2



CHƯƠNG 1 4

TỔNG QUAN GIẢI PHÁP 4

1.1. Đặt vấn đề 4

1.2. Mục đích, yêu cầu của đề tài 4

1.3. Sơ đồ khối thiết kế 5

Hệ thống mạng bao gồm hai phần: 5

CHƯƠNG 2 7

PHÂN TÍCH NHIỆM VỤ 7

2.1. Mục tiêu giải pháp 7

2.2. Lên kế hoạch và lựa chọn giải pháp triển khai 7

2.2.1. Phân tích khả năng hệ thống 7

2.2.2. Lựa chọn giải pháp cho hệ thống 9

CHƯƠNG 3 10

TỔNG QUAN VỀ THIẾT BỊ 10

3.1. Giới thiệu 10

3.2. Thiết bị chính 10

3.3. Mô hình ứng dụng 13

3.4. Demo cấu hình 16

CHƯƠNG 4 17

CÁC GIẢI PHÁP VÀ CẤU HÌNH TRONG LAN 17

4.1. Cấu hình hệ thống 17

4.1.1. Truy cập vào thiết bị 17

4.1.2. Cấu hình kết nối internet 18

4.1.3. Kiểm tra trạng thái kết nối 19

4.1.4. LAN >> VLAN 19

4.1.5. Bind IP to MAC 20

4.1.6. Nat Port Redirection 21

4.1.7. Bandwidth Management 22


4.1.8. Dynamic DNS 23

4.1.9. Wake on LAN 24

4.2. Hợp lý hóa băng thông và tăng độ bảo mật bằng cách phân chia hệ thống
mạng thành nhiều phân đoạn 24

4.2.1. Lên kế hoạch 25

4.2.2. Kích hoạt chế độ VLAN trên LAN của Vigor2950 26

4.2.3. Kích hoạt và khai báo địa chỉ IP cho 4 subnets. 28

4.2.4. Phân quyền truy cập giữa các VLAN 28

4.2.5. Phần cấu hình Wireless (dành cho những sản phẩm có tích hợp tính
năng wireless) 29

4.3. Ứng dụng xác thực người dùng truy cập internet (Web 32

authentication) 32

4.4. Cấu hình bộ lọc cho Router Vigor 36

4.5. Cấu hình lập lịch cho Firewall và URL Content Filter 42

4.6. Giải pháp mạng riêng ảo (VPN - Virtual Private Network) 44



3

4.6.1. Tạo tài khoản VPN 45

4.6.2. Cấu hình 45

4.6.3. Tiến hành kết nối VPN từ xa 47

4.6.4. Kiểm tra kết nối VPN 49

KẾT LUẬN 50

TÀI LIỆU THAM KHẢO 51



4

CHƯƠNG 1
TỔNG QUAN GIẢI PHÁP
1.1. Đặt vấn đề

Hiện nay các Công ty, doanh nghiệp đều sử dụng máy tính và các ứng
dụng trên máy tính như một công cụ làm việc thiết yếu. Điều đó cũng đồng nghĩa
với việc xây dựng, quản trị và phát triển hệ thống mạng máy tính là một công tác
có ảnh hưởng quan trọng đến hoạt động sản xuất kinh doanh. Doanh nghiệp ngày
càng phát triển do đó quy mô mạng càng mở rộng dẫn đến nhu cầu tách hệ thống
mạng thành nhiều phân đoạn để có thể hợp lí hóa băng thông, kiểm soát truy cập.
Lên kế hoạch và lựu chọn phương pháp triển khai phù hợp theo nhu cầu
của công ty, doanh nghiệp.

