Thiết kế và xây dựng hệ thống bảo mật mạng doanh nghiệp

Trớc đây nhu cầu vềmạng máy tính đơn giản và cha phục vụ nhiều trong các công việc hàng ngày,bởi vậy các thiết bị mạng cũng đơn sơ cha có gì, chỉ cần một Hub nối các máytính lại với nhau

Lời cảm ơn

Trong thời gian thực hiện đồ án Thiết kế và xây dựng hệ thống bảo mật mạng doanh nghiệp , chúng em đã nhận đợc sự hớng dẫn, chỉ bảo và giúp đỡ tận tình của các thầy giáo, cô giáo tại khoa CNTT Vậy cho phép chúng em đợc bày tỏ lòng biết ơn sâu sắc tới sự giúp đỡ đó Đặc biệt chúng em xin chân thành

cảm ơn Ths.Nguyễn Thị Minh Tâm - Ngời đã hớng dẫn và tạo mọi điều kiện

thuận lợi giúp đỡ chúng em hoàn thành đồ án này một cách chính xác và kịp thời.

Qua đây chúng em cũng xin cảm ơn gia đình, bạn bè đã giúp đỡ và động viên chúng em hoàn thành đồ án này.

Vinh, ngày 10 tháng 5 năm 2010

Mục lục

Mục lục 1

Lời nói đầu 3

Phần I Cơ sở hạ tầng mạng và mạng Doanh nghiệp 4

Chơng I: Cơ sở hạ tầng 4

I Tổng Quan về mạng máy tính 4

II Cơ sở lý thuyết về Router 6

1.Kiến thức phần cứng của Router 6

a) Kiến trúc bên trong của Router 6

b) Kiến trúc bên ngoài của Router 8

2 Chức năng của Router 9

3 Quá trình định tuyến 10

III Cở sở lý thuyết về Switch 12

1 Kiến trúc phần cứng của Switch 12

a) Kiến trúc bên trong của Switch 13

b) Kiến trúc bên ngoài của Switch 13

2 Các phơng pháp quản trị Switch 14

a) Dùng bộ Cisco cluster Management Suite 14

b) Dùng ứng dụng CiscoView 14

c) Dùng SNMP (Simple Network Management Protocol) 15

3 Cơ chế hoạt động của Switch 15

b) Cơ chế chuyển tiếp gói dữ liệu 17

c) Cơ chế STP 18

4 Các phơng thức chuyển tiếp 21

5 Các chức năng của Switch 21

IV Các thiết bị khác 23

Chơng II 24

Mạng Doanh nghiệp 24

I Domain 24

1 Domain controller là gì và lựa chọn thế nào cho hợp với cơ sở hạ tầng mạng 24

II DNS Server 27

III Mạng riêng ảo ( VPN ) 27

Phần II 29

Triển khai xây dựng hệ thống an ninh mạng 29

I Sơ đồ logic của hệ thống mạng 29

1 Server Domain Controller 29

2 Máy chủ WebServer 29

3 Máy chủ VPN Server 30

II Xây dựng hệ thống 30

1 Giới thiệu về Server Core và các bớc thiết lập máy chủ Domain Controller 30

2 Cấu hình WebServer và Remote Manager, IAS Server 39

3 Thiết lập các thông số cần thiết và cấu hình bảo mật máy chủ VPN Server 46

4 Cấu hình VPN Client Remote Access vào mạng doanh nghiệp thông qua cơ chế bảo mật L2TP/IPSec 51

III Bảo mật hệ thống và các dịch vụ cung cấp trong mạng 55

1 Cấu hình chính sách an ninh cho ngời dùng trong các OU 55

2 Xây dựng cơ chế ủy quyền quản trị cho tài khoản đợc quyền quản lý. .57

3 Cấu hình các chính sách an ninh trên toàn hệ thống mạng doanh nghiệp 59

4 Xây dựng chính sách an ninh trong việc sử dụng phần mềm trên toàn mạng 62

5 Hoạch định quyền truy cập vào các Resource trên WebServer của doanh nghiệp 65

Kết luận 69

tài liệu tham khảo 70

Lời nói đầu

Cách mạng máy tính cùng với tốc độ phát triển nhanh chóng và ứng dụngrộng rãi các công nghệ mạng đã làm thay đổi môi trờng làm việc và sinh hoạtcủa con ngời Trong các cơ quan, xí nghiệp nhờ có sự hỗ trợ của các hệ thốngmạng máy tính và đặc biệt là internet toàn cầu, ngời lao động không những cóthể khai thác tối đa nguồn tài nguyên thông tin cơ quan, xí nghiệp và trên thếgiới mà còn trực tiếp trao đổi với nhau ở bất kì vị trí địa lý nào, từ đó đa ra quyết

định trong sản xuất kinh doanh, thúc đẩy quá trình sản xuất phát triển để đápứng cho xã hội

Mặc dù quản trị mạng là một trong các lĩnh vực rất quan trọng trong hầuhết các doanh nghiệp Nhng hiện nay rất nhiều doanh nghiệp ở Việt Nam cha có

sự quan tâm đúng mức đến cơ sở hạ tầng mạng và vấn đề về an ninh mạng dẫn

đến các điều đáng tiếc nh hacker tấn công, virus phát tán, thông tin quan trọngcủa doanh nghiệp bị đánh cắp Do đó việc thiết lập xây dựng hoàn chỉnh một hệthống an ninh cho mạng doanh nghiệp là điều hết sức quan trọng nó là một thànhphần không thể thiếu trong sự phát triển của doanh nghiệp Từ những lý do trênchúng em xây dựng đề tài này với mong muốn có thể đa ra một đồ án có tínhkhái quát và mang tính thực tiễn cao có thể áp dụng cho các doanh nghiệp vừa vànhỏ

Trong khuôn khổ đồ án tốt nghiệp, do thời gian có hạn và vốn kiến thứccòn nhiều hạn chế nên những kết quả mà chúng em đạt đợc ở đây chắc chắn cònnhiều thiếu sót Chúng em mong nhận đợc nhiều ý kiến đóng góp của quý thầycô và bạn bè

Vinh, tháng 5 năm 2010

Phần I Cơ sở hạ tầng mạng và mạng Doanh nghiệp

Chơng I: Cơ sở hạ tầng

I Tổng Quan về mạng máy tính

Nhu cầu về mạng máy tính cũng nh mọi thứ khác, tại mỗi thời điểm sẽ cócác thiết bị mạng khác nhau ứng với các nhu cầu khác nhau Trớc đây nhu cầu vềmạng máy tính đơn giản và cha phục vụ nhiều trong các công việc hàng ngày,bởi vậy các thiết bị mạng cũng đơn sơ cha có gì, chỉ cần một Hub nối các máytính lại với nhau nh sơ đồ dới đây:

