng DHCP cũng được sử dụng để cấu hình subnet mask, cổng mặc định và thông tin máy chủ DNS phù hợp trên thiết bị

Cách thức hoạt động của DHCP

- Bước 1: Máy trạm khởi động với "địa chỉ IP rỗng" cho phép liên lạc với máy chủ DHCP bằng giao thức UDP Nó chuẩn bị một thông điệp (DHCP Discover) chứa địa chỉ MAC (ví dụ địa chỉ của card Ethernet) và tên máy tính Thông điệp này có thể chứa địa chỉ IP trước đây đã thuê Máy trạm phát tán liên tục thông điệp này lên mạng cho đến khi nhận được phản hồi từ máy chủ

- Bước 2: Mọi máy chủ DHCP có thể nhận thông điệp và chuẩn bị địa chỉ IP cho máy trạm Nếu máy chủ có cấu hình hợp lệ cho máy trạm, nó chuẩn bị thông điệp đề nghị (DHCP Offer) chứa địa chỉ MAC của khách, địa chỉ IP đề nghị, mặt nạ mạng con (subnet mask), địa chỉ IP của máy chủ và thời gian cho thuê Địa chỉ đề nghị được đánh dấu là

"reserve" (để dành) Máy chủ DHCP phát tán thông điệp đề nghị này lên mạng

- Bước 3: Khi khách nhận thông điệp đề nghị và chấp nhận một trong các địa chỉ

IP, máy trạm phát tán thông điệp này để khẳng định nó đã chấp nhận địa chỉ IP và từ máy chủ DHCP nào

- Bước 4: Cuối cùng, máy chủ DHCP khẳng định toàn bộ sự việc với máy trạm

Để ý rằng lúc đầu máy trạm phát tán yêu cầu về địa chỉ IP lên mạng, nghĩa là mọi máy chủ DHCP đều có thể nhận thông điệp này Do đó, có thể có nhiều hơn một máy chủ DHCP tìm cách cho thuê địa chỉ IP bằng cách gửi thông điệp đề nghị Máy trạm chỉ chấp nhận một thông điệp đề nghị, sau đó phát tán thông điệp khẳng định lên mạng Vì thông

điệp n y được phát tán, tất cả máy chủ DHCP có thể nhận được nó Thông điệp chứa địa àchỉ IP của máy chủ DHCP vừa cho thuê, vì thế các máy chủ DHCP khác rút lại thông điệp chào hàng của mình và hoàn trả địa chỉ IP vào vùng địa chỉ, để dành cho khách hàng khác.

Giả sử người sử dụng muốn truy cập vào trang web có địa chỉ là www.vnn.vn

Hình 1.8 Cơ chế hoạt động của hệ thống DNS

- Bước 1: Chương trình trên máy người sử dụng gửi yêu cầu tìm kiếm địa chỉ IP ứng với tên miền www.vnn.vn tới máy chủ quản lý tên miền (name server) cục bộ thuộc mạng của nó

- Bước 2: Máy chủ tên miền cục bộ này kiểm tra trong cơ sở dữ liệu của nó có chứa cơ sở dữ liệu chuyển đổi từ tên miền sang địa chỉ IP của tên miền mà người sử dụng yêu cầu không Trong trường hợp máy chủ tên miền cục bộ có cơ sở dữ liệu này, nó sẽ gửi trả lại địa chỉ IP của máy có tên miền nói trên

- Bước 3: Trong trường hợp máy chủ tên miền cục bộ không có cơ sở dữ liệu về

tên miền này nó sẽ hỏi lên các máy chủ tên miền ở mức cao nhất (máy chủ tên miền làm việc ở mức ROOT) Máy chủ tên miền ở mức ROOT này sẽ chỉ cho máy chủ tên miền cục bộ địa chỉ của máy chủ tên miền quản lý các tên miền có đuôi VN

- Bước 4: Máy chủ tên miền cục bộ gửi yêu cầu đến máy chủ quản lý tên miền có đuôi (.VN) tìm tên miền www.vnn.vn Máy chủ tên miền quản lý các tên miền.VN sẽ gửi lại địa chỉ của máy chủ quản lý tên miền vnn.vn

