Tập bài giảng Thiết kế mạng (Phần 2)

nào? A. Lớp A. B. Lớp B. C. Lớp D. D. Lớp C. 76) Byte đầu tiên của một địa chỉ IP có dạng: 11000001. Vậy nó thuộc lớp nào? A. Lớp D . B. Lớp E. 161 C. Lớp C. D. Lớp A. 77) Địa chỉ IP nào sau đây là hợp lệ: A. 192.168.1.2 B. 255.255.255.255 C. 230.20.30.40 D. Tất cả các câu trên. 78) Lớp B được phép mượn tối đa bao nhiêu bit cho Subnet? A. 8. B. 6. C. 14. D. 2. 79) Thiết bị mạng trung tâm dùng để kết nối các máy tính trong mạng hình sao (STAR): A. Switch/Hub. B. Router. C. Repeater. D. NIC. 80) Một mạng lớp A mượn 5 bit để chia Subnet thì Subnet Mask sẽ là: A. 255.248.0.0 B. 255.255.255.1 C. 255.255.255.248 D. 255.255.255.128 81) Một mạng lớp A mượn 7 bit để chia Subnet thì Subnet Mask sẽ là: A. 255.255.254.192 B. 255.254.0.0 C. 255.248.0.0 D. 255.255.255.254 82) Một mạng lớp A cần chứa tối thiểu 255 host sử dụng Subnet Mask nào sau đây: A. 255.255.254.0 B. 255.0.0.255 C. 255.255.255.240 D. 255.255.255.192 83) Một mạng lớp A mượn 1 bit để chia Subnet thì Subnet Mask sẽ là: A. 255.255.128.0 B. 255.128.0.0 162 C. 255.255.255.240 D. 255.255.128.0 84) Một mạng lớp B mượn 5 bit để chia Subnet thì Subnet Mask sẽ là: A. 255.255.248.0 B. 255.255.255.1 C. 255.255.255.248 D. 255.255.255.128 85) Một mạng lớp B mượn 7 bit để chia Subnet thì Subnet Mask sẽ là: A. 255.255.254.0 B. 255.255.254.192 C. 255.255.255.240 D. 255.255.255.254 86) Một mạng lớp B cần chia thành 3 mạng con sử dụng Subnet Mask nào sau đây? A. 255.255.224.0 B. 255.0.0.255 C. 255.255.192.0 D. 255.255.255.224 87) Một mạng lớp B cần chia thành 9 mạng con sử dụng Subnet Mask nào sau đây? A. 255.255.240.0 B. 255.0.0.255 C. 255.224.255.0 D. 255.255.255.224 88) Lớp C được phép mượn tối đa bao nhiêu bit cho Subnet? A. 8. B. 6. C. 4. D. 2. 89) Một mạng lớp C cần chia thành 5 mạng con sử dụng Subnet Mask nào sau đây? A. 255.255.224.0 B. 255.0.0.255 C. 255.224.255.0 D. 255.255.255.224 90) Một mạng lớp C cần chia thành 3 mạng con sử dụng Subnet Mask nào sau đây? A. 255.255.224.0 B. 255.0.0.255 C. 255.255.255.192 D. 255.255.255.224 163 91) Trong các địa chỉ sau, chọn địa chỉ không nằm cùng mạng với các địa chỉ còn lại: A. 203.29.100.100/255.255.255.240 B. 203.29.100.110/255.255.255.240 C. 203.29.103.113/255.255.255.240 D. 203.29.100.98/255.255.255.240 92) Có bao nhiêu vùng đụng độ (Collision Domain) trong một mạng dùng 1 Repeater và 1 Hub? A. 1. B. 2. C. 3. D. 4. 93) Thiết bị nào sau đây sử dụng tại trung tâm của mạng hình sao? A. Switch. B. Brigde. C. Router. D. Repeater. 94) Để hạn chế sự đụng độ của các gói tin trên mạng người ta chia mạng thành các mạng nhỏ hơn và nối kết chúng lại bằng các thiết bị: A. Repeater. B. Hub. C. Switch. D. Card mạng (NIC). 95) Chọn định nghĩa đúng về địa chỉ MAC: A. Được ghi sẳn trên card mạng (NIC) B. Do người quản trị mạng khai báo. C. Câu A. và B. đúng. D. Tất cả đều đúng. 96) Chuỗi số ―00-08-ac-41-5d-9f‖ là: A. Địa chỉ IP. B. Địa chỉ Port. C. Địa chỉ MAC. D. Tất cả đều sai. 97) Nếu lấy 1 địa chỉ lớp B để chia Subnet với Subnet Mask là 255.255.240.0 thì có bao nhiêu Subnet có thể sử dụng được? A. 2. B. 6. 164 C. 14. D. 30. 98) Nếu 4 máy tính kết nối với nhau thông qua HUB thì cần bao nhiêu địa chỉ IP cho 5 trang thiếi bị mạng này? A. 1. B. 2. C. 4. D. 5. 99) Công nghệ LAN nào sử dụng CSMA/CD? A. Ethernet. B. Token Ring. C. FDDI. D. Tất cả các câu trên. 100) Địa chỉ lớp nào cho phép mượn 15 bits để chia Subnet? A. Lớp A. B. Lớp B. C. Lớp C. D. Không câu nào đúng. 101) Địa chỉ nào là địa chỉ Broadcast của lớp 2? A. 111.111.111.111 B. 255.255.255.255 C. AAAA.AAAA.AAAA D. FF.FF.FF.FF.FF.FF 102) Giả sử hệ thống mạng phải chia thành 8 Subnet và sử dụng một địa chỉ lớp B. Mỗi mạng con chứa ít nhất 2500 Host. Vậy Subnet Mask nào sẽ được sử dụng? A. 255.248.0.0 B. 255.255.240.0 C. 255.255.224.0 D. 255.255.252.0 1.2. Xác định các Bridge trong mô hình sau thuộc loại nào? 165 1.3. Mô tả quá trình học địa chỉ MAC của Bridge khi Host B gửi Frame cho Host A trong mô hình mạng sau: 1.4. Mô tả quá trình lọc khung tin của Switch trong mô hình mạng sau: 1.5. Mô tả quá trình chuyển tiếp khung tin của Switch trong mô hình mạng sau: 1.6. Mô tả quá trình học địa chỉ MAC của Switch khi máy tính Fred gửi khung tin cho máy Barney trong mô hình mạng sau: 166 1.7. Giải thích các thông số về các loại cáp mạng trong bảng sau: 1.8. Giải thích các thông số về các loại cáp mạng trong bảng sau: 167 1.9. Cho 04 phân đoạn mạng Ethernet, 01 Repeater, 02 Bridge. Hãy vẽ các topo để nối 4 phân đoạn mạng trên, chỉ ra vùng quảng bá vùng xung đột. 1.10. Cho 05 phân đoạn mạng Ethernet. Hãy lựa chọn thiết bị để nối 5 phân đoạn mạng trên sao cho có 2 vùng quảng bá, 5 vùng xung đột. 1.11. Cho 05 phân đoạn mạng Ethernet. Hãy lựa chọn thiết bị để nối 5 phân đoạn mạng trên sao cho có số vùng xung đột gấp 3 lần vùng quảng bá. 1.12. Cho 05 phân đoạn mạng Ethernet. Hãy lựa chọn thiết bị để nối 5 phân đoạn mạng trên sao cho số vùng quảng bá và xung đột bằng nhau. 1.13. Khung Ethernet có kích thước 1024 bit. Có thể nối xa nhất bao nhiêu phân đoạn mạng 10Base5 bằng Repeater có độ trễ 30 µs. 1.14. Khung Ethernet có kích thước 1024 bit. Có thể nối xa nhất bao nhiêu phân đoạn mạng 10Base5 bằng Repeater có độ trễ 25 µs. 2. Bài tập chƣơng 3 2.1. Cho mô hình mạng như sau: Cấu hình Trunk sử dụng VTP (VLAN Trunking Protocol) Domain để trao đổi thông tin VLAN giữa 2 Switch. 