Hình 1.1: Sơ đồ nối Hub với máy tính

Trong sơ đồ mạng này khi một máy tính truyền cho một máy tính kháctrên mạng thì tất cả các máy khác trên mạng đều nhận đợc, điều này sẽ ảnh hởngrất lớn đến toàn mạng vì nh thế sẽ tốn băng thông và khi có nhiều máy tính cùngtruyền sẽ gây ra đụng độ lớn trong mạng từ đó có thể gây tắc nghẽn mạng Bêncạnh đó bất kỳ máy tính nào trong mạng đều có thể trao đổi thông tin, điều này

ảnh hởng đến tính riêng t và khả năng bảo mật thông tin

Những mạng kiểu nh thế này sẽ không phù hợp với thực tế ngày nay củamạng máy tính Vì yêu cầu khả năng về thời gian truyền, về miền đụng độ, miềnquảng bá, về bảo mật thông tin trên mạng là rất quan trọng đối với các công ty

Để đáp ứng nhu cầu ngày càng cao thì các thiết bị mạng ngày càng phát triển để

đáp ứng nhu cầu của các công ty Các thiết bị nh Router, Switch sẽ khắc phục

đ-ợc các yêu cầu về băng thông, về miền đụng độ miền quảng bá và về bảo mật

thông tin Ngoài ra còn có các thiết bị khác có những u điểm cao hơn rất nhiều

nh Pix 525,512,535 , VPN

Trong sơ đồ mạng sau sẽ thể hiện đợc các tính u việt này

Hình 1.2: Sơ đồ VLAN

Trong mạng này việc quản lý đã đợc nâng cấp hơn trớc, các máy tính đã

đợc phân chia thành các VLAN để tăng thêm tính u việt của mạng, các thiết bị

sử dụng trong mạng không còn đơn giản nh trớc chỉ có chức năng làm cầu nốigiữa các thiết bị đầu cuối, mà ở đây ngời quản trị còn có thể điều hành đuợc rấtnhiều vấn đề và bảo mật thông tin cũng đảm bảo an toàn hơn Các thiết bị mạngchủ yếu hoạt động ở lớp 1, 2, 3 trong mô hình OSI nh hình dới đây:

Hình 1.3: Mô hình OSI

Router là thiết bị hoạt động ở lớp 3 (lớp Network) có chức năng địnhtuyến, còn Switch là thiết bị lớp 2 (lớp Data Link) có chức năng chuyển tiếp góidữ liệu ra cổng cần Đều là hai thiết bị thờng thấy chủ yếu trong mạng máy tínhhiện nay Ngoài ra còn có các thiết bị nh Hub, Bridge, Repeater… Nhng tronggiới hạn đồ án em chỉ trình bày về Router, Switch là chủ yếu

II Cơ sở lý thuyết về Router

1.Kiến thức phần cứng của Router

a) Kiến trúc bên trong của Router

Router về bản chất nó cũng giống nh một máy tính, nó có đầy đủ cácthành phần chính của một máy tính nh Ram, Rom, Bộ vi xử lý

Interface

Interface

Auxiliary Console

NVRAM

•cấu hỡnh khởi động / dự phũng

NVRAM

•cấu hỡnh khởi động / dự phũng

cho file cấu hỡnh

Hình 1.4: Các thành phần cấu hình bên trong của Router

Trong đó:

- Ram/Dram: Lu trữ các bảng định tuyến, ARP cache, cache chuyển mạchnhanh (Fast -Switch cache), bộ đệm gói dữ liệu (Ram chia sẻ) và các hàng đợi(queue) chứa gói Ram cũng cung cấp bộ nhớ thực thi và bộ nhớ tạm cho tập tincấu hình của Router khi Router đợc mở lên Nội dung của Ram mất đi khi tắtnguồn hay khởi động lại Router.

- NVRam - Nonvolatile Ram: Lu trữ tập tin cấu hình khởi động dự phòngcủa Router, nội dung của NVRam vẫn lu trữ khi tắt nguồn hay khởi động lạiRouter

- Flash - Rom: Có thể xóa, lập trình lại, nó chứa ảnh của hệ điều hành(Operating System Image) và vi mạch (Microcode), bộ nhớ Flash cho phép bạncập nhật phần mềm mà không loại bỏ và thay thế các chip vi xử lý, nội dung vẫnduy trì khi tắt nguồn điện hay khởi động lại Router, nhiều phiên bản phần mềmIOS có thể đợc lu trong bộ nhớ Flash

- Rom: Chứa chơng trình khởi động, chuẩn đoán khi máy mới bật, và hệ

điều hành Cập nhật phần mền trong Rom đòi hỏi thay thế các mạch có khả gắnkết (Pluggable chip) trên CPU

- Giao tiếp (Interface): Là các kết nối trên bảng mạch chính hay trên cáccard giao tiếp riêng mà qua đó các gói đi vào và đi ra khỏi một Router

- Quá trình khởi động của Router nh sau: Khi khởi động Router, Rom thihành chơng trình khởi động, chơng trình này thực hiện một số kiểm tra rồi nạpphần mềm Cisco IOS vào bộ nhớ Sự thực thi lệnh, hay EXEC, là một phần củaphần mềm Cisco IOS EXEC tiếp nhận và thực thi các lệnh bạn nhập cho Router.Ram lu trữ trong quá trình làm việc

Chuyển đổi lệnh

từ Console thành lệnh mà

Router hiểu

Internet Operating System

Command Executive

Program

Active Configuration File

Tables (Routing)

Bootrap Program Executes

Chuyển đổi lệnh

từ Console thành lệnh mà

Router hiểu

Internet Operating System

Command Executive

Chuyển đổi lệnh

từ Console thành lệnh mà

Program

Active Configuration File

Tables (Routing)

Bootrap Program Executes

Program

Active Configuration File

Tables (Routing)

Program

Active Configuration File

Tables (Routing)

Bootrap Program Executes

Hình 1.5: Quá trình khởi động của router

Nh vậy Router sử dụng Ram lu trữ tập tin cấu hình hoạt động, các bảng

ánh xạ mạng và danh sách địa chỉ định tuyến Bạn có thể hiển thị tập tin cấu hìnhtrên thiết bị đầu cuối từ xa hoặc qua thiết bị đầu cuối Console Phiên bản tập tincấu hình đợc lu trữ trong trong NVram Nó đợc truy xuất và nạp vào bộ nhớchính mỗi lần Router khởi động Tập tin cấu hình chứa thông tin giao tiếp, thôngtin tiến trình và thông tin toàn cục ảnh hởng trực tiếp tới hoạt động và các cổnggiao tiếp của Router, ảnh của hệ điều hành không thể đợc hiển thị trên màn hình

