lOMoARcPSD|39475011

TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP HÀ NỘI
KHOA CÔNG NGHỆ THÔNG TIN

BÁO CÁO BÀI TẬP LỚN

HỌC PHẦN: AN NINH MẠNG

ĐỀ TÀI: Thiết lập mơ hình mạng an tồn có 3
vùng(Internet,DMZ, LAN) sử dụng Packet Tracer

GVHD: TS. Lê Thị Anh 2020603154
Mã lớp độc lập: 20224IT6070001 2020608108
Nhóm thực hiện: Nhóm 13 – K15 2020601204
2020601920
Đoàn Trọng Quân 2020602442
Nguyễn Hữu Trường
Nguyễn Đức Mạnh
Nguyễn Hoàng Thái
Nguyễn Thành Nam

Hà Nội - 2023

Downloaded by bong bong ()

lOMoARcPSD|39475011

LỜI MỞ ĐẦU

Trong xu hướng phát triển của xã hội ngày nay, công nghệ thơng tin

ln có mặt ở bất cứ lĩnh vực, ngành nghề nào. Mạng lưới công nghệ
thông tin trên thế giới phát triển một cách chóng mặt, mọi ngƣời ai cũng
muốn cập nhật thông tin một cách nhanh nhất và chính xác nhất. Trên
thực tiễn đó các doanh nghiệp cũng không thể thiếu việc áp dụng công
nghệ thông tin vào doanh nghiệp của mình để quản lý và phát triển.

Đối với các doanh nghiệp hiện nay đặc biệt là doanh nghiệp có nhiều
chi nhánh ở những vị trí địa lý xa nhau thì việc quản lý và chia sẻ tài
nguyên giữa các chi nhánh rất khó khăn và tốn chi phí nếu khơng có
cơng nghệ thơng tin.

Việc sử dụng máy tính trong doanh nghiệp như một công cụ để phục
vụ cho công việc ngày càng nhiều vì vậy cần máy chủ để quản trị hệ
thống mạng trong doanh nghiệp là rất thiết thực để có một hệ thống quản
lý tốt, an tồn, có độ bảo mật cao, chi phí hợp lý và thuận tiện trong việc
trao đổi thông tin giữa các chi nhánh,…

Với những lý do trên chúng tôi quyết định lựa chọn đề tài “Thiết lập
mơ hình mạng an tồn có 3 vùng ( Internet, DMZ, LAN) sử dụng phần
mềm Cisco Packet Tracer”. Đề tài rất thực tế và phù hợp với các yêu cầu
đặt ra hiện nay cho các tổ chức, doanh nghiệp và nó cịn giúp chúng tơi
có thêm kinh nghiệm.

Downloaded by bong bong ()

lOMoARcPSD|39475011

MỤC LỤC

CHƯƠNG 1: MƠ HÌNH MẠNG AN TỒN...................................................

1.1. Mạng an toàn.............................................................................................
1.1.1. Khái niệm............................................................................................
1.1.2. Biện pháp............................................................................................
1.1.3. Lợi ích.................................................................................................
1.2. Mơ hình mạng an tồn...............................................................................
1.2.1. Khái niệm............................................................................................
1.2.2. Yếu tố..................................................................................................
1.2.3. Thành phần.........................................................................................
1.2.4. Mơ hình.............................................................................................13

CHƯƠNG 2: KĨ THUẬT VÀ CÔNG CỤ SỬ DỤNG...................................16
2.1. Công cụ Cisco Packet Tracer...................................................................16
2.2. Virtual Local Area Network (VLAN).....................................................16
2.2.1. Khái niệm..........................................................................................16
2.2.2. Cách thức hoạt động.........................................................................16
2.2.3. Ưu điểm của VLAN..........................................................................17
2.2.4. Nhược điểm của VLAN....................................................................17
2.2.5. Ứng dụng của VLAN........................................................................18
2.3. Network Address Translation (NAT)......................................................18
2.3.1. Khái niệm..........................................................................................18
2.3.2. Chức năng chính của NAT...............................................................18
2.3.3. Ưu điểm của NAT............................................................................19
2.3.4. Nhược điểm của NAT.......................................................................19