168 Hƣớng dẫn: - Cấu hình các Switch: Ta tạo VLAN 2, VLAN 4, VLAN 6 cho Switch 1; VLAN 3, VLAN 5, VLAN 7 cho Switch 2 và cấu hình cho hai Switch trong cùng một VTP Domain. Switch1#vlan database Switch 1(vlan)#vlan 2 name vlan2 ← Tạo vlan2 cho Switch 1 Switch 1(vlan)#vlan 4 name vlan4 Switch 1(vlan)#vlan 6 name vlan6 Switch 1(vlan)#vtp domain name Switch ← Cấu hình cho Switch 1 thuộc VTP domain Switch Switch 1(vlan)#apply Switch 2#vlan database Switch 2(vlan)#vlan 3 name vlan3 Switch 2(vlan)#vlan 5 name vlan5 Switch 2(vlan)#vlan 7 name vlan7 Switch 2(vlan)#vtp domain name Switch Switch 2(vlan)#apply Sau khi cấu hình VLAN xong ta kiểm tra lại các VLAN của Switch 1 và Switch 2 bằng câu lệnh show vlan. Switch 1#sh vlan VLAN Name Status Ports ---------------------------- 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 2 vlan2 active 4 vlan4 active 6 vlan6 active Switch 2#sh vlan VLAN Name Status Ports ---------------------------- 1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5, Fa0/6, Fa0/7, Fa0/8, Fa0/9, Fa0/10, Fa0/11, Fa0/12, Fa0/13, Fa0/14, Fa0/15, Fa0/16, Fa0/17, Fa0/18, Fa0/19, Fa0/20, Fa0/21, Fa0/22, Fa0/23, Fa0/24 169 3 vlan3 active 5 vlan5 active 7 vlan7 active Switch 1 đã được tạo VLAN 2, VLAN 4, VLAN 6; Switch 2 có VLAN 3, VLAN 5, VLAN 6. - Cấu hình đƣờng Trunk cho hai Switch: (Ta chưa nối hai Port fa0/1 của hai Switch với nhau) Switch 1#conf t Switch 1(config)#in fa0/1 Switch 1(config-if)#switchport mode trunk ← Cấu hình cho port Fa0/1 là trunk Switch 2#conf t Switch 2(config)#in fa0/1 Switch 2(config-if)#switchport mode trunk Switch 2(config-if)#switchport trunk encapsulation dot1q ← sử dụng giao thức đóng gói dot1q cho đường trunk Bây giờ ta sử dụng câu lệnh show vtp status để kiểm tra VTP: Switch 1# sh vtp status VTP Version : 2 Configuration Revision : 3 Maximum VLANs supported locally : 64 Number of existing VLANs : 8 VTP Operating Mode : Server VTP Domain Name : Switch VTP Pruning Mode : Disabled VTP V2 Mode : Disabled VTP Traps Generation : Disabled MD5 digest : 0xEA 0xB0 0xB8 0x44 0xFF 0x84 0x8D 0xFD Configuration last modified by 0. 0. 0. 0 at 3-1-93 00 : 22 : 49 Switch 2#sh vtp status VTP Version : 2 Configuration Revision : 2 Maximum VLANs supported locally : 68 Number of existing VLANs : 11 VTP Operating Mode : Server VTP Domain Name : Switch VTP Pruning Mode : Disabled 170 VTP V2 Mode : Disabled VTP Traps Generation : Disabled MD5 digest : 0xA6 0x13 0x28 0xD8 0x04 0xB8 0xAD 0x14 Configuration last modified by 0. 0. 0. 0 at 3-1-93 00 : 17 : 09 Ta thấy rằng số configuration revision của VTP Switch 1 lớn hơn của Switch 2. Hai Switch có cùng VTP Domain name là Switch và cả hai là VTP server. Bây giờ ta nối hai Port fa0/1 của hai Switch lại với nhau và kiểm tra lại các vlan. Switch 1#sh vlan VLAN Name Status Ports ------------------------------- 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 2 vlan2 active 4 vlan4 active 6 vlan6 active Switch 2#sh vlan VLAN Name Status Ports ------------------------------ 1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5, Fa0/6, Fa0/7, Fa0/8, Fa0/9, Fa0/10, Fa0/11, Fa0/12, Fa0/13, Fa0/14, Fa0/15, Fa0/16, Fa0/17, Fa0/18, Fa0/19, Fa0/20, Fa0/21, Fa0/22, Fa0/23, Fa0/24 2 vlan2 active 4 vlan4 active 6 vlan6 active Các VLAN trên Switch 2 đã bị mất thay vào đó là các VLAN của Switch 1. Do Switch 1 có số configuration revision lớn hơn nên đã chồng tất cả VLAN của mình lên Switch 2. Ta có thể tăng số configuration cho Switch bằng cách ra vào vlan datatbase và apply nhiều lần. Cứ mỗi lần ta vào vlan database apply một lần thì số configuration sẽ tăng lên một. - Bây giờ nếu hai Switch khác VTP Domain thì sẽ hoạt động ra sao. Ta cấu hình cho Switch 1 có VTP Domain là Switch, còn Switch 2 là S1. Do phần trên ta đã cấu hình cho Switch 1 thuộc VTP Domain Switch và các vlan của Switch 2 đã bị mất nên bây giờ ta cấu hình Switch 2 thuộc VTP Domain S1 và tạo 171 lại các VLAN3, VLAN5, VLAN7 cho Switch 2. Lúc này ta tháo cáp nối hai Port fa0/1 của hai Switch khi thực hiện. Switch 2#vlan database Switch 2(vlan)#no vlan 2 Switch 2(vlan)#no vlan 4 Switch 2(vlan)#no vlan 6 Switch 2(vlan)#vlan 3 name vlan3 Switch 2(vlan)#vlan 5 name vlan5 Switch 2(vlan)#vlan 7 name vlan7 Switch 2(vlan)#vtp domain name S1 Switch 2(vlan)#apply Bây giờ ta kiểm tra lại số configuration revision của hai Switch và các vlan của chúng. Switch 1#sh vtp status VTP Version : 2 Configuration Revision : 3 Maximum VLANs supported locally : 64 Number of existing VLANs : 8 VTP Operating Mode : Server VTP Domain Name : Switch Switch 2#sh vtp status VTP Version : 2 Configuration Revision : 0 Maximum VLANs supported locally : 68 Number of existing VLANs : 11 VTP Operating Mode : Server VTP Domain Name : S1 Switch 1#sh vlan VLAN Name Status Ports ------------------------------- 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 2 vlan2 active 4 vlan4 active 6 vlan6 active Switch 2#sh vlan 172 VLAN Name Status Ports ------------------------------- 1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5, Fa0/6, Fa0/7, Fa0/8, Fa0/9, Fa0/10, Fa0/11, Fa0/12, Fa0/13, Fa0/14, Fa0/15, Fa0/16, Fa0/17, Fa0/18, Fa0/19, Fa0/20, Fa0/21, Fa0/22, Fa0/23, Fa0/24 3 vlan3 active 5 vlan5 active 7 vlan7 active Tiếp theo, ta nối cáp hai Port fa0/1 lại. Kiểm tra lại các VLAN ta sẽ thấy hai Switch không trao thổi thông tin VLAN với nhau (Switch 1 không chồng VLAN lên Switch 2). Switch 1#sh vlan VLAN Name Status Ports ------------------------------ 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 2 vlan2 active 4 vlan4 active 6 vlan6 active Switch 2#sh vlan VLAN Name Status Ports ------------------------------- 1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5, Fa0/6, Fa0/7, Fa0/8, Fa0/9, Fa0/10, Fa0/11, Fa0/12, Fa0/13, Fa0/14, Fa0/15, Fa0/16, Fa0/17, Fa0/18, Fa0/19, Fa0/20, Fa0/21, Fa0/22, Fa0/23, Fa0/24 3 vlan3 active 5 vlan5 active 7 vlan7 active Vậy, nếu hai Switch không cùng một VTP Domain thì sẽ không trao đổi thông tin VLAN cho nhau. 173 2.2. Cho mô hình mạng như sau: Cấu hình Trunk sử dụng VTP Password để khắc phục vấn đề chồng VLAN không mong muốn giữa các Switch. Hƣớng dẫn: Trong VTP, nếu như nối hai Switch cùng VTP Domain với nhau, thì các Switch sẽ trao đổi thông tin VLAN với nhau. Nếu Switch nào có số Configuration Revision cao hơn sẽ chuyển hết các thông tin VLAN của mình cho Switch kia. Điều này có lúc thuận lợi nhưng cũng có lúc không thuận lợi. Trong trường hợp nếu như đã thiết lập một mạng với nhiều VLAN đang hoạt động tốt, khi nâng cấp mạng bằng cách lắp thêm một Switch mới