đầu cuối, ảnh thờng đợc thực thi từ Ram chính và đợc nạp từ một trong số cácnguồn nhập Hệ điều hành đợc tổ chức thành các chơng trình con (Routine) giảiquyết các tác vụ liên quan với các giao thức khác nhau, nh di chuyển dữ liệu,quản lý bảng và bộ đệm, các cập nhật định tuyến, và thi hành các lệnh ngờidùng

b) Kiến trúc bên ngoài của Router

Kiến trúc chính bên ngoài của Router bao gồm các cổng dùng cho các kếtnối khác nhau Một Router có nhiều loại cổng khác nhau, đó là các cổng sau:

+ Cổng nối tiếp (Serial port): Các cổng này dùng cho kết nối WAN

+ Cổng Ethernet và FastEthernet: Các cổng này dùng cho kết nối Ethernet+ Cổng Console: Cổng này dùng kết nối đầu cuối điều khiển

+ Cổng AUX: Dùng để kết nối với Modem

Sự kết nối một Router vào trong một mạng đợc gọi là giao tiếp, các giaotiếp có các đặc tính sau:

+ Mỗi giao tiếp nối với một cổng

+ Mỗi giao tiếp phải có một địa chỉ mạng và là duy nhất

+ Mỗi cổng cũng có một MAC riêng

Ngoài các cổng chính trên Router còn có các cổng cung cấp nguồn, bật tắtnguồn… Dới đây là hình ảnh minh họa các cổng của Router 2600 Cisco:

Qua đó ta thấy có thể cấu hình Router từ nhiều vị trí bên ngoài khác nhau

nh sau:

+ Từ thiết bị đầu cuối Console (máy tính nối đến Router qua cổng

+ Cấu hình qua Modem bằng cách dùng cổng Auxiliary + Từ các thiết bị đầu cuối ảo 0-4 đã đợc lắp đặt trên mạng

+ Từ TFTP server trên mạng

2 Chức năng của Router

Nh chúng ta đã biết trong mô hình OSI (một mô hình nổi tiếng và thôngdụng nhất), mô hình thể hiện phân cấp chức năng của một mạng máy tính từ diệnhẹp, qui mô vừa và nhỏ nh LAN cho tới các mạng diện rộng nh MAN vàWAN…

Router là thiết bị mạng với chức năng chủ yếu là dùng tìm đờng, và địnhtuyến cho các gói tin truyền trên mạng dựa vào địa chỉ mạng Đối với TCP/IP thìRouter dựa vào địa chỉ IP Nh vậy ta có thể thấy Router là thiết bị thuộc lớp 3(lớp Network) Router thực hiện các quyết định dựa vào các nhóm địa chỉ mạng,ngợc với các địa chỉ MAC duy nhất ở lớp 2 Router cũng có thể kết nối các kỹthuật lớp 2 khác nhau nh Ethernet, TokenRing và FDDI Tuy nhiên, vì khả năng

định tuyến các gói tin dựa vào thông tin trên lớp 3 mà Router trở thành Backbonecủa Internet, chạy giao thức IP Mục đích của Router là kiểm tra các gói đến,chọn đờng dẫn tốt nhất cho chúng xuyên qua mạng, và sau đó chuyển chúng đếncác cổng ra thích hợp Các Router là các thiết bị điều khiển tải quan trọng nhấttrên một mạng lớn, chúng cho phép hầu nh bất kỳ một máy tính nào đều có thểliên lạc đợc với bất cứ một máy tính khác, ở bất cứ đâu trên thế giới Trong khithực hiện các chức năng cơ bản, Router cũng có thể thực hiện các tác vụ khác

nh Network Address Translation (NAT),…

điển hình có dạng: 192.168.0.1 Ví dụ dễ hiểu nhất khi nói về IP là địa chỉ nhà

Địa chỉ nhà thông thờng luôn có số nhà và tên phố Số nhà xác định cụ thể vị tríngôi nhà trên phố đó Địa chỉ IP cũng hoạt động tơng tự nh vậy Nó gồm mã số

địa chỉ mạng và mã số thiết bị So sánh với địa chỉ nhà bạn sẽ thấy địa chỉ mạnggiống nh tên phố còn mã số thiết bị giống nh số nhà vậy Địa chỉ mạng chỉ mạng

cụ thể thiết bị đang tham gia trong nó còn mã số thiết bị thì cung cấp cho thiết bị

một nhận dạng trên mạng Vậy kết thúc của địa chỉ mạng và khởi đầu của mã sốthiết bị ở đâu? Đây là công việc của một Subnet mask Subnet mask sẽ “nói” vớimáy tính vị trí cuối cùng của địa chỉ mạng và vị trí đầu tiên của số thiết bị trong

địa chỉ IP Hoạt động mạng con có khi rất phức tạp nhng trong phạm vi Đồ ánchúng em chỉ quan tâm đến những thứ đơn giản nhất, xem xét một Subnet maskrất cơ bản Subnet mask thoạt nhìn rất giống với địa chỉ IP vì nó cũng có 4 con số

định dạng theo kiểu phân tách nhau bởi các dấu chấm Một Subnet mask điểnhình có dạng: 255.255.255.0 Trong ví dụ cụ thể này, ba số dầu tiên (gọi làOctet) đều là 255, con số cuối cùng là 0 Số 255 chỉ ra rằng tất cả các bit trong vịtrí tơng ứng của địa chỉ IP là một phần của mã số mạng Số 0 cuối cùng ám chỉkhông có bit nào trong vị trí tơng ứng của địa chỉ IP là một phần của địa chỉmạng Do đó chúng thuộc về mã số thiết bị Giả sử một máy tính với địa chỉ IP là192.168.1.1 và mặt nạ mạng con là: 255.255.255.0 Trong trờng hợp này baOctet đầu tiên của subnet mask đều là 255 Điều này có nghĩa là ba octet đầutiên của địa chỉ IP đều thuộc vào mã số mạng Do đó vị trí mã số mạng của địachỉ IP này là 192.168.1.x

Điều này là rất quan trọng vì công việc của Router là chuyển các gói dữliệu từ một mạng sang mạng khác Tất cả các thiết bị trong mạng (hoặc cụ thể làtrên phân đoạn mạng) đều chia sẻ một mã số mạng chung Chẳng hạn, nếu192.168.1.x là số mạng gắn với các máy tính kết nối với Router thì địa chỉ IPcho bốn máy tính viên có thể là:

192.168.1.1192.168.1.2 192.168.1.3192.168.1.4

Nh vậy, mỗi máy tính trên mạng cục bộ đều chia sẻ cùng một địa chỉmạng, còn mã số thiết bị thì khác nhau Khi một máy tính cần liên lạc với máytính khác, nó thực hiện bằng cách tham chiếu tới địa chỉ IP của máy tính đó.Chẳng hạn, trong trờng hợp cụ thể này, máy tính có địa chỉ 192.168.1.1 có thểgửi dễ dàng các gói dữ liệu tới máy tính có địa chỉ 192.168.1.3 vì cả hai máy này

đều là một phần trong cùng một mạng vật lý

Nếu một máy cần truy cập vào máy nằm trên mạng khác thì mọi thứ sẽkhác hơn một chút Giả sử rằng một trong số ngời dùng trên mạng cục bộ muốnghé thăm website www.brienposey.com, một website nằm trên một Server

Giống nh bất kỳ máy tính nào khác, mỗi Web Server có một địa chỉ IP duy nhất.

Địa chỉ IP cho website này là 24.235.10.4.Dễ nhận thấy địa chỉ IP của websitekhông nằm trên mạng 192.168.1.x Trong trờng hợp này máy tính đang cố gắngtiếp cận với website không thể gửi gói dữ liệu ra ngoài theo mạng cục bộ, vì WebServer không phải là một phần của mạng cục bộ Thay vào đó máy tính cần gửigói dữ liệu sẽ xem xét đến địa chỉ cổng vào mặc định Cổng vào mặc định(Default Gateway) là một phần của cấu hình TCP/IP trong một máy tính Đó làcách cơ bản để nói với máy tính rằng nếu không biết chỗ gửi gói dữ liệu ở đâuthì hãy gửi nó tới địa chỉ cổng vào mặc định đã đợc chỉ định Địa chỉ của cổngvào mặc định là địa chỉ IP của một Router Trong trờng hợp này địa chỉ IP củaRouter đợc chọn là 192.168.1.0 Chú ý rằng địa chỉ IP của Router chia sẻ cùngmột địa chỉ mạng nh các máy khác trong mạng cục bộ Sở dĩ phải nh vậy để nó

có thể truy cập tới các máy trong cùng mạng Mỗi Router có ít nhất hai địa chỉ

IP Một dùng cùng địa chỉ mạng của mạng cục bộ, còn một do ISP của bạn quy

định Địa chỉ IP này dùng cùng một địa chỉ mạng của mạng ISP Công việc củaRouter khi đó là chuyển các gói dữ liệu từ mạng cục bộ sang mạng ISP ISP củabạn có các Router riêng hoạt động cũng giống nh mọi router khác, nhng địnhtuyến đờng đi cho gói dữ liệu tới các phần khác của Internet

III Cở sở lý thuyết về Switch

1 Kiến trúc phần cứng của Switch

Trong mô hình OSI switch là thiết bị lớp hai, lớp Datalink ngoài nhiệm vụ

đóng vai trò kết nối nh một Hub trung tâm thì vai trò chuyển tiếp dữ liệu của nóthông minh hơn Hub chuyển tất cả các dữ liệu ra tất cả các cổng của nó khôngcần quan tâm cổng đó có cần hay không Còn Switch chỉ chuyển ra cổng đíchduy nhất cần nhận

Hình 1.6:Vị trí cảu Switch trong mô hình OSI a) Kiến trúc bên trong của Switch

Các thành phần bên trong của Switch cũng giống nh Router gồm có cácthành phần sau:

+ Processer

+Bộ nhớ: Flash, Rom, Nvram, Ram

+Các giao tiếp

Chức năng của các thành phần này về cơ bản giống nh Router

b) Kiến trúc bên ngoài của Switch

Các thành phần bên ngoài của Switch gồm có các cổng dùng phục vụ chocác chức năng của chúng Các cổng này gồm:

+ Cổng console: Dùng để ngời quản trị cấu hình Switch

+ Cổng AUX: Dùng để quản trị Switch từ xa

+ Các cổng Ethernet và FastEthernet dùng để kết nối với các Host và cácruoter

Các cổng này thờng có 12 hoặc 24 cổng tuỳ theo loại Switch

Hình 1.7: Mặt sau của Switch

Hình 1.8: Mặt trớc của Switch

Ngoài ra còn có: ổ cắm nguồn, hệ thống đèn báo hiệu và các quạt

2 Các phơng pháp quản trị Switch

a) Dùng bộ Cisco cluster Management Suite

Bộ phần mềm này gồm 4 ứng dụng có giao diện Web dùng để tạo, giámsát và cấu hình 1 Switch cluster hoặc 1 Switch đơn Để tạo nên 1 Switch cluster

và cấu hình cũng nh giám sát hoạt động của nó ta dùng các ứng dụng ClusterBuilder, Cluster Buider, Cluster View, Cluster Manager Để quản lý hoạt độngcủa một switch đơn thì ta dùng ứng dụng Visual Switch Manager (VSM) Dùnggiao diện dòng lệnh của IOS (Cisco IOS Command-Line Interface-CLI): Nối1PC hoặc 1 terminal trực tiếp vào cổng console ở mặt sau (Rear-panel củaswitch) Nếu Switch đợc nối vào một mạng thì ta có thể dùng Telnet để quản lý

nó từ một vị trí ở xa

b) Dùng ứng dụng CiscoView

ứng dụng CiscoView hiển thị trực quan hình ảnh của Switch, nhà quản trị

có thể cấu hình, xem các thông số và tình trạng và hiệu năng hiện tại của Switchngay trên những hình ảnh này Ngời dùng có thể mua riêng phần mềm này do nó

có thể là 1 ứng dụng độc lập hoặc là một phần mềm Platform SNMP NetworkManagement

c) Dùng SNMP (Simple Network Management Protocol)

Có thể quản lý Switch bởi một máy trạm tơng thích SNMP có chạyPlatform nh HP overview hoặc Sunnet manager

3 Cơ chế hoạt động của Switch

Switch là thiết bị nằm ở lớp hai trong mô hình OSI, nó là thiết bị thôngminh, có các cơ chế để thực hiện chức năng nh lu trữ bảng địa chỉ và bảng này đ-

ợc cập nhật một cách tự động, dựa vào đây nó quyết định chuyển tiếp hay loại bỏgói tin ngoài ra còn có các cách thức chuyển tiếp gói dữ liệu khác nhau

a) Cơ chế học địa chỉ

Trong Switch có bảng lu địa chỉ (Address Table) bảng này sẽ lu địa chỉcổng của Switch và địa chỉ Mac của thiết bị nối tới nó qua cổng này Khi mớikhởi động bảng này còn trống và đợc cập nhật dần dần một cách tự động Sau

đây là bảng địa chỉ lúc đầu:

Khi Switch nhận Frame data từ một cổng K nào đó, nó sẽ đọc địa chỉnguồn (SA) của gói tin đó Sau đó tìm xem giá trị này có xuất hiện trong bảng

địa chỉ của nó không có các trờng hợp sau: Nếu không thấy địa chỉ nguồn này nó

sẽ tự động cập nhật một dòng vào bảng địa chỉ Gồm địa chỉ nguồn và số hiệucổng (SA,K) Nếu địa chỉ nguồn đã có trong bảng địa chỉ, nó sẽ xác định số hiệucổng tơng ứng với SA trong bảng địa chỉ (m) Sẽ xảy ra hai trờng hợp

+ m = k: Switch sẽ bỏ qua không cập nhật.

+ m ≠ k: Switch lại tự động cập nhật một dòng vào bảng địa chỉ gồm có

địa chỉ nguồn và số hiệu công

Cứ nh thế Switch hoàn thiện dần bảng địa chỉ của mình mỗi khi có gói tingửi tới Ví dụ sau đây minh hoạ cơ chế học địa chỉ của Switch: Khi vừa khởi

động bảng địa chỉ của Switch cha có gì Và đợc xây dựng dần qua cơ chế trên

nh sau (có sơ đồ nh sau):

Hình 1.9: Cơ chế học dịa chỉ của Switch

Tiếp đó máy trạm A gửi một gói dữ liệu đến trạm B và muốn đến đợc B nóphải gửi qua cổng 3 của Switch Vì giá trị của địa chỉ nguồn A cha có trong bảng

địa chỉ nên Switch sẽ cập nhật một dòng gồm cổng 3 và địa chỉ Mac nguồn Avào bảng (nh hình dới đây):

Hình 2.0: Switch cập nhật địa chỉ vào bảng

Lúc này trong bảng địa chỉ có địa chỉ Mac A và cổng X Sau khi trạm B đãnhận đợc dữ liệu từ nguồn A và tiến hành gửi trở lại trạm A Gói dữ liệu sẽ điqua cổng 4 và Switch lại đối chiếu địa chỉ nguồn trạm B cha có trong bảng địachỉ nên nó cập nhật dòng địa chỉ Mac của trạm B và cổng 4 của Switch (nh hìnhdới đây):

Hình 2.1: Switch đối chiếu địa chỉ nguồn trong bảng

Quá trình này tiếp diễn một cách tự động mỗi khi có gói tin chuyển quacổng của Switch

b) Cơ chế chuyển tiếp gói dữ liệu

Switch thông minh hơn các thiết bị lớp 2 khác là cơ chế chuyển tiếp dữliệu Nó quyết định chuyển tiếp hay lọc gói dữ liệu, và quyết định chuyển racổng nào Chuyển tiếp hay loại bỏ gói dữ liệu: Switch dựa vào bảng địa chỉ đểquyết định loại bỏ hay chuyển tiếp gói dữ liệu Khi Switch nhận đợc một frame

từ một cổng k nó sẽ thực hiện nh sau: Đọc địa chỉ đích của gói tin từ frame ra(DA) sẽ đối chiếu giá trị DA trong bảng địa chỉ có 2 tình huống xảy ra: DAkhông xuất hiện trong bảng khi đó nó sẽ chuyển gói tin ra mọi cổng nh Hub.Nếu tìm thấy trong bảng thì xác định giá trị cổng tơng ứng m, nếu m=k thì bỏqua gói tin này, nếu m≠k gói tin sẽ đợc chuyển tiếp sang cổng m của Switch vàchỉ chuyển sang cổng m mà thôi Hình dới là một ví dụ: ở hình dới khi máy có

địa chỉ Mac 0260.8c01.1111 gửi tới máy có địa chỉ mac là 0260.8b01.2222 thìnhận đợc địa chỉ Mac đích đã có trong bảng địa chỉ và cổng là E0 trùng với cổng

E của địa chỉ Mac nguồn gửi tới nên quyết định bỏ qua gói tin này

Hình 2.2: Cơ chế chuyển tiếp gói dữ lệu

Khi gói tin gửi từ nguồn có địa chỉ Mac là 0260.8c01.1111 đến đích có địachỉ là 0260.8c01.4444 thì switch xử lý nh sau: Xét địa chỉ đích của gói tin vàthấy có trong bảng địa chỉ với cổng là E1 khác với cổng của địa chỉ nguồn nênquyết định chuyển tiếp gói ra cổng E1 và chỉ E1 mà thôi Khi gói tin gửi từ địachỉ 0260.8c01.1111 đến địa chỉ đích là 0260.0253.5555 thì không thấy có địachỉ này trong bảng địa chỉ nên chuyển tiếp ra tất cả các cổng nh Hub

c) Cơ chế STP

Khi mạng còn ở mức đơn giản, phân cấp, hoặc chỉ có một đờng kết nốiduy nhất thì không có vấn đề gì xảy ra Nhng với mạng nh thế này trên thực tế sẽkhông có hiệu quả vì mạng trong thực tế không lý tởng nh lý thuyết, khi đờnglink bị đứt thì sẽ không có cách nào để tiếp tục truyền dữ liệu đợc Vậy để sửdụng hiệu quả và mạng vẫn hoạt động đợc khi có kết nối bị đứt thì ngời ta phảithiết kế d thừa về kết nối vật lý Nh vậy lại nảy sinh ra vấn đề là các gói tin rất dễ

đi vào vòng lặp vô hạn Chính vì vậy cần phải có một cơ chế nào đó để ngắtnhững đờng dẫn d thừa để tránh hiện tợng Lặp, nhng lại phải đảm bảo yêu cầugọi lại đợc nó khi cần thiết

Switch có một cơ chế thực hiện chức năng này là STP (Spanning TreeProtocal)

Hình 2.3: Cơ chế STPTrong Topo mạng trên các đờng link đề là duy nhất nên không có hiện t-ợng Lặp xảy ra.

+ Blocking: Trạng thái cổng chỉ nhận frames từ cổng vào và khônggửi

+ Listening: Trạng thái xây dựng Active topology

+ Learning: Trạng thái xây dựng bảng bắc cầu

+ Forwarding: Trạng thái truyền và nhận data

+ Disabled: Trạng thái không hoạt động

Một cổng sẽ trải qua năm giai đoạn nh sau:

+ Từ khởi động đến Blocking

+ Blocking đến Listening hay Disabled

+ Từ Listening đến Forwarding hay Disabled

+ Từ Forwarding đến Disabled

+ Khi đạt đến kết quả cuối cùng thì một cổng chỉ ở một trong haitrạng thái đó là Blocking hoặc Forwording.

Xác định đâu là Root Bridge dựa vào các tiêu chí sau:

+ Thứ tự u tiên của Bridge (Bridge’s priority)

+ Địa chỉ MAC trên bridgeQuá trình xác định Root Bridge nh sau:

Khi khởi động Switch coi nó là gốc, nó sẽ tạo ra các gói BPDU với Bridge

ID và Root Bridge ID trùng nhau và bằng chính ID của nó Cost=0

Khi SW nhận đợc BPDU: Nếu RB của BPDU nhận đợc bé hơn RB hiệnthời thì sẽ cập nhật lại RB tơng ứng với giá trị mới, cứ nh thế cho tới khi SW cuốicùng có ID nhỏ nhất sẽ đợc gọi là Root Trong Switch thứ tự u tiên luôn để mặc

định với tất cảc các Switch là 32.768 và ngời quản trị có thể điều chỉnh giá trịnayf bằng cách cấu hình để tăng độ u tiên cho Switch, thì mạng sẽ có hiệu quảhơn, vì nến để chọn lọc tự nhiên thì sẽ không tối u nhất, vì Root Bridge càng ở vịtrí trung tâm càng tốt Sau khi xác định Root Bridge thì những switch không phải

là Root Bridge phải xác định Root port là cổng nối đến Root Bridge với chi phí

bé nhất Giá trị chi phí (Cost) đợc tính dựa vào tốc độ cổng ra theo bảng sau:

Khi 1 SW nhận đợc BPDU nhiệm vụ của nó chuyển tiếp các BPDU đếncác cổng khác của nó với giá trị cost mới đợc tính nh sau:

New-Cost = Old-Cost +Cost(Interface)Khi giá trị chi phí của hai port bằng nhau thì port nào có Id nhỏ hơn sẽ là rootport và cổng còn lại ở trạng thái Blocking

4 Các phơng thức chuyển tiếp

Tuỳ thuộc vào tầm quan trọng của data mà Switch có các phơng thứcchuyển tiếp dữ liệu khác nhau Có dữ liệu thì yêu cầu chuyển tiếp nhanh, nhng

có dữ liệu thì yêu cầu về độ chính xác cao, có dữ liệu yêu cầu cả hai Nên có cáccách thức chuyển tiếp dữ liệu nh sau:

+ Thứ nhất Store and Forward Switch: Nhận toàn bộ Frame sau đó mớithực hiện hiện chuyển tiếp Cách này thời gian trễ lớn vì phải nhận toàn bộFrame rồi mới chuyển tiếp, nhng có u điểm kiểm tra lỗi của Frame

+ Thứ hai là Cut-throngh: Switch nhận xong Header của Frame, đọc đợc

địa chỉ MAC sẽ thực hiện chuyển tiếp gói dữ liệu ngay Phơng thức này có u

điểm là thời gian trễ bé nhng có nhợc điểm là không kiểm tra gói Frame

+ Thứ ba Free fragment: Tơng tự Cut-throungh tìm cách loại bỏ Frame có

độ dài bé hơn 64 byte chỉ chuyển khi nhận lớn hơn 64 byte Sau khi đọc 64 byte

đầu tiên Switch chuyển tiếp gói dữ liệu ngay

5 Các chức năng của Switch

- Tự động điều chỉnh tốc độ truyền nhận 2 chiều (Full Duplex) trên cáccổng 10/100

- Hỗ trợ cho các VLAN dới 250 cổng

- Cung cấp khả năng liên kết liên switch ( Inter-Switch Link – ISL ) vàkhả năng trunking theo chuẩn IEEE 802.1 Q trên tất cả các cổng

Hỗ trợ cho VLAN ID ( VLID )

- Kết nối giữa các Switch và Server theo công nghệ EtherChannelcho tốc độ cao

- Hỗ trợ cho các module GBIC ( Cisco Gigabit Interface Converter ):

+ Module GigaStack GBIC + Module 1000BaseSX GBIC + Module 1000BaseLX/LH GBIC + Module 1000BaseZX (hỗ trợ đợc 4 module 1000BaseZX )

Chức năng quan trọng của Switch là hỗ trợ các VLAN(Virtaul LAN).VLAN là việc phân chia một mạng thành các mạng lan ảo nhằm mục đích nào

đó Các VLAN thờng là một nhóm những ngời sử dụng cùng tài nguyên hoặclàm những việc tơng tự nhau trong một công ty, một tổ chức Việc phân chia này

sẽ giúp bảo mật thông tin, vì nếu không bất kỳ máy tính nào trong mạng đều cóthể truy cập vào các tài nguyên trong mạng, ngoài ra phân chia thành các VLANlàm giảm miền đụng độ VLAN đợc tạo ra và sử dụng một cách đơn giản, linh

động, dễ sửa chữa và bổ sung

IV Các thiết bị khác

Ngoài hai thiết bị trên trong mạng máy tính còn rất nhiều thiết bị khác nh:

PC, Hub, Bridge, Repeater, các dây kết nối… để thực hiện các nhiệm vụ khácnhau

- PC: Là thành phần không thể thiếu đợc trong một mạng máy tính, các PC

có thể hoạt động độc lập ngoài mạng Ngày nay với các ứng dụng trên mạngngày càng nhiều thì PC cũng đang ngày càng gắn liền vào mạng hơn PC là thiết

bị đầu cuối, là nơi giao tiếp giữa ngời dùng và mạng PC kết nối vào mạng thôngqua kết nối Ethernet hoặc thông qua Modem Ngoài ra PC còn dùng để cho ngờiquản trị mạng cấu hình các thiết bị mạng nh router và Switch

- Repeater: Là thiết bị dùng để tăng cờng tín hiệu đợc truyền qua các cự ly

xa Một Repeater tiếp thu một tín hiệu, tái sinh nó và chuyển đi Nó có thể táisinh và định thời lại cho các tín hiệu mạng tại mức bit để cho phép các tín hiệunày di chuyển đợc xa hơn trên đờng truyền