Triển khai, thiết lập chính sách bảo mật và khắc phục các sự cố liên quan
đến mạng nội bộ cho cá nhân, doanh nghiệp.
Hợp lý hoá băng thông, giảm các nguy cơ lây lan virus và kiểm soát truy
cập mạng. Triển khai VPN cho cá nhân, doanh nghiệp
1.2. Mục đích, yêu cầu của đề tài

Để thực hiện được đề tài này phải nghiên cứu tìm hiểu về các phương
pháp thiết kế rồi tìm ra phương pháp phù hợp nhất. Xây dựng hệ thống mạng
đảm bảo được các yêu cầu về các công nghệ, các phương pháp thiết kế đối với
từng nhu cầu của cá nhân, doanh nghiệp.

5

1.3. Sơ đồ khối thiết kế

Hình 1.1. Sơ đồ khối thiết kế

Hệ thống mạng bao gồm hai phần:

Thiết bị xử lý riêng lẻ: khả năng hoạt động liên tục, xử lý và chuyển tiếp
nhanh các yêu cầu cá nhân từng khu vực về thiết bị điều khiển trung tâm. Thiết bị
này hỗ trợ các chuẩn giao tiếp có dây và không dây.
Phần hệ thống thiết bị tổng hợp xử lý tập trung: Thiết bị chính (Vigor
2950) cung cấp các kết nối tốc độ 1Gbps đến các thiết bị riêng lẻ và các kết nối
uplink tốc độ 1Gbps về hệ thống trung tâm, tại đây các nhu cầu kết nối được xử
lý một cách linh hoạt và mạnh mẽ.

6

Toàn bộ hệ thống được thiết kế và thi công theo mô hình quản lý tập

trung; tất cả mọi vấn đề về quản lý, cấu hình, theo dõi hệ thống, giám sát người
dùng đều được thực hiện trên thiết bị điều khiển trung tâm. Tất cả người dùng
trong hệ thống sẽ được phân chia, theo dõi, giám sát, phân quyền truy cập vào hệ
thống tùy theo kiến trúc, mô hình phân chia của người quản lý. Tính năng vượt
trội của thiết bị này sẽ đảm bảo khả năng hoạt động một cách tối ưu của hệ thống
cũng như dễ dàng nâng cấp và mở rộng.
Tại mỗi tầng của tòa nhà sẽ trang bị một thiết bị xử lý riêng lẻ để kết nối
dữ liệu về hệ thống xử lý tập trung.


7

CHƯƠNG 2
PHÂN TÍCH NHIỆM VỤ
2.1. Mục tiêu giải pháp

Xây dựng hệ thống mạng cho cá nhân, doanh nghiệp nhằm đảm bảo cung
cấp các dịch vụ truy cập internet, tìm kiếm thông tin, tài liệu Phục vụ cho nhu
cầu hoạt động sản xuất kinh doanh, việc sử dụng máy tính và các ứng dụng trên
máy tính như một công cụ làm việc thiết yếu trong mỗi doanh nghiệp, công ty.
Đáp ứng công cuộc hiện đại hóa, công nghiệp hóa đất nước. Toàn bộ công ty
được thiết lập hệ thống mạng, hệ thống tường lửa để đảm bảo cung cấp toàn bộ
giải pháp mạng ổn định, hiện đại tới từng văn phòng. Đồng thời linh hoạt để đáp
ứng các khả năng mở rộng và phát triển trong tương lai. Do đó, các thiết bị được
trang bị cho giải pháp này phải tiên tiến, phù hợp với các tiêu chuẩn chung quốc
tế, nhằm hỗ trợ dịch vụ ở mức cao nhất. Các giải pháp, công nghệ lựa chọn cho
thiết kế phải phù hợp với các yêu cầu hiện nay, cũng như khả năng phát triển
trong tương lai dựa trên xu hướng, tốc độ phát triển chung của ngành CNTT thế
giới trong thời gian 5 – 10 năm tới.
2.2. Lên kế hoạch và lựa chọn giải pháp triển khai

Hệ thống thiết bị được đặt tại các tầng của tòa nhà, mỗi tầng sẽ đặt một
thiết bị chuyển mạch. Các thiết bị này sẽ kết nối về hệ thống trung tâm, tất cả sẽ
được quản lý tập trung tại phòng trung tâm. Phòng trung tâm sẽ tập trung các
thiết bị mạng bao gồm thiết bị điều khiển và quản lý các điểm truy cập, điều này
sẽ đảm bảo hệ thống vận hành đơn giản, dễ dàng, đáp ứng được tính năng quản
lý tập trung.
2.2.1. Phân tích khả năng hệ thống
Hệ thống giải pháp này sẽ phục vụ cho khoảng 250 người sử dụng, hệ
thống mở, dễ dàng nâng cấp.
Các thiết bị được đặt ở vị trí sao cho toàn bộ khuôn viên, hành lang luôn
đảm bảo được mỹ quan. Theo kiến trúc hệ thống, thiết kế tốt nhất cho giải pháp

8

này là tại ban quản lý sẽ đặt một thiết bị xử lý trung tâm riêng, toàn bộ thiết bị
được đặt nơi dễ thao tác, đảm bảo an ninh, thuận tiện trong xử lý sự cố và vừa để
đảm bảo độ ổn định việc cung cấp mạng cho từng tầng. Có thể backup liên tầng
nhằm mục đích dự phòng và roaming lẫn nhau (Roaming là khả năng một người
dùng máy xách tay không nối dây có thể kết nối liên tục khi đang di chuyển tự do
trong khu vực rộng hơn vùng bao phủ của một access point đơn lẻ.)
Khả năng cung cấp mạng, đảm bảo sự ổn định rất cao, tăng chất lượng sử
dụng. Mỗi một thiết bị có khả năng cung cấp cho khoảng 250 người dùng. Các
thiết bị sẽ đảm bảo việc roaming cho người dùng nhằm phù hợp với tính năng di
động của người dùng. Điều này thể hiện qua việc người dùng có thể di chuyển
trong phạm vi công ty, doanh nghiệp, thay đổi kết nối từ thiết bị ở vị trí này sang
thiết bị ở vị trí khác, người dùng không phải ngắt kết nối để đăng nhập trở lại. Do
đó sẽ đảm bảo tính liên tục kết nối cho người dùng.
Với người quản trị hệ thống, việc quản lý các thiết bị truy cập trên thiết bị
điều khiển chính sẽ đơn giản hóa quá trình cấu hình, bảo trì và sửa chữa. Người
quản trị chỉ cần ngồi tại phòng trung tâm để cấu hình, giám sát, quản lý, theo dõi

toàn bộ hệ thống. Thiết lập xác thực người dùng truy cập internet (Web
authentication).
Với những giải pháp thông thường sẽ phải chịu thêm chi phí, gia tăng sự
quản lý chồng chéo. Mỗi khi cấu hình, bảo trì hay thiết lập xác thực, người quản
trị phải đến tận nơi kết nối trực tiếp vào thiết bị và cấu hình lên nó, và quay trở
lại cài đặt trên máy các văn phòng. Việc này sẽ tốn thời gian và khó khăn hơn.

9

2.2.2. Lựa chọn giải pháp cho hệ thống
Căn cứ vào các yêu cầu của hệ thống, dựa vào kiến trúc tổng quan, đưa ra
giải pháp xây dựng hệ thống mạng cho doanh nghiệp, công ty bao gồm: Giải
pháp hệ thống cung cấp mạng, Load Balancing cho doanh nghiệp,công ty, mạng
không dây, an toàn bảo mật mạng, quản lý mạng tập trung, mạng riêng ảo VPN,
tối ưu hóa băng thông và kiểm soát truy cập mạng.
Hệ thống cung cấp mạng: khả năng xử lý tức thời, đáp ứng các nhu cầu
truy xuất thông tin, trao đổi dữ liệu nhanh giữa các người dùng cục bộ, hỗ trợ các
tính năng bảo mật cao cấp như 802.1x, Private/Guest VLAN, SSH và SSL,
ACLs , khả năng tạo các mạng riêng ảo VPN để phân chia các nhóm người
dùng, nhằm đáp ứng khả năng mở rộng và các yêu cầu cao cấp trong tương lai.

10

CHƯƠNG 3
TỔNG QUAN VỀ THIẾT BỊ
3.1. Giới thiệu

Draytek được thành lập năm 1997 do một nhóm các kỹ sư tài năng và đã
phát triển thành nhà cung cấp các giải pháp mạng tiên tiến hàng đầu thế giới.
Chuyển hướng từ nhà cung cấp hàng đầu các giải pháp truy cập từ xa sang cung

cấp giải pháp mạng theo nhu cầu riêng cho từng thị trường nội địa khác nhau trên
toàn thế giới.
Hiện nay các giải pháp mạng của Draytek trải dài từ: tường lửa cấp doanh
nghiệp, VPN/VoIP dành cho SOHO, đa dạng các thiết bị về xDSL/Broadband,
FTTH

đến các sản phẩm viễn thông tương lai có thể đáp ứng xu hướng thị
trường và mong đợi của doanh nghiệp, công ty.
3.2. Thiết bị chính

Hình 3.1. Vigor 2950.
Router Draytek Vigor 2950 là thiết bị Switch Layer 3. Là dòng sản phẩm
định tuyến mạnh mẽ của Draytek. Nắm bắt nhu cầu băng thông ngày càng lớn và
cước thuê bao ADSL ngày càng giảm, DrayTek tung thêm dòng Vigor2950 dành
cho doanh nghiệp. So với Vigor 2910 và Vigor 2910G thì Vigor 2950 (firmware
3.0.1) có thiết kế mới hơn. Sản phẩm dạng hình chữ nhật (273x166x44,6 mm) và

11

khá nặng tay (1,5 kg) với vỏ bọc hợp kim màu xám bạc thay tông đen truyền
thống.
Vigor 2950 có 2 cổng WAN (10/100Mbps), 5 cổng LAN
(10/100/1000Mbps), cổng LAN/Monitor (100Mbps) và công tắc nguồn. Trong
đó, cổng LAN/Monitor (tương tự chức năng port mirroring trên switch) dành cho
quản trị mạng giám sát lưu lượng trên toàn mạng.
Với lợi thế về băng thông cũng như các chức năng quản lý linh hoạt và
hiệu quả, Vigor 2950 hỗ trợ số kênh kết nối mạng riêng ảo (VPN Server) nhiều
hơn các router Vigor 2910 được TestLab thử nghiệm trước đây. Sản phẩm có khả
năng hỗ trợ 200 kênh VPN đồng thời theo dạng Remote Dial-In User và LAN-to-
LAN với các giao thức (IPSec/PPTP/L2TP), các chế độ mã hóa

(AES/DES/3DES) và xác thực (SHA-1/MD5) cao cấp nhằm tăng hiệu năng và
đảm bảo an toàn dữ liệu cho kết nối VPN.
Tương tự các sản phẩm Vigor series, Vigor 2950 cũng được tích hợp hệ
thống tường lửa SPI (Stateful Packet Inspection) mạnh mẽ, thuận tiện cho người
dùng với rất nhiều chính sách bảo mật. Trong đó, có chức năng quản lý an toàn
nội dung CSM (Content Security Management) cho các ứng dụng tán gẫu IM
(MSN, Y!M, ICQ ), VoIP (jajah, Skype), dịch vụ chia sẻ mạng ngang hàng P2P
(SoulSeek, eDonkey, BitTorrent ) nhằm hạn chế việc chiếm dụng băng thông.
Ngoài ra, để tránh người dùng truy cập web "đen", sản phẩm hỗ trợ lọc nội
dung bằng địa chỉ URL; lọc Java, Cookie, ActiveX, tập tin nén, thực thi và đa
phương tiện, lọc website bằng địa chỉ IP và Subnet Mask; hạn chế truy cập theo
thời gian biểu (Time Schedule Control); chính sách phòng chống tấn công
DoS/DDoS, gửi email cảnh báo và ghi lại nhật ký Ngoài ra, DrayTek còn liên
kết với SurfControl để lọc nội dung website thông qua CPA (Content Portal
Authority).

