Luận văn
Xây dựng hệ thống mạng
LAN cho trường đại học
NHẬN XÉT CỦA CƠ SỞ THỰC TẬP
Họ tên người thực
tập:..................................................................................................Lớp................………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……
Điểm: …………………….
Ngày …… tháng …… năm 2011…
CƠ SỞ THỰC TẬP
(Ký và đóng dấu)
1
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN VÀ KẾT QUẢ BẢO VỆ THỰC
TẬP TỐT NGHIỆP
Sinh viên :..................................................................................................................
Lớp : ..........................................................................................................................
Địa điểm thực tập:......................................................................................................
I. TIẾN ĐỘ VÀ THÁI ĐỘ THỰC TẬP CỦA SINH VIÊN
1. Mức độ liên hệ với giáo viên : ....................................................................................
...............................................................................................................................
2. Thời gian thực tập và quan hệ với cơ sở: ....................................................................
3. Tiến độ thực hiện : .....................................................................................................
II. NỘI DUNG BÁO CÁO
1. Thực hiện các nội dung thực tập:................................................................................
2. Thu thập và xử lý số liệu thực tế:................................................................................
3. ................................................................................................................ K
hả năng hiểu biết thực tế và lý thuyết:..................................................................
III. HÌNH THỨC TRÌNH BÀY: ....................................................................................
IV. MỘT SỐ Ý KIẾN KHÁC: ......................................................................................
V. Ý KIẾN CỦA GIÁO VIÊN HƯỚNG DẪN
(Đồng ý hay không đồng ý cho bảo vệ): .........................................................................
ĐIỂM:...............................
Ngày ….tháng … năm 200…
(Ký và ghi rõ họ tên)
VI. KẾT QUẢ BẢO VỆ:................................. ĐIỂM.......... .
(Ký và ghi rõ họ tên)
2
Lời nói đầu
Trong cơng cuộc đổi mới khơng ngừng của khoa học công nghệ, nhiều lĩnh vực
đã và đang phát triển vượt bậc, đặc biệt là lĩnh vực công nghệ thông tin. Thành
công lớn nhất là sự ra đời của máy tính, kể từ đó máy tính được coi là một
phương tiện trợ giúp đắc lực cho con người trong mọi lĩnh vực. Nhưng tất cả các
máy tính đều đơn lẻ và khơng thể chia sẻ thơng tin cho nhau.
Chính vì vậy cơng nghệ thơng tin - đặc biệt là Internet, bắt đầu được sử
dụng ở Hoa Kỳ vào năm 1995 (Wiles và Bondi, 2002) và sau đó bắt đầu được
phổ biến rộng rãi trên toàn thế giới. Ngày nay, thật khó có thể hình dung được
cơng nghệ thơng tin đã phát triển nhanh đến thế nào? Có thể nói ngành công nghệ
thông tin là ngành phát triển nhanh nhất trong tất cả các ngành và nó được ứng
dụng trong mọi lĩnh vực. Để có được như vậy thì cần phải có một mạng máy tính
để chia sẻ dữ liệu và dùng chung dữ liệu. Mang máy tính được các tổ chức sử
dụng để chia sẻ thông tin, dùng chung tài nguyên và cho phép giao tiếp trực tuyến
trên mạng như: mail, thư điện tử...
Cùng với sự phát triển đó, làm thúc đẩy các ngành kinh tế khác cũng phát
triển theo. Trong đó có ngành Giáo Dục cũng đang triển khai, áp dụng công nghệ
thông tin vào trong công việc quản lý, giảng dậy, điều hành. Tất cả mọi hoạt động
giải trí, kinh doanh, mua bán… đều nhanh chóng, tiện lợi, hiệu quả cao.
Nhận thấy được những lợi ích mà cơng nghệ thơng tin mang lại cho chúng
ta, thì nhóm chúng em với mong muốn nghiên cứu và tìm hiểu về lắp đặt cơ sở hạ
tầng mạng và cấu hình cho các thiết bị có thể hoạt động được trong mạng. “Xây
dựng hệ thống mạng LAN cho trường đại học” chính là đề tài đang được nghiên
cứu và tìm hiểu.
Trong thời gian tìm hiểu và nghiêm cứu, do thời gian hạn chế và tìm hiểu
chưa đươc kỹ càng nên sẽ khơng tránh khỏi các thiếu sót.
3
Chương 1 : Tổng quan hệ thống CNTT trong các trường
ĐH
I. Vai trị của CNTT trong các trường ĐH
Cơng nghệ thơng tin có một vai trị hết sức to lớn vào trong ngành giáo
dục.Nó giúp cho sự chao đổi thơng tin giữa các trường Đại học nhanh hơn rất
nhiều so với trước kia, giúp cho việc giảng dạy của các giáo viên được thuận lợi
hơn, sinh viên có thể tìm đọc tài liệu một cách hết sức dễ dàng…
Các trường ĐH nằm cách xa nhau về mặt địa lý và khó có khả năng cho
sinh viên có thể chuyển đổi nơi học và thực tập, và do đó, mỗi trường ĐH có con
đường và lãnh địa riêng của mình. Hiện nay, tình hình đã khơng cịn như vậy nữa.
Với cơng nghệ thông tin, trái đất chúng ta đã trở nên nhỏ bé và gần gũi hơn.
Phần lớn các trường ĐH Việt Nam hiện nay đang vận hành một cách riêng
rẽ và ít có sự cạnh tranh do đặc thù là các trường vốn có truyền thống lâu đời là
các trường đơn ngành. Hiện nay, với sự xuất hiện của các trường mới, đặc biệt là
các trường quốc gia và trường vùng đa ngành, các trường dân lập, tình hình có
khác hơn. Tuy nhiên, theo khảo sát của chúng tôi khi tham gia tư vấn tự đánh giá
cho 20 trường ĐH đầu tiên của Việt Nam, việc sử dụng công nghiện thơng tin
vào xây dựng chương trình học cũng như giảng dạy của các trường còn rất nhiều
hạn chế mà lý do chủ yếu là chưa có các chính sách hiệu quả và chưa có sự đồng
tâm từ phía các giảng viên.
