TRƯỜNG ĐẠI HỌC KINH TẾ

KHOA THƯƠNG MẠI ĐIỆN TỬ
–––––––––––––––––––––––––––––––

Học phần
MẠNG VÀ TRUYỀN THÔNG
Báo cáo

THIẾT KẾ MẠNG LAN CHO DOANH NGHIỆP
Tên Nhóm

: Nhóm 9

Lớp học phần

: MIS3002_46K22.1

Sinh viên thực hiện

: Nguyễn Quỳnh Anh
Nguyễn Thị Như Hồng
Lê Thị Tiết Trinh
Hà Thị Thanh
Phan Thị Hoài Thương
Dương Hoàng Thúy Vi
Nguyễn Thị Huỳnh Viên

Giảng viên hướng dẫn

: Nguyễn Thị Uyên Nhi

Đà Nẵng, 09/2022


Mục lục

I.

Giới thiệu doanh nghiệp và khảo sát hiện trạng mạng tại doanh nghiệp 3
1.

Giới thiệu doanh nghiệp..............................................................................3

2.

Khảo sát hiện trạng về doanh nghiệp..........................................................3

II.

Mơ hình mạng, phân loại mạng..................................................................4

1.

Mơ hình mạng.............................................................................................4

2.

Phân loại mạng áp dụng cho doanh nghiệp.................................................5

III. Các thiết bị kết nối, phương tiện truyền thông..........................................7

IV.

Chia mạng...................................................................................................11

V.

Thiết kế bản vẽ mạng.................................................................................12

VI. Phương án an toàn bảo mật cho mạng.....................................................14
VII. Kết luận.......................................................................................................17


I.

Giới thiệu doanh nghiệp và khảo sát hiện trạng mạng tại
doanh nghiệp
1. Giới thiệu doanh nghiệp
UOYMedia Company là một công ty có tốc độ phát triển mạnh mẽ trong lĩnh
vực thương mại điện tử xuyên biên giới tại Việt Nam. Đây là công ty chuyên về thiết
kế và sản xuất các mặt hàng in ấn POD cho thị trường Châu Mỹ và Châu Âu. Ngồi
ra cịn Thiết kế phần mềm công nghệ, cung cấp các dịch vụ giải pháp về Digital
Marketing… Cơng ty có hơn 5 năm kinh nghiệm về thương mại điện tử với hàng triệu
sản phẩm được bán ra trên thị trường quốc tế nhờ 6 bộ phận chủ chốt của doanh
nghiệp, bao gồm hơn 50 nhân sự làm việc toàn thời gian và đang ngày càng phát triển
khơng ngừng.

Hình 1: Giới thiệu doanh nghiệp
2. Khảo sát hiện trạng về doanh nghiệp
Cấu trúc tòa nhà và tổ chức hệ thống máy tính của cơng ty
Các phịng ban được đặt vị trí ở 3 tầng, cụ thể:



Tâng 1: Gồm có 3 Phịng
Phịng thiết kế + Idea : 20 nhân viên
 Phịng hành chính - nhân sự: 7 nhân viên
 Phịng kế tốn: 5 nhân viên
Tâng 2: Gồm có 3 phịng
 Phịng kỹ thuật - IT: 15 nhân viên
 Phòng marketing: 10 nhân viên
 Phòng giám đốc: 2 nhân viên
Tầng 3: tầng quản lý tập trung các máy chủ quan trọng của công ty. (5 server)


II.

Mô hình mạng, phân loại mạng
1. Mô hình mạng
Thực hiện truyền thông, kết nối các thiết bị của công ty với nhau trên Internet thông
qua mô hình TCP/IP
Mô hình TCP/IP là sự kết hợp giữa hai giao thức. Trong đó, IP là giao thức liên
mạng cho phép những gói tin được gửi đến khu vực đã định sẵn.
Giao thức này được thực hiện bằng cách thêm những thông tin dẫn đường vào các gói
tin để đến đúng nơi được định sẵn từ ban đầu. Còn TCP - giao thức truyền vận giúp
kiểm tra và đảm bảo sự an tồn cho mỗi gói tin khi đi qua từng trạm.
Trong quá trình thực hiện, nếu giao thức TCP nhận thấy gói tin bị lỗi thì sẽ truyền tín
hiệu và u cầu hệ thống gửi lại một gói tin khác. Q trình này sẽ được làm rõ hơn ở
mục chức năng của mỗi tầng trong mơ hình TCP/IP.
Mơ hình tcp/ip gồm có 4 tầng từ vật lý thấp nhất đến tầng ứng dụng là tầng cao nhất
Tầng 4: Tầng ứng dụng (Application)
Đây là tầng giao tiếp trên cùng của mơ hình TCP/IP. Tầng ứng dụng có vai trị giao

tiếp dữ liệu giữa 2 máy khác nhau thơng qua những dịch vụ mạng (trình duyệt web,
email, chat, một số giao thức trao đổi dữ liệu: SSH, SMTP, FTP,...).
Khi đến tầng ứng dụng, dữ liệu sẽ được định dạng theo kiểu Byte nối Byte, cùng với
đó là những thông tin định tuyến giúp xác định đường đi đúng của một gói tin.
Tầng 3: Tầng giao vận (Transport)
Chức năng chính của tầng 3 là xử lý vấn đề giao tiếp giữa những máy chủ trong cùng
một mạng hoặc khác mạng được kết nối với nhau nhờ bộ định tuyến. Ở tầng 3, dữ liệu
sẽ được phân đoạn, mỗi đoạn tuy khơng bằng nhau nhưng kích thước phải nhỏ hơn
64KB. Lúc này, cấu trúc đầy đủ của một segment là header chứa thông tin điều khiển
và tiếp đến là dữ liệu.
Trong tầng 3 có 2 giao thức cốt lõi là TCP và UDP. TCP đảm bảo chất lượng gói tin
nhưng tốn thời gian khá lâu để kiểm tra đầy đủ thơng tin (từ thứ tự cho đến việc kiểm
sốt vấn đề tắc nghẽn lưu lượng dữ liệu). Ngược lại, UDP giúp tốc độ đường truyền
nhanh hơn nhưng không đảm bảo chất lượng dữ liệu được gửi đi.


Tầng 2: Tầng mạng (Internet)
Giống như tầng mạng của mô hình OSI, tầng 2 của TCP/IP là một giao thức chịu trách
nhiệm truyền tải dữ liệu trong mạng một cách logic.
Những phân đoạn dữ liệu sẽ được đóng gói (Packets) có kích thước phù hợp với mạng
chuyển mạch dùng để truyền tải dữ liệu. Những gói tin được chèn thêm phần header
chứa thông tin của tầng mạng và chuyển đến tầng tiếp theo.
Những giao thức chính trong tầng bao gồm: ICMP, IP và ARP.
Tầng 1: Tầng vật lý (Physical)
Đây là tầng chịu trách nhiệm truyền dữ liệu giữa hai thiết bị trong cùng một mạng. Tại
tầng 1, những gói dữ liệu được đóng vào khung (Frame) và định tuyến đi đến đích
như chỉ định ban đầu.

2. Phân loại mạng áp dụng cho doanh nghiệp
a. Phân loại theo cấu hình mạng:

Mạng dạng hình sao Star
Cấu trúc liên kết mạng hình sao là một trong những cấu trúc liên kết được sử dụng
phổ biến nhất hiện nay vì tính đơn giản và hiệu quả của nó.
Trong loại cấu trúc liên kết này, một nút tập trung nằm ở lõi của cấu trúc liên kết
mạng, trong đó tất cả các nút khác phải giao tiếp thông qua. Cấu trúc liên kết này chủ
yếu được sử dụng trong gia đình và văn phịng ngày nay.
Ưu điểm






Dễ dàng cài đặt và thực hiện đi dây.
Dễ dàng khắc phục sự cố và phát hiện các sự cố trong mạng.
Nếu một thiết bị bị lỗi, nó khơng ảnh hưởng đến các thiết bị khác trong mạng.
Bạn có thể dễ dàng thêm hoặc bớt thiết bị mà không ảnh hưởng đến phần còn lại
của mạng.
Quản lý và giám sát tập trung thông qua bộ chuyển mạch trung tâm.

Nhược điểm





Nhược điểm chính của việc sử dụng cấu trúc liên kết này là nó có một điểm lỗi
duy nhất, tức là khi nút chuyển mạch trung tâm bị hỏng, sẽ có sự gián đoạn giao
tiếp cho tất cả các thiết bị được kết nối.
Cần thêm hệ thống cáp vì bạn kết nối từng thiết bị riêng lẻ với nút trung tâm.

Hiệu suất của toàn mạng phụ thuộc vào hiệu suất của nút trung tâm.

b. Phân loại theo khoảng cách địa lý


Sử dụng mạng cục bộ LAN
Phạm vi kết nối là trong một tòa nhà 3 tầng, nên hệ thống mạng LAN sẽ là sự lựa
chọn phù hợp, mang đến nhiều tiện ích cho cơng ty. Ứng dụng mạng cục bộ chính là
để các máy tính trong cùng hệ thống có thể chia sẻ, sử dụng tài nguyên nhanh chóng,
dễ dàng hay truy cập Internet. Bên cạnh đó, cịn kết nối để truyền lệnh đến các thiết bị
ngoại vi là máy in, máy scan, máy fax,…
Hệ thống mạng Lan hiện đại được kết nối theo 2 cách thông dụng là sử dụng wifi
(mạng cục bộ không dây) và sử dụng dây Ethernet kết nối (mạng cục bộ nối dây).
Trong đó:
Mạng LAN Ethernet là loại mạng Lan truyền thống. Kiến trúc mạng cục bộ kiểu này
thống bao gồm một hoặc nhiều trung tâm, thiết bị chuyển mạch hoặc bộ định tuyến
truyền thống mà các thiết bị riêng lẻ kết nối với thông qua cáp Ethernet.
Mạng cục bộ LAN wifi thì bao gồm một hoặc nhiều điểm truy cập, các thiết bị được
đặt trong phạm vi có tín hiệu kết nối khơng cần dây dẫn. Các điểm truy cập này lần
lượt quản lý lưu lượng mạng đến và đi từ các thiết bị cục bộ và cũng có thể giao tiếp
mạng cục bộ với các mạng bên ngoài. Đối với mạng LAN gia đình quy mơ nhỏ, các
bộ định tuyến băng thơng rộng không dây thực hiện các chức năng của một điểm truy
cập.
Dù là hệ thống mạng LAN có dây Ethernet hay mạng LAN khơng dây thì đều cho
phép các thiết bị kết nối trực tiếp với nhau, không thông qua thiết bị trung tâm.
Về giao thức mạng được sử dụng trên mạng cục bộ máy tính chủ yếu là giao thức
Internet (IP). Hầu hết các hệ điều hành mạng phổ biến ngày nay đều có hỗ trợ tích
hợp cho cơng nghệ TCP / IP cần thiết.

c. Phân loại theo chức năng

Mô hình mạng khách - chủ( Client/Serve):
Máy tính hoạt động như một máy chủ: có thể cung cấp tài nguyên và dịch vụ cho các
máy trạm khác trong mạng. Máy chủ hỗ trợ các thao tác trên máy trạm khách hiệu quả
hơn.
Máy tính và thiết bị ngoại vi hoạt động như một máy trạm: khơng cung cấp tài ngun
cho máy tính hoặc thiết bị ngoại vi khác mà chỉ sử dụng những tài nguyên do máy chủ
cung cấp. Tùy thuộc vào nhu cầu của công ty, một máy khách trong một mơ hình này
có thể là một máy chủ trong một mơ hình khác.
Ưu điểm



Hoạt động trên bất kỳ máy tính nào hỗ trợ giao thức truyền thơng.
Mơ hình máy chủ khách chỉ mang đặc điểm của phần mềm, không liên quan gì
đến phần cứng, yêu cầu duy nhất là máy chủ phải có cấu hình cao hơn máy khách.




Máy chủ khách hàng cung cấp cho người dùng nhiều dịch vụ khác nhau và sự tiện
lợi của việc truy cập từ xa khơng có trên các mẫu máy cũ.

Nhược điểm




Khả năng bảo mật kém do nhu cầu trao đổi dữ liệu giữa máy trạm và máy chủ.
Ln phải có 1 máy chủ hoạt động 24/7 để duy trì tồn bộ hệ thống mạng. Vì phụ
thuộc vào máy chủ nên nếu máy chủ bị lỗi thì tồn bộ hệ thống mạng sẽ dừng.

Chi phí lắp đặt cao
d. Phân loại theo phương thức truyền tin
Point to point

Trong hệ thống mạng này, các máy tính được nối lại với nhau thành từng cặp
nút và mỗi nút đều có trách nhiệm lưu trữ tạm thời sau đó khi đường truyền rỗi.
Khung dữ liệu sẽ được gửi đi sẽ được truyền trực tiếp từ máy gửi đến máy nhận hoặc
được chuyển tiếp qua nhiều máy trung gian trước khi đến máy tính nhận. Do vậy mà
mạng loại này còn được gọi là mạng "lưu và chuyển tiếp" (store and forward).
Kết nối point to point bằng Wifi giúp chia sẻ những tài liệu và các ứng dụng bảo mật
riêng của doanh nghiệp UOYMedia Company. Với cả đảm bảo chỉ có duy nhất một
hệ thống quản lý LAN nhất quán.
Tốc độ - data rate và thông lượng - throughput phải cao, chất lượng phải đủ cạnh
tranh với những cách kết nối mạng có dây.
Tạo nhiều cầu nối khác nhau, phục vụ nhiều người dùng cùng 1 lúc.
Nhanh chóng khơi phục độ phủ sóng và truyền tải vơ tuyến khi có thiên tai: lũ lụt, hoả
hoạn, các lỗi do nhà cung cấp như (dây truyền mạng đứt, trạm phát sóng vơ tuyến bị
hư hại,... )
Một kế hoạch dự phòng cho những sự cố đối với những doanh nghiệp hoạt động đặc
thù liên quan về việc 24/24 thông tin phải thông suốt liên tục

III. Các thiết bị kết nối, phương tiện truyền thông
Stt Tên

Hãng sản xuất Số lượng Đơn giá

Thành tiền

1


Server

Dell

2

Switch 24 port Cisco

2

3.945.000

7.890.000

3

Switch 16 port Cisco

2

1.080.000

2.180.000

17.009.000


4

Switch 8 port


Cisco

5

Modem

6

Firewall

Cisco

7

Router

8
9

559.000

1.677.000

2

45.000.000

90.000.000


Draytek

1

3.400.000

3.400.000

Máy in

Canon

6

3.800.000

22.800.000

Client

HP

59

1

10 Đầu cáp RJ

RJ-45


11

RG-6

Dây cáp

12 Cáp quang

3

UTP (cat 6e)

1. Switch Cisco SF95D-08
Thiết bị chuyển mạch Cisco 95 Series cung cấp một giải pháp dễ sử dụng cho
mạng lưới doanh nghiệp nhỏ c
Dễ sử dụng: thiết bị chuyển mạch Cisco 95 Series hoạt động ngay trên hộp,
khơng có phần mềm để cài đặt và khơng có gì để cấu hình. Mỗi cổng chuyển mạch sẽ
tự động đặt tốc độ tối ưu và xác định xem có chạy tự động ở chế độ nửa hoặc chế độ
song cơng hồn tồn hay khơng. Là giải pháp của Cisco dựa trên tiêu chuẩn, thiết bị
chuyển mạch dòng Cisco 95 Series cũng được thiết kế để ngay lập tức chứa tất cả các
thiết bị trong mạng của bạn, bao gồm:
– Hỗ trợ tốc độ 10 Mb / giây, 100 Mbps và tối đa 1 Gb / giây (1000 Mbps)
trong cùng một mạng
– Phát hiện cáp tự động, do đó bạn khơng phải lo lắng về việc sử dụng loại cáp
sai
– Tương thích với các thiết bị mạng từ các nhà cung cấp khác
2. Switch Cisco SF350-24-K9-EU
Cisco SF350-24-K9-EU được thiết kế tối giản đúng như mục đích sử dụng nó
với 24 Port RJ45 tốc độ 10/100Mbps, kèm theo đó là 2 cổng 10/100/1000, 2 kết hợp
mini-GBIC phục vụ cho kết nối LAN như các dòng cao hơn.



Tự động chuyển chế độ cáp thẳng (MDI/MDI-X) cùng với đó các tính năng địa
chỉ học tập
Kiểm sốt lưu lượng dữ liệu giúp cho việc truyền tải dữ liệu được tối ưu hơn.
3. Switch Cisco 16 Port 10/100 SF90D-16
Sở hữu tới 16 cổng kết nối có tốc độ 10/100/1000Mbps giúp q trình truyền
nhận tín hiệu diễn ra nhanh chóng, Switch Cisco 16 cổng rất thích hợp dùng cho các
đơn vị, doanh nghiệp có quy mơ vừa và nhỏ.
Hơn thế, loại thiết bị này cịn có khả năng loại bỏ tất cả các gói tin bị lỗi, đồng
thời có thể tiết kiệm tới 15% điện năng và kiểm soát luồng IEEE 802.3x cho Full
Duplex và Backpressure cho Half Duplex.
Đặc biệt, với Switch Cisco 16 cổng sở hữu cấu trúc chuyển mạch non blocking giúp chuyển tiếp và lọc gói tin với tốc độ nhanh cho thông lượng cao.
Cũng giống như Switch Cisco 16 cổng gigabit về cấu tạo, công dụng, nhưng
Switch Cisco 16 cổng 10/100Mbps lại được trang bị thêm tính năng nhận biết thơng
minh, giúp thiết bị có thể tự động chuyển đổi sang cáp thẳng hoặc cáp chéo.
4. Cáp quang UTP (cat 6e)
Cáp mạng UTP, là loại cáp thường được sử dụng nhiều nhất hiện nay trong các
doanh nghiệp có quy mơ vừa và nhỏ.
So với các loại dây cáp mạng khác, Cat6A có cấu tạo đặc biệt hơn. Điều này
cho phép Cat6A mang lại khả năng truyền tải dữ liệu nhanh với khoảng cách xa.
- Cấu tạo: Cat6A được cấu tạo từ 5 thành phần trong mỗi sợi cáp (4 cặp dây
đồng, rãnh tứ chống nhiễu chéo, lớp bọc PS cách nhiệt, lớp băng nhôm chống nhiễu,
chỉ cắt vỏ và lớp vỏ PVC bảo vệ)
Lớp vỏ bọc ngoài cùng của cáp Cat6 được làm từ nhựa dẻo PVC rất khó cháy
cùng với khả năng đàn hồi cao giúp cho dây chịu được các tác động trước sự thất
thường của thiên nhiên và các tác nhân bên ngồi.
Cat6A có khả năng dẫn truyền thông tin tốt mà không chịu nhiều ảnh hưởng
bởi điều kiện môi trường. Băng thông của Cat6A có thể đạt tới 500 MHZ.
5. Cáp đồng trục RG-6

Đây là loại cáp sở hữu độ dày vừa đủ, khả năng chống nhiễu và chống chọi
được môi trường khắc nghiệt tốt. Loại cáp RG 59 được sử dụng cho nhiều mục đích
như đi ngồi trời, đi âm trần hoặc trong nhà. Loại dây này có giá thành khá cao. RG
59 chủ yếu dùng nhiều cho cơng trình văn phịng, building, tòa nhà, dự án. Khoảng
cách tối đa của RG-59 là 300-400m.
6. Đầu nối RJ-45


Các dây cáp RJ45 được sử dụng phổ biến trong kết nối mạng LAN (mạng máy
tính cục bộ), cho phép các máy tính ở gần nhau có thể kết nối để làm việc và chia sẻ
dữ liệu.
7. Firewall: ASA5585X
Cisco ASA ASA5508-K8 với dịch vụ FirePOWER là tường lửa thế hệ mới next-generation firewall (NGFW) của Cisco, có chức năng IPS, mang đến các dịch vụ
bảo mật tập trung vào mối đe dọa đặc biệt. Cisco ASA ASA5508-K8 bảo vệ toàn diện
hệ thống mạng khỏi các mối đe dọa đã biết và nâng cao, bao gồm bảo vệ chống lại các
cuộc tấn công phần mềm độc hại được nhắm mục tiêu và liên tục.
Cisco ASA ASA5508-K8 được sử dụng cho các doanh nghiệp vừa và nhỏ với
số lượng user ít, hoặc sử dụng làm firewall trong 1 VLAN nhỏ.
Hỗ trợ VPN Site-to-site và remote access VPN, cung cấp khả năng truy cập
hiệu suất cao, bảo mật cao và tính sẵn sàng cao để giúp đảm bảo tính liên tục của
doanh nghiệp. Cisco ASA5508-K8 là tường lửa trạng thái cấp doanh nghiệp được
triển khai rộng rãi nhất trên thế giới. Cisco ASA5508-K8 với dịch vụ FirePOWER có
các tính năng tồn diện sau:

-

Khả năng hiển thị và kiểm soát ứng dụng chi tiết (AVC) hỗ trợ hơn 4.000
lớp ứng dụng và các hoạt động dựa trên các chính sách phát hiện mối đe
dọa xâm nhập (IPS) phù hợp để tối ưu hóa hiệu quả bảo mật.


-

Cung cấp khả năng ngăn chặn mối đe dọa và nhận thức đầy đủ về người
dùng, cơ sở hạ tầng, ứng dụng và nội dung để phát hiện các mối đe dọa.

-

Lọc URL và danh mục, cung cấp cảnh báo tồn diện và kiểm sốt lưu lượng
truy cập web và thực thi chính sách trên hàng trăm triệu URL trong hơn 80
danh mục.

-

AMP cung cấp cung cấp các cơ chế phát hiện phần mềm đọc hại, sandbox,
với tổng chi phí sở hữu thấp và giá trị bảo vệ cao cấp giúp bạn khám phá,
hiểu và ngăn chặn phần mềm độc hại và các mối đe dọa mới bị các lớp bảo
mật khác bỏ qua.

8. Router Draytek Vigor2926
Dòng Router Draytek 2926 Series cho phép kết nối đồng thời lên đến 4
đường Internet, cân bằng tải hoặc chuyển đổi dự phịng. Vigor2926 series khơng chỉ là
thiết bị kết nối Internet đáng tin cậy, mà còn là cổng kết nối tường lửa linh hoạt và
máy chủ VPN, thiết bị cũng bao gồm các tính năng quản lý mạng LAN tồn diện như
VLAN, quản lý băng thông (Bandwidth Management), quản lý dịch vụ (Quality of


service), kiểm soát DNS, giúp Vigor2926 trở thành một giải pháp hoàn hảo cho doanh
nghiệp.
Ưu điểm:
 Cổng WAN kép + kết nối modem di động USB với khả năng chuyển đổi dự phòng

 Bảng điều khiển duy nhất quản lý từ xa các switch mạng và điểm truy cập
 Hỗ trợ VPN cho các kết nối từ xa
Nhược điểm:
Cần các thiết bị DrayTek khác cho nhiều mục đích sử dụng
Cần nhiều kiến thức để tìm hiểu
các tính năng chun sâu
Thơng lượng khơng dây trung bình ở phạm vi xa hơn
DrayTek Vigor 2926 là một router cao cấp phù hợp với các doanh nghiệp vừa
và nhỏ nhưng đủ thân thiện với người dùng và đủ mạnh để cung cấp tốc độ Internet và
phát triển hệ thống mạng mở rộng.
9. Máy in Canon LBP3300:
Chất lượng in tốt
Dễ sử dụng
Phần mền tốt
Hỗ trợ kỹ thuật tốt
10. Máy Chủ Dell PowerEdge T40
Là dòng máy chủ Dell có cấu hình cao nhưng giá cả vơ cùng hợp lý. Là sản
phẩm hỗ trợ tốt nhất cho doanh nghiệp đang phát triển hoặc các công ty khởi nghiệp.
Server Dell T40 hỗ trợ các tính năng cơ bản giải quyết tất cả các khối lượng công việc
như: Lưu trữ, chia sẻ, bảo mật dữ liệu.
Ưu điểm:





 Cấu hình mạnh mẽ, thiết kế nhỏ gọn: Dell PowerEdge T40 là một dạng Tower
máy chủ chuyên biệt cho các tổ chức hay chi nhánh văn phòng với cơ sở hạ
tầng dưới hai server. Thiết kế dạng đứng nhỏ gọn giúp dễ dàng sắp xếp linh
hoạt cho không gian làm việc.

 Tối ưu hiệu suất làm việc: giúp doanh nghiệp chia sẻ, cung cấp dữ liệu nhanh
chóng, cụ thể cho đội ngũ nhân sự hay đối tác, khách hàng mà không cần phải
tốn thời gian, di chuyển, phí chuyển đổi…
11. Dell PowerEdge T40
Được sử dụng trong các ứng dụng:
 Ứng dụng tương tác và chia sẻ công việc
 Ứng dụng cho hệ thống Email/Messaging
 Ứng dụng cho khối văn phịng, tài chính ngân hàng
 Các ứng dụng về thương mại điện tử, bán hàng trực tuyến


IV.

Chia mạng
Room

Subnet ID

Subnet Mask

Broadcast

Phòng thiết kế + Idea

192.168.1.224/27 255.255.255.224 192.168.1.255

Phòng hành chính - nhân
sự

192.168.1.192/2

7

255.255.255.224 192.168.1.223

Phịng kế tốn

192.168.1.176/2
8

255.255.255.240 192.168.1.191

Phịng kỹ tḥt - IT

192.168.1.160/28 255.255.255.240 192.168.1.175

Phịng marketing

192.168.1.152/2
9

Phịng giám đớc

192.168.1.144/29 255.255.255.248 192.168.1.151

V.

255.255.255.248 192.168.1.156

Thiết kế bản vẽ mạng
Có tất cả 5 server, trên mỗi server chạy các dịch vụ khác nhau để tiết kiệm chi

phí. Chi tiết về các dịch vụ trên mơ hình chức năng sau:


Hình 2: Mơ hình chức năng

Hình 3: Mơ hình vật lý

Hình 4: Mơ hình IP
Chi tiết cơng nghệ sử dụng:


 Sử dụng Window Server 2003 để cài đặt và quản lý tất cả dịch vụ quan trọng
trong công ty
 File server: Lưu trữ, chia sẽ, quản lý dữ liệu tập trung
 Domain Controller, DNS, DHCP server: quản lý hệ thống các đối tượng, phân giải
tên, cấp phát IP động cho toàn bộ vùng mạng LAN
 Web, FTP, Printer server: Quản lý web, ftp và máy in mạng.
 RIS, WSUS: triển khai hệ điều hành, cập nhật các bản vá lỗi cho hệ thống
 RRAS, Antivirus: làm chức năng router (Lan-Routing, VPN, NAT), quản lý vi
quét virus cho các antivirus client trên máy nhân viên và cập nhật các bản diệt
virus mới từ internet.

VI. Phương án an toàn bảo mật cho mạng
Tính bảo mật được thể hiện trên ba phương diện:
 Vùng mạng nội bộ chính là hệ thống kết nối giữa các thiết bị của doanh nghiệp
bao gồm: máy chủ, các thiết bị mạng, các trạm mạng.
 Vùng mạng DMZ giữ vai trị trong việc kết nối thơng tin của người sử dụng
mạng Internet truy cập vào vùng mạng nội bộ. Vùng này nằm trung gian, ở
giữa vùng mạng nội bộ và vùng mạng server.


Vùng mạng server là vùng hoạt động các thiết bị gián tiếp bao gồm cả máy
chủ và nơi cung cấp dịch vụ ngoài internet
1. Vùng DMZ kết hợp cùng hệ thống tường lửa đa tầng
DMZ(Demilitarized Zone) là 1 vùng nằm giữa LAN(Local Area Network) và
internet. DMZ là nơi chứa các server và cung cấp các service cho các host trong LAN
cũng như các host từ các LAN bên ngoài. Là bước cuối cùng các packet qua trước khi
truyền vào internet, và cũng là nơi đầu tiên packet đến trước khi vào mạng LAN.
Nếu hacker từ mạng bên ngồi kiểm sốt được các public server như Web,
Mail, FTP? Rất có thể hacker sẽ dựa vào các server đã bị chiếm đoạt này để đánh vào
các server khác (như DNS, DHCP, Directory Service…) cũng như thâm nhập sâu hơn
vào các máy trạm bên trong.
Vậy để giảm thiệt hại cho các host của LAN ta sẽ dùng DMZ. DMZ sẽ có
đường mạng hoặc subnet mạng khác với mạng internal như vậy các host từ mạng
LAN khác không thể truy cập đến các host trong LAN nhưng vẫn có thể sử dụng dịch
vụ mà DMZ cung cấp.
Hệ thống tường lửa đa tầng
 Firewall thứ nhất (được gọi là front-end firewall) có một NIC nối với mạng
external (external interface) và NIC còn lại nối với DMZ (internal interface).
Front-end firewall này có nhiệm vụ kiểm sốt traffic từ Internet tới DMZ và
mạng internal.


Firewall thứ hai (được gọi là back-end firewall) có một NIC nối với DMZ
(external interface) và NIC còn lại nối với mạng internal (internal interface).
Back-end firewall này có nhiệm vụ kiểm soát traffic từ DMZ và Internet tới
mạng internal.
Rõ ràng, so với single firewall thì giải pháp này tốn kém hơn về chi phí triển
khai khi phải đầu tư tới hai thiết bị firewall tách biệt nhưng về mặt hiệu suất và độ an
toàn cho hệ thống mạng sẽ được cải thiện.
2. Hệ thớng phịng chớng xâm nhập

Hiện nay các hình thức tấn cơng của người có ý đồ xấu ngày càng nhiều và
tinh vi. Ví dụ: Trong đơn vị có thể tự cài đặt các cơng cụ (Ethereal, Cain & abel…)
trên máy tính làm việc hoặc máy tính xách tay để tiến hành nghe lén hay quét trực tiếp
lên các máy chủ, từ đó có thể lấy các tài khoản email, Web, SQL server nhằm thay đổi
dữ liệu, thay đổi lịch cơng tác…các hình thức tấn cơng kiểu này, hệ thống tường lửa
không thể phát hiện [3].
Giải pháp hữu hiệu cho thực trạng này là xây dựng hệ thống IDS/IPS (Intrusion
Detection System/Intrusion prevention system). IDS/IPS là hệ thống bảo mật vơ cùng
quan trọng, nó có khả năng phát hiện ra các cuộc tấn công dựa vào các dấu hiệu thiết
lập sẵn hoặc các đoạn mã độc hại, bất thường trên giao thơng mạng; đồng thời có thể
loại bỏ chúng trước khi có thể gây hại cho hệ thống.
IPS thường được đặt phía sau Firewall và hoạt động như một bộ lọc thứ cấp
đối với các hoạt động độc hại. Do IDS (Intrusion Detection System) được đặt inline
nên chúng có khả năng phân tích và thực hiện các tác vụ tự động trên tất cả các luồng
lưu lượng mạng. Các tác vụ này bao gồm cảnh báo cho quản trị viên, lược bỏ các gói
tin nguy hiểm, tạm dừng lưu lượng truy cập đến từ các địa chỉ nguồn độc hại và khởi
động lại các kết nối.
Hệ thống IPS hoạt động hiệu quả phải đảm bảo giảm thiểu tối đa việc cản trở
hiệu năng truy cập mạng. Ngoài ra, các hệ thống IPS phải hoạt động đủ nhanh và
chính xác để có thể phát hiện được các hoạt động độc hại theo thời gian thực và giảm
thiểu được cảnh báo giả.
3. Sử dụng thiết bị chun dụng có tính năng bảo mật phong phú
Router TP-Link R605 và Access Point TP-Link EAP245 dành cho doanh
nghiệp có quy mơ sử dụng dưới 80 thiết bị
TP-Link R605 cho phép các doanh nghiệp có thể quản lý từ xa và tập trung
mọi lúc mọi nơi. Sản phẩm có VPN bảo mật cao và sở hữu tính năng bảo mật phong
phú:
 Tường lửa mạnh mẽ: Các chính sách tường lửa nâng cao bảo vệ mạng và dữ
liệu của bạn.
 Hỗ trợ VLAN thuận tiện: Tạo các phân đoạn mạng ảo để tăng cường bảo mật

và quản lý mạng đơn giản
 DoS Defense: Tự động phát hiện và chặn các cuộc tấn công Từ chối Dịch vụ
(DoS) như TCP / UDP / ICMP Flooding, Ping of Death và các mối đe dọa liên
quan khác.



Lọc IP / MAC / URL: Ngăn chặn mạnh mẽ vi rút và các cuộc tấn công từ
những kẻ xâm nhập.
 Liên kết IP-MAC: Dành riêng chỉ định IP tĩnh cho máy khách để bảo vệ chống
lại các cuộc tấn cơng ARP và giả mạo.
 Kích hoạt ALG bằng một cú nhấp chuột: Kích hoạt ALG một lần nhấp cho các
ứng dụng như FTP, H323, SIP, IPsec và PPTP
TP-Link EAP245 đặc biệt được thiết kế cho các môi trường doanh nghiệp đòi
hỏi yêu cầu Wifi khắt khe nhất như trường học, khách sạn và các doanh nghiệp. TPLink EAP245 có thiết kế gắn trần đơn giản, cung cấp tổng tốc độ Wi-Fi 1750Mbps
cùng tính năng bảo mật phong phú chính là sự lựa chọn hàng đầu cho các doanh
nghiệp vừa và nhỏ:
 Bảo mật mạng khách với nhiều tùy chọn xác thực(SMS/Facebook Wi-Fi/
Voucher,v.v.)
 Mạng khách cung cấp quyền truy cập an toàn cho khách chia sẻ mạng Wi-Fi
của doanh nghiệp với tính năng Captive Portal giúp doanh nghiệp kiểm sốt
những khách được chỉ định mới có thể truy cập vào mạng.
 Việc bổ sung tính năng xác thực SMS và Facebook giúp đơn giản hóa cổng
thơng tin cá nhân, hơn nữa nhằm giúp việc kết nối với khách hàng dễ dàng hơn
và quảng bá doanh nghiệp của bạn.
4. Internal Firewall của Kaspersky
Thảm họa virus đối với hệ thống mạng là ám ảnh của những ai đã từng làm việc trong các
công ty. Khi virus lây lan trong hệ thống sẽ làm các hệ thống đóng băng hoặc hoạt động
khơng ổn định, gây ảnh hưởng đến hoạt động của công ty đặc biệt là các cơng ty có
xương sống là mạng máy tính – hoạt động dựa trên mạng máy tính.Để đề phòng sự lây

nhiễm virus cũng như sự lây lan phát tán của virus trên hệ thống, cài đặt một hệ thống
phịng chống virus là thực sự cần thiết.Nhóm chúng tôi quyết định sử dụng phần mềm
Kaspersky Endpoint Security để thực hiện công việc này
Khả năng nổi bật của Kaspersky Endpoint Security
 Kaspersky Endpoint Security for Business sở hữu các công nghệ chống phần mềm
độc hại mới nhất của Kaspersky Lab, kết hợp biện pháp bảo vệ dựa trên chữ ký,
chủ động và có sự hỗ trợ của web để phòng vệ hiệu quả, nhiều cấp. Cùng với các
bản cập nhật tự động từ Mạng Bảo mật Kaspersky trên nền tảng điện toán đám
mây, Kaspersky cung cấp phản ứng nhanh đối với các mối đe dọa mới và đang
phát triển.
 Bên cạnh khả năng chống phần mềm độc hại, Kaspersky Endpoint Security for
Business cịn bao gồm cơng nghệ qt lỗ hổng và công nghệ quản lý bản vá lỗi
giúp tiêu diệt các lỗ hổng trong hệ điều hành và phần mềm ứng dụng. Hơn thế
nữa, chức năng mã hóa linh hoạt của Kaspersky Endpoint Security for Business
giúp bảo vệ dữ liệu của cơng ty trong trường hợp máy tính xách tay hoặc thiết bị
lưu trữ có thể tháo rời, bị mất hoặc bị đánh cắp.
Cách thức hoạt động



Kaspersky Endpoint Security được chia thành 3 lớp chính
 Lớp đầu tiên chính là hệ thống tường lửa an ninh có nhiệm vụ chặn mọi sự xâm
nhập chưa được phân quyền bất hợp pháp. Tầng này hạn chế được sự truy cập số
lượng lớn như tấn công DDoS thường diễn ra làm tê liệt hệ thống.
 Tầng thứ hai quản lý việc truy xuất dữ liệu thông qua việc phân quyền. Nó giúp
chặn đứng mọi yêu cầu truy xuất dữ liệu khơng phù hợp hay có nghi vấn đề chờ
xử lý, đồng thời tiêu diệt mã độc ngay khi phát hiện. Tầng này rất quan trọng đối
với việc bảo vệ dữ liệu của công ty bởi các loại dữ liệu hệ thống quan trọng sẽ
được tầng này lưu giữ và chi phối.
 Và tầng cuối cùng chính là tầng đảm bảo cho việc phục hồi với các hệ thống sao

lưu tự động đảm nhận nhiệm vụ khôi phục các dữ liệu bị xóa hay bị mã hóa.
Mơ hình triển khai
Kaspersky Security Center (KSC) sẽ quản lý tập trung các máy chủ, máy trạm theo các
cấp độ khác nhau theo mô hình Master-Slave và có cơ chế cập nhật tự động hoặc thủ
công giúp giảm tiêu tốn tài nguyên mạng. Như sơ đồ trên, mô phỏng hệ thống triển khai
theo nhiều cấp độ, giúp bảo vệ các trụ sở theo số lượng máy tính khác, bảo vệ chi nhánh
và cả người dùng đi công tác.

VII. Kết luận
Để xây dựng một mạng máy tính cho một cơng ty, cần xác định nhu cầu hiện
tại và tương lai của công ty. Khi bạn đã hiểu rõ về nhu cầu thì việc xây dựng mạng
lưới văn phòng của bạn sẽ trở nên dễ dàng hơn nhiều.
Trên đây là toàn bộ nội dung về thiết kế mạng LAN cho doanh nghiệp
UOYMedia Company. Một trong những công ty phát triển trong lĩnh vực thương mại
điện tự tại Đà Nẵng
Trong phần báo cáo này, chúng em đã tìm hiểu được:


Mơ hình mạng, phân loại mạng



Các thiết bị kết nối, phương tiện truyền thông



Chia mạng




Thiết kế bản vẽ mạng



Phương án an toàn bảo mật cho mạng


Bảng phân cơng nhiệm vụ của nhóm
Nhiệm Vụ

Thành Viên

Mức độ hồn thành

Chọn cty, khảo sát doanh nghiệp

Cả Nhóm

100%

Giới thiệu doanh nghiệp

Thanh, Quỳnh Anh

100%

Mơ hình mạng, phân loại mạng

Thanh , Quỳnh Anh


100%

Các Thiết bị kết nối, phương tiện
truyền thông

Trinh, Viên

100%

Chia mạng

Viên, Thanh

100%

Thiết kế bản vẽ mạng

Hồng, Vi

100%

Phương án ATBM cho mạng

Thương , Trinh

100%

Kết luận

Quỳnh Anh, Thương


100%

Trình bày A0

Thương, Hồng, Viên, Vi

100%