Tải bản đầy đủ (.doc) (38 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

mang lan

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (802.79 KB, 38 trang )

Lới nói đầu
NHCT Hà Tĩnh thuộc chinh nhánh NHCT Việt Nam là một trong những
doanh nghiệp áp dụng mạnh mẽ lĩnh vực CNTT vào trong SXKD. Lĩnh vực CNTT
mà công ty áp dụng là hệ thống mạng phần cứng và phần mềm, chính vì vậy ln
địi hỏi phải có một đội ngũ chuyên viên quản trị mạng(QTM) làm việc trên hệ
thống để đảm bảo cho hệ thống hoạt động liên tục và ổn định. Với đặc thù của
ngành QTM , xét thấy đây là lĩnh vực rất được ưa thích nên em đã đi sâu tìm hiểu
và qua hơn 2 tháng thực tế ở công ty , bản thân với lịng đam mê ,khơng ngừng
học hỏi và khám phá cộng với sự giúp đỡ nhiệt tình của các cán bộ ,nhân viên
làm việc trong công ty ,kêt quả là em đã thu được những kiến thức vơ cùng hữu
ích và đó là những kiến thức rất thực tế .Mặc dù quảng thời gian trải nghiệm
thực tế là không nhiều và mọi thứ chỉ mới bắt đầu , tuy nhiên nó là cơ sở là hướng
đi để cho em tiếp tục nghiên cứu sâu hơn đối với lĩnh vực này .
Xin chân thành cảm ơn Ơ.Hồng Viết Ngãi (GĐ ),A.Huỳnh Ngọc Minh
người trực tiếp hướng dẫn , các cán bộ ,nhân viên làm việc ở NHCT Hà Tĩnh, đã
tạo điều kiện giúp đỡ em hồn thành tốt cơng việc thực tập ở Công ty. Xin gửi lời
cảm ơn chân thành đến tất cả các Thầy Cô đã giảng dạy chúng em trong suốt thời
gian qua. Cảm ơn thầy Trần Xuân Hào - người đã hướng dẫn em thực hiện báo
cáo này. Tuy nhiên, do thời gian hạn hẹp, mặc dù đã nỗ lực hết sức mình, nhưng
chắc rằng báo cáo khó tránh khỏi thiếu sót. Chúng em rất mong nhận được sự
thơng cảm và chỉ bảo tận tình của q Thầy cô và các bạn.
Sinh viên thực tập


Nhận xét của giảng viên hướng dẫn
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………


………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………

Giảng viên
Th.s Trần Xuân Hòa


MỤC LỤC
1. Hệ thống mạng phân cứng..........................................................................6
1.1. Sơ đồ hệ thống mạng...............................................................6
1.2. Đánh địa chỉ IP cho các PC ngưòi dùng..................................7
1.3. Bức tường lửa FireWall............................................................8
1.4. Cấu hình asa5520....................................................................9
1.5. Đơi nét về IPS.........................................................................14
2. Thiết bị chuyển mạch SWITCH................................................................19
2.1. DHCP-RELAY –AGENT.........................................................20
2.2. Cấu hình bayStack 5510........................................................20
3. ROURTER trung tâm................................................................................23
3.1. Cấu hình Router.....................................................................24
4. Giải pháp mở rộng mạng LAN của công ty..............................................25

4.1. Đôi nét về Lease line:.............................................................26
4.2. Megawan................................................................................27
5. Hệ thống mạng phần mềm........................................................................29
6. Hệ thống máy chủ.....................................................................................31
7. Hệ thống Email.........................................................................................34


Nhật ký thực tập
Thời gian
Tuần 1

25- 31/01/2009

Tuần 2

01-07/02/2009

Tuần 3

08-14/02/2009

Cơng việc
Tìm hiểu sơ đồ hệ thống mạng
phần cứng
Tìm hiểu VLAN,các VLAN
được sử dụng trong hệ thống
Tìm hiểu thiết bị phần
cứng( chức năng ,cấu hình)
->Tìm hiểu FireWall
Tìm hiểu thiết bị phần


