TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH
KHOA CÔNG NGHỆ THÔNG TIN
Chuyên đề tốt nghiệp MMT & TT #1
Chủ đề: BẢO MẬT MẠNG VÀ THIẾT BỊ
Bài 1:
CÁC GIẢI PHÁP TRIỂN KHAI
HẠ TẦNG MẠNG
Số tín chỉ: 3
Tổng số tiết: 60 tiết
(30 LT + 30 TH)
Biên soạn: ThS. Nguyễn Văn Thành
Email :
Bài 1: Các giải pháp hạ tầng mạng
Giải pháp hạ tầng mạng đơn giản
Giải pháp hạ tầng nhiều VLANs
Hạ tầng mạng có nhiều Sites
Giao thức GRE-VPN
High Availability cho Layer-2
High Availability cho Layer-3
2
1
Thực hành: Chuyên đề tốt nghiệp #1
Bài TH 1: Các giải pháp hạ tầng mạng.
7:30, ta bắt đầu.
Sinh viên chuẩn bị máy ở nhà:
Cài đặt sẵn phần mềm “Packet Tracer” (link tải trong LMS).
Vào LMS, tải về Bài tập 1a và Bài tập 1b.
Kế hoạch học tập:
GV hướng dẫn các bạn làm bài.
SV làm bài và nộp kết quả vào LMS.
3
Giải pháp hạ tầng mạng đơn giản
Mơ hình hạ tầng mạng đơn giản:
Nhu cầu:
Tất cả Máy tính người dùng và Server trong mạng giao tiếp được
internet qua Cisco Router (R0).
4
2
Giải pháp hạ tầng mạng đơn giản
Mơ hình hạ tầng mạng đơn giản:
Giải pháp:
Hoạch định IP addresses cho mạng.
DHCP: cấp phát các thông số IP tự động.
NAT overload: cho phép mạng nội bộ giao tiếp internet.
NAT port: cho phép internet truy cập dịch vụ của Server.
5
Giải pháp hạ tầng nhiều VLANs
Mơ hình hạ tầng mạng nhiều VLANs:
Nhu cầu:
Cơ lập mạng máy tính ở mỗi đơn vị hành chánh.
Tất cả Máy tính và Server giao tiếp được internet.
6
3
Giải pháp hạ tầng nhiều VLANs
Giải pháp 1: Core-SW là loại Layer-2 SW.
Hoạch định IP addresses cho các mạng VLANs.
VLAN: cô lập các mạng theo đơn vị hành chánh.
Inter-VLAN routing: hỗ trợ các VLANs giao tiếp Router.
DHCP: cấp phát IP tự động cho các VLANs.
NAT overload: cho phép các VLANs giao tiếp internet.
NAT port: cho phép internet truy cập dịch vụ của Server.
Access Control List: ngăn chặn (lọc) traffic giữa các VLANs theo
nhu cầu.
Ngoại trừ VLAN (do Core-SW đảm nhiệm), tất cả các tác vụ còn lại
do Router đảm nhiệm.
7
Giải pháp hạ tầng nhiều VLANs
Giải pháp 2: thay Core-SW bằng loại Multilayer SW.
Hoạch định IP addresses cho các mạng VLANs.
VLAN: cô lập các mạng theo đơn vị hành chánh.
DHCP: cấp phát IP tự động cho các VLANs.
Access Control List: ngăn chặn (lọc) traffic giữa các VLANs theo
nhu cầu
NAT overload: cho phép các VLANs giao tiếp internet.
NAT port: cho phép internet truy cập dịch vụ của Server.
Core-SW đảm nhiệm các tác vụ: VLAN, Routing, DHCP, ACL…
Router đảm nhiệm các tác vụ: NAT, NAT port, Routing…
8
4
Hạ tầng mạng có nhiều Sites
Trường hợp 1: kết nối giữa các Site bằng Lease Line:
Lease Line được xem như đường kết nối trực tiếp:
9
Hạ tầng mạng có nhiều Sites
Giải pháp cho kết nối Sites bằng Lease Line:
Giải pháp mạng tại mỗi Site tương tự như phần trước (có hoặc
khơng có VLANs)
Routing: cho phép mạng các Sites giao tiếp nhau.
Dùng Static Route: trong trường hợp số lượng mạng (VLANs) ít.
Dùng Dynamic Route: trong trường hợp số lượng mạng nhiều.
Access Control List: ngăn chặn traffic giữa các mạng trong các
Sites, theo nhu cầu.
10
5
Hạ tầng mạng có nhiều Sites
Trường hợp 2: kết nối giữa các Site bằng VPN:
11
Giao thức GRE (VPN)
GRE (Generic Routing Encapsulation)
GRE là thỏa thuận giữa 2 Router trong việc “đóng gói” những gói
tin chuyên biệt, cho phép “định tuyến” chúng vào mạng trong.
GRE tạo tunnel (kênh truyền) Point-to-Point giữa 2 Router trong
môi trường internet.
12
6
Giao thức GRE (VPN)
Tunnel interface:
Tunnel interface là một interface ảo, tượng trưng cho kênh
truyền GRE giữa 2 Router.
Các thành phần cơ bản của Tunnel Interface:
Tunnel Interface Number: mã định danh (từ 0 đến 2147483647)
Tunnel Source: chọn interface vật lý (kết nối internet) sẽ tạo tunnel
trên đó.
Tunnel Destination: Outside IP address của Router đối tác.
Tunnel IP address: địa chỉ IP của tunnel (khơng cùng mạng với các
interface hiện có).
13
Hạ tầng mạng có nhiều Sites
Giải pháp cho kết nối Sites bằng GRE-VPN:
Giải pháp mạng tại mỗi Site tương tự như phần trước (có hoặc
khơng có VLANs).
Cấu hình GRE-VPN tạo tunnel kết nối Router giữa các sites
Routing: cho phép mạng các Sites giao tiếp nhau.
Nên dùng Dynamic Route, có quảng bá mạng của các tunnel.
Access Control List: ngăn chặn traffic giữa các mạng trong các
Sites, theo nhu cầu.
14
7
High Availability (HA) cho Layer-2
Tính sẵn sàng cao cho kết nối SW – SW:
Áp dụng công nghệ Ether-channel (PAgP hoặc LACP)
15
High Availability (HA) cho Layer-2
Dự phòng cho Switch:
Vận dụng kỹ thuật Spanning-tree nhằm đạt được tính dự phịng,
chia tải lưu lượng
16
8
High Availability (HA) cho Layer-3
Tính sẵn sàng cao cho Core-Switch:
Core Switch dùng loại Multilayer
Vận dụng HSRP per VLAN đạt được tính dự phịng, chia tải lưu
lượng.
17
9