HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA QUỐC TẾ VÀ ĐÀO TẠO SAU ĐẠI HỌC
----------

BÁO CÁO TIỂU LUẬN
MÔN QUẢN TRỊ MẠNG

Giảng viên:

Lớp:

PGS.TS Trần Quang Anh

M16CQIS01-B

Nhóm 4:

Hà Nội, tháng 4 năm 2017


I. Mục tiêu
Xây dựng cấu trúc của một hệ thống phòng máy chủ bao gồm các server
và các thiết bị chuyển mạch mạng được kết nối với nhau theo một thể thống
nhất. Trên cơ sở đó xây dựng ứng dụng kiểm tra hoạt động của các thiết bị.
II. Ý nghĩa
Với tình hình phát triển nhanh chóng của công nghệ thông tin, thì bất cứ
một doanh nghiệp, tổ chức hay một cơ quan nào cũng cần có một hệ thống thông
tin. Để vận hành và quản lý hệ thống CNTT đó thì tổ chức hay cơ quan cần phải
có máy chủ. Việc sở hữu một máy chủ riêng giúp cho chủ động trong việc quản
lý và xử lý thông tin, không phụ thuộc vào bên cung cấp thứ 3. Quan trọng hơn
là khả năng quản lý thông tin tối ưu, tránh được nguy cơ mất cắp dữ liệu, hạn

chế được các cuộc tấn công qua mạng, virut backdoor...
Bên cạnh đó, hầu hết các ứng dụng trong hiện nay thường được viết để có
thể chạy trong hệ thống có kết nối mạng. Tuy nhiên, một máy tính bình thường
khó có khả năng và sức mạnh để xử lý khối lượng thông tin lớn trong một thời
gian ngắn
Thách thức đặt ra là thông tin được xử lý thông suốt, không bị nghẽn
mạng và đảm bảo an toàn. Vì vậy việc thiết kế một phòng máy chủ nhằm đảo
bảo hiệu suất cao là rất cần thiết. Không những thế, việc đảm bảo Internet thông
suốt đến từng máy tính trong nội bộ còn phụ thuộc vào các thiết bị chuyển mạch
mạng. Vì vậy, việc giám sát hoạt động làm việc của các thiết bị mạng là việc làm
thường xuyên và liên tục.
III. Phương pháp
1. Sơ lược về thiết bị và đường truyền
Hệ thống bao gồm:
- 01 đường Leased line 200mb, 3 đường FTTH 240Mb
- 02 cân bằng tải MikroTIK CCR1036-8G-2S+EM
- 01 tường lửa Fortigate 500D
- 01 tường lửa McAfee S3008


- 02 tường lửa ASA 5520
- 02 thiết bị Core Switch 4506
- 15 thiết bị Switch Cisco phân phối các tòa nhà
2. Quy trình hoạt động
Phân phối mạng Internet từ phòng máy chủ đến tất cả các máy trạm được
thông qua các thiết bị Switch Cisco.
Các đường Internet đi từ ngoài sẽ chịu giám sát và bảo mật bởi các thiết bị trên,
được gom và phân phối tại 2 Switch Cisco 4506
3. Thuyết minh giải pháp
3.1. Core Switch 4506

Đây là thiết bị chuyển mạch lõi, có cấu hình phần cứng khá cao đủ khả
năng xử lý toàn bộ yêu cầu truy cập của người dùng
Mô hình mạng lõi sử dụng 2 thiết bị Core Switch (model: Cisco 4506).
Hai thiết bị được cấu hình hoạt động mode HSRP (Hot Standby Router
Protocol), dữ liệu và thông tin cấu hình được tự động bộ giữa các Switch, cung
cấp khả năng hoạt động dự phòng khi một trong hai thiết bị gặp sự cố
Trên 4506 tạo ra nhiều VLAN để dễ dàng quản lý và khoanh vùng xử lý
sự cố khi có lỗi
Sử dụng access control list để chặn tất cả các VLAN khác không đươc
truy cập. Tất cả các VLAN sẽ được định tuyến để có thể truy cập vào vùng
Public Server tìm kiếm thông tin và làm việc, Sử dụng access control list để
chặn toàn bộ người dùng VLAN khách và VLAN Wifi không được truy cập vào
vùng Server và các VLAN khác
3.2. Kết nối từ Internet vào máy chủ Public vùng DMZ
DMZ là vùng mạng chứa các máy chủ dịch vụ, cổng thông tin,… cho
phép sinh viên, cán bộ nhà trường hoặc người dùng internet có thể truy nhập,
tương tác. Các máy chủ vùng DMZ được bảo vệ bởi thiết bị FortiGate Firewall,
thực thi chính hạn chế truy nhập và ngăn chặn tấn công mạng từ Internet.


Tại vùng DMZ, chức năng Load balancing server có khả năng cân bằng
tải cho Server
Tường lửa FortiGate 500D là thiết bị rất quan trọng trong hệ thống, vừa đảm
nhiệm chức năng tường lửa và có thể quét dữ liệu ở tầng thứ 7 để đảm bảo tính an
ninh cho hệ thống, ngoài nhiệm vụ phân vùng truy cập LAN local và vùng DMZ
thiết bị này con có chức năng xác thực và kiểm soát người dùng qua tài khoản AD
(Active Directory), kiểm soát năng thông đảm bảo tính ổn định cho hệ thống
3.3. Kết nối của cán bộ, giảng viên nhà trường ra Internet
Trên Core Switch, cấu hình chia VLAN theo nhóm người dùng thuộc các
phòng ban đang làm việc tại nhà trường

Khi người dùng kết nối vào hệ thống mạng sử dụng Wifi hoặc mạng dây
(wired) sẽ được cấp địa chỉ IP từ máy chủ DHCP server hoặc Wireless Access Point
FortiGate Firewall được cấu hình tích hợp hệ thống Active Directory, yêu
cầu người dùng xác thực sử dụng Domain User trước khi được phép truy nhập ra
internet. Ngay sau khi xác thực thành công, mỗi người dùng sẽ được áp dụng
chính sách kiểm soát truy nhập của tổ chức, bảo vệ người dùng khi vô tình/cố ý
truy nhập Blacklist Domain hoặc Website có nội dung xấu, chứa mã độc …
3.4. Kết nối Server Zone ra Internet
Server Zone là phân vùng chứa những máy chủ quan trọng của tổ chức
như DB server, Apps server, File server, … Mọi kết nối vào/ra phân vùng Server
đều được kiểm soát và bảo vệ bởi lớp McAfee Firewall
Trên McAfee Firewall, cấu hình chính sách kiểm soát truy nhập tối thiểu
dựa trên Src IP, Dst IP, Dst Port, … Hạn chế rủi ro gây mất an toàn an ninh cho
hệ thống
3.5. Phòng Lab thực hành kết nối Internet
Trên Core Switch:
- Cấu hình chia VLAN cho nhóm Phòng Lab
- Cấu hình Access List, chặn các kết nối từ Phòng Lab đến tất cả phân
vùng nội bộ của nhà trường.


- Cấu tính năng Source-based-Routing, định tuyến VLAN Phòng Lap đến
Cisco ASA Firewall trước khi được phép truy nhập internet.
Trên Cisco ASA Firewall:
- Cấu hình tính năng QoS, hạn chế băng thông sử dụng tối thiểu theo địa chỉ
IP
Cấu hình kiểm soát địa chỉ truy nhập internet theo thời gian (Ví dụ: chặn
sinh viên đọc báo xem video trong giờ học)
4. Xây dựng ứng dụng theo dõi làm việc của các thiết bị chuyển mạch mạng
Các thiết bị được liên kết với nhau theo và hoạt động theo một thể thống

nhất. Vì vậy, một thiết bị không hoạt động sẽ dẫn đến tình trạng mất kết nối
mạng. Việc xây dựng ứng dụng được thực hiện trên nguyên lý ping đến từng
thiết bị.
IV. Dự kiến kết quả
Thiết kế một hệ thống mạng có cấu trúc đảm bảo dễ dàng nâng cấp, phân
vùng truy cập rõ ràng, thiết lập chính sách truy cập giữa các vùng đảm bảo tính an
toàn cao nhất, năng lưc xử lý của hệ thống đáp ứng được khoảng 1000 người dùng.
Cấu trúc hệ thống khai thác hiệu quả tính năng và năng lực xử lý của từng
thiết bị, đảm bảo an ninh cao cho các vùng ưu tiên, tránh tình trạng “nghẽn cổ
chai”
Hệ thống kiểm soát được người dùng, quản lý truy cập qua tài khoản xác
thực trên AD (Active Directory)
Giám sát các thiết bị chuyển mạch mạng có hoạt động tốt không