- Bước 5: Máy chủ tên miền cục bộ sẽ hỏi máy chủ quản lý tên miền vnn.vn này địa chỉ IP của tên miền www.vnn.vn Do máy chủ quản lý tên miền vnn.vn có cơ sở dữ liệu về tên miền www.vnn.vn nên địa chỉ IP của tên miền này sẽ được gửi trả lại cho máy chủ tên miền cục bộ

- Bước 6: Máy chủ tên miền cục bộ chuyển thông tin tìm được đến máy của người

sử dụng Người sử dụng dùng địa chỉ IP này để kết nối đến server chứa trang web có địa chỉwww.vnn.vn

Ban đầu, NAT được đưa ra nhằm giải quyết vấn đề thiếu hụt địa chỉ của IPv4 NAT không những giúp chia sẻ kết nối Internet (hay 1 mạng khác) với nhiều máy trong LAN chỉ với 1 IP duy nhất mà còn che giấu IP bên trong LAN Ngoài ra, NAT còn giúp quản trị mạng lọc các gói tin được gửi đến hay gửi từ một địa chỉ IP và cho phép hay cấm truy cập đến một port cụ thể

Cơ chế hoạt động của NAT: NAT sử dụng IP của chính nó làm IP công cộng

cho mỗi máy con (client) với IP riêng Khi một máy con thực hiện kết nối hoặc gửi dữ liệu tới một máy tính nào đó trên nternet, dữ liệu sẽ được gửiI tới NAT, sau đó NAT sẽ thay thế địa chỉ IP gốc của máy con đó rồi gửi gói dữ liệu đi với địa chỉ IP của NAT Máy tính từ xa hoặc máy tính nào đó trên nternet khi nhận được tín hiệu sẽ gửiI gói tin trở về cho NAT computer bởi vì chúng nghĩ rằng NAT computer là máy đã gửi những gói dữ liệu đi NAT ghi lại bảng thông tin của những máy tính đã gửi những gói tin đi ra ngoài trên mỗi cổng dịch vụ và gửi những gói tin nhận được về đúng máy tính đó (client) NAT

xử lý một gói tin xuất phát từ bên trong đi ra bên ngoài một mạng theo cách thức sau:

- Khi NAT nhận một gói tin từ một cổng bên trong, gói tin này đáp ứng các tiêu chuẩn để NAT, Router sẽ tìm kiếm trong bảng NAT địa chỉ bên ngoài (outside address) của gói tin Nói cách khác, tiến trình NAT tìm kiếm một hàng ở trong bảng NAT trong đó địa chỉ outside local address bằng với địa chỉ đích của gói tin Nếu không có phép so trùng nào tìm thấy, gói tin sẽ bị loại bỏ

- Nếu có một hàng trong bảng NAT là tìm thấy (trong hàng này, địa chỉ đích của gói tin bằng với địa chỉ outside local), NAT sẽ thay thế địa chỉ đích trong gói tin bằng địa chỉ outside global theo thông tin trong bảng NAT

- Tiến trình NAT tiếp tục tìm kiếm bảng NAT để xem có một địa chỉ inside local nào bằng với địa chỉ nguồn của gói tin hay không Nếu có một hàng là tìm thấy, NAT tiếp tục thay thế địa chỉ nguồn của gói tin bằng địa chỉ inside global Nếu không có một hàng nào được tìm thấy, NAT sẽ tạo ra một hàng mới trong bảng NAT và chèn địa chỉ mới vào trong gói tin

theo cách sau:

+ Bước 1: Khi NAT nhận được một gói tin xuất phát từ một cổng bên ngoài, đáp ứng các tiêu chuẩn để NAT, tiến trình NAT sẽ tìm kiếm trong bảng NAT một hàng trong

đó địa chỉ inside global là bằng với địa chỉ đích của gói tin

+ Bước 2: Nếu không có hàng nào trong bảng NAT được tìm thấy, gói tin bị loại

bỏ Nếu có một hàng tìm thấy trong bảng NAT, NAT sẽ thay thế địa chỉ đích bằng địa chỉ inside local từ bảng NAT