12

Để hỗ trợ cho việc thiết lập các chính sách hạn chế truy cập và các ứng
dụng, Vigor 2950 cũng hỗ trợ mạng nội bộ ảo (VLAN), gán IP cho địa chỉ MAC
(Bind IP to MAC), hỗ trợ Port Redirect (Port Forwarding) Ngoài ra, sản phẩm
cũng hỗ trợ đầy đủ các tính năng như DNS động, DMZ, chuẩn xác thực
RADIUS, UPnP và chức năng khởi động máy tính từ xa qua mạng (Wake On
LAN).

Với trình cài đặt tự động, việc thiết lập kết nối lần lượt trên 2 cổng WAN
khá đơn giản. Tất cả các cổng đều ở trạng thái ẩn (stealth). Để thử nghiệm chức
năng VPN cho router, TestLab thực hiện kết nối trên 2 đường ADSL khác nhau.
Một đường giả lập làm VPN Server và đường còn lại làm VPN Client. Việc thiết
lập kết nối diễn ra nhanh chóng, tốc độ kết nối khá nhanh (tùy thuộc vào đường

truyền ADSL tại từng thời điểm).

Vigor 2950 hỗ trợ quản lý bằng HTTP, HTTPS, Telnet, FTP, SSH và
SNMP, giao diện được thiết kế trực quan, các chức năng được gom thành từng
nhóm nên rất dễ dàng trong việc cài đặt, giám sát cũng như quản lý thiết bị từ xa.

Hình 3.2. 2 cổng WAN và 5 cổng LAN.



13

3.3. Mô hình ứng dụng
Điểm nổi bật trong Vigor 2950 là hỗ trợ cân bằng tải, "đáp ứng" băng
thông theo yêu cầu (BoD Bandwidth on Demand) và vượt lỗi kết nối khi một
trong 2 đường truyền bị lỗi. Bên cạnh đó, để sử dụng đường truyền hiệu quả,
Vigor 2950 có chính sách quản lý băng thông như giới hạn số phiên (session) làm
việc, định băng thông (tải xuống/lên) và quản lý chất lượng dịch vụ (FTP, Telnet,
HTTP, DNS, POP3, IPSec ) cho từng địa chỉ IP.

Hình 3.3. Mặt trước của Vigor 2950
Khả năng kết nối 2 WAN

Hình 3.4. Ứng dụng Dual WAN



14



Hình 3.5. Mô hình VPN Trunking - VPN Load Balancing & Fail-Over

Hình 3.6. Mô hình SSL VPN

15


Hình 3.7. Mô hình Vigor2950 kết hợp VigorSwitch

Hình 3.8. Mô hình ứng dụng CSM

16

3.4. Demo cấu hình

Hình 3.9. Cấu hình bằng giao diện Web

17


CHƯƠNG 4
CÁC GIẢI PHÁP VÀ CẤU HÌNH TRONG LAN
Với mô hình mạng của doanh nghiệp, tùy theo từng yêu cầu của công ty,
doanh nghiệp mà chúng ta có thể cấu hình Vigor theo những yêu cầu tương ứng,
sau đây em xin đưa ra 1 vài giải pháp mạng tiêu biểu, cài đặt và cấu hình hệ
thống mạng của doanh nghiệp, trên nền thiết bị DrayTek.
4.1. Cấu hình hệ thống

Hình 4.1. Mô hình kết nối thực tế giữa Vigor và đường truyền cable quang.


Để nối mạng có thể dùng 2 đường truyền của 2 nhà cung cấp dịch vụ
Internet (ISP), theo hình trên có thể 2 đường truyền được mô tả như sau:
- Đường thứ nhất sử dụng Converter quang nối vào WAN của Vigor2950.
PPPoE trên Vigor2950 để IP tĩnh hoặc động. Bỏ 1 card mạng trên server (Card
ngoài). Tắt DHCP trên server và để cho Vigor2950 làm DHCP server. Giả sử 1
đường cáp quang Viettel (có converter).
- Đường thứ hai là đường ADSL VNN, thiết lập dùng đường internet
FTTF của Viettel là chính, đường VNN là phụ (tự động On khi đường Viettel bị
đứt).

Cấu hình Vigor2950 với đường truyền cáp quang như sau:
4.1.1. Truy cập vào thiết bị
Địa chỉ IP mặc định : 192.168.1.1
User mode: mặc đinh user mode không cần username và password, ở
mode này sẽ bị hạn chế 1 số tính năng, dành cho người quản lý thiết bị ở cấp độ
user.


18


Hình 4.2. Đăng nhập.
Admin mode: user: admin và password: admin. Đây là mode được quản
lý toàn quyền trên thiết bị, số lượng chức năng đầy đủ nhất dành cho quản lý ở
cấp độ admin cao nhất.

4.1.2. Cấu hình kết nối internet
PPPoE đây là kiểu thường gặp nhất.
Vào WAN >> Internet Access >> Access mode chọn PPPoE sau đó click
Detail Page.



Hình 4.3. Cấu hình kết nối.
Click Enable. Điền username và password (Hỏi nhà cung cấp đường
truyền của bạn nếu chưa rõ về thông tin này). Click Ok để lưu lại.

19


Hình 4.4. Cấu hình kết nối.
4.1.3. Kiểm tra trạng thái kết nối
Online Status >> Physical Connection.

Hình 4.5. Kiểm tra trạng thái kết nối.
4.1.4. LAN >> VLAN
Tính năng Vlan trên Vigor router được quản lý theo từng port (Port base).

Ví dụ:
Port LAN 1 => switch của phòng kế toán
Port LAN 2 => switch của phòng kinh doanh

20

Port LAN 3 => switch của phòng kỹ thuật
Port LAN 4 => switch của phòng quản lý
Như vậy máy tính của phòng ban này sẽ không thể truy cập vào máy tính
của phòng kia, dữ liệu giữa các phòng sẽ được bảo vệ.

Hình 4.6. Cấu hình VLAN.
4.1.5. Bind IP to MAC

Enable: Router sẽ luôn cấp 1 địa chỉ IP cố định cho 1 máy tính (1 địa chỉ
MAC), ứng dụng khi khai báo firewall, quản lí băng thông, Wake on LAN…
Strict Bind: Những IP chưa được liệt kê trong IP Bind List sẽ không thể
truy cập internet.


Hình 4.7. Bind IP to MAC.

21

4.1.6. Nat Port Redirection
Thường được dùng để public cho các máy dịch vụ bên trong mạng LAN
(Web server, IP Camera, remote desktop…) ra ngoài internet để người khác có
thể truy cập từ xa .
Port: 3389 dùng cho dịch vụ remote destop.
IP: 192.168.1.100 là địa chỉ IP máy cần remote.

Hình 4.8. Nat Port Redirection Configuration.
Open port: cho phép mở nhiều port về 1 máy tính.

Hình 4.9. Cấu hình Nat Port Redirection.

22

4.1.7. Bandwidth Management
Giới hạn session: Khai báo range IP và số session tối đa cho mỗi IP ở
phần Specific Limitation.
Những IP không nằm trong Limitation List sẽ bị giới hạn theo Default
Max Session.


Hình 4.10. Bandwidth Management.
Bandwidth Limit:
TX: Băng thông tải lên (Upload).
RX: Băng thông tải xuống (Download).
Khai báo range IP và băng thông tối đa cho mỗi IP ở phần Specific
Limitation.

23

Những IP không nằm trong Limitation List sẽ bị giới hạn theo Default TX
Limit và Default RX Limit.


Hình 4.11. Bandwidth Limit.
4.1.8. Dynamic DNS
Dịch vụ tên miền động giúp cập nhật IP tự động giúp người sử dụng
không cần IP tĩnh mà vẫn có thể từ xa truy cập vào hệ thống của mình một cách
dễ dàng.
Để sử dụng dịch vụ người dùng cần đăng ký 1 tài khoản tại
www.dyndns.org và khai báo tài khoản đó vào router, router sẽ tự động cập nhật
IP mỗi khi có thay đổi.
Applications >> Dynamic DNS

24


Hình 4.12. Dynamic DNS.

4.1.9. Wake on LAN
Application >> Wake on LAN: Khởi động máy tính từ xa bằng router.

Yêu cầu máy tính có hỗ trợ khởi động từ card mạng. Chọn wake by IP (phải kết
hợp Bind IP to MAC), Nếu không bạn phải điền chính xác địa chỉ MAC của máy
cần khởi động. Chọn địa chỉ IP máy cần khởi động >> Click Wake Up.


Hình 4.13. Wake on LAN.
Đây là tính năng rất thú vị của 2950.
4.2. Hợp lý hóa băng thông và tăng độ bảo mật bằng cách phân chia hệ
thống mạng thành nhiều phân đoạn

Hiện nay các doanh nghiệp đều sử dụng máy tính và các ứng dụng trên
máy tính như một công cụ làm việc thiết yếu. Điều đó cũng đồng nghĩa với việc

25

xây dựng, quản trị và phát triển hệ thống mạng máy tính là một công tác có ảnh
hưởng quan trọng đến hoạt động sản xuất kinh doanh. Doanh nghiệp ngày càng
phát triển do đó quy mô mạng càng mở rộng dẫn đến nhu cầu tách hệ thống
mạng thành nhiều phân đoạn để có thể hợp lí hóa băng thông, kiểm soát truy cập.
Bài LAB sau đây sẽ tìm hiểu về cách thiết lập 1 hệ thống mạng nhiều Network,
đồng thời có thể tự thiết lập 1 hệ thống đa Network, linh động, bảo mật cao và
hiệu quả chỉ với 1 thiết bị Vigor2950.
Mỗi một hệ thống mạng thường có nhiều tài nguyên và có sự phân cấp
trong việc truy cập các tài nguyên đó, Việc phân chia hệ thống thành nhiều
Subnet sẽ đem lại nhiều lợi ích.
Tránh hiện tượng nghẽn đường truyền do có quá nhiều host dẫn đến
broadcast.
Giảm nguy cơ lây lan Virus và bị tấn công.
Dễ dàng tạo rule trong firewall để chặn và cho phép truy cập tài nguyên.
Tiết kiệm chi phí tối đa, bạn không cần phải đầu tư server với nhiều card mạng

để routing, không cần các router đắt tiền như của cisco v.v Bạn gần như chỉ cần
1 thiết bị Vigor2950 series là đủ.
4.2.1. Lên kế hoạch
Hệ thống sẽ gồm 4 subnets khác nhau:
LAN 1: dành cho hệ thống camera quan sát, Server, Camera wireless.
LAN 2: dành cho nhân viên trao đổi dữ liệu và truy cập internet, bao gồm
cả máy PC và laptop sử dụng mạng wireless.
LAN 3: dành cho ban quản lý, trưởng phòng, giám đốc sử dụng, nhân viên
và khách không thể truy cập vào network này.
LAN 4: dành cho khách viếng thăm, chủ yếu phát wifi cho khách viếng
thăm. Các client khi kết nối vào mạng này sẽ không truy cập được lẫn nhau và
không truy cập được vào mạng của công ty. Nhưng vẫn có thể truy cập internet.
Thiết bị cần có: Vigor2950 Series và 4 switch thường, không cần hỗ trợ VLAN
802.1Q.
Ta có sơ đồ mạng sau: