LỜI NÓI ĐẦU
Vào những năm 50 , những hệ thống máy tính đầu tiên ra đời sử dụng các bóng đèn điện tử nên kích thức rất cồng kềnh tiêu tốn nhiều năng lượng. Việc nhập dữ liệu máy tính được thực hiện thông qua các bìa đục lỗ và kết quả được đưa ra máy in, điều này làm mất rất nhiều thời gian và bất tiện cho người sử dụng.
Đến những năm 60 cùng với sự phát triển của máy tính và nhu cầu trao đổi dữ liệu với nhau, một số nhà sản xuất máy tính đã nghiên cứu chế tạo thành công các thiết bị truy cập từ xa tới các máy tính của họ, và đây chính là những dạng sơ khai của hệ thống máy tính .
Và cho đến những năm 70, hệ thống thiết bị đầu cuối 3270 của IBM ra đời cho phép mở rộng khả năng tính toán của Trung tâm máy tính đến các vùng xa. Vào năm 1977 công ty Datapoint Corporation đã tung ra thị trường mạng của mình cho phép liên kết các máy tính và các thiết bị đầu cuối bằng dây cáp mạng, và đó chính là hệ điều hành đầu tiên.
Nội dung báo cáo thực tập tốt nghiệp gồm các nội dung chính sau:
Phần I: Tổng quan về hệ thống mạng máy tính.
Chương 1 – Tổng quan về cấu trúc mạng máy tính
Trong chương này trình bày các kiến thức cơ bản về mạng, phân loại mạng máy tính theo phạm vi địa lý (LAN, WAN, GAN, MAN), theo TOPO và theo từng chức năng.
Chương 2 – Mô hình tham chiếu hệ thống mở OSI và mô hình TCP/IP
Trong chương này trình bày các kiến thức cơ bản về mạng chạy trên bộ giao thức TCP/IP, mô hình OSI.
Chương 3 – Tổng quan về các thiết bị mạng
Trong chương này trình bày các kiến thức cơ bản về các thiết bị mạng trong hệ thống mạng LAN, các phương pháp điều khiển truy cập trong LAN, các công nghệ và các chuẩn cáp, các phương pháp đi cáp.
.
Phần II: Xây dựng và triển khai hệ thống mạng
Trong chương này sẽ tập trình bày kiến thức về việc xây dựng, đánh giá về hệ thống mạng sao cho phù hợp với giá thành, độ bảo mật, tính sẵn sàng của hệ thống mạng.
Chương 4 – Phân tích và triển khai hệ thống mang.
Chương 5 – Hướng phát triển và khắc phục lỗi trong hệ thống mạng
Mục lục.
LỜI NÓI ĐẦU4
Mục lục.5
Danh mục hình vẽ. 7
PHẦN 1: TỔNG QUAN VỀ HỆ THỐNG MẠNG MÁY TÍNH8
CHƯƠNG 1 - TỔNG QUAN VỀ CẤU TRÚC MẠNG MÁY TÍNH8
1.1. Khái niệm về mạng máy tính :8
1.2. Phân loại mạng máy tính :10
1.2.1. Phân loại theo phạm vi địa lý:10
1.2.2. Phân biệt theo phương pháp chuyển mạch ( truyền dữ liệu )10
1.2.2.1. Mạng chuyển mạch kênh ( circuit - switched network )10
1.2.2.2 Mạng chuyển mạch bản tin ( Message switched network)11
1.2.2.3 Mạng chuyển mạch gói12
1.2.3. Phân loại mạng máy tính theo TOPO:12
1.2.3.1. Mạng hình sao (Star topology)12
1.2.3.2. Mạng dạng vòng (Ring topology)13
1.2.3.3. Mạng dạng tuyến (Bus topology)14
1.2.3.4. Mạng dạng kết hợp. 15
1.2.4. Phân loại theo chức năng:15
1.2.4.1. Mạng theo mô hình Client- Server:15
1.2.4.2.Mạng ngang hàng (Peer- to- Peer):16
CHƯƠNG 2 - MÔ HÌNH THAM CHIẾU HỆ THỐNG MỞ OSI VÀ BỘ GIAO THỨC TCP/IP17
2.1. Mô hình OSI (Open Systems Interconnect):17
2.1.1. Mục đích và ý nghĩa của mô hình OSI:18
2.1.2.Các giao thức trong mô hình OSI:19
2.1.3. Các chức năng chủ yếu của các tầng trong mô hình OSI:20
2.2. Bộ giao thức TCP/IP (Transmission Control Protocol/ Internet Protocol)24
2.2.1. Tổng quan về bộ giao thức TCP/IP:24
2.2.2. So sánh TCP/IP với OSI:27
2.2.3. Một số giao thức trong bộ giao thức TCP/IP :28
2.2.3.1. Giao thức IP (Internet Protocol):28
2.2.3.2. Giao thức UDP(User Datagram Protocol):31
2.2.3.3. Giao thức TCP(Tranmission Control Protocol):32
CHƯƠNG 3 -TỔNG QUAN VỀ CÁC THIẾT BỊ TRONG HỆ THỐNG MẠNG LAN36
3.1 Các thiết bị LAN cơ bản:36
3.1.1.Các thiết bị nối chính của LAN:36
3.1.1.1.Card mạng – NIC(Network Interface Card)36
Hình 15: Network Interface Card. 37
3.1.1.2. Repeater Bộ lặp.37
3.1.1.3. Hub:37
Hình 16: Hub. 37
3.1.1.4.Liên mạng (Internetworking )39
3.1.1.5.Cầu nối (bridge ).39
3.1.1.6. Bộ định tuyến (router )43
3.1.1.7. Bộ chuyển mạch (switch )46
3.1.2. Hệ thống cáp dùng cho LAN:46
3.1.2.1.Cáp xoắn:46
3.1.2.2. Cáp đồng trục:47
3.1.2.3. Cáp sợi quang. 48
CHƯƠNG 4-TỔNG QUAN VỀ THIẾT KẾ HỆ THỐNG MẠNG LAN50
4.1. Mô hình phân câp các lớp mạng trong LAN (Hierarchical models):50
4.2. Yêu cầu về SECURITY với hệ thống. 51
4.3. Các bước thiết kế:55
4.3.1. Phân tích yêu cầu sử dụng:55
4.3.2. Lựa chọn các thiết bị phần cứng:55
4.3.3.Lựa chọn phần mềm:55
4.3.4. Công cụ quản trị:56
4.3.5. Hệ thống cáp mạng bao gồm:57
PHẦN 2: THIẾT KẾ VÀ MÔ PHỎNG HỆ THỐNG MẠNG CỦA KHOA ĐIỆN TỬ - TRƯỜNG ĐH CÔNG NGHIỆP HÀ NỘI. 58
1. Khảo sát mô hình của khoa điện tử. 58
2. Phân tích mô hình mạng và các thiết bị mạng đuợc sử dụng trong mô hình. 58
2.1. Mô hình thiết kế (mô phỏng )58
2.2. Các thiết bị mạng trong mô hình. 59
2.2.1. ASA 5520. 59
2.2.2. Cisco 2811 Integrated Service Router60
2.2.3. Thiết bị chuyển mạch Catalyst switch models 3560. 61
2.2.4. Cisco Catalyst 2960. 63
2.2.5. Thiết bị kết nối mạng không dây. 64
2.3. Phân tích hệ thống .65
2.3.1 . Cấu hình VLAN trên hệ thống Switch. 65
2.3.2. Sử dụng giao thức VTP (VLAN Trunking Protocol) để quản lý Switch.66
2.3.3. Access Control List (ACL)67
3. Triển khai mô hình mạng. 67
3.1.Chia VLAN và địa chỉ IP của các VLAN trong mạng. 67
3.2. Cấu hình trên các thiết bị mạng. 69
3.2.1. Cấu hình trên switch core (3560)69
3.2.2 . Cấu hình trên Switch 1. 74
3.2.3. Cấu hình trên Switch2. 75
3.2.3 . Cấu hình trên route Hanoi77
3.2.4. Cấu hình trên router ISP. 79
3.2.5. Cấu hình Web server80
3.2.6. Cấu hình trên router HCM . 83
3.2.6. Cấu hình Access Point để kết nối wifi84
3.2.7. Mô hình mạng thực tế. 85
83 trang |
Chia sẻ: lvcdongnoi | Lượt xem: 3019 | Lượt tải: 3
Bạn đang xem trước 20 trang tài liệu Đề tài Thiết kế hệ thống mạng khoa điện tử trường đại học công nghiệp Hà Nội, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
: Cho phép gói tin của máy A, B qua Bridge 1, gói tin của máy C, D qua Bridge 2.
Bridge
Token ring
Bridge
Ethernet
Hình 23 : Liên kết mạng sử dụng 2 Bridge
Một số Bridge được chế tạo thành một bộ riêng biệt . Các Bridge khác chế tạo như card dùng cắm vào máy tính, khi đó trên máy sẽ sử dụng phần mềm Bridge. Việc kết hợp phần mềm với phần cứng cho phép linh hoạt hơn trong hoạt động của Bridge.
Bridge là thiết bị liên kết mạng được dùng để giảm bớt Collision domaint (miền xung đột), tăng băng thông cho một host nhờ chia mạng thành những segment nhỏ hơn và giảm số lượng tải phải chuyển qua giữa các segment.
Bridge có tốc độ xử lý chậm hơn Repeater nhưng là thiết bị thông minh hơn Repeater do không chỉ đơn thuần là tăng chất lượng tín hiệu mạng mà có thể mở rộng mạng bằng các kết nối nhiều segment network với nhau và làm cho mạng hoạt động ổn định và hiệu quả .
3.1.1.6. Bộ định tuyến (router )
Router là một thiết bị hoạt động trên tầng mạng, router được chế tạo với hai mục đích chính :
-Phân cách các mạng máy tính thành các segment riêng biệt để giảm hiện tượng đụng độ, giảm broadcast hay thực hiện chức năng bảo mật.
- Kết nối các mạng máy tính hay kết nối các user với mạng máy tính ở các khoảng cách xa với nhau thông qua các đường truyền thông: điện thoại, ISDN…..
Cùng với sự phát triển của switch, chức năng đầu tiên của router ngày nay đã được switch đảm nhận một cách hiệu quả. Router chỉ còn phải đảm nhận việc thực hiện các kết nối truy cập từ xa (remote access) hay các kết nối WAN cho hệ thống mạng LAN.
Do hoạt động ở tầng thứ 3 của mô hình OSI, router sẽ hiểu được các protocol quyết định phương thức truyền dữ liệu. Do đó tùy theo cấu hình, router quyết định phương thức và đích đến của việc chuyển các packet từ nơi sang nơi khác. Một cách tổng quát router sẽ chuyển packet theo các bước sau :
Đọc packet
Gỡ bỏ dạng format quy định bởi protocol của nơi gửi
Thay thế phần gỡ bỏ đó bằng dạng format của protocol của đích đến.
Cập nhật thông tin về việc chuyển dữ liệu : địa chỉ, trạng thái của nơi gửi, nơi nhận.
Gửi packet đến nơi nhận qua đường truyền tối ưu nhất.
Người ta phân chia Router thành hai loại là Router có phụ thuộc giao thức (The protocol dependent Routers ) và Router không phụ thuộc giao thức (The protocol independent Routers) dựa vào phương thức xử lý các gói tin khi qua Router. Router có thể phụ thuộc giao thức. Chỉ thực hiện việc tìm đường và truyền gói tin từ mạng này sang mạng khác chứ không chuyển đổi phương cách đóng gói của gói tin cho nên cả hai mạng phải dùng chung một giao thức truyền thông.
Application
Presentation
Session
Transport
Network
Datalink
Physic
Application
Presentation
Session
Transport
Network
Datalink
Physic
Datalink
Datalink
Physic
Physic
Network
Network
Hình 24: Hoạt động của Router trong mô hình OSI
.
Để ngăn chặn việc mất mát dữ liệu Router còn nhận biết được đường đi nào có thể chuyển vận và ngưng chuyển vận khi đường bị tắc.
Các lý do sử dụng Router:
Router có các phần mềm lọc ưu việt hơn là Bridge do các gói tin muốn đi qua Router cần phải gửi trực tiếp đến nó nên giảm được số lượng gói tin qua nó. Và thường được sử dụng trong khi nối các mạng thông qua cá đường dây thuê bao đắt tiền do nó không truyền dữ liệu lên đường truyền.
Router có thể xác định được đường đi an toàn và tốt nhất trong mạng nên độ an toàn của thông tin được đảm bảo hơn.
Trong một mạng phức hợp khi các gói tin luân phiên chuyển các đường có thể gây nên tình trạng tắc nghẽn của mạng thì các Router có thể được cài đặt các phương thức nhằm tránh được tắc nghẽn.
Các phương thức hoạt động của Router : Đó là phương thức mà một Router có thể nối với Router khác để qua đó chia sẻ thông tin về mạng hiện có. Các chương trình chạy trên Router luôn xây dựng bảng chỉ đường qua việc trao đổi các thông tin vơi các Router khác.
Phương thức véctơ khoảng cách: mỗi Router luôn luôn truyền đi thông tin về bảng chỉ đường của riêng mình trên mạng, thông qua đó các Router khác sẽ cập nhật lên bảng chỉ đường của mình
Phương thức trạng thái tĩnh: Router chỉ truyền cá thông báo khi có phát hiện có sự thay dổi trong mạng và chỉ khi đó các Router khác cập nhật lại bảng chỉ đường, thông tin truyền đi khi đó thường là thông tin về đường truyền.
Một số giao thức hoạt động chính của Router
RIP (Routing Information Protocol ) được phát triển bởi Xerox Network system và sử dụng SPX/ IPX và TCP/ IP. RIP hoạt động theo phương thức véctơ khoảng cách.
NLSP (Netware Link Servise Protocol ) được phát triển bởi Novell, dùng để thay thế RIP hoạt động theo phương thức véctơ khoảng cách, mỗi Router được biết cấu trúc của mạng và việc truyền các bảng chỉ đường giảm đi.
OSPF (Open Shortest Path First ) là một phần của TCP/ IP với phương thức trạng thái tĩnh, trong đó có xét tới ưu tiên, giá đường truyền, mật độ đường truyền thông…
OS - IS (Open System Interconnection Intermediate System to Intermediate System ) là một phần của TCP/ IP với những phương thức trạng thái tĩnh, trong đó có xét tới ưu tiên, giá đường truyền, mật độ truyền thông…
3.1.1.7. Bộ chuyển mạch (switch )
Switch là một thiết bị chuyển mạch, là một thiết bị dùng để kết nối giữa các đoạn mạng với nhau theo mô hình mạng hình sao (star). Theo mô hình này, switch hoạt động ở tầng liên kết dữ liệu, ngoài ra có một số loại switch cao cấp có thể hoạt động ở tần network của mô hình OSI.
Là thiết bị giống như Bridge nhưng có nhiều port hơn, cho phép ghép nối nhiều đoạn mạng với nhau. Switch cũng dựa vào bảng địa chỉ MAC để quyết định gói tin nào đi ra port nao nhằm tránh tình trạng giảm băng thông khi số máy trạm tăng lên. Bảng này cung cấp thông tin giúp các gói thông tin đến đúng địa chỉ.Switch cũng hoạt động tại lớp 2 trong mô hình OSI, việc xử lý gói tin dựa trên phần cứng (chip).
Ngày nay trong các giao tiếp dữ liệu, switch thường có 2 chức năng chính là chyển các khung dữ liệu từ nguồn đến đích .Switch hoạt động ở tốc độ cao hơn nhiều so với Repeater và có thể cung cấp nhiều chức năng hơn như tạo ra các mạng riêng ảo (VLAN).
Hình 25: Mô hình bộ chuyển mạch
3.1.2. Hệ thống cáp dùng cho LAN:
3.1.2.1.Cáp xoắn:
Đây là loại cáp gồm 2 đường dây bằng đồng được xoắn vào nhau làm giảm nhiễu điện từ gây ra bởi môi trường xung quanh và giữa chúng với nhau. Hiện nay có 2 loại cáp xoắn là cáp có bọc kim loại (STP-Shield Twisted Pair) và cáp không bọc kim loại (UTP-Unshield Twisted Pair).
Cáp có bọc kim loại (STP): Lớp bọc bên ngoài có tác dụng chống nhiễu điện từ, có loại có một đôi dây xoắn vào nhau và có loại có nhiều đôi dây xoắn vào nhau.
Cáp không bọc kim loại (UTP) : tính năng tương tự như STP nhưng kém hơn về khả năng chống nhiễm từ và suy hao vì không có vỏ bọc.
STP và UTP có 2 loại (Category-Cat) thường dùng:
- Loại 1 và 2 (Cat1 & Cat2) : thường dùng cho truyền thoại và những đường truyền tốc độ thấp (nhỏ hơn 4Mb/s).
- Loại 3 (Cat3) : Tốc độ truyền dữ liệu khoảng 16Mb/s, nó là chuẩn hầu hết cho các mạng điện thoại.
- Loại 4 (Cat4) : Thích hợp cho đường truyền 20Mb/s.
- Loại 5 (Cat5) : Thích hợp cho đường truyền 100Mb/s.
- Loại 6 (Cat6) : Thích hợp cho đường truyền 300Mb/s.
Đây là loại cáp rẻ , dễ lắp đặt tuy nhiên nó dễ bị ảnh hưởng của môi trường.
3.1.2.2. Cáp đồng trục:
Cáp đồng trục có 2 đường dây dẫn và chúng có cùng 1 trục chung , 1 dây dẫn trung tâm (thường là dây đồng cứng) đường dây còn lại tạo thành đường ống bao xung quanh dây dẫn trung tâm ( dây dẫn này có thể là dây bện kim loại và vì nó có chức năng chống nhiễm từ nên còn gọi là lớp bọc kim). Giữa 2 dây dẫn trên có 1 lớp cách ly, và bên ngoài cùng là lớp vỏ plastic để bảo vệ cáp.
Cáp đồng trục có độ suy hao ít hơn so với các loại cáp đồng khác ( như cáp xoắn đôi) do ít bị ảnh hưởng của môi trường. Các mạng cục bộ sử dụng cáp đồng trục có thể có kích thước trong phạm vi vài ngàn mét, cáp đồng trục được sử dụng nhiều trong các mạng dạng đường thẳng.
Hai loại cáp thường được sử dụng là cáp đồng trục mỏng và cáp đồng trục dày. Đường kính cáp đồng trục mỏng là 0,25 inch và dày là 0,5 inch. Cả hai loại cáp đều làm việc ở cùng tốc độ nhưng cáp đồng trục mỏng có độ hao suy tín hiệu lớn hơn.
Hiện nay có cáp đồng trục sau :
- RG -58,50 ôm: dùng cho mạng Ethernet
- RG - 59,75 ôm: dùng cho truyền hình cáp
Các mạng cục bộ sử dụng cáp đồng trục có dải thông từ 2,5 - 10Mbps, cáp đồng trục có độ suy hao ít hơn so với các loại cáp đồng khác vì nó có lớp vỏ bọc bên ngoài, độ dài thông thường của một đoạn cáp nối trong mạng là 200m, thường sử dụng cho dạng Bus.
3.1.2.3. Cáp sợi quang
Cáp sợi quang bao gồm một dây dẫn trung tâm (là một hoặc một bó sợi thuỷ tinh có thể truyền dẫn tín hiệu quang) được bọc một lớp vỏ bọc có tác dụng phản xạ các tín hiệu trở lại để giảm sự suy hao tín hiệu. Bên ngoài cùng là lớp vở plastic để bảo vệ cáp. Cáp sợi quang không truyền dẫn được các tin hiệu điện mà chỉ truyền các tín hiệu quang và khi nhận chúng sẽ lại chuyển đổi trở lại thành các tín hiệu điện. Cáp quang có đường kính từ 8.3 - 100 micron, do đường kính lõi thuỷ tinh có kích thước rất nhỏ nên rất khó khăn cho việc đấu nối, nó cần công nghệ đặc biệt với kĩ thuật cao và chi phí cao.
Dải thông của cáp quang có thể lên tới hàng Gbps và cho phép khoảng cách đi cáp khá xa do độ suy hao tín hiệu trên cáp rất thấp. Ngoài ra vì cáp sợi quang không dùng tín hiệu điện từ để truyền dữ liệu nên nó hoàn toàn không bị ảnh hưởng của nhiễu điện từ và tín hiệu truyền không bị phát hiện và thu trộm bằng các thiết bị điện tử của người khác.
Nhược điểm của cáp quang là khó lắp đặt và giá thanh cao, nhưng nhìn chung cáp quang thích hợp cho mọi mạng hiện nay và sau này.
Các loại cáp
Cáp xoắn cặp
Cáp đồng trục mỏng
Cáp đồng trục dầy
Cáp quang
Chi tiết
Bằng đồng, co 4 cặp dây (loại 3,4,5)
Bằng đồng, 2 dây, đường kính 5mm
Bằng đồng, 2 dây, đường kình 10mm
Thuỷ tinh 2 sợi
Chiều dài đoạn tối đa
100m
185m
500m
1000m
Số đầu nối tối đa trên một đoạn
2
30
100
2
Chạy 10Mbps
Được
Được
Được
Được
Chạy 100 Mbps
Được
Được
Được
Được
Chống nhiễu
Tốt
Tốt
Tốt
Tốt
Bảo mật
Trung bình
Trung bình
Trung bình
Hoàn toàn
độ tin cậy
Tôt
Trung bình
Khó
Khó
Khắc phục lỗi
Tốt
Không tốt
Không tốt
Tốt
Quản lý
Dễ dàng
Khó
Khó
Trung bình
Chi phí cho một trạm
Rất thấp
Thấp
Trung bình
Cao
Bảng so sánh một số loại cáp
Phần II: Xây dựng và thiết kế hệ thống mạng
CHƯƠNG 4-Phân tích và xây dựng hệ thống mạng
4.1. Mô hình phân câp các lớp mạng trong LAN (Hierarchical models):
Cấu trúc mạng được thiết kế theo mô hình kiến trúc thiết kế hiện đại với 3 lớp chức năng bao gồm : lớp mạng xương sống (Core Network), lớp mạng phân bố (Distribution), lớp mạng truy cập ( Access Network).
Access
Distribute
Core
Hình 26:Mô hình phân cấp các lớp mạng
Cấu trúc:
Lớp lõi (Core Layer ): đây là trục xương sống của mạng (backbone) thường dùng các bộ chuyển mạch có tốc độ cao (Hight- Speed Switching) thường có các đặc tính như độ tin cậy cao, công suất dư thừa, khả năng tự khắc phục lỗi, khả năng thích nghi cao, đáp ứng nhanh, dễ quản lý, khả năng lọc gói, hay lọc các tiến trình trong mạng.
Lớp phân phối (Distribution Layer): Làm việc ở giữa lớp Core và lớp Access layer, với vai trò đáp ứng một số giao tiếp giúp giảm tải cho lớp Core trong quá trình thông tin trong mạng.Với tác dụng của lớp này cung cấp danh giới cho việc sử dụng access list và các tính năng lọc khác để khi cần thiết sẽ gửi lên lớp Core .Tuy nhiên lớp này cũng là lớp định nghĩa các chính sách cho mạng. Một chính sách có thể áp dụng cụ thể các dạng cụ thể sau : Routing update, Router summaries, VLAN, Addres aggregation, sử dụng các chính sách bảo mật mạng và chống các giao dịch không cần thiết.
Lớp truy nhập (Access Layer): cung cấp các khả năng truy nhập cho người dùng cục bộ hay từ xa truy nhập vào mạng. Thường được thực hiện bằng các bộ chuyển mạch (switch) trong môi trường campus, hay công nghệ WAN.
4.2. Yêu cầu về SECURITY với hệ thống
Khi thiết kế một hệ thống mạng nào đó thì yêu cầu về “sercurity” là một trong những yếu tố cực kỳ quan trọng mang ý nghĩa “sống còn” đối với hệ thống mạng.
Khái niệm:
Theo định nghĩa rộng thì “security” là tổng hợp của ba yếu tố : “tính bảo mật”, “tính toàn vẹn “, “ tính sẵn dùng”
Tính bảo mật: Bảo đảm tài nguyên mạng không bị tiếp xúc, bị sử dụng bởi người không có thêm quyền. Chẳng hạn dữ liệu truyền đi trên mạng được đảm bảo không bị lấy trộm cần được mã hoá trước khi truyền. Các tài nguyên đó đều có chủ và được bảo vệ bằng các công cụ và các cơ chế an ninh – an toàn.
Tính toàn vẹn: Đảm bảo không có việc sử dụng, và sửa đổi nếu không được cho phép, ví dụ như lấy hay sửa đổi dữ liệu, cũng như thay đổi cấu hình hệ thống bởi những người không được phép hoặc không có quyền. Thông tin lưu hay truyền trên mạng và các tệp cấu hình hệ thống luôn được đảm bảo giữ toàn vẹn. Chúng chỉ được sử dụng và được sửa đổi bởi những người chủ của nó hay được cho phép.
Tính sẵn dùng: Tài nguyên trên mạng luôn được đảm bảo không thể bị chiếm giữ bởi người không có quyền. Các tài nguyên luôn sẵn sàng phục vụ những người được phép sử dụng. Những người có quyền có thể được dùng bất cứ khi nào. Thuộc tính này rất quan trọng, nhất là trong các dịch vụ mạng phục vụ công cộng (ngân hàng, tư vấn, chính phủ điện tử,…).
Việc xác thực: Thực hiện xác định người dùng được quyền dùng một tài nguyên nào đó như là thông tin hay tài nguyên phần mềm và phần cứng trên mạng. Việc xác thực thường kết hợp với sự cho phép, hay từ chối phục vụ. Xác thực thường được dùng là mật khẩu (password), hay căn cước của người dùng như vân tay hay các dấu hiệu đặc dụng. Sự cho phép xác định người dùng được quyền thực hiện một hành động nào đó như đọc ghi một tệp (lấy thông tin ), hay chạy chương trình (dùng tài nguyên phần mềm), truy nhập vào một đoạn mạng (dùng tài nguyên phần cứng), gửi hay nhận thư điện tử, tra cứu cơ sở dữ liệu, dịch vụ mạng… Người dùng thường phải qua giai đoạn xác thực bằng mật khẩu (password, RADIUS …) trước khi được phép khai thác thông tin hay một tài nguyên nào đó trên mạng.
Xây dựng an ninh – an toàn mạng khi kết nối LAN như thế nào?
Các bước xây dựng:
Xác định cần bảo vệ cái gì?
Xác định bảo vệ khỏi những loại tấn công nào ?
Xác định những mối đe doạ an ninh có thể ?
Xác định các công cụ đẻ đảm bảo an ninh ?
Xây dựng mô hình an ninh – an toàn.
Thường kiểm tra các bước trên, nâng cấp, cập nhật và hệ thống khi có một lỗ hổng an ninh - an toàn được cảnh báo.
Mục đích của việc xây dụng mô hình an ninh – an toàn khi kết nối LAN là xây dựng các phương án để triển khai vấn đề an ninh – an toàn khi kết nối và đưa LAN vào hoạt động.
Đầu tiên mục đích và yêu cầu về vấn đề an ninh – an toàn hệ thống ứng dụng phải được vạch ra rõ ràng.
Chẳng hạn mục tiêu và yêu cầu an ninh – an toàn khi kết nối LAN cho các cơ quan hành chính nhà nước sẽ khác với việc kết nối LAN cho các trường đại học.
Thứ hai, mô hình an ninh – an toàn phải phù hợp với các chính sách, nguyên tắc và luật lệ hiện hành.
Thứ ba, phải giải quyết cá vấn đề liên quan đến an ninh – an toàn một cách toàn cụa. Có nghĩa là phải đảm bảo cả về phương tiện kỹ thuật và con người triển khai.
Một số công cụ triển khai mô hình an ninh – an toàn
Hệ thống tường lửa 3 phần (three-part firewall System)
Tường lửa là một công cụ phục vụ cho việc thực hiện an ninh – an toàn mạng từ vong ngoài, nhiệm vụ của nó như là hệ thống hàng rào vong ngoài của cơ sở cần bảo vệ. Khi kết nối hai hay nhiều phần tử của LAN nguy cơ mất an ninh tại các điểm kết nối là rất lớn, tường lửa là công cụ được chọn đặt tại các điểm kết nối đó.
Tường lửa trong tiếng Anh là Firewall, là ghép của hai từ fireproof và wall nghĩa là ngăn không cho lửa cháy lan. Trong xây dựng tường lửa được thiết kế để ngăn không cho lửa cháy lan từ phần này của toà nhà sang phần khác của toà nhà khi có hoả hoạn. Trong công nghệ mạng, tường lửa được xây dựng với mục đích tương tự, nó ngăn ngừa các hiểm họa từ các mạng công cộng hay mạng Internet, hay tấn công vào một mạng nội bộ (internal network) của một công ty, hay một tổ chức khi mạng này kết nối qua mạng công cộng, hay internet.
- Chức năng của hệ thống tường lửa:
Tường lửa thường được bố trí ở cổng vào ra của mạng, kiểm soát việc truy cập vào ra của mạng để ngăn ngừa các cuộc tấn công từ phía ngoài vào mạng nội bộ.
Tường lửa phải kiểm tra, phát hiện, dò tìm dấu vết tất cả các dữ liệu đi qua nó để làm cơ sở cho các quyết định (cho phép, loại bỏ, xác thực, mã hoá, ghi nhật ký…) kiểm soát các dịch vụ của mạng nó bảo vệ.
Để đảm bảo múc độ an ninh – an toàn cao, tường lửa phải có khả năng truy nhập, phân tích và sử dụng các thông tin về truyền thông trong 7 tầng và các trạng thái của các phiên truyền thông và các ứng dụng. Tường lửa cũng phải có khả năng thao tác các dữ liệu bằng các phép toán logic, số học nhằm thực hiện các yêu cầu về an ninh – an toàn. Tường lửa bao gồm các thành phần: các bộ lọc hay sàng lọc.
Hình 27: Mô hình tường lửa trong hệ thống mạng
Tường lửa chính là cổng (gateway) vào/ ra của một mạng nội bộ (mạng trong), trên đó có đặt hai bộ lọc vào/ra để kiểm tra dữ liệu vào/ra mạng nội bộ.
Theo truyền thống thì tường lửa được đặt tại vị trí vào/ra mạng nội bộ (mạng được bảo vệ) với mạng công cộng (mạng ngoài), hay mạng internet (khi kết nối với internet).
Ngày nay trong một tổ chức khi kết nối LAN có thể nối mạng khác nhau, và do yêu cầu an ninh – an toàn của đoạn mạng đó khác nhau. Khi đó tường lửa sẽ được đặt ở vị trí vào/ ra của đoạn mạng cần bảo vệ.
Dữ liệu vào/ra mạng nội bộ với mạng ngoài đều đi qua tường lửa, do đó tường lửa có thể kiểm soát và đảm bảo dữ liệu nào đó là có thể được chấp nhận (acceptable) cho phép vào/ra mạng nội bộ.
Internet
Hidden Corporate
Systems
Inside
Filter
Outside
Filter
Bastion
Hosts
Advertise
Route to
Isolation
LAN Only
Hệ thống tường lửa chia thành ba phần (Three- Part Fire Wall System) đặc biệt quan trọng trong thiết kế WAN.ở đây chúng tôi chỉ nêu một số khía cạnh chung nhất cấu trúc của mô hình trong thiết kế mạng LAN.
Hình 28: Mô hình tường lửa 3 phần
- LAN cô lập làm vùng đệm giữa mạng công tác với mạng bên ngoài (LAN cô lập được gọi là khu phi quân sự hay vùng DMZ).
- Thiết bị định tuyến trong có cài đặt bộ lọc gói được đặt giữa DMZ và mạng công tác.
- Thiết bị định tuyến ngoài có cài đặt bộ lọc gói được đặt giữa DMZ và mạng ngoài.
4.3. Các bước thiết kế:
4.3.1. Phân tích yêu cầu sử dụng:
Xác định muc tiêu sử dụng LAN: ai sử dụng LAN và yêu cầu dung lượng trao đổi dữ liệu loại hình dịch vụ , thời gian đáp ứng…, yêu cầu phát triển của LAN trong tương lai, xác định chủ sở hữu và quản trị LAN.
Xác định số lượng nút mạng hiện thời và tương lai (rất lớn trên 1000 nút, vừa trên 100 nút và nhỏ dưới 10 nút ). Trên cơ sở số lượn nút mạng, chúng ta có phương thức phân cấp, chọn kỹ thuật chuyển mạch, và chọn kỹ thuật chuyển mạch.
Dựa vào mô hình phòng ban để phân đoạn vật lý để đảm bảo hai yêu cầu an ninh và đảm bảo chất lượng dịch vụ.
Dựa vào mô hình TOPO lựa chọn công nghệ đi cáp.
Dự báo các yêu cầu mở rộng.
4.3.2. Lựa chọn các thiết bị phần cứng:
Dựa trên các phân tích yêu cầu và kinh phí dự kiến cho việc triển khai, chúng ta sẽ lựa chọn nhà cung cấp thiết bị lớn nhất như là Cisco, Nortel, 3COM, Intel… Các công nghệ tiên tiến nhất phù hợp với điều kiện VIệt Nam (kinh tế và kỹ thuật ) hiện đã có trên thị trường, và sẽ có trong tương lai gần.
Phần cứng chia làm 3 phần: hạ tầng kết nối (hệ thống cáp ), các thiết bị nối (hub, switch, bridge, router ), các thiết bị xử lý (các loại server, các loại máy in, các thiết bị lưu trữ…)
4.3.3.Lựa chọn phần mềm:
- Lựa chọn hệ điều hành Unix (AIX, OSP, HP, Solais,… ), Linux, Windows dựa trên yêu cầu về xử lý số lượng giao dịch, đáp ứng giao dịch, đáp ứng thời gian thực, kinh phí, an ninh an toàn.
- Lựa chọn các công cụ phát triển ứng dụng phần mềm như các phần mềm quản trị cơ sở dữ liệu (Oracle, Informix, SQL, Lotusnote,…) các phần mềm portal như Websphere,…
- Lựa chọn các phần mềm mạng như thư điện tử (Sendmail, PostOffice, Netscape,… ), Webserver (Apache, IIS,…).
- Lựa chọn các phần mềm đảm bảo an ninh an toàn mạng như phần mềm tường lửa (PIX, Checkpoint, Netfilter,…), phần mềm chống virut (VirutWall, NAV,…) phần mềm chống đột nhập và phần mềm quét lỗ hổng an ninh trên mạng.
- Lựa chọn các phần mềm quản lý và quản trị mạng.
4.3.4. Công cụ quản trị:
Các công cụ quản trị có thể được cài đặt trên máy chủ hoặc cài đặt trên máy trạm (Cài đặt Administrative Tools).
Các công cụ quản trị có thể không xuất hiện trong các nhóm công cụ quản trị.
Chúng bao gồm những công cụ thường dùng và những công cụ nâng cao
Component Services.
Computer Management.
Data Source (ODBC).
Distributed File System.
Event Viewer.
Internet Services Manager.
Licensing.
Local Security Pollcy.
Performance.
Routing And Remote Access.
Server Extention Adminstrator.
Services.
Telnet Servser Adminstrator.
Active Directory User And Computer.
Active Directory Sites And Services.
4.3.5. Hệ thống cáp mạng bao gồm:
Hệ thống các thiết bị chuyển mạch (switch,switch có chức năng định tuyến – layer 3 switch ) cung cấp nền tảng mạng cho các máy tính có thể trao đổi thông tin với nhau. Do toàn bộ phận mạng xây dựng tập trong 1 toà nhà nên hệ thống cáp truyền dẫn sẽ sử dụng bao gồm các cáp đồng tiêu chuẩn UTP CAT5 và cáp quang đa mode. Công nghệ mạng cục bộ sẽ sử dụng là Ethernet/ fastEthernet/ GigabitEthernet tương ứng tốc độ 10/100/100 Mbps chạy trên cáp UTP hoặc cáp quang.
Chương V: Triển khai và mô phỏng hệ thống mạng
5.1. Khảo sát mô hình thực tế của khoa điện tử
Khoa điện tử nằm ở tầng 6 của tòa nhà A7 trường Đại Học Công Nghiệp Hà Nội.
Mỗi giáo viên trong khoa đều được cấp một máy tính để bàn và được phân thành các tổ riêng biệt.
Khoa điện tử gồm 3 tổ : tổ điện tử viễn thông, tổ điện tử công nghiệp, tổ điện tử cơ bản, khoa còn một số trung tâm khác ở tại thành phố Hà Nội. Ngoài ra khoa còn có một chi nhánh ở tỉnh Hà Nam.
Khoa còn có một phòng máy thực hành cho sinh viên khoảng 30 máy.
Các giáo viên ở khoa muốn sử dụng kết nối Wifi cho Laptop của mình.
Một số chính sách (đề xuất):
Các máy tính trong cùng một tổ có thể truy cập với nhau và ở trong một mạng và không thể truy cập sang các máy tính thuộc tổ khác, được phép truy cập internet.
Các máy tính trong phòng thực hành có thể truy cập nhau không được phép truy cập Internet.
Chỉ cho phép các giáo viên được phép truy cập Wifi.
5.2.Giải pháp mạng cho khoa điện tử.
Để đảm bảo hệ thống mạng cho khoa luôn được ổn định, tính bảo mật cao và phù hợp với giá thành thì đề xuất là chúng ta sẽ xây dựng hệ thống mạng dựa trên nền tảng Cisco.
Do mạng theo mô hình WORKGROUP còn có rất nhiều khuyết điểm như bảo mật kém, quản lý rất khó …..nên giải pháp đề xuất là xây dựng mạng theo mô hình Server- Client. Khi đó mạng của ta sẽ có tính bảo mật cao, quản lý tập trung, tính linh động cao…
Hệ thống Server thì ta sẽ sử dụng 2 Server: một Server làm DC ( Domain Controler), DNS Server, DHCP Server. Một Server đóng vai trò làm File Server và Web Server. Server này sẽ quản lý toàn bộ dữ liệu của khoa và quản lý trang web nội bộ của khoa.
Đường kết nối Internet ta có thể dùng kết nối ADSL, cáp quang sử dụng cáp quang thì đường truyền rất ổn định, tốc độ cao nhưng chi phí thì khá đắt nên ta sẽ sử dụng đường kết nối ADSL của FPT hay VNPT. Sử dụng kết nối ADSL thì tốc độ và độ ổn định thì không bằng cáp quang nhưng giá thành rẻ và đáp ứng được nhu cầu của đa số doanh nghiệp vừa và nhỏ hiện nay.
Do trường Đại Học Công Nghiệp Hà Nội mới mở một chi nhánh ở Tỉnh Hà Nam nên để cho phép người dùng ở một số trung tâm của khoa và ở chi nhánh tại Hà Nam có thể truy cập vào mạng của khoa thì giải pháp là VPN hoặc Leass Line ( khá đắt).
Đối với kết nối Wifi chúng ta sẽ sử dụng phương thức xác thực bằng User và Passwowd khi truy cập Wifi tức là cấp cho các giáo viên một User và Password để truy cập wifi.
Do khoa có nhiều tổ và phòng máy thực hành và để đảm bảo tính riêng tư giữa các phòng cũng như khả năng bảo mật chúng ta sẽ sử dụng tính năng tạo VLAN trong các dòng Switch của Cisco. Thiết bị Switch được sử dụng là CE500 .
-VLAN là từ viết tắt của Virtual Local Are Network hay còn gọi là mạng riêng ảo .Một VLAN là một nhóm logic các thiết bị mạng được thiết lập dựa trên các yếu tố như chức năng, bộ phận, ứng dụng..của công ty.
- Phân loại VLAN :
+ Port – based VLAN : là cách cấu hình VLAN đơn giản và phổ biến .Mỗi cổng của switch được gắn với một VLAN xác định do vậy bất cứ thiết bị nào gắn vào cổng đó đều thuộc một VLAN nào đó.
+ MAC address based VLAN : cách cấu hình này ít được sử dụng do có nhiều bất tiện trong quản lý .Mỗi địa chỉ MAC được đánh dấu với một VLAN xác định.
Lợi ích của VLAN:
+ Tiết kiệm băng thông mạng do VLAN chia mạng thành nhiều segment nhỏ trong đó mỗi đoạn là một vùng quảng bá (broast domain) khi đó gói tin quảng bá sẽ được truyền duy nhất trong VLAN tưong ứng .
+ Tăng khả năng bảo mật do mỗi VLAN là một mạng riêng nên không thể truy cập lẫn nhau trừ khi ta sử dụng chức năng định tuyến giữa các VLAN.
+ Tăng độ linh hoạt của mạng do việc thêm bớt các VLAN rất đơn giản .
Sử dụng giao thức VTP ( VLAN Trunking Protocol) để quản lý hệ thống switch.
- Trong các hệ thống mạng lớn có rất nhiều switch kết nối bên trong do đó việc cấu hình và quản lý một số lượng lớn switch, VLAN và VLAN trunk là một công việc tốn rất nhiều thời gian và công sức .Cisco đã triển khai một phương pháp quản lý VLAN qua mạng đó là VLAN trunking protocol – VTP.
- VTP là một giao thức quảng bá cho phép duy trì cấu hình thống nhất trên một miền quản trị. Sử dụng gói trunk lớp 2 để quản lý các VLAN như là thêm bớt hoặc xóa các VLAN hay đặt tên cho các VLAN trong một miền quảng bá nhất định .Đồng thời VTP cho phép tập trung thông tin về sự thay đổi từ tất cả các switch trong hệ thống mạng.
- VTP làm giảm độ phức tạp khi cấu hình và quản trị các VLAN
- VTP hoạt động ở ba chế độ : server, client , Transparent:
+ VTP Server (Chế độ mặc định)
Switch được cấu hình ở chế độ server, thì switch đó có thể khởi tạo, thay đổi và xoá các VLAN. VTP server ghi thông tin cấu hình VLAN trong NVRAM. VTP server gửi các thông điệp VTP qua tất cả các cổng Trunk
+ VTP Client
Một switch được cấu hình ở chế độ VTP Client không thể khởi tạo, sửa chữa hoặc xoá thông tin VLAN. Thêm nữa, Client không thể lưu thông tin VLAN.
Chế độ này có ích cho các switch không đủ bộ nhớ để lưu trữ bảng thông tin VLAN lớn. VTP Client sử lý các thay đổi VLAN giống như server, nó cũng gửi các thông điệp qua các cổng Trunk.
+ VTP Transparent (trong suốt)
Các switch cấu hình ở chế độ Transparent không tham gia vào VTP. Một VTP Transparent switch không quảng bá cấu hình VLAN của nó và không đồng bộ các cấu hình VLAN của nó dựa trên các quảng cáo nhận được. Chúng chuyển tiếp các quảng cáo VTP nhận được trên các cổng Trunk nhưng bỏ qua các thông tin bên trong thông điệp. Một Transparent switch không thay đổi database của nó, khi các switch nhận các thông tin cập nhật cũng gửi một bản cập nhật chỉ ra sự thay đổi trạng thái VLAN. Trừ khi chuyển tiếp một quảng cáo VTP, VTP bị vô hiệu hoá trên switch được cấu hình ở chế độ Transparent.
Để có thể kiểm soát các luồng thông tin truy cập trong hệ thống mạng như là cho phép một số máy tính trong mạng không được phép truy cập internet….chúng ta sẽ sử dụng chức năng Access Control List (ACL) trong hệ thống mạng.
ACL là một danh sách các câu lệnh được áp đặt vào các cổng (interface) của router. Danh sách này chỉ ra cho router biết loại packet nào được chấp nhận (allow) và loại packet nào bị hủy bỏ (deny) . Sự chấp nhận hủy bỏ có thể dựa vào địa chỉ nguồn, địa chỉ đích, hoặc chỉ số port.
Các loại ACL : có hai loại ACL đó là standard ACL và Extended ACL:
- Hoạt động của ACL : ACL sẽ được thực hiện theo trình tự của các câu lệnh trong danh sách cấu hình khi tạo Access Control List. Nếu có một điều kiện được so khớp ( matched) trong danh sách thì nó sẽ thực hiện, và các câu lệnh còn lại sẽ không được kiểm tra nữa. Trường hợp tất cả các câu lệnh trong danh sách đều không khớp ( unmatched) thì một câu lệnh mặc đinh “deny any” được thực hiện . Cuối Access Control List mặc định sẽ là lệnh loại bỏ tất cả (deny all). Vì vậy trong Access Control List cần phải có ít nhất một câu lệnh permit.
Khi Packet đi vào một Interface, Router sẽ kiểm tra xem có một ACL trong Inbound Interface hay không, nếu có packet sẽ được kiểm tra đối chiếu với những điều kiện trong danh sách .Nếu Packet đó được cho phép nó sẽ được tiếp tục được kiểm tra trong bảng routing để quyết định chọn Interface để đi đến đích .Tiếp đó router sẽ kiểm tra xem outbound interface có ACL hay không ? .Nếu không thì packet có thể sẽ được gửi tới mạng đích . Nếu có ACL ở Outbound Interface, nó sẽ kiểm tra đối chiếu với những điều kiện trong danh sách ACL.
5.3.Xây dựng mô hình mạng cho khoa điện tử.
5.3.1. Mô hình triển khai.
Hiện nay, hầu hết các ứng dụng mới đều cần rất nhiều tài nguyên của hệ thống và băng thông mạng, cũng như các yêu cầu về điều khiển, giám sát mạng, vậy làm thế nào để một số doanh nghiệp vừa và nhỏ, trường học với kinh phí và số vốn đầu tư hạn chế, có thể tiếp cận với các công nghệ hiện đại bắt kịp sự phát triển của thế giới. Với các sản phẩm dành cho doanh nghiệp vừa và nhỏ của Cisco, điều này sẽ trở thành hiện thực.
Sau đây tôi sẽ giới thiệu và triển khai mô hình mạng và một số các sản phẩm của Cisco dành cho các doanh nghiệp vừa và nhỏ SMB, những sản phẩm với giá thành cạnh tranh với các tính năng vượt trội về băng thông, khả năng mở rộng , tích hợp sẵn các công nghệ mạng hiện đại, khả năng bảo mật, khả năng hỗ trợ VPN…..
5.3.2. Giới thiệu một số thiết bị được sử dụng trong mô hình trên.
5.3.2.1 .Cisco Catalyst Express 500 (CE500)
Đây là sản phẩm giá thành thấp dùng cho kết nối các thiết bị đầu cuối lớp truy cập (access layer). Ngoài ra CE500-24LC còn hỗ trợ 4 cổng PoE, có khả năng cấp nguồn giúp triển khai các AP (access point) một cách dể dàng.
Cung cấp 24 cổng 10/100 Mbps, với tính năng MDI/ MDIX giúp cho người cài đặt mạng không còn phải lo lắng về các vấn đề cáp thẳng hay chéo nữa.
Có 2 cổng 10/100/1000 BaseT, 2 slot SFP dành cho các kết nối uplink, giúp cho hệ thống mạng đảm bảo băng thông cho các ứng dụng Mutimedia, tải file lớn .. có thể sử dụng modul quang.
Tốc độ chuyển mạch lên tới 8.8 Gbps, 6,6 Mbps đảm bảo chuyển mạch không trễ (wire speed switching ) . Hỗ trợ lên tới 8000 địa chỉ MAC, 32MB DRAM…
Có khả năng cung cấp VLAN theo cổng (port base VLAN) lên tới 32 VLAN. Hỗ trợ cho việc quản lý, phân chia các phòng ban bằng VLAN.
Hỗ trợ 4 cổng PoE, cho phép cấp nguồn qua cáp Ethernet, giúp cho triển khai các thiết bị hỗ trợ PoE như Ipcamera, IP phone, Access Point,…. Đơn giản vì không phải cấp nguồn tại chỗ.
Hỗ trợ các tính năng bảo mật như Port sercurity, các tính năng QoS cho voice traffic, khả năng phần luồng dữ liệu, hỗ trợ thuật toán Spanning tree giúp tối ưu băng thông mạng.
Hỗ trợ quản lý và cấu hình dựa trên giao diện đồ họa (thông qua web- base hoặc sử dụng phần mềm Cisco Network Assitant) giúp quản trị trực quan.
5.3.2.2. Cisco 2811 Integrated Service Router
Router 2811 là một phần của cisco 2800 intergrated services router series (router tích hợp dịch vụ )
Một số tính năng của router 2811:
- Hiệu suất Wire – speed cho các dịch vụ đồng thời như bảo mật, thoại, và các dịch vụ cải tiến tối đa tốc độ T1/E1/ xDSL WAN.
- Tăng sự bảo vệ thông qua việc tăng hiệu suất và kết nối modun.
- Tăng mật độ thông qua khe cắm giao diện WAN tốc độ cao.
- Tăng khe cắm mạng.
- Hỗ trợ hơn 90 modun hiện có hoặc sản xuất mới.
- Hỗ trợ AIMs, NMs, WICs, VWICs, VICs.
- Hai cổng tích hợp 10/100 Fast Ethernet.
Bảo mật
- Mã hóa On- board
- Hỗ trợ lên tới 1500 tunnel (đường hầm) VPN với modun AIM-EPII-PLUS.
- Hỗ trợ phòng chống virus thông qua Network Administrator Control (NAC).
- Chống xâm nhập ( Intruction Prevention) như kiểm soát trạng thái của Cisco IOS Firewall hỗ trợ và nhiều đặc tính bảo mật khác.
Thoại
-Hỗ trợ cuộc gọi số hoặc analog.
- Lựa chọn hỗ trợ voice mail.
- Lựa chọn hỗ trợ Cisco CallManager Express (Cisco CME) cho việc xử lý cuộc gọi cục bộ cho doanh nghiệp.
5.3.2.3. Thiết bị chuyển mạch Catalyst switch models 3560
Dòng Switch 3560 là một thiết bị mạng hoạt động ở layer hai và layer ba của mô hình OSI, đây là dòng switch có khả năng làm việc ở tầng Data Access được sử dụng phổ biến trong các doanh nghiệp vừa và nhỏ nó bao gồm một số tính năng sau :
- Hỗ trợ hầu hết tốc độ của mạng 10/100/1000
Hỗ trợ các ứng dụng mới như :IP telephone, Wireless access. Truyền hình hội nghị, …..
Hỗ trợ các dịch vụ thông minh chất lượng cao (QoS).
Hỗ trợ tốc độ tối đa, Access Control List, quản lý Multicast, khả năng định tuyến làm việc với yêu cầu.
Cho phép đơn giản hóa quá trình quản trị với các công cụ của Cisco Switch, router và Wireles Access Point.
Với Cisco Network Assitant giúp quá trình cấu hình Switch một cách đơn giản, triển khai mạng một cách nhanh chóng.
5.3.2.4. Access Point WRT 300N
Ngày nay với sự phát triển vượt bậc của công nghệ mạng không dây các mạng không dây (wifi) đã trở lên rất phổ biến thể hiện tính ưu việt của nó:
Mạng LAN không dây không sử dụng dây dẫn để kết nối, thay vào đó việc kết nối được thực hiện qua song vô tuyến.
Có tính di động cao, không phụ thuộc vào các điểm cố định có kết nối dây dẫn cho các thiết bị.
Cài đặt nhanh chóng không tốn chi phí và thời gian cho cáp kết nối.
Dễ dàng mở rộng các kết nối mạng.
Với công nghệ bảo trong mạng không dây hiện nay nguời dùng có thể yên tâm về tính bảo mật của mạng không dây.
Để kết nối mạng không dây (wifi) ta sử dụng Access Point WRT 300N của hãng Linksys (Cisco) sau đây là một số tính năng của thiết bị này:
Chia sẻ kết nối internet qua chức năng định tuyến và 4 cổng chuyển mạch, tích hợp sẵn chức năng điểm truy cập không dây tốc độ cao.
Công nghệ MIMO cho phép truyền dữ liệu trên nhiều tần số, tín hiệu truyền mạnh gấp 4 lân thông thường và hạn chế điểm chết trong vùng phủ sóng.
Tốc độ truyền dưc liệu nhanh gấp 12 lần so với chuẩn G không dây, nhưng vẫn luôn tương thích với chuẩn G và B không dây.
Mã hóa 256 bit và cơ chế tường lửa SPI đảm bảo an ninh mạng không dây cao.
Cho phép sử dụng nhiều ứng dụng đa phương tiện như video, game, điện thoai IP….
Cho phép sử dụng nhiều ứng dụng đa phương tiện như video, game, điện thoai IP….
5.4. Cấu hình các thiết bị trong mô hình mạng
5.4.1. Chia VLAN và gán địa chỉ IP cho các VLAN.
Chia VLAN và đặt tên cho VLAN.
-VLAN 10 : dientuvienthong.
-VLAN 20 : dientucongnghiep.
-VLAN 30 : dientucoban.
- VLAN 40 : phongthuchanh.
- VLAN 50 : Wifi.
- VLAN 60 :Server
Đặt địa chỉ IP cho các VLAN.
VLAN 10 : 192.168.10.0/24
VLAN 20 : 192.168.20.0/24
VLAN 30 : 192.168.30.0/24
VLAN 40 : 192.168.40.0/24
VLAN 50 : 192.168.50.0/24
VLAN 60 : 192.168.60.0/24
5.4.2. Cấu hình trên các thiết bị mạng
5.4.2.1. Cấu hình trên switch core (3560)
- Trên Switch Core ta sẽ cấu hình password để vào chế độ đặc quyền của switch là “cisco” và password để truy cập từ xa vào chế độ cấu hình của switch là “ccna”
Switch>
Switch>enable
Switch#configure ter
Switch(config)#hostname SwitchCore
SwitchCore(config)#no ip domain-lookup
SwitchCore(config)#enable secret cisco
SwitchCore(config)#line vty 0 4
SwitchCore(config-line)#password ccna
SwitchCore(config-line)#login
SwitchCore(config-line)#exit
SwitchCore(config)#line console 0
SwitchCore(config-line)#password ccna
SwitchCore(config-line)#exit
- Cấu hình giao thức VTP trên switch core.
SwitchCore(config)#vtp mode server
SwitchCore(config)#vtp domain haui
SwitchCore(config)#vtp password ccna
- Tạo các Vlan trên switch Core
SwitchCore(config)#vlan 10
SwitchCore(config-vlan)#name dientucoban
SwitchCore(config-vlan)#exit
SwitchCore(config)#vlan 20
SwitchCore(config-vlan)#name dientuvienthong
SwitchCore(config-vlan)#exit
SwitchCore(config)#vlan 30
SwitchCore(config-vlan)#name dientucongnghiep
SwitchCore(config-vlan)#exit
SwitchCore(config)#vlan 40
SwitchCore(config-vlan)#name phongthuchanh
SwitchCore(config-vlan)#exit
SwitchCore(config)#vlan 50
SwitchCore(config-vlan)#name wifi
SwitchCore(config-vlan)#exit
SwitchCore(config)#vlan 60
SwitchCore(config-vlan)#name server
SwitchCore(config-vlan)#exit
- Cấu hình DHCP Server trên switch core để cung cấp địa chỉ ip động cho các máy trong các VLAN mỗi Vlan có một dải địa chỉ IP riêng và 5 địa chỉ IP đầu tiên không sử dụng thường dùng cho các máy chủ trong các VLAN
SwitchCore(config)#ip dhcp pool net10
SwitchCore(dhcp-config)#network192.168.10.0 255.255.255.0
SwitchCore(dhcp-config)#default-router 192.168.1.1
SwitchCore(dhcp-config)#dns-server 210.245.0.254
SwitchCore(dhcp-config)#exit
SwitchCore(config)#ip dhcp pool net20
SwitchCore(dhcp-config)#network192.168.20.0 255.255.255.0
SwitchCore(dhcp-config)#default-router 192.168.20.1
SwitchCore(dhcp-config)#dns-server 210.245.0.254
SwitchCore(dhcp-config)#exit
SwitchCore(config)#ip dhcp pool net30
SwitchCore(dhcp-config)#network192.168.30.0 255.255.255.0
SwitchCore(dhcp-config)#default-router 192.168.30.1
SwitchCore(dhcp-config)#dns-server 210.245.0.254
SwitchCore(dhcp-config)#exit
SwitchCore(config)#ip dhcp pool net40
SwitchCore(dhcp-config)#network192.168.40.0 255.255.255.0
SwitchCore(dhcp-config)#default-router 192.168.40.1
SwitchCore(dhcp-config)#dns-server 210.245.0.254
SwitchCore(dhcp-config)#exit
SwitchCore(config)#ip dhcp pool net60
SwitchCore(dhcp-config)#network192.168.60.0 255.255.255.0
SwitchCore(dhcp-config)#default-router 192.168.60.1
SwitchCore(dhcp-config)#dns-server 210.245.0.254
SwitchCore(dhcp-config)#exit
SwitchCore(config)#ip dhcp excluded-address 192.168.10.1 192.168.10.5
SwitchCore(config)#ip dhcp excluded-address 192.168.20.1 192.168.20.5
SwitchCore(config)#ip dhcp excluded-address 192.168.30.1 192.168.30.5
SwitchCore(config)#ip dhcp excluded-address 192.168.40.1 192.168.40.5
SwitchCore(config)#ip dhcp excluded-address 192.168.60.1 192.168.60.5
- Tạo ra các interface Vlan cho các Vlan khi đó các máy tính thuộc vlan nào thì sẽ lấy interface vlan của vlan đó làm default gateway.
SwitchCore(config)#interface vlan 10
SwitchCore(config-if)#ip address 192.168.10.1 255.255.255.0
SwitchCore(config-if)#no shutdown
SwitchCore(config-if)#exit
SwitchCore(config)#interface vlan 20
SwitchCore(config-if)#ip address 192.168.20.1 255.255.255.0
SwitchCore(config-if)#no shutdown
SwitchCore(config-if)#exit
SwitchCore(config)#interface vlan 30
SwitchCore(config-if)#ip address 192.168.30.1 255.255.255.0
SwitchCore(config-if)#no shutdown
SwitchCore(config-if)#exit
SwitchCore(config)#interface vlan 40
SwitchCore(config-if)#ip address 192.168.40.1 255.255.255.0
SwitchCore(config-if)#no shutdown
SwitchCore(config-if)#exit
SwitchCore(config)#interface vlan 50
SwitchCore(config-if)#ip address 192.168.50.1 255.255.255.0
SwitchCore(config-if)#no shutdown
SwitchCore(config-if)#exit
SwitchCore(config)#interface vlan 60
SwitchCore(config-if)#ip address 192.168.60.1 255.255.255.0
SwitchCore(config-if)#no shutdown
SwitchCore(config-if)#exit
- Kích hoạt chức năng định tuyến giữa các vlan trên switch layer ba trên switch core.
SwitchCore(config)#ip routing
Sau các bước cấu hình như trên thì các máy trong các vlan có thể truy cập các máy thuộc vlan khác .Để các máy trong các vlan có thể truy cập đến router thì ta phải định tuyến các mạng , giao thức định tuyến mà chúng ta sử dụng là “RIP “ và “Static route”, khi đó chúng ta sẽ quảng bá các mạng kết nối trực tiếp vào router .
SwitchCore(config)#router rip
SwitchCore(config-router)#version 2
- SwitchCore(config-router)#network 192.168.10.0
SwitchCore(config-router)#network 192.168.20.0
SwitchCore(config-router)#network 192.168.30.0
SwitchCore(config-router)#network 192.168.40.0
SwitchCore(config-router)#network 192.168.50.0
SwitchCore(config-router)#network 192.168.60.0
SwitchCore(config-router)#network 192.168.70.0
SwitchCore(config-router)#no auto-summary
SwitchCore(config-router)#exit
cấu hình trunk trên port fa0/1
SwitchCore(config)#interface fa0/24
SwitchCore(config-if)# no switchport
SwitchCore(config-if)# ip address 192.168.70.10 255.255.255.0
SwitchCore(config-if)#no shutdown
SwitchCore(config-if)#exit
SwitchCore(config)# ip route 0.0.0.0 0.0.0.0 192.168.70.1
Lưu lại cấu hình vào file cấu hình
Switchcore(config)#^Z
Switchcore#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...[OK]
5.4.2.2 . Cấu hình trên Switch 1
Trên switch 1 ta cấu hình user và password để vào chế độ đặc quyền của switch là “cisco” và password để truy cập từ xa vào chế độ cấu hình của switch là “ccna”
Switch>
Switch>enable
Switch#configure terminal
Switch(config)#hostname Switch1
Switch1(config)#enable secret cisco
Switch1(config)#line vty 0 4
Switch1(config-line)#password ccna
Switch1(config-line)#login
Switch1(config-line)#exit
Switch1(config)#line console 0
Switch1(config-line)#password ccna
Switch1(config-line)#login
Switch1(config-line)#exit
Switch1(config)#no ip domain-lookup
Cấu hình đường trunk trên port g1/1 khi đó bất cứ thông tin nào về vlan thì sẽ đựơc switch1 cập nhật qua port trunk này.
Switch1(config)#interface g1/1
Switch1(config-if)#switchport mode trunk
Switch1(config-if)#no shutdown
Switch1(config-if)#exit
Cấu hình VTP cho switch1, switch1 hoạt động ở chế độ client.
Switch1(config)#vtp mode client
Switch1(config)#vtp domain haui
Switch1(config)#vtp password ccna
Khi cấu hình switch1 hoạt động ở chế độ client thì các thông tin về vlan được tạo ra ở trên switch core sẽ được switch1 cập nhật do đó trên switch1 ta không phải tạo ra các vlan nữa mà chỉ việc gán các port của switch1 vào vlan này .
- Gán các port trên Switch1 vào VLAN 10
Switch1(config)#interface range fa0/1 - fa0/5
Switch1(config-if-range)#switchport mode access
Switch1(config-if-range)#switchport access vlan 10
Switch1(config-if-range)#no shutdown
Switch1(config-if-range)#exit
- Gán các port trên Switch 1 vào VLAN 20
Switch1(config)#interface range fa0/6 - fa0/11
Switch1(config-if-range)#switchport mode access
Switch1(config-if-range)#switchport access vlan 20
Switch1(config-if-range)#no shutdown
Switch1(config-if-range)#exit
- Gán các port trên Switch 1 vào VLAN 60
Switch1(config)#interface range fa0/12 - fa0/17
Switch1(config-if-range)#switchport mode access
Switch1(config-if-range)#switchport access vlan 60
Switch1(config-if-range)#no shutdown
Switch1(config-if-range)#exit
- Luư lại cấu hình của Switch1
Switch1#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
5.4.2.3. Cấu hình trên Switch2
Trên switch 2 ta cấu hình user và password để vào chế độ đặc quyền của switch là “cisco” và password để truy cập từ xa vào chế độ cấu hình của Switch là “ccna”
Switch>
Switch>enable
Switch#configure ter
Switch(config)#hostname Switch2
Switch2(config)#enable secret cisco
Switch2(config)#line vty 0 4
Switch2(config-line)#password ccna
Switch2(config-line)#exit
Switch2(config)#line console 0
Switch2(config-line)#password ccna
Switch2(config-line)#login
Switch2(config-line)#exit
Switch2(config)#no ip domain-lookup
Cấu hình trunk trên port g1/1 của Switch2
Switch2(config)#interface g1/1
Switch2(config-if)#switchport mode trunk
Switch2(config-if)#no shutdown
Switch2(config-if)#exit
Cấu hình VTP trên Switch2
Switch2(config)#vtp mode client
Switch2(config)#vtp domain haui
Switch2(config)#vtp password ccna
Gán các Port vàoVLAN 30 trên Switch2
Switch2(config)#interface range fa0/1 - fa0/5
Switch2(config-if-range)#switchport mode access
Switch2(config-if-range)#switchport access vlan 30
Switch2(config-if-range)#no shutdown
Switch2(config-if-range)#exit
Gán các Port vào VLAN 40 trên switch2
Switch2(config)#interface range fa0/6 - fa0/11
Switch2(config-if-range)#switchport mode access
Switch2(config-if-range)#switchport access vlan 40
Switch2(config-if-range)#no shutdown
Switch2(config-if-range)#exit
Gán các Port vào VLAN 50 trên switch2
Switch2(config)#interface range fa0/12 - fa0/17
Switch2(config-if-range)#switchport mode access
Switch2(config-if-range)#switchport access vlan 50
Switch2(config-if-range)#no shutdown
Switch2(config-if-range)#exit
Lưu cấu hình vào file cấu hình
Switch2(config)#^Z
Destination filename [startup-config]?
Building configuration...[OK]
5.4.2.4. Cấu hình trên route Hanoi
Router Hanoi hoạt động ở lớp “Core” của mô hình này, nó kết nối đến router của ISP (nhà cung cấp dịch vụ internet) và vừa kết nối trung tâm của khoa tại Hà Nội qua đường kết nối leassline . Để các máy tính trong mạng có thể truy cập internet và mạng tại một số trung tâm tại Hà Nội thì trên router Hanoi ta phải sử dụng giao thức định tuyến ở đây ta dùng “RIP” ,đồng thời ta sẽ sử dụng chức năng “NAT” trên router Hanoi.
Trong đó “NAT” là chức năng chuyển đổi từ một địa chỉ IP này sang một địa chỉ IP khác .Bình thừơng địa chỉ IP mà chúng ta đang sử dụng trong mạng LAN là địa chỉ private nghĩa là với loại địa chỉ này chúng ta có thể sử dụng tùy ý .Khi muốn truy cập mạng internet thì chúng ta sẽ phải sử dụng một địa chỉ Public địa chỉ này do các nhà cung cấp dịch vụ internet cung cấp và địa chỉ này là duy nhất .để có địa chỉ này chúng ta sẽ phải mua của nhà cung cấp dịch vụ hoặc là sử dụng địa chỉ Public động của nhà cung cấp dịch vụ và địa chỉ này sẽ thay đổi theo một khoảng thời gian nào đó . Ta sẽ sử dụng chức năng “NAT” trên router Hanoi để chuyển địa chỉ IP prive trong mạng thành một địa chỉ IP public.
Cấu hình cơ bản cho router Hanoi
Router>enable
Router#configure ter
Router(config)#hostname Hanoi
Hanoi(config)#enable secret cisco
Hanoi(config)#line vty 0 4
Hanoi(config-line)#password ccna
Hanoi(config-line)#login
Hanoi(config-line)#exit
Hanoi(config)#line console 0
Hanoi(config-line)#password ccna
Hanoi(config-line)#login
Hanoi(config-line)#exit
Hanoi(config)#no ip domain-lookup
Cấu hình địa chỉ IP cho port fa0/1 của router
Hanoi(config)#interface fa0/0
Hanoi(config-if)#ip address 192.168.70.1 255.255.255.0
Hanoi(config-if)#no shutdown
Hanoi(config-if)#exit
Cấu hình địa chỉ IP cho port s1/1 của router
Hanoi(config)#interface s1/1
Hanoi(config-if)#ip address 203.162.0.2 255.255.255.252
Hanoi(config-if)#no shutdown
Hanoi(config-if)#exit
Cấu hình địa chỉ IP cho port s1/0 của router
Hanoi(config)#interface s1/0
Hanoi(config-if)#ip address 10.10.10.1 255.255.255.252
Hanoi(config-if)#clock rate 64000
Hanoi(config-if)#no shutdown
Hanoi(config-if)#exit
Cấu hình định tuyến trên router
Hanoi(config)#router rip
Hanoi(config-router)#version 2
Hanoi(config-router)#network 192.168.70.0
Hanoi(config-router)#network 10.10.10.0
Hanoi(config-router)#no auto-summary
Hanoi(config-router)#exit
Cấu hình “NAT” để cho phép các máy tính trong mạng có thể truy cập internet.
Hanoi(config)#ip route 0.0.0.0 0.0.0.0 s1/1
Hanoi(config)#access-list 1 permit any
Hanoi(config)#ip nat inside source list 1 interface s1/1 overload
Hanoi(config)#interface fa0/0
Hanoi(config-if)#ip nat inside
Hanoi(config-if)#exit
Hanoi(config)#interface s1/1
Hanoi(config-if)#ip nat outside
Hanoi(config-if)#exit
5.4.2.5. Cấu hình trên router ISP
Để mô phỏng mạng internet ta sẽ sử dụng một router mô phỏng router của nhà cung cấp dịch vụ internet việc cấu hình cũng rất đơn giản.
Router>
Router>en
Router#configure ter
Router(config)#hostname ISP
ISP(config)#enable secret cisco
ISP(config)#line vty 0 4
ISP(config-line)#password ccna
ISP(config-line)#login
ISP(config-line)#exit
ISP(config)#line console 0
ISP(config-line)#password ccna
ISP(config-line)#login
ISP(config-line)#exit
ISP(config)#interface fa0/0
ISP(config-if)#ip address 210.245.0.1 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#exit
ISP(config)#interface s1/1
ISP(config-if)#ip address 208.67.222.2 255.255.255.252
ISP(config-if)#clock rate 64000
ISP(config-if)#no shutdown
ISP(config-if)#exit
ISP#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
5.4.2.6. Cấu hình Web server
Để mô phỏng một Web server trên internet chúng ta sẽ cấu hình một web server với tên miền là :www.haui.com.edu . Địa chỉ public là :113.190.135.254 /24, khi đó các máy tính trong mạng nội bộ sẽ truy cập được trang web www.haui.com.edu
Cấu hình IP và default gateway trên Web server
Cấu hình DNS trên web server
Cấu hình HTTP trên webserver
3.2.6. Cấu hình trên router của chi nhánh Hà Nam
Router chi nhánh Hà Nam kết nối đến router Hanoi qua đuờng leassline
Cấu hình các thông số cơ bản
Router>
Router>en
Router#configure ter
Router(config)#hostname Hanam
Hanam(config)#enable password cisco
Hanam(config)#line vty 0 4
Hanam(config-line)#password ccna
Hanam(config-line)#login
Hanam(config-line)#exi
Hanam(config)#line console 0
Hanam(config-line)#password ccna
Hanam(config-line)#logi
Hanam(config-line)#exi
Cấu hình các port trên router của chi nhánh Hanam
Hanam(config)#interface fa0/0
Hanam(config-if)#ip address 172.16.0.1 255.255.255.0
Hanam(config-if)#no shutdown
Hanam(config-if)#exit
Hanam(config)#interface s1/0
Hanam(config-if)#ip ad
Hanam(config-if)#ip address 10.10.10.2 255.255.255.0
Hanam(config-if)#no shutdown
Hanam(config-if)#exit
Cấu hình định tuyến trên router của chi nhánh Hanam
Hanam(config)#router rip
Hanam(config-router)#version 2
Hanam(config-router)#network 172.16.0.0
Hanam(config-router)#network 10.10.10.0
Hanam(config-router)#no auto-summary
Hanam(config-router)#exit
Hanam(config)#exi
Hanam#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]3.2.6. Cấu hình Access Point để kết nối wifi
Để kết nối wifi chúng ta sẽ cấu hình trên access point của hãng linksys, các access point này sẽ đựoc kết nối với switch core nó sẽ hoạt động như switch khi đó các máy tính dùng wifi sẽ được cấp địa chỉ IP mà ta đã cấu hình trên switch core
Các file đính kèm theo tài liệu này:
- Thiết kế hệ thống mạng khoa điện tử trường đại học công nghiệp hà nội.doc