+ Bước 3: Router tìm kiếm bảng NAT để tìm ra địa chỉ outside global bằng với địa chỉ nguồn của gói tin Nếu có một hàng là tìm thấy, NAT sẽ thay thế địa chỉ đích bằng địa chỉ outside local từ bảng NAT Nếu NAT không tìm thấy một hàng nào, nó sẽ tạo ra một hàng mới trong bảng NAT và cũng thực hiện như ở bước 2

Hình 1.9 Cơ chế hoạt động của NAT

1.3.4 VLAN

VLAN là cụm từ viết tắt của Virtual Local Area Network hay còn được gọi

là mạng LAN ảo VLAN là một kỹ thuật cho phép tạo lập các mạng LAN độc lập một cách logic trên cùng một kiến trúc hạ tầng vật lý Việc tạo lập nhiều mạng LAN ảo trong cùng một mạng cục bộ giúp giảm thiểu miền quảng bá (Broadcast Domain) cũng như tạo thuận lợi cho việc quản lý một mạng cục bộ rộng lớn

Hiện nay, VLAN đóng một vai trò rất quan trọng trong công nghệ mạng LAN Để thấy rõ được lợi ích của VLAN, chúng ta hãy xét trường hợp sau: Giả sử một công ty có 3

bộ phận là Engineering, Marketing, Accounting, mỗi bộ phận trên lại trải ra trên 3 tầng

Hình 1.10 Ví dụ về một mạng LAN

Để kết nối các máy tính trong một bộ phận với nhau thì ta có thể lắp cho mỗi tầng một Switch Điều đó có nghĩa là mỗi tầng phải dùng 3 witch cho 3 bộ phận, nên để kết Snối 3 tầng trong công ty cần phải dùng tới 9 Switch Rõ ràng cách làm trên là rất tốn kém

mà lại không thể tận dụng được hết số cổng (Port) vốn có của một Switch Chính vì lẽ đó, giải pháp VLAN ra đời nhằm giải quyết vấn đề trên một cách đơn giản mà vẫn tiết kiệm được tài nguyên

Như hình vẽ trên ta thấy mỗi tầng của công ty chỉ cần dùng một Switch, và Switch này được chia VLAN Các máy tính ở bộ phận kỹ sư (Engineering) thì sẽ được gán vào VLAN Engineering, các PC ở các bộ phận khác cũng được gán vào các VLAN tương ứng là Marketing và kế toán (Accounting) Cách làm trên giúp ta có thể tiết kiệm tối đa số switch phải sử dụng đồng thời tận dụng được hết số cổng (Port) sẵn có của Switch

1.3.5 Firewall

Firewall (Tường lửa) là một hệ thống an ninh mạng, có thể dựa trên phần cứng hoặc phần mềm, sử dụng các quy tắc để kiểm soát vào, ra khỏi hệ thống Tường lửa hoạt động như một rào chắn giữa mạng an toàn và mạng không an toàn Nó kiểm soát các truy cập đến nguồn lực của mạng thông qua một mô hình kiểm soát chủ động Nghĩa là, chỉ những gì phù hợp với chính sách được định nghĩa trong tường lửa mới được truy cập vào mạng, mọi cái khác đều bị từ chối

Nguyên lý hoạt động của Firewall

Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS …) thành các gói dữ liệu (data packets) rồi gán cho các packet này những địa chỉ có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng

Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được Nó kiểm tra toàn

bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật lệ

của lọc packet hay không Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (header), dùng để cho phép truyền các packet đó ở trên mạng Bao gồm:

- Địa chỉ IP nơi xuất phát (Source)

- Địa chỉ IP nơi nhận (Destination)

- Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …)

- Cổng TCP/UDP nơi xuất phát

- Cổng TCP/UDP nơi nhận

- Dạng thông báo ICMP

- Giao diện Packet đến

- Giao diện Packet đi

Nếu Packet thỏa mãn các luật lệ đã được thiết lập trước của Firewall thì packet đó được chuyển qua, nếu không thỏa mãn thì sẽ bị loại bỏ Việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định được phép mới vào được

hệ thống mạng cục bộ Lưu ý là do việc kiểm tra dựa trên Header của các packet nên bộ lọc không kiểm soát được nội dụng thông tin của Packet Các Packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu

1.3.6 Email

Quá trình gửi nhận một Email

- Bước : Sau khi soạn tin nhắn và nhấn gửi, khách hàng email sẽ kết nối với máy 1chủ SMTP thuộc tên miền của email

- Bước 2: Khách hàng email liên lạc với máy chủ SMTP, cho nó địa chỉ email, địa chỉ email của người nhận, nội dung thư và bất kỳ file đính kèm

- Bước 3: Các máy chủ SMTP xử lý địa chỉ email của người nhận đặc biệt là - phạm vi của nó Nếu tên miền là giống như người gửi, tin nhắn sẽ được chuyển trực tiếp qua máy chủ POP3 hoặc IMAP của tên miền không cần định vị đường đi khi các máy -chủ cùng tên miền Tuy nhiên, nếu tên miền là khác nhau, các máy chủ SMTP sẽ phải giao tiếp với máy chủ của tên miền khác

- Bước 4: Để tìm thấy máy chủ của người nhận, máy chủ SMTP của người gửi phải giao tiếp với các DNS, hoặc các máy chủ quản lý tên miền Các DNS lấy tên miền email của người nhận và chuyển nó thành một địa chỉ IP Máy chủ SMTP của người gửi

có thể không gửi một email đúng với một tên miền riêng; một địa chỉ IP là một số duy nhất được gán cho mỗi máy tính được kết nối với Internet Khi biết thông tin này, một máy chủ mail gửi đi có thể thực hiện công việc của mình hiệu quả hơn

- Bước 5: Các máy chủ SMTP có địa chỉ IP của người nhận, nó có thể kết nối với máy chủ SMTP của nó

- Bước 6: Máy chủ SMTP của người nhận quét các tin nhắn gửi đến Nếu nhận ra những tên miền và tên người sử dụng, nó sẽ chuyển các thông điệp tới máy chủ POP3 hoặc IMAP của tên miền Từ đó, nó được đặt trong một hàng đợi cho đến khi khách hàng email của người nhận cho phép nó được tải về Vào thời điểm đó, các thông điệp có thể được đọc bởi người nhận

CHƯƠNG 2 KHẢO SÁT YÊU CẦU:

2.1 Sơ lược về PGD và ĐT Gia Lâm

Phòng giáo dục và đào tạo Gia Lâm là đơn vị hành chính nhà nước thuộc huyện Gia Lâm, thành phố Hà Nội Cơ quan đang xây dựng có 76 cán bộ nhân viên, làm việc trực tiếp tại cơ quan

2.2 Khảo sát hiện trạng

2 .2.1 Vị trí địa lý

Trụ sở tại xã Cổ Bi – huyện Gia Lâm – thành phố Hà Nội Tòa nhà cần xây dựng hệ thống là toà nhà 3 tầng cao 10.5m (mỗi tầng cao khoảng 3.5m) và mỗi một tầng có diện tích là 402,5m2 (kể cả diện tích cầu thang, nhà vệ sinh và hành lang) Chi

tiết các phòng ban theo tầng như Bảng 2.1

Tầng 1

Phòng Phó phòng 1 Văn phòng

Phòng Tổ ầ M m №n Phòng Tổ ể Ti u H c ọPhòng Nghiệp vụ và Thanh tra giáo dục Phòng Đoàn Đội

Phòng Bảo vệ Phòng Nhân viên tạp vụ

Cầu thang đi bộ 1 + WC t ng 1 ầHành lang tầng 1

Tầng 2

Phòng Phó phòng 2 Phòng Tổ THCSPhòng Tổ GD thư ng xuyên ờ

Phòng Phổ cập Giáo Dục Phòng hộ ọi h p

Phòng IT Phòng Server Phòng Quản lý cơ sở vật chất – trang thiết bị

Cầu thang đi bộ 3 + WC t ng 3 ầHành lang tầng 3

Cơ cấ ổu t ch c c a Phòng Giáo dứ ủ ục và Đào ạ t o, gồm có: Ban lãnh đạo, các b ộ

ph n chuyên môn ậ nghiệp ụ v và các b ph n chuyên trách thuộ ậ ộc Phòng GDĐT

Ban lãnh đạo Phòng Giáo dục và Đào tạo gồm có: Trưởng Phòng và 2 phó phòng

Phòng Giáo dục và Đào Gia Lâm có 16 phòng ban với 76 cán bộ và nhân viên

Cơ cấu tổ chức bộ máy như Bảng 2.2

1

1 Phó phòng

5 nhân viên Văn phòng

5 chuyên viên T Mổ ầm Non

5 chuyên viên T ổTiểu H c ọ

5 cán b ộ Nghiệp vụ và Thanh tra giáo dục

5 chuyên viên T ổ GD thường xuyên

5 chuyên viên T ổ Phổ cập Giáo Dục

5 cán b ộ Tổ chức cán bộ

3

1 Trưởng phòng

5 cán b ph ộ ụ trách Công Đoàn

5 nhân viên K toán - ế Tài chính

5 cán b ộ Quản lý cơ sở vật chất trang thiết bị–

2.2.5 Chức năng, nhiệm vụ của từng bộ phận

Trong luận văn, tác giả ự d ki n thi t k mô hình mế ế ế ạng LAN cho PGD và Đào

t o Gia Lâm và h ạ ệthống có các t ng mầ ạng được chia thành các VLAN khác nhau, yêu

c u c a h ầ ủ ệ thống có s phân quyự ền giữa các VLAN Để đả m b o tính an toàn thông tin ảkhi ghép các máy thuộc các phòng ban theo chức năng vào thành một VLAN thì tác gi ả

có kh o sát chả ức năng, nhiệm v c a t ng b phụ ủ ừ ộ ận để ph c v o vi c phân chia các ụ ụ ch ệVLAN (Mục 3.3.2.) Thông tin như sau:

Phó phòng 1: Quản lý chung về hoạt động của các tổ Mầm Non, Tiểu Học,

Nghiệp vụ và Thanh tra giáo dục

Phổ cập Giáo Dục

Khi M m №n:  Quản lý toàn b các hoộ ạ ột đ ng của các trường M m №n ầ

Khi Ti u H c  : Quản lý toàn b các ho t đ ng c a các trư ng Ti u H c.ộ ạ ộ ủ ờ ể ọ

 THCS : Quản lý toàn b các ho t đ ng c a các trư ng THCS.ộ ạ ộ ủ ờ

   ng xuyên: Quản lý toàn b các hoộ ạt động của các trường GD thường xuyên

Tham mưu giúp Trưởng phòng trong công tác tổ chức

và cán bộ

Xây dựng và thực hiện các chính sách liên quan đến quyền lợi và

nghĩa vụ của công nhân, viên chức

Tổ chức hoạt động tạo môi trường giáo dục, rèn luyện đoàn viên của

Phòng K toán - Tài chính:  Lên bảng lương, thưởng hàng tháng đồ ng thời thực

hi n vi c thu, chi tài chính ph c v các hoệ ệ ụ ụ ạt động của cơ quan đúng với ch ế độ tài chính và k hoế ạch được c p phát, th c hi n vi c chi tr ấ ự ệ ệ ả lương cho CBCNV trong cơ

quan

trong thẩm quyền, lưu trữ các dữ liệu, văn bản tài liệu của PGD

   Quản lý khách vào – ra cơ quan, bảo vệ cơ sở vật chất của PGD nói chung

Vệ sinh các phòng ban

2 .2.6 Nhu cầu sử dụng dịch vụ

- PGD & ĐT Gia Lâm cần thiết kế một hệ thống mạng tối ưu để đi vào làm việc

- Mọi người đều đều có 1 máy bàn riêng để làm việc

- Cần chia sẻ tài nguyên, máy in dùng chung

- Sử dụng Internet

- Nhân viên in ấn, photocopy trực tiếp trên thiết bị cá nhân của mình

- Dù ở xa hay đi công tác mọi nhân viên có thể truy cập vào Web hay Mail nội bộ

- M i t ng s g m 1 Wifi cho guest (khách), ch k t n i v i ỗ ầ ẽ ồ ỉ ế ố ớ Internet, không có quy n truy về ấn đến các VLAN khác trong m ng và 1 Wifi cho nhân viên ạ

- Sử dụng Mail nội bộ để trao đổi thông tin với nhau

- Cơ quan có hệ thống dữ liệu được chia sẻ và có sự phân quyền quản lý Phân quyền chia sẻ thư mục cho từng đối tượng cụ thể (Ban lãnh đạo – các ban nghành)

- Cần 1 VLAN dùng cho hệ thống Quản lý gồm Trưởng, phó phòng đào tạo, Thanh tra GD, được phân quyền và kết nối với toàn bộ nên VLAN này có thể kết nối được đến tất cả các đến các VLAN trong hệ thống và dịch vụ

- Còn các hệ thống khác không có quyền có thể kết nối được đến các VLANtrong hệ thống và dịch vụ khác

- VLAN 10: Dùng cho h ệ thống khách (Guest), ch k t n i v i Internet, không ỉ ế ố ớ

có quy n truy về ấn đến các VLAN khác trong m ng ạ

- C n 1 VLAN dùng cho h ầ ệthống Tài chính K toán chuyên x lý v– ế ử ấn đề tài chính

- C n 1 VLAN dùng cho h ầ ệ thống chuyên trách v nhân s , gề ự ồm ổ chứT c cán

bộ, Công đoàn, Đoàn đội và Văn phòng

- C n 1 VLAN dùng cho h ầ ệ thống chuyên trách v các b ph n chuyên môn ề ộ ậ

g m các t M m №n, Ti u h c, THCS, GD ồ ổ ầ ể ọ thường xuyên và Bộ phận Phổ cập Giáo Dục

- C n 1 VLAN chuyên trách vầ ề hệ thống Quản lý CSVC Trang thi t b – ế ị

- C n 1 VLAN dầ ùng cho hệ thống phòng LAB và bộ ph n IT ậ

CHƯƠNG 3: THIẾT KẾ HỆ THỐNG VÀ TRIỂN KHAI THỬ NGHIỆM 3.1 Thiết kế hệ thống

- Trên hệ thống cần có mạng LAN đến các phòng ban Các phòng ban có quyền truy xuất dữ liệu dùng chung đặt tại Server

- Hệ thống phải phân cấp phân quyền theo chức năng

- Quản lý tập chung

- Mở rộng băng thông giúp giao thông trong mạng giảm thiểu tắc nghẽn do cùng

một lúc có nhiều người truy cập

- Mức độ yêu cầu an toàn mạng cao, bảo mật cao, giúp mạng nội bộ có thể tránh được sự truy cập trái phép từ bên ngoài Kiểm soát được luồng thông tin giữa mạng nội

bộ và mạng Internet, kiểm soát và cấm địa chỉ truy cập

- Khả năng kết nối Internet nhanh chóng

3.2 Thiết kế mô hình mạng

Trong m t mô hình m ng h p lý c n ph i phân biộ ạ ợ ầ ả ệt rõ ràng gi a các vùng mữ ạng theo chức năng và thiết l p các chính sách an toàn thông tin riêng cho t ng vùng m ng ậ ừ ạtheo yêu cầu th c tự ế Trước tiên ta c n tìm hiầ ểu về các thành phần trong mô hình mạng

Vùng mng n i b :   Còn g i là mọ ạng LAN (Local Area Network), là nơi đặt các thi t bế ị mạng, máy tr m và máy chạ ủ thu c mạng nộ ộộ i b của đơn vị

Vùng m ng DMZ:  Vùng DMZ là một vùng m ng trung l p giạ ậ ữa m ng n i b và ạ ộ ộmạng Internet, là nơi chứa các thông tin cho phép người dùng t Internet truy xuừ ất vào và chấp nh n các r i ro tậ ủ ấn công t ừInternet Các dịch vụ thường được triển khai trong vùng DMZ là máy chủ Web, máy ch Mail, máy ch ủ ủDNS,

Vùng m ng Server:  Vùng mạng Server hay Server Farm, là nơi đặt các máy ch ủkhông trực tiếp cung cấp dịch vụ cho mạng Internet Các máy ch ủtriển khai vùng mở ạng này thường là Database Server, LDAP Server (Lightweight Directory Access Protocol Đây là chuẩn cho d ch vụ thư mục (Directory Service - DS) ch y trên nị ạ ề ản t ng OSI.),…