- Hub: Thực sự là repeater đa port, repeater chuẩn chỉ có hai port còn hubthờng có từ 4 đến 20 port

- Bridges: Dùng để kết nối các segment mạng nhỏ lại với nhau, nó hoạt

động ở lớp 2 trong mô hình OSI Chức năng của nó là đa ra các quyết định thôngminh liên quan đến việc có chuyển hay không các tín hiệu lên segment kế tiếpcủa mạng

Chơng II Mạng Doanh nghiệp

Điều thú vị khi tìm hiểu về Domain là mặc dù mỗi Domain có một giá trịduy nhất, không bao giờ lặp nhau trong mạng Microsoft Khi Windows 2000 đợcphát hành, Microsoft tích hợp một thành phần vẫn còn đợc dùng tới nay làActive Directory

Khi máy chủ Windows sử dụng Windows 2000 Server, Windows Server

2003 hay Longhorn Server, công việc của Domain Controller (bộ điều khiểnmiền) là chạy dịch vụ Active Directory Active Directory hoạt động nh một nơi

lu trữ các đối tợng th mục, trong đó có tài khoản ngời dùng (User Account) Vàmột trong các công việc chính của bộ điều khiển tên miền là cung cấp dịch vụthẩm định

Nên hết sức lu ý là domain controller cung cấp dịch vụ thẩm định(authentication) chứ không phải là dịch vụ cấp phép (authorization) Tức là, khimột ngời dùng nào đó đăng nhập vào mạng, một bộ điều khiển miền sẽ kiểm tratính hợp lệ của Username và Password họ nhập vào có chính xác và khớp với dữliệu lu trong máy chủ hay không Nhng Domain Controller không nói với ngờidùng họ có quyền truy cập tài nguyên nào

2 Workstation (máy trạm) và Server (máy chủ)

Chắc hẳn chúng ta đã từng nghe nói đến các thuật ngữ server vàworkstation Các thuật ngữ này thông thờng đợc dùng để nói tới vai trò của máytính trong mạng hơn là phần cứng máy tính Chẳng hạn, một máy tính đang hoạt

động nh một server thì nó không cần thiết phải chạy cả phần cứng của server.Bạn có thể cài đặt một hệ điều hành server lên máy tính của mình Khi đó máytính sẽ hoạt động thực sự nh một server mạng Trong thực tế, hầu hết tất cả cácmáy chủ đếu sử dụng thiết bị phần cứng đặc biệt, giúp chúng có thể kiểm soát đ-

ợc khối lợng công việc nặng nề vốn có của mình

Khái niệm máy chủ mạng (network server) thờng hay bị nhầm về mặt kỹthuật theo kiểu định nghĩa: Máy chủ là bất kỳ máy tính nào sở hữu hay l u trữ tàinguyên chia sẻ trên mạng Nói nh thế thì ngay cả một máy tính đang chạywindows XP cũng có thể xem là máy chủ nếu nó đợc cấu hình chia sẻ một số tàinguyên nh file và máy in

Các máy tính trớc đây thờng đợc tìm thấy trên mạng là peer (kiểu máyngang hàng) Máy tính ngang hàng hoạt động trên cả máy trạm và máy chủ Cácmáy này thờng sử dụng hệ điều hành ở máy trạm (nh windows XP), nhng có thểtruy vập và sở hữu các tài nguyên mạng

Các mạng ngang hàng thờng không sử dụng đợc trong các công ty lớn vìthiếu khả năng bảo mật cao và không thể quản lý trung tâm hoá Đó là lý do vìsao các mạng ngang hàng thờng chỉ đợc tìm thấy trong các công ty cực kỳ nhỏhoặc ngời dùng gia đình sử dụng nhiều máy PC Windows Vista (thế hệ kế tiếpcủa windows XP) đang cố gắng thay đổi điều này Windows Vista cho phép ngờidùng mạng client/server tạo nhóm ngang hàng Trong đó các thành viên củanhóm sẽ đợc chia sẻ tài nguyên với nhau trong chế độ bảo mật an toàn mà khôngcần ngắt kết nối với server mạng Thành phần mới này sẽ đợc tung ra thị trờngvới vai trò nh một công cụ hợp tác

Các mạng ngang hàng không phổ biến bằng mạng client/server vì chúngthiếu an toàn và khả năng quản lý tập trung Tuy nhiên, vì mạng máy tính đợchình thành từ các máy chủ và máy trạm nên bản thân mạng không cần phải đảmbảo độ bảo mật cao và khả năng quản lý tập trung Nên nhớ rằng server chỉ làmột máy chuyên dùng để lu trữ tài nguyên trên mạng Nói nh thế tức là có vô sốkiểu máy chủ khác nhau và một trong số đó đợc thiết kế chuyên dùng để cungcấp khả năng bảo mật và quản lý

Chẳng hạn, windows server có hai kiểu loại chính: Member server (máychủ thành viên) và domain controller (bộ điều khiển miền) Thực sự không có gì

đặc biệt với member server Member server đơn giản chỉ là máy tính đợc kết nốimạng và chạy hệ điều hành windows Server Máy chủ kiểu member server có thể

đợc dùng nh một nơi lu trữ file (còn gọi là file server) hoặc nơi sở hữu một haynhiều máy in mạng (còn gọi là print server) Các member server cũng thờngxuyên đợc dùng để lu trữ chơng trình ứng dụng mạng Chẳng hạn nh microsoftcung cấp một sản phẩm gọi là Exchange Server 2003 Khi cài đặt lên memberserver, nó cho phép member server thực hiện chức năng nh một mail server

Domain controller (bộ điều khiển miền) thì đặc biệt hơn nhiều Công việccủa một domain controller là cung cấp tính năng bảo mật và khả năng quản lýcho mạng Bạn đã quen thuộc với việc đăng nhập bằng cách nhập username vàpassword? Trên mạng windows, đó chính là domain controller Nó có tráchnhiệm theo dõi và kiểm tra username, password

Ngời chịu trách nhiệm quản lý mạng đợc gọi là quản trị viên(administrator) Khi ngời dùng muốn truy cập tài nguyên trên mạng Windows,quản trị viên sẽ dùng một tiện ích do domain controller cung cấp để tạo tàikhoản và mật khẩu cho ngời dùng mới Khi ngời dùng mới (hoặc ngời nào đómuốn có tài khoản thứ hai) cố gắng đăng nhập vào mạng, “giấy thông hành” của

họ (username và password) đợc gửi tới domain controller, domain cotroller sẽkiểm tra tính hợp lệ bằng cách so sánh thông tin đợc cung cấp với bản sao chép

lu trữ trong cơ sở dữ liệu của nó Nếu mật khẩu ngời dùng cung cấp và mật khẩu

lu trữ trong domain controller khớp với nhau, họ sẽ đợc cấp quyền truy cậpmạng Quá trình này đợc gọi là thẩm định (authentication)