Tuần 4

15-21/02/2009

cứng( chức năng ,cấu hình)
->Tìm hiểu Router
Tìm hiểu thiết bị phần

Tuần 5

22-28/02/2009

cứng( chức năng ,cấu hình)
->Tìm hiểu Switchlayer 3
Quản trị hệ thống với Window

Tuần 6

01-07/03/2009

server 2003
->Hệ thống máy chủ AD
Quản trị hệ thống với Window

Tuần 7

08-14/03/2009

server 2003

->Hệ thống máy chủ DNS
Quản trị hệ thống với Window

Tuần 8

15-21/03/2009

server 2003
->Hệ thống máy chủ DHCP
Quản trị hệ thống với Window

Tuần 9

22-28/03/2009

server 2003
->Hệ thống máy chủ WINS
Quản trị hệ thống với Window

Tuần 10

01-07/04/2009

server 2003
->Hệ thống mail Server

Ghi chú


1. Hệ thống mạng phân cứng

1.1. Sơ đồ hệ thống mạng

Megawan

Megawan
Megawan

Mô tả sơ đồ
-

Hai đường truyền Megwan VTN và Megawan Viettel(đưịng truyền dự
phịng) Kết nối Router trung tâm của Cơng ty với hai Router nằm ở trụ sở
chính.

-

Đưịng truyền Megwan kết nối Công ty với QTK Kỳ anh.

-

Đường truyền lease line kết nối Công ty với QTK PDP

-

VLAN ATM: gồm máy ATM, CAMERA, XPE SERVER ,

-

VLAN SERVER: Toàn bộ hệ thống máy chủ Công ty thuộc VLAN này



-

VLAN PC:Các máy người dùng thuộc VLAN n ày.

-

Các thiết bị phần cứng mạng được sử dụng trong sơ đồ: Switch layer 2,
Switch layer 3, Firewall, Router, Modem SHDSL.

1.2. Đánh địa chỉ IP cho các PC ngưòi dùng
- Các PC thuộc VLAN PC ở Công Ty sẽ được đánh địa chỉ động(bởi DHCP
server) nằm trong khoảng 10.83.80.2->10.83.81.254 , địa chỉ mạng:10.83.80.0/26
Cấu trúc IP
IP Address :

10.83.80.2->10.83.81.254

Subnet Mask :

255.255.252.0

Default Gateway:

10.83.80.1

DHCP Server:

10.83.88.33


DNS Server:

10.83.88.33
10.83.88.32

WINS Server:

10.83.88.53

10.83.88.32
ATM1

IP Camera1

ATM2

IP Camera2

10.83.84.11

10.83.84.31

10.83.84.12

10.83.84.32

-

Các PC thuộc QTK Kỳ Anh sẽ được đánh địa chỉ IP tĩnh với địa chỉ mạng


10.83.72.0/27

Cấu trúc IP
IP Address :

10.83.72.2->

Subnet Mask : 255.255.224.0
Default Gateway:

10.83.72.1

DNS Server:

10.83.88.33

10.83.88.32
WINS Server:

10.83.88.53
10.83.88.32

ATM1
10.83.72.30

IP Camera1
10.83.72.29

ATM2
10.83.72.28


IP Camera2
10.83.72.27


-

Các PC thuộc QTK PDP sẽ được đánh địa chỉ IP tĩnh với địa chỉ mạng

10.83.72.32/27

IP Address :

10.83.72.34->

Subnet Mask : 255.255.224.0
Default Gateway:

10.83.72.33

DNS Server:

10.83.88.33

10.83.88.32
WINS Server:

10.83.88.53

10.83.88.32

ATM1
10.83.72.30

IP Camera1
10.83.72.29

ATM2
10.83.72.28

IP Camera2
10.83.72.27

1.3. Bức tường lửa FireWall
Ở đây công ty sử dụng Cisco ASA 5520.

-Thồng tin phần cứng.
CPU Type

CPU

Max

Default

Speed

Interfaces

RAM


150

512 MB

Pentium 4

2.0 GHz
Celeron
Auxiliary Ports: 1
Console Port: 1 x Serial
WAN Ports: 1

LAN Ports: 4 x RJ-45 (4 Gigabit Ethernet)

Expansion Modules
Supported
CSC-SSM, AIPSSM, 4GE-SSM


CHỨC NĂNG: Ngăn chặn sự xâm nhập bất hợp pháp vào mạng nội bộ
thông qua firewall. ). Chức năng của tường lửa là ngăn chặn các truy nhập trái
phép (theo danh sách truy nhập đã xác định trước) và thậm chí có thể lọc các gói
tin mà ta khơng muốn gửi đi hoặc nhận vào vì một lý do nào đó. Phương thức bảo
vệ này được dùng nhiều trong mơi trường liên mạng Internet.
1.4. Cấu hình asa5520
hostname ASA5520-430
domain-name north.icbv.com
enable password bVN.hoCbdclJ.LDz encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names



!
interface GigabitEthernet0/0
nameif outside
security-level 10
ip address 10.83.64.17 255.255.255.128
no shutdown
!
interface GigabitEthernet0/1
nameif inside
security-level 80
ip address 10.83.89.129 255.255.255.240
no shutdown
!
interface GigabitEthernet0/2
description Interface server
nameif SERVER
security-level 100
ip address 10.83.88.1 255.255.255.0
no shutdown


!
interface GigabitEthernet0/3
no nameif
no security-level
no ip address
no shutdown
!

interface GigabitEthernet0/3.1
description virtual interface for ATM
vlan 3
nameif ATM
security-level 90
ip address 10.83.84.1 255.255.255.0
no shutdown
!
interface GigabitEthernet0/3.2
description Money Transaction and Save Offices
vlan 6
nameif TSO
security-level 70
ip address 10.83.76.1 255.255.252.0
no shutdown
!
interface GigabitEthernet0/3.3
description CITAD
vlan 10
nameif CITAD
security-level 60
ip address 10.83.89.1 255.255.255.240
no shutdown
!




route outside 0.0.0.0 0.0.0.0 10.83.64.1 1
route inside 10.83.66.0 255.255.255.0 10.83.89.132 1

route inside 10.83.80.0 255.255.252.0 10.83.89.132 1

Đây chỉ là một phần nhỏ trong cấu hình đầu đủ mà đội quản trị của
Vietinbank đã thiết lập.Cấu hình đầy đủ gồm có thêm cấu hình chính sách an
ninh , danh sách truy nhập ,icmp…..
Nhận xét : Việc cấu hình firewall asa là một cơng việc khó địi hỏi ngưịi
cấu hình nó phải có một kiến thức đầy đủ về các quy tắc an ninh trong hệ thống
mạng phực tạp, cũng như hiểu rõ việc áp dụng các chính sách bức tưịng lửa đựơc
mơ tả qua các câu lệnh trong cấu hình hệ thống thiết bị.
ASA5520 là thiết bị hoạt động ở tầng 3 của mơ hình OSI, vì vậy ngồi việc
làm chức năng của một bức tưịng lửa , ASA 5520 cịn có chức năng định tuyến
giữa các VLAN(các subnet khác nhau), Mặc dù chỉ có 4 port GIGABYTE nhưng
một lợi thế của asa5520 là có thể chia một interface vật lý thành nhiều subinterface
phục vụ cho nhiều VLAN.
 Subinterface :Một int vật lý có thể được chia thành nhiều subinterface ảo.
Nhằm mục đích chủ yếu cho việc định tuyến giữa các VLAN
 VLAN là viết tắt của Virtual Local Area Network hay còn gọi là mạng
LAN ảo. Một VLAN được định nghĩa là một nhóm logic các thiết bị mạng và
được thiết lập dựa trên các yếu tố như chức năng, bộ phận, ứng dụng… của công
ty ,VLAN cho phép kết hợp các port trên switch thành các nhóm để giảm lưu
lượng broadcast trên mạng. Các lưu lượng này được giới hạn trong phạm vi
được xác định bởi VLAN.
 Kết nối trunk là liên kết point-to-point giữa các port trên switch với router
hoặc với switch khác. Kết nối trunk sẽ vận chuyển thông tin của nhiều VLAN
thông qua 1 liên kết đơn và cho phép mở rộng VLAN trên hệ thống mạng.
 Mục đích chính của VLAN:
i.