CHƯƠNG 3: THIẾT KẾ MƠ HÌNH VÀ KẾT QUẢ....................................20
3.1. Xây dựng mơ hình mạng an tồn.............................................................20
3.2. Cấu hình VLAN trên các thiết bị.............................................................21
3.2.1. Cấu hình VLAN trên router r2..........................................................21
3.2.2. Cấu hình VLAN trên Switch............................................................22


1

Downloaded by bong bong ()

lOMoARcPSD|39475011

3.2.3. Cấu hình trunk trên switch................................................................22
3.3. Cấu hình NAT trên router........................................................................22

3.3.1. Cấu hình access list trên router r2.....................................................22
3.3.2. Cấu hình NAT overload trên router r2.............................................23
3.4. Thực hiện kiểm tra kết quả......................................................................23
KẾT LUẬN........................................................................................................25

2

Downloaded by bong bong ()

lOMoARcPSD|39475011

DANH MỤC HÌNH ẢNH

Hình 1. 1. Mạng an tồn.......................................................................................
Hình 1. 2. Mơ hình mạng an tồn.........................................................................
Hình 1. 3. Firewall................................................................................................
Hình 1. 4. DMZ....................................................................................................
Hình 1. 5. Mạng LAN.........................................................................................10
Hình 1. 6. Vùng mạng DMZ...............................................................................10
Hình 1. 7. Cấu trúc vùng DMZ...........................................................................11
Hình 1. 8. Vùng mạng server..............................................................................13

Hình 1. 9. Mơ hình mạng 1 tường lửa................................................................14
Hình 1. 10. Mơ hình mạng 2 tường lửa..............................................................14
Hình 1. 11. Mơ hình mạng 3 tường lửa..............................................................15

Hình 3. 1. Xây dựng mơ hình mạng an tồn.......................................................21
Hình 3. 2. Cấu hình mạng VLAN trên route r2..................................................22
Hình 3. 3. Cấu hình mạng VLAN trên switch....................................................23
Hình 3. 4. Cấu hình trunk trên switch.................................................................23
Hình 3. 5. Cấu hình access list trên router r2......................................................23
Hình 3. 6. Cấu hình Nat overload trên router r2.................................................24
Hình 3. 7. Ping từ PC7 bên ngồi internet đến r2...............................................24
Hình 3. 8. Ping từ PC1 trong VLAN1 đến địa chỉ 123.24.25.254......................24
Hình 3. 9. Ping từ PC2 trong VLAN2 đến địa chỉ 123.24.25.254......................25
Hình 3. 10. Ping từ PC5 trong VLAN3 đến địa chỉ 123.24.25.254....................25

3

Downloaded by bong bong ()

lOMoARcPSD|39475011

CHƯƠNG 1: MƠ HÌNH MẠNG AN TỒN

1.1. Mạng an tồn

1.1.1. Khái niệm
Mạng an toàn (hoặc mạng bảo mật) là một hệ thống mạng được thiết kế

và triển khai để bảo vệ thông tin, dữ liệu và các tài nguyên quan trọng khỏi
các mối đe dọa và tấn cơng từ các nguồn bên ngồi. Mục tiêu chính của mạng

an tồn là đảm bảo tính bảo mật, sẵn sàng và tồn vẹn của thơng tin trong
mạng.

Hình 1. 1. Mạng an toàn

Mạng an toàn bao gồm việc áp dụng các biện pháp bảo mật và quản lý rủi
ro để đối phó với các mối đe dọa mạng. Dưới đây là một số khía cạnh quan
trọng trong mạng an toàn:

● Xác thực và Quản lý truy cập: Mạng an toàn thực hiện xác thực
người dùng và quản lý quyền truy cập vào các tài nguyên mạng. Điều
này đảm bảo rằng chỉ những người dùng được ủy quyền mới có thể
truy cập vào thông tin và dữ liệu quan trọng, và hạn chế sự truy cập của
những người khơng được phép.

