TRƯỜNG ĐẠI HỌC KINH TẾ

KHOA THƯƠNG MẠI ĐIỆN TỬ
–––––––––––––––––––––––––––––––

Học phần
MẠNG VÀ TRUYỀN THÔNG
Báo cáo

THIẾT KẾ MẠNG LAN CHO DOANH NGHIỆP
Tên Nhóm

: Nhóm 9

Lớp học phần

: MIS3002_46K22.1

Sinh viên thực hiện

: Nguyễn Quỳnh Anh
Nguyễn Thị Như Hồng
Lê Thị Tiết Trinh
Hà Thị Thanh
Phan Thị Hoài Thương
Dương Hoàng Thúy Vi
Nguyễn Thị Huỳnh Viên

Giảng viên hướng dẫn

: Nguyễn Thị Uyên Nhi

Đà Nẵng, 09/2022


Mục lục

Giới thiệu doanh nghiệp va khảo sat hiện trạng mạng tại doanh
nghiệp 3
I.

1.

Giới thiệu doanh nghiệp..............................................................................3

2.

Khảo sát hiện trạng về doanh nghiệp..........................................................3

II.

Mơ hình mạng, phân loại mạng..................................................................4

1.

Mơ hình mạng.............................................................................................4

2.

Phân loại mạng áp dụng cho doanh nghiệp.................................................5


III. Cac thiết bị kết nối, phương tiện truyền thông..........................................7
IV.

Chia mạng................................................................................................... 11

V.

Thiết kế bản vẽ mạng................................................................................. 12

VI. Phương an an toan bảo mật cho mạng..................................................... 14
VII. Kết luận........................................................................................................ 17


I.
Giới thiệu doanh nghiệp va khảo sat hiện trạng mạng tại
doanh nghiệp
1. Giớớ́i thiệệ̣u doanh nghiệệ̣p
UOYMedia Company là một công ty có tốc độ phát triển mạnh mẽ trong lĩnh vực
thương mại điện tử xuyên biên giới tại Việt Nam. Đây là công ty chuyên về thiết kế và
san xuất cac mặt hang in ấn POD cho thi trường Châu Mỹ va Châu Âu. Ngồi ra cịn
Thiết kế phần mềm công nghệ, cung cấấ́p các dịch vụ giải pháp về Digital Marketing…
Cơng ty có hơn 5 năm kinh nghiệm về thương mại điện tử với hàng triệu sản phẩm
được bán ra trên thị trườờ̀ng quốc tế nhờờ̀ 6 bộ phậệ̣n chủ chốt của doanh nghiệp, bao
gồm hơn 50 nhân sự làm việc toàn thờờ̀i gian và đang ngày càng phát triển khơng
ngừng.

Hình 1: Giới thiệu doanh
nghiệp 2. Khảả̉o sát hiệệ̣n trạệ̣ng vềề̀ doanh
nghiệệ̣p
Cấấ́u trúc tòa nhà và tổ chức hệ thống máy tính của cơng ty



Các phịng ban được đặặ̣t vị trí ở 3 tầng, cụ thể:


Tâng 1: Gồm có 3 Phịng
Phịng thiết kế + Idea : 20 nhân viên
Phịng hành chính - nhân sự: 7 nhân viên
Phịng kế tốn: 5 nhân viên
Phịng kỹỹ̃ thuật - IT: 15 nhân viên
Phòng marketing: 10 nhân viên
Phòng giám đốc: 2 nhân viên
Tầng 3: tầng quản lý tập trung các máy chủ quan trọng của công ty. (5 server)

II. Mô hình mạng, phân loại mạng
1. Mô hìề̀nh mạệ̣ng
Thực hiện truyền thông, kết nối các thiết bị của công ty với nhau trên Internet thông
qua mô hìề̀nh TCP/IP
Mô hìề̀nh TCP/IP là sự kết hợp giữa hai giao thức. Trong đó, IP là giao thức liên
mạng cho phép những gói tin được gửi đến khu vực đã định sẵn.
Giao thức này được thực hiện bằng cách thêm những thông tin dẫn đườờ̀ng vào các gói
tin để đến đúng nơi được định sẵn từ ban đầu. Còn TCP - giao thức truyền vận giúp
kiểm tra và đảm bảo sự an toàn cho mỗi gói tin khi đi qua từng trạm.
Trong q trình thực hiện, nếu giao thức TCP nhận thấấ́y gói tin bị lỗi thì sẽ truyền tín
hiệu và u cầu hệ thống gửi lại một gói tin khác. Q trình này sẽ được làm rõ hơn ở
mục chức năng của mỗi tầng trong mơ hìề̀nh TCP/IP.
Mơ hình tcp/ip gồm có 4 tầng từ vật lý thấấ́p nhấấ́t đến tầng ứng dụng là tầng cao nhấấ́t
Tầng 4: Tầng ứng dụng (Application)
Đây là tầng giao tiếp trên cùng của mơ hình TCP/IP. Tầng ứng dụng có vai trị giao
tiếp dữ liệu giữa 2 máy khác nhau thơng qua những dịch vụ mạng (trình duyệt web,

email, chat, một số giao thức trao đổi dữ liệu: SSH, SMTP, FTP,...).
Khi đến tầng ứng dụng, dữ liệu sẽ được định dạng theo kiểu Byte nối Byte, cùng với
đó là những thông tin định tuyến giúp xác định đườờ̀ng đi đúng của một gói tin.
Tầng 3: Tầng giao vận (Transport)
Chức năng chính của tầng 3 là xử lý vấấ́n đề giao tiếp giữa những máy chủ trong cùng
một mạng hoặặ̣c khác mạng được kết nối với nhau nhờờ̀ bộ định tuyến. Ở tầng 3, dữ liệu
sẽ được phân đoạn, mỗi đoạn tuy khơng bằng nhau nhưng kích thước phải nhỏ hơn
64KB. Lúc này, cấấ́u trúc đầy đủ của một segment là header chứa thông tin điều khiển
và tiếp đến là dữ liệu.
Trong tầng 3 có 2 giao thức cốt lõi là TCP và UDP. TCP đảm bảo chấấ́t lượng gói tin
nhưng tốn thờờ̀i gian khá lâu để kiểm tra đầy đủ thông tin (từ thứ tự cho đến việc kiểm
soát vấấ́n đề tắc nghẽn lưu lượng dữ liệu). Ngược lại, UDP giúp tốc độ đườờ̀ng truyền
nhanh hơn nhưng không đảm bảo chấấ́t lượng dữ liệu được gửi đi.


Tầng 2: Tầng mạng (Internet)
Giống như tầng mạng của mô hình OSI, tầng 2 của TCP/IP là một giao thức chịu
trách nhiệm truyền tải dữ liệu trong mạng một cách logic.
Những phân đoạn dữ liệu sẽ được đóng gói (Packets) có kích thước phù hợp với mạng
chuyển mạch dùng để truyền tải dữ liệu. Những gói tin được chèn thêm phần header
chứa thông tin của tầng mạng và chuyển đến tầng tiếp theo.
Những giao thức chính trong tầng bao gồm: ICMP, IP và ARP.
Tầng 1: Tầng vật lý (Physical)
Đây là tầng chịu trách nhiệm truyền dữ liệu giữa hai thiết bị trong cùng một mạng. Tại
tầng 1, những gói dữ liệu được đóng vào khung (Frame) và định tuyến đi đến đích
như chỉ định ban đầu.

2. Phân loạệ̣i mạệ̣ng áp dụng cho doanh
nghiệệ̣p a. Phân loạệ̣i theo cấu hìề̀nh mạệ̣ng:
Mạệ̣ng dạệ̣ng hìề̀nh sao Star

Cấấ́u trúc liên kết mạng hình sao là một trong những cấấ́u trúc liên kết được sử dụng
phổ biến nhấấ́t hiện nay vì tính đơn giản và hiệu quả của nó.
Trong loại cấấ́u trúc liên kết này, một nút tập trung nằm ở lõi của cấấ́u trúc liên kết
mạng, trong đó tấấ́t cả các nút khác phải giao tiếp thông qua. Cấấ́u trúc liên kết này chủ
yếu được sử dụng trong gia đình và văn phịng ngày nay.
Ưu điểm
Dễ dàng cài đặặ̣t và thực hiện đi dây.
Dễ dàng khắc phục sự cố và phát hiện các sự cố trong mạng.
Nếu một thiết bị bị lỗi, nó khơng ảnh hưởng đến các thiết bị khác trong mạng.
Bạn có thể dễ dàng thêm hoặặ̣c bớt thiết bị mà không ảnh hưởng đến phần còn lại
của mạng.
Quản lý và giám sát tập trung thông qua bộ chuyển mạch trung tâm.
Nhược điểm
Nhược điểm chính của việc sử dụng cấấ́u trúc liên kết này là nó có một điểm lỗi
duy nhấấ́t, tức là khi nút chuyển mạch trung tâm bị hỏng, sẽ có sự gián đoạn giao
tiếp cho tấấ́t cả các thiết bị được kết nối.
Cần thêm hệ thống cáp vì bạn kết nối từng thiết bị riêng lẻ với nút trung
tâm. Hiệu suấấ́t của toàn mạng phụ thuộc vào hiệu suấấ́t của nút trung tâm.

b. Phân loạệ̣i theo khoảả̉ng cách địệ̣a lý
Sử dụng mạệ̣ng cục bộ LAN


Phạm vi kết nối là trong một tòa nhà 3 tầng, nên hệ thống mạng LAN sẽ là sự lựa
chọn phù hợp, mang đến nhiều tiện ích cho cơng ty. Ứng dụng mạng cục bộ chính là
để các máy tính trong cùng hệ thống có thể chia sẻ, sử dụng tài nguyên nhanh chóng,
dễ dàng hay truy cập Internet. Bên cạnh đó, cịn kết nối để truyền lệnh đến các thiết bị
ngoại vi là máy in, máy scan, máy fax,…
Hệ thống mạng Lan hiện đại được kết nối theo 2 cách thông dụng là sử dụng wifi
(mạng cục bộ không dây) và sử dụng dây Ethernet kết nối (mạng cục bộ nối dây).