Thử đặt ra câu hỏi: IT có thể cải tiến được chất lượng của giáo dục đại học
không? Tất nhiên, IT khơng thể một mình có thể làm nên tất cả chất lượng, tuy
nhiên, quan trọng nhất là những lựa chọn mà chúng ta phải có để ứng dụng IT
vào nhằm nâng cao chất lượng GD ĐH.
Các công dụng của Internet
Có thể liệt kê một số cơng dụng của Internet trong giảng dạy và học tập đại học
như sau:
1. Giảng viên có thể giao tiếp với tất cả các đối tượng: đồng nghiệp, sinh viên,
cấp trên và các đối tượng với nhau bằng email;
2. Việc giảng dạy khơng những có thể diễn ra trên lớp mà có thể diễn ra ở bất
cứ lúc nào và bất cứ ở đâu;
3. Việc học của sinh viên có thể được cá nhân hóa với sự giúp đỡ của giảng
viên bằng cách trao đổi trực tiếp với giảng viên mà không ngại bị đánh giá;
4
II. Thực tế triển khai hạ tầng mạng trong các đơn vị giáo dục
Hiện nay trong các trường đại học thì việc triển khai hạ tầng mạng cịn
nhiều thiếu sót và các mơ hình chưa được chuẩn về một số mặt như:
3. Chưa có tường lửa bảo vệ cơ sở dữ liệu cũng như bảo mật
4. Phân vùng chức năng hệ thống chưa đúng mục đích
5. Cơ sở hạ tầng mạng chưa chuẩn
i.
Mơ hình hệ thống thiếu sót
ii.
Phân hoạch địa chỉ chưa chuẩn
iii.
Chính sách truy cập mạng cho hệ thống chưa đúng theo chức năng
III. Yêu cầu phải quy hoạch lại hệ thống mạng trong các trường ĐH
Để quy hoạch lại hệ thống mạng, ta quy hoạch lại hệ thống mạng theo
chuẩn của Cisco.
1. Xây dựng theo mơ hình mạng chuẩn 3 lớp: Accsess switch, distribution, core
switch
2. Dùng tường lửa (Fire wall) để bảo vệ dữ liệu và ngăn chặn sự truy cập trái
phép từ bên ngoài vào mạng nội bộ.
3.
Phân vùng mạng hợp lý và chuẩn theo mơ hình
4.
Hạ tầng mạng gồm:
Mơ hình
Phân hoạch địa chỉ
Chính sách truy cập của từng vùng
5
Chương 2: Phân tích hệ thống mạng trong trường ĐH
2.1. Phân tích yêu cầu hệ thống mạng tại một đơn vị đại học
2.1.1 Phân vùng truy cập với các chính sách là:
i . Vùng DMZ chứa các máy chủ web, Email, các ứng dụng: Các máy chủ của
vùng DMZ này có thể public qua các mạng khác, Inside. Các máy chủ của DMZ
và sever Inside có thể móc nối dữ liệu với nhau.
ii. Vùng Inside (máy chủ dữ liệu và các VLAN access): Các PC từ các VLAN
có thể truy cập đến các máy chủ tại vùng DMZ và Inside và các PC từ các VLAN
có thể truy cập internet qua đường leasedline.
iii. Vùng outside: Các mạng từ bên ngoài mạng internet chỉ có thể truycập đến
các sever thuộc vùng DMZ mà không thể truy cập đến các vùng nào khác.
2.1.2 Các lớp truy cập người dùng
i. Lớp truy cập của cán bộ, giáo viên: Các PC của các VLAN cùng phịng này
có thể thơng với nhau và có thể truy cập internet, các máy chủ của vùng DMZ
nhưng các PC ở các VLAN này không thể truy cập đến các VLAN khác cũng như
các máy chủ dữ liệu của sever Inside.
ii. Lớp truy cập dành cho sinh viên: Chỉ được phép truy cập đến các máy chủ
của vùng DMZ cũng như được phép truy cập Internet, nhưng không thể truy cập
đến các VLAN khác
iii. Lớp truy cập của người quản trị: Đối với những người quản trị mạng thì
được phép truy cập đến tất cả các vùng mà không bị hạn chế.
iiii. Lớp đào tạo: Được phép truy cập đến các máy chủ đào tạo cũng như máy
chủ dữ liệu vùng sever Inside.
6
2.2. Yêu cầu phải quy hoạch lại hệ thống mạng trong các trường ĐH
Với những ưu điểm của Cisco, ta sẽ xây dựng một hệ thống mạng mới cho
trường đại học để có thể thay thế tốt nhất cho một hệ thống cũ, đã lỗi thời:
Mở rộng băng thông giúp giao thông trong mạng giảm thiểu tắc nghẽn do
cùng một lúc có nhiều người truy cập.
Tính bảo mật cao, giúp mạng nội bộ có thể tránh được sự truy cập trái phép
từ bên ngồi. Kiểm sốt được luồng thơng tin giữa mạng nội bộ và mạng Internet,
kiểm soát và cấm địa chỉ truy cập.
Khả năng kết nối Internet nhanh chóng,
Tiết kiệm năng lượng trên cơ sở hạ tầng mạng
Chương 3: Thiết kế hệ thống mạng trong trường ĐH
3.1. Giới thiệu tổng quan về cấu trúc mạng:
3.1.1 Tổng quan về hệ thống mạng (Các mơ hình mạng LAN, WAN, phân chia
IP)
Mạng LAN Campus theo kiến trúc phân tầng:
7
Mạng LAN được thiết kế tn theo mơ hình 3 lớp của mạng LAN campus do
Cisco Systems đưa ra. Mô hình này hiện nay cũng được rất nhiều hang sản xuất
áp dụng phổ biến vì những lợi ích mà nó mang lại. Theo Cisco, mạng LAN
campus có thể được phân thành 3 lớp cơ bản như sau:
lớp Lõi (core layer),
lớp Phân Phối (Distribution Layer)
lớp Truy Cập (Access Layer).
Tuy nhiên, tùy theo quy mơ của mạng LAN mà có thể có hay khơng có lớp
Lõi. Dưới đây chúng tơi sẽ trình bày sơ lược về cả ba lớp của mơ hình LAN
Campus của Cisco.
3.1.1.1 Lớp Lõi (Core Layer)
Lớp lõi là lớp trung tâm của mạng LAN campus, nằm trên cùng của mơ hình 3
lớp. Lớp lõi chịu trách nhiệm vận chuyển khối lượng lớn dữ liệu mà phải đảm bảo
được độ tin cậy và nhanh chóng. Mục đích duy nhất của lớp lõi là phải chuyển
mạch dữ liệu càng nhanh càng tốt. Tuy phần lớn dữ liệu của người dùng được vận
chuyển qua lớp Lõi nhưng việc xử lý dữ liệu nếu có lại là trách nhiệm của lớp
Phân Phối.
8
Nếu có một sự hư hỏng xảy ra ở lớp Lõi, hầu hết các người dùng trong mạng
LAN đều bị ảnh hưởng. Vì vậy, sự dự phịng là rất cần thiết lại lớp này. Do lớp
lõi vận chuyển một số lượng lớn dữ liệu, nên độ trễ tại lớp này phải là cực nhỏ.
Tại lớp lõi, ta không nên làm bất cứ một điều gì có thể ảnh hưởng đến tốc độ
chuyển mạch tại lớp lõi như là tạo các access list, routing giữa các VLAN với
nhau hay packet filtering.
Việc thiết kế lớp Lõi phải thỏa mãn một số nguyên tắc sau:
1. Có độ tin cậy cao, thiết kế dự phòng đầy đủ như dự phòng nguồn, dự phòng
card xử lý, dự phòng node, ...
2. Tốc độ chuyển mạch cực cao, độ trễ phải cực bé.
3. Nếu có chọn các giao thức định tuyến thì phải chọn loại giao thức nào có
thời gian thiết lập (convergence) thấp nhất, có bảng định tuyến đơn giản nhất.
3.1.1.2 Lớp Phân Phối (Distribution Layer)
Lớp Phân Phối cung cấp kết nối giữa lớp Truy Cập và lớp Lõi của mạng campus.
Chức năng chính của lớp Phân Phối là xử lý dữ liệu như là: định tuyến (routing),
lọc gói (filtering), truy cập mạng WAN, tạo access list,... Lớp Phân Phối phải xác
định cho được con đường nhanh nhất mà các yêu cầu của user được đáp ứng. Sau
khi xác định được con đường nhanh nhất, nó gởi các yêu cầu đến lớp Lõi. Lớp
Lõi chịu trách nhiệm chuyển mạch các yêu cầu đến đúng dịch vụ cần thiết.
Lớp Phân Phối là nơi thực hiện các chính sách (policies) cho mạng. Có một
số điều nên thực hiện khi thiết kế lớp Phân Phối:
Thực hiện các access list, packet filtering, và queueing tại lớp này
Thực hiện bảo mật và các chính sách mạng bao gồm address translation
(như NAT, PAT) và firewall.
Redistribution (phối hợp lẫn nhau) giữa các giao thức định tuyến, bao gồm
cả định tuyến tĩnh.
Định tuyến giữa các VLAN với nhau.
3.1.1.3Lớp Truy Cập (Access Layer)
9
Lớp truy cập chủ yếu được thiết kế cung cấp các cổng kết nối đến từng máy trạm
trên cùng một mạng, nên thỉnh thoảng nó cịn được gọi là Desktop Layer. Bất cứ
các dữ liệu nào của các dịch vụ từ xa (ở các VLAN khác, ở ngoài vào) đều được
xử lý ở lớp Phân Phối. Lớp Truy Cập phải có các chức năng sau:
Tiếp tục thực hiện các access control và policy từ lớp Phân Phối.
Tạo ra các collision domain riêng biệt nhờ dùng các switch chứ không dùng
hub/bridge.
Lớp truy cập phải chọn các bộ chuyển mạch có mật độ cổng cao đồng thời
phải có giá thành thấp, kết nối đến các máy trạm hoặc kết nối tốc độ Gigabit
(1000 Mbps) đến thiết bị chuyển mạch ở lớp phân phối.
Như đã nói ở trên, tùy theo quy mơ của mạng mà ta có thể thực hiện đầy đủ
luôn cả 3 lớp hoặc chỉ thực hiện mơ hình kết hợp 2 lớp.
Đối với hệ thống mạng LAN Campus của Cụm cảng quy mô và số lượng
người sử dụng cuối khá nhỏ nên sẽ áp dụng mơ hình 2 lớp gồm có lớp Phân Phối
và lớp Access. Lớp Phân Phối chính là thiết bị chuyển mạch trung tâm đặt tại
Trung tâm hệ thống mạng, lớp Access là các thiết bị chuyển mạch lớp 2 đặt tại
các chi nhánh nằm dải rác quanh đó.
3.2. Mơ hình 7 tầng OSI, giao thức TCP/IP
3.2.1. Các chuẩn của mạng và mơ hình OSI
a. Định nghĩa
Mơ hình OSI (Open Systems Interconnection Reference Model, viết ngắn là OSI
Model hoặc OSI Reference Model)- tạm dịch là Mơ hình tham chiếu kết nối các
10
hệ thống mở - là một thiết kế dựa vào nguyên lý tầng cấp, lý giải một cách trừu
tượng kỹ thuật kết nối truyền thơng giữa các máy vi tính và thiết kế giao thức
mạng giữa chúng. Mơ hình này được phát triển thành một phần trong kế hoạch
Kết nối các hệ thống mở (Open Systems Interconnection) do ISO và IUT-T khởi
xướng. Nó cịn được gọi là Mơ hình bảy tầng của OSI
b. Mục đích
Mơ hình OSI phân chia chức năng của một giao thức ra thành một chuỗi các tầng
cấp. Mỗi một tầng cấp có một đặc tính là nó chỉ sử dụng chức năng của tầng dưới
nó, đồng thời chỉ cho phép tầng trên sử dụng các chức năng của mình.
Thơng thường thì chỉ có những tầng thấp hơn là được cài đặt trong phần cứng,
còn những tầng khác được cài đặt trong phần mềm.
Tính năng chính của nó là quy định về giao diện giữa các tầng cấp, tức qui định
đặc tả về phương pháp các tầng liên lạc với nhau. Điều này có nghĩa là cho dù các
tầng cấp được soạn thảo và thiết kế bởi các nhà sản xuất, hoặc công ty, khác nhau
nhưng khi được lắp ráp lại, chúng sẽ làm việc một cách dung hòa (với giả thiết là
các đặc tả được thấu đáo một cách đúng đắn
Việc phân chia hợp lí các chức năng của giao thức khiến việc suy xét về chức
năng và hoạt động của các chồng giao thức dễ dàng hơn, từ đó tạo điều kiện cho
việc thiết kế các chồng giao thức tỉ mỉ, chi tiết, song có độ tin cậy cao. Mỗi tầng
cấp thi hành và cung cấp các dịch vụ cho tầng ngay trên nó, đồng thời địi hỏi
dịch vụ của tầng ngay dưới nó.
Như đã nói ở trên, một thực thi bao gồm nhiều tầng cấp trong mơ hình OSI,
thường được gọi là một "chồng giao thức" (ví dụ như chồng giao thức TCP/IP)
11
3.2.2 Các tầng của OSI
3.2.2.1 Lớp Application
Lớp trên cùng trong mơ hình OSI là lớp Application. Thứ đầu tiên mà bạn
cần hiểu về lớp này là nó khơng ám chỉ đến các ứng dụng mà người dùng đang
chạy mà thay vào đó nó chỉ cung cấp nền tảng làm việc (framework) mà ứng
dụng đó chạy bên trên.
Để hiểu lớp ứng dụng này thực hiện những gì, chúng ta hãy giả dụ rằng một
người dùng nào đó muốn sử dụng Internet Explorer để mở một FTP session và
truyền tải một file. Trong trường hợp cụ thể này, lớp ứng dụng sẽ định nghĩa
một giao thức truyền tải. Giao thức này không thể truy cập trực tiếp đến người
dùng cuối mà người dùng cuối này vẫn phải sử dụng ứng dụng được thiết kế để
tương tác với giao thức truyền tải file. Trong trường hợp này, Internet Explorer
sẽ làm ứng dụng đó.
3.2.2.2 Lớp Presentation
Lớp Presentation thực hiện một số công việc phức tạp hơn, tuy nhiên mọi
thứ mà lớp này thực hiện có thể được tóm gọn lại trong một câu. Lớp này lấy dữ
liệu đã được cung cấp bởi lớp ứng dụng, biến đổi chúng thành một định dạng
chuẩn để lớp khác có thể hiểu được định dạng này. Tương tự như vậy lớp này
cũng biến đổi dữ liệu mà nó nhận được từ lớp session (lớp dưới) thành dữ liệu
mà lớp Application có thể hiểu được. Lý do lớp này cần thiết đến vậy là vì các
ứng dụng khác nhau có dữ liệu khác nhau. Để việc truyền thơng mạng được
thực hiện đúng cách thì dữ liệu cần phải được cấu trúc theo một chuẩn nào đó.
3.2.2.3 Lớp Session
Khi dữ liệu đã được biến đổi thành định dạng chuẩn, máy gửi đi sẽ thiết lập
một phiên – session với máy nhận. Đây chính là lớp sẽ đồng bộ hố q trình
liên lạc của hai máy và quản lý việc trao đổi dữ liệu. Lớp phiên này chịu trách
nhiệm cho việc thiết lập, bảo trì và kết thúc session với máy từ xa.
Một điểm thú vị về lớp session là nó có liên quan gần với lớp Application
hơn với lớp Physical. Có thể một số người nghĩ răng việc kết nối session mạng
như một chức năng phần cứng, nhưng trong thực tế session lại được thiết lập
giữa các ứng dụng. Nếu người dùng đang chạy nhiều ứng dụng thì một số ứng
dụng này có thể đã thiết lập session với các tài nguyên ở xa tại bất kỳ thời điểm
nào.
3.2.2.4 Lớp Transport
12
Lớp Transport chịu trách nhiệm cho việc duy trì vấn đề điều khiển luồng.
Hệ điều hành Windows cho phép người dùng có thể chạy nhiều ứng dụng một
cách đồng thời, chính vì vậy mà nhiều ứng dụng, và bản thân hệ điều hành cần
phải truyền thông trên mạng đồng thời. Lớp Transport lấy dữ liệu từ mỗi ứng
dụng và tích hợp tất cả dữ liệu đó vào trong một luồng. Lớp này cũng chịu trách
nhiệm cho việc cung cấp vấn đề kiểm tra lỗi và thực hiện khôi phục dữ liệu khi
cần thiết. Bản chất mà nói, lớp Transport chịu trách nhiệm cho việc bảo đảm tất
cả dữ liệu từ máy gửi đến máy nhận.
3.2.2.5 Lớp Network
Lớp mạng Network là lớp có trách nhiệm quyết định xem dữ liệu sẽ đến
máy nhận như thế nào. Lớp này nắm những thành phần như việc định địa chỉ,
định tuyến, và các giao thức logic. Bên cạnh đó lớp mạng cũng chịu trách nhiệm
cho việc quản lý lỗi của chính nó, cho việc điều khiển xếp chuỗi và điều khiển
tắc nghẽn.
Việc sắp xếp các gói là rất cần thiết bởi mỗi một giao thức giới hạn kích
thước tối đa của một gói. Số lượng dữ liệu phải được truyền đi thường vượt quá
kích thước gói lớn nhất. Chính vì vậy mà dữ liệu được chia nhỏ thành nhiều gói
nhỏ. Khi điều này xảy ra, lớp mạng sẽ gán vào mỗi gói nhỏ này một số thứ tự
nhận dạng.
Khi dữ liệu này đến được máy tính người nhận thì lớp mạng lại kiểm tra số
thứ nhận dạng của các gói và sử dụng chúng để sắp xếp dữ liệu đúng như những
gì mà chúng được chia lúc trước từ phía người gửi, bên cạnh đó cịn có nhiệm
vụ chỉ ra gói nào bị thiếu trong quá trình gửi.
3.2.2.6 Lớp Data Link
Lớp liên kết dữ liệu Data Link có thể được chia nhỏ thành hai lớp khác;
Media Access Control (MAC) và Logical Link Control (LLC). MAC về cơ bản
thiết lập sự nhận dạng của môi trường trên mạng thơng qua địa chỉ MAC của
nó. Địa chỉ MAC là địa chỉ được gán cho adapter mạng ở mức phần cứng. Đây
là địa chỉ được sử dụng cuối cùng khi gửi và nhận các gói. Lớp LLC điều khiển
sự đồng bộ khung và cung cấp một mức kiểm tra lỗi.
3.2.2.7 Lớp Vật Lý
Lớp vật lý của mô hình OSI ám chỉ đến các chi tiết kỹ thuật của phần
cứng. Lớp vật lý định nghĩa các đặc điểm như định thời và điện áp. Lớp này
cũng định nghĩa các chi tiết kỹ thuật phần cứng được sử dụng bởi các adapter
mạng và bởi cáp mạng (thừa nhận rằng kết nối là kết nối dây). Để đơn giản hóa,
lớp vật lý định nghĩa những gì để nó có thể truyền phát và nhận dữ liệu.
13
Làm việc hai chiều
Cho đến lúc này, chúng ta đã thảo luận về mơ hình OSI dưới dạng một ứng
dụng cần truyền tải dữ liệu trên mạng. Mơ hình này cũng được sử dụng khi một
máy tính nào đó nhận dữ liệu. Khi dữ liệu được nhận, dữ liệu đó đi ngược trở
lên từ lớp vật lý. Các lớp còn lại làm việc để tách bỏ những gì đã được đóng gói
bên phía gửi và biến đổi dữ liệu về định dạng mà lớp ứng dụng có thể sử dụng
được.
3.2. Giới thiệu công nghệ mạng Cisco
Các doanh nghiệp lớn sẽ cần đến một cơ sở hạ tầng mạng có khả năng đáp ứng
nhu cầu đa dạng của công ty. Cisco đưa ra khuynh hướng về một hệ thống tồn
cầu, tích hợp hướng đến xây dựng mạng lưới thơng minh có thể giúp đổi mới
doanh nghiệp của bạn cũng như đạt được hiệu quả hoạt động và lợi nhuận cao
hơn.
Một hệ thống mạng đơn giản dựa trên giao thức TCP/IP sử dụng classful
32-bit IP address và distance vector. Nhưng công nghệ thì liên tục thay đổi và
phát triển yêu cầu hệ thống mạng cần phải có sự thay đổi, thiết kế lại, hay xây
dựng một mơ hình mạng mới, việc tạo ra một hệ thống mạng với tính tuỳ biến cao
là cần thiết.
Mở rộng là khả năng của hệ thống mạng đáp ứng yêu cầu ngày càng phát triển
với trọng tâm là thiết kế lại và cài đặt lại hệ thống. Nhưng việc phát triển của hệ
thống mạng thì rất nhanh nhưng thiết kế lại hệ thống là một điều không hề đơn
giản. Đáp ứng yêu cầu giá cả, và sự đơn giản trong quá trình quản trị và bảo
14
dưỡng hệ thống mạng. Ngoài ra hệ thống mạng cần phải thiết lập sự ưu tiên cho
những ứng dụng khác nhau.
Khi thiết kế hệ thống đáp ứng các yêu cầu phát triển trong tương lai ta cần phải
hiểu được cấu trúc vật lý và các giao thức mạng để thiết kế triển khai một cách
hợp lý và tối ưu nhất.
3.2.1 Thiết kế mơ hình mạng ba lớp:
Với một hệ thống mạng được thiết kế có cấu trúc phân lớp nhằm tránh sự phức tạp hoá
trong mạng, việc chia ra các lớp nhỏ giúp chúng ta nhóm những thiết bị, các giao thức
kết nối, và tính năng cụ thể cho từng lớp một, giải quyết các sự cố một cách nhanh nhất
liên quan trực tiếp tới một lớp nào đó. Tối ưu hố hệ thống mạng.
Cisco giới thiệu mơ hình mạng ba lớp bao gồm:
Core layer
Distribution layer
Access layer
15
Khái niệm mơ hình mạng ba lớp dựa trên vai trị của từng lớp đó trong hệ thống
mạng, nó cũng tương tự như khái niệm mơ hình mạng OSI chia ra dựa trên vai trò
của từng lớp trong việc truyền dữ liệu.
Sử dụng mơ hình mạng với cấu trúc phân lớp mang lại sự thuận tiện trong thiết
kế, cụ thể trong triển khai, dễ dàng để quản lý và giải quyết sự cố. Và cũng đáp
ứng được yêu cầu về tính mềm dẻo cho hệ thống mạng.
Nhưng trong cùng một thời điểm rất khó có thể tách biệt hồn tồn thiết bị này
thiết làm việc tại lớp nào. Nhưng mỗi lớp trong hệ thống mạng cũng có thể sẽ bao
gồm các thiết bị như: Router, Switch, Link, giải pháp tích hợp
Một vài hệ thống mạng có kết hợp các thành phần của hai lớp vào làm một để đáp
ứng các yêu cầu riêng. Dưới đây là vai trò của từng tầng trong mơ hình mạng:
3.2.1.1
Core Layer
Lớp Core Layer cung cấp tối ưu hố và độ tin cậy trong q trình truyền tin với
tốc độ rất cao (high speeds). Nhưng không phải lớp Core Layer đáp ứng tồn bộ
q trình truyền thơng tin trên mạng, nhưng đó có thể được coi như đường đại lộ
liên kết các đường nhỏ với nhau, đôi khi các giao tiếp chỉ thực hiện ở một lớp duy
nhất mà thôi. Lớp Core Layer đáp ứng các vai trị sau:
-
Kiểm tra Access-list
Mã hố dữ liệu
Address translation
Các thiết bị hoạt động trong lớp Core Layer bao gồm các dòng: 12000, 7500,
7200, and 7000 series routers
Core Layer (tầng lõi): đây là các thiết bị rất quan trọng, có tốc độ xử lý cao,
thường đảm nhiệm việc quản lý tập trung. Ở tầng này hầu như khơng có bất kỳ
16
một sự ràng buộc nào về các Rules của Firewall hoặc VLAN, chỉ đơn giản là
Forward dữ liệu đi mà thơi. Tầng Core này là mắc tiền nhất vì có nhiều tính năng
với các Card mở rộng và Module...
3.2.1.2
Distribution Layer
Distribution Layer làm việc ở giữa Core Layer và Access Layer, với vai trò đáp
ứng một số giao tiếp giúp giảm tải cho lớp Core Layer trong q trình truyền
thơng tin trong mạng. Với tác dụng của lớp này cung cấp danh giới cho việc sử
dụng access lists và các tính năng lọc khác để khi cần thiết sẽ gửi lên lớp core
layer. Tuy nhiên lớp này cũng là lớp định nghĩa các chính sách cho mạng. Một
chính sách có thể áp dụng các dạng cụ thể sau:
-
Routing updates
Route summaries
VLAN
Address aggregation
Sử dụng các chính sách để bảo mật mạng và chống các giao dịch không cần thiết.
Nếu một hệ thống mạng bao gồm hai hoặc nhiều routing protocol, như Routing
Information Protocol (RIP) và Interior Gateway Routing Protocol (IGRP), toàn
bộ các vấn đề trên làm việc tại lớp distribution.
Các thiết bị hoạt động tại lớp Distribution layer: 4500, 4000, and 3600 series
routers
Distribution Layer (tầng phân phối): bao gồm các thiết bị như ROUTER,
SWITCH LAYER 3, MULTI-SWITCH, FIREWALL .... ở tầng này, các thiết bị
làm nhiệm vụ đưa lượng thông tin tới nơi cần thiết (tức là phân phối í mà). Tuy
nhiên, các thiết bị như Switch layer 3 hoặc Multi-layer có tốc độ xử lý nhanh hơn
Router và Firewall; thiết bị tầng này tiếp nhận các luồng dữ liệu từ Access Layer
tới và chuyển ra tầng cao hơn hoặc ra ngoài.
3.2.1.3
Access Layer
Mang đến sự kết nối của người dùng với các tài nguyên trên mạng hoặc các
giao tiếp với lớp Distribution. Access layer sử dụng Access lists để chống lại
những kẻ xâm nhập bất hợp pháp, trong lớp Access layer cũng mang đến các kết
nối như WAN, Frame Relay, ISDN, hay Leased lines.
Các thiết bị hoạt động tại lớp Access Layer: 2600, 2500, 1700, and 1600 series
routers
17
Về việc thiết kế mạng, Cisco đưa ra một mô hình phân tầng rõ ràng, phân chia
theo nhu cầu sử dụng và tính năng của sản phẩm và nhanh chóng được mọi người
+ các hãng khác chấp nhận. Mơ hình mà Cisco đưa ra bao gồm: Core Layer,
Distribution Layer, Access Layer.
Access Layer (tầng truy cập): các thiềt bị bao gồm HUB, SWITCH thơng
thường, SWITCH có VLAN... nói chung là các thiết bị từ Layer 2 của mơ hình
OSI trở xuống. Các thiết bị này nói chung là tương đối rẻ hơn các thiết bị ở các
Layer khác. Đây là vị trí kết nối với hầu hết các thiết bị của End-user.
Điểm cần chú ý ở tầng này thường thì các Multi-layer Switch hoặc Switch
Layer 3 sẽ được nối với Server Farm để tăng tốc và các thiết bị này có khả năng
xử lý dữ liệu rất cao.
Tăng cường cơ sở hạ tầng mạng
Các IP to lớn phát triển giao thông được thúc đẩy bởi phương tiện truyền
thông mới ứng dụng và nhu cầu khách hàng tương tác nhiều hơn, cá nhân, di
động và video. .Cơ sở hạ tầng mạng của Cisco cung cấp giải pháp cho phép bạn
cá nhân hoá, dịch vụ thế hệ kế tiếp và phương tiện truyền thông kinh nghiệm ở
bất cứ đâu, bất cứ lúc nào.
Băng thông rộng
Cisco giải pháp băng thông rộng giúp cung cấp và nhanh chóng mở rộng tiếng nói
bảo mật cao và khả năng mở rộng, video, và các dịch vụ dữ liệu.
Cơ sở hạ tầng cáp: IP NGN của Cisco Cáp giải pháp giúp cải thiện hiệu quả,
thống nhất và MPEG video IP cơ sở hạ tầng, và tăng cường "triple-play" các dịch
vụ.
Carrier Ethernet: IP NGN của Cisco Carrier Ethernet thiết kế tạo điều kiện "bất
kỳ play-" dịch vụ có thể cung cấp bất cứ nơi nào, với bất kỳ thiết bị.
Carrier-Grade IPv6 Giải pháp: Cung cấp về tương lai của Internet. Bảo quản,
chuẩn bị và phát triển thịnh vượng với CGv6. Core Networks Cisco IP / MPLS
định tuyến lõi giải pháp cung cấp dịch vụ linh hoạt và khả năng mở rộng cho các
thế hệ kinh doanh và dịch vụ tiêu dùng.
18
Edge Networks: Cisco cung cấp một danh mục đầu tư tồn diện về các giải pháp
mạng cạnh đó cung cấp dịch vụ tối ưu hóa video và điện thoại di động.
IPTV và truyền hình Telco
Sử dụng sức mạnh của Cisco giải pháp IPTV để cung cấp phương tiện truyền
thông cá nhân, xã hội, và kinh nghiệm tương tác.
Quản lý mạng cho các nhà cung cấp dịch vụ
Công cụ quản lý mạng Cisco đẩy nhanh và đơn giản hóa việc triển khai hạ
tầng mạng và cung cấp khả năng hiển thị thời gian thực vào mạng
Mạng quang
Cisco cung cấp một giải pháp quang học, linh hoạt cao năng lực nền tảng để
thúc đẩy thế hệ tiếp theo nhà cung cấp dịch vụ Ethernet.
Cơ sở hạ tầng an tồn: Cisco tính năng bảo mật và các dịch vụ cho cơ sở hạ
tầng mạng giúp đảm bảo mạng lưới liên tục và sẵn sàng phục vụ.
Cisco IPTV
Giải pháp IPTV của Cisco cung cấp một cơ sở hạ tầng giao phương tiện truyền
thông phong phú kéo dài từ headend cách tất cả các đến nhà khách hàng.
Carrier-Grade IPv6 Giải pháp: Cung cấp về tương lai của Internet. Preserve,
prepare and prosper with CGv6. Bảo quản, chuẩn bị và phát triển thịnh vượng với
CGv6.
Cisco Secure cao cơ sở hạ tầng: Cisco tính năng bảo mật và các dịch vụ cho cơ
sở hạ tầng mạng giúp đảm bảo mạng lưới liên tục và sẵn sàng phục vụ.
Cisco mạng quang: Cisco cung cấp một giải pháp quang học, linh hoạt cao năng
lực nền tảng cho tăng tốc cung cấp dịch vụ thế hệ tiếp theo.
Cisco Carrier Ethernet: IP NGN của Cisco Carrier Ethernet thiết kế tạo điều
kiện "bất kỳ play-" dịch vụ mà bạn có thể cung cấp bất cứ nơi nào, với bất kỳ
thiết bị. Cisco IP / MPLS định tuyến lõi giải pháp cung cấp dịch vụ linh hoạt và
khả năng mở rộng cho các thế hệ kinh doanh và dịch vụ tiêu dùng.
3.3. Giới thiệu các thiết bị trong hệ thống
3.3.1. Giới thiệu Core switch 4506
19
Ưu điểm Core switch 4506
+ Hiệu suất làm việc cao.
+Tính bảo mật cao.
+ Có nhiều kinh nghiệm khi sử dụng an tồn thơng qua chuyển mạch.
+ Tiết kiệm năng lượng trên cơ sở hạ tầng mạng của bạn.
+ Có khả năng phục hồi, ảo hóa, tự động hóa,tiếp tục nâng cao dễ dàng sử dụng
mạng.
+ Khả năng mở rộng, chi phí cho các dịch vụ giảm,quyền sở hữu.
+ Cung cấp các dự báo và khả năng mở rộng với hiệu suất cao, chất lượng động
tiên tiến.
+ Với sự linh hoạt của cấu hình cho phép việc triển khai mạng khơng biên dễ
dàng.
+ Tích hợp khả năng phục hồi các tính năng trong cả phần cứng và phần mềm tối
đa hóa khả dụng của mạng, giúp đảm bảo năng suất lao động, lợi nhuận, và thành
công của khách hàng.
+ Tập trung, sáng tạo, linh hoạt cho việc thiết kế hệ thống của nó, giúp đảm bảo
độ di chuyển với tốc độ dây IPv6 và 10 Gigabit Ethernet (GE).
+ Khi được triển khai thì tuổi thọ kéo dài, cung cấp các khả năng bảo vệ đặc biệt
cho các tổ chức thuộc mọi quy mơ, chi phí giảm, khắc phục những nhược điểm
của Cisco Catalyst 4500.
3.3.1.1 Cisco Catalyst 4500E Series và PDA Classic Line
Classic Catalyst 4500 cung cấp hai loại: 4500E Series và Classic Line
20
Cisco Catalyst 4500E.
+ Cung cấp tăng khả năng chuyển đổi cơng suất của mỗi khe cắm.
+ Có hai loại là : Dòng 47xx và dòng 46xx.
o
Dòng 47 xx hoạt động ở 48 Gb trên mỗi khe cắm chuyển đổi công suất.
o
Dòng 46 xx hoạt động ở 24 Gb trên mỗi khe cắm chuyển đổi công suất.
Classic Line
+ Cung cấp 6 gigabit cho việc chuyển đổi công suất trên mỗi khe cắm.
Dịng Classic có thể được triển khai ở cả hai.
o
Với Cisco Catalyst 4500 Series giám sát động cơ.
Khả năng chuyển đổi mỗi khe cắm thẻ dòng cổ điển vẫn còn ở mức 6 Gb
trên mỗi khe cắm.
Do các kiến trúc chuyển đổi tập trung của Cisco Catalyst 4500, các thẻ
dòng cổ điển sẽ áp dụng tất cả các tính năng E-Series động cơ mới giám sát như
là tám hàng đợi trên mỗi cổng.
o
Với Cisco Catalyst 4500E Series công cụ giám sát.
E-Series dòng card hoạt động ở cả 48 gigabits mỗi khe cắm hoặc 24 gigabits
mỗi khe dựa vào việc chúng thuộc về 47xx hoặc 46xx của dòng thẻ.
3.3.1.2 Sức mạnh của Ethernet trên Cisco Catalyst 4500E
+ Cisco Catalyst 4500E Series cung cấp thẻ trực tuyến, nguồn điện, và các phụ
kiện cần thiết để triển khai và hoạt động dựa trên các tiêu chuẩn Power over
Ethernet / Power over Ethernet Plus (PoE / PoEP).
+ PoE cung cấp điện trên 100m của tiêu chuẩn loại 3 / 5 không được che chở bởi
cáp xoắn đôi (UTP) khi một chuẩn IEEE 802.3af/at-phù hợp hoặc các tiêu chuẩn
của Cisco trang thiết bị được gắn vào / cổng PoE dòng thẻ PoEP.
21
+ Khơng địi hỏi sức mạnh của tường, thiết bị kèm theo như điện thoại IP, các
trạm gốc không dây, máy quay video.
+ Các thiết bị tương thích của chuẩn IEEE khác có thể sử dụng năng lượng cung
cấp từ các Cisco Catalyst 4500 Series PoE dòng thẻ PoEP. Khả năng này cho
phép mạng quản trị kiểm soát tập trung quyền lực và loại bỏ sự cần thiết phải cài
đặt các cửa hàng trên trần nhà và khác ngoài cách nơi mà một thiết bị hỗ trợ có
thể được cài đặt.
3.3.1.3 Cisco Catalyst 4500E Series và Gigabit Ethernet dòng PDA Classic
+ Cisco Catalyst 4500E Series 48-cổng Gigabit Ethernet dòng thẻ cung cấp
hiệu suất cao 10/100/1000 chuyển đổi.
+ Có hai loại thẻ dịng E-Series dựa trên băng thơng cho mỗi khe cắm:
o Card dòng 47xx rằng ổ đĩa 48 Gbps cho mỗi khe cắm
o Thẻ dòng 46xx rằng ổ đĩa 24 Gbps trên mỗi khe cắm.
+ Cisco Catalyst 4500 48-port 10/100/1000 E-Series dòng 47xx thẻ cung cấp
các tiêu chuẩn IEEE 802.3at PoEP hỗ trợ trên tất cả 48 cổng đồng thời. Dịng thẻ
này cũng hỗ trợ mã hóa tiêu chuẩn IEEE và Cisco 802.1AE TrustSec ™ trong
phần cứng.
+ Các Catalyst Cisco 4500 48-port 10/100/1000 E-Series thẻ dịng 46xx có sẵn
trong ba phiên bản.
3.3.1.4 Cisco Catalyst 4500E Series hỗ trợ 10 Gigabit Ethernet dòng card Fiber.
+ Cisco Catalyst 4500 12-port E-Series 10 Gigabit Ethernet dịng thẻ có thể
được triển khai cho hiệu suất cao và Ethernet mật độ cao 10 Gb tập hợp trong
khuôn viên trường và trong các mạng nhỏ và vừa làm nòng cốt; chuyển đổi.
+ Cisco Catalyst 4500E Series 12-port 10 Gigabit Ethernet dòng card hỗ trợ tiêu
chuẩn nhỏ.
+ Các cổng có thể được sử dụng thay thế cho nhau như: Gigabit Ethernet và 10
Gigabit Ethernet hỗ trợ chuyển đổi theo từng giai đoạn từ Gigabit Ethernet
Gigabit Ethernet cho 10. Cisco Catalyst 4500E Series cổng 6-10 Gigabit Ethernet
dòng thẻ có thể được triển khai, trong các mạng nhỏ và vừa như một chuyển
mạch, hoặc cho hiệu năng cao dây lên đến 10 Gigabit Ethernet được yêu cầu.
+ Các Cisco Catalyst 4500E Series 6-port 10 Gigabit Ethernet dòng card hỗ trợ
quang học X2 tiêu chuẩn cũng như Cisco TwinGig mô-đun.
WS-X4506-GB-T Cisco Catalyst 4500 6-Port 10/100/1000 RJ-45 IEEE 802.3af
PoE và 1000BASE-X SFP)
22
6-port 10/100/1000 và 6-cổng SFP (bất kỳ sự kết hợp đến 6 cổng có thể
được hoạt động tại một thời điểm)
10/100/1000 RJ-45 PoE và 1000BASE-X (SFP)
Cisco IOS Software Release 12.2 (20) EWA
PoE IEEE 802.3af và Cisco prestandard (RJ-45 chỉ)
Cung cấp đầy đủ các dòng chuyển mạch tốc độ gigabit trên tất cả các cổng
L2-4 Jumbo Frame hỗ trợ (lên đến 9216 byte)
Thiết kế để cung cấp cho khách hàng sự lựa chọn của RJ-45 có hoặc khơng
có PoE và SFP mà khơng chịu thêm chi phí
Doanh nghiệp và thương mại: hiệu suất cao kết nối máy tính để bàn và máy
chủ trang trại; thiết kế để IP điện thoại, trạm gốc không dây, máy quay video, và
các thiết bị tương thích IEEE khác
Cung cấp dịch vụ: GE nhỏ tập hợp cho DSLAM / PON / backhaul dữ liệu di
động
3.3.2 Giới thiệu Firewall ASA 5520
3.3.2.1. Giới thiệu về firewall:
Thuật ngữ FireWall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng
để ngăn chặn, hạn chế hoả hoạn. Trong Công nghệ mạng thơng tin, FireWall là
một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép
nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ
thông của một số thông tin khác không mong muốn.
Internet FireWall là một tập hợp thiết bị (bao gồm phần cứng và phần
mềm) được đặt giữa mạng của một tổ chức, một công ty, hay một quốc gia
(Intranet) và Internet.
Trong một số trường hợp, Firewall có thể được thiết lập ở trong cùng một
mạng nội bộ và cô lập các miền an tồn. Ví dụ như mơ hình dưới đây thể hiện
một mạng Firewall để ngăn cách phòng máy, người sử dụng và Internet
3.3.2.2. Phân loại firewall:
Firewall được chia làm 2 loại, gồm Firewall cứng và Firewall mềm
23
Đặc điểm của Firewall cứng: Là những firewall được tích hợp trên Router.
- Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng, thêm
quy tắc như firewall mềm)
- Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và tầng
Transport)
- Firewall cứng không thể kiểm tra được nột dung của gói tin.
Ví dụ Firewall cứng: NAT (Network Address Translate)
Firewall mềm: Là những Firewall được cài đặt trên Server.
Đặc điểm của Firewall mềm:
- Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng.
- Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng)
- Firewal mềm có thể kiểm tra được nội dung của gói tin (thơng qua các từ khóa).
Ví dụ về Firewall mềm: Zone Alarm, Norton Firewall
3.3.2.3. Tai sao chúng ta cần Firewall?
Nếu máy tính của bạn khơng được bảo vệ, khi bạn kết nối Internet, tất cả các
giao thơng ra vào mạng đều được cho phép, vì thế hacker, trojan, virus có thể truy
cập và lấy cắp thơng tin cá nhân cuả bạn trên máy tính. Chúng có thể cài đặt các
đoạn mã để tấn công file dữ liệu trên máy tính. Chúng có thể sử dụng máy tính
cuả bạn để tấn cơng một máy tính của gia đình hoặc doanh nghiệp khác kết nối
Internet. Một firewall có thể giúp bạn thốt khỏi gói tin hiểm độc trước khi nó
đến hệ thống của bạn
Chức năng chính của Firewall.
Chức năng chính của Firewall là kiểm sốt luồng thơng tin từ giữa Intranet và
Internet. Thiết lập cơ chế điều khiển dịng thơng tin giữa mạng bên trong
(Intranet) và mạng Internet. Cụ thể là:
- Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet).
- Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào
Intranet).
24