Đồ án Thiết kế lan tại 2 đơn vị, thực hiện cấu hình vpn ipsec kết nối, chia sẻ thông tin giữa 2 site

OPO lựa chọn công nghệ đi cáp. Dự báo các yêu cầu mở rộng. 3.2.3.2- Lựa chọn các thiết bị phần cứng Dựa trên các phân tích yêu cầu và kinh phí dự kiến cho việc triển khai chúng ta sẽ lựa chọn nhà cung cấp thiết bị lớn nhất như là Cisco, HP, Intel… Các công nghệ tiên tiến nhất phù hợp với điều kiện Việt Nam (kinh tế và kỹ thuật) hiện đã có trên thị trường và sẽ có trong tương lai gần. Các công nghệ có khả năng mở rộng. Phần cứng chia làm 3 phần: hạ tầng kết nối (hệ thống cáp) các thiết bị nối (hub, switch, bridge, router) các thiết bị xử lý (các loại server các loại máy in, các thiết bị lưu trữ…). 3.2.3.3- Lựa chọn phần mềm - Lựa chọn hệ điều hành Window server (2003,…2008 ) Linux dựa trên yêu cầu về xử lý số lượng giao dịch đáp ứng giao dịch, đáp ứng thời gian thực, kinh phí an ninh an toàn. - Lựa chọn các công cụ phát triển ứng dụng phần mềm như các phần mềm quản trị cơ sở dữ liệu (Oracle, SQL,…) - Lựa chọn các phần mềm mạng như thư điện tử (Sendmail, PostOffice, Netscape,… ) Webserver (ApacheIIS,…). - Lựa chọn các phần mềm đảm bảo an ninh an toàn mạng như phần mềm tường lửa (IPCop,…) phần mềm chống virus (Symantec server,…) phần mềm chống đột nhập và phần mềm quét lỗ hổng an ninh trên mạng. 3.2.4- Xây dựng mạng LAN quy mô một toà nhà Xây dựng LAN trong toà nhà điều hành phục vụ cho công tác khai ứng dụng cơ sở dữ liệu và bảo mật dữ liệu. Quản lý cơ sở dữ liệu tập trung. 3.2.4.1- Hệ thống mạng bao gồm Hệ thống các thiết bị chuyển mạch (switch có chức năng định tuyến – laver 2 switch) cung cấp nền tảng mạng cho các máy tính có thể trao đổi thông tin với nhau. Do toàn bộ phận mạng xây dựng trong 1 toà nhà nên hệ thống cáp truyền dẫn sẽ sử dụng bao gồm các cáp đồng tiêu chuẩn UTP CAT5 và STP CAT6. Công nghệ mạng cục bộ sẽ sử dụng là Ethernet/fastEthernet/ GigabitEthernet tương ứng tốc độ 10/100/1000 Mbps chạy trên cáp STP/UTP hoặc cáp quang. - Hệ thống mạng và máy chủ phục vụ cho việc quản lý CSDL tập trung và kiểm soát truy cập Internet.. - Cung cấp các tài nguyên truy cập và ứng dụng phần mềm quản lý của ngành… 3.2.4.2- Phân tích yêu cầu - Mạng máy tính là mạng LAN Campus Network có băng thông rộng đủ để khai thác hiệu quả các ứng dụng cơ sở dữ liệu đặc trưng của tổ chức cũng như đáp ứng các khả năng chạy các ứng dụng đa phương tiện (hình ảnh, âm thanh,…) phục vụ cho công tác tra cứu ứng dụng từ xa. - Mạng xây dựng dựa trên nền tảng công nghệ truyền dẫn tốc độ cao Ethernet/fastEthernet/GigabitEthernet và hệ thống cáp mạng xoắn STP6/UTP CAT 5 và cáp quang đa mode. - Mạng cần có độ ổn định cao và khả năng dự phòng để đảm bảo chất lượng cho việc truy cập các dữ liệu quan trọng cũng như đào tạo từ xa. Hệ thống cáp mạng phải có khả năng dự phòng 1:1 cho các kết nối Switch – switch cũng như đảm bảo khả năng sửa chữa cách ly sự cố dễ dàng. - Hệ thống cáp mạng cần được thiết kế đảm bảo đáp ứng các yêu cầu về kết nối tốc độ cao và khả năng dự phòng cũng như mở rộng lên các công nghệ mới. - Mạng cần đảm bảo an ninh an toàn cho toàn bộ thiết bị nội bộ trước các truy nhập trái phép ở mạng ngoài cũng như từ các truy nhập gián tiếp có mục đích phá hoại nên cần có hệ thống bảo mật. - Mạng đảm bảo khả năng định tuyến trao đổi thông tin giữa các phân mạng LAN ảo khác nhau cho phép các phần mạng khác nhau có thể kết nối đến nhau thông qua môi trường mạng dùng chung. 3.2.4.3- Thiết kế hệ thống Hệ thống chuyển mạch chính bao gồm các Switch có khả năng xử lý tốc độ cao có cơ cấu phân thành 2 lớp là lớp phân tán (distribution) và lớp cung cấp truy nhập (Access) cho các đầu cuối máy tính. Switch truy cập làm nhiệm vụ cung cấp cổng truy nhập cho các đầu cuối máy tính và tích hợp cổng truy cập với mật độ cao. Các kết nối giữa switch truy cập và switch phân phối là các kết nối truyền tải dữ liệu qua lại cho các LAN nên có tốc độ cao 1000 Mbps. Các switch truy cập cung cấp các cổng truy cập cho máy tính mạng có tốc độ thấp hơn nên cần có cổng 100/1000Mbps. Hệ thống Switch phân phối theo cấu hình chuẩn sẽ bao gồm 2 switch có cấu hình mạnh đáp ứng được yêu cầu chuyển mạch dữ liệu tốc độ cao và tập trung lưu lượng đến từ các access switch. Cấu hình 2 switch phân phối cho phép mạng lưới có độ dự phòng cao (dự phòng nóng 1:1) tuy nhiên trong trường hợp quy mô mạng ban đầu không lớn và chi phí hạn chế vẫn có thể triển khai mạng với một mạng switch phân phối đáp ứng được yêu cầu hoạt động. Hệ thống các Switch truy cập cung cấp các đường kết nối máy tính vào mạng dữ liệu. Do phần lớn các giao tiếp mạng cho các máy tính đầu cuối cũng như server hiện tại, có băng thông 100/1000 Mbps nên các switch truy cập cũng sử dụng công nghệ 100/1000 base TX Fast Ethernet và đáp ứng mục tiêu cung cấp số lượng cổng truy nhập lớn để cho phép mở rộng số lượng người truy cập vào mạng. Các đường kết nối giữa switch truy cập và switch phân phối được goi là cấp kết nối lên (up – Link) . CHƯƠNG 4: KHẢO SÁT HIỆN TRẠNG - THIẾT KẾ KỸ THUẬT 1- KHẢO SÁT, XÂY DỰNG MẠNG LAN SỞ Y TẾ TỈNH YÊN BÁI 4.1.1- KHẢO SÁT HỆ THỐNG MẠNG LAN 4.1.1.1- Giới thiệu sơ lược về đơn vị Sở Y tế là cơ quan chuyên môn thuộc Uỷ ban nhân dân tỉnh có chức năng tham mưu, giúp Uỷ ban nhân dân tỉnh thực hiện chức năng quản lý nhà nước về chăm sóc và bảo vệ sức khoẻ nhân dân, gồm: y tế dự phòng; khám, chữa bệnh; phục hồi chức năng; y dược cổ truyền; thuốc phòng bệnh, chữa bệnh cho người; mỹ phẩm; an toàn vệ sinh thực phẩm; trang thiết bị y tế; dân số; bảo hiểm y tế. Hiện tại, Sở Y tế tỉnh Yên Bái có 39 cán bộ, công chức với 6 phòng và thường trực Công đoàn. SƠ ĐỒ TỔ CHỨC BỘ MÁY SỞ Y TẾ 4.1.1.2- Hiện trạng trụ sở làm việc Sở Y tế hiện đang trong giai đoạn xây dựng trụ sở, căn cứ vào bản thiết kế mặt bằng kiến trúc tổng thể trụ sở làm việc của Sở Y tế được chia thành các phần như sau: 4.1.1.2.1- Dãy nhà 1 (Chia làm 03 khu) gồm: * Khu A: (nằm chính giữa dãy nhà 1 nhìn ra phía đường Yên Ninh) Khu A có 4 tầng, được chia thành 18 phòng (dự kiến làm phòng thường trực đón, tiếp khách và phòng làm việc). * Khu B: (nằm phía tay phải dãy nhà 1 nhìn ra đường Yên Ninh) Khu B có 3 tầng, được chia làm 11 phòng (dự kiến làm phòng làm việc). * Khu nhà C (nằm phía tay trái dãy nhà 1 nhìn ra đường Yên Ninh). 4.1.1.2.2- Dãy nhà 2: Có 1 tầng, nằm phía sau bên trái dãy Nhà 1 ( hội trường lớn của Sở). 4.1.1.2.3- Dãy nhà 3: Có 2 tầng, nằm phía sau bên phải dãy nhà 1 - Tầng 1: Gồm 04 phòng (gara xe ô tô). - Tầng 2: Bao gồm 04 phòng (phòng làm việc). 4.1.1.3- Hiện trạng CNTT của Sở y tế Hiện tại, toàn Sở có 31 máy tính (máy trạm) để bàn cũ, 01 máy chủ (đã bị sét đánh hỏng), 6 máy in. Với yêu cầu hệ thống thì chỉ có 19 máy tính có thể đáp ứng được. 4.1.1.4- Yêu cầu của hệ thống mạng LAN Hệ thống mạng LAN tại Sở Y tế phải đảm bảo các yêu cầu sau: - Hệ thống mạng máy tính phải đảm bảo tính hiện đại, đồng nhất, ổn định trong quá trình trao đổi, tra cứu, xử lý thông tin giữa các phòng, ban với nhau; dễ dàng trong việc vận hành, khai thác sử dụng cũng như phát hiện và khắc phục sự cố. - Đảm bảo tính bảo mật an toàn, tính toàn vẹn của hệ thống dữ liệu, có khả năng chống xâm nhập mạng của tin tặc, qua đó ngăn cản được các hành vi phá hoại hệ thống, cũng như đánh cắp các thông tin quan trọng. - Hệ thống mạng có tính tương thích cao, dễ dàng kết nối với các hệ thống khác. Bên cạnh đó các thiết bị trong mạng khi cần sửa chữa, thay thế hoặc khi có sự cố dễ xử lý. - Hệ thống mạng LAN phải được kết nối ra internet thông qua đường truyền băng thông rộng tốc độ cao (ADSL), đảm bảo cho việc cập nhật thông tin, tra cứu văn bản quy phạm pháp luật..vv cho lãnh đạo và các chuyên viên tại Sở Y tế. Việc truy xuất thông tin trên mạng internet từ các máy tính đặt trong mạng LAN tại Sở phải được giám sát qua hệ thống tường lửa (Firewall), và các phần mềm chống virus để đảm bảo sự an toàn cho các dữ liệu quan trọng tại các máy tính trong hệ thống mạng. - Đảm bảo việc đầu tư tiết kiệm, hiệu quả, tránh lãng phí. 4.1.2- GIẢI PHÁP THIẾT KẾ VÀ XÂY DỰNG HỆ THỐNG 4.1.2.1- Cấu trúc (Topology) của mạng LAN - Cấu trúc mạng lựa chọn để thiết kế hệ thống mạng LAN cho Sở y tế là cấu trúc mạng hỗn hợp. 4.1.2.2- Giải pháp kết nối Lựa chọn giải pháp kết nối: Căn cứ vào yêu cầu thực trạng của Sở Y tế, căn cứ tính chất của các giải pháp kết nối mạng LAN thông dụng nhất hiện nay nêu trên cho thấy kết hợp sử dụng cáp soắn đôi – VDSL và giải pháp không dây (Wireless LAN Outdoor) để thiết kế và xây dựng mạng LAN cho Sở Y tế là phương án tối ưu nhất. - Trong quá trình thi công, thực hiện việc bấm cáp với đầu RJ45 khít, chặt chẽ và chính xác - Đặt switch ở các vị trí thuận lợi, không bị ảnh hưởng bới việc đi lại, di chuyển của con người và các vật dụng. - Lựa chọn các thiết bị có độ chính xác cao và chất lượng tốt để đảm bảo cho việc tiếp xúc giữa các thiết bị với nhau. 4.1.3- THIẾT KẾ KỸ THUẬT 4.1.3.1- Hệ thống mạng Căn cứ vào giải pháp đã lựa chọn là: Sử dụng cấu trúc mạng hỗn hợp và giải pháp kết nối được kết hợp giữa sử dụng cáp soắn đôi – VDSL và giải pháp không dây (Wireless LAN Outdoor). Hệ thống cáp soắn đôi được sử dụng cho dãy nhà 1 và dãy nhà 3, nhà 2 (hội trường) sẽ được sử dụng không dây, cụ thể như sau: + Máy chủ sẽ được đặt tại tầng 3 của khu Nhà A. + Tại phòng máy chủ sẽ đặt 1 switch 24 port 10/100/1000MBps làm switch tổng. + Từ switch tổng sẽ kéo đến các switch trạm bằng cáp UTP CAT 6. + Tại tầng 1A, 1B, 2A, 2B, 3B của khu nhà 1, mỗi tầng đặt 1 Switch 16port 10/100/1000MBps kéo đến các máy trạm bằng cáp UTP CAT6. + Tại tầng 2C, 3C, 4A của khu nhà 1, mỗi tầng đặt 1 Switch 8port 10/100/1000MBps kéo đến các máy trạm bằng cáp UTP CAT6. + Tại tầng 2 khu nhà 3 đặt một Switch 16port 10/100/1000MBps kéo đến các máy trạm bằng cáp UTP CAT6. + Tại tầng 2 khu nhà 2 và tầng 2 của khu nhà 2B đặt mỗi tầng 1 Accesspoint phục vụ cho Hội trường và phòng lãnh đạo cơ quan. + Cáp được đi trong hộp gen nổi đặt trên tường để dễ dàng thi công, đảm bảo mỹ quan, an toàn của hệ thống đồng thời dễ dàng cho việc sửa chữa và khắc phục sự cố sau này. + Từ Wallplace sẽ sử dụng cáp mạng để kéo đến máy trạm (tùy theo sự bố trí vị trí của từng máy) chiều dài tối đa không quá 5 m để đảm bảo mỹ quan. 4.1.3.2- Hệ thống máy chủ Hệ thống server đóng vai trò trung tâm cho toàn bộ hệ thống mạng LAN, là điểm giao dịch, kiểm soát vào/ra cho các luồng thông tin: + Sử dụng để cài đặt và cấu hình hệ thống tường lửa nhằm bảo vệ toàn bộ hệ thống mạng LAN. + Cài đặt và cấu hình các ứng dụng trên mạng LAN Sở Y tế. + Các dịch vụ được cấu hình và cài đặt trong server như dịch vụ quản trị người dùng, quản trị file, quản trị truy nhập hệ thống…sẽ mang đến sự an toàn cho toàn bộ hệ thống. - Bao gồm 03 máy chủ (01 máy sao lưu dữ liệu + 01 máy cấu hình tường lửa bảo vệ hệ thống) với cấu hình cụ thể là: IBM System x3400 (Quad-Core Xeon E5405, 1GB, 73.4G SAS, CD) (7975-ABA) + CPU: Quad-Core Intel® Xeon Processor E5405 (2.0 GHz, 12 MB L2 ECC cache, 1333MHz FSB), tối đa 2 bộ xử lý. + Memory: 4GB Fully Bufered DIMM 667MHz (tối đa 32GB) + Storage controller: Intergrated SAS Controller. + RAID controller: Intergrated IBM ServeRAID 8k-I (support RAID 0, 1, 10) + HDD: 73.4GB hot-swap SAS 15Krpm (tối đa 4HDD) + ODD: 48X CD-ROM + Graphics: Intergrated 10/100/1000Mbps Gigabit Ethernet. + Power supply: 1x835W hot-swap, redundant option. + Form factor: Tower + I/O slots: 3 PCI Express, 2PCI-X và 1PCI + Keyboard & Mouse 4.1.3.3- Hệ thống máy trạm Được kết nối với máy chủ thông qua các switch trạm, căn cứ vào nhu cầu sử dụng cần thiết có 20 máy trạm, cấu hình tối thiểu là: - Chip : Intel(R) Pentium(R) Dual CPU E 5200 @ 2.00 GHz (2 Cpus) - DDR II (kingston ):2 GB - Monitor: Màn hình Samsung LCD SyncMaster 743 NX - Mouse: Mitsumi - Keyboad: Mitsumi - DVD ROM - Nguồn: 500W - HDD: SS Sata 250 GB - Mainboad: Gigabyte G31M – S2 or - Mainboad: Asus P5KPL - VM 4.1.3.4- Hệ thống an toàn – an ninh thông tin 4.1.3.4.1- Hệ thống firewall tổng thể. - Để bảo vệ người dùng của hệ thống chống lại các virus máy tính và các phần mềm độc hại khác có nguy cơ xâm nhập từ Internet, chúng tôi đề xuất sử dụng một máy chủ cài đặt phần mềm tường lửa ISA 2006. 4.1.3.4.2- Bảo vệ người dùng phân tán - Để bảo vệ người dùng trên mỗi PC riêng lẻ, ngăn chặn các nguy cơ lây nhiễm virus qua con đường USB… chúng tôi đề xuất sử dụng phần mềm diệt virus Kaspersky có bản quyền. 4.1.3.5- Hệ thống lưu điện (UPS) - Để đảm bảo cho hệ thống máy chủ vận hành với độ tin cậy và sẵn sàng cao nhất, việc duy trì nguồn điện năng khi xảy ra sự cố điện lưới là không thể thiếu. Các thiết bị lưu điện phục vụ cho phòng máy chủ và các thiết bị mạng cần phải đạt đủ các thông số kỹ thuật cơ bản để giúp cho việc sao lưu các thông tin dữ liệu đựơc liền mạch, đầy đủ và an toàn. Chúng tôi đề xuất sử dụng Bộ lưu điện UPS APC, công suất ra 05 KVA. 4.1.3.6- Hệ thống chống sét - Để đảm bảo cho hệ thống máy chủ vận hành với độ tin cậy và sẵn sàng cao nhất. Tránh hỏng hóc thiết bị, máy chủ trong phòng kỹ thuật, tránh được nguyên nhân sét đánh lan truyền theo đường nguồn và đánh lan truyền theo đường tín hiệu. Có các giải pháp kỹ thuật sau: - Thiết bị chống sét lan truyền trên đường nguồn điện: chia làm 02 cấp độ bảo vệ + Cấp 1: Trang bị 01 bộ cắt lọc sét 1 pha: SF140A-NE-SS480(LPI). Thiết bị cắt lọc sét bảo vệ chống sét lan truyền đường điện lưới 1 pha, sử dụng công nghệ SparkGAP kết hợp SS480. Bảo vệ 3 tầng cắt sơ cấp – lọc L-C – cắt thứ cấp cho các thiết bị trong phòng máy chủ, dòng tải làm việc 40A. Điệp áp làm việc 227-480VAC, thời gian nhạy đáp <1ns, bảo vệ L-N, L-E và N-E, khả năng thoát dòng xung sét tối đa 135+40KA (8/20ms), cảnh báo bằng LED. + Cấp 2: Trang bị 01 bộ cắt lọc sét 1 pha: P5B-UK (APC). Thiết bị cắt lọc sét chống sét lan truyền trên đường điện lưới 1 pha kiểu ổ cắm kéo dài 5 outlets lắp nối tiếp trước server, switch và các PC quan trọng, dòng tải làm việc 13A. Điện áp làm việc 220-230 VAC, thời gian nhạy đáp < 10ns, bảo vệ L-N và N-E, cảnh báo bằng LED. - Thiết bị chống sét lan truyền trên đường tín hiệu: Chia làm 02 cấp độ bảo vệ. + Cấp 1: Trang bị 02 thiết bị chống sét D3TA-LPI cho đường ADSL, Mega Wan, Leased line, modem… Điện áp kẹp 63V, khả năng chịu dòng sét 20KA, bảo vệ cho một đôi dây. + Cấp 2: Trang bị modul chống sét PNET5-R5 cho đường mạng LAN, bảo vệ các Switch. Chuẩn đấu nối kiểu RJ45, bảo vệ 01 port. Hỗ trợ đường truyền đến 100Mbps, khả năng cắt xung sét tối đa 0,25KA (8/20ms), lắp tối đa 24 modul trên RM19, 1U. 4.1.3.7- Phòng chống cháy nổ. Hệ thống mạng máy tính được thiết kế khoa học với các giải pháp kỹ thuật, công nghệ đảm bảo phòng chống cháy nổ cho toàn hệ thống và các công trình xây dựng liên quan, cụ thể như: - Hệ thống kết nối dây mạng được bố trí hợp lý tránh các nguồn có thể gây cháy nổ như hệ thống lưới điện, các vật liệu dễ cháy, các khu vực có nhiệt độ cao quá mức cho phép của các thiết bị mạng. - Hệ thống thiết bị mạng được lựa chọn thi công đảm bảo khả năng chịu nhiệt tốt nhất, hạn chế tối đa sử dụng các vật liệu phụ có khả năng dễ gây cháy. - Có quy định trong việc vận hành hệ thống các thiết bị đặc biệt như : Hệ thống máy chủ, các thiết bị chuyển mạch đồng thời có thiết bị bảo vệ chống cháy nổ cho các thiết bị này. - Có thiết bị chống sét lan truyền cho toàn hệ thống. 4.1.3.8- Dự toán kinh phí thực hiện Có dự toán kinh phí chi tiết kèm theo Tổng dự toán: 866.671.080đồng (Phụ lục 01) (Tám trăm sáu mươi sáu triệu sáu trăm bẩy mươi mốt nghìn không trăm tám mươi đồng) Trong đó: - Chi phí thiết bị (TB Tin Học+TB Mạng; PL02+PL03): 726.213.704 đồng - Chi phí xây lắp: 47.795.347 đồng - Chi phí khác: 36.371.555 đồng - Chi phí quản lý dự án: 14.890.312 đồng - Dự phòng: 41.190.946 đồng Phụ lục 01 BẢNG TỔNG HỢP DỰ TOÁN XÂY DỰNG HỆ THỐNG MẠNG LAN SỞ Y TẾ TỈNH YÊN BÁI Đơn vị: đồng STT Hạng Mục Diễn giải Giá trước thuế Thuế VAT Tổng giá trị sau thuế I Chi phí thiết bị 688.861.909 726.213.704 1 Thiết bị tin học Theo dự toán 587.777.909 5% 615.021.304 2 Thiết bị mạng mạng LAN Theo dự toán 101.084.000 10% 111.192.400 II Chi phí xây lắp 43.482.969 47.831.266 1 Lắp đặt mạng Tin học Theo dự toán 28.028.401 10% 30.831.241 2 Lắp đặt thiết bị Tin học Theo dự toán 6.562.558 10% 7.218.814 3 Cài đặt thiết bị và mạng tin học Theo dự toán 8.892.010 10% 9.781.211 III Chi phí khác 33.125.629 36.438.192 A Chi phí chuẩn bị xây dựng 29.463.905 32.410.296 1 Lập báo cáo dự án Theo dự toán 19.421.786 10% 21.363.965 2 Thẩm định báo cáo dự án Theo dự toán 2.189.711 10% 2.408.682 3 Lựa chọn nhà thầu Theo dự toán 1.707.943 10% 1.878.737 4 Giám sát thi công, lắp đặt thiết bị Theo dự toán 6.144.465 10% 6.758.911 B Chi phí vận hành 3.661.724 4.027.897 1 Nghiệm thu và quyết toán công trình Theo dự toán 3.661.724 10% 4.027.897 IV Chi phí quản lý dự án Theo dự toán 14.207.491 5% 14.917.865 V Dự phòng Theo dự toán 38.983.900 5% 41.270.051 Tổng dự toán 818.661.898 866.671.080 Phụ lục 02 BẢNG DỰ TOÁN THIẾT BỊ TIN HỌC XÂY DỰNG HỆ THỐNG MẠNG LAN SỞ Y TẾ TỈNH YÊN BÁI Đơn vị: đồng STT Danh mục thiết bị Xuất xứ Đơn vị tính Số Lượng Đơn giá Giá trước thuế Thuế VAT Tổng Giá Sau Thuế 1 Máy chủ Sever - IBM X3650 M2 China Bộ 3 66.500.000 199.500.000 5% 209.475.000 2 Máy trạm China Bộ 39 10.000.000 390.000.000 5% 409.500.000 3 Bản quyền Windows Server 2008 Malaysia Bộ 1 23.540.909 23.540.909 5% 24.717.954 4 MicroSoft SQL Server 2008 Malaysia Bộ 1 27.400.000 27.400.000 5% 28.770.000 5 Bộ lưu điện Upselect UPS online 06 KVA (ULN602 ) Malaysia Bộ 1 36.000.000 36.000.000 5% 37.800.000 6 Máy chiếu Sony VPL - DX15 China Bộ 1 41.587.000 41.587.000 5% 43.666.350 7 Phần mềm tường lửa ISA Server Std Ed 2006 Malaysia Bộ 1 38.850.000 38.850.000 0% 38.850.000 8 KASPERSKY Anti Virus 2011 Int 3 user -Dt 1Y Box Kaspersky Bộ 14 290.000 4.060.000 0% 4.060.000 9 Bản quyền Windows Server 2008 USA Bộ 1 16.840.000 16.840.000 5% 17.682.000 Tổng Giá Trị: 777.777.909 814.521.304 Phụ lục 03 BẢN DỰ TOÁN THIẾT BỊ MẠNG XÂY DỰNG HỆ THỐNG MẠNG LAN SỞ Y TẾ TỈNH YÊN BÁI Đơn vị: đồng STT Danh mục thiết bị Xuất xứ Đơn vị Tính Số lượng Đơn giá Giá trước thuế Thuế VAT Tổng giá trị sau thuế 1 Router CISCO2821-HSEC/K9 (Clear Stock) USA Chiếc 1 42.000.000 42.000.000 10% 46.200.000 2 Switch 24Port TP Link TL-SG1024 10/100/1000 China chiếc 1 4.670.000 4.670.000 10% 5.137.000 3 Switch 16Port TP Link TL-SG1016 10/100/1000 China chiếc 6 2.762.000 16.572.000 10% 18.229.200 4 Switch 8Port TP Link TL-SG1008D 10/100/1000 China chiếc 3 952.000 2.856.000 10% 3.141.600 5 TP - Link TL-WR841ND Wireless ND Router (Access Point) China chiếc 2 1.320.000 2.640.000 10% 2.904.000 6 Thiết bị cắt lọc sét lan truyền theo đường nguồn điện 1 pha GS-TR-160-1pha-240F Australia Bộ 1 24.400.000 24.400.000 10% 26.840.000 7 Thiết bị chống sét lan truyền theo đường mạng LAN vào máy chủ LAN-RJ45-CAT6 Australia TB 1 1.300.000 1.300.000 10% 1.430.000 8 Thiết bị chống sét lan truyền theo đường tín hiệu DD1 0.1T Philipine TB 1 700.000 700.000 10% 770.000 9 Dây đồng CU/Pvc chạy từ bãi tiếp địa vào phòng kỹ thuật Philipine TB 1 500.000 500.000 10% 550.000 10 Bản đồng tiếp đất 150x50x5 mm dùng làm cầu nối trung gian các dây tiếp địa Philipine TB 24 480.000 11.520.000 10% 12.672.000 11 Dây thoát sét bằng đồng bọc CU/Pvc 10mm Vietnam cái 1 680.000 680.000 10% 748.000 12 Dây thoát sét bằng đồng bọc CU/Pvc 2,5mm Vietnam cái 20 90.000 1.800.000 10% 1.980.000 13 Vật tư bu lông, đầu cốt, băng dính Vietnam cái 10 30.000 300.000 10% 330.000 14 Dây thép 4 li Vietnam cái 20 20.000 400.000 10% 440.000 15 Dây thít loại to Vietnam mét 100 3.000 300.000 10% 330.000 16 Dây thít loại vừa Vietnam mét 100 3.000 300.000 10% 330.000 17 Dây thít loại nhỏ Vietnam mét 100 3.000 300.000 10% 330.000 18 Vít+ nở Vietnam cái 1.000 500 500.000 10% 550.000 19 Tủ mạng trung tâm NET Rack 10U Vietnam chiếc 1 1.956.000 1.956.000 10% 2.151.600 20 Cáp mạng UTP CAT6 China Thùng 1 15.000 2.815.000 10% 3.096.500 21 Đầu nối RJ-45 Conector (bọc thép) Vietnam chiếc 90 5.000 450.000 10% 495.000 22 Gen đàn hồi Vanlock đường kính 32 mm – 25m/cuộn Vietnam Cuộn 3 350.000 1.050.000 10% 1.155.000 23 Wall Place + Outlet 1port China chiếc 70 150.000 10.500.000 10% 11.550.000 24 Máng cáp GA 40x24 Vietnam mét 250 29.500 7.375.000 10% 8.112.500 25 Máng cáp GA 28x10 Vietnam mét 400 18.000 7.200.000 10% 7.920.000 Tổng giá trị 101.084.000 111.192.400 4.1.4- BẢN VẼ SƠ ĐỒ THIẾT KẾ MẠNG ( Có bản vẽ chi tiết kèm theo) 4.1.4.1- Sơ đồ kết nối mạng LAN: 4.1.4.2- Sơ đồ mặt bằng tổng thể trụ sở sở Y tế: 4.1.4.3- Sơ đồ tổng thể mạng LAN xây dựng 4.1.4.4- Sơ đồ mặt bằng chi tiết 4.1.4.4.1- Mặt bằng tầng 3 khu nhà 1 4.1.4.4.2- Mặt bằng tầng 2 khu nhà 2 4.1.4.4.3- Mặt bằng tầng 2 khu nhà 3 2- KHẢO SÁT, XÂY DỰNG MẠNG LAN BỆNH VIỆN ĐA KHOA 4.2.1- KHẢO SÁT HỆ THỐNG MẠNG LAN 4.2.1.1. Giới thiệu về Bệnh viện đa khoa tỉnh Yên Bái - Bệnh viện đa khoa tỉnh Yên Bái là đơn vị sự nghiệp trực thuộc Sở y tế tỉnh Yên Bái, có chức năng khám và điều trị, chăm sóc sức khỏe nhân dân trên địa bàn tỉnh; chịu sự quản lý toàn diện của Giám đốc Sở Y tế, sự chỉ đạo về chuyên môn, kỹ thuật của Bộ Y tế. - Bệnh viện đa khoa tỉnh Yên Bái có 26 khoa phòng với 450 cán bộ SƠ ĐỒ BỘ MÁY TỔ CHỨC 4.2.1.2- Hiện trạng trụ sở làm việc - Bệnh viện đa khoa tỉnh Yên Bái có diện tích trên 20.000 m2 được chia làm 15 khu nằm rải rác, với khoảng cách khu xa nhất là 220m. 4.2.1.3- Hiện trạng CNTT - Hiện tại chỉ có khu nhà Hành chính – tổng hợp (khu A) là có 21 máy tính, 16 máy in trong đó 6 máy tính để bàn đã cũ. - Tổng thể bệnh viện chưa có hệ thống mạng LAN, mới chỉ có hệ thống mạng LAN ở khu nhà A. 4.2.1.4- Yêu cầu thiết kế hệ thống mạng - Nhằm nâng cao chất lượng phục vụ nhân dân đến khám chữa bệnh, Bệnh viện đa khoa tỉnh Yên Bái yêu cầu có một hệ thống mạng tổng thể cho bệnh viện. Đưa công nghệ thông tin vào ứng dụng trong công tác khám chữa bệnh. - Hệ thống mạng máy tính phải đảm bảo tính hiện đại, đồng nhất, ổn định trong quá trình trao đổi, tra cứu, xử lý thông tin giữa các phòng, ban với nhau; dễ dàng trong việc vận hành, khai thác sử dụng cũng như phát hiện và khắc phục sự cố. - Đảm bảo tính bảo mật an toàn, tính toàn vẹn của hệ thống dữ liệu, có khả năng chống xâm nhập mạng của tin tặc, qua đó ngăn cản được các hành vi phá hoại hệ thống, cũng như đánh cắp các thông tin quan trọng. - Hệ thống mạng có tính tương thích cao, dễ dàng kết nối với các hệ thống khác. Bên cạnh đó các thiết bị trong mạng khi cần sửa chữa, thay thế hoặc khi có sự cố dễ xử lý. - Hệ thống mạng LAN phải được kết nối ra internet thông qua đường truyền băng thông rộng tốc độ cao (ADSL), đảm bảo cho việc cập nhật thông tin, tra cứu văn bản quy phạm pháp luật..vv đảm bảo cho lãnh đạo và các chuyên viên tại Sở Y tế truy xuất thông tin qua mạng internet từ các máy tính đặt trong mạng LAN tại Sở được dễ dàng và phải được giám sát qua hệ thống tường lửa (Firewall), và các phần mềm chống virus để đảm bảo sự an toàn cho các dữ liệu quan trọng tại các máy tính trong hệ thống mạng. - Đảm bảo việc đầu tư tiết kiệm, hiệu quả, tránh lãng phí. 4.2.2- GIẢI PHÁP THIẾT KẾ VÀ XÂY DỰNG HỆ THỐNG 4.2.2.1- Cấu trúc (Topology) của mạng LAN - Cấu trúc mạng lựa chọn để thiết kế hệ thống mạng LAN cho Bệnh viện Đa khoa tỉnh Yên Bái là cấu trúc mạng hỗn hợp. 4.2.2.2- Giải pháp kết nối Lựa chọn giải pháp kết nối: Căn cứ vào yêu cầu thực trạng của Bệnh viện đa khoa, căn cứ tính chất của các giải pháp kết nối mạng LAN hiện nay nêu trên cho thấy kết hợp sử dụng cáp quang và cáp UTP CAT6 và mạng không dây để thiết kế và xây dựng mạng LAN cho Bệnh viện đa khoa là phương án tối ưu nhất. - Trong quá trình thi công, thực hiện việc bấm cáp với đầu RJ45 khít, chặt chẽ và chính xác - Đặt switch ở các vị trí thuận lợi, không bị ảnh hưởng bới việc đi lại, di chuyển của con người và các vật dụng. - Lựa chọn các thiết bị có độ chính xác cao và chất lượng tốt để đảm bảo cho việc tiếp xúc giữa các thiết bị với nhau. 4.2.3- THIẾT KẾ KỸ THUẬT 4.2.3.1- Hệ thống mạng Căn cứ vào giải pháp đã lựa chọn là: Sử dụng cấu trúc mạng hỗn hợp và giải pháp kết nối sử dụng kết hợp cáp quang và cáp UTP CAT6. Ta có thiết kế mạng cụ thể như sau (với tổng số 221 nút mạng, triển khai trong giai đoạn I là 135 máy trạm): + Tại khu nhà A: Hệ thống máy chủ; Router và 2 Switch 24 port 10/100/1000MBps hỗ trợ 4 cổng Mini GBIC đặt tại tầng 3, từ đây dùng cáp quang nối tới các Switch đặt tại khu nhà C, G, M và N. Dùng cáp UTP CAT6 nối tới các Switch đặt tại khu nhà B, C, O và kéo tới các nude mạng trong khu nhà A. + Tại các khu nhà E, G: Đặt mỗi khu một Switch 24 port 10/100/1000MBps và dùng cáp UTP CAT6 nối tới các nút. + Tại khu nhà M, O: Đặt mỗi tầng của khu nhà một Switch 24 port 10/100/1000MBps và dùng cáp UTP CAT6 nối tới các nút mạng. + Tại khu nhà B, K và N: Đặt ở mỗi khu một Switch 16 port 10/100/1000MBps và dùng cáp UTP CAT6 nối tới các nút mạng. + Tại khu nhà đặt một Switch 8 port 10/100/1000MBps và dùng cáp UTP CAT6 nối tới các nút mạng. 4.2.3.2- Hệ thống máy chủ Hệ thống server đóng vai trò trung tâm cho toàn bộ hệ thống mạng LAN, là điểm giao dịch, kiểm soát vào/ra cho các luồng thông tin: - Sử dụng để cài đặt và cấu hình hệ thống tường lửa nhằm bảo vệ toàn bộ hệ thống mạng LAN. - Cài đặt và cấu hình các ứng dụng trên mạng LAN Bệnh viện Đa khoa. - Các dịch vụ được cấu hình và cài đặt trong server như dịch vụ quản trị người dùng, quản trị file, quản trị truy nhập hệ thống…sẽ mang đến sự an toàn cho toàn bộ hệ thống. - Bao gồm 03 máy chủ (01 máy sao lưu dữ liệu + 01 máy cài ISA 2006 làm firewall) với cấu hình cụ thể là: - IBM System x3650M3_A2A + Processor: 2x Intel® Xeon® Quad Core Processor E5504, 2.0GHz, 4M QPI 4.8GT/sec, LGA1366 + System Bus: Intel QuickPath Interconnect up to 6.4 GT/s + OS Software: Supports 64-bit Operating Systemsj; 32-bit Operating Systems; RAID Windows; RAID Linux + System: 4GB IBM ( 4x1GB) PC3-10600 CL9 ECC DDR3 Chipkill LP RDIMM 1333MHz + Storage: 1x IBM 146GB 10K 6Gbps SAS SFF Slim Hot-Swap (2.5"); 8/12 bay(2.5') hot-swap SAS/SATA or solid state HDDs; Up to 3.6 TB hot-swap Serial Attached SCSI (SAS) + Network Controller: Integrated dual Gigabit Ethernet (2 ports standard, plus 2 portsoptional) Supports 10BASE-T, 100BASE-TX, and 1000BASE-T, RJ45 output + Drives: DVD/CD-RW + Power: 2x Power Supply 675watt HS 4.2.3.3- Hệ thống máy trạm Có cấu hình như sau hoặc tương đương. - Chip : Intel(R) Pentium(R) Dual CPU E5400 @ 2.00 GHz (2 Cpus) - DDR II (kingston ): 2 GB – 800 - Monitor: Màn hình Samsung LCD SyncMaster 743 NX - Mouse: Mitsumi - Keyboad: Mitsumi - HDD: SamSung 160GB ATA II - Mainboad: Asus P5KPL – VM - DVD ROM - Case ATX - Nguồn 500W 4.2.3.4- Hệ thống Firewall 4.2.3.4.1- Hệ thống firewall tổng thể. - Để bảo vệ người dùng của hệ thống chống lại các virus máy tính và các phần mềm độc hại khác có nguy cơ xâm nhập từ Internet, chúng tôi đề xuất sử dụng một máy chủ cài đặt phần mềm tường lửa ISA 2006. 4.2.3.4.2- Bảo vệ người dùng phân tán - Để bảo vệ người dùng trên mỗi PC riêng lẻ, ngăn chặn các nguy cơ lây nhiễm virus qua con đường USB… chúng tôi đề xuất sử dụng phần mềm diệt virus Kaspersky có bản quyền. 4.2.3.5- Hệ thống lưu điện (UPS) Để đảm bảo cho hệ thống máy chủ vận hành với độ tin cậy và sẵn sàng cao nhất, việc duy trì nguồn điện năng khi xảy ra sự cố điện lưới là không thể thiếu. Các thiết bị lưu điện phục vụ cho phòng máy chủ và các thiết bị mạng cần phải đạt đủ các thông số kỹ thuật cơ bản để giúp cho việc sao lưu các thông tin dữ liệu đựơc liền mạch, đầy đủ và an toàn. Bộ lưu điện Bộ lưu điện Upselect UPS online 06 KVA (ULN602 ) hoặc tương đương. 4.2.3.6- Hệ thống chống sét Để đảm bảo cho hệ thống máy chủ vận hành với độ tin cậy và sẵn sàng cao nhất. Tránh hỏng hóc thiết bị, máy chủ trong phòng kỹ thuật, tránh được nguyên nhân sét đánh lan truyền theo đường nguồn và đánh lan truyền theo đường tín hiệu. Có các giải pháp kỹ thuật sau: - Thiết bị chống sét lan truyền trên đường nguồn điện: chia làm 02 cấp độ bảo vệ + Cấp 1: Trang bị 01 bộ cắt lọc sét 1 pha: SF140A-NE-SS480(LPI). Thiết bị cắt lọc sét bảo vệ chống sét lan truyền đường điện lưới 1 pha, sử dụng công nghệ SparkGAP kết hợp SS480. Bảo vệ 3 tầng cắt sơ cấp – lọc L-C – cắt thứ cấp cho các thiết bị trong phòng máy chủ, dòng tải làm việc 40A. Điệp áp làm việc 227-480VAC, thời gian nhạy đáp <1ns, bảo vệ L-N, L-E và N-E, khả năng thoát dòng xung sét tối đa 135+40KA (8/20ms), cảnh báo bằng LED. + Cấp 2: Trang bị 01 bộ cắt lọc sét 1 pha: P5B-UK (APC). Thiết bị cắt lọc sét chống sét lan truyền trên đường điện lưới 1 pha kiểu ổ cắm kéo dài 5 outlets lắp nối tiếp trước server, switch và các PC quan trọng, dòng tải làm việc 13A. Điện áp làm việc 220-230 VAC, thời gian nhạy đáp < 10ns, bảo vệ L-N và N-E, cảnh báo bằng LED. - Thiết bị chống sét lan truyền trên đường tín hiệu: Chia làm 02 cấp độ bảo vệ. + Cấp 1: Trang bị 02 thiết bị chống sét D3TA-LPI cho đường ADSL, Mega Wan, Leased line, modem… Điện áp kẹp 63V, khả năng chịu dòng sét 20KA, bảo vệ cho một đôi dây. + Cấp 2: Trang bị modul chống sét PNET5-R5 cho đường mạng LAN, bảo vệ các Switch. Chuẩn đấu nối kiểu RJ45, bảo vệ 01 port. Hỗ trợ đường truyền đến 100Mbps, khả năng cắt xung sét tối đa 0,25KA (8/20ms), lắp tối đa 24 modul trên RM19#, 1U. 4.2.3.7- Phòng chống cháy nổ. Hệ thống mạng máy tính được thiết kế khoa học với các giải pháp kỹ thuật, công nghệ đảm bảo phòng chống cháy nổ cho toàn hệ thống và các công trình xây dựng liên quan, cụ thể như: - Hệ thống kết nối dây mạng được bố trí hợp lý tránh các nguồn có thể gây cháy nổ như hệ thống lưới điện, các vật liệu dễ cháy, các khu vực có nhiệt độ cao quá mức cho phép của các thiết bị mạng. - Hệ thống thiết bị mạng được lựa chọn thi công đảm bảo khả năng chịu nhiệt tốt nhất, hạn chế tối đa sử dụng các vật liệu phụ có khả năng dễ gây cháy. - Có quy định trong việc vận hành hệ thống các thiết bị đặc biệt như : Hệ thống máy chủ, các thiết bị chuyển mạch đồng thời có thiết bị bảo vệ chống cháy nổ cho các thiết bị này. - Có thiết bị chống sét lan truyền cho toàn hệ thống. 4.2.3.8- Dự toán kinh phí thực hiện Có dự toán kinh phí chi tiết kèm theo Tổng dự toán: 2.452.652.873 đồng (Phụ lục 01) (Hai tỷ bốn trăm năm mươi hai triệu sáu trăm năm mươi hai nghìn tám trăm bẩy mươi ba đồng) Trong đó: - Chi phí thiết bị (TB tin học+TB mạng; PL 02+PL 03): 2.166.494.873 đồng - Chi phí xây lắp: 55.143.041 đồng - Chi phí khác: 102.142.712 đồng - Chi phí quản lý dự án: 42.233.798 đồng - Dự phòng: 116.792.994 đồng Phụ lục 01 BẢNG TỔNG HỢP DỰ TOÁN XÂY DỰNG HỆ THỐNG MẠNG LAN BỆNH VIỆN ĐA KHOA TỈNH YÊN BÁI Đơn vị: đồng STT Hạng Mục Diễn giải Giá trước thuế Thuế VAT Tổng giá trị sau thuế I Chi phí thiết bị 2.023.203.217 2.136.340.328 1 Thiết bị tin học Theo dự toán 1.770.614.217 5% 1.858.492.428 2 Thiết bị mạng mạng LAN Theo dự toán 252.589.000 10% 277.847.900 II Chi phí xây lắp 50.130.037 55.143.041 1 Lắp đặt mạng Tin học Theo dự toán 30.412.145 10% 33.453.360 2 Lắp đặt thiết bị Tin học Theo dự toán 19.717.892 10% 21.689.681 III Chi phí khác 92.857.011 102.142.712 A Chi phí chuẩn bị xây dựng 82.490.344 90.739.379 1 Lập báo cáo dự án Theo dự toán 54.984.798 10% 60.483.278 2 Thẩm định báo cáo dự án Theo dự toán 6.199.266 10% 6.819.193 3 Lựa chọn nhà thầu Theo dự toán 4.783.525 10% 5.261.878 4 Giám sát thi công, lắp đặt thiết bị Theo dự toán 16.522.755 10% 18.175.030 B Chi phí vận hành 10.366.666 11.403.333 1 Nghiệm thu và quyết toán công trình Theo dự toán 10.366.666 10% 11.403.333 IV Chi phí quản lý dự án Theo dự toán 40.222.665 5% 42.233.798 V Dự phòng Theo dự toán 110.320.647 5% 116.792.994 Tổng dự toán 2.316.733.577 2.452.652.873 Phụ lục 02 BẢNG DỰ TOÁN THIẾT BỊ TIN HỌC XÂY DỰNG HỆ THỐNG MẠNG LAN BỆNH VIỆN ĐA KHOA TỈNH YÊN BÁI Đơn vị: đồng STT Danh mục thiết bị Xuất xứ Đơn vị tính Số Lượng Đơn giá Giá trước thuế Thuế VAT Tổng Giá Sau Thuế 1 Máy chủ IBM System x3650M3_A2A - Rack China Bộ 3 71.813.636 215.440.908 5% 226.212.953 2 Máy trạm China Bộ 120 9.804.545 1.176.545.400 5% 1.235.372.670 3 Bộ lưu điện Upselect UPS online 06 KVA (ULN602 ) Model Malaysia Bộ 1 45.200.000 45.200.000 5% 47.460.000 4 Máy in China Chiếc 27 7.000.000 189.000.000 5% 198.450.000 5 Máy chiếu Sony VPL - DX15 China Chiếc 1 41.587.000 41.587.000 5% 43.666.350 6 Bản quyền Windows Server 2008 Malaysia Bộ 1 23.540.909 23.540.909 5% 24.717.954 7 MicroSoft SQL Server 2008 Malaysia Bộ 1 27.400.000 27.400.000 5% 28.770.000 8 KASPERSKY Anti Virus 2011 Int 3 user -Dt 1Y Box Kaspersky Bộ 45 290.000 13.050.000 0% 13.050.000 9 Phần mềm tường lửa ISA Server Std Ed 2006 Malaysia Bộ 1 38.850.000 38.850.000 5% 40.792.500 Tổng Giá Trị: 1.770.614.217 1.858.492.428 Phụ lục 03 BẢNG DỰ TOÁN THIẾT BỊ MẠNG XÂY DỰNG HỆ THỐNG MẠNG LAN BỆNH VIỆN ĐA KHOA TỈNH YÊN BÁI Đơn vị: đồng STT Danh mục thiết bị Xuất xứ Đơn vị Tính Số lượng Đơn giá Giá trước thuế Thuế VAT Tổng giá trị sau thuế 1 Router CISCO2821-HSEC/K9 (Clear Stock) USA Chiếc 1 42.000.000 42.000.000 10% 46.200.000 2 Micronet SP684C 24-port 10/100/1000 Gigabit Switch + 4 Mini-GBIC Micronet chiếc 2 8.000.000 16.000.000 10% 17.600.000 3 Switch 24Port TP Link TL-SG1024 10/100/1000 China chiếc 11 4.670.000 51.370.000 10% 56.507.000 4 Switch 16Port TP Link TL-SG1016 10/100/1000 China chiếc 3 2.762.000 8.286.000 10% 9.114.600 5 Switch 8Port TP Link TL-SG1008D 10/100/1000 China chiếc 1 952.000 952.000 10% 1.047.200 6 Converter Gigabit China Chiếc 5 2.650.000 13.250.000 10% 14.575.000 7 TP - Link TL-WR841ND Wireless ND Router (Access Point) China chiếc 1 1.320.000 1.320.000 10% 1.452.000 8 Thiết bị cắt lọc sét lan truyền theo đường nguồn điện 1 pha GS-TR-160-1pha-240F Australia Bộ 1 24.400.000 24.400.000 10% 26.840.000 9 Thiết bị chống sét lan truyền theo đường mạng LAN vào máy chủ LAN-RJ45-CAT6 Australia TB 1 1.300.000 1.300.000 10% 1.430.000 10 Thiết bị chống sét lan truyền theo đường tín hiệu DD1 0.1T Philipine TB 1 700.000 700.000 10% 770.000 11 Dây đồng CU/Pvc chạy từ bãi tiếp địa vào phòng kỹ thuật Philipine TB 1 500.000 500.000 10% 550.000 12 Bản đồng tiếp đất 150x50x5 mm dùng làm cầu nối trung gian các dây tiếp địa Philipine TB 24 480.000 11.520.000 10% 12.672.000 13 Dây thoát sét bằng đồng bọc CU/Pvc 10mm Vietnam cái 1 680.000 680.000 10% 748.000 14 Dây thoát sét bằng đồng bọc CU/Pvc 2,5mm Vietnam cái 20 90.000 1.800.000 10% 1.980.000 15 Vật tư bu lông, đầu cốt, băng dính Vietnam cái 10 30.000 300.000 10% 330.000 16 Dây thép 4 li Vietnam cái 20 20.000 400.000 10% 440.000 17 Dây thít loại to Vietnam mét 100 3.000 300.000 10% 330.000 18 Dây thít loại vừa Vietnam mét 100 3.000 300.000 10% 330.000 19 Dây thít loại nhỏ Vietnam mét 100 3.000 300.000 10% 330.000 20 Vít+ nở Vietnam cái 1.000 500 500.000 10% 550.000 21 Tủ mạng trung tâm NET Rack 10U Vietnam Chiếc 1 1.956.000 1.956.000 10% 2.151.600 22 Cáp quang 4 sợi Single Mode Vietnam Mét 400 80.000 32.000.000 10% 35.200.000 23 UTP Cable- Cat6- 4 Prs China Thùng 7 2.815.000 19.705.000 10% 21.675.500 24 Đầu nối RJ-45 Conector AMP, chống nhiễu (bọc thép) Vietnam Hộp 3 450.000 1.350.000 10% 1.485.000 25 Gen đàn hồi Vanlock đường kính 32 mm – 25m/cuộn Vietnam Cuộn 12 350.000 4.200.000 10% 4.620.000 26 Wall Place + Outlet 1port China Chiếc 220 150.000 33.000.000 10% 36.300.000 27 Máng cáp GA 40x24 Vietnam mét 400 29.500 11.800.000 10% 12.980.000 28 Máng cáp GA 28x10 Vietnam mét 800 18.000 14.400.000 10% 15.840.000 Tổng giá trị 252.589.000 277.847.900 4.2.4- BẢN VẼ - SƠ ĐỒ THIẾT KẾ MẠNG (Có bản vẽ chi tiết kèm theo) 4.2.4.1- Sơ đồ thiết kế LAN 4.2.4.2- Sơ đồ mặt bằng tổng thể 4.2.4.3- Sơ đồ tổng thể mạng LAN xây dựng 4.2.4.4- Sơ đồ thiết kế chi tiết 4.2.4.4.1- Mặt bằng tầng 3 khu nhà A 4.2.4.4.2- Mặt bằng tầng 2 khu nhà B 4.2.4.4.3- Mặt bằng tầng 2 khu nhà C 4.2.4.4.4- Mặt bằng tầng 3 khu nhà D 4.2.4.4.5- Mặt bằng tầng 1 khu nhà E 4.2.4.4.6- Mặt bằng 1 khu nhà F 4.2.4.4.7- Mặt bằng tầng 1 khu nhà G 4.2.4.4.8- Mặt bằng tầng 1 khu nhà H 4.2.4.4.9- Mặt bằng tầng 2 khu nhà I 4.2.4.4.10- Mặt bằng tầng tầng 2 khu nhà J 4.2.4.4.11- Mặt bằng khu nhà K 4.2.4.4.12- Mặt bằng tầng 1 khu nhà L 4.2.4.4.13- Mặt bằng tầng 4 khu nhà M 4.2.4.4.14- Mặt bằng tầng 2 khu N 4.2.4.4.15- Mặt bằng tầng 1 khu nhà O 3- KẾT NỐI MẠNG LAN SỞ Y TẾ VÀ MẠNG LAN BỆNH VIỆN ĐA KHOA TỈNH YÊN BÁI 4.3.1- MỤC ĐÍCH – YÊU CẦU - Để thuận lợi trong công tác điều hành, quản lý cũng như trao đổi, chia sẻ dữ liệu nội bộ, Sở Y tế tỉnh Yên Bái yêu cầu kết nối 2 LAN giữa Sở Y tế và Bệnh viện Đa khoa tỉnh Yên Bái, hướng tới các giai đoạn tiếp theo sẽ kết nối các đơn vị trong ngành Y tế tỉnh thành một liên mạng, có thể chia sẻ dữ liệu một cách dễ dàng, nhanh chóng, tiết kiệm chi phí và hiệu quả. 4.3.2- LỰA CHỌN GIẢI PHÁP - Với khoảng cách 2km và với yêu cầu đặt ra. Ngày nay, có rất nhiều giải pháp cũng như công nghệ cho phép chúng ta thực hiện điều này. Tuy nhiên, để dễ dàng triển khai mở rộng mạng trong những giai đoạn đầu tư tiếp theo thì công nghệ kết nối IPSEC VPN dùng Router có chức năng hỗ trợ VPN là giải pháp lựa chọn tối ưu. 4.3.3- MÔ TẢ GIẢI PHÁP 4.3.3.1- VPN là gì? - VPN là một mạng riêng được tạo ra thông qua đường hầm trên một mạng công cộng, thường là Internet. - Thay vì sử dụng các kết nối vật lý dành riêng, VPN sử dụng con đường kết nối ảo thông qua internet từ các tổ chức đến các văn phòng ở xa. 4.3.3.2- Lợi ích của VPN - Giảm chi phí + VPN loại bỏ những chi phí cho các thiết bị kết nối WAN chuyên dụng, đắt tiền. + Ngoài ra, với sự ra đời của chi phí-hiệu quả cao, công nghệ băng thông rộng, chẳng hạn như DSL, tổ chức có thể sử dụng VPN để giảm chi phí kết nối của họ trong khi đồng thời tăng băng thông kết nối từ xa. - Bảo mật: VPN sử dụng mã hóa tiên tiến và các giao thức xác thực bảo vệ dữ liệu từ các truy cập trái phép. - Khả năng mở rộng: VPN sử dụng cơ sở hạ tầng Internet. Vì vậy, nó rất dễ dàng để thêm người dùng mới, các công ty có thể thêm dung lượng đáng kể mà không cần thêm cơ sở hạ tầng quan trọng. - Khả năng tương thích với công nghệ băng thông rộng như: DSL, Cable, broadband wireless… 4.3.3.3- Các giao thức VPN lớp 3 Có 3 giao thức VPN lớp 3 - Generic routing encapsulation (GRE): Dành cho kết nối point-to-point (điểm-điểm) - Multiprotocol Label Switching (MPLS): Dành cho kết nối nhiều-nhiều (any-to-any) - IP Security (IPSec): Dành cho kết nối điểm điểm (point-to-point) 4.3.3.4- Phân loại mạng VPN * Site-to-Site VPN Hình 4.1- Mô hình Site-to-Site VPN - VPN site-to-site được tạo ra khi các thiết bị kết nối trên cả hai mặt của kết nối VPN nhận được các cấu hình VPN trước. - Kết nối VPN được thiết lập tĩnh, trong khi đó máy chủ không biết được VPN đó tồn tại. - Frame Relay, ATM, GRE, and MPLS VPNs là các ví dụ của site-to-site VPNs. - Trong Site-to-Site VPNs, máy chủ gửi và nhận lưu lượng TCP/IP bình thường thông qua một VPN Gateway có thể là Router, Firewall… - Các cổng VPN có trách nhiệm đóng gói và mã hóa lưu lượng đi từ một trang web cụ thể và gửi nó thông qua một đường hầm VPN qua Internet tới một cổng nối VPN ngang hàng tại trang web mục tiêu. - Sau khi tiếp nhận, VPN Gateway ngang hàng sẽ giải mã các tiêu đề, giải mã nội dung, và chuyển tiếp các gói tin hướng tới các máy chủ mục tiêu bên trong mạng riêng của nó. * Remote-Access VPNs Hình 4.2- Mô hình Remote-Access VPN - Truy cập từ xa VPN được tạo ra khi thông tin VPN là không tĩnh thiết lập, nhưng thay vì cho phép tự động thay đổi thông tin và có thể được kích hoạt và vô hiệu hóa - VPN truy cập từ xa có thể hỗ trợ các nhu cầu của khách hàng viễn thông, người dùng di động.. - VPN truy cập từ xa hỗ trợ một kiến ​​trúc Client/Server, nơi một khách hàng VPN yêu cầu truy cập an toàn mạng doanh nghiệp thông qua một thiết bị máy chủ VPN. 4.3.3.5- Tổng quan về GRE ( Generic routing encapsulation) Hình 4.3.3.5.1 Giao thức GRE - Đóng gói nhiều loại gói dữ liệu giao thức bên trong đường hầm IP - Tạo kết nối ảo point-to-point tới Cisco Router từ một điểm ở xa thông qua địa chỉ IP liên mạng. - Sử dụng địa chỉ IP để truyền. - Sử dụng bằng cách thêm các thông tin vào header để hỗ trợ các giao thức lớp 3 trong mô hình OSI như payload ( IP, IPX, AppleTalk) - GRE không cung cấp mã hóa. Hình 4.3.3.5.2- Cách đóng gói của GRE 4.3.3.6- Giao thức IPSEC - Làm việc ở lớp mạng, bảo vệ và chứng thực gói tin IP + Đó là một Framework của các tiêu chuẩn mở là các thuật toán độc lập + Nó cung cấp an ninh: bảo mật dữ liệu, tính toàn vẹn dữ liệu, và xác thực nguồn gốc. Hình 4.3.3.6.1- Khung làm việc của IPSEC * Bảo mật trong IPSEC - Bảo mật: IPSEC đảm bảo tính bảo mật bằng cách sử dụng mã hóa Hình 4.3.3.6.2- Bảo mật trong IPSEC + Một vài thuật toán và độ dài khóa sử dụng mà VPN sử dụng DES: Sử dụng khóa 56-bit. DES là mã khóa bí mật đối xứng 3DES: Là một dạng khác của DES. DES sử dụng ba khóa mã hóa độc lập 56-bit cho mỗi 64-bit. 3DES là mã khóa bí mật đối xứng. AES: Cung cấp bảo mật mạnh mẽ hơn so với DES và tính toán hiệu quả hơn so với 3DES. AES là một mật mã khóa đối xứng. Software-Optimized Encryption Algorithm (SEAL): Sử dụng một khóa 160-bit. SEAL là một mật mã khóa đối xứng. - Toàn vẹn: IPSEC đảm bảo dữ liệu đến không thay đổi tại các điểm đến bằng cách sử dụng một thuật toán hash như MD5 hoặc SHA. Hình 4.3.3.6.3- Tính toàn vẹn trong IPSEC + Hashed Message Authentication Codes (HMAC) là một thuật toán toàn vẹn dữ liệu đảm bảo tính toàn vẹn của thông điệp bằng cách sử dụng một giá trị băm. HMAC - Message Digest 5 (HMAC-MD5): Các thông báo thay đổi chiều dài và 128-bit khóa chia sẻ bí mật được kết hợp và chạy thông qua các thuật toán băm HMAC-MD5. Đầu ra là một băm 128-bit. HMAC- Secure Hash Algorithm 1 (HMAC-SHA-1): Thông báo thay đổi chiều dài 160-bit khóa chia sẻ bí mật được kết hợp và chạy thông qua thuật toán băm HMAC-SHA-1. Đầu ra là một băm 160-bit. - Xác thực: IPsec sử dụng Internet Key Exchange (IKE) để xác thực người dùng và các thiết bị có thể thực hiện truyền thông độc lập. IKE sử dụng một số loại xác thực, bao gồm tên người dùng và mật khẩu, mật khẩu một lần, sinh trắc học, trước khi chia sẻ phím (PSKs), và giấy chứng nhận kỹ thuật số. Hình 4.3.3.6.4- Xác thực trong IPSEC + Các thiết bị ở đầu bên kia của đường hầm VPN phải được xác thực trước khi con đường truyền thông được coi là an toàn. + Có hai phương pháp chính của cấu hình xác thực ngang hàng Pre-shared Keys (PSKs): Một giá trị khóa bí mật trước khi chia sẻ được nhập vào mỗi đầu bằng tay và được sử dụng để xác thực ngang hàng. RSA signatures: Việc trao đổi giấy chứng nhận kỹ thuật số xác thực các ngang hàng. - Trao đổi khóa an toàn : IPSEC sử dụng các thuật toán DH để cung cấp một phương pháp trao đổi khóa công khai cho hai đồng nghiệp để thiết lập một khóa bí mật chia sẻ. Hình 4.3.3.6.5- Trao đổi khóa an toàn trong IPSEC + Các thuật toán mã hóa (DES, 3DES ...) cũng như các thuật toán băm (MD5, SHA) yêu cầu một khóa đối xứng, chia sẻ bí quyết để thực hiện mã hóa và giải mã + Diffie-Hellman (DH) chính thỏa thuận là một phương pháp trao đổi khóa công cộng cung cấp một cách để hai thiết bị ngang hàng thiết lập một khóa bí mật chia sẻ và chỉ 2 bên mới biết. + Có 4 nhóm DH: group1, 2, 5, và 7. 4.3.3.7- Mode làm việc của VPN * Transport Mode - Bảo vệ dữ liệu và lớp vận chuyển nhưng địa chỉ IP gốc được truyền đi dưới dạng văn bản. - Địa chỉ IP gốc được dùng để định tuyến gói tin thông qua mạng internet. - Transport Mode làm việc tốt với GRE * Tunnel Mode - Bảo vệ hoàn toàn gói tin IP ban đầu. Các gói tin IP ban đầu được mã hóa và sau đó nó được đóng gói trong một gói tin IP khác. Gói tin được định tuyến theo địa chỉ IP bên ngoài. - Được sử dụng trong ứng dụng IPSec Remote-Access. Hình 4.3.3.7- Chế độ Transport và Tunnel 4.3.4- THỰC HIỆN CẤU HÌNH TRÊN ROUTER Bước 1: Thực hiện cấu hình cơ bản trên các cổng ISP(config)#interface s0/0 ISP(config-if)#ip address 113.114.115.2 255.255.255.0 ISP(config-if)#clock rate 64000 ISP(config-if)#no shutdown ISP(config)#interface s0/1 ISP(config-if)#ip address 115.114.113.2 255.255.255.0 ISP(config-if)#clock rate 64000 ISP(config-if)#no shutdown SYT(config)#interface s0/0 SYT(config-if)#ip address 113.114.115.1 255.255.255.0 SYT(config-if)#no shutdown SYT(config)#interface f0/0 SYT(config-if)#ip address 192.168.1.1 255.255.255.0 SYT(config-if)#no shutdown BVDK(config)#interface s0/0 BVDK(config-if)#ip address 115.114.113.1 255.255.255.0 BVDK(config-if)#no shutdown BVDK(config)#interface f0/0 BVDK(config-if)#ip address 192.168.2.1 255.255.255.0 BVDK(config-if)#no shutdown Bước 2: Thực hiện cấu hình default route trên Router SYT và BVDK SYT(config)#ip route 0.0.0.0 0.0.0.0 s0/0 BVK(config)#ip route 0.0.0.0 0.0.0.0 s0/0 Bước 3: Cấu hình IKE SYT(config)#crypto isakmp policy 10 SYT(config-isakmp)# authentication pre-share SYT(config-isakmp)#encryption aes SYT(config-isakmp)#hash sha SYT(config-isakmp)#group 5 SYT(config-isakmp)#lifetime 86400 SYT(config-isakmp)#exit SYT(conffig)#crypto isakmp key cisco123 address 115.114.113.1 BVDK(config)#crypto isakmp policy 10 BVDK(config-isakmp)# authentication pre-share BVDK(config-isakmp)#encryption aes BVDK(config-isakmp)#hash sha BVDK(config-isakmp)#group 5 BVDK(config-isakmp)#lifetime 86400 BVDK(config-isakmp)#exit BVDK(conffig)#crypto isakmp key cisco123 address 113.114.115.1 Bước 4: C ấu hình Transform Set SYT(c onfig)#crypto ipsec transform-set vpn ah-sha-hmac esp-sha-hmac esp-aes BVDK(c onfig)#c rypto ipsec transform-set vpn ah-sha-hmac esp-sha-hmac esp-aes Bước 5: Cấu hình Access Control list SYT(config)#access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 BVDK(config)# access-list 110 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 Bước 6: Cấu hình Crypto Map SYT(config)#crypt map mymap 10 ipsec-isakmp STY(config-crypto-map)#set peer 115.114.113.1 STY(config-crypto-map)#match address 110 STY(config-crypto-map)#set pfs group5 STY(config-crypto-map)#set transform-set vpn STY(config-crypto-map)#set security-association lifetime seconds 86400 STY(config-crypto-map)#exit BVDK(config)#crypt map mymap 10 ipsec-isakmp BVDK (config-crypto-map)#set peer 113.114.115.1 BVDK (config-crypto-map)#match address 110 BVDK (config-crypto-map)#set pfs group5 BVDK (config-crypto-map)#set transform-set vpn BVDK (config-crypto-map)#set security-association lifetime seconds 86400 BVDK (config-crypto-map)#exit Bước 7: Gán bản đồ bí mật vào cổng SYT(config)#interface s0/0 SYT(config-if)#crypto map mymap SYT(config-if)#exit BVKD(config)#interface s0/0 BVKD (config-if)#crypto map mymap BVKD (config-if)#exit 4.3.5- KẾT QUẢ ĐẠT ĐƯỢC 4.3.5.1- Kết quả ping từ máy 192.168.1.10 đến máy 192.168.2.10 4.3.5.2- Kết quả ping từ máy 192.168.2.10 đến máy 192.168.1.10 CHƯƠNG 5: KẾT LUẬN Qua thời gian thực hiện đồ án tốt nghiệp “Thiết kế hệ thống mạng kết nối Sở Y tế và Bệnh viện Đa khoa tỉnh Yên Bái” em xin rút ra một số kết luận như sau: 5.1- THUẬN LỢI - Được phát triển và làm Đồ án theo nguyện vọng của bản thân; - Được sự hướng dẫn tận tình của giáo viên hướng dẫn, các thầy cô giáo trong bộ môn, trong khoa CNTT; - Được Lãnh đạo đơn vị nơi em công tác tạo điều kiện về mặt thời gian cũng như các điều kiện khác để em hoàn thành đồ án này; - Được sự tạo điều kiện phối hợp của lãnh đạo Sở Y tế; - Nhận được nhiều ý kiến đóng góp của các đồng nghiệp nơi em công tác; - Được trực tiếp tiếp xúc và triển khai hệ thống mạng máy tính tại đơn vị. 5.2- KHÓ KHĂN - Kiến thức của bản thân về chuyên môn còn nhiều hạn chế; - Thời gian thực hiện đồ án có hạn nên chưa thực sự vận hành sâu vào hệ thống. 5.3- NHỮNG MẶT ĐẠT ĐƯỢC VÀ CHƯA ĐẠT ĐƯỢC * Mặt đạt được: - Tìm hiểu tổng quan về kiến thức mạng; - Đi vào khảo sát thực địa, chi tiết đúng với số liệu tại đơn vị ; - Thiết kế được mô hình LAN hiệu quả cho đơn vị; - Lựa chọn thiết bị phù hợp với nhu cầu thực tế tại đơn vị. Trên cơ sở hạch toán dự toán chi phí cho quá trình lắp đặt. Tận dụng được cơ sở vật chất hiện có - Tìm hiểu và nắm được phần mềm ứng dụng của hệ thống LAN tại đơn vị. - Vận hành và bảo trì mạng LAN hoạt động tốt. * Mặt chưa đạt: - Chưa đi cụ thể vào quá trình quản trị và bảo mật hệ thống mạng, quản trị hệ thống mạng còn hạn chế. 5.4- HƯỚNG PHÁT TRIỂN CỦA ĐỒ ÁN Trong thời gian vận hành hệ thống mạng em sẽ nghiên cứu sâu vào vấn đề an toàn bảo mật nhằm quản trị hệ thống mạng hoàn chỉnh đảm bảo an toàn tin cậy. Hoạt động có hiệu quả đem lại lợi ích lớn cho toàn đơn vị. Tiếp tục bổ sung thêm những kiến thức mới để đảm bảo khi hệ thống mạng cần nâng cấp, mở rộng sẽ đủ kiến thức để xây dựng, triển khai. Một lần nữa em xin chân thành cảm ơn thầy giáo Lê Văn Chung giáo viên trực tiếp hướng dẫn cùng các thầy cô giáo trong bộ môn Công nghệ điều khiển tự động trường Đại học Công nghệ thông tin và Truyền thông Thái Nguyên đã giúp em hoàn thành đồ án tốt nghiệp này. TÀI LIỆU THAM KHẢO [1] Mark A.Dye – Rick McDonald – Antoon W.Rufi, Network Fundamentals, Cisco Press, 2007. [2] Rick Graziani – Allan Johnson, Routing Potocols and Concepts, Cisco Press, 2007. [3] Wayne Lewis – Ph.D, Lan Switching and Wireless, Cisco Press, 2008. [4] Bod Vachon – Rick Graziani, Accessing The WAN, Cisco Press, 2008. [5] Chương 8 - Implementing Virtual Private Networks giáo trình CCNA Security của Học viện công nghệ thông tin Bách Khoa (bkacad) [6] Website: nhatnghe.com.vn [7] Website: vnpro.com.vn