● Mã hóa dữ liệu: Mã hóa dữ liệu là q trình chuyển đổi thơng tin
thành dạng không đọc được trước khi nó được truyền qua mạng. Mã
4

Downloaded by bong bong ()

lOMoARcPSD|39475011

hóa giúp đảm bảo rằng dữ liệu không thể bị đánh cắp hoặc hiểu được
bởi các bên không được ủy quyền.
● Bảo vệ chống lại tấn công mạng: Mạng an tồn sử dụng các cơng
nghệ và biện pháp bảo mật như tường lửa, phát hiện xâm nhập, phòng
ngừa tấn công từ chối dịch vụ (DDoS), và các biện pháp phòng thủ
khác để ngăn chặn và giảm thiểu các cuộc tấn công mạng.
● Quản lý an ninh: Mạng an tồn địi hỏi việc triển khai và quản lý các

cơng cụ và quy trình để phát hiện, giám sát và xử lý các sự cố bảo mật.
Điều này bao gồm việc thực hiện kiểm tra an ninh định kỳ, cập nhật và
vá lỗi hệ thống, và tuân thủ các tiêu chuẩn an ninh.
● Giáo dục và nhận thức: Mạng an toàn cũng đòi hỏi việc đào tạo người
dùng và nhân viên về các vấn đề liên quan đến an ninh mạng, như cách
phòng ngừa các cuộc tấn công, sử dụng mật khẩu mạnh, và phân biệt
các thủ đoạn xâm nhập. Tăng cường nhận thức an ninh trong tổ chức là
một phần quan trọng để đảm bảo mạng an toàn.
Mạng an toàn là một yếu tố cơ bản trong việc xây dựng và duy trì một mơi
trường kết nối an tồn và đáng tin cậy. Đối với các tổ chức và doanh nghiệp,
mạng an tồn giúp bảo vệ thơng tin quan trọng, ngăn chặn sự mất mát kinh tế,
và duy trì niềm tin của khách hàng và đối tác.

1.1.2. Biện pháp
Mạng an toàn là một mạng máy tính được thiết kế để bảo vệ thông tin

và tài sản khỏi các mối đe dọa. Mạng an toàn sử dụng một loạt các biện pháp
bảo mật để ngăn chặn các cuộc tấn công mạng, chẳng hạn như truy cập trái
phép, tiết lộ thông tin, gián đoạn dịch vụ và phá hoại.
Các biện pháp bảo mật phổ biến được sử dụng trong mạng an toàn bao gồm:

● Mật khẩu và xác thực: Mật khẩu và xác thực là một trong những biện
pháp bảo mật quan trọng nhất. Mật khẩu phải mạnh và được thay đổi
5

Downloaded by bong bong ()

lOMoARcPSD|39475011

thường xuyên. Xác thực hai yếu tố (2FA) cung cấp một lớp bảo mật bổ

sung bằng cách yêu cầu người dùng cung cấp một mã một lần (OTP)
ngoài mật khẩu.
● Chống vi-rút và phần mềm độc hại: Chống vi-rút và phần mềm độc
hại là các chương trình phần mềm giúp bảo vệ máy tính khỏi các phần
mềm độc hại, chẳng hạn như vi-rút, phần mềm gián điệp và phần mềm
quảng cáo.
● Tường lửa: Tường lửa là một thiết bị hoặc phần mềm giúp lọc lưu
lượng mạng giữa các mạng. Tường lửa có thể được sử dụng để ngăn
chặn các cuộc tấn công mạng, chẳng hạn như truy cập trái phép và
truyền tải dữ liệu độc hại. Quản lý truy cập: Quản lý truy cập kiểm soát
quyền truy cập vào hệ thống và dữ liệu. Quản lý truy cập có thể được
sử dụng để hạn chế quyền truy cập của người dùng không đáng tin cậy.
● Giám sát mạng: Giám sát mạng theo dõi lưu lượng mạng để phát hiện
các hoạt động bất thường. Giám sát mạng có thể được sử dụng để phát
hiện các cuộc tấn công mạng đang diễn ra.
Mạng an toàn rất quan trọng đối với các doanh nghiệp, tổ chức và cá nhân.
Mạng an toàn giúp bảo vệ thông tin và tài sản khỏi các mối đe dọa, chẳng hạn
như truy cập trái phép, tiết lộ thông tin, gián đoạn dịch vụ và phá hoại.

1.1.3. Lợi ích
● Bảo vệ thơng tin: Mạng an tồn giúp bảo vệ thông tin khỏi bị truy cập
trái phép, tiết lộ hoặc sửa đổi.
● Bảo vệ tài sản: Mạng an toàn giúp bảo vệ tài sản khỏi bị trộm cắp hoặc
phá hoại.
● Bảo vệ danh tiếng: Mạng an toàn giúp bảo vệ danh tiếng của doanh
nghiệp hoặc tổ chức khỏi bị tổn hại do vi phạm dữ liệu hoặc các cuộc
tấn công mạng khác.

6


Downloaded by bong bong ()

lOMoARcPSD|39475011

● Tuân thủ quy định: Mạng an toàn giúp doanh nghiệp hoặc tổ chức
tuân thủ các quy định về bảo mật thông tin.

1.2. Mô hình mạng an tồn

1.2.1. Khái niệm
Mơ hình mạng an tồn (Secure Network Model) là một cấu trúc hoặc

bản thiết kế được sử dụng để xác định cách tổ chức và triển khai các thành
phần mạng và biện pháp bảo mật để đảm bảo tính bảo mật của mạng máy
tính. Nó là một khung làm việc để xác định và áp dụng các biện pháp bảo mật
thích hợp để bảo vệ thơng tin, nguồn tài nguyên và hoạt động của hệ thống
mạng.

Hình 1. 2. Mơ hình mạng an tồn

Mục tiêu chính của mơ hình mạng an tồn là đảm bảo tính tồn vẹn,
sẵn sàng, sự riêng tư và xác thực của thông tin trong mạng, đồng thời giảm
thiểu rủi ro bảo mật và đáp ứng các yêu cầu bảo mật của tổ chức.

7

Downloaded by bong bong ()

lOMoARcPSD|39475011


1.2.2. Yếu tố
Một mô hình mạng an tồn thường bao gồm các yếu tố sau:

● Firewall (Tường lửa): Chặn và kiểm soát lưu lượng mạng đến và đi từ
mạng nội bộ.

Hình 1. 3. Firewall

● DMZ (Zone giữa hai tường lửa): Một khu vực an toàn ở giữa hai
tường lửa, chứa các dịch vụ mạng công cộng như máy chủ web.

Hình 1. 4. DMZ

● Virtual Private Network (VPN): Cho phép người dùng từ xa kết nối
an toàn vào mạng nội bộ thông qua Internet.

● Intrusion Detection System (Hệ thống phát hiện xâm nhập): Theo
dõi lưu lượng mạng để phát hiện các hoạt động bất thường hoặc xâm
nhập.
8

Downloaded by bong bong ()

lOMoARcPSD|39475011

● Authentication and Access Control (Xác thực và Kiểm soát Truy
cập): Đảm bảo rằng chỉ người dùng có quyền truy cập vào tài nguyên
mạng.

● Encryption (Mã hóa): Bảo vệ dữ liệu truyền qua mạng để đảm bảo

tính bí mật.

● Security Policies (Chính sách An toàn): Xác định các quy tắc và quy
định để bảo vệ mạng và tài nguyên.

● Incident Response Plan (Kế hoạch Phản ứng Trong trường hợp
Xâm nhập): Chuẩn bị cho việc ứng phó khi có sự cố bảo mật xảy ra.

Mơ hình mạng an tồn thường phụ thuộc vào nhiều yếu tố như loại hệ
thống, quy mô tổ chức, môi trường hoạt động và các rủi ro cụ thể. Nó được
xây dựng để đảm bảo tính tồn vẹn, sẵn sàng và bảo mật của mạng, và là một
phần quan trọng trong việc bảo vệ thông tin và tài sản của tổ chức khỏi các
mối đe dọa mạng.
1.2.3. Thành phần
1.2.3.1. Vùng mạng nội bộ

Vùng mạng nội bộ (Internal Network): Đây là mạng LAN (Local
Area Network) nội bộ của tổ chức, nơi các máy trạm và máy chủ được kết nối
lại với nhau để chia sẻ dữ liệu và tài nguyên nội bộ. Mạng LAN nội bộ bao
gồm cáp, điểm truy cập, bộ chuyển mạch, bộ định tuyến. Và các thành phần
khác cho phép thiết bị kết nối với máy chủ nội bộ, máy chủ web và các mạng
LAN khác thông qua mạng diện rộng.

Mạng LAN nội bộ bao gồm cáp, điểm truy cập, bộ chuyển mạch, bộ
định tuyến. Và các thành phần khác cho phép thiết bị kết nối với máy chủ nội
bộ, máy chủ web và các mạng LAN khác thông qua mạng diện rộng.

Bộ định tuyến chỉ định địa chỉ IP cho từng thiết bị trên mạng. Cũng
như tạo điều kiện kết nối Internet được chia sẻ giữa tất cả các thiết bị được


9

Downloaded by bong bong ()

lOMoARcPSD|39475011

kết nối. Bộ chuyển mạch mạng kết nối với bộ định tuyến và tạo điều kiện
giao tiếp giữa các thiết bị được kết nối. Nhưng khơng xử lý cấu hình IP Mạng
cục bộ hoặc chia sẻ kết nối Internet. Bộ chuyển mạch là công cụ lý tưởng để
tăng số lượng cổng LAN có sẵn trên mạng.

Hình 1. 5. Mạng LAN

1.2.3.2. Vùng mạng DMZ (Demilitarized Zone).
Vùng mạng DMZ (Demilitarized Zone): DMZ là một vùng mạng

trung gian giữa mạng nội bộ và mạng Internet, nơi đặt các dịch vụ mạng công
cộng như máy chủ web, máy chủ email hoặc proxy server. DMZ được sử
dụng để cách ly các dịch vụ này khỏi mạng nội bộ để giảm nguy cơ xâm nhập
vào mạng nội bộ.

Hình 1. 6. Vùng mạng DMZ

➢ Cấu trúc DMZ chia làm 3 phần chính:
10

Downloaded by bong bong ()

lOMoARcPSD|39475011


● Máy chủ DMZ: Là máy chủ được đặt trong DMZ và chứa các dịch
vụ hoặc ứng dụng có thể được truy cập từ Internet như Web Server,
Mail Server, DNS Server, và nhiều dịch vụ khác. Tuy nhiên, các
máy chủ này chỉ được phép truy cập vào mạng nội bộ trong trường
hợp cần thiết.

● Bức tường lửa DMZ: Là bức tường lửa được đặt trên DMZ, có
chức năng lọc các gói tin vào và ra khỏi DMZ để đảm bảo rằng chỉ
các gói tin hợp lệ và được phép truy cập mới được truyền đi. Bức
tường lửa trong mạng DMZ được cấu hình để chỉ cho phép các kết
nối xác định được thiết lập giữa các máy chủ trong DMZ và các máy
chủ trong mạng nội bộ.

● Máy chủ bảo mật: Là máy chủ được đặt trong mạng nội bộ, có vai
trị giám sát và quản lý các hoạt động trên DMZ. Máy chủ bảo mật
thường được cài đặt các phần mềm quản lý sự kiện an ninh (SIEM)
và hệ thống phân tích nhật ký để theo dõi các hoạt động trên DMZ
và phát hiện các mối đe dọa tiềm năng. Ngoài ra, máy chủ bảo mật
cịn có thể được cấu hình để gửi cảnh báo đến quản trị viên ngay khi
phát hiện các cuộc tấn công đã vượt qua tường lửa của DMZ.

Hình 1. 7. Cấu trúc vùng DMZ

11

Downloaded by bong bong ()

lOMoARcPSD|39475011

➢ Cách thức hoạt động

● DMZ hoạt động như một vùng đệm giữa internet công cộng và
mạng riêng. Mạng con DMZ được triển khai giữa hai tường lửa .
Sau đó, tất cả các gói mạng gửi đến sẽ được sàng lọc bằng tường lửa
hoặc thiết bị bảo mật khác trước khi chúng đến các máy chủ được
lưu trữ trong DMZ.
● Nếu các cuộc tấn công của tin tặc vượt qua tường lửa đầu tiên, thì
chúng phải có quyền truy cập trái phép vào các dịch vụ trong DMZ
trước khi có thể gây ra bất kỳ thiệt hại nào đối với mạng nội bộ.
Cuối cùng, trong trường hợp các dịch vụ trong DMZ bị xâm nhập
thành công, tin tặc vẫn phải vượt qua bức tường lửa cuối cùng của
mạng nội bộ trước khi có thể tiếp cận các tài nguyên hay dữ liệu
nhạy cảm của doanh nghiệp.
● Những kẻ tấn công có thể tấn cơng vào kiến trúc DMZ an tồn nhất.
Tuy nhiên một khi cuộc tấn công diễn ra, báo động sẽ được kích
hoạt và thông báo cho các chuyên gia bảo mật để kịp thời ngăn chặn
các cuộc tấn công.
● Để giải thích một cách đơn giản thì cách thức hoạt động của DMZ
là sử dụng các máy chủ Mail, Web và tường lửa Firewall để cô lập
các dịch vụ và ứng dụng được truy cập từ Internet và giữ an toàn
cho mạng nội bộ. Nó giúp ngăn chặn các cuộc tấn công mạng và
giảm thiểu các rủi ro đối với hệ thống mạng.

1.2.3.3. Vùng mạng Server
Vùng mạng Server hoặc Server Farm: Đây là nơi đặt các máy chủ

chuyên dụng, như máy chủ cơ sở dữ liệu (Database Server), máy chủ ứng
dụng (Application Server), và các máy chủ khác mà doanh nghiệp sử dụng để
cung cấp các dịch vụ và ứng dụng cho người dùng hoặc khách hàng.

12


Downloaded by bong bong ()

lOMoARcPSD|39475011

Hình 1. 8. Vùng mạng server

1.2.3.4 Vùng mạng Internet
Vùng mạng Internet hay cịn được gọi là mạng ngồi, đồng thời cũng là

vùng mạng kết nối trực tiếp với mạng lưới internet trên toàn cầu.
Đây là kết nối trực tiếp với Internet. Tất cả các dữ liệu gửi và nhận giữa

mạng nội bộ và Internet phải thông qua vùng mạng này. Điều này thường
được thực hiện thông qua thiết bị như tường lửa (firewall), cửa ngăn
(gateway), và thiết bị kiểm soát truy cập (access control devices) để đảm bảo
bảo mật và kiểm soát truy cập vào mạng nội bộ.
1.2.4. Mơ hình
Mơ hình mạng phổ biến:

 Ta đặt một firewall giữa vùng mạng Internet và vùng mạng DMZ , một
firewall giữa vùng mạng DMZ và vùng mạng nội bộ và một firewall
giữa vùng mạng nội bộ và vùng mạng Internet. Như vậy, mỗi sự truy
cập giữa các vùng với nhau đều được kiểm soát bởi một firewall như
hình vẽ.

13

Downloaded by bong bong ()


lOMoARcPSD|39475011

Hình 1. 9. Mơ hình mạng 1 tường lửa

 Ta đặt một firewall giữa vùng mạng Internet và vùng mạng DMZ và
một firewall giữa vùng mạng DMZ và vùng mạng nội bộ.

Hình 1. 10. Mơ hình mạng 2 tường lửa

 Ta đặt một firewall giữa vùng mạng Internet và vùng mạng DMZ , một
firewall giữa vùng mạng DMZ và vùng mạng nội bộ và một firewall
giữa vùng mạng nội bộ và vùng mạng Internet. Như vậy, mỗi sự truy
cập giữa các vùng với nhau đều được kiểm soát bởi một firewall.
14

Downloaded by bong bong ()

lOMoARcPSD|39475011

Hình 1. 11. Mơ hình mạng 3 tường lửa

15

Downloaded by bong bong ()

lOMoARcPSD|39475011

CHƯƠNG 2: KĨ THUẬT VÀ CƠNG CỤ SỬ DỤNG

2.1. Cơng cụ Cisco Packet Tracer


Cisco Packet Tracer là một phần mềm giả lập mạng miễn phí được phát
triển bởi Cisco Systems. Phần mềm này cho phép người dùng tạo và mơ
phỏng các mạng máy tính bằng cách sử dụng các thiết bị mạng của Cisco,
chẳng hạn như router, switch, máy chủ, máy trạm và thiết bị IoT.

Packet Tracer được sử dụng để giảng dạy và học tập về mạng. Phần
mềm này là một công cụ tuyệt vời để giúp người dùng hiểu cách hoạt động
của các mạng máy tính và cách cấu hình các thiết bị mạng.

2.2. Virtual Local Area Network (VLAN)

2.2.1. Khái niệm
VLAN (Virtual Local Area Network) là một mạng tùy chỉnh, được tạo

từ một hay nhiều mạng cục bộ khác (LAN). Mạng VLAN cho phép một
nhóm thiết bị khả dụng trong nhiều mạng được kết hợp với nhau thành một
mạng logic. Từ đó tạo ra một mạng LAN ảo (Virtual LAN), được quản lý
giống như một mạng LAN vật lý.

2.2.2. Cách thức hoạt động
 Các Virtual LAN ở trong mạng được xác định bằng một con số cụ thể
 Phạm vi giá trị hợp lệ là 1- 4094. Trên một switch VLAN, ta có thể chỉ
định các cổng với số VLAN thích hợp.
 Tiếp đến, switch sẽ cho phép dữ liệu cần được gửi giữa các port khác
nhau có cùng một Virtual LAN.
 Vì hầu hết các mạng đều có nhiều hơn là chỉ một switch duy nhất. Vì
vậy, cần có một cách nào đó để có thể gửi lưu lượng giữa hai switch
trong mạng. Cách đơn giản nhất chính là gán một port trên mỗi switch
của Virtual LAN và chạy một cable giữa chúng.

16

Downloaded by bong bong ()

lOMoARcPSD|39475011

2.2.3. Ưu điểm của VLAN
 Giải quyết các vấn đề điển hình liên quan đến broadcast
 Giảm kích thước của broadcast domain
 Cho phép tạo thêm một lớp bảo mật bổ sung
 Giúp việc quản lý thiết bị trở nên đơn giản, dễ dàng hơn
 Cho phép tạo một nhóm logic các thiết bị, phân loại theo chức năng
 Có thể tạo các nhóm thiết bị được kết nối logic, có thể hoạt động như
trên mạng riêng của mình
 Cho phép phân đoạn mạng dựa trên nhóm, hay chức năng
 Có thể cấu trúc mạng theo vị trí địa lý
 Đem lại hiệu suất cao hơn, độ trễ (latency) thấp hơn
 Người dùng có thể bảo vệ những thơng tin nhạy cảm của mình
 Xóa bỏ ranh giới vật lý
 Tăng cường bảo mật mạng
 Phân tách các máy chủ
 Không cần thêm phần cứng, cáp, giúp tiết kiệm đáng kể chi phí
 Việc thay đổi IP subnet của người dùng sẽ nằm trong phần mềm
 Giảm số lượng thiết bị cho cấu trúc liên kết mạng
 Đơn giản hóa việc quản lý các thiết bị vật lý

2.2.4. Nhược điểm của VLAN
 Packet có thể bị rị rỉ giữa các VLAN
 Packet được inject có thể dẫn đến cyber attack
 Các mối đe dọa ở trong một hệ thống đơn lẻ có thể phát tán virus cho

toàn bộ mạng
 Cần có một router bổ sung để kiểm soát workload trong những mạng
lớn
 Khả năng tương tác có thể gặp vấn đề

17

Downloaded by bong bong ()

lOMoARcPSD|39475011

 Một VLAN không thể chuyển tiếp lưu lượng mạng sang những VLAN
khác

2.2.5. Ứng dụng của VLAN
 Đối với những mạng LAN có quy mơ lớn, khoảng 200 thiết bị trở lên,
thì việc sử dụng mạng Virtual LAN sẽ đem lại lợi ích to lớn
 Lý tưởng cho những mạng có lưu lượng truy cập cao
 Hữu ích cho những nhóm người dùng cần tính bảo mật cao, hoặc
khơng thích mạng bị chậm do số lượng broadcast lớn
 Có thể được ứng dụng khi mạng có nhiều người dùng, nhưng lại không
ở trên cùng một broadcast domain
 Có thể “biến hóa” một switch đơn nhất thành nhiều switch

2.3. Network Address Translation (NAT)

2.3.1. Khái niệm
NAT hay Network Address Translation là một kỹ thuật chuyển đổi đặc

biệt. Theo đó kỹ thuật này có thể chuyển đổi IP nội miền sang IP ngoại miền.

Quá trình chuyển đổi này tương tự như việc hỗ trợ mạng cục bộ Private dễ
dàng truy cập vào mạng internet cơng cộng.

2.3.2. Chức năng chính của NAT
Trong một hệ thống mạng NAT giữ vai trị di chuyển gói tin giữa các

lớp mạng khác nhau. Cụ thể, NAT cần tiến hành chuyển đổi địa chỉ IP trong
từng gói tin và chuyển đến router cùng một số thiết bị mạng khác.

Trong q trình chuyển gói tin từ mạng công cộng public ngược lại
NAT, NAT cần tiến hành thay đổi IP đích sang dạng IP nội bộ. Sau đó mới
chuyển đi.

18

Downloaded by bong bong ()