Trong đó:
Mạng LAN Ethernet là loại mạng Lan truyền thống. Kiến trúc mạng cục bộ kiểu này
thống bao gồm một hoặặ̣c nhiều trung tâm, thiết bị chuyển mạch hoặặ̣c bộ định tuyến
truyền thống mà các thiết bị riêng lẻ kết nối với thông qua cáp Ethernet.
Mạng cục bộ LAN wifi thì bao gồm một hoặặ̣c nhiều điểm truy cập, các thiết bị được
đặặ̣t trong phạm vi có tín hiệu kết nối không cần dây dẫn. Các điểm truy cập này lần
lượt quản lý lưu lượng mạng đến và đi từ các thiết bị cục bộ và cũng có thể giao tiếp
mạng cục bộ với các mạng bên ngoài. Đối với mạng LAN gia đình quy mơ nhỏ, các
bộ định tuyến băng thông rộng không dây thực hiện các chức năng của một điểm truy
cập.
Dù là hệ thống mạng LAN có dây Ethernet hay mạng LAN khơng dây thì đều cho
phép các thiết bị kết nối trực tiếp với nhau, không thông qua thiết bị trung tâm.
Về giao thức mạng được sử dụng trên mạng cục bộ máy tính chủ yếu là giao thức
Internet (IP). Hầu hết các hệ điều hành mạng phổ biến ngày nay đều có hỗ trợ tích
hợp cho cơng nghệ TCP / IP cần thiết.

c. Phân loạệ̣i theo chức năng
Mô hìề̀nh mạệ̣ng khách - chủ( Client/Serve):
Máy tính hoạt động như một máy chủ: có thể cung cấấ́p tài nguyên và dịch vụ cho các
máy trạm khác trong mạng. Máy chủ hỗ trợ các thao tác trên máy trạm khách hiệu
quả hơn.
Máy tính và thiết bị ngoại vi hoạt động như một máy trạm: không cung cấấ́p tài
nguyên cho máy tính hoặặ̣c thiết bị ngoại vi khác mà chỉ sử dụng những tài nguyên do
máy chủ cung cấấ́p. Tùy thuộc vào nhu cầu của công ty, một máy khách trong một mơ
hình này có thể là một máy chủ trong một mơ hình khác.
Ưu điểm
Hoạt động trên bấấ́t kỳ máy tính nào hỗ trợ giao thức truyền thơng.
Mơ hình máy chủ khách chỉ mang đặặ̣c điểm của phần mềm, khơng liên quan gì
đến phần cứng, u cầu duy nhấấ́t là máy chủ phải có cấấ́u hình cao hơn máy khách.
Máy chủ khách hàng cung cấấ́p cho ngườờ̀i dùng nhiều dịch vụ khác nhau và sự tiện

lợi của việc truy cập từ xa khơng có trên các mẫu máy cũ.


Nhược điểm
Khả năng bảo mật kém do nhu cầu trao đổi dữ liệu giữa máy trạm và máy chủ.
Luôn phải có 1 máy chủ hoạt động 24/7 để duy trì tồn bộ hệ thống mạng. Vì phụ
thuộc vào máy chủ nên nếu máy chủ bị lỗi thì tồn bộ hệ thống mạng sẽ dừng.
Chi phí lắp đặặ̣t cao
d. Phân loạệ̣i theo phương thức truyềề̀n tin
Point to point
Trong hệ thống mạng này, các máy tính được nối lại với nhau thành từng cặặ̣p nút và
mỗi nút đều có trách nhiệm lưu trữ tạm thờờ̀i sau đó khi đườờ̀ng truyền rỗi. Khung dữ
liệu sẽ được gửi đi sẽ được truyền trực tiếp từ máy gửi đến máy nhận hoặặ̣c được
chuyển tiếp qua nhiều máy trung gian trước khi đến máy tính nhận. Do vậy mà mạng
loại này còn được gọi là mạng "lưu và chuyển tiếp" (store and forward).
Kết nối point to point bằng Wifi giúp chia sẻ những tài liệu và các ứng dụng bảo mật
riêng của doanh nghiệp UOYMedia Company. Với cả đảm bảo chỉ có duy nhấấ́t một
hệ thống quản lý LAN nhấấ́t quán.
Tốc độ - data rate và thông lượng - throughput phải cao, chấấ́t lượng phải đủ cạnh
tranh với những cách kết nối mạng có dây.
Tạo nhiều cầu nối khác nhau, phục vụ nhiều ngườờ̀i dùng cùng 1 lúc.
Nhanh chóng khơi phục độ phủ sóng và truyền tải vơ tuyến khi có thiên tai: lũ lụt, hoả
hoạn, các lỗi do nhà cung cấấ́p như (dây truyền mạng đứt, trạm phát sóng vơ tuyến bị
hư hại,... )
Một kế hoạch dự phòng cho những sự cố đối với những doanh nghiệp hoạt động đặặ̣c
thù liên quan về việc 24/24 thông tin phải thông suốt liên tục

III. Cac thiết bị kết nối, phương tiện truyền thông
Stt


Tên

1

Server

2

Switch 24
port

3

Switch 16
port


4

Switch 8 port

5

Modem

6

Firewall

7


Router

8

Máy in

9

Client

10

Đầu cáp RJ

11

Dây cáp

12

Cáp quang

1. Switch Cisco SF95D-08
Thiết bị chuyển mạch Cisco 95 Series cung cấấ́p một giải pháp dễ sử dụng cho mạng
lưới doanh nghiệp nhỏ c
Dễ sử dụng: thiết bị chuyển mạch Cisco 95 Series hoạt động ngay trên hộp, khơng có
phần mềm để cài đặặ̣t và khơng có gì để cấấ́u hình. Mỗi cổng chuyển mạch sẽ tự động
đặặ̣t tốc độ tối ưu và xác định xem có chạy tự động ở chế độ nửa hoặặ̣c chế độ song
cơng hồn tồn hay khơng. Là giải pháp của Cisco dựa trên tiêu chuẩn, thiết bị chuyển

mạch dòng Cisco 95 Series cũng được thiết kế để ngay lập tức chứa tấấ́t cả các thiết bị
trong mạng của bạn, bao gồm:
– Hỗ trợ tốc độ 10 Mb / giây, 100 Mbps và tối đa 1 Gb / giây (1000 Mbps) trong cùng
một mạng
– Phát hiện cáp tự động, do đó bạn khơng phải lo lắng về việc sử dụng loại cáp sai
– Tương thích với các thiết bị mạng từ các nhà cung cấấ́p khác
2. Switch Cisco SF350-24-K9-EU
Cisco SF350-24-K9-EU được thiết kế tối giản đúng như mục đích sử dụng nó với 24
Port RJ45 tốc độ 10/100Mbps, kèm theo đó là 2 cổng 10/100/1000, 2 kết hợp miniGBIC phục vụ cho kết nối LAN như các dòng cao hơn.


Tự động chuyển chế độ cáp thẳng (MDI/MDI-X) cùng với đó các tính năng địa chỉ
học tập
Kiểm sốt lưu lượng dữ liệu giúp cho việc truyền tải dữ liệu được tối ưu hơn.
3. Switch Cisco 16 Port 10/100 SF90D-16
Sở hữu tới 16 cổng kết nối có tốc độ 10/100/1000Mbps giúp q trình truyền nhận tín
hiệu diễn ra nhanh chóng, Switch Cisco 16 cổng rấấ́t thích hợp dùng cho các đơn vị,
doanh nghiệp có quy mơ vừa và nhỏ.
Hơn thế, loại thiết bị này cịn có khả năng loại bỏ tấấ́t cả các gói tin bị lỗi, đồng thờờ̀i có
thể tiết kiệm tới 15% điện năng và kiểm soát luồng IEEE 802.3x cho Full Duplex và
Backpressure cho Half Duplex.
Đặặ̣c biệt, với Switch Cisco 16 cổng sở hữu cấấ́u trúc chuyển mạch non - blocking giúp
chuyển tiếp và lọc gói tin với tốc độ nhanh cho thông lượng cao.
Cũng giống như Switch Cisco 16 cổng gigabit về cấấ́u tạo, công dụng, nhưng Switch
Cisco 16 cổng 10/100Mbps lại được trang bị thêm tính năng nhận biết thơng minh,
giúp thiết bị có thể tự động chuyển đổi sang cáp thẳng hoặặ̣c cáp chéo.
4. Cáp quang UTP (cat 6e)
Cáp mạng UTP, là loại cáp thườờ̀ng được sử dụng nhiều nhấấ́t hiện nay trong các doanh
nghiệp có quy mơ vừa và nhỏ.
So với các loại dây cáp mạng khác, Cat6A có cấấ́u tạo đặặ̣c biệt hơn. Điều này cho phép

Cat6A mang lại khả năng truyền tải dữ liệu nhanh với khoảng cách xa.
- Cấấ́u tạo: Cat6A được cấấ́u tạo từ 5 thành phần trong mỗi sợi cáp (4 cặặ̣p dây đồng,
rãnh tứ chống nhiễu chéo, lớp bọc PS cách nhiệt, lớp băng nhôm chống nhiễu, chỉ cắt
vỏ và lớp vỏ PVC bảo vệ)
Lớp vỏ bọc ngoài cùng của cáp Cat6 được làm từ nhựa dẻo PVC rấấ́t khó cháy cùng
với khả năng đàn hồi cao giúp cho dây chịu được các tác động trước sự thấấ́t thườờ̀ng
của thiên nhiên và các tác nhân bên ngồi.
Cat6A có khả năng dẫn truyền thông tin tốt mà không chịu nhiều ảnh hưởng bởi điều
kiện môi trườờ̀ng. Băng thông của Cat6A có thể đạt tới 500 MHZ.
5. Cáp đồng trục RG-6
Đây là loại cáp sở hữu độ dày vừa đủ, khả năng chống nhiễu và chống chọi được môi
trườờ̀ng khắc nghiệt tốt. Loại cáp RG 59 được sử dụng cho nhiều mục đích như đi
ngồi trờờ̀i, đi âm trần hoặặ̣c trong nhà. Loại dây này có giá thành khá cao. RG 59 chủ
yếu dùng nhiều cho cơng trình văn phịng, building, tòa nhà, dự án. Khoảng cách tối
đa của RG-59 là 300-400m.
6. Đầu nốớ́i RJ-45


Các dây cáp RJ45 được sử dụng phổ biến trong kết nối mạng LAN (mạng máy tính
cục bộ), cho phép các máy tính ở gần nhau có thể kết nối để làm việc và chia sẻ dữ
liệu.
7. Firewall: ASA5585X
Cisco ASA ASA5508-K8 với dịch vụ FirePOWER là tườờ̀ng lửa thế hệ mới - nextgeneration firewall (NGFW) của Cisco, có chức năng IPS, mang đến các dịch vụ bảo
mật tập trung vào mối đe dọa đặặ̣c biệt. Cisco ASA ASA5508-K8 bảo vệ toàn diện hệ
thống mạng khỏi các mối đe dọa đã biết và nâng cao, bao gồm bảo vệ chống lại các
cuộc tấấ́n công phần mềm độc hại được nhắm mục tiêu và liên tục.
Cisco ASA ASA5508-K8 được sử dụng cho các doanh nghiệp vừa và nhỏ với số
lượng user ít, hoặặ̣c sử dụng làm firewall trong 1 VLAN nhỏ.
Hỗ trợ VPN Site -to-site và remote access VPN, cung cấấ́p khả năng truy cập hiệu suấấ́t
cao, bảo mật cao và tính sẵn sàng cao để giúp đảm bảo tính liên tục của doanh nghiệp.

Cisco ASA5508-K8 là tườờ̀ng lửa trạng thái cấấ́p doanh nghiệp được triển khai rộng rãi
nhấấ́t trên thế giới. Cisco ASA5508-K8 với dịch vụ FirePOWER có các tính năng tồn
diện sau:
Khả năng hiển thị và kiểm sốt ứng dụng chi tiết (AVC) hỗ trợ hơn
4.000 lớp ứng dụng và các hoạt động dựa trên các chính sách phát hiện mối
đe dọa xâm nhập (IPS) phù hợp để tối ưu hóa hiệu quả bảo mật.
Cung cấấ́p khả năng ngăn chặặ̣n mối đe dọa và nhận thức đầy đủ về
ngườờ̀i dùng, cơ sở hạ tầng, ứng dụng và nội dung để phát hiện các mối đe
dọa.
Lọc URL và danh mục, cung cấấ́p cảnh báo tồn diện và kiểm sốt
lưu lượng truy cập web và thực thi chính sách trên hàng trăm triệu URL
trong hơn 80 danh mục.
AMP cung cấấ́p cung cấấ́p các cơ chế phát hiện phần mềm đọc hại,
sandbox, với tổng chi phí sở hữu thấấ́p và giá trị bảo vệ cao cấấ́p giúp bạn
khám phá, hiểu và ngăn chặặ̣n phần mềm độc hại và các mối đe dọa mới bị
các lớp bảo mật khác bỏ qua.
8. Router Draytek Vigor2926
Dòng Router Draytek 2926 Series cho phép kết nối đồng thờờ̀i lên đến 4 đườờ̀ng
Internet, cân bằng tải hoặặ̣c chuyển đổi dự phịng. Vigor2926 series khơng chỉ là thiết
bị kết nối Internet đáng tin cậy, mà còn là cổng kết nối tườờ̀ng lửa linh hoạt và máy chủ
VPN, thiết bị cũng bao gồm các tính năng quản lý mạng LAN tồn diện như VLAN,
quản lý băng thông (Bandwidth Management), quản lý dịch vụ (Quality of service),
kiểm soát DNS, giúp Vigor2926 trở thành một giải pháp hoàn hảo cho doanh nghiệp.
Ưu điểm:


Cổng WAN kép + kết nối modem di động USB với khả năng chuyển đổi dự phòng
Bảng điều khiển duy nhấấ́t quản lý từ xa các switch mạng và điểm truy cập
Hỗ trợ VPN cho các kết nối từ xa
Nhược điểm:

Cần các thiết bị DrayTek khác cho nhiều mục đích sử dụng
Cần nhiều kiến thức để tìm hiểu
các tính năng chun sâu
Thơng lượng khơng dây trung bình ở phạm vi xa hơn
DrayTek Vigor 2926 là một router cao cấấ́p phù hợp với các doanh nghiệp vừa và nhỏ
nhưng đủ thân thiện với ngườờ̀i dùng và đủ mạnh để cung cấấ́p tốc độ Internet và phát
triển hệ thống mạng mở rộng.
9.
Máy in Canon
LBP3300: Chấấ́t lượng in tốt
Dễ sử dụng Phần
mền tốt Hỗ trợ kỹỹ̃
thuật tốt
10. Máy Chủ Dell PowerEdge T40
Là dòng máy chủ Dell có cấấ́u hình cao nhưng giá cả vô cùng hợp lý. Là sản phẩm hỗ
trợ tốt nhấấ́t cho doanh nghiệp đang phát triển hoặặ̣c các công ty khởi nghiệp. Server
Dell T40 hỗ trợ các tính năng cơ bản giải quyết tấấ́t cả các khối lượng công việc như:
Lưu trữ, chia sẻ, bảo mật dữ liệu.
Ưu điểm:
Cấấ́u hình mạnh mẽ, thiết kế nhỏ gọn: Dell PowerEdge T40 là một dạng Tower
máy chủ chuyên biệt cho các tổ chức hay chi nhánh văn phòng với cơ sở hạ
tầng dưới hai server. Thiết kế dạng đứng nhỏ gọn giúp dễ dàng sắp xếp linh
hoạt cho không gian làm việc.
Tối ưu hiệu suấấ́t làm việc: giúp doanh nghiệp chia sẻ, cung cấấ́p dữ liệu nhanh
chóng, cụ thể cho đội ngũ nhân sự hay đối tác, khách hàng mà không cần phải
tốn thờờ̀i gian, di chuyển, phí chuyển đổi…
11.
Dell PowerEdge T40 Được
sử dụng trong các ứng dụng:
Ứng dụng tương tác và chia sẻ công việc

Ứng dụng cho hệ thống Email/Messaging
Ứng dụng cho khối văn phịng, tài chính ngân hàng
Các ứng dụng về thương mại điện tử, bán hàng trực tuyến

IV. Chia mạng
Room

Subnet ID

Subnet Mask

Broadcast


Phịng thiếớ́t kếớ́ + Idea
Phịng hành chính - nhân
sự
Phịng kếớ́ tốn
Phịng kỹ tḥệ̣t - IT
Phịng marketing
Phịng giám đớớ́c

V.

Thiết kế bản vẽ mạng

Có tấấ́t cả 5 server, trên mỗi server chạy các dịch vụ khác nhau để tiết kiệm chi phí.
Chi tiết về các dịch vụ trên mơ hình chức năng sau:

Hình 2: Mơ hình chức năng



Hình 3: Mơ hình vật lý

Hình 4: Mơ hình IP
Chi tiết công nghệ sử dụng:


Sử dụng Window Server 2003 để cài đặặ̣t và quản lý tấấ́t cả dịch vụ quan trọng
trong công ty
File server: Lưu trữ, chia sẽ, quản lý dữ liệu tập trung
Domain Controller, DNS, DHCP server: quản lý hệ thống các đối tượng, phân giải
tên, cấấ́p phát IP động cho toàn bộ vùng mạng LAN
Web, FTP, Printer server: Quản lý web, ftp và máy in mạng.
RIS, WSUS: triển khai hệ điều hành, cập nhật các bản vá lỗi cho hệ thống
RRAS, Antivirus: làm chức năng router (Lan-Routing, VPN, NAT), quản lý vi
quét virus cho các antivirus client trên máy nhân viên và cập nhật các bản diệt
virus mới từ internet.

VI. Phương an an toan bảo mật cho mạng
Tính bảo mật được thể hiện trên ba phương diện:
Vùng mạng nội bộ chính là hệ thống kết nối giữa các thiết bị của doanh nghiệp
bao gồm: máy chủ, các thiết bị mạng, các trạm mạng.
Vùng mạng DMZ giữ vai trò trong việc kết nối thông tin của ngườờ̀i sử dụng
mạng Internet truy cập vào vùng mạng nội bộ. Vùng này nằm trung gian, ở
giữa vùng mạng nội bộ và vùng mạng server.
Vùng mạng server là vùng hoạt động các thiết bị gián tiếp bao gồm cả máy chủ
và nơi cung cấấ́p dịch vụ ngoài internet
1. Vùng DMZ kếớ́t hợp cùng hệệ̣ thốớ́ng tường lửa đa tầng
DMZ(Demilitarized Zone) là 1 vùng nằm giữa LAN(Local Area Network) và internet.

DMZ là nơi chứa các server và cung cấấ́p các service cho các host trong LAN cũng
như các host từ các LAN bên ngoài. Là bước cuối cùng các packet qua trước khi
truyền vào internet, và cũng là nơi đầu tiên packet đến trước khi vào mạng LAN.
Nếu hacker từ mạng bên ngồi kiểm sốt được các public server như Web, Mail, FTP?
Rấấ́t có thể hacker sẽ dựa vào các server đã bị chiếm đoạt này để đánh vào các server
khác (như DNS, DHCP, Directory Service…) cũng như thâm nhập sâu hơn vào các
máy trạm bên trong.
Vậy để giảm thiệt hại cho các host của LAN ta sẽ dùng DMZ. DMZ sẽ có đườờ̀ng
mạng hoặặ̣c subnet mạng khác với mạng internal như vậy các host từ mạng LAN khác
không thể truy cập đến các host trong LAN nhưng vẫn có thể sử dụng dịch vụ mà
DMZ cung cấấ́p.
Hệ thống tườờ̀ng lửa đa tầng
Firewall thứ nhấấ́t (được gọi là front-end firewall) có một NIC nối với mạng
external (external interface) và NIC còn lại nối với DMZ (internal interface).
Front-end firewall này có nhiệm vụ kiểm sốt traffic từ Internet tới DMZ và
mạng internal.
Firewall thứ hai (được gọi là back-end firewall) có một NIC nối với DMZ
(external interface) và NIC cịn lại nối với mạng internal (internal interface).


Back- end firewall này có nhiệm vụ kiểm sốt traffic từ DMZ và Internet tới
mạng internal.
Rõ ràng, so với single firewall thì giải pháp này tốn kém hơn về chi phí triển khai khi
phải đầu tư tới hai thiết bị firewall tách biệt nhưng về mặặ̣t hiệu suấấ́t và độ an toàn cho
hệ thống mạng sẽ được cải thiện.
2. Hệệ̣ thớớ́ng phịng chớớ́ng xâm nhậệ̣p
Hiện nay các hình thức tấấ́n cơng của ngườờ̀i có ý đồ xấấ́u ngày càng nhiều và tinh vi. Ví
dụ: Trong đơn vị có thể tự cài đặặ̣t các công cụ (Ethereal, Cain & abel…) trên máy tính
làm việc hoặặ̣c máy tính xách tay để tiến hành nghe lén hay quét trực tiếp lên các máy
chủ, từ đó có thể lấấ́y các tài khoản email, Web, SQL server nhằm thay đổi dữ liệu,

thay đổi lịch công tác…các hình thức tấấ́n cơng kiểu này, hệ thống tườờ̀ng lửa không thể
phát hiện [3].
Giải pháp hữu hiệu cho thực trạng này là xây dựng hệ thống IDS/IPS (Intrusion
Detection System/Intrusion prevention system). IDS/IPS là hệ thống bảo mật vô cùng
quan trọng, nó có khả năng phát hiện ra các cuộc tấấ́n công dựa vào các dấấ́u hiệu thiết
lập sẵn hoặặ̣c các đoạn mã độc hại, bấấ́t thườờ̀ng trên giao thông mạng; đồng thờờ̀i có thể
loại bỏ chúng trước khi có thể gây hại cho hệ thống.
IPS thườờ̀ng được đặặ̣t phía sau Firewall và hoạt động như một bộ lọc thứ cấấ́p đối với
các hoạt động độc hại. Do IDS (Intrusion Detection System) được đặặ̣t inline nên
chúng có khả năng phân tích và thực hiện các tác vụ tự động trên tấấ́t cả các luồng lưu
lượng mạng. Các tác vụ này bao gồm cảnh báo cho quản trị viên, lược bỏ các gói tin
nguy hiểm, tạm dừng lưu lượng truy cập đến từ các địa chỉ nguồn độc hại và khởi
động lại các kết nối.
Hệ thống IPS hoạt động hiệu quả phải đảm bảo giảm thiểu tối đa việc cản trở hiệu
năng truy cập mạng. Ngoài ra, các hệ thống IPS phải hoạt động đủ nhanh và chính xác
để có thể phát hiện được các hoạt động độc hại theo thờờ̀i gian thực và giảm thiểu được
cảnh báo giả.
3. Sử dụng thiếớ́t bịệ̣ chun dụng có tính năng bảả̉o mậệ̣t phong phú
Router TP-Link R605 và Access Point TP-Link EAP245 dành cho doanh nghiệp có
quy mơ sử dụng dưới 80 thiết bị
TP-Link R605 cho phép các doanh nghiệp có thể quản lý từ xa và tập trung mọi lúc
mọi nơi. Sản phẩm có VPN bảo mật cao và sở hữu tính năng bảo mật phong phú:
Tườờ̀ng lửa mạnh mẽ: Các chính sách tườờ̀ng lửa nâng cao bảo vệ mạng và dữ
liệu của bạn.
Hỗ trợ VLAN thuận tiện: Tạo các phân đoạn mạng ảo để tăng cườờ̀ng bảo mật
và quản lý mạng đơn giản
DoS Defense: Tự động phát hiện và chặặ̣n các cuộc tấấ́n công Từ chối Dịch vụ
(DoS) như TCP / UDP / ICMP Flooding, Ping of Death và các mối đe dọa liên
quan khác.
Lọc IP / MAC / URL: Ngăn chặặ̣n mạnh mẽ vi rút và các cuộc tấấ́n công từ

những kẻ xâm nhập.


Liên kết IP-MAC: Dành riêng chỉ định IP tĩnh cho máy khách để bảo vệ chống
lại các cuộc tấấ́n công ARP và giả mạo.
Kích hoạt ALG bằng một cú nhấấ́p chuột: Kích hoạt ALG một lần nhấấ́p cho các
ứng dụng như FTP, H323, SIP, IPsec và PPTP
TP- Link EAP245 đặặ̣c biệt được thiết kế cho các môi trườờ̀ng doanh nghiệp đòi hỏi yêu
cầu Wifi khắt khe nhấấ́t như trườờ̀ng học, khách sạn và các doanh nghiệp. TP-Link
EAP245 có thiết kế gắn trần đơn giản, cung cấấ́p tổng tốc độ Wi-Fi 1750Mbps cùng
tính năng bảo mật phong phú chính là sự lựa chọn hàng đầu cho các doanh nghiệp vừa
và nhỏ:
Bảo mật mạng khách với nhiều tùy chọn xác thực(SMS/Facebook Wi-Fi/
Voucher,v.v.)
Mạng khách cung cấấ́p quyền truy cập an toàn cho khách chia sẻ mạng Wi-Fi
của doanh nghiệp với tính năng Captive Portal giúp doanh nghiệp kiểm soát
những khách được chỉ định mới có thể truy cập vào mạng.
Việc bổ sung tính năng xác thực SMS và Facebook giúp đơn giản hóa cổng
thông tin cá nhân, hơn nữa nhằm giúp việc kết nối với khách hàng dễ dàng hơn
và quảng bá doanh nghiệp của bạn.
4. Internal Firewall của Kaspersky
Thảm họa virus đối với hệ thống mạng là ám ảnh của những ai đã từng làm việc trong các
công ty. Khi virus lây lan trong hệ thống sẽ làm các hệ thống đóng băng hoặặ̣c hoạt động
không ổn định, gây ảnh hưởng đến hoạt động của công ty đặặ̣c biệt là các công ty có
xương sống là mạng máy tính – hoạt động dựa trên mạng máy tính.Để đề phịng sự lây
nhiễm virus cũng như sự lây lan phát tán của virus trên hệ thống, cài đặặ̣t một hệ thống
phòng chống virus là thực sự cần thiết.Nhóm chúng tơi quyết định sử dụng phần mềm
Kaspersky Endpoint Security để thực hiện công việc này
Khảả̉ năng nổi bậệ̣t của Kaspersky Endpoint Security
Kaspersky Endpoint Security for Business sở hữu các công nghệ chống phần mềm

độc hại mới nhấấ́t của Kaspersky Lab, kết hợp biện pháp bảo vệ dựa trên chữ ký,
chủ động và có sự hỗ trợ của web để phòng vệ hiệu quả, nhiều cấấ́p. Cùng với các
bản cập nhật tự động từ Mạng Bảo mật Kaspersky trên nền tảng điện toán đám
mây, Kaspersky cung cấấ́p phản ứng nhanh đối với các mối đe dọa mới và đang
phát triển.
Bên cạnh khả năng chống phần mềm độc hại, Kaspersky Endpoint Security for
Business cịn bao gồm cơng nghệ quét lỗ hổng và công nghệ quản lý bản vá lỗi
giúp tiêu diệt các lỗ hổng trong hệ điều hành và phần mềm ứng dụng. Hơn thế
nữa, chức năng mã hóa linh hoạt của Kaspersky Endpoint Security for Business
giúp bảo vệ dữ liệu của công ty trong trườờ̀ng hợp máy tính xách tay hoặặ̣c thiết bị
lưu trữ có thể tháo rờờ̀i, bị mấấ́t hoặặ̣c bị đánh cắp.
Cách thức hoạệ̣t động
Kaspersky Endpoint Security được chia thành 3 lớp chính


Lớp đầu tiên chính là hệ thống tườờ̀ng lửa an ninh có nhiệm vụ chặặ̣n mọi sự xâm
nhập chưa được phân quyền bấấ́t hợp pháp. Tầng này hạn chế được sự truy cập số
lượng lớn như tấấ́n công DDoS thườờ̀ng diễn ra làm tê liệt hệ thống.
Tầng thứ hai quản lý việc truy xuấấ́t dữ liệu thông qua việc phân quyền. Nó giúp
chặặ̣n đứng mọi yêu cầu truy xuấấ́t dữ liệu khơng phù hợp hay có nghi vấấ́n đề chờờ̀
xử lý, đồng thờờ̀i tiêu diệt mã độc ngay khi phát hiện. Tầng này rấấ́t quan trọng đối
với việc bảo vệ dữ liệu của công ty bởi các loại dữ liệu hệ thống quan trọng sẽ
được tầng này lưu giữ và chi phối.
Và tầng cuối cùng chính là tầng đảm bảo cho việc phục hồi với các hệ thống sao
lưu tự động đảm nhận nhiệm vụ khôi phục các dữ liệu bị xóa hay bị mã hóa.
Mơ hìề̀nh triển khai
Kaspersky Security Center (KSC) sẽ quản lý tập trung các máy chủ, máy trạm theo các
cấấ́p độ khác nhau theo mơ hình Master-Slave và có cơ chế cập nhật tự động hoặặ̣c thủ
công giúp giảm tiêu tốn tài nguyên mạng. Như sơ đồ trên, mô phỏng hệ thống triển khai
theo nhiều cấấ́p độ, giúp bảo vệ các trụ sở theo số lượng máy tính khác, bảo vệ chi nhánh

và cả ngườờ̀i dùng đi công tác.

VII. Kết luận
Để xây dựng một mạng máy tính cho một cơng ty, cần xác định nhu cầu hiện tại và
tương lai của công ty. Khi bạn đã hiểu rõ về nhu cầu thì việc xây dựng mạng lưới văn
phòng của bạn sẽ trở nên dễ dàng hơn nhiều.
Trên đây là toàn bộ nội dung về thiết kế mạng LAN cho doanh nghiệp UOYMedia
Company. Một trong những công ty phát triển trong lĩnh vực thương mại điện tự tại
Đà Nẵng
Trong phần báo cáo này, chúng em đã tìm hiểu được:
Mô hinh mang, phân loai mang
Cac thiêt bi kêt nôi, phương tiên truyên
thông Chia mang
Thiêt kê ban ve mang
Phương an an toan bao mât cho mang


Bảả̉ng phân cơng nhiệệ̣m vụ của nhóm