Giảm broadcast trong một hệ thống có nhiều VLAN


ii.

Tăng cưịng an ninh cho hệ thống

iii.

Các Frame được lưu chuyển nhanh hơn.

Sơ đồ kết nối vật lý ASA 5520 và Switch layer 3:


3

2

1

0

VLAN outside

VLAN inside

VLAN Server

VLAN CITAD

Trunk

VLAN ATM


VLAN TSO

ASA 5520



Sw layer 3

Trong hệ thống mạng trên ASA 5520 thực hiện định tuyến giữa 5 VLAN
bao

gồm

:VLAN

ATM(10.83.84.1),

VLAN

TSO(10.83.76.1),

VLAN

CITAD(10.83.38.1), VLAN SERVER(10.83.88.1),VLAN INSIDE(10.83.89.129),
VLAN OUTSIDE(10.83.64.17).
Trong đó 3 VLAN ATM , VLAN SERVER, VLAN TSO được cấu hình đi
qua đường trunk (1 đường vật lý duy nhất) của cổng số 3.
ASA5520 khi cần có thể lắp thêm một trong hai module , đó là module
AIP-SSM có tính năng phát hiện và ngăn chặn xâm nhập (IPS), hoặc module

CSCSSM phòng ngừa virus, spyware và lọc spam (Anti-Virus, Anti-Spyware và
Anti-Spam).
Ở đây công ty trang bị thêm module phần cứng AIP-SSM, đồng thời phải
hy sinh các tính năng Anti-Virus,Anti-Spyware, Anti-Spam và URL filtering vì
ASA chỉ có thể gắn thêm được một trong 2 mudule (AIP-SSM hoặc CSC-SSM).
Module AIP-SSM chỉ có một cổng Consol RJ45 để cấu hình, và ngồi ra
khơng có một interface mở rộng nào khác.


Cách lắp đặt
-

Tháo đinh vít để đưa tấm che ra ngồi

-

Đưa Module AIP-SSM qua khe.

Giải thích tại sao cần phải trang bị tính năng IPS cho ASA5520
Trả lời: Do Firewall cịn có những hạn chế nhất định đó là khơng có khả
năng phát hiện những tấn cơng từ bên trong mạng và một số hạn chế khác. Vì vậy
người ta đã sáng chế ra hệ thống ngăn ngừa xâm nhập (IPS) nhằm hạn chế các yếu
điểm của Firewall cải thiện tính năng bảo mật hệ thống mạng nâng cao độ an tồn
trong mạng.Ngồi ra cịn có IDS(hệ thống phát hiện xâm nhập ) nhưng h ệ thống
này kém chức năng hơn so với IPS.


1.5. Đôi nét về IPS
Hệ thống xâm nhập IPS(Instrusion prevention systems) là bất kỳ một thiết
bị phần cứng hay phần mềm nào có khả năng phát hiện và ngăn ngừa các nguy cơ

mất an ninh mạng.
IPS là thiết bị tích hợp IDS và hiệ thống ngăn chặn nhằm khắc phục điểm
yếu của IDS. IPS gồm hai phần chính :
i.

Phần phát hiện xâm nhập chính là IDS.

ii.

Phần ngăn ngừa xâm nhập: nhằm mục đích bảo vệ tài nguyên, dữ liệu và
mạng. Chúng sẽ làm giảm bớt những mối đe doạ tấn cơng bằng việc loại bỏ
những lưu lượng mạng có hại hay có ác ý trong khi vẫn cho phép các hoạt
động hợp pháp tiếp tục.

Các phương thức ngăn ngừa là:
-

Những ứng dụng không mong muốn và những cuộc tấn công “Trojan
horse” nhằm vào các mạng và các ứng dụng cá nhân, qua việc sử dụng các
nguyên tắc xác định và các danh sách điều khiển truy nhập (access control
lists).Các gói tin tấn cơng giống như những gói tin từ LAND và WinNuke
qua việc sử dụng các bộ lọc gói tốc độ cao.

-

Sự lạm dụng giao thức và những hành động lảng tránh những thao tác giao
thức mạng giống như Fragroute và những khảo sát lấn TCP (TCP overlap
exploits) .

-


Thông qua sự ráp lại thông minh.

-

Các tấn công từ chối dịch vụ (DOS/DDOS) như “lụt” các gói tin SYN và
ICMP bởi việc sử dụng các thuật toán lọc dựa trên cơ sở ngưỡng.

-

Sự lạm dụng các ứng dụng và những thao tác giao thức – các cuộc tấn công
đã biết và chưa biết chống lại HTTP, FTP, DNS, SMTP .v.v. qua việc sử
dụng những quy tắc giao thức ứng dụng và chữ ký.

-

Những cuộc tấn công quá tải hay lạm dụng ứng dụng bằng việc sử dụng các
hữu hạn tiêu thụ tài nguyên dựa trên cơ sở ngưỡng.

Các chế độ trong API-SSM
-

Chế độ Promicuous: IPS module ko ảnh hưởng đến luồng traffic trong
mạng bảo đảm performance. Vì bản thân Promicuous mode khơng có khả


năng ngăn chặn ngay cuộc tấn công mà phải nhờ vào giúp đỡ của ASA or
ROUTER nên có thể host đã bị tấn cơng nên đó là nhược điểm. Chế độ này
gửi một bản sao chép của luồng dữ liệu tới AIPSSM. AIP SSM block luồng
dữ liệu bằng các chỉ dẫn của asa hoặc khởi tạo lại kết nối trên hệ thống

chính.Hơn nữa trong khi AIP SSM trong khi đang phân tích luồng dữ liệu đ
ó , có thể một số lượng nhỏ các luồng dữ liệu khác có thể đi qua hệ thống
chính tới vào mạng cục bộ trước khi AIP SSM có thể block nó.
Hình cho thấy AIP SSM trong chế độ promiscuous. Trong v í d ụ n ày , AIP SSM
gửi tin nhắn yêu cầu hệ thống tránh xa luồng dữ liệu đó .

-

Chế độ inline: Trong mode này ips module sẽ can thiệp trực tiếp đến traffic
trong mạng.Các traffic cần đi qua ips module trước khi đến target. Những
cuộc tấn công được ngăn chặn kịp thời không gây ảnh hưởng đến target.

AIP SSM liên kết với asa(Adaptive Security Appliance) như thế nào trong quá
trình làm việc?
Khi bạn xác nhận quá trình thẩm tra luồng dữ liệu trên ASA, luồng dữ liệu
đó sẽ thơng qua asa và AIP SSM theo cách sau:
1. Luồng dữ liệu đi vào asa.
2. Chính sách bức tường lửa được áp d ụng
3. Luồng dữ liệu được gửi tới AIP SSM thông qua backplane.


4. AIP SSM áp dụng chính sách an ninh tới luồng dữ liệu , và đưa ra cách xử lý
phù h ợp.
5. Các luồng dữ liệu xác thực đựơc gửi trở lại ASA qua blackblanet , AIP SSM có
thể block một vài luồng dữ liệu tưongứng với chính sách an ninh của nó , và luồng
dữ liệu đó sẽ bị loại bỏ.
6. VPN policies được áp dụng (nếu được cấu hình)
7. Luồng dữ liệu đi ra kh ỏi ASA.
Hình cho thấy đường đi của luồng dữ liệu khi chạy AIP SSM trong chế độ
inline. Trong ví dụ này , AIP SSM tự động block các luồng dữ liệu được xác định

là có thể tấn cơng hệ thống.

AIP SSM sử dụng IPS software Version 6.0 hoặc cao hơn có thể chạy nhiều
sensor ảo(virtual sensors) , điều đó có nghĩa rằng bạn có thể cấu hình nhiều chính
sách an ninh trên AIP SSM. Bạn có thể gán mỗi phạm vi hoặc chế độ đơn của hệ
thống chính tới 1 hoặc nhiều virtual sensors.
Hình cho thấy một phạm vi an ninh (context) ghép với một virtual
sensor( chế độ inline), trong khi hai phạm vi an ninh chia sẽ cùng một virtual
sensor.


Hình cho thấy một chế độ đơn(single mode) của ASA kết hợp với nhiều
virtual sensors( trong chế độ inline) .

Cấu hình AIP SSM
Các bước cấu hình
1. Phiên(session) cho AIP SSM từ hệ thống chính .


2. Tr ên API-SSM , cấu hình chính sách bảo vệ và thẩm tra để phát hiện các luồng
dữ liệu xấu, , cấu hình chính sách bảo vệ và thẩm tra cho mỗi virtual sensor nếu
bạn muốn chạy AIP SSM trong chế độ nhiều virtual sensor
3.Trên hệ thống chính ASA 5520 trong chế độ nhiều context , chỉ ra virtual sensors
IPS nào là cho mỗi context( nếu virtual sensors được cấu hình ) .
4.Trên hệ thống chính ASA 5500 , xác định luồng dữ liệu để đi trực tiếp đến AIP
SSM.
Cấu hình cơ bản
-

Kết nối vào module IPS


-

Module mở rộng trên FW ASA5520 là module IPS

-

Kiểm tra thông tin về module IP

-

Từ màn hình console trên ASA, xem trạng thái của module IPS bằng lệnh:

ASA5520-# show module
ASA5520-# show module 1 details
- Khởi động module IPS: ASA5520-# hw-module module 1
reset
-

Cấu hình cơ bản module IPS

- Chuyển vào màn hình của IPS: ASA5520-# session 1
- Đăng nhập bằng account: cisco / cisco
- Thay đổi password mặc định của Username cisco thành cisco$
- Cấu hình các thơng số cơ bản: sensor# setup
Continue with configuration dialog?[yes]:yes
Enter host name[sensor]: IPS
Enter IP
interface[10.1.9.201/24,10.1.9.1]:10.x.y+2.2/28,10.x.y+2.1


Enter telnet-server status[disabled]: enable
Enter web-server port[443]:
Modify current access list?[no]: yes
Current access list entries:


No entries
Permit:
Permit:
Permit:
Permit:
Modify system clock settings?[no]:
Modify virtual sensor "vs0" configuration?[no]:
Enter your selection[2]:
Configuration Saved.
- Cấu hình chính sách cho IPS trước ---> để log và proceduce alert
- Phân loại và cấu hình luồng dữ liệu sẽ được Module IPS xử lý
ASA5520-# config ter
ASA5520-(config)# class-map IPSclass
ASA5520-(config-cmap)# match any
- Thêm chính sách bằng câu lệnh Policy-map
ASA5520-(config)# policy-map IPSpolicy
ASA5520-(config-pmap)# class IPSclass
ASA5520-(config-pmap-c)# ips promiscuous fail-open
- Áp chính sách trên vào Interface
ASA5520-(config)# service-policy IPSpolicy interface
outside
Cần phải tìm hiểu chi tiết cấu hình hơn.
2. Thiết bị chuyển mạch SWITCH.
Switch layer 2 có khả năng kết nối được nhiều segment lại với nhau tuỳ

thuộc vào số cổng (port) trên Switch. Switch “học” thơng tin của mạng thơng qua
các gói tin (packet) mà nó nhận được từ các máy trong mạng. Switch sử dụng các
thông tin này để xây dựng lên bảng Switch, bảng này cung cấp thông tin giúp các
gói thơng tin đến đúng địa chỉ.


Ngày nay, trong các giao tiếp dữ liệu, Switch thường có 2 chức năng chính
là chuyển các khung dữ liệu từ nguồn đến đích, và xây dựng các bảng Switch.
Switch hoạt động ở tốc độ cao hơn nhiều so với Repeater và có thể cung cấp nhiều
chức năng hơn như khả năng tạo mạng LAN ảo (VLAN).
Switch layer 3: witch layer 3 là 1 loại Switch layer 2 nhưng có thêm tính
năng route và routing (như 1 Router) hay bạn cứ mường tượng nó là 1 con router
bình thường nhưng có tích hợp thêm nhiều port LAN
C ơ ng ty s ư ử d ụng switch layer 3(bayStack 5510,48 p ort)

Công ty sử dụng switch layer 3(bayStack 5510,48 p ort), thiết bị này làm
nhiệm vụ định tuyến giữa các VLAN đó là VLAN 1(10.83.66.1, VLAN 1 thuộc
VLAN quản lý), VLAN 5(10.83.80.1, thuộc VLAN người dùng),VLAN
7(10.83.89.162), và là thiết bị trung gian cho các VLAN thuộc ASA5520 đi qua,
có nghĩa rằng SW layer 3 phải có sẵn cơ sở dữ liệu của các VLAN ATM ,VLAN
CITD ,VLAN Server được định tuyến ở ASA5520. Ngồi ra do các máy ngưịi
dùng thuộc VLAN PC nhận địa chỉ động từ DHCP SERVER nằm ở VLAN khác
đó l à VLAN SERVER nên switch layer 3 phải yêu cầu cài đặt DHCP-RELAY –
AGENT .
2.1. DHCP-RELAY –AGENT
DHCP-RELAY –AGENT là gì?
Trong trường hợp DHCP Client và DHCP Server không nằm cùng subnet
và được kết nối qua bộ định tuyến (router) thì cần phải có giải pháp cho phép truy
vấn từ DHCP Client vượt qua router để đến DHCP Server. DHCP Relay Agent (tác
nhân chuyển tiếp DHCP) được dùng cho mục đích này. DHCP Relay Agent là một

thực thể trung gian cho phép chuyển tiếp (relay) các DHCP Discover (hoặc DHCP
Request), mà thường bị chặn ở ngay router, từ DHCP Client đến DHCP Server.


2.2. Cấu hình bayStack 5510
Tạo cở sở dữ liệu cho VLAN
VLAN databse
VLAN 2 name S erver
VLAN 3 name ATM
VLAN 4 name router-pix
VLAN 10 name CITD
VLAN 1 NAME MANAGER
VLAN 5 NAME PC
VLAN 7 NAME Pix-layer3
interface vlan 1
ip address 10.83.66.1 255.255.255.0
exit
interface vlan 5
ip address 10.83.80.1 255.255.252.0
exit
interface vlan 7
ip address 10.83.89.132 255.255.255.240
exit
ip route 0.0.0.0 0.0.0.0 10.83.89.129 1 // Cấu h ình ROUT ER m
ặc định
ip dhcp-relay fwd-path 10.83.80.1 10.83.88.31 enable
ip dhcp-relay fwd-path 10.83.80.1 10.83.88.31 mode bootp-dhcp
ip dhcp-relay fwd-path 10.83.80.1 10.83.88.33 enable
ip dhcp-relay fwd-path 10.83.80.1 10.83.88.33 mode bootp-dhcp



Sơ đồ mô tả cơ chế hoạt động của DHCP –RELAY-AGENT của sơ đồ hệ

SW layer 3

Inside(10.83.89.129)

Vlan 7 pix-layer
DHCP relay agent

Address IP for PC

DHCP Server
.10.83.88.0/22du
VLAN
Server
phong
10.83.88.33

ASA5520

Request IP

Reply IP

Vlan SERVER

thống mạng công ty.

VLAN PC

10.83.80.0/22


Một DHCP Server, có IP là 10.83.88.31, nối với Switch layer 3. Có nhiệm
vụ cấp IP động cho các máy thuộc VLAN PC. Quản lý 1 scope là 10.83.80.1 và
10.83.80.255.

3. ROURTER trung tâm.
Router trung tâm của hệ thống được giao tiếp với các router của trụ sở
chính(HÀ NỘI) định tuyến các gói dữ liệu từ mạng bên ngồi hệ thống vào bên
trong hệ thông và ngược lại
Router được nối trực tiếp vào SW layer 3(trong sơ đồ vật lý), và thuộc
VLAN Pix-Router của SW layer 3 , trong sơ đồ hệ thống mạng của công ty, dữ
liệu đi từ bên ngồi vào sẽ đi qua router ,sau đó đi tới SW layer3 , rồi đi tới giao
diện outside(do cấu hình OSPF) của ASA 5520 tại đây dữ liệu sẽ được bức tường
lửa xử lý và xác minh độ an toàn của gói tin đó, nếu nó vượt qua được quá trình
kiểm tra này , khi đó gói tin tiếp tục được chuyển xuống SW layer 3 trước khi đi
vào mạng nội bộ.
Sơ đồ thể hiện đưịng đi của gói dữ liệu từ ngoài vào: 1->2->3->4


Router

Ports of
VLAN-Pix Router

4

1


Dây nối
SW Layer 3
3

2

OUTSIDE(10.83.64.17)
ASA5520

1: Dữ liệu từ ngoài vao đựơc chuyển tới SW layer 3
2:Dữ liệu được chuyển lên ASA 5520 qua giao diện outside để xử lý.
3:Dữ liệu được chuyển xuống SW layer 3
4: Du liệu đi vào mạng nội bộ
Lưu ý: Đường đi của dữ liệu từ trong ra ngoài hệ thống sẽ theo chiều ngược lại tức
là 4->3->2->1.
3.1. Cấu hình Router
1. Routing OSPF
ip route 10.83.88.0 255.255.255.0 10.83.64.17
Route toi Server tai Chi Nhanh
ip route 10.83.80.0 255.255.252.0 10.83.64.17
Route toi PC tai Chi Nhanh
ip route 10.83.84.0 255.255.255.0 10.83.64.17
Route toi ATM tai Chi Nhanh
ip route 10.83.89.128 255.255.255.240 10.83.64.17 Route toi mang Pix - Layer 3
ip route 10.83.89.0 255.255.255.240 10.83.64.17
Route to lop mang Citad
ip route 10.83.76.0 255.255.252.0 10.83.64.17
Route toi lop mang PC - Cable
ip route 10.83.66.0 255.255.255.0 10.83.64.17
Route toi lop mang Manager

Nhận x ét : Qua tìm hiểu thực tế cần phải nắm bắt các vấn đề sau:
-

Hiểu rõ VLAN l à gì

-

Cấu hình các thiệt bị như Router, SW layer3, SW layer2, asa…

-

Các chính sách an ninh.


4. Giải pháp mở rộng mạng LAN của công ty.
Sử dụng đường truyền nào giữa CÔNG TY và quỹ tiết kiêm(QTK PDP) ?
Xem xét các điều kiện và nhu cầu thực tế:
-

khoảng cách giữa CÔNG TY và quỹ tiết kiêm(QTK PDP) < 7km

-

cần có kết nối LAN tới LAN giữa hai nơi

-

cả Công ty và QTK PDP đều không sử dụng Internet qua đường này , nó
chỉ dùng để truyền dữ liệu riêng.
Căn cứ điều kiện và nhu cầu thực tế này Công ty đã sử dụng kênh thuêu


riêng(lease line)để kết nối hai điểm và sử dụng Modem WireSpan 5200 ở cả hai
đầu.

Lease line(cáp
đồng)

Modem WireSpan 5200

WireSpan 5200 là SHDSL modem chạy trên 2 đôi cáp đồng, khoảng cách
lên đến 7km, tốc độ đến 4Mbps, đặc biệt hỗ trợ 2 giao diện: E1 + Ethernet
hoặc V.35 + Ethernet trên cùng 1 thiết bị, WireSpan 5200 đã được thử nghiệm
tương thích với tất cả các loại SHDSL modem thông dụng trên thị trường


4.1. Đơi nét về Lease line:
Leased line có 3 loại:
1. leased line kênh trắng : (Đây là loại mà công ty sử dụng )
-

Nối dây giữa 2 văn phòng thành mạng LAN tức là nối 2 LAN với
nhau <-> không cần VPN

-

Khơng thể dùng internet trên đường này, nó chỉ dùng để truyền dữ
liệu riêng.

-


Router đặt IP tùy người dùng

2. Leased line Layer3 (LL3)
-

ISP kéo dây đến từng văn phòng và cấp cho 2 văn phòng IP
x.x.x.x/30. Người dùng cấu hình IP cho từng văn phịng. ISP route 2
văn phịng với nhau.

-

Muốn ra net thì lắp thêm ADSL

3. LLL
-

tương tự nhưng có thể ra net qua leased line này.


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×