vào và ta muốn Switch này sẽ lấy những thông tin về các VLAN đã có trong Switch cũ, nhưng Switch này có số Configuration Revision lớn hơn nên đã chuyển hết các thông tin VLAN cho switch cũ. Điều này đồng nghĩa với việc mất tất cả VLAN cũ đang hoạt động (do Switch mới chưa có VLAN). VTP Password giúp chúng ta khắc phục được trường hợp không mong muốn này. Nó giúp cho hai Switch cùng một VTP Domain nhưng khác VTP Password thì sẽ không trao đổi thông tin VLAN với nhau qua đường Trunk. - Cấu hình các Switch: Cấu hình VLAN và Trunk cho Switch 1 và Switch 2 tương tự bài tập 2.1 ở trên. Sau đây ta cấu hình VTP Password: Switch 1#vlan database Switch 1(vlan)#vtp password cisco ←Cấu hình VTP password Switch 1(vlan)#apply Switch 2#vlan database Switch 2(vlan)#vtp password cisco1 Switch 2(vlan)#apply Ở đây, cấu hình hai VTP Password khác nhau. Sau khi cấu hình VTP Password, ta kiểm tra lại số Configuration Revision sau đó nối cáp vào hai Port fa0/1 và kiểm tra các VLAN của hai Switch. Switch 1#sh vtp status 174 VTP Version : 2 Configuration Revision : 2 Maximum VLANs supported locally : 64 Number of existing VLANs : 8 VTP Operating Mode : Server VTP Domain Name : Switch VTP Pruning Mode : Disabled VTP V2 Mode : Disabled VTP Traps Generation : Disabled MD5 digest : 0xDC 0x72 0x0C 0xDF 0x21 0x03 0x77 0xE6 Configuration last modified by 0. 0. 0. 0 at 3-1-93 00 : 21 : 40 Local updater ID is 0. 0. 0. 0 (no valid interface found) Switch 2#sh vtp status VTP Version : 2 Configuration Revision : 3 Maximum VLANs supported locally : 68 Number of existing VLANs : 8 VTP Operating Mode : Server VTP Domain Name : Switch VTP Pruning Mode : Disabled VTP V2 Mode : Disabled VTP Traps Generation : Disabled MD5 digest : 0xEB 0x3F 0x54 0x2C 0x25 0x7B 0x0D 0x19 Configuration last modified by 0. 0. 0. 0 at 3-1-93 00 : 08 : 14 Switch 1#sh vlan VLAN Name Status Ports ------------------------------- 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 2 Vlan2 active 4 Vlan4 active 6 Vlan6 active Switch 2#sh vlan VLAN Name Status Ports ------------------------------ 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4, 175 Fa0/5, Fa0/6, Fa0/7, Fa0/8, Fa0/9, Fa0/10, Fa0/11, Fa0/12, Fa0/13, Fa0/14, Fa0/15, Fa0/16, Fa0/17, Fa0/18, Fa0/19, Fa0/20, Fa0/21, Fa0/22, Fa0/23, Fa0/24 3 Vlan3 active 5 Vlan5 active 7 Vlan7 active Ta nhận thấy rằng dù Switch 2 có số Configuration Revision lớn hơn nhưng các VLAN của Switch 1 vẫn không bị xóa. Điều này đồng nghĩa với hai Switch không chuyển đổi thông tin VLAN cho nhau, do Switch 1 có VTP Password là cisco còn Switch 2 là cisco1. Như vậy nếu hai Switch cùng VTP Domain nhưng khác Password thì sẽ không truyền thông tin VLAN cho nhau. 2.3. Cấu hình VLAN cho mô hình mạng sau: 2.4. Cấu hình định tuyến VLAN cho mô hình mạng sau: 176 2.5. Cấu hình định tuyến VLAN cho mô hình mạng sau: 3. Bài tập chƣơng 4 3.1. Phân tích mô hình mạng sau: 177 3.2. Phân tích bảng chọn đường của các Router trong mô hình sau: 3.3. Vẽ mô hình mạng dựa vào các bảng chọn đường sau: 3.4. Phân tích cách cập nhật bảng chọn đường trong mô hình mạng sau: 178 3.5. Cấu hình định tuyến RIP cho mô hình mạng sau: 3.6. Cấu hình định tuyến RIP cho mô hình mạng sau: 3.7. Cấu hình định tuyến RIP cho mô hình mạng sau: 179 3.8. Cấu hình định tuyến OSPF cho mô hình mạng sau: 180 3.9. Cấu hình định tuyến OSPF cho mô hình mạng sau: 3.10. Cấu hình định tuyến EIGRP cho mô hình mạng sau: 3.11. Cấu hình định tuyến EIGRP cho mô hình mạng sau: 181 4. Bài tập chƣơng 5 4.1. Thiết lập một mạng không dây Ad-Hoc trên 2 máy tính xách tay với mô hình như sau: Hƣớng dẫn: Trên máy tính thứ nhất: - Vào mục Start -> Setting -> Control Panel, khởi động Network and Sharing Center -> Chọn Manage Wireless Networks 182 Chọn Add Trong hộp thoại Manually connect to a wireless network, chọn Create an ad hoc network Hộp thoại giới thiệu về ad-hoc. Nhấn Next - Cấu hình ad hoc network: Network Name: Nhat Security type: WEB 183 Security key: Quy tắc đặt Key trong bảng phía dưới Nhấn Close để hoàn tất. - Kiểm tra lại sau khi cấu hình 184 Trên máy tính thứ hai: Kết nối vào mạng Ad-Hoc vừa tạo. 4.2. Cấu hình 2 Wireless Access Point (TL-WA501G/TL-WA601G) hoạt động theo chế độ Bridge (Point to Point) để mạng không dây hoạt động với mô hình mạng như sau: Hƣớng dẫn: Trên Wireless Access Point thứ nhất: - Kết nối máy tính tới cổng LAN của Wireless Access Point bằng cáp Ethernet. - Gán địa chỉ IP tĩnh cho máy tính (192.168.1.250). - Mở trình duyệt Web và nhập địa chỉ IP của Wireless Access Point (mặc định là 192.168.1.254) vào thanh địa chỉ --> Enter. - Nhập Username và Password mặc định là admin --> Enter. 185 - Sau khi đăng nhập xong --> Click Wireless -->Wireless Mode, chọn Bridge (Point to Point), nhập địa chỉ MAC của Wireless Access Point kia vào khung MAC of AP. Lưu ý: Giữa 2 số cách nhau ký tự '-' và nhập chính xác địa chỉ MAC của Wireless Access Point muốn kết nối tới trong khung MAC of AP, nếu không kết nối sẽ không thể thiết lập. - Sau đó, chọn Reboot và bấm Save để lưu cấu hình. Các thiết lập sẽ có hiệu lực sau khi Reboot. Trên Wireless Access Point thứ hai: Làm tương tự như Wireless Access Point thứ nhất nhưng địa chỉ IP khác thiết bị thứ nhất và sẽ nhập địa chỉ MAC của thiết bị thứ nhất vào khung MAC of AP. 4.3. Cấu hình 1 Wireless Access Point (TL-WA501G/TL-WA601G) hoạt động theo chế độ Bridge (Point to Multi Point) và 2 Wireless Access Point (TL-WA501G/TL- WA601G) hoạt động theo chế độ Bridge (Point to Point) để mạng không dây hoạt động với mô hình mạng như sau: 186 Hƣớng dẫn: Trên Wireless Access Point B và C: Thực hiện giống 2 Wireless Access Point ở bài tập số 4.2. Trên Wireless Access Point A: - Sau khi đăng nhập xong --> Click Wireless --> Wireless Mode, chọn Bridge (Point to Multi Point) --> nhập địa chỉ MAC của 2 Wireless Access Point B và C vào khung MAC of AP1 và MAC of AP2. - Sau đó, chọn Reboot và bấm Save để lưu cấu hình. Các thiết lập sẽ có hiệu lực sau khi Reboot. 187 4.4. Cấu hình Wireless Access Point hoạt động theo chế độ Repeater để mạng không dây hoạt động với mô hình mạng như sau: Hƣớng dẫn: Trên Wireless Access Point Root Router: - Kết nối tới máy tính bằng cáp Ethernet. - Cấu hình ở chế độ Access Point với SSID: 2WIRE_TEST, Kiểu mã hóa: WPA2-PSK, Mật khẩu: testtplink. Trên Wireless Access Point Repeater: - Kết nối tới máy tính bằng cáp Ethernet. - Chọn Menu Network để thay đổi địa chỉ IP của Repeater sao cho cùng Network với Root Router. Trong trường hợp này, có thể đổi địa chỉ IP thành 192.168.1.250. Sau đó chọn Save để lưu. - Chọn Menu Wireless --> Wireless Settings --> Chọn Operation Mode là Universal Repeater --> Click Search. 188 Tìm SSID của Root Router trong danh sách, sau đó bấm Connect. Click Save. 189 - Chọn Menu Wireless --> Wireless Security. Chọn kiểu mã hóa giống của Root Router. Ở đây là WPA2-PSK, nhập Password là "testtplink" vào ô PSK Password. Click Save để lưu. - Sau khi thực hiện các bước trên, Repeater sẽ hoạt động giống với Root Router. Sử dụng lệnh Ping trên máy tính để kiểm tra kết nối tới Root Router. 4.5. Cấu hình các Access Point để mạng hoạt động với mô hình mạng như sau: 4.6. Phân tích mô hình mạng sau: 190 5. Bài tập chƣơng 6 5.1. Mô tả bài toán: Công ty A có 2 cơ sở, cơ sở chính được đặt ở Hà Nội và cơ sở còn lại đặt ở Hải Phòng. Cơ sở tại Hà Nội làm việc trong tòa nhà 1 tầng gồm 3 phòng: 1 phòng giám đốc (Nguyễn Hà), 1 phòng kế toán ( có 2 nhân viên Hoàng Vinh, Nguyễn Hằng) và 1 phòng dành cho nhân viên (có 2 nhân viên: Trần Bình, Hồng Đức) có sơ đồ như sau: Phòng Giám đốc Phòng Nhân viên Phòng Kế toán Cơ sở tại Hải Phòng làm việc trong tòa nhà 1 tầng gồm 2 phòng: 1 phòng phó giám đốc (Phạm Hải) và 1 phòng dành cho nhân viên (có 2 nhân viên: Lê Thọ, Trần An) có sơ đồ như sau: Phòng Nhân viên Phòng P.Giám đốc Để thuận tiện cho công việc công ty A có nhu cầu kết nối mạng máy tính ở cơ sở Hà Nội với Hải Phòng. Biết rằng: - Mỗi người trong công ty có 1 máy tính để sử dụng. - Mỗi cơ sở có 1 Switch và 1 Router. - Mạng máy tính của 2 cở sở nối với nhau thông qua Router. - Có 1 máy chủ được cài hệ điều hành Windows Server và đặt ở phòng giám đốc cơ sở Hà Nội. - Các thiết bị mạng đặt ở phòng giám đốc và phòng phó giám đốc. - Công ty ®· ®¨ng ký víi nhµ cung cÊp m¹ng vµ ®-îc sö dông ®Þa chØ IP: 10.0.0.0/15 Hành lang Hành lang 191 Yêu cầu: a) Dùng phần mềm Visio thiết kế sơ đồ vật lý mô hình mạng cho công ty A. b) Dùng phần mềm Packet Trace mô phỏng sơ đồ mạng đã thiết kế. c) Hoạch định địa chỉ IP. d) Cấu hình thiết bị mạng (Sử dụng giao thức chọn đường OSPF đối với các Router). 5.2. Mô tả bài toán: Công ty C có 2 cơ sở, cơ sở chính được đặt ở Hà Nội và cơ sở còn lại đặt ở Đà Nẵng. Cơ sở tại Hà Nội làm việc trong tòa nhà 1 tầng gồm 3 phòng: 1 phòng giám đốc (Nguyễn Thanh), 1 phòng kế toán ( có 3 nhân viên Nguyễn Thu, Nguyễn Thủy, Trần Đức) và 1 phòng dành cho nhân viên (có 2 nhân viên: Hoàng Văn, Bùi Bình) có sơ đồ như sau: Phòng Giám đốc Phòng Kế toán Phòng Nhân viên Cơ sở tại Đà Nẵng làm việc trong tòa nhà 1 tầng gồm 2 phòng: 1 phòng phó giám đốc (Trần Tùng) và 1 phòng dành cho nhân viên (có 2 nhân viên: Bùi Bích, Trần Hà) có sơ đồ như sau: Phòng P. Giám đốc Phòng Nhân viên Để thuận tiện cho công việc công ty C có nhu cầu kết nối mạng máy tính ở cơ sở Hà Nội với Đà Nẵng. Biết rằng: - Mỗi người trong công ty có 1 máy tính để sử dụng. - Mỗi cơ sở có 1 Switch và 1 Router. - Mạng máy tính của 2 cở sở nối với nhau thông qua Router. - Có 1 máy chủ được cài hệ điều hành Windows Server và đặt ở phòng giám đốc cơ sở Hà Nội. - Các thiết bị mạng đặt ở phòng giám đốc và phòng phó giám đốc. - Công ty ®· ®¨ng ký víi nhµ cung cÊp m¹ng vµ ®-îc sö dông ®Þa chØ IP: 210.10.5.0/28 Yêu cầu: a) Dùng phần mềm Visio thiết kế sơ đồ vật lý mô hình mạng cho công ty C. Hành lang Hành lang 192 b) Dùng phần mềm Packet Trace mô phỏng sơ đồ mạng đã thiết kế. c) Hoạch định địa chỉ IP. d) Cấu hình thiết bị mạng (Sử dụng giao thức chọn đường EIGRP đối với các Router). 5.3. Thiết kế hệ thống mạng cho trường Đại học Sư phạn kỹ thuật Nam Định (ĐHSPKT Nam Định) biết rằng trong tương lai trường có thể sẽ mở cơ sở 2. 1) Thiết kế hệ thống mạng a) Mô hình thiết kế hệ thống mạng Hệ thống thông tin Trường ĐHSPKT Nam Định sẽ gồm: - Hạ tầng công nghệ thông tin: + Hệ thống kết nối mạng: chuyển mạch, cáp quang, cáp đồng + Hệ thống kết nối mạng Internet + Máy chủ hiện có và máy chủ lớn được đầu tư + Hệ thống lưu trữ dữ liệu, thông tin về đề án, đề tài, công trình nghiên cứu khoa học. + Hệ thống các phòng học thực hành tin học, ngoại ngữ, phòng tra cứu thông tin tại ký túc xá. + Tường lửa, hệ thống ngăn ngừa xâm nhập, chặn thư rác. + Hệ thống tổng đài thoại, mạng cáp thoại. + Máy trạm, máy tính xách tay. + Thiết bị điện, lưu điện UPS, và các thiết bị phụ trợ khác. - Hệ điều hành: Hệ điều hành Windows, Linux, Unix - Hệ quản trị cơ sở dữ liệu: Phần mềm quản trị cơ sở dữ liệu (Oracle hoặc MS SQL Server). - Nền tảng tích hợp: Phần mềm .Net framework, Java framework - Phần mềm ứng dụng: + Hệ thống phần mềm quản lý đào tạo theo học chế tín chỉ. + Hệ thống phần mềm thư viện điện tử. - Cổng thông tin điện tử Phần mềm cổng thông tin điện tử Trường ĐHSPKT Nam Định. 193 Mô hình kiến trúc tích hợp hệ thống thông tin Mô hình thiết kế mạng phổ biến nhất và được ứng dụng nhiều nhất trong các doanh nghiệp/cơ quan hiện nay là mô hình phân cấp với các Modular riêng sẵn sàng cho việc mở rộng, phát triển trong tương lai cũng như dễ dàng hơn khi cô lập sự cố, sửa lỗi. b) Nguyên tắc thiết kế: - Mô hình mạng tuân theo mô hình mạng 3 lớp: Lõi, Phân phối, truy nhập - Hệ thống chuyển mạch lõi dự phòng, tốc độ cao, hỗ trợ đa công nghệ - Hệ thống chuyển mạch vùng máy chủ - Hệ thống chuyển mạch mạng truy nhập - Hệ thống mạng LAN: mạng LAN trung tâm, mạng LAN các tòa nhà, giảng đường, thư viện - Hệ thống mạng không dây sẽ được tách thành 1 mạng riêng về mặt logic, tất cả sẽ được kết nối tới vùng mạng DMZ, khi kết nối vào mạng nội bộ của Trường sẽ thực hiện bởi công nghệ mạng ảo VPN. Nguyên tắc thiết kế này thực sự ưu điểm cho các mô hình với kiến trúc được phân cấp và module hóa. Với mô hình này việc quản trị cấu hình, triển khai các dịch vụ trên mạng thực sự trở nên dễ dàng. Việc thêm bớt các thành phần trên mạng cũng không ảnh hưởng đến toàn mạng, mà chỉ ảnh hưởng từng Module liên quan. 194 Mô hình mạng 3 lớp Trong đó: Lớp Core: Trong mô hình phân cấp, các khối riêng rẽ được kết nối với nhau qua lớp Core. Lớp này có chức năng là lớp trục chính của toàn mạng, có tốc độ chuyển mạch cao, các kết nối tốc độ Gigabit hoặc 10 Gigabit được kết nối tại lớp này. Module cung cấp dịch vụ Server Farm cũng được kết nối trực tiếp vào lớp này để tăng tốc độ và hiệu suất cung cấp các dịch vụ trên mạng. Hình dưới đây là mô hình kết nối cho lớp mạng lõi (Core layer). Lớp Core Layer Lớp Distribution: Lớp này có chức năng tập chung dữ liệu từ lớp truy nhập, bảo vệ và phân tách giữa lớp truy nhập và lớp Core. Ở đây có các cặp Switch Layer 3 để nâng cao khả năng dự phòng, chia tải, và tăng cường chất lượng dịch vụ cho toàn mạng. 195 Lớp Distribution Lớp Access: Lớp truy nhập là lớp kết nối với các thiết bị đầu cuối như máy trạm, máy tính xách tay, IP Phone, Switch tại lớp này được kết nối tới 2 Switch của lớp phân phối để tăng cường tính năng dự phòng và hạn chế sự cố vật lý. Lớp Access - Quy mô của Trường ĐHSPKT Nam Định với kiến trúc hệ thống không phức tạp nên kiến trúc 3 lớp mạng sẽ được gộp vào thành 02 lớp: Core và Access. Mô hình thiết kế cụ thể như sau: + Hệ thống Server được kết nối trực tiếp vào Core Switch với giao tiếp Gbps cáp UTP Cat6, được cấu hình VLAN riêng cho từng dịch vụ khác nhau trên Switch trung tâm cũng như thiết bị tường lửa Firewall. + Thiết lập phân vùng quản trị bao gồm máy chủ quản trị, máy chủ diệt Virus và máy chủ Security, đặt trong VLAN riêng, kết nối trực tiếp với Switch đường trục nhằm đảm bảo quản lý dễ dàng, không ảnh hưởng tới toàn bộ hệ thống. + Phân vùng DMZ chứa các máy chủ Public cho các kết nối công cộng được kết nối qua tường lửa vòng ngoài, các máy chủ, Web, DNS, FTP được cài đặt tường lửa ứng dụng Web, nhằm ngăn chặn các truy nhập trái phép. Hệ thống LAN kết nối với hệ thống bên ngoài: gồm 2 đường Internet 20Mbps. + Công nghệ: Cáp quang Multi mode, 4 hoặc 8 sợi, tốc độ 1Gbps. 196 Hiện tại chỉ có 03 điểm kết nối quang (Nhà A1, Nhà A3, Nhà C) nên số thiết bị mạng và vật tư cho việc kết nối đã được tính toán hợp lý nhất. Trong tương lai, nếu số điểm kết nối quang nhiều hơn 03 điểm thì sẽ mua bổ sung thêm Core Switch 24 10/100/1000Mbps and SFP module và phụ kiện đấu nối (Hộp đấu nối quang, cáp nhảy,). Sơ đồ kết nối hệ thống mạng giai đoạn hiện tại (GD1) và tương lai tại cơ sở 1 - Hệ thống mạng của Trường ĐHSPKT Nam Định được chia thành các Module (Internet Module, DMZ Module, Core Module, Internal Server) mỗi Module thực hiện một chức năng riêng biệt: + Module Internet: Dùng cho kết nối vào/ra Internet, kết nối VPN truy cập từ xa, kết nối vào truy xuất các dữ liệu khi người dùng ở bên ngoài mạng. 197 + Server Farm: Nơi đặt các máy chủ quan trọng (máy chủ nghiệp vụ, máy chủ cơ sở dữ liệu). Đây là vùng quan trọng nhất, chứa các tài nguyên quan trọng nhất của Trường. + Module DMZ: Vùng trung lập DMZ trong Module này được dùng để đặt các máy chủ được Public ra Internet, cho phép truy cập từ ngoài Internet để cung cấp các dịch vụ như thư điện tử (Email), truy cập Web. + Module Core: Vùng cốt lõi của hệ thống mạng. Vùng này đảm bảo kết nối cho toàn mạng, phục vụ nhu cầu kết nối từ các vùng đã trình bày ở trên. Các Module này phải có các thiết bị an toàn bảo mật cần thiết như thiết bị tường lửa (Firewall) để điều khiển truy cập giữa các Module. Mô hình kết nối hệ thống mạng giai đoạn 1 198 Mô hình kết nối tổng thể hệ thống mạng khi kết nối với cơ sở 2 Sơ đồ kết nối tổng thể hệ thống mạng khi kết nối với cơ sở 2 199 c) Giải pháp kết nối mạng LAN Để đảm bảo tính linh hoạt và hiệu quả trong hoạt động của hệ thống mạng, hệ thống mạng LAN Trường ĐHSPKT Nam Định sẽ sử dụng kết hợp các công nghệ kết nối mạng LAN dưới đây: - Công nghệ VLAN Các tòa nhà sẽ được phân bổ và chia thành các VLAN khác nhau với mục đích là tăng hiệu xuất mạng (Giảm Broadcast) Việc chia VLAN và đánh địa chỉ được thực hiện như sau: Nhà A2: 192.168.2.0/24 Nhà A1: 192.168.1.0/24 Nhà A3: 192.168.3.0/24 Nhà C : 192.168.4.0/24 . Vùng DMZ cũng có thể được chia thành 01 VLAN riêng: 192.168.11.0/24 Vùng Server Farm chia thành VLAN: 192.168.2.0/28 Vùng User sẽ là địa chỉ mạng con tại các tòa nhà tương ứng. Để kết nối các VLAN này hay nói cách khác là để các máy trong các tòa nhà giao tiếp được với nhau thì Core Switch Layer 3 sẽ làm nhiệm vụ định tuyến kết nối giữa các VLAN. - Công nghệ Routing giữa các VLAN Công nghệ VLAN dùng để phân tách mạng LAN ở tầng 2 của mô hình 7 tầng OSI, do vậy các mạng LAN được phân chia đó sẽ chỉ làm việc với nhau tại lớp 3 qua các thiết bị có chức năng định tuyến (Router hoặc Core Switch Layer 3) Routing giữa các VLAN - Công nghệ VPN (Virtual Private Network) 200 + Mạng riêng ảo (VPN) sẽ mở rộng phạm vi của các mạng LAN mà không cần bất kỳ đường dây riêng nào. Có thể dùng VPN để cấp quyền truy cập mạng cho người dùng di động và từ xa, kết nối các chi nhánh phân tán về mặt địa lý thành một mạng duy nhất và cho phép sử dụng từ xa các trình ứng dụng dựa trên các dịch vụ có trong trường. + Thiết kế mạng riêng ảo VPN dựa trên các đường truyền Internet ADSL hoặc kênh thuê bao riêng. Dựa vào các thiết bị mạng của trường để thiết kế và cấu hình VPN với mục đích cho giảng viên cũng như sinh viên ở bên ngoài mạng (bên ngoài mạng LAN) có thể truy cập, sử dụng tài nguyên của trường như đang ngồi trong mạng LAN. d) Mô hình thiết kế hệ thống cáp mạng Hệ thống cáp đóng vai trò là phương tiện truyền dẫn tín hiệu giữa các thiết bị mạng cũng như giữa thiết bị mạng và các thiết bị đầu cuối (máy tính, máy in,...). Do đó hệ thống cáp đóng vai trò rất quan trọng đối với khả năng thực thi của hệ thống mạng thông tin. Dựa trên mô hình theo kiểu hình sao phân lớp, toàn bộ hệ thống mạng sẽ có 2 lớp cáp kết nối được phân thành các cấp sau: Mô hình thiết kế hệ thống cáp mạng Để đảm bảo nhu cầu sử dụng, hệ thống cáp kết nối trung tâm được phân chia theo khoảng cách cũng như theo chủng loại kết nối: - Tất cả các thiết bị chuyển mạch và Patch Pannel được đặt trên tủ mạng tại phòng máy chủ hoặc trung tâm dữ liệu. - Hệ thống máy chủ được kết nối trực tiếp đến Core Switch - Kết nối giữa các Switch nhánh đến Core Switch sử dụng UTP Cat 5e (hoặc Cat 6) tốc độ truyền nhận dữ liệu 1Gbps với khoảng cách < 100m - Kết nối từ máy trạm đến các Switch nhánh sử dụng cáp AMP UTP Cat 6, khoảng cách tối đa 90m , tốc độ truyền nhận dữ liệu là 1 Gbps. 201 - Các đầu kết nối được tập trung tại một điểm và các đường cáp mạng được đi trong ống Gen để đảm bảo an toàn, thẩm mỹ. - Khi thi công hệ thống cáp mạng trong tòa nhà, việc thi công sẽ được thực hiện theo phương án sau: Mô hình thi công cáp UTP trong tòa nhà nhiều tầng - Đối với hệ thống kết nối mạng máy tính cục bộ LAN cho hệ thống mạng các tòa nhà của Trường ĐHSPKT Nam Định, ngoài việc lựa chọn đúng các thiết bị mạng, việc lựa chọn các phụ kiện mạng cũng đóng vai trò quan trọng và quyết định đến khả năng hoạt động của toàn thể hệ thống: + Thiết bị chuyển mạch trung tâm (Core Switch lớp 3) dạng Rack, có cổng Gigabit cáp đồng (10/100/1000Base-Tx) và khe cắm chuẩn SFP (Small Form Factor). + Thiết bị chuyển mạch Switch nhánh tại các toà nhà là Switch dạng Rack, với cổng 10/100Base-TX và cổng kết nối Gigabit cáp đồng, với Switch này việc sử dụng cáp UTP Cat 6 kết nối giữa 2 Switch có thể đạt tốc độ 1Gbps trong phạm vi 100m. + Các máy chủ được kết nối trực tiếp tới thiết bị chuyển mạch Core Switch lớp 3. + Ổ cắm mạng Wallbox, Patch Panel: Wallbox, Patch Panel phải đảm bảo tốc độ 100 Mbps và hỗ trợ lên 1 Gbps trong tương lai. Các đầu dây mạng tại các phòng của người sử dụng được đấu vào các hộp Wallbox. Máy tính sẽ nối với các hộp Wallbox thông qua các đoạn dây Patch 2m và 3m 202 + Tủ thiết bị: Các thiết bị mạng được đặt trong các tủ thiết bị chuyên dụng (Comrack) sử dụng các Patch Panel để gài các đầu dây. Từ Patch Panel đến các Switch sử dụng các đoạn dây Patch Cable 2 m hoặc 3m để đảm bảo sự ổn định, dễ bảo trì và tính thẩm mỹ của mạng. Các tủ thiết bị được đặt tại phòng máy chủ. Tủ mạng 27U cho các vùng mạng phân phối, tủ mạng 10U treo tường cho các tòa nhà (hoặc các tầng của các tòa nhà có nhiều nút mạng). 2) Thiết kế hệ thống an ninh, bảo mật a) Nguyên tắc thiết kế Để thiết kế được hệ thống an ninh, bảo mật cần xác định được mối đe dọa đối với các tài nguyên trong hệ thống thông tin của trường. Phân tích các mối đe dọa có thể ảnh hưởng trực tiếp đến các tài nguyên được thể hiện trong bảng dưới đây: STT Các tài nguyên Phân tích mối đe dọa 1 Hệ thống phần cứng 1.1 Các máy chủ tại trường Virus: Tấn công các ứng dụng trên máy chủ gây ngừng hoạt động của hệ thống. Các Virus này được viết dưới dạng Cookies, JavaScript và Applet. Phá máy chủ: Hacker truy nhập vào máy chủ, thay đổi nội dung, thay đổi dịch vụ trên máy chủ, ngừng máy chủ. 1.2 Các thiết bị mạng Mạng bị chia nhỏ do các thiết bị mạng bị hỏng và bị tấn công. 1.3 Các thiết bị lưu trữ bên ngoài Thiết bị lưu trữ bên ngoài bị hỏng do Virus hay Hacker. Thiết bị lưu trữ bên ngoài bị lấy trộm. 1.4 Máy Client trong các phòng chuyên môn của trường Bị kẻ lạ tấn công, truy nhập bất hợp pháp hay chỉnh sửa thông tin trên máy chủ. 2 Hệ thống mạng 2.1 Hệ thống mạng tại trường Mạng hoạt động không bình thường do khối lượng dữ liệu lớn liên tục xuất hiện trên mạng. (do Hacker tấn công hay do các gói dữ liệu không rõ địa chỉ chạy quẩn). 2.2 Dữ liệu truyền đi trên mạng Dữ liệu truyền đi trên mạng bị giải mã/phá hoại hoặc thay đổi nội dung. 3 Hệ thống phần mềm ứng dụng 3.1 Hệ thống phần mềm quản lý đào tạo Hệ thống phần mềm ứng dụng bị phá hoại do Virus hay Hacker làm thay đổi chức năng hay vận hành sai. 4 Các dữ liệu người sử dụng 4.1 Tên truy cập và mật khẩu của các người sử dụng Dữ liệu về người sử dụng bị đánh cắp. 5 Các CSDL của chương trình 5.1 Các dữ liệu hệ thống tại máy Dữ liệu bị thay đổi. 203 STT Các tài nguyên Phân tích mối đe dọa chủ 6 Người sử dụng 6.1 Các cán bộ sử dụng vận hành hệ thống tại các phòng ban, khoa Các cán bộ vận hành sai quy trình, sai chức năng gây mất mát dữ liệu. Người sử dụng làm hỏng các ứng dụng do nhầm lẫn. Người sử dụng thực hiện nhiều công việc khác nhau trên hệ thống làm giảm tốc độ của hệ thống. Người sử dụng vẫn chạy chương trình nhưng lại không ngồi cạnh bên máy. Tạo cơ hội cho người lạ sử dụng bất hợp pháp chương trình. Bảng nguyên tắc thiết kế b) Thiết kế hệ thống an ninh, bảo mật Giải pháp bảo mật và an toàn dữ liệu áp dụng cho Trường ĐHSPKT Nam Định được xây dựng trên cơ sở kết hợp các giải pháp sau: Giải pháp chống truy nhập bất hợp pháp. Giải pháp bảo vệ hệ thống phần cứng. Giải pháp bảo mật hệ điều hành. Giải pháp bảo mật phần mềm ứng dụng. Giải pháp bảo mật Cơ sở dữ liệu. Giải pháp phòng chống Virus. Giải pháp kiểm soát nội dung thông tin trên mạng. - Giải pháp chống truy nhập bất hợp pháp Giải pháp chống truy nhập bất hợp pháp được xây dựng trên cơ sở sau: + Định danh, xác thực người sử dụng của hệ thống. + Sử dụng hệ thống Firewall. + Bảo vệ bằng màn hình Screen Saver của Windows tại máy trạm làm việc. - Định danh người sử dụng Mỗi người sử dụng của hệ thống (cán bộ tại các phòng ban chuyên môn) đều được cấp tên và mật khẩu truy nhập vào hệ thống. Mỗi khi truy nhập vào hệ thống người sử dụng sẽ phải khai báo tên và mật khẩu. Hệ thống bảo mật sẽ an toàn nếu như mỗi người sử dụng sẽ có tên và mật khẩu khác nhau cho từng mức: + Mức hệ thống: Mỗi khi người sử dụng truy nhập vào mạng thông qua kết nối từ xa sẽ phải gõ tên và mật khẩu. + Mức hệ điều hành: Mỗi khi người sử dụng truy nhập vào máy chủ để chạy các ứng dụng cũng phải gõ tên và mật khẩu. 204 + Mức cơ sở dữ liệu: Mỗi khi người sử dụng truy nhập vào CSDL đều phải gõ tên và mật khẩu. + Mức chương trình ứng dụng: Mỗi khi người sử dụng truy nhập vào ứng dụng để khai thác ứng dụng sẽ phải gõ tên và mật khẩu. - Hệ thống Firewall Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại việc truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống. Phần bên trong mạng nội bộ (LAN) được chia làm 2 khu vực: khu vực vành đai và khu vực bảo mật. Khu vực vành đai hay còn gọi là DMZ có bảo mật tương đối nhằm cho phép bên ngoài có thể truy cập vào. Khu vực này thường đặt Web Server, Khu vực bảo mật nằm bên trong hệ thống mạng mà không cho phép bên ngoài truy cập vào khi chưa được phép của người quản trị mạng, khu vực này chứa máy chủ nội bộ và máy PC của người dùng trong hệ thống. Về mặt chức năng hệ thống, Firewall là một thành phần được đặt giữa hai mạng để kiểm soát tất cả các việc lưu thông và truy cập giữa chúng với nhau, bao gồm: + Tất cả các trao đổi dữ liệu từ trong ra ngoài và ngược lại phải thực hiện thông qua Firewall. + Chỉ những trao đổi được phép bởi chế độ an ninh của hệ thống mạng nội bộ mới được quyền lưu thông qua Firewall. Về mặt vật lý, Firewall gồm một hoặc nhiều hệ thống máy chủ/Firewall chuyên dùng được kết nối với các bộ chọn đường hoặc có chức năng chọn đường. Firewall đảm bảo các gói được phép vào mạng LAN phải đáp ứng những nguyên tắc nhất định (chính sách bảo mật) mà nhân viên quản trị mạng thiết lập. Để sử dụng Firewall một cách hiệu quả, cần phải xây dựng một chính sách bảo mật tốt và chặt chẽ. Với Firewall, có thể kiểm tra được ai đang truy cập vào mạng và sử dụng dịch vụ nào. Firewall hoạt động theo 2 cách: + Từ chối hoặc chấp nhận các gói tin dựa trên danh sách các địa chỉ nguồn được và không được chấp nhận. + Cho phép hoặc từ chối các gói tin dựa trên danh sách các địa chỉ cổng đích được và không được chấp nhận. - Bảo mật phần mềm ứng dụng Giải pháp này ngăn chặn việc thay đổi phần mềm ứng dụng do các nguyên nhân như sửa đổi File một cách bất hợp pháp hay do Virus. Giải pháp này bao gồm: + Phân quyền truy nhập vào thư mực chứa chương trình thực hiện của ứng dụng. + Chạy tự động ứng dụng. 205 + Kiểm soát ngày, tháng, kích thước của File chứa chương trình thực hiện. Danh sách các File của phiên bản đang chạy sẽ được lưu trữ và người quản trị sẽ có trách nhiệm kiểm tra kích thước, ngày tháng các File này để tránh việc thay đổi bất hợp pháp nội dung các File. - Bảo mật cơ sở dữ liệu Giải pháp bảo mật cơ sở dữ liệu phòng chống việc sao chép, sửa đổi dữ liệu bất hợp pháp của người sử dụng của hệ thống. Giải pháp bảo mật cơ sở dữ liệu gồm: + Bảo mật tên và mật khẩu mức cơ sở dữ liệu hệ điều hành: Người quản trị sẽ phân quyền truy nhập vào cơ sở dữ liệu cho một số người sử dụng. Người sử dụng bình thường không có quyền truy nhập vào cơ sở dữ liệu. + Giải pháp phân quyền người sử dụng: Được áp dụng để tránh việc sử dụng sai chức năng của các cán bộ vận hành của hệ thống. Mỗi người sử dụng vào hệ thống sẽ có tên, mật khẩu và được quyền truy cập vào một số chức năng của hệ thống. + Sử dụng bảo mật cho các cơ sở dữ liệu quan trọng. + Ghi vào nhật ký mọi thay đổi về mặt dữ liệu của người sử dụng. - Phòng chống Virus Giải pháp phòng chống Virus kiến nghị sử dụng chương trình phòng chống Virus theo dạng Server-Client, quản lý tập trung. Đây là dòng sản phẩm Anti-virus dành cho các đơn vị. Nó bảo vệ đơn vị tại tất cả các điểm trong mạng. Sử dụng nhiều công nghệ quét, bao gồm cả so mẫu, kiểm soát hành vi dựa vào tập luật, các sản phẩm này có thể bảo vệ các đơn vị khỏi các loại Virus. 3) Hệ thống sao lưu và phục hồi dữ liệu Dữ liệu về quá trình quản lý đào tạo sinh viên rất lớn. Dữ liệu này được lưu trữ mãi mãi tuy nhiên theo yêu cầu hệ thống phải có khả năng xử lý, lưu trữ, phân tích, tổng hợp số liệu trong một quá trình học tập của sinh viên. Sau khi sinh viên ra trường tùy theo quy định và yêu cầu quản lý mà trường có thể lưu trữ tiếp hay cất sang chỗ khác. Có 3 phương thức sao lưu dữ liệu: - Sao lưu đầy đủ: Dùng để sao lưu tất cả các thông tin được chọn, không quan tâm đến việc thông tin đó được lưu trữ vào thời điểm nào và các lần sao lưu trước đó. Phương pháp này cho phép sao lưu đầy đủ nhất, nhưng tốn kém về thời gian và phương tiện sao lưu. Hơn nữa, sao lưu đầy đủ chỉ thực hiện được khi ngừng toàn bộ hoạt động của hệ thống - Sao lưu gia tăng: Dùng để sao lưu tất cả các thông tin khi có sự thay đổi hoặc cập nhật so với lần sao lưu gần nhất trước đó. Phương thức này cho phép tiết kiệm tối đa thời gian, đồng thời cho phép thực hiện sao lưu trực tuyến trong khi hệ thống vẫn đang hoạt động. 206 - Sao lưu khác biệt: Dùng để sao lưu tất cả các thông tin khi có sự thay đổi hoặc cập nhật so với lần sao lưu đầy đủ gần nhất trước đó. Phương thức này khá phức tạp và cũng chỉ thực hiện được khi ngừng toàn bộ hoạt động hệ thống. Phương án thiết kế hệ thống lưu trữ/phục hồi cho các loại dữ liệu như sau: Loại dữ liệu Định kỳ sao lưu Hình thức Nơi lưu trữ Ghi chú Cơ sở dữ liệu của chương trình ứng dụng Hàng ngày (sau giờ làm việc, 17h), được định thời làm tự động nhờ tính năng Backup . Đầy đủ Đĩa cứng máy chủ - Trong trường hợp xảy ra sự cố, dữ liệu sẽ được phục hồi đến ngày hôm trước. Dữ liệu phát sinh trong ngày đến khi có sự cố sẽ được gõ lại dựa trên số liệu lưu trên các bản cứng - Quản trị hệ thống xác định thời gian thực hiện Backup. Chương trình nguồn và các tài liệu liên quan đến phiên bản của ứng dụng Khi có sự thay đổi, nâng cấp phiên bản của ứng dụng Đầy đủ Đĩa cứng máy chủ Được thực hiện bởi quản trị hệ thống. Các File văn bản đính kèm Hàng ngày (nếu có phát sinh) Gia tăng Đĩa cứng máy chủ Được thực hiện bởi quản trị hệ thống. Bảng phương án thiết kế hệ thống lưu trữ và phục hồi 4) Thiết kế hệ thống máy chủ a) Yêu cầu thiết kế: - Hệ thống hiện đại Tiêu chí hệ thống hiện đại để đáp ứng các yêu cầu khác có mối quan hệ tương hỗ với nhau như khả năng mở rộng, phù hợp với xu hướng công nghệ thế giới và quan trọng hơn cả là luôn đáp ứng các yêu cầu ngày càng cao của công tác nghiệp vụ. Để đáp ứng các yêu cầu này thì hệ thống sau khi thiết kế, triển khai phải được lựa chọn trên nền tảng các công nghệ tiên tiến hiện nay và có xu hướng tương lai như máy chủ của các hãng lớn (IBM, HP, Sun, Dell...), kiến trúc máy chủ tiên tiến (kiến trúc bộ vi xử lý 64bit, xử lý đa luồng-multithread...), hệ quản trị cơ sở dữ liệu hàng đầu (Oracle, DB2,SQL...), ngôn ngữ lập trình có thế mạnh & xu hướng toàn cầu (Java, Microsoft .Net,...), hệ điều hành có sức mạnh công nghệ chiếm ưu thế (Unix, Linux, Windows-64bit Server...) - Khả năng mở rộng: Hệ thống hạ tầng kỹ thuật phải đảm bảo khả năng dễ nâng cấp và được hãng cung cấp cam kết hỗ trợ khả năng nâng cấp trong một khoảng thời gian tương đối (3- 6 207 năm) Khả năng nâng cấp là một trong những yêu cầu quan trọng đối với sự tăng trưởng của khối lượng dữ liệu và số lượng người sử dụng. Khả năng này nên tập trung chính vào: + Khả năng nâng cấp của các máy chủ cơ sở dữ liệu (database server), máy chủ ứng dụng (application server) và máy chủ web (web server) về dung lượng bộ nhớ RAM, dung lượng lưu trữ dữ liệu (Hard Disks), số lượng bộ vi xử lý (Processor); + Khả năng nâng cấp của các thiết bị lưu trữ dữ liệu sao lưu (backup server,..) tích hợp cao. Các thiết bị sau khi thiết kế và triển khai phải đảm bảo khả năng tích hợp cao để tận dụng thế mạnh công nghệ của toàn hệ thống, tận dụng tài nguyên của hệ thống cũng như nâng cấp công nghệ. Bên cạnh đó các hệ thống phần mềm (hệ điều hành, hệ quản trị cơ sở dữ liệu, phần mềm dùng chung, phần mềm ứng dụng...) cũng phải đảm bảo khả năng này để hoàn thiện ―kho‖ dữ liệu và đầu mối khai thác dữ liệu tập trung, thống nhất. - Tính tiêu chuẩn Để đáp ứng các yêu cầu hệ thống hiện đại, công nghệ tiên tiến, tính mở, khả năng tích hợp cao thì một trong các tiền đề không thể thiếu đó là ―tính tiêu chuẩn‖. Ở đây hệ thống sau khi triển khai phải đáp ứng các yêu cầu cao của tiêu chuẩn quốc tế, tiêu chuẩn Việt Nam và tiêu chuẩn nội bộ riêng. Trong đó các tiêu chuẩn quốc tế mang tính quy chuẩn và chuyên nghiệp nhất thiết phải được đáp ứng. - Bảo hành và bảo trì hệ thống Một trong những nhiệm vụ lâu dài trước khi bắt tay xây dựng và vận hành hệ thống là phải coi trọng công tác bảo hành và bảo trì hệ thống, bao gồm cả hệ thống phần cứng và chương trình phần mềm. Mọi hạng mục được đầu tư phải được đảm bảo bằng cam kết chặt chẽ về bảo hành và bảo trì từ nhà cung cấp và tư vấn dịch vụ. Cam kết bảo hành và bảo trì về phần cứng phải đảm bảo các yếu tố như: thời gian bảo hành, khả năng bảo hành tại chỗ, khả năng thay thế thiết bị sau 1 thời gian ngắn, cam kết bảo hành và bảo trì thiết bị trong khoảng thời gian tương đối (3-6 năm) Cam kết bảo hành và bảo trì các chương trình phần mềm phải đảm bảo các yếu tố như: thời gian bảo hành sau khi nghiệm thu hợp đồng, hình thức bảo hành tại chỗ, hình thức hỗ trợ, kinh phí duy trì trong thời gian bảo hành... b) Thiết kế hệ thống máy chủ Hệ thống máy chủ (Server Farm) được kết nối trực tiếp vào Core Switch thông qua Firewall để đảm bảo tốc độ truy cập cũng như tính năng bảo mật. 208 Server Farm Anti Virus Server FW/IPS DB Cluster SAS Proxy Server Hệ thống máy chủ Các máy chủ làm nhiệm vụ: - Máy chủ Antivirus dùng để quét virus, ngăn chặn sự lây lan virus qua mạng. Máy chủ này được đề xuất sử dụng 01 x Intel® Xeon® E5630 2.53Ghz, 12M Cache, 16GB RAM DDR3 và có khả năng mở rộng lên tới 144GB RAM DDR3,Cho phép quản lý hàng trăm máy trạm trong mạng LAN. Thiết bị lưu trữ HDD 04x300GB 10k hotplug , được cấu hình RAID 5 ( đòi hỏi tối thiểu 03 HDD) và 01 hotspare để đảm bảo cho việc bảo vệ dữ liệu cũng như khả năng truy xuất dữ liệu được nhanh chóng. Sở dĩ chọn 04 HDD 300GB thay vì chọn 04 HDD 146GB vì chi phí cho việc mua 04 x 146GB 10K cũng gần như tương đương với chi phí cho việc mua 04 x 300GB 10K. - Máy chủ Proxy cho phép quản lý việc vào/ra Internet. Cũng tương tự như máy chủ Antivirus về việc lựa chọn 04 HDD x 300GB 10K, processor, RAM DDR3. - Máy chủ cơ sở dữ liệu (CSDL) sử dụng cho việc quản lý và chạy ứng dụng CSDL. Máy chủ này được đề xuất sử dụng 02 x Intel® Xeon® E7540 2.00GHz, 18M cache, 6Core . Dòng chip mới E7500 series cải thiện đáng kể về hiệu năng cũng như khả năng tiết kiệm điện so với dòng chip cũ E7400 series. Vì tính chất riêng đối với máy chủ CSDL là yêu cầu về phần cứng phải mạnh và đặc biệt là yêu cầu về processor và bộ nhớ RAM lớn nên việc sử dụng dòng chip mới E7500 series và công nghệ RAM 32GB RAM DDR3 RDIMM cho phép mở rộng lên 512GB RAM hoàn toàn đáp ứng được yêu cầu về hiệu năng của hệ thống khi chạy CSDL cũng như khả năng nâng cấp mở rộng sau này. Vì CDSL được lưu hoàn toàn trên HDD nên máy chủ CSDL sẽ sử dụng 02 x 146GB 10k hotplug , được cấu hình RAID 1 ( Mirror) và chạy Clustering để đảm bảo cho việc bảo vệ dữ liệu , độ sẵn sàng cao cũng như khả năng truy xuất dữ liệu. - Máy chủ Portal: Để chạy phần mềm cổng thông tin điện tử - Máy chủ DC: Cung cấp khả năng dự phòng và tự động chuyển đổi dự phòng khi hai hoặc nhiều domain controller được triển khai trong một domain. Nó sẽ tự động quản lý sự truyền thông giữa các domain controller để bảo đảm mạng được duy trì. 209 Người dùng có thể truy cập vào tất cả tài nguyên trên mạng thông qua cơ chế đăng nhập một lần. Căn cứ vào chiến lược phát triển của Trường ĐHSPKT Nam Định. Các máy chủ đều được chạy với cấu hình RAID 1 (Redundant Array of Independent Disks) và RAID 5 để đảm bảo an toàn về mặt dữ liệu. 210 TÀI LIỆU THAM KHẢO [1]. Th.s Ngô Bá Hùng, Thiết kế và cài đặt mạng, Đại học Cần Thơ, 2005. [2]. GV Vũ Khánh Quý, Giáo trình mạng doanh nghiệp, Đại học Sư phạm Kỹ thuật Hưng Yên. [3]. Giáo trình Thiết kế và xây dựng mạng LAN-WAN, Đề án 112, 2004. [4]. Nguyễn Hồng Sơn, Giáo trình mạng máy tính CCNA, NXB Lao động xã hội, 2004 [5]. Gilbert Held, Ethernet Networks: Design, Implementation, Operation, Management, 2003. [6]. Internetworking Design Basics, Cisco Press 2003.