Vùng mng Internet: Còn gọi là mạng ngoài, kế ốt n i v i mớ ạng Internet toàn cầu

Tạo sự an toàn cho các hệ thống

mạng và các cổng thông tin điện tử Đây là cơ sở đầu tiên cho việc xây dựng các hệ thống phòng thủ và bảo vệ Ngoài ra, việc tổ chức mô hình mạng hợp lý có thể hạn chế được các tấn công từ bên trong và bên ngoài một cách hiệu quả

3.3 Thiết kế mô hình logic

3.3.1 Sơ đồ logic

Hình 3.1 Sơ đồ logic

3.3.2 Phân chia các VLAN

Trong h ệ thống có các t ng mầ ạng được chia thành các VLAN khác nhau, yêu

c u cầ ủa hệ thống có s phân quy n gi a các VLAN ự ề ữ

Thực hiện xây dựng một hệ thống mạng nội bộ trong phạm vi một toà nhà 3 tầng có 7 VLAN được thiết kế như sau:

VLAN 100: Dùng cho h ệthống khách (Guest), ch kỉ ết nố ới v i Internet

VLAN 20: Dùng cho h ệthống Tài chính K toán – ế

VLAN 30: Dùng cho h ệ thống Qu n lý gả ồm Trưởng, phó phòng đào tạo, Thanh tra GD

VLAN 40: Dùng cho h ệ thống T ổ chức cán bộ, Công đoàn, Đoàn đội và Văn phòng

VLAN 50: Dùng cho h ệ thống các b ộ phận chuyên môn (M m №n, Ti u hầ ể ọc, THCS, GD thường xuyên, B ph n Ph c p Giáo D c) ộ ậ ổ ậ ụ

VLAN 60: Dùng cho h ệthống Qu n lý CSVC ả –Trang thiết bị

Trong tương lai, khi PGD m r ng các phòng ban chở ộ ức năng, có thể thi t l p ế ậ

t ng VLAN riêng cho các ban nghành ừ

3.3.3 Thiết lập địa chỉ cho các VLAN

- Bảng chia địa chỉ ip

HTTP 203.1.1.2 80 192.168.5.5 80

Bảng 3.2 Bảng địa chỉ NAT trên Router

3.3.4.2 NAT trên Firewall

(IP của Web Server)

Bảng 3.3 Bảng địa chỉ NAT trên Firewall

3.3.5 Xây dựng chiến lược khai thác và quản lý tài nguyên mạng

Chiến lược này nhằm xác định ai được quyền làm gì trên hệ thống mạng Ví dụ trưởng phòng sẽ được quyền gì, quyền của bộ phận chuyên môn nghiệp vụ khác bộ

phận phục vụ như thế nào 

việc phân quyền được thực hiện trên các nhóm người dùng Ví dụ nhóm Quản lý, nhóm

Tài chính kế toán, nhóm bộ phận chuyên môn… 

Phân chia các VLAN)

3.3.6 Ràng buộc về băng thông ( bandwidth) tối thiểu trên mạng

Giả sử trung bình mỗi một nhân viên sử dụng là 0,5Mbps, PGD có 76 nhân viên,

sử dụng với hiệu suất là 70% Vậy thì băng thông tối thiểu trên mạng với hiệu suất 100% sẽ là:

0,5 Mbps x 76 x 100/70 = 54,29 Mbps

Do đó PGD nên thuê một đường truyền Internet từ nhà cung cấp VNPT ới vđường truyền Internet có tốc độ tương đối cao 55 Mbps để phục vụ công việc

3.3.7 Thiết kế an ninh hệ thống và mức độ yêu cầu an toàn mạng

 ng l a: S d  ử ụng tường lửa ở ớp phía ngoài nằm ngay sau bộ định tuyến kết lnối với các mạng diện rộng khác nhằm bảo vệ sự thâm nhập từ bên ngoài vào trong

mạng của trung tâm Trên cơ sở phân tích, tác giả sẽ sử dụng   

thống mạng của Phòng Giáo Dục Chặn cấm các trang Web độc hại Quản lý việc truy nhập Internet

Internet và các máy trạm Một giải pháp phòng chống tập trung theo mô hình Server cộng với giải pháp quét ngăn ngừa mã độc hại qua kết nối Internet có thể đáp ứng được nhu cầu

Client-3.4 Xây dựng mô hình physic

Fa 0/9 Web Server DMZ của vùng DMZ

Fa 0/10 Mail Server DMZ của vùng DMZ

3 Core Switch

Fa 0/2 Access Switch 1 của tầng 1

Fa 0/3 Access Switch 2 của tầng 1

Fa 0/4 Access Switch 1 của tầng 2

Fa 0/5 Access Switch 2 của tầng 2

ầ

Fa 0/7 Access Switch 2 của tầng 3

Fa 0/23 AD Server của vùng Server

Fa 0/24 DHCP Server của vùng Server

Bảng 3.4 Bảng mô tả các cổng kết nối

3.4 .2 Các Server cần thiết trong hệ thống

Server: Đóng vai trò là Active directory, phân giải tên miền, cấp IP cho các VLAN, làm File Server chia sẻ cho các User, dùng để lưu trữ ữ liệ d u trên Website …

3.4.2.1 DHCP Server: Để cung cấp địa ch IP cho toàn b h th ng vì m i thi t ỉ ộ ệ ố ọ ế

b k t n i vào mị ế ố ạng đều c n mầ ột địa ch IP và a ch ỉ đị ỉ IP đó thường đượ ấc c p phát bởi máy ch DHCP (DHCP Server) tích h p trên Router ủ ợ

3.4.2.2 DNS Server: Phòng giáo d c s dụ ử ụng Domain để ễ d dàng qu n lý các ảmáy tr m cạ ủa nhân viên trong cơ quan DNS Server đượ ựng lên đểc d phân gi i nh ng ả ữDomain đó

3.4.2.3 File Server: D ữ liệu được qu n lý 1 cách tả ập trung, đồng th i b o mờ ả ật

d u cữliệ ủa cơ quan khi mỗi User đều được cấp quy n h n truy c p riêng ề ạ ậ

3.4.2.4 Web Server: Là h ệ thống dùng để lưu trữ ữ liệ d u trên Website, để phục

v nhân viên truy c p vào Website mụ ậ ột cách đơn giản, d dàng ễ

3.4.2.5 Mail Server: Dùng để trao đổi, g i Mail gi a các b phử ữ ộ ận trong cơ quan

v i nhau và nhân viên có th nh n Mail và gớ ể ậ ửi Mail bình thường khi đi công tác xa

3.4 .3 Các thiết bị phần cứng

4.1.3.1 Router: Để ế ố k t n i ra vùng Internet S d ng 1 con Router d ch v tích ử ụ ị ụ

h p (29) c a Cisco 2911 cung c p d ch v d u, tho i, video và ng d ng b o mợ ủ ấ ị ụ ữ liệ ạ ứ ụ ả ật cao Các tính năng chính bao gồm: 3 c ng Ethernet 10/100/1000 tích h p (ch dành cho ổ ợ ỉRJ-45)

3.4.3.2 Core Switch: Để ế ố k t n i các Switch Access, Firewall, Router S d ng 1 ử ụCore Switch 2960-24 ports

3.4.3.3 Access Switch: Đóng vai trò chia VLAN, k t n i vào máy tr m, wifi ế ố ạ

S d ng 6 Acess Switch 2960-24 ports ử ụ

3.4.3.4 Cáp: Chọn cáp dùng cho h ệ thống là lo i cáp m ng CAT5e ạ ạ có lõi đặc

với băng thông lên đến 100Mhz, đặc biệt được h ỗtrợEthernet Gigabit ốc độ t cao với

kh ả năng truyề ải lên đến t n 1Gb/s

3.4.3.5 Firewall: Để ch n cặ ấm các trang Web độc h i và qu n lý vi c truy nh p ạ ả ệ ậInternet Sử ụ d ng 1 Wirewall Cisco lo i ASA 5506-X, 8 c ng, Công ngh Gigabit ạ ổ ệEthernet, chuẩn m ng 10/100 / 1000Base-T ạ

3.4.3.Phát Wifi cho khách và cho nhân viên trong các t ng S ầ ử

d ng 6 Wifi lo i WRT300N ụ ạ

3.4.3 Dùng đểliên k t gi a hai Switch ho c gi a m t Router và ế ữ ặ ữ ộ

m t Switch truy n tộ ề ải lưu lượng của nhiều VLAN