II DNS Server

Nh chúng ta đã biết, khi một máy tính cần truy cập thông tin trên một máynằm ở mạng khác hay phân đoạn mạng khác, nó cần đến sự trợ giúp của router.Router sẽ chuyển các gói dữ liệu cần thiết từ mạng này sang mạng khác (chẳnghạn nh Internet) Để có thể truy cập vào website, trình duyệt Web của bạn phảibiết địa chỉ IP của website Sau đó trình duyệt cung cấp địa chỉ cho router, router

sẽ xác định đờng đi tới mạng khác và yêu cầu các gói dữ liệu tới máy đích phùhợp Mỗi website đều có một địa chỉ IP nhng bạn có thể ghé thăm các websitenày hằng ngày mà không cần quan tâm đến dãy con số đó của nó Địa chỉ IPcũng giống nh địa chỉ nhà vậy Nó gồm có vị trí mạng (là dãy số hiệu chỉ phân

đoạn mạng máy tính đang hoạt động trong đó), tơng tự nh tên phố và vị trí thiết

bị (xác định một máy tính cụ thể trong mạng), tơng tự nh số nhà Biết về địa chỉ

IP là yêu cầu cần thiết cho hoạt động truyền thông cơ sở TCP/IP giữa hai máytính

III Mạng riêng ảo ( VPN )

Virtual Private Networks (VPN-Mạng Riêng ảo) cho phép bạn mở rộngphạm vi mạng nội bộ bằng cách sử dụng lợi thế của internet Kỹ thuật VPN chophép bạn kết nối với một host nằm xa hàng ngàn dặm với mạng LAN của bạn vàlàm cho nó trở thành một node hay một PC nữa trong mạng LAN Một đặc điểmnữa của VPN là sự kết nối giữa clients và mạng ảo của bạn khá an toàn nh trongcùng một mạng LAN

VPN clients là bất kì một computer nào sử dụng hệ điều hành từ Win9x,Windows 2000 Professional, Windows XP Professional hay là Windows Server

2003 Enterprise Ngay cả server cũng có thể là VPN clients Cách làm việc giữaclient computer và server thông dụng nhất là client computer khởi tạo một kếtnối với ISP bằng giao thức PPP (Point to Point Protocol) Sau khi kết nối theodạng này còn đợc gọi là “Non-Virtual” kết nối không ảo ở tầng Datalink, Client

có thể sử dụng giao thức PPP này một lần nữa để thiết lập một kết nối ảo vớiVPN server và từ đây nó có thể trở thành một node hay một máy trạm trong hệthống LAN

Khi Client kết nối đợc với VPN Server, thực tế nó vẫn đang kết nối vớiinternet Tuy nhiên, sau khi thiết lập đợc kết nối VPN với VPN server, thì clienthay máy trạm sẽ tự động tìm kiếm một địa chỉ IP mà địa chỉ IP này phải cùngSubnet với mạng ảo mà nó kết nối tới, sự kết nối này sẽ tạo ra một Interface ảohay là một Card mạng ảo Card mạng ảo này sẽ thiết lập một Gateway mặc định

Phần II Triển khai xây dựng hệ thống an ninh mạng

I Sơ đồ logic của hệ thống mạng

Hình 2.4: Sơ đồ

Hệ thống mạng đợc thiết kế bao gồm 3 Server đợc cài đặt các Role cầnthiết:

1 Server Domain Controller

Chạy hệ điều hành Windows Server 2008 Server Core Đảm nhiệm cácchức năng nh máy chủ quản trị miền Domain Controller, DHCP Server, DNSServer, File Server

2 Máy chủ WebServer

Chạy hệ điều hành Windows Server 2003 Enterprise Đảm nhiệm các chứcnăng hosting website cho doanh nghiệp, ngoài ra nó còn đợc cài thêm các chứcnăng nh Remote Manager Server Core để quản lý server core từ xa và chức năng

chứng thực cho máy chủ VPN khi các client từ ngoài mạng truy cập về mạngLAN của doanh nghiệp để lấy dữ liệu.

Tùy chọn Server Core installation của Windows Server 2008 mang lại cáclợi ích dới đây:

- Giảm bớt công việc bảo trì do Server Core chỉ cài đặt những dịch vụ cầnthiết nh DHCP, File, Print, DNS, Media Services, AD LDS hay Active Directoryserver.Giảm bề mặt tấn công do Server Core sử dụng giao diện tối thiểu, có ít cácdịch vụ và ứng dụng chạy trên Server

- Giảm sự quản lý do có ít ứng dụng và dịch vụ đợc cài đặt trên Server

- Giảm không gian đĩa cần thiết do Server Core chỉ yêu cầu khoảng 1GBkhông gian đĩa trống để cài đặt và xấp xỉ 2GB cho các hoạt động sau khi cài

đặt.Tùy chọn này còn hỗ trợ các role máy chủ sau đây:

+ Active Directory Domain Services

+ Active Directory Lightweight Directory Services (AD LDS)

+ Dynamic Host Configuration Protocol (DHCP) Server

+ DNS Server

+ File Services

+ Print Server+ Streaming Media Services+ Web Server (IIS)

+ Microsoft Failover Cluster+ Network Load Balancing+ Subsystem for UNIX-based Applications+ Windows Backup

+ Multipath I/O+ Removable Storage Management+ Windows Bitlocker Drive Encryption+ Simple Network Management Protocol (SNMP)+ Windows Internet Naming Service (WINS)+ Telnet client

+ Quality of Service (QoS)

Các bớc xây dựng máy chủ Domain Controller trên Server Core:

Đầu tiên chúng ta cho đĩa Windows Server 2008 Full Pack vào ổ DVD

Lựa chọn ngôn ngữ cài đặt:

Lựa chọn ấn bản cài đặt:

Định dạng ổ đĩa cài đặt:

Quá trình cài đặt bắt đầu diễn ra:

Giao diện của Server Core sau khi cài đặt thành công:

Thiết lập các thông số: IP, Mask, Gateway, DNS trên Server Core:

Đổi tên máy chủ và khởi động lại:

N©ng cÊp m¸y chñ Server Core thµnh Domain Controller:

T¹o ra c¸c OU trªn Server Core:

Thiết lập các tài khoản ngời dùng trên mạng:

Xây dựng các File Server để lu trữ cho ngời dùng: