Tài liệu Đề tài Xây dựng và quản trị hệ thống mạng lan: BỘ CÔNG THƯƠNG
TRƯỜNG CAO ĐẲNG CÔNG NGHIỆP TUY HÒA
KHOA CÔNG NGHỆ THÔNG TIN
BÁO CÁO THỰC TẬP TỐT NGHIỆP
Chuyên ngành: Tin học ứng dụng
Chuyên đề thực tập :
XÂY DỰNG & QUẢN TRỊ HỆ THỐNG MẠNG LAN
Cơ quan thực tập:
Trung Tâm Tích Hợp Dữ Liệu thuộc Sở Thông Tin & Truyền Thông
Cán bộ hướng dẫn : Lê Anh Tuấn
Giáo viên hướng dẫn : Ths. Trương Đình Tú
Sinh viên thực hiện : Nguyễn Thị Kim Thắm
Võ Thị Kiều My
MSSV : 0710010386
0710010384
Tuy Hòa, Tháng 7 năm 2010
BỘ CÔNG THƯƠNG
TRƯỜNG CAO ĐẲNG CÔNG NGHIỆP TUY HÒA
KHOA CÔNG NGHỆ THÔNG TIN
Sinh viên thực hiện: Nguyễn Thị Kim Thắm
Võ Thị Kiều My
Chuyên đề thực tập :
XÂY DỰNG & QUẢN TRỊ HỆ THỐNG MẠNG LAN
Xác nhận của GVHD Xác nhận của cán bộ
….………………….. …………………………
……………………….. …………………………
Xác nhận của cơ quan thực tập
(Ký tên, đóng dấu)
………………………………..
…………………………………
…………………………………
NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
LỜI NÓI ĐẦU
Chúng ta đang sống trong một thời đại mới, thời đại p...
93 trang |
Chia sẻ: hunglv | Lượt xem: 1675 | Lượt tải: 1
Bạn đang xem trước 20 trang mẫu tài liệu Đề tài Xây dựng và quản trị hệ thống mạng lan, để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên
BỘ CÔNG THƯƠNG
TRƯỜNG CAO ĐẲNG CÔNG NGHIỆP TUY HÒA
KHOA CÔNG NGHỆ THÔNG TIN
BÁO CÁO THỰC TẬP TỐT NGHIỆP
Chuyên ngành: Tin học ứng dụng
Chuyên đề thực tập :
XÂY DỰNG & QUẢN TRỊ HỆ THỐNG MẠNG LAN
Cơ quan thực tập:
Trung Tâm Tích Hợp Dữ Liệu thuộc Sở Thông Tin & Truyền Thông
Cán bộ hướng dẫn : Lê Anh Tuấn
Giáo viên hướng dẫn : Ths. Trương Đình Tú
Sinh viên thực hiện : Nguyễn Thị Kim Thắm
Võ Thị Kiều My
MSSV : 0710010386
0710010384
Tuy Hòa, Tháng 7 năm 2010
BỘ CÔNG THƯƠNG
TRƯỜNG CAO ĐẲNG CÔNG NGHIỆP TUY HÒA
KHOA CÔNG NGHỆ THÔNG TIN
Sinh viên thực hiện: Nguyễn Thị Kim Thắm
Võ Thị Kiều My
Chuyên đề thực tập :
XÂY DỰNG & QUẢN TRỊ HỆ THỐNG MẠNG LAN
Xác nhận của GVHD Xác nhận của cán bộ
….………………….. …………………………
……………………….. …………………………
Xác nhận của cơ quan thực tập
(Ký tên, đóng dấu)
………………………………..
…………………………………
…………………………………
NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
LỜI NÓI ĐẦU
Chúng ta đang sống trong một thời đại mới, thời đại phát triển rực rỡ của công nghệ thông tin, đặc biệt là công nghệ máy vi tính và mạng máy tính với sự bùng nổ của hàng ngàn cuộc cách mạng lớn nhỏ. Từ khi ra đời, máy vi tính ngày càng giữ vai trò quan trọng trong các lĩnh vực khoa học kỹ thuật và cuộc sống hàng ngày của con người. Từ sự ra đời của chiếc máy tính điện tử lớn ENIAC đầu tiên năm 1945. Sau đó là sự ra đời những máy vi tính của hãng IBM vào năm 1981. Cho đến nay, sau hơn 20 năm, cùng với sự thay đổi về tốc độ các bộ vi xử lý và các phần mềm ứng dụng, công nghệ thông tin đã ở một bước phát triển cao, đó là số hóa tất cả những dữ liệu thông tin, đồng thời kết nối chúng lại với nhau và luân chuyển mạnh mẽ. Hiện nay, mọi loại thông tin, số liệu, hình ảnh, âm thanh,… đều được đưa về dạng kỹ thuật số để bất kỳ máy tính nào cũng có thể lưu trữ, xử lý cũng như chuyển tiếp với các máy tính hay thiết bị kỹ thuật số khác.
Sự ra đời của các mạng máy tính và những dịch vụ của nó đã mang lại cho con người rất nhiều những lợi ích to lớn, góp phần thúc đẩy nền kinh tế phát triển mạnh mẽ, đơn giản hóa những thủ tục lưu trữ, xử lý, trao chuyển thông tin phức tạp, liên lạc và kết nối giữa những vị trí, khoảng cách rất lớn một cách nhanh chóng, hiệu quả… Và mạng máy tính đã trở thành yếu tố không thể thiếu đối với sự phát triển của nền kinh tế, chính trị cũng như văn hóa, tư tưởng của bất kỳ quốc gia hay châu lục nào. Mạng máy tính được hình thành từ nhu cầu muốn chia sẻ tài nguyên và dùng chung nguồn dữ liệu. Máy tính cá nhân là công cụ tuyệt vời giúp tạo dữ liệu, bảng tính, hình ảnh và nhiều thông tin khác nhưng không cho phép chia sẻ dữ liệu bạn đã tạo nên. Mạng máy tính được các tổ chức sử dụng chủ yếu để chia sẻ, dùng chung tài nguyên và cho phép giao tiếp trực tuyến bao gồm gửi và nhận thông điệp hay thư điện tử, giao dịch hay tìm kiếm thông tin trên mạng. Các cơ quan, doanh nghiệp đầu tư vào mạng máy tính để chuẩn hoá các ứng dụng chẳng hạn như: chương trình xử lý văn bản để đảm bảo rằng mọi người sử dụng cùng phiên bản của phần mềm ứng dụng dễ dàng hơn cho công việc. Nhà quản lý có thể sử dụng các chương trình tiện ích để giao tiếp truyền thông nhanh chóng và hiệu quả với rất nhiều người cũng như để tổ chức sắp xếp cho toàn công ty dễ dàng. Nếu không có hệ thống mạng, dữ liệu phải được in ra giấy thì người khác mới có thể hiệu chỉnh và sử dụng được hoặc có thể sao chép lên đĩa mềm do đó tốn nhiều thời gian và công sức. Con người đã không còn bị giới hạn bởi những khoảng cách về địa lý, có đầy đủ quyền năng hơn để sáng tạo những giá trị mới vô giá về vật chất và tinh thần, thỏa mãn những khát vọng lớn lao của chính họ và của toàn nhân loại.
Cũng chính vì vậy, nếu không có mạng máy tính, hoặc mạng máy tính không thể hoạt động như ý muốn thì hậu quả sẽ rất nghiêm trọng. Và vấn đề an toàn cho mạng máy tính cũng phải được đặt lên hàng đầu khi thiết kế, lắp đặt và đưa vào sử dụng một hệ thống mạng máy tính dù là đơn giản nhất.
Bên cạnh đó, thông tin giữ một vai trò hết sức quan trọng bởi vì nếu như thiếu thông tin, con người sẽ trở nên lạc hậu dẫn tới những hậu quả nghiêm trọng, nền kinh tế chậm phát triển. Vì lý do đó, việc lưu giữ, trao đổi và quản lý tốt nguồn tài nguyên thông tin để sử dụng đúng mục đích, không bị thất thoát đã là mục tiêu hướng tới của không chỉ một ngành, một quốc gia mà của toàn thế giới.
Trong quá trình thực tập và làm đề tài tốt nghiệp, được sự đồng ý và hướng dẫn, chỉ bảo tận tình của thầy giáo hướng dẫn Trương Đình Tú, anh Lê Anh Tuấn cùng với sự giúp đỡ của bạn bè và trung tâm nơi thực tập, em đã có thêm nhiều điều kiện để tìm hiểu về quy trình xây dựng và quản trị hệ thống mạng LAN, về cách thiết kế, xây dựng và quản lý mô hình mạng theo dạng Server - client. Đó cũng là đề tài mà em muốn nghiên cứu và trình bày trong đề tài tốt nghiệp này. Nội dung chính của báo cáo gồm:
§ Chương 1: Giới thiệu tổng quan về đề tài.
§ Chương 2: Triển khai xây dựng, thiết kế và quản trị hệ thống mạng LAN.
§ Chương 3: Kết luận.
Đề tài đề cập đến một vấn đề khá lớn và tương đối phức tạp, đòi hỏi nhiều thời gian và kiến thức về lý thuyết cũng như thực tế. Do thời gian nghiên cứu chưa được nhiều và trình độ bản thân còn hạn chế, nên báo cáo không tránh khỏi những khiếm khuyết. Em rất mong nhận được sự hướng dẫn, chỉ bảo của các thầy, cô giáo và sự đóng góp nhiệt tình của các bạn để giúp em bổ sung vốn kiến thức và có thể tiếp tục nghiên cứu đề tài nêu trên một cách tốt hơn, hoàn chỉnh hơn.
Qua đây chúng em cũng xin chân thành cảm ơn quý thầy cô trong khoa Công Nghệ Thông Tin trường Cao Đẳng Công Nghiệp Tuy Hoà đã tận tình dạy bảo cho chúng em nhiều kiến thức bổ ích trong suốt thời gian học tập tại trường cũng như đã tạo cho chúng em thực hiện đề tài này.
Chúng em xin cám ơn thầy Trương Đình Tú, thầy đã tận tình giúp đỡ chúng em trong suốt thời gian thực hiện đề tài, cho chúng em sự bình tĩnh, tự tin khi chúng em vấp phải những khó khăn trong quá trình thực hiện đề tài. Nhờ có thầy mà đề tài chúng em làm được như ngày hôm nay.
Chúng em xin cám ơn lãnh đạo và các anh chị ở Trung Tâm Tích Hợp Dữ Liệu đã tạo điều kiện giúp đỡ chúng em trong suốt quá trình thực tập, đặc biệt là anh Lê Anh Tuấn đã tận tình hướng dẫn chúng em trong suốt thời gian thực tập tại cơ quan.
Chúng em xin chân thành cám ơn!
Tuy Hòa, ngày 07 tháng 07 năm 2010
Nhóm sinh viên thực hiện
Nguyễn Thị Kim Thắm
Võ Thị Kiều My
MỤC LỤC
II.3.3.1. Cài đặt máy chủ phục vụ 26
II.3.1.2. Giới thiệu firewall 43
II.3.1.3. Giới thiệu phần mềm ISA Server 2006 49
II.3.1.4. Cài đặt phần mềm ISA Server 2006 49
II.3.1.5. Cấu hình ISA 2006 55
II.3.2. Cài đặt các máy trạm tương ứng 80
II.3.2.1. Cài đặt hệ điều hành cho máy trạm 80
II.3.2.2. Gia nhập các máy trạm vào hệ thống 80
Chương III: KẾT LUẬN 81
III.1. Kết quả đạt được 81
III.2. Ưu, nhược điểm, hướng phát triển tương lai 81
III.2.1. Ưu điểm 81
III.2.2. Nhược điểm 81
III.2.3. Hướng phát triển tương lai 82
TÀI LIỆU THAM KHẢO 83
DANH MỤC CÁC BẢNG VÀ HÌNH
Tên bảng, hình
Trang
Bảng 1: Chi tiết các thiết bị phần cứng
19,20
Bảng 2: Các chuẩn bấm cáp mạng
23
Hình 1: Cấu trúc mạng dạng sao
5
Hình 2: Cấu trúc mạng dạng tuyến
6
Hình 3: Cấu trúc mạng dạng vòng
7
Hình 4: Cáp xoắn
8
Hình 5: Cáp đồng trục
9
Hình 6: Cáp sợi quang
9
Hình 7: Hub
10
Hình 8: Bridge
10
Hình 9: Switch
11
Hình 10: Router
11
Hình 11: Repeater
12
Hình 12: Gateway
12
Hình 13: Mô hình phân cấp
13
Hình 14: Mô hình tường lửa 3 phần
14
Hình 15: Dao tuốt cáp và nhấn cáp
23
Hình 16: Rack gắn tường
23
Hình 17: Đầu rack RJ45 của cáp mạng
24
Hình 18: Kềm bấm cáp
24
Hình 19: Máy test cáp
24
Hình 20: Tuốt dây cáp
24
Hình 21: Trải dây
24
Hình 22: Thứ tự các dây
25
Hình 23: Bấm dây
25
Hình 24: Đẩy dây vào trong jack
25
Hình 25: Đẩy đầu jack vào kềm và bấm
25
Hình 26: Hai đầu cáp hoàn chỉnh
25
Hình 27: Vị trí Outlet
26
CÁC TỪ VIẾT TẮT
ARCNET : Attached Resource Computing Network ( Là mạng dạng kết hợp Star/Bus Topology).
CCITT : Comité Consultatif International et Téléphonique Télégraphique (Tổ chức bộ quốc tế truyền thông tiêu chuẩn).
CPU : Central Processing Unit (Bộ xử lý trung tâm).
CSMA/CD : Carrier Sense Multiple Access with Collision Detection (Đa truy nhập có cảnh giác xung đột trong hướng truyền tải).
DC : Domain Controller (Điều khiển miền trong một miền Active Directory)
DMZ : Demilitarized Zone (Là đơn vị lưu lượng Internet riêng rẽ từ mạng cục bộ).
DNS : Domain Name System (Hệ thống đặt tên phân cấp).
EIA : Electronic Industries Alliance (Hiệp hội công nghiệp điện tử).
EISA : Extended Industry Standard Architecture (Kiến trúc chuẩn công nghiệp mở rộng).
FAT : File Allocation Table (Bảng định vị File trên đĩa).
FTP : File Transfer Protocol (Giao thức truyền tập tin trong mạng).
HDLC : High-level Data Link Control (Là giao thức liên kết dữ liệu mức cao).
HTTP : Hyper Text Transport Protocol (Một giao thức của trang web).
HTTPS : Hyper Text Transport Protocol (Một giao thức của trang web).
ICMP : Internet Control Message Protocol (Một giao thức của TCP/IP).
IEEE : Institute of Electrical and Electronics Engineers (Viện các kỹ sư điện và điện tử).
INC : Incorporated (Công ty liên doanh, đoàn thể, hoặc tổ chức liên hợp thương nghiệp).
IP : Internet Protocol (Giao thức Internet).
IPX : Internetwork Packet eXchange (Là giao thức thuộc lớp mạng Network layer).
ISA : Industry Standard Architecture (Kiến trúc chuẩn công nghiệp).
ISO : International Standards Organization (Tổ chức tiêu chuẩn quốc tế).
LAN : Local Area Network (Mạng cục bộ).
LDAP : Lightweight Directory Access Protocol (Một giao thức client-server để truy cập một dịch vụ thư mục).
LLC : Logical Link Control (Điều khiển liên kết logic).
MAC : Media Assecc Control (Dữ liệu giao thức truyền thông).
MCA : Micro Channel Architechture (Kiến trúc Micro Channel).
NFS : Network File System (Dùng để chia sẻ các tập tin và thư mục giữa những hệ điều hành UNIX).
NIC : Network Interface Card (Card giao diện mạng).
NTFS : New Technology Filesystem (Hệ thống tập tin công nghệ mới).
OWA : Outlook Web Access (Là một dịch vụ WebMail của Microsoft Exchange Server).
PCI : Peripear Component Interconnect (Bộ kết nối ngoại vi).
QOS : Quality Of Service (Chất lượng dịch vụ).
SMNP : Simple Network Management Protocol (Giao thức quản lý mạng cơ bản).
SMTP : Simple Mail Transfer Protocol (Tiêu chuẩn Internet cho thư điện tử).
SNA : Systems Network Architecture (Kiến trúc mạng hệ thống).
TCP : Transmission Control Protocol (Giao thức lớp vận chuyển).
UDP : User Datagram Protocol (Một phần của bộ ứng dụng Internet Protocol).
VLAN : Vitural Local Area Network (Mạng nội bộ ảo).
VPN : Virtual Private Networks (Mạng riêng ảo).
WAN : Wide Area Network (Mạng diện rộng – Mạng khu vực đô thị).
Chương 1: GIỚI THIỆU TỔNG QUAN VỀ ĐỀ TÀI
1.1. Đặt vấn đề :
1.1.1. Giới thiệu tổng quan về Trung tâm Tích Hợp Dữ Liệu :
Tên gọi: Trung tâm Tích hợp dữ liệu tỉnh Phú Yên
Tên Tiếng Anh: Phu Yen Data Intergrated Center
Tên đơn vị viết tắt: PYDIC
4Nhiệm vụ:
- Xây dựng hệ thống máy chủ, hệ thống lưu trữ, hệ thống an ninh mạng của tỉnh, xây dựng và quản lý hệ thống mạng WAN của tỉnh theo hướng hiện đại, phù hợp với công nghệ mới, dễ mở rộng, tiết kiệm phục vụ tin học hóa quản lý hành chính nhà nước và chính phủ điện tử trên địa bàn tỉnh.
- Tư vấn hạ tầng truyền thông chung giữa các sở, ban, ngành, huyện, thành phố, các giải pháp mạng diện rộng (WAN), mạng cục bộ (LAN), mạng không dây, giải pháp bảo mật.
- Phối hợp các đơn vị xây dựng và quản lý kỹ thuật kho dữ liệu hành chính tỉnh, chuyển giao công nghệ và tiếp cận hệ thống dữ liệu phục vụ chính phủ điện tử (Kho dữ liệu kinh tế xã hội tỉnh; Cung cấp và quản lý dịch vụ thư điện tử của Tỉnh; Xây dựng, quản lý và phát triển Cổng Thông tin điện tử của tỉnh, các sub portal, các website điều hành tác nghiệp của Tỉnh,…).
- Tích hợp dữ liệu của tỉnh, gồm: Liên kết cơ sở dữ liệu tác nghiệp của các sở, ban, ngành, huyện, thành phố trên địa bàn tỉnh; cung cấp, chia sẻ thông tin chung, làm đầu mối trao đổi thông tin với các trung tâm tích hợp dữ liệu tỉnh bạn thông qua trung tâm tích hợp dữ liệu của Chính phủ.
- Phối hợp với các đơn vị thực hiện các dịch vụ hành chính công và quản lý kỹ thuật cơ sở dữ liệu dịch vụ hành chính công của tỉnh (Cung cấp dịch vụ cấp phát, quản lý chữ ký số; dịch vụ cấp phép qua mạng, hỏi đáp hành chính qua mạng...).
- Đào tạo và phát triển nguồn nhân lực công nghệ thông tin cho Tỉnh: Đào tạo kiến thức cơ bản, nâng cao về công nghệ thông tin cho cán bộ, công chức - viên chức, doanh nghiệp, công dân.
- Một số nhiệm vụ khác do Giám đốc Sở Thông tin và Truyền thông giao.
4Dịch vụ:
- Liên kết đào tạo với các tổ chức, các trường trong và ngoài nước hoạt động về công nghệ thông tin: Đào tạo thiết kế hệ thống, quản trị hệ thống, bảo trì máy tính đối với các mạng nội bộ, mạng diện rộng cho các đơn vị có nhu cầu.
- Cung cấp dịch vụ hosting, bảo mật, an ninh hệ thống cho các website; cung cấp dịch vụ lưu trữ dữ liệu đối với các Doanh nghiệp Nhà nước, Doanh nghiệp tư nhân …; Cung cấp và giải pháp dịch vụ IP Camera, Cung cấp và phát triển dịch vụ truyền hình theo địa chỉ (Point to Point Video).
- Hỗ trợ các cơ quan, ban ngành và các doanh nghiệp:
+ Xây dựng Đề án, dự án ứng dụng công nghệ thông tin.
+ Tư vấn thiết kế hệ thống, quản trị hệ thống, bảo trì máy tính.
+ Tư vấn, thẩm định và giám sát các chương trình dự án về công nghệ thông tin và truyền thông.
- Phần cứng:
+ Thực hiện các dịch vụ tư vấn, cung cấp thiết bị, triển khai, lắp đặt, sửa chữa, bảo trì mạng máy tính, thiết bị công nghệ thông tin.
+ Ứng cứu, sửa chữa nâng cấp hệ thống công nghệ thông tin và truyền thông trong tỉnh.
- Phần mềm:
+ Cài đặt, bảo trì phần mềm; đào tạo hướng dẫn sử dụng phần mềm;
+ Cài đặt và triển khai các tiện ích dịch vụ công hành chính;
+ Phân phối các phần mềm đóng gói, phần mềm tiện ích…
- Dịch vụ khác:
+ Phối hợp tổ chức triển khai các chương trình, đề án xã hội hoá về tin học, Internet trên địa bàn tỉnh.
+ Hợp tác, liên doanh các tổ chức, doanh nghiệp để tiến hành hoạt động trong lĩnh vực công nghệ thông tin và truyền thông theo quy định của Pháp luật.
1.1.2. Lý do chọn đề tài:
Trên thế giới, việc ứng dụng công nghệ thông tin vào các lĩnh vực kinh tế - xã hội đang được hầu hết các quốc gia đặc biệt quan tâm. Ở Việt Nam ngành công nghệ thông tin đã và đang đóng góp đáng kể vào chuyển dịch cơ cấu kinh tế, đáp ứng đầy đủ nhu cầu thông tin trong mọi mặt của đời sống xã hội, thúc đẩy nhanh sự nghiệp công nghiệp hóa, hiện đại hóa của đất nước. Cùng với sự phát triển nhanh và mạnh của ngành công nghệ thông tin, tỷ lệ trao đổi, chia sẻ các thiết bị ngoại vi, tài nguyên ứng dụng và bảo mật thông tin dữ liệu ngày càng nhiều; yêu cầu đặt ra ở đây là phải làm sao để cho hệ thống có sự kiểm soát chặt chẽ, tiết kiệm thời gian, dữ liệu mang tính trọn vẹn đem lại hiệu quả cao.
Đối với các tổ chức, trước khi có mạng mỗi nơi đều phải có chỗ lưu trữ dữ liệu riêng, các thông tin trong nội bộ sẽ khó được cập nhật kịp thời; một ứng dụng ở nơi này không thể chia sẻ cho nơi khác. Với một hệ thống mạng người ta có thể:
- Chia sẻ các tài nguyên: Các ứng dụng, kho dữ liệu và các tài nguyên khác. Tạo độ tin cậy và sự an toàn của thông tin cao hơn. Thông tin được cập nhật theo thời gian thực, do đó chính xác hơn. Một khi có một hay vài máy tính bị hỏng thì các máy còn lại vẫn có khả năng hoạt động và cung cấp dịch vụ không gây ách tắc.
- Tiết kiệm: qua kỹ thuật mạng người ta có thể tận dụng khả năng của hệ thống, chuyên môn hoá các máy tính, và do đó phục vụ đa dạng hoá hơn.
- Mạng máy tính còn là một phương tiện phân tích thông tin mạnh và hữu hiệu giữa các cộng sự trong tổ chức.
Từ những yếu tố trên, cùng với sự phân tích công nghệ (phần cứng, phần mềm), chi phí bản quyền, kỹ năng vận hành hệ thống của người sử dụng. Nhóm chúng tôi nghiên cứu và thực hiện đề tài: “Xây dựng và quản trị hệ thống mạng LAN” cho Trung tâm Tích Hợp Dữ Liệu nhằm đem lại hiệu quả cao trong công việc.
1.2. Hướng giải quyết vấn đề:
Từ những lý thuyết đã được học và áp dụng thực tế tại Trung tâm với các yêu cầu cần có để lắp đặt hệ thống mạng cho Trung tâm, có rất nhiều phương án chọn lựa, cụ thể như sau:
- Thực hiện xây dựng hệ thống mạng LAN theo hai mô hình mạng: Workgroup, Domain
Ø Mô hình Workgroup: Là mô hình mạng ngang hàng và không có các máy tính chuyên dụng làm nhiệm vụ cung cấp dịch vụ hay quản lý ứng dụng. Các máy tính tự bảo mật và quản lý các tài nguyên của riêng mình. Đồng thời, mỗi máy có chức năng vừa là Server vừa là Client.
v Ưu điểm:
+ Không yêu cầu Windows NT Server Domain Controller;
+ Thiết kế và cài đặt đơn giản;
+ Tiện lợi cho số lượng máy hạn chế trong qui mô nhỏ.
v Khuyết điểm :
+ Không sử dụng đối với những hệ thống mạng có trên 10 máy;
+ Những tài khoản không được quản lý tập trung.
Ø Mô hình Domain: Ngược lại với mô hình Workgroup, trong mô hình Domain thì việc quản lý và chứng thực người dùng mạng tập trung tại máy tính Primary Domain Controller. Các tài nguyên mạng cũng được quản lý tập trung và cấp quyền hạn cho từng người dùng. Lúc đó trong hệ thống có các máy tính chuyên dụng làm nhiệm vụ cung cấp các dịch vụ và quản lý các máy trạm.
v Ưu điểm:
+ Lấy tài khoản người sử dụng có giá trị từ cơ sở dữ liệu;
+ Cho phép truy cập đến những tài nguyên được định nghĩa trong cơ sở dữ liệu;
+ Có chức năng quản trị nhóm một cách tập trung;
+ Quản lý bảo mật các các tài nguyên chia sẻ.
v Khuyết điểm:
+ Chi phí lắp đặt cao;
+ Đòi hỏi người quản trị có kiến thức sâu về Domain Controller.
- Từ những ưu điểm trên, chúng tôi tiến hành phân tích và chọn mô hình mạng quản lý dạng Domain để nâng cao việc quản trị hệ thống mạng nội bộ của Trung tâm. Cùng với đó, phần mềm tường lửa ISA server 2006 cũng cài đặt vào trong hệ thống nhằm kiểm soát việc truy cập internet của các cán bộ, viên chức trong cơ quan, đồng thời đảm bảo vấn đề an ninh ngăn ngừa các cuộc tấn công từ ngoài vào trong hệ thống mạng nội bộ.
Chúng tôi chỉ xin trình bày cách giải quyết chi tiết việc triển khai và ứng dụng thực tế của đề tài: “Xây dựng và quản trị hệ thống mạng LAN” ở chương sau.
1.3. Dự kiến kết quả đạt được:
- Hoàn chỉnh hệ thống mạng LAN cho Trung tâm.
- Quản trị tập trung tài khoản người dùng.
- Bảo mật các tài nguyên chia sẻ.
- Tối ưu hóa băng thông cho từng người dùng
- Kiểm soát người dùng truy cập mạng Internet.
- Ngăn chặn các cuộc tấn công từ bên ngoài vào bên trong hệ thống mạng.
Chương 2: TRIỂN KHAI XÂY DỰNG THIẾT KẾ VÀ QUẢN TRỊ HỆ THỐNG MẠNG LAN CHO TRUNG TÂM
2.1. Các khái niệm cơ bản:
2.1.1. Giới thiệu mạng LAN:
2.1.1.1. Khái niệm mạng LAN:
Mạng cục bộ (Local Area Networks – LAN) là hệ truyền thông tốc độ cao được thiết kế để kết nối các máy tính và các thiết bị xử lý dữ liệu khác cùng hoạt động với nhau trong một khu vực địa lý nhỏ như ở một tầng của toà nhà, hoặc trong một khu nhà…Một số mạng LAN có thể kết nối lại với nhau trong một khu làm việc.
Các mạng LAN trở nên thông dụng vì nó cho phép những người sử dụng dùng chung những tài nguyên quan trọng như máy in, ổ đĩa CD-ROM, các phần mềm ứng dụng và các thông tin cần thiết khác. Trước khi phát triển công nghệ LAN, các máy tính độc lập với nhau, bị hạn chế bởi số lượng các chương trình tiện ích, sau khi kết nối mạng rõ ràng hiệu quả của chúng tăng lên gấp bội.
2.1.1.2. Cấu trúc Tôpô của mạng:
Cấu trúc TôPô của mạng LAN (Network Topology) là kiến trúc hình học thể hiện cách bố trí các đường cáp, sắp xếp các máy tính để kết nối thành mạng hoàn chỉnh… Hầu hết các mạng LAN ngày nay đều được thiết kế để hoạt động dựa trên một cấu trúc mạng định trước. Điển hình và sử dụng nhiều nhất là cấu trúc: dạng sao, dạng tuyến tính, dạng vòng cùng với những cấu trúc kết hợp của chúng.
a. Mạng dạng sao ( Star Topology ):
Mạng sao bao gồm một bộ kết nối trung tâm và các nút, các nút này là các trạm đầu cuối, các máy tính và các thiết bị khác của mạng. Bộ kết nối trung tâm của mạng đều phối hợp mọi hoạt động trong mạng.
Hình 3.1: Cấu trúc mạng dạng sao
Mạng dạng sao cho phép nối các máy tính vào một bộ tập trung, bằng cáp, giải pháp này cho phép nối trực tiếp máy tính với bộ tập trung, không cần thông qua trục bus, nên tránh được các yếu tố gây ngưng trệ mạng.
Mô hình kết nối dạng sao này đã trở nên hết sức phổ biến. Với việc sử dụng các bộ nhớ tập trung hoặc chuyển mạch, cấu trúc sao có thể được mở rộng bằng cách tổ chức nhiều mức phân cấp, do đó dễ dàng trong việc quản lý và vận hành.
v Ưu Điểm:
- Hoạt động theo nguyên lý nối song song nên khi có một thiết bị nào đó ở một nút thông tin bị hỏng thì mạng vẫn hoạt động bình thường.
- Cấu trúc mạng đơn giản và các thuật toán ổn định.
- Mạng có thể dễ dàng mở rộng hoặc thu hẹp.
- Dễ dàng kiểm soát lỗi và khắc phục sự cố. Đặc biệt do sử dụng kết nối điểm - điểm nên tận dụng được tối đa tốc độ của đường truyền vật lý.
v Nhược điểm:
- Khả năng mở rộng của toàn mạng phụ thuộc vào khả năng của trung tâm.
- Khi trung tâm có sự cố thì toàn mạng ngừng hoạt động.
- Mạng yêu cầu nối độc lập riêng rẽ từng thiết bị ở các nút thông tin đến Trung tâm.
b. Mạng dạng tuyến (Bus Topology):
Thực hiện theo cách bố trí ngang hàng, các máy tính và các thiết bị khác. Các nút đều được kết nối với nhau trên một trục đường dây cáp chính để chuyển tải tín hiệu. Tất cả các nút đều sử dụng chung đường dây cáp chính này.
Ở hai đầu dây cáp được bịt bởi một thiết bị gọi là terminator. Các tín hiệu và dữ liệu khi truyền đi đều mang theo địa chỉ nơi đến.
terminator
Hình 3.2: Cấu trúc mạng dạng tuyến
v Ưu Điểm:
- Loại cấu trúc mạng này dùng dây cáp ít nhất.
- Lắp đặt đơn giản và giá thành rẻ.
v Nhược điểm:
- Sự ùn tắc giao thông khi di chuyển dữ liệu với lưu lượng lớn.
- Khi có sự cố hỏng ở đoạn nào thì rất khó phát hiện, lỗi trên đường dây cũng làm cho toàn bộ hệ thống ngừng hoạt động. Cấu trúc này ngày nay ít được sử dụng.
c. Mạng dạng vòng (Ring topology):
Mạng dạng này bố trí theo dạng vòng, đường dây cáp được thiết kế thành một vòng tròn kép kín, tín hiệu chạy quanh theo vòng tròn đó. Các nút truyền tín hiệu cho nhau tại mỗi thời điểm chỉ được một nút mà thôi. Dữ liệu truyền đi phải có kèm theo địa chỉ cụ thể của mỗi trạm tiếp nhận.
v Ưu điểm:
- Mạng dạng vòng có thuận lợi có thể mở rộng ra xa, tổng đường dây cần thiết ít hơn so với hai kiểu mạng trên.
- Mỗi trạm có thể đạt tốc độ tối đa khi truy nhập.
v Nhược Điểm:
Hình 3.3: Cấu trúc mạng dạng vòng
- Đường dây phải kép kín, nếu bị ngắt ở một nơi nào đó thì toàn bộ hệ thống đều bị ngưng hoạt động.
d. Mạng dạng kết hợp:
Là mạng kết hợp dạng sao và tuyến (Star/ Bus topology): cấu hình mạng dạng này có bộ phận tách tín hiệu (Spitter) giữ vai trò thiết bị trung tâm, hệ thống dây cáp mạng có thể chọn hoặc Ring Topology hoặc Linear Bus Topology. Ưu điểm của cấu hình dạng này là mạng có thể gồm nhiều nhóm làm việc cách xa nhau, ARCNET là mạng dạng kết hợp Star/ Bus Topology. Cấu hình dạng này đưa lại sự uyển chuyển trong việc bố trí đường dây tương thích dễ dàng đối với bất kỳ toà nhà nào.
Kết hợp cấu hình sao và vòng (Star/ Ring Topology). Cấu hình dạng kết hợp Star/ Ring Topology, có một thẻ bài liên lạc được chuyển vòng quanh một cái Hub trung tâm. Mỗi trạm làm việc được nối với Hub là cầu nối giữa các trạm làm việc và để tăng khoảng cách cần thiết.
2.1.1.3. Các loại đường truyền và các chuẩn của mạng LAN:
a. Chuẩn viện Công Nghệ Điện và Điện Tử (IEEE):
Tiêu chuẩn IEEE LAN được phát triển dựa vào ủy ban IEEE 802.
- Tiêu chuẩn IEEE 802.3 liên quan tới mạng CSMA/CD bao gồm cả hai phiên bản băng tần cơ bản và băng tần mở rộng.
- Tiêu chuẩn IEEE 802.4 liên quan tới phương thức truyền thẻ bài trên mạng hình tuyến (Token Bus).
- Tiêu chuẩn IEEE 802.5 liên quan tới phương thức truyền thẻ bài trên mạng hình vòng (Token Ring).
b. Chuẩn uỷ ban tư vấn quốc tế về điện báo và điện thoại (CCITC):
- Đây là những kiến nghị về tiêu chuẩn hoá hoạt động và mẫu mã modem (truyền qua mạng điện thoại).
- Một số chuẩn: V22, V28,V35…
- X series bao gồm các tiêu chuẩn OSI.
- Chuẩn cáp và chuẩn giao tiếp EIA.
- Các tiêu chuẩn EIA giành cho giao diện nối tiếp giữa modem và máy tính.
P RS – 232.
P RS – 449.
P RS – 422.
2.1.2. Hệ thống cáp mạng dùng cho mạng LAN:
a. Cáp xoắn:
Đây là loại cáp gồm hai sợi dây bằng đồng được xoắn vào nhau làm giảm nhiễu điện từ gây ra bởi môi trường xung quanh và giữa chúng với nhau. Hiện nay có hai loại cáp xoắn là cáp có bọc kim loại (STP- Shield Twisted Pair) và cáp không bọc kim loại (UTP- Unshield Twisted Pair).
Cáp có bọc kim loại (STP): Lớp bọc bên ngoài có tác dụng chống nhiễu điện từ, có loại có một đôi dây xoắn vào nhau và có loại có nhiều đôi xoắn vào nhau.
Cáp không bọc kim loại (UTP): Tính tương tự như STP nhưng kém hơn về khả năng chống nhiễu điện từ và suy hao vì không có vỏ bọc.
Hình 3.4: Cáp xoắn
STP và UTP có các loại (Category-Cat) thường dùng sau:
- Loại 1 và 2 (Cat 1 & Cat 2): Thường dùng cho truyền thoại và những đường truyền tốc độ thấp ( nhỏ hơn 4Mb/s).
- Loại 3 (Cat 3): Tốc độ truyền dữ liệu khoảng 16Mb/s, nó là chuẩn hầu hết cho các mạng điện thoại.
- Loại 4 (Cat 4): Thích hợp cho đường truyền 20Mb/s.
- Loại 5 (Cat 5): Thích hợp cho đường truyền 100Mb/s.
- Loại 6 (Cat 6): Thích hợp cho đường truyền 300Mb/s.
Đây là loại cáp rẻ, dễ lắp đặt tuy nhiên nó dễ bị ảnh hưởng của môi trường.
b. Cáp đồng trục:
Cáp đồng trục có hai đường dây dẫn và chúng có cùng một trục chung, một dây dẫn trung tâm (thường là đồng cứng), đường dây còn lại tạo thành đường ống bao xung quanh dây dẫn trung tâm. Giữa hai dây dẫn trên có một lớp cách ly và bên ngoài cùng là lớp vỏ Plastic để bảo vệ cáp.
Cáp đồng trục có độ suy hao ít hơn so với các loại cáp đồng khác do ít bị ảnh hưởng của môi trường. Các mạng cục bộ sử dụng cáp đồng trục có thể có kích thước trong phạm vi vài ngàn mét, cáp đồng trục được sử dụng nhiều trong các mạng dạng đường thẳng.
Hiện nay có các cáp đồng trục sau:
- RG -58, 50 ôm: Dùng cho mạng Ethernet.
- RG -59, 75 ôm: Dùng choi truyền hình cáp.
Hình 3.5: Cáp đồng trục
Các mạng cục bộ sử dụng cáp đồng trục có dải thông từ 2,5-10Mbps, cáp đồng trục có độ suy hao ít hơn so với các loại cáp đồng khác vì nó có lớp vỏ bọc bên ngoài, độ dài thông thường của một đoạn cáp nối trong mạng là 200m, thường sử dụng cho dạng Bus.
c. Cáp sợi quang:
Cáp sợi quang bao gồm dây dẫn trung tâm được bọc một lớp vỏ bọc có tác dụng phản xạ các tín hiệu trở lại để giảm sự mất mát tín hiệu. Ngoài cùng là lớp vỏ Plastic để bảo vệ cáp. Cáp sợi quang không truyền dẫn được các tín hiệu điện mà chỉ truyền các tín hiệu quang và khi nhận chúng sẽ chuyển đổi trở lại thành các tín hiệu điện. Cáp quang có đường kính từ 8.3-100 micron, do đường kính lõi thuỷ tinh có kích thước rất nhỏ nên rất khó khăn cho việc đấu nối, nó cần công nghệ đặc biệt với kỹ thuật cao và chi phí cao.
Hình 3.6: Cáp sợi quang
Dải thông của cáp quang có thể lên tới hàng Gbps và cho phép khoảng cáp khá xa do độ suy hao tín hiệu trên cáp rất thấp. Ngoài ra vì cáp sợi quang không dùng tín hiệu điện từ để truyền dữ liệu nên nó hoàn toàn không bị ảnh hưởng của nhiễu điện từ và tín hiệu truyền thông không bị phát hiện và thu trộm bằng các thiết bị điện tử của người khác.
Nhược điểm của cáp quang là khó lắp đặt và giá thành cao, nhưng nhìn chung cáp quang thích hợp cho mọi mạng hiện nay và sau này.
2.1.3. Các thiết bị dùng để nối mạng LAN:
a. Hub – Bộ tập trung:
Hub là một trong những yếu tố quan trọng nhất của LAN, được coi là một Repeater có nhiều cổng, đây là điểm kết nối dây trung tâm của mạng. Một Hub có từ 4 đến 24 cổng và có thể còn nhiều hơn.
Trong phần lớn các trường hợp, Hub được sử dụng trong các mạng 10BASE-T hay 100BASE-T.
Hub thường được dùng để nối mạng, thông qua những đầu cắm của nó người ta liên kết với các máy tính dưới dạng hình sao.
Hub có hai loại là Active Hub và Smart Hub. Active Hub là loại Hub được dùng phổ biến, cần được cấp nguồn khi hoạt động, được sử dụng để khuếch đại tín hiệu đến và cho tín hiệu ra những cổng còn lại, đảm bảo mức tín hiệu cần thiết. Smart Hub có chức năng tương tự như Active Hub, nhưng có tích hợp thêm chip có khả năng tự động dò lỗi - rất hữu ích trong trường hợp dò tìm và phát hiện lỗi trong mạng.
Hình 3.7: Hub
b. Bridge – cầu:
Bridge là thiết bị mạng thuộc lớp 2 của mô hình OSI (Data Link Layer). Bridge là một thiết bị có xử lý dùng để nối hai mạng giống hoặc khác nhau, nó có thể dùng được với các mạng có giao thức khác nhau Bridge được sử dụng phổ biến để làm cầu nối giữa hai mạng Ethernet. Khi nhận được các gói tin Bridge chọn lọc và chỉ chuyển những gói tin mà nó thấy cần thiết. Điều này cho phép Bridge trở nên có ích khi nối một vài mạng với nhau và cho phép nó hoạt động một cách mềm dẻo.
Hình 3.8: Bridge
Hiện nay, có hai loại Bridge đang được sử dụng là Bridge vận chuyển và Bridge biên dịch. Bridge vận chuyển dùng để nối hai mạng cục bộ cùng sử dụng một giao thức truyền thông của tầng liên kết dữ liệu, tuy nhiên mỗi mạng có thể sử dụng loại dây nối khác nhau. Bridge vận chuyển không có khả năng thay đổi cấu trúc các gói tin mà nó nhận được, nó chỉ quan tâm tới việc xem xét và vận chuyển gói tin đó đi. Bridge biên dịch dùng để nối hai mạng cục bộ có giao thức khác nhau có khả năng chuyển một gói tin thuộc mạng này sang mạng khác trước khi chuyển qua.
Người ta sử dụng Bridge trong các trường hợp sau:
- Mở rộng mạng hiện tại khi đã đạt tới khoảng cách tối đa do Bridge sau khi xử lý gói tin đã phát lại gói tin trên phần mạng còn lại nên tín hiệu tốt hơn bộ tiếp sức.
- Giảm tắc nghẽn mạng khi có quá nhiều trạm bằng cách sử dụng Bridge, khi đó chúng ta chia mạng thành nhiều phần bằng các Bridge, các gói tin trong nội bộ trong phần mạng sẽ không được phép qua phần mạng khác.
- Để nối các mạng có giao thức khác nhau. Một vài Bridge có khả năng lựa chọn đối tượng vận chuyển. Nó có thể chỉ vận chuyển các gói tin của những địa chỉ xác định.
c. Switch – Bộ chuyển mạch:
Switch đôi khi được mô tả như là một Bridge có nhiều cổng. Trong khi một Bridge chỉ có hai cổng để liên kết được hai segment mạng với nhau, thì Switch lại có khả năng kết nối được nhiều segment lại với nhau tuỳ thuộc vào số cổng (port) trên Switch. Cũng giống như Bridge, Switch cũng "lọc" thông tin của mạng thông qua các gói tin (packet) mà nó nhận được từ các máy trong mạng. Switch sử dụng các thông tin này để xây dựng lên bảng Switch, bảng này cung cấp thông tin giúp các gói thông tin đến đúng địa chỉ.
Ngày nay, trong các giao tiếp dữ liệu, Switch thường có hai chức năng chính là chuyển các khung dữ liệu từ nguồn đến đích, và xây dựng các bảng Switch. Switch hoạt động ở tốc độ cao hơn nhiều so với Repeater và có thể cung cấp nhiều chức năng hơn như khả năng tạo mạng LAN ảo (VLAN).
Hình 3.9: Switch
d. Router – Bộ định tuyến:
Router là thiết bị mạng lớp 3 của mô hình OSI (Network Layer). Router kết nối hai hay nhiều mạng IP với nhau. Các máy tính trên mạng phải "nhận thức" được sự tham gia của một router, nhưng đối với các mạng IP thì một trong những quy tắc của IP là mọi máy tính kết nối mạng đều có thể giao tiếp được với router.
Hình 3.10: Router
Người ta phân chia Router thành hai loại: Router có phụ thuộc giao thức (The Protocol Dependent Router) và Router không phụ thuộc giao thức (The Protocol Independent Router). Dựa vào phương thức xử lý các gói tin Router có phụ thuộc giao thức chỉ thực hiện tìm đường và truyền gói tin từ mạng này sang mạng khác chứ không chuyển đổi phương cách đóng gói của gói tin cho nên cả hai mạng phải dùng chung một giao thức truyền thông. Router không phụ thuộc vào giao thức: có thể liên kết các mạng dùng giao thức truyền thông khác và có thể chuyển đổi gói tin của giao thức này sang gói tin của giao thức kia, nó cũng chấp nhận kích thước các gói tin khác nhau. Để ngăn chặn việc mất mát số liệu Router còn có thể nhận biết đường nào có thể vận chuyển và ngừng chuyển vận khi đường tắc.
e. Repeater – Bộ lặp tín hiệu:
Repeater là một thiết bị ở lớp 1 (Physical Layer) trong mô hình OSI. Repeater có vai trò khuếch đại tín hiệu vật lý ở đầu vào và cung cấp năng lượng cho tín hiệu ở đầu ra để có thể đến được những chặng đường tiếp theo trong mạng. Điện tín, điện thoại, truyền thông tin qua sợi quang… và các nhu cầu truyền tín hiệu đi xa đều cần sử dụng Repeater.
Hình 3.11: Repeater
f. Gateway:
Gateway cho phép nối ghép hai loại giao thức với nhau. Qua Gateway, các máy tính trong các mạng sử dụng các giao thức khác nhau có thể dễ dàng "nói chuyện" được với nhau. Gateway không chỉ phân biệt các giao thức mà còn có thể phân biệt ứng dụng như cách chuyển thư điện tử từ mạng này sang mạng khác, chuyển đổi một phiên làm việc từ xa…
Hình 3.12: Gateway
g. Layer 3 Switch – Bộ chuyển mạch có định tuyến:
Switch L3 có thể chạy giao thức có định tuyến ở tầng mạng, tầng 3 của mô hình 7 tầng OSI, Switch L3 có thể có các cổng WAN để nối các LAN ở khoảng cách xa. Thực chất nó được bổ sung thêm tính năng của Router.
h. Card mạng – NIC:
Card mạng đóng vai trò nối kết vật lý giữa các máy tính và cáp mạng nhưng card mạng được lắp vào khe mở rộng bên trong máy tính và máy phục vụ trên mạng. Sau khi lắp card mạng, card được nối với cổng card để tạo nối kết vật lý thật sự giữa máy tính đó với những máy tính còn lại của mạng.
Card mạng có các vai trò sau:
- Chuẩn bị dữ liệu cho cáp mạng.
- Gửi dữ liệu đến máy tính khác.
- Kiểm soát luồng dữ liệu giữa máy tính và hệ thống cáp.
Card mạng cũng nhận dữ liệu của cáp và chuyển dịch thành Byte để CPU máy tính có thể hiểu được. Card chứa phần cứng và phần sụn (tức các thủ tục phần mềm ngắn được lưu trữ trong bộ nhớ chỉ đọc) thực hiện các chức năng Logical Link Control và Media Access Control.
- Các cấu trúc của card mạng:
Kiến trúc chuẩn công nghiệp ISA (Industry Standard Architecture): Là kiến trúc dùng trong máy tính IBM PC/XT, PC/AT và một bản sao. ISA cho phép gắn thêm nhiều bộ thích ứng cho hệ thống bàng cách chèn các Card bổ sung các khe mở rộng.
Kiến trúc chuẩn công nghiệp mở rộng EISA (Extended Industry Standard Architecture) là tiêu chuẩn Bus do một tập đoàn chính hãng công nghiệp máy tính AST Research, INC… Compaq... EISA cung cấp một đường truyền 32 bit và duy trì khả năng tương thích với ISA trong khi cung cấp những đặc tính bổ xung do IBM đưa ra trong Bus kiến trúc vi kênh của hãng.
Kiến trúc vi kênh MCA (Micro Channel Architechture) IBM đưa ra tiêu chuẩn này năm 1988. MCA không tương thích về phương diện điện và vậy lý với Bus ISA. MCA không hoạt động như Bus ISA 16 bit hoặc như Bus 32 bit và có thể điều khiển độc lập bằng bộ xử lý chính đa Bus
Bộ kết nối ngoại vi PCI (Peripear Component Interconnect) đây là Bus cục bộ 32 bit dùng cho hệ máy Pentium. Kiến trúc Bus PCI hiện nay đáp ứng nhu cầu tính năng cắm và chạy. Mục tiêu của tính năng này là cho phép thực hiện các thay đổi về cấu hình máy mà không cần sự can thiệp của người sử dụng.
2.1.4. Thiết kế mạng LAN:
2.1.4.1. Mô hình cơ bản:
a. Mô hình phân cấp (Hierarchical Models):
Distribution
Access
core
Hình 3.13: Mô hình phân cấp
4Cấu trúc:
- Lớp lõi (Core Layer): Đây là trục xương sống của mạng (backbone) thường dùng các bộ chuyển mạch có tốc độ cao ( high- speed switching), thường có các đặc tính như độ tin cậy cao, có công suất dư thừa, có khả năng tự khắc phục lỗi, có khả năng thích nghi cao, đáp ứng nhanh, dễ quản lý, có khả năng lọc gói, hay lọc các tiến trình đang truyền trong mạng.
- Lớp phân tán (Distribution Layer): Lớp phân tán là ranh giới giữa lớp truy nhập và lớp lõi của mạng. Lớp phân tán thực hiện các chức năng như đảm bảo gửi dữ liệu đến từng phân đoạn mạng, đảm bảo an ninh - an toàn, phân đoạn mạng theo nhóm công tác, chia miền Broadcast/ multicast, định tuyến giữa các LAN ảo (VLAN), chuyển môi trường truyền dẫn, định tuyến giữa các miền, tạo biên giới giữa các miền trong định tuyến tĩnh và động, thực hiện các bộ lọc gói (theo địa chỉ, theo số hiệu cổng,...), thực hiện các cơ chế đảm bảo chất lượng dịch vụ QOS.
- Lớp truy nhập (Access Layer): Lớp truy nhập cung cấp các khả năng truy nhập cho người dùng cục bộ hay từ xa truy nhập vào mạng. Thường được thực hiện bằng các bộ chuyển mạch (switch) trong môi trường campus, hay các công nghệ WAN.
4Đánh giá mô hình:
- Giá thành thấp.
- Dễ cài đặt.
- Dễ mở rộng.
- Dễ cô lập lỗi.
b. Mô hình an ninh- an toàn( Secure models):
Hệ thống tường lửa ba phần (Three-Part Firewall System), đặc biệt quan trọng trong thiết kế WAN. Ở đây, chúng tôi chỉ nêu một số khía cạnh chung nhất cấu trúc của mô hình sử dụng trong thiết kế mạng LAN.
Hình 3.14: Mô hình tường lửa 3 phần
- LAN cô lập làm vùng đệm giữa mạng công tác với mạng bên ngoài (LAN cô lập được gọi là khu phi quân sự hay vùng DMZ).
- Thiết bị định tuyến trong có cài đặt bộ lọc gói được đặt giữa DMZ và mạng công tác.
- Thiết bị định tuyến ngoài có cài đặt bộ lọc gói được đặt giữa DMZ và mạng ngoài.
2.1.4.2. Các yêu cầu thiết kế :
Các yêu cầu thiết kế của LAN về mặt cấu trúc cũng tương tự như thiết kế WAN, ở đây chúng tôi chỉ nêu đề mục bao gồm các yêu cầu:
- Yêu cầu kỹ thuật.
- Yêu cầu về hiệu năng.
- Yêu cầu về ứng dụng.
- Yêu cầu về quản lý mạng.
- Yêu cầu về an ninh - an toàn mạng.
- Yêu cầu ràng buộc về tài chính, thời gian thực hiện, yêu cầu về chính trị của dự án, xác định nguồn nhân lực, xác định các tài nguyên đã có và có thể tái sử dụng.
2.1.4.3. Các bước thực hiện:
a. Phân tích yêu cầu:
- Số lượng nút mạng (rất lớn trên 1000 nút, vừa trên 100 nút và nhỏ dưới 10 nút). Trên cơ sở số lượng nút mạng, chúng ta có phương thức phân cấp, chọn kỹ thuật chuyển mạch, và chọn thiết bị chuyển mạch.
- Dựa vào mô hình phòng ban để phân đoạn vật lý đảm bảo hai yêu cầu an ninh và đảm bảo chất lượng dịch vụ.
- Dựa vào mô hình tôpô lựa chọn công nghệ đi cáp.
- Dự báo các yêu cầu mở rộng.
b. Lựa chọn phần cứng (thiết bị, cáp, công nghệ kết nối,...):
Dựa trên các phân tích yêu cầu và kinh phí dự kiến cho việc triển khai, chúng ta sẽ lựa chọn nhà cung cấp thiết bị tốt nhất như là Cisco, Nortel, 3COM, Intel...
c. Lựa chọn phần mềm:
- Lựa chọn hệ điều hành Unix (AIX, OSF, HP, Solaris, ...), Linux, Windows dựa trên yêu cầu về xử lý số lượng giao dịch, đáp ứng thời gian thực, kinh phí, an ninh an toàn.
- Lựa chọn các công cụ phát triển phần mềm ứng dụng như các phần mềm quản trị cơ sở dữ liệu (Oracle, My SQL, DB2, SQL, Lotusnote, ...), các phần mềm portal như Websphere, …
- Lựa chọn các phần mềm mạng như thư điện tử (Sendmail, PostOffice, Netscape, ...), Web server (Apache, IIS, ...),…
- Lựa chọn các phần mềm đảm bảo an ninh an toàn mạng như phần mềm tường lửa (ISA Server 2004, ISA Server 2006, ...), phần mềm chống virut (VirusWall, NAV, ...), phần mềm chống đột nhập và phần mềm quét lỗ hổng an ninh trên mạng.
d. Đánh giá khả năng:
- Dựa vào thông tin đã được xác minh của các hãng có uy tín trên thế giới.
- Thực hiện thử nghiệm và kiểm tra trong phòng thí nghiệm của các chuyên gia.
- Đánh giá trên mô hình thử nghiệm.
e. Tính toán giá thành:
Giá thành thấp đảm bảo các chỉ tiêu kỹ thuật, các yêu cầu của ứng dụng, tính khả mở của hệ thống.
f. Triển khai pilot:
Triển khai ở quy mô nhỏ nhưng vẫn minh họa được toàn bộ các yêu cầu về kỹ thuật, yêu cầu về ứng dụng làm cơ sở cho việc đánh giá khả năng và giá thành của mạng trước khi triển khai trên diện rộng.
2.2 – Quy trình thiết kế và cài đặt hệ thống mạng:
2.2.1. Khảo sát hiện trạng cơ quan:
Qua quá trình khảo sát tại Trung tâm Tích Hợp Dữ Liệu, chúng tôi thấy mô hình mạng đang được sử dụng là mô hình Workgroup, một số máy kết nối với phạm vi hẹp, máy chủ chưa kết nối với máy trạm.
Trên thực tế hiện nay, hệ thống mạng của Trung tâm không thể đáp ứng được việc quản lý các dịch vụ ứng dụng, quản trị các tài khoản người dùng, cấp quyền truy cập vào các tài nguyên dùng chung, tính trọn vẹn và an toàn dữ liệu thông tin. Qua yêu cầu trên, ta có thể đi vào khảo sát trên một số lĩnh vực về cơ sở hạ tầng:
a. Diện tích:
- Trung tâm nằm ở tầng 5 của Sở Thông tin & truyền thông với diện tích tổng thể toàn Trung tâm 400 m2 với hành lang đi lại thuận tiện.
- Diện tích phòng Giám Đốc rộng 45 m2.
- Diện tích phòng Chuyên môn rộng 81 m2.
- Diện tích phòng Data Center rộng 81 m2.
- Diện tích phòng Hội thảo rộng 100 m2.
b. Các thiết bị đã có:
- 08 máy PC được trang bị để phục vụ cho quá trình làm việc.
- Các thiết bị kết nối: 04 Switch, 01 Hub, 01 Modem,…
- 02 máy in, 02 máy Fax và các loại dây cáp mạng.
c. Cơ sở vật chất khác:
Các phòng ban gồm có các bàn máy, ghế ngồi, bàn làm việc, bàn tiếp khách, tủ đựng tài liệu, máy in, riêng phòng DataCenter có các thiết bị kỹ thuật.
2.2.2. Phân tích nhu cầu:
Với mô hình hệ thống các máy tính kết nối riêng lẻ, ở phạm vi hẹp, chưa khai thác nhiều các ứng dụng tiện ích, thiết bị ngoại vi chưa kết nối đồng bộ, hệ thống dây mạng thiết kế chưa đúng quy chuẩn.
Vì vậy, nhu cầu đặt ra là xây dựng hệ thống mạng kết nối tất cả các máy PC với nhau, quản lý được tài khoản và băng thông người dùng, cấp quyền và chia sẻ tài nguyên, các thiết bị dùng chung,…
Nhằm tối ưu mô hình hệ thống kết nối đảm bảo được yếu tố quản trị tài khoản người dùng, quản trị toàn diện hệ thống mạng nội bộ: bảo mật, dữ liệu trọn vẹn, giảm nguy cơ tiềm ẩn hệ thống bị nhiễm virus, xử lý hệ thống một cách nhanh chóng khi có sự cố xảy ra. Chúng tôi triển khai thực hiện nâng cấp hệ thống mạng hiện tại từ mô hình Workgroup lên mô hình Domain quản lý theo cơ chế Server – Client.
2.2.3. Đề xuất giải pháp:
Bước kế tiếp trong tiến trình xây dựng mạng là thiết kế giải pháp để thỏa mãn những yêu cầu đặt ra trong một hệ thống mạng. Việc chọn lựa giải pháp cho một hệ thống mạng phụ thuộc vào nhiều yếu tố, có thể liệt kê như sau:
- Hệ điều hành quản lý tài khoản;
- Kinh phí dành cho hệ thống mạng;
- Công nghệ phổ biến trên thị trường;
- Thói quen và công nghệ của cơ quan;
- Yêu cầu về tính ổn định và băng thông của hệ thống;
- Ràng buộc về pháp lý.
Tùy thuộc vào từng nhu cầu cụ thể mà thứ tự ưu tiên, sự chi phối của các yếu tố sẽ khác nhau dẫn đến giải pháp thiết kế sẽ khác nhau. Tuy nhiên các công việc mà giai đoạn thiết kế phải làm thì giống nhau. Chúng được mô tả như sau:
2.2.3.1. Thiết kế sơ đồ mạng ở mức luận lý:
Thiết kế sơ đồ mạng ở mức luận lý liên quan đến việc chọn lựa mô hình mạng, giao thức mạng và thiết đặt các cấu hình cho các thành phần nhận dạng mạng.
Mô hình mạng được chọn để thiết kế phải hỗ trợ được tất cả các dịch vụ đã được mô tả trong mục phân tích nhu cầu của hệ thống mạng. Mô hình kết nối là dạng hình sao, mô hình mạng là Domain (Server - Client) đi kèm với giao thức TCP/IP, ngoài ra xây dựng ISA Server 2006 trên hệ thống máy chủ để quản lý kiểm soát các máy trạm truy cập internet .
2.2.3.2. Xây dựng chiến lược khai thác và quản lý tài nguyên mạng:
Chiến lược này nhằm xác định user được quyền làm gì trên hệ thống mạng. Thông thường, người dùng trong hệ thống mạng được nhóm lại thành từng nhóm và việc phân quyền được thực hiện trên các nhóm người dùng.
2.2.3.3. Thiết kế sơ đồ mạng ở mức vật lý:
Căn cứ vào sơ đồ thiết kế mạng ở mức luận lý, kết hợp với kết quả khảo sát tại Trung tâm bước kế tiếp sẽ tiến hành thiết kế mạng ở mức vật lý. Sơ đồ mạng ở mức vật lý mô tả chi tiết về vị trí đi dây mạng ở Trung tâm, vị trí của các thiết bị nối kết mạng, vị trí các máy chủ và các máy trạm. Từ đó đưa ra được một bảng dự trù các thiết bị mạng cần mua. Trong đó mỗi thiết bị cần nêu rõ: Tên thiết bị, thông số kỹ thuật, số lượng, đơn giá,…
2.2.3.4. Chọn hệ điều hành mạng và các phần mềm ứng dụng:
Mô hình mạng được cài đặt dưới nhiều hệ điều hành khác nhau như: Windows NT, Windows Server 2003, Unix, Linux,... Tương tự, các giao thức thông dụng như TCP/IP, NETBEUI, IPX/SPX hỗ trợ trong hầu hết các hệ điều hành. Chính vì thế, có một phạm vi chọn lựa hệ diều hành rất lớn. Quyết định chọn lựa hệ điều hành mạng thông thường dựa vào các yếu tố như:
- Giá thành phần mềm của giải pháp.
- Sự quen thuộc của khách hàng đối với phần mềm.
- Sự quen thuộc của người xây dựng mạng đối với phần mềm.
Hệ điều hành là nền tảng để cho các phần mềm sau đó vận hành trên nó. Giá thành phần mềm của giải pháp không phải chỉ có giá thành của hệ điều hành được chọn mà nó còn bao gồm cả giá thành của các phầm mềm ứng dụng chạy trên nó. Hiện nay có hai xu hướng chọn lựa hệ điều hành mạng: Các hệ điều hành mạng của Microsoft Windows hoặc các phiên bản của Linux.
Sau khi đã chọn hệ điều hành mạng, bước kế tiếp là tiến hành chọn các phần mềm ứng dụng cho từng dịch vụ. Các phần mềm này phải tương thích với hệ điều hành đã chọn.
2.2.4. Cài đặt mạng:
Khi bản thiết kế đã được thẩm định, bước kế tiếp là tiến hành lắp đặt phần cứng và cài đặt phần mềm mạng theo thiết kế.
2.2.5. Lắp đặt phần cứng:
Cài đặt phần cứng liên quan đến việc đi dây mạng và lắp đặt các thiết bị nối kết mạng (Hub, Switch, Router) vào đúng vị trí như trong thiết kế mạng ở mức vật lý đã mô tả.
2.2.6. Cài đặt và cấu hình phần mềm:
Tiến trình và cài đặt phần mềm bao gồm:
- Cài đặt hệ điều hành mạng cho Server, các máy trạm.
- Cài đặt và cấu hình các dịch vụ mạng.
- Tạo người dùng, phân quyền sử dụng mạng cho người dùng.
Tiến trình cài đặt và cấu hình phần mềm phải tuân thủ theo sơ đồ thiết kế mạng mức luận lý đã mô tả. Việc phân quyền cho người dùng pheo theo đúng chiến lược khai thác và quản lý tài nguyên mạng.
2.2.7. Kiểm thử mạng:
Sau khi đã cài đặt xong phần cứng và các máy tính đã được nối vào mạng. Bước kế tiếp là kiểm tra sự vận hành của mạng.
Trước tiên, kiểm tra sự nối kết giữa các máy tính với nhau. Sau đó, kiểm tra hoạt động của các dịch vụ, khả năng truy cập của người dùng vào các dịch vụ và mức độ an toàn của hệ thống.
Nội dung kiểm thử dựa vào phân tích nhu cầu đã được xác định lúc đầu.
2.2.8. Bảo trì hệ thống:
Mạng sau khi đã cài đặt xong cần được bảo trì một khoảng thời gian nhất định để khắc phục những vấn đề phát sinh xảy trong tiến trình thiết kế và cài đặt mạng.
2.3. Ứng dụng thiết kế và cài đặt mạng tại Trung tâm Tích Hợp Dữ Liệu:
2.3.1. Các yêu cầu chung:
2.3.1.1 Cơ sở hạ tầng:
Đã có ( theo khảo sát hiện trạng).
2.3.1.2. Yêu cầu thiết bị phần cứng tại các phòng ban:
Để xây dựng được hệ thống mạng theo mô hình Domain và được quản lý theo Server – Client, thiết bị cần thiết trước tiên là một máy Server cấu hình cao. Ngoài ra, bổ sung thêm các thiết bị kết nối mạng cần thiết như Switch, Hub, Modem,..
BẢNG CHI TIẾT CÁC THIẾT BỊ PHẦN CỨNG
STT
Thiết bị và cấu hình chi tiết các thiết bị
Đơn Giá
Số lượng
1
Thiết bị máy chủ
$ 1207.5
1
Processor: 1 x Intel® Nehalem Xeon Quad Core X5560 2.80Ghz 8MB L3 6.4GT/s Turbo, HT (Support Intel® Xeon® Nehalem 5500 Sequence - 8 Processor Cores)
$ 1000
Cache Memory: 8MB Level 3 cache
Processor upgrade: Upgradeable to 2 processors (4 or 8 cores)
Chipset: Intel® 5500 Chipset
Memory: 2 x 2GB Dual Rank ECC UDIMMs 1333Mhz memory (Up to 64GB)
Slots: 5 PCI slots Slot 1: PCIe x8 (x4 routing, Gen2), half lengthSlot 2: PCIe x8 (x4 routing, Gen2), full lengthSlot 3: PCIe x8 (x4 routing, Gen 1), full lengthSlot 4: PCIe x8 (x4 routing, Gen2), half lengthSlot 5: PCIe x16 (x8 routing, Gen2), half length
Max Memory: Up to 64GBs3 (8 DIMM slots4)1GB3/2GBs3/4GBs3/8GBs3 DDR3 800MHz, 1066MHz or 1333MHz
Storage Controller: 1x Dell SAS6/I Raid Card with Raid 0, 1
Storage: 2 x 250GB Hot-Plug SATA 3Gbps 7200rpm (Max 4HDDs)
Internal drive bays: Maximum Internal Storage: 6TBs3 SATA6TBs3(6x1000GBs) SAS
Optical Drive: Option
Graphics: Matrox G200eW w/ 8MB
Management: Dell OpenManage featuring Dell Management ConsoleBMC, IPMI2.0 compliant
Network Controller: 1 Dual port Broadcom BCM 5716
Power Supply: Power supply 525Watts Non-Redundant
Warranty Made in:USA
Case: MicroLab Full Size ATX 300W.
$ 24
Keyboard: Prolink Keyboard & Serial.
$ 5
Mouse: Prolink.
$ 3.5
CD ROM: SamSung CD RW 52-32-52 Int (IDE)-R52/W52/RW32X (Box).
$ 40
Speaker – Loa: Microlab Subwoofer M300 / M500 / M560 / HPI & HCT 2.1 (400W)
$ 35
LCD: 17" DELL 170S, xuất xứ Trung Quốc
$ 100
2
Các thiết bị khác
$ 452
i
Switch – Thiết bị liên kết
$ 84
3
X.Net/ SureCom/ Repotec/ Planet Switching HUB 10/100 - 24 Port
ii
Dây mạng – Thiết bị liên kết
$ 46
3 Thùng
AMP Cat-5 UTP 4-pair CMR rated, Solid Cable (305m)
iv
Chuẩn RJ45 – Thiết bị liên kết – Kềm kẹp
$30_$ 12
2 Hộp_1 Kềm
AMP RJ-45 Conector (đầu nối RJ-45) – Kềm bấm dây mạng RJ11 & RJ45
Với giá thành các thiết bị như trên, tổng chi phí cho việc lắp đặt toàn hệ thống là $ 1659.5.
2.3.1.3. Yêu cầu phần mềm:
- Các đĩa cài đặt Driver đi kèm các thiết bị phần cứng.
- Hệ điều hành : Windows 2003 Advance Server, Windows XP Professional.
- Phần mềm ứng dụng: Microsoft Office 2003, Photoshop, CorelDraw,...
- Chương trình quản lý: Microsoft ISA Server 2006
- Các chương trình duyệt Virus: Antirvius, BachKhoa Antivirus…
- Các phần mềm cần thiết khác….
2.3.2. Sơ đồ hệ thống mạng và đi dây chi tiết:
2.3.2.1. Sơ đồ tổng quan về trung tâm tích hợp dữ liệu:
2.3.2.2 – Sơ đồ và cách đi dây ở các phòng ban:
2.3.2.3 – Phương pháp bấm cáp chuẩn RJ-45:
Trong một dây cáp đạt chuẩn qui định bao gồm tám sợi dây đồng trong đó mỗi hai sợi xoắn với nhau thành từng cặp theo qui định nâu - trắng nâu, cam - trắng cam, xanh lá - trắng xanh lá, xanh dương - trắng xanh dương và một sợi dây kẽm. Hiện nay, có 02 chuẩn bấm cáp là T568A và T568B, 02 chuẩn bấm cáp này đều do Intel qui định.
BẢNG CÁC CHUẨN BẤM CÁP MẠNG
T568A
Trắng xanh lá
Xanh lá
Trắng cam
Xanh dương
Trắng xanh dương
Cam
Trắng nâu
Nâu
T568B
Trắng cam
Cam
Trắng xanh lá
Xanh dương
Trắng xanh dương
Xanh lá
Trắng nâu
Nâu
Kết nối giữa các thiết bị cùng loại như giữa hai PC với nhau hoặc giữa hai switch (hub) với nhau thì dùng kỹ thuật bấm cáp chéo (crossover cable): một đầu sợi cáp bấm chuẩn T568A và đầu còn lại bấm chuẩn T568B.
Kết nối các thiết bị khác loại với nhau như từ PC nối đến switch (hub) hoặc từ switch (hub) nối đến PC thì dùng kỹ thuật bấm cáp thẳng (straight-through cable): một đầu sợi cáp bấm chuẩn T568A thì đầu còn lại cũng bấm chuẩn T568A, tương tự như vậy nếu một đầu chuẩn T568B thì đầu còn lại cũng bấm chuẩn T568B.
a. Các dụng cụ cần thiết khi bấm cáp:
Dao hoặc dụng cụ tuốt dây: Loại dụng cụ tuốt dây còn đi kèm theo loại "nhấn cáp", rất hữu ích khi làm lỗ cắm cáp mạng trên tường. Nếu không mua loại này, vẫn có thể dùng dao để tuốt cáp và dùng vít để nhấn cáp.
Hình 3.15: Dao tuốt cáp và nhấn cáp vào Rack
Hình 3.16: Rack gắn tường
Rack
Kềm bấm cáp: Loại này dùng để bấm các thanh đồng nhỏ nằm ở trên đầu jack RJ45. Sau khi đẩy dây cáp vào đầu jack, dùng kềm đặt đầu jack vào và bấm chặt để các thanh đồng đi xuống, "cắn" vào lớp nhựa bao bọc lõi đồng của cáp. Các thanh đồng này sẽ là "cầu nối" data từ dây cáp vào các Pin trong rack (rack là thiết bị female, chính là port của card mạng, Hub, Switch ...).
Hình 3.17: Đầu jack RJ45 của cáp mạng. Dấu (*) chính là các thanh đồng
Hình 3.18: Kềm bấm cáp mạng
Máy test cáp: Nguyên lý hoạt động rất đơn giản, máy sẽ đánh số thứ tự cáp từ 1 đến 8. Mỗi lần sẽ bắn tín hiệu trên 1 pin. Đầu recieve sẽ sáng đèn ở số thứ tự tương ứng.
Hình 3.19: Máy test cáp: thiết bị phát và thiết bị thu.
b. Thực hiện lắp đặt RJ-45:
Khi đã chuẩn bị được các công việc cần thiết trước khi làm dây cáp đấu chéo. Đầu tiên, cắt một đoạn dây cáp thích hợp.
Bước 1: Cạo vỏ của dây cáp một đoạn khoảng 5cm ở mỗi đầu cuối cáp, không cắt vào sợi dây cáp nhỏ bên trong.
Hình 3.20: Tuốt dây cáp
Bước 2: Trải dây cáp cẩn thận sao cho các dây không cho tách rời nhau.
Hình 3.21: Trải dây
Bước 3: Thứ tự các dây trong cáp với từng đầu cáp.
Hình 3.22: Thứ tự các dây
Tách từng sợi đôi trong cáp, không tách đến phần nhựa, sắp xếp chúng theo thứ tự từng đầu cáp theo hình vẽ, dùng kềm cắt dây, phần dây là 1,2cm và vết cắt thẳng.
Hình 3.23: Bấm dây còn lại dài khoảng 1.2 cm
Bước 4: Đẩy các đầu dây vào Jack theo thứ tự, như hình vẽ.
Hình 3.24: Đẩy dây vào trong jack
Bước 5: Dùng kềm bấm để cố định Jack.
Hình 3.25: Đẩy đầu jack vào kềm và bấm dứt khoát
Kiểm tra xem cáp đã được tạo thành công chưa, trên hình vẽ dưới đây là hai trường hợp cáp tốt và cáp chưa đạt yêu cầu.
Hình 3.26: Hai đầu cáp hoàn chỉnh
Như vậy, quá trình bấm cáp thành công.
2.3.2.4. Phương pháp lắp đặt Outlet cho các nốt mạng:
Các Outlet được gắn trên tường và dưới nền có khoảng cách nhất định. Trên các Outlet sẽ đánh dấu vị trí các nốt mạng, backbon và switch được đặt tại vị trí xác định để dễ quản lý, sửa chữa và xác định hư hỏng dễ dàng.
Tường
Outlet
30 cm
Hình 3.27: Vị trí Outlet
2.3.3. Cài đặt, cấu hình hệ thống:
2.3.3.1. Cài đặt máy chủ phục vụ:
a. Cài đặt hệ điều hành Window Server 2003:
+ Cấu hình BIOS của máy để có thể khởi động từ đĩa ổ đĩa CDROM.
+ Cho đĩa cài đặt Windows server 2003 vào ổ đĩa CDROM và khởi động lại máy.
+ Khi máy khởi động từ đĩa CDROM, bấm một phím bất kỳ khi xuất hiện thông báo “Press any key to boot from CD …”.
- Chương trình cài đặt của Windows server 2003 sẽ tiến hành sao chép các tập tin và driver cần thiết cho quá trình cài đặt.
- Bấm Enter để bắt đầu quá trình cài đặt.
- Bấm F8 để chấp thuận bản quyền và tiếp tục quá trình cài đặt.
- Chọn vùng trống trên đĩa và nhấn phím C để tạo partition mới chứa hệ điều hành.
- Nhập dung lượng partition cần tạo, chọn Enter.
- Định dạng partition chứa hệ điều hành theo hệ thống tập tin FAT hay NTFS, chọn Format the partition using the NTFS file system (Quick).
- Quá trình cài đặt sẽ sao chép các tập tin của hệ điều hành vào partition đã chọn.
- Sau khi hệ thống khởi động lại, giao diện trình cài đặt Windows Server 2003 xuất hiện.
- Thiết lập ngôn ngữ, số đếm, đơn vị tiền tệ, định dạng ngày tháng năm, chọn Next để tiếp tục cài đặt.
- Nhập tên người sử dụng và tên tổ chức, chọn Next.
- Nhập số CD key, chọn Next để tiếp tục cài đặt.
- Chọn Per Devies or Per User, chọn Next.
- Nhập tên Server và Password của người quản trị (Administrator), chọn Next để tiếp tục cài đặt.
- Thiết lập ngày, tháng, năm và múi giờ, chọn Next.
- Tại hộp thoại Networking Settings, chọn Custom settings để thay đổi các thông số giao thức TCP/IP. Các thông số này có thể thay đổi lại sau khi quá trình cài đặt hoàn tất.
- Tại hộp thoại Workgroup or Computer Domain, tùy chọn gia nhập Server vào một Workgroup hay một Domain có sẵn. Nếu muốn gia nhập vào Domain thì đánh vào tên Domain vào ô bên dưới.
- Sau khi chép đầy đủ các tập tin, quá trình cài đặt kết thúc.
- Như vậy quá trình cài đặt Windows Server 2003 đã hoàn thành.
b. Cài đặt máy chủ thành Domain Controller:
Ø Giới thiệu chung về Domain Controller:
Domain là đơn vị chức năng nồng cốt của cấu trúc logic Active Directory. Nó là phương tiện để qui định một tập hợp những người dùng, máy tính, tài nguyên chia sẻ có những qui tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vào các Server dễ dàng hơn. Domain đáp ứng ba chức năng chính sau:
- Đóng vai trò như một khu vực quản trị (Administrative Boundary) các đối tượng, là một tập hợp các định nghĩa quản trị cho các đối tượng chia sẻ như: có chung một cơ sở dữ liệu thư mục, các chính sách bảo mật, các quan hệ ủy quyền với các Domain khác.
- Quản lý bảo mật các tài nguyên chia sẻ.
- Cung cấp các Server dự phòng làm chức năng điều khiển vùng (Domain Controller), đồng thời đảm bảo các thông tin trên các Server này được đồng bộ với nhau.
Khác với mô hình Workgroup, mô hình Domain hoạt động theo cơ chế Server - Client, trong hệ thống mạng phải có ít nhất một máy tính làm chức năng điều khiển vùng (Domain Controller), máy tính này sẽ điều khiển toàn bộ hoạt động của hệ thống mạng. Việc chứng thực người dùng và quản lý tài nguyên mạng được tập trung lại tại các Server trong miền.
Trong mô hình Domain của Windows Server 2003 thì các thông tin người dùng được tập trung lại do dịch vụ Active Directory quản lý và được lưu trữ trên máy tính điều khiển vùng (Domain Controller) với tên tập tin là NTDS.DIT. Tập tin cơ sở dữ liệu này được xây dựng theo công nghệ tương tự như phần mềm Access của Microsoft nên nó có thể lưu trữ hàng triệu người dùng, cải tiến hơn so với công nghệ cũ chỉ lưu trữ được khoảng 5 nghìn tài khoản người dùng. Do các thông tin người dùng được lưu trữ tập trung nên việc chứng thực người dùng đăng nhập vào mạng cũng tập trung và do máy điều khiển vùng chứng thực.
Ø Cài đặt dịch vụ DC cho máy chủ (Domain Controller):
v Giới thiệu:
Các máy điều khiển vùng (Domain Controller – DC) không còn phân biệt là PDC (Primary Domain Controller) hoặc là BDC (Backup Domain Controller). Bây giờ, đơn giản chỉ còn là DC. Theo mặc định, tất cả các máy Windows Server 2003 khi mới cài đặt đều là Server độc lập (Standalone Server). Chương trình DCPROMO chính là Active Directory Installation Wizard và được dùng để cài đặt một máy không phải là DC (Server Stand-alone) thành một máy DC và ngược lại giáng cấp một máy DC thành một Server bình thường. Đối với Windows Server 2003 thì có thể đổi tên máy tính khi đã cài đặt thành DC.
Trước khi cài đặt Server thành Domain Controller, khai báo đầy đủ các thông số TCP/IP, đặc biệt là phải khai báo DNS Server có địa chỉ chính là địa chỉ IP của Server cần cài đặt. Có hai cách để bạn chạy chương trình Active Directory Installation Wizard: dùng tiện ích Manage Your Server trong Administrative Tools hoặc nhấp chuột vào Start => Run, gõ lệnh DCPROMO.
v Các bước cài đặt:
- Đầu tiên, thiết lập địa chỉ IP cho máy chủ cần cài đặt dịch vụ Domain Controller là 192.168.1.1, Subnet mask là 255.255.255.0, Default Geteway là: 10.228.33.100.
- Từ Menu Start/ Run nhập vào trong hộp thoại là dcpromo rồi nhấn OK.
- Hộp thoại Active Directiry Install Wizrad xuất hiện, chọn Next chuyển đến hộp thoại tiếp theo.
- Trong hộp thoại Domain Controller Type, chọn Domain Controller for a new Domain để tạo Domain mới. Nếu muốn thêm Domain khác Domain đã có thì chọn Additional Domain Controller for an exsting Domain.
Chọn Domain Controller for a new Domain rồi nhấn Next để tiếp tục.
- Hộp thoại Create New Domain:
Domain in a new forest: Tạo một miền mới trong vùng.
Child Domain in an exsting Domain tree: Tạo một miền con trong cây đã có.
Domain tree in exsting forest: Tạo một cây trong rừng mới.
Chọn Domain in a new forest nhấn Next để chuyển sang bước tiếp theo.
- Hộp thoại New Domain Name:
Đặt tên của Domain trong trường Full DNS name for new Domain và chọn Next.
- Hộp thoại NetBIOS Domain Name:
Mặc định là trùng tên với Domain, để tiếp tục chọn Next.
- Hộp thoại Database End Log Folders:
Cho phép chỉ định vị trí lưu trữ DataBase và các tập tin Log.
Chọn vị trí cần lưu bằng cách nhấn nút Browse; Nhấn Next để tiếp tục.
- Hộp thoại Share System Volume chỉ định vị trí thư mục Sysvol, thư mục này phải nằm trên Partition có định dạng NTFS. Nếu muốn thay đổi thì nhấn nút Browse; nhấn Next để tiếp tục.
- Hộp thoại DNS Registration Diagnostics:
Chọn Install and configure the DNS server on this computer, and set this computer to use this DNS server as its preferred DNS server để cấu hình DNS.
Chọn Next để tiếp tục.
- Hộp thoại Permissions:
Permissions compatible with pre-Windows 2000 Server operating systems: Nếu hệ thống là các phiên bản trước Windows 2000 Server.
Permission compatible only with Windows 2000 or Windows 2003 operating system: Nếu hệ thống là Windows 2000 Server hay Windows 2003 Server.
Trường hợp này, chọn Permission compatible only with Windows 2000 or Windows 2003 operating system, nhấn Next để tiếp tục.
- Hộp thoại Directory Services Restore Mode Administrator Password:
Xác định mật khẩu dùng trong trường hợp vào chế độ Directory Services Restore Mode, nhấn Next để tiếp tục.
- Hộp thoại Sumary:
Hộp thoại này hiển thị các thông tin đã chọn ở bước trước, nhấn Next để tiếp tục.
- Hộp thoại Active Directory Install Wizard:
Quá trình cài đặt được thực hiện.
- Hộp thoại Completing The Active Directory Installation Wizard xuất hiện khi quá trình cài đặt hoàn tất.
Nhấp Finish để kết thúc.
c. Cài đặt các dịch vụ cho hệ thống:
Ø Cấu hình dịch vụ DNS – Phân giải tên miền:
Vùng nào cũng phải có máy phục vụ DNS chính, có thể tích hợp với Active Directory hay vận hành như máy phục vụ chính thông thường. Máy phục vụ chính phải có khu vực dò xuôi và khu vực dò ngược thích hợp. Khu vực dò xuôi (forward lookup zone) giúp phân giải tên vùng thành địa chỉ IP. Khu vực dò ngược (Reserve lookup zone) rất cần thiết với việc phân giải địa chỉ IP thành tên vùng hay tên máy chủ.
+ Cài đặt bổ sung dịch vụ DNS:
Vào Start\ Settings\ Control Panel\ Add or Remove Programs\ Add/Remove Windows Components. Xuất hiện hộp thoại:
Chọn Networking Services\ Details…
Chọn Domain Name System (DNS)\ OK. Nhấn Finish để hoàn thành.
+ Tạo Forward Lookup zone cho tên miền thuctap.com:
Vào Start\ Program\ Administrator Tools\ DNS xuất hiện bảng sau.
Kích chuột phải tại Forward Loopup Zones\ New Zone ta được màn hình sau.
Nhấn Next để tiếp tục.
Bỏ chọn Store the zone in Active Directory (available only if DNS server is domain controller). Sau đó nhấn Next.
Nhập tên miền vào trường Zone name. Tiếp tục nhấn Next.
Nhấn Next\ Next\ Finish để hoàn tất.
+ Tạo Reverse Lookup zone cho tên miền Thuctap.com:
Cũng trong bảng DNS, kích chuột phải tại Reverce Loopup Zones\ New zone.
Bỏ chọn tại Store the zone in Active Directory (available only if DNS server is domain controller). Sau đó nhấn Next.
Nhập địa chỉ IP của Server tại trường Network ID. Sau đó nhấn Next\ Next\ Next\ Finish.
+ Tạo Record A và PTR phân giải cho máy DNS Server:
Trong bảng DNS, tại tên miền trong Forward Loopup Zones kích chuột phải chọn New Host. Nhập tên DNS tại trường name (uses parent domain name if blank) và địa chỉ IP server tại trường IP address. Kích chọn Create associated pointer (PTR) record. Sau đó nhấn Add host và Close để đóng lại.
+ Hiệu chỉnh Record SOA và NS của miền:
Tại tên miền trong Forward Loopup Zones của bảng DNS, ta kích đôi chuột tại Name server (NS), kích chọn Edit như hình sau:
Kích chọn dns1 như hình sau, nhấn OK.
Tiếp theo, chọn thẻ Start of Authority (SOA), tại nút Browse kích chọn dns1.Thuctap.com như hình sau. Nhấn OK để kết thúc.
Ta thực hiện tương tự đối với Reverce Loopup Zones.
+ Tạo thêm các Record A và PRT để phân giải cho các máy chứa dịch vụ khác:
Trong bảng DNS, tại tên miền trong Forward Loopup Zones kích chuột phải chọn New Host. Nhập www, ftp, mail tại trường name (uses parent domain name if blank) và địa chỉ IP server tại trường IP address. Kích chọn Create associated pointer (PTR) record. Sau đó nhấn Add host và Close để đóng lại.
Ø Tạo nhóm và tài khoản người dùng:
- Tạo nhóm người dùng:
Trong cơ quan có nhiều nhân viên và nhiều phòng ban khác nhau, để quản lý mọi nhân viên trong cơ quan cũng như các phòng ban phải thành lập các user ứng với mỗi nhân viên và mỗi nhóm ứng với mỗi phòng ban. Việc này giúp cho người quản trị hay giám đốc có thể theo dõi hoạt động hoặc cấp quyền sử dụng cho từng nhân viên khác nhau trong cơ quan.
Muốn tạo nhóm người dùng ta thực hiện các bước sau:
Vào Start\ Program\ Administrative Tools\ Active Directory users and computers. Xuất hiện hộp thoại
Kích chuột phải vào Users\ New\ Group, xuất hiện màn hình sau:
Nhập tên nhóm vào trường Group name, rồi nhấn OK.
- Tạo tài khoản người dùng:
Vào Start\ Program\ Administrative Tools\ Active Directory users and computers. Kích chuột phải vào Users\ New\ User, xuất hiện màn hình sau:
Nhập tên đầy đủ vào Full name và tên đăng nhập vào User logon name, rồi nhấn Next để tiếp tục.
Nhập mật khẩu đăng nhập. Nhấn Next\ Finish để hoàn thành công việc. Thực hiện tương tự đối với các tài khoản người dùng khác.
- Đưa tài khoản người dùng vào trong nhóm:
Tại hộp thoại Active Directory users and computers, kích chuột phải tại nhóm muốn đưa tài khoản vào, chọn Properties\ chọn thẻ Members\ Add.
- Nhập một hoặc nhiều tên tài khoản vào trường Enter the object names to select\ Check name để kiểm tra\ OK\ Apply\ OK.
Ø Ánh xạ ổ đĩa - Tạo thư mục dùng chung và thư mục dùng riêng:
Việc này giúp mọi người trong hệ thống có thể chia sẻ tài liệu của mình cho mọi người trong cơ quan để thuận tiện cho công việc mà không phải mất thời gian đi lại nhiều.
- Tạo cấu trúc cây thư mục như hình:
- Kích chuột phải tại thư mục cần thực hiện, chọn Sharing and security
- Tại thẻ Sharing chọn Share this folder\ Permissions\ Full Control\ OK.
- Tạo file Script.bat:
Start\ Run\ Notepad soạn nội dung như hình lưu thành tập tin Script.bat tại Desktop.
- Thiết lập để script tự động thực thi khi người dùng đăng nhập vào hệ thống:
Vào Start\ Program\ Administrative Tools\ Active directory users and computers. Kích chuột phải vào tên miền Domain\ Properties.
Tại thẻ Group Policy chọn Edit. Tiếp theo chọn Windows settings\ Scripts (logon/logoff)\ logon, xuất hiện hộp thoại:
Bước kế tiếp, chọn Add\ Browse, copy tập tin Script.bat ngoài desktop vào thư mục logon\ Open\ OK\ Apply\ OK.
Xóa tập tin Script.bat ngoài desktop
Start\ Run\ “gpupdate /force” để cập nhật.
Đăng nhập tài khoản người dùng để kiểm tra
Công việc đã hoàn thành.
2.3.1.2. Giới thiệu firewall:
a. Tổng quan về Firewall:
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại việc truy cập trái phép, bảo vệ các nguồn tài nguyên cũng như hạn chế sự xâm nhập vào hệ thống của một số thông khác không mong muốn. Cụ thể hơn, có thể hiểu firewall là một cơ chế bảo vệ giữa mạng tin tưởng (trusted network), ví dụ mạng intranet nội bộ, với các mạng không tin tưởng mà thông thường là internet. Về mặt vật lý, firewall bao gồm một hoặc nhiều hệ thống máy chủ kết nối với bộ định tuyến (Router) hoặc có chức năng Router. Về mặt chức năng firewall có nhiệm vụ: Tất cả các trao đổi dữ liệu từ trong ra ngoài và ngược lại đều phải thực hiện thông qua firewall.
Ø Các phần mềm quản lý an ninh bảo mật chạy trên hệ thống máy chủ bao gồm:
- Quản lý xác thực (Authentication): Có chức năng ngăn chặn truy cập trái phép vào hệ thống mạng nội bộ. Mỗi người sử dụng muốn truy cập hợp lệ phải có một tài khoản bao gồm một tên người dùng và mật khẩu.
- Quản lý cấp quyền (Authorization): Cho phép xác định quyền sử dụng tài nguyên cũng như các nguồn thông tin trên mạng theo từng người, từng nhóm người sử dụng.
- Quản lý kiểm soát (Accounting Management): Cho phép ghi nhận tất cả các sự kiện xảy ra liên quan đến việc truy cập và sử dụng các nguồn tài nguyên trên mạng theo từng thời điểm và thời gian truy cập đối với vùng tài nguyên nào đã được sử dụng hoặc thay đổi bổ sung…
b. Kiến trúc của Firewall:
Ø Kiến trúc Dual – homed Host:
Firewall kiến trúc kiểu Dual-homed Host được xây dựng dựa trên máy tính Dual-homed Host. Một máy tính được gọi là Dual-homed Host nếu có ít nhất hai Network Interfaces có nghĩa là máy đó có hai card mạng giao tiếp với hai mạng khác nhau. Kiến trúc Dual-homed Host rất đơn giản, Dual-homed Host ở giữa một bên kết nối với internet và bên còn lại nối với mạng nội bộ.
Dual-homed host chỉ có thể cung cấp các dịch vụ bằng cách ủy quyền (proxy) chúng hoặc cho phép user đăng nhập trực tiếp vào Dual-homed Host. Mọi giao tiếp từ một host trong mạng nội bộ và host bên ngoài đều bị cấm, Dual-homed Host là nơi giao tiếp duy nhất.
Hình 3.28: Sơ đồ kiến trúc Dual–homed Host
Ø Kiến trúc Screened Host:
Screened Host có cấu trúc ngược lại với cấu trúc Dual-homed Host. Kiến trúc này cung cấp các dịch vụ từ một host bên trong mạng nội bộ, dùng một Router tách rời với mạng bên ngoài. Trong kiểu kiến trúc này, bảo mật chính là phương pháp Packet Filtering. Bastion host được đặt bên trong mạng nội bộ. Packet Filtering được cài trên Router. Theo cách này, Bastion host là hệ thống duy nhất trong mạng nội bộ mà những host trên Internet có thể kết nối tới. Mặc dù vậy, chỉ những kiểu kết nối phù hợp (được thiết lập trong Bastion host) mới được cho phép kết nối. Bất kỳ một hệ thống bên ngoài nào cố gắng truy cập vào hệ thống hoặc các dịch vụ bên trong đều phải kết nối tới host này. Vì thế Bastion host là host cần phải được duy trì ở chế độ bảo mật cao. Packet filtering cũng cho phép Bastion host có thể mở kết nối ra bên ngoài. Cấu hình của packet filtering trên screening router như sau:
- Cho phép tất cả các host bên trong mở kết nối tới host bên ngoài thông qua một số dịch vụ cố định.
- Không cho phép tất cả các kết nối từ các host bên trong (cấm những host này sử dụng dịch proxy thông qua bastion host).
- Bạn có thể kết hợp nhiều lối vào cho những dịch vụ khác nhau.
- Một số dịch vụ được phép đi vào trực tiếp qua packet filtering.
- Một số dịch vụ khác thì chỉ được phép đi vào gián tiếp qua proxy.
Bởi vì kiến trúc này cho phép các packet đi từ bên ngoài vào mạng bên trong, nó dường như là nguy hiểm hơn kiến trúc Dual-homed Host, vì thế nó được thiết kế để không một packet nào có thể tới được mạng bên trong. Tuy nhiên trên thực tế thì kiến trúc Dual-homed Host đôi khi cũng có lỗi mà cho phép các packet thật sự đi từ bên ngoài vào bên trong (bởi vì những lỗi này hoàn toàn không biết trước), nó hầu như không được bảo vệ để chống lại những kiểu tấn công này. Hơn nữa, kiến trúc Dual- homed Host thì dễ dàng bảo vệ Router (là máy cung cấp rất ít các dịch vụ) hơn là bảo vệ các host bên trong mạng. Xét về toàn diện thì kiến trúc Screened Host cung cấp độ tin cậy cao hơn và an toàn hơn kiến trúc Dual-homed Host.
So sánh với một số kiến trúc khác, chẳng hạn như kiến trúc Screened Subnet thì kiến trúc Screened Host có một số bất lợi. Bất lợi chính là nếu kẻ tấn công tìm cách xâm nhập Bastion Host thì không có cách nào để ngăn tách giữa Bastion Host và các host còn lại bên trong mạng nội bộ. Router cũng có một số điểm yếu là nếu Router bị tổn thương, toàn bộ mạng sẽ bị tấn công. Vì lý do này mà Sceened Subnet trở thành kiến trúc phổ biến nhất.
Hình 3.29: Sơ đồ kiến trúc Screened Host
Ø Kiến trúc Sreened Subnet:
Nhằm tăng cường khả năng bảo vệ mạng nội bộ, thực hiện chiến lược phòng thủ theo chiều sâu, tăng cường sự an toàn cho Bastion Host, tách Bastion Host khỏi các host khác, phần nào tránh lây lan một khi Bastion Host bị tổn thương, người ta đưa ra kiến trúc firewall có tên là Sreened Subnet. Kiến trúc Screened Subnet dẫn xuất từ kiến trúc Screened Host bằng cách thêm vào phần an toàn: mạng ngoại vi (perimeter network) nhằm cô lập mạng nội bộ ra khỏi mạng bên ngoài, tách Bastion Host ra khỏi các host thông thường khác. Kiểu Screened Subnet đơn giản bao gồm hai Screened Router: Router ngoài (External Router còn gọi là Access Router): nằm giữa mạng ngoại vi và mạng ngoài có chức năng bảo vệ cho mạng ngoại vi (Bastion Host, Interior Router). Nó cho phép hầu hết những gì Outbound từ mạng ngoại vi. Một số qui tắc packet filtering đặc biệt được cài đặt ở mức cần thiết đủ để bảo vệ Bastion Host và Interior Router vì Bastion Host còn là host được cài đặt an toàn ở mức cao. Ngoài các qui tắc đó, các qui tắc khác cần giống nhau giữa hai Router. Interior Router (còn gọi là Choke Router) nằm giữa mạng ngoại vi và mạng nội bộ, nhằm bảo vệ mạng nội bộ trước khi ra ngoài và mạng ngoại vi. Nó không thực hiện hết các qui tắc packet filtering của toàn bộ firewall. Các dịch vụ mà Interior Router cho phép giữa Bastion Host và mạng nội bộ, giữa bên ngoài và mạng nội bộ không nhất thiết phải giống nhau. Giới hạn dịch vụ giữa Bastion Host và mạng nội bộ nhằm giảm số lượng máy (số lượng dịch vụ trên các máy này) có thể bị tấn công khi Bastion Host bị tổn thương và thoả hiệp với bên ngoài. Chẳng hạn nên giới hạn các dịch vụ được phép giữa Bastion Host và mạng nội bộ như SMTP khi có Email từ bên ngoài vào, có lẽ chỉ giới kết nối SMTP giữa Bastion Host và Email Server bên trong.
Hình 3.30: Sơ đồ kiến trúc Screened Subnet Host
b. Phân loại Firewall và nguyên tắc hoạt động:
Ø Packet Filtering (Bộ lọc gói tin):
v Nguyên lý hoạt động:
Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCI/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS ...) thành các gói dữ liệu (Data Pakets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các Packet và những con số địa chỉ của chúng.
Bộ lọc gói cho phép hay từ chối mỗi Packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ của lọc gói hay không. Các luật lệ lọc gói này là dựa trên các thông tin ở đầu mỗi Packet (Packet Header), dùng để cho phép truyền các Packet đó ở trên mạng. Đó là:
• Địa chỉ IP nơi xuất phát ( IP Source address).
• Địa chỉ IP nơi nhận (IP Destination address).
• Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel).
• Cổng TCP/UDP nơi xuất phát (TCP/UDP source port).
• Cổng TCP/UDP nơi nhận (TCP/UDP destination port).
• Dạng thông báo ICMP (ICMP message type).
• Giao diện Packet đến (Incomming interface of Packet).
• Giao diện Packet đi (Outcomming interface of Packet).
Nếu luật lệ lọc gói được thoả mãn thì Packet được chuyển qua Firewall. Nếu không Packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP...) được phép mới chạy được trên hệ thống mạng cục bộ.
v Ưu điểm và hạn chế của hệ thống Firewall sử dụng bộ lọc gói:
- Ưu điểm:
• Đa số các hệ thống Firewall đều sử dụng bộ lọc gói. Một trong những ưu điểm của phương pháp dùng bộ lọc gói là chi phí thấp vì cơ chế lọc gói đã được bao gồm trong mỗi phần mềm Router.
• Ngoài ra, bộ lọc gói là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả.
- Hạn chế:
• Việc định nghĩa các chế độ lọc gói là một việc khá phức tạp; nó đòi hỏi người quản trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, các dạng Packet Header, và các giá trị cụ thể mà họ có thể nhận trên mỗi trường. Khi đòi hỏi vể sự lọc càng lớn, các luật lệ về lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển.
• Do làm việc dựa trên Header của các Packet, rõ ràng là bộ lọc gói không kiểm soát được nội dung thông tin của Packet. Các Packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.
Ø Cổng ứng dụng (Application–Level Gateway):
v Nguyên lý hoạt động:
Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy Service (dịch vụ đại diện). Proxy Service là các bộ code đặc biệt cài đặt trên cổng ra (gateway) cho từng ứng dụng. Nếu người quản trị mạng không cài đặt Proxy code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do đó không thể chuyển thông tin qua Firewall. Ngoài ra, Proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà ngưòi quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khác.
Một cổng ứng dụng thường được coi như là một pháo đài (Bastion Host), bởi vì nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp đảm bảo an ninh của một Bastion Host là:
+ Bastion Host luôn chạy các version an toàn (Secure Version) của các phần mềm hệ thống (Operating System). Các version an toàn này được thiết kế chuyên cho mục đích chống lại sự tấn công vào hệ điều hành (Operating System), cũng như là đảm bảo sự tích hợp Firewall.
+ Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên Bastion Host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nó không thể bị tấn công. Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên Bastion Host.
+ Bastion Host có thể yêu cầu nhiều mức độ xác thực khác nhau, Ví Dụ như user password hay smart card.
• Mỗi Proxy được đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ nhất định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi Proxy chỉ đúng với một số máy chủ trên toàn hệ thống.
• Mỗi Proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại.
• Mỗi Proxy đều độc lập với các proxies khác trên Bastion Host. Điều này cho phép dễ dàng quá trình cài đặt một Proxy mới, hay tháo gỡ một Proxy đang có vấn để.
v Ưu điểm và hạn chế:
- Ưu điểm:
• Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi vì ứng dụng Proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập được bởi các dịch vụ.
• Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho phép, bởi vì sự vắng mặt của các Proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ ấy bị khoá.
• Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống.
• Luật lệ filltering (lọc) cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc gói.
- Hạn chế:
• Yêu cầu các users biến đổi (modify) thao tác, hoặc modify phần mềm đã cài đặt trên máy Client cho truy nhập vào các dịch vụ Proxy.
Ø Cổng vòng (Circuit–Level Gateway):
Hình 3.31: Kết nối qua cổng vòng (Circuit–Level Gateway)
Cổng vòng là một chức năng đặc biệt có thể thực hiện đươc bởi một cổng ứng dụng. Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc gói nào.
Hình 3.31 minh hoạ một hành động sử dụng nối Telnet qua cổng vòng. Cổng vòng đơn giản chuyển tiếp kết nối Telnet qua Firewall mà không thực hiện một sự kiểm tra, lọc hay điều khiển các thủ tục Telnet nào. Cổng vòng làm việc như một sợi dây, sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài (outside connection). Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống Firewall, nó che dấu thông tin về mạng nội bộ.
Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các nhà quản trị mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm lớn nhất là một Bastion Host có thể được cấu hình như là một hỗn hợp cung cấp cổng ứng dụng cho những kết nối đến, và cổng vòng cho các kết nối đi. Điều này làm cho hệ thống bức tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tường lửa để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài.
2.3.1.3. Giới thiệu phần mềm ISA Server 2006:
Microsoft Internet Security and Acceleration Sever (ISA Server) là phần mềm share internet của hãng phần mềm Microsoft, là phiên bản mới nhất của sản phẩm Microsoft ISA Server. Là một phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, thiết lập tường lửa (firewall) tốt, nhiều tính năng cho phép cấu hình sao cho tương thích với mạng LAN của hệ thống. Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu Cache trên đĩa có thể truy xuất thông tin nhanh hơn, và tính năng chedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN.
2.3.1.4. Cài đặt phần mềm ISA Server 2006:
Hình 3.32: Sơ đồ cài đặt ISA 2006
Sơ đồ cài đặt ISA Server 2006:
b. Chuẩn bị phần cứng:
- Chuẩn bị một máy Server để cài ISA Server 2006.
- Trong máy Server lắp đặt 02 card mạng:
+ Card mạng thứ nhất đặt tên là Internal được sử dụng trong hệ thống mạng nội bộ, đặt địa chỉ IP như sau:
Trước khi thực hiện cài ISA Server 2006, vào trong hệ thống chỉnh sửa thông số mạng, kích vào Advanced\ WINS\ bỏ chọn Enable LMHOSTS loopup\ chọn Disable NetBIOS over TCP/IP\ OK.
+ Card mạng thứ hai đặt tên là External được sử dụng để ra ngoài Internet đặt địa chỉ IP như sau:
Chỉnh sửa thông số mạng, thực hiện các bước giống như trên.
c. Quá trình cài đặt:
Đầu tiên, đưa đĩa chứa phần mềm Microsort ISA server 2006 vào. Chạy file ISAAutorun.exe. Xuất hiện màn hình sau, kích đôi vào Install ISA Server 2006 để cài.
Nhấn Next trên hình Welcome to the Installation Wizard for Microsoft ISA Server 2006 để tiếp tục.
Nhập Cdkey vào trường Product Serial Number như hình sau rồi nhấn Next.
Trên hình License Agreement, chọn I accept the terms in the license agreement. Sau đó nhấn Next.
Kích chọn Install both ISA Server services and Configuration Storage server, rồi nhấn Next.
Muốn thay đổi đường dẫn lưu phần cài đặt ta chọn Change, sau đó nhấn Next.
Chọn Create a new ISA Server enterprise, tiếp tục nhấn Next.
Tiếp tục nhấn Next trên hình New Enterprise Warning.
Nhập vào trường User name, Password. Nhấn Next.
Trong Internal Network kích vào Add để nhập địa chỉ mạng.
Kích vào Add Adapter trong bảng Address để nhập địa chỉ bắt đầu và địa chỉ kết thúc.
Kích chọn Internal trong mạng nội bộ rồi nhấn OK.
Tiếp tục nhấn OK.
Nhấn Next để tiếp tục cài đặt.
Và đến bảng tiếp theo, Nếu cho phép kết nối Firewall Client thì chọn Allow non-encryted Firewall client connections rồi nhấn Next.
Nhấn vào nút Install để cài ISA Server 2006.
Đợi hệ thống copy dữ liệu của phần mềm. Sau đó nhấn Next.
Windows tiếp tục cài đặt phần Additional Components và System Initialization.
Nhấn Finish để hoàn thành.
Quá trình cài đặt ISA Server 2006 thành công.
Vào Start\ Program\ Microsoft ISA server\ ISA server management. Ta có giao diện như sau:
2.3.1.5. Cấu hình ISA 2006:
a. Cấu hình Access rule:
Ø Tạo phân giải tên miền DNS cho các client:
Vào Start\ Program\ Microsoft ISA server\ ISA server management ta sẽ có giao diện của ISA Server 2006. Kích chuột phải Firewall Policy\ New\ Access rule.
Đánh tên Rule cần thiết lập tại Access Rule Name. Nhấn Next.
Chọn Allow để cho phép. Nhấn Next để tiếp tục.
Chọn giao thức cho phép là Selected protocols. Chọn Add để chọn giao thức và giao thức được chọn là DNS.Nhấn Next.
Chọn Add\ Internal. Nhấn Next để thực hiện tiếp theo.
Chọn Add\ External. Nhấn Next.
Chọn All user ta cũng có thể chọn user hoặc nhóm nếu cần. Nhấn Next.
Nhấn Apply\ OK\ Refresh để kết thúc.
Ø Tạo Access rule cho các máy truy cập được Internet:
Tạo rule để kiểm tra đường truyền và cấp phép cho các máy client trong hệ thống mạng truy cập được Internet thông qua máy chủ đã cài đặt ISA.
v Thực hiện:
Trong bảng Welcome to the New Access Rule Wizard, nhập tên Access rule và nhấn Next để tiếp tục.
Đến bảng Rule Action, kích chọn Allow để cho phép các máy truy cập Internet rồi nhấn Next.
Chọn All outbound traffic sau đó nhấn Next trong bảng Protocols.
Trong bảng Access rule Sources, nhấn vào nút Add và kích chọn Internal là xuất phát từ mạng nội bộ. Nhấn Next để tiếp tục.
Nhấn vào nút Add chọn External là cổng ra Internet rồi nhấn Next.
Trong bảng User Sets, cấp quyền truy cập cho tất cả các user và nhấn Next\ Finish để kết thúc.
Để công việc vừa tạo được thực thi nhấn nút Apply\ OK trên giao diện của ISA và Refresh.
Tiếp theo, cấu hình Access rule chi tiết cho các máy truy cập vào các trang web. Thực hiện tương tự như trên để xuất hiện bảng Welcome to the New Access Rule Wizard. Nhập tên vào trường Access rule name rồi sau đó nhấn Next.
Với Action là cho phép nên ta chọn Allow . Nhấn Next ta có bảng sau:
Chọn Selected protocols tại trường This rule applies to. Nhấn nút Add và chọn các giao thức để truy cập wed như: HTTP, HTTPS, HTTPS Server. Nhấn Next để tiếp tục.
Trong bảng Access Rule Sources, nhấn nút Add để chọn Internal và nhấn Next.
Nhấn nút Add chọn External rồi sau đó nhấn Next trong bảng Access Rule Destinations.
Trong bảng này, cấp quyền truy cập cho tất cả các user sau đó nhấn Next\ Finish\ Apply\ Refresh để hoàn thành.
Ø Chỉnh System rule cho các máy trong mạng Ping thấy nhau:
Kích chuột phải vào Firewall Policy\ Edit System policy.
Xuất hiện giao diện như hình sau. Chọn ICMP (Ping)\ nhấn nút Add.
Tiến hành kích chọn vào mục Internal rồi nhấn nút Close để đóng lại.
Tại Diagnostic Services, kích chọn ICMP rồi cũng nhấn nút Add.
Chọn mục Internal\ Add\ Close\ OK.
Khi thực hiện các thao tác trên xong ta cũng nhấn Apply\ Refresh để hoàn thành.
Ø Tạo rule cấm hoặc cho phép các máy client Ping ra Internet:
Sở dĩ cần thực hiện vấn đề này là vì khi các máy client Ping ra ngoài Internet không kiểm soát được sẽ ảnh hưởng đến tốc độ và băng thông đường truyền trong hệ thống mạng hiện tại và nhiều nguy cơ mạng bên ngoài quét được địa chỉ IP. Vì vậy, phải tạo rule cấm các máy client Ping ra ngoài Internet chỉ cho phép Ping khi cần thiết.
v Thực hiện:
Trong hình sau, kích chuột phải vào Firewall Policy\ New\ Access rule.
Nhập tên Access rule trong bảng Welcome to the New Access Rule Wizard và nhấn Next.
Nếu cho phép các máy con Ping ra Internet chọn Allow, ngược lại chọn Deny và nhấn Next.
Trong bảng Protocols chọn Selected protocols, nhấn nút Add. Giao thức chọn là các mục sau: ICMP Information Request, ICMP Timestamp, PING và sau đó nhấn Next để tiếp tục.
Trong bảng Access Rule Source, nhấn nút Add để chọn nguồn là Internal và tiếp tục nhấn Next.
Và trong bảng Access Rule Destinations cũng nhấn nút Add và chọn đích là External. Có nghĩa là các máy con trong hệ thống mạng nội bộ là Internal (nguồn) Ping ra ngoài Internet là External (đích). Nhấn Next để tiếp tục.
Cấp quyền truy cập cho All Users tại User Sets và nhấn Next\ Finish để kết thúc.
Để thực thi công việc vừa thực hiện nhấn Apply\ Refresh.
Ø Cấm không cho máy truy cập vào các trang Web xấu. Khi truy cập vào các trang này thì sẽ tự động chuyển hướng sang
Không cho truy cập vào các trang web đồi trụy có nội dung xấu tránh hệ thống mạng nội bộ nhiễm vius, tránh được việc máy tính mất sự kiểm soát. Khi vào các trang này thì hệ thống sẽ tự động chuyển sang trang
v Thực hiện:
Trước hết, tạo URL Sets là địa chỉ của những trang web cấm. Trên thẻ Toolbox\ Network Objects\ kích chuột phải URL Sets\ New URL Set.
Nhập tên vào trường Name, sau đó nhấn vào nút Add để các các địa chỉ trang web cấm vào. Ở đây, chúng tôi chỉ tượng trưng một vài trang web xấu. Nhấn Apply\ OK.
Tạo Access rule để thực thi công việc vừa tạo, kích chuột phải vào Firewall Policy\ New\ Access rule. Nhập tên rule vào trường Access Rule name và nhấn Next.
Trong Rule Action, chọn Deny để cấm truy cập các trang web vừa tạo. Nhấn Next để tiếp tục.
Trong Protocols, kích chọn Selects protocols sau đó nhấn nút Add. Sau khi nhấn nút Add sẽ xuất hiện một hộp thoại, ta kích chọn các mục: HTTP, HTTPS, HTTPS Server rồi nhấn Next.
Tại bảng Access Rule Source, nhấn nút Add để chọn nguồn là Internal rồi nhấn Next.
Trong bảng này, chọn đích là truy cập ra ngoài Internet các trang web cấm. Sau đó nhấn Next.
Quyền truy cập cho All Users trong User Sets và nhấn Next\ Finish hoàn thành.
Nhấn Apply\ Refresh để thực hiện công việc.
Tiếp theo, cấu hình khi các máy client truy cập vào các trang web trên thì sẽ tự động chuyển sang trang
Kích chuột phải vào Rule vừa tạo có tên là trang web cấm chọn Properties.
Trong bảng này, tại thẻ Action\ Deny\ Redirect HTTP requets to this Web page nhập tên trang web cần chuyển hướng đến và nhấn OK.
Khi thực hiện xong nhấn Apply\ Refresh để hoàn thành.
Ø Lập thời gian biểu truy cập cho các máy trạm đi ra ngoài Internet:
Trong thời gian giải lao và ngày nghỉ mọi người có thể truy cập internet để giải trí vì vậy sẽ không cấm vào thời gian. Ngoài ra, còn đảm bảo cho tốc độ truyền Internet được nhanh hơn để sử dụng cho các công việc cần thiết khác trong giờ làm việc.
v Thực hiện:
Tạo thời gian quy định ngoài giờ hành chính. Trên Toolbox\ chọn thanh Schedules\ New. Xuất hiện hộp thoại, nhập tên vào trường Name và quy định thời gian như hình sau:
Sau khi quy định thời gian xong, nhấn OK để thực hiện công việc vừa tạo.
Tiếp theo, tạo Access rule: Kích chuột phải vào Firewall Policy\ New\ Access rule\ nhập tên vào trường Access rule name và nhấn Next.
Trong hộp thoại Rule Action chọn Allow để cho phép và nhấn Next.
Chọn Select protocols và nhấn Add trong cửa sổ Protocols. Chọn các mục sau: HTTP, HTTPS, HTTPS Server và nhấn Next để tiếp tục.
Trong cửa sổ Access rule Sources, nhấn Add và chọn mục Internal, nhấn Next.
Tại cửa sổ Access rule Destinations, nhấn Add và chọn External rồi nhấn Next.
Để quyền truy cập cho All Users và nhấn Next\ Finish để kết thúc.
Kích chuột phải vào Access rule vừa tạo, chọn Properties\ Schedule\ tại trường Schedule chọn tên Schedule là “Gio giai lao”.
Muốn công việc vừa tạo được thực thi nhấn Apply\ OK\ Refresh.
Ø Lập lịch biểu cấp quyền cho user được vào Internet không giới hạn:
Trong hệ thống mạng, các User có quyền truy cập Internet khác nhau. Tùy thuộc vào nhu cầu truy cập Internet của các tài khoản trong hệ thống mạng nội bô mà chúng ta lập lịch cho phép hoặc không cho phép được dùng Internet.
v Thực hiện:
- Tạo nhóm User để cấp quyền :
Trên thẻ Toolbox\ Users\ New\ nhập tên nhóm vào trường User set name\ nhấn Next.
Trong bảng Users, nhấn Add\ Windows User and Group.
Nhập tên User trong phân quyền của Giám đốc trong trường Enter the object names to select\ Check Names để kiểm tra tên User rồi nhấn OK.
Sau khi nhập tên User có bảng sau, nhấn Next\ Finish để kết thúc.
- Tạo Access rule cấp quyền cho Giám đốc:
Kích chuột phải vào Firewall Policy\ New\ Access Rule\ nhập tên rule rồi nhấn Next để tiếp tục.
Tiếp theo, tại cửa sổ Rule Action chọn Allow, nhấn Next.
Trong cửa sổ Protocols, tại trường This rule applies to chọn All outbound traffic rồi sau đó nhấn Next.
Tại bảng Access rule Sources, nhấn Add chọn điểm nguồn là từ Internal trong mạng nội bộ và nhấn Next.
Trong bảng Access Rule Destinations, nhấn Add và chọn External là đích từ mạng nội bộ đến Internet, nhấn Next.
Tiếp theo đến cửa sổ User sets, cấp quyền cho nhóm Giám đốc bằng cách vào Add và sau đó nhấn Next\ Finish\ Apply\ Refresh để hoàn thành.
Ø Cấm không cho các máy chat Yahoo Messenger, gởi và nhận Mail:
Cấm không cho chat YM, gởi và nhận mail nhằm tăng hiệu quả công việc, tránh lơ là công việc trong giờ hành chính.
v Thực hiện:
- Cấm không cho các máy chat Yahoo Messenger:
Kích chuột phải vào tên rule Truy cập web chọn Configure HTTP.
Xuất hiện hộp thoại, tại thẻ Signatures chọn Add.
Trong bảng Signatures, tại trường name nhập tên tượng trưng vào. Kích chọn Request headers tại trường Seach in. Nhập host vào HTTP header. Còn tại trường Signatures nhập địa chỉ truy cập là msg.yahoo.com. Nhấn OK để kết thúc.
- Cấm gởi và nhận Mail thông qua giao thức POST:
Kích chuột phải vào tên rule Truy cập web chọn Configure HTTP. Trong thẻ Methods, kích chọn Block specified methods (allow all others) tại trường Specify the action taken for HTTP methods. Sau đó nhấn Add để tiếp tục.
Nhập tên POST vào trường Method rồi nhấn OK.
Ø Cấm download các file: *.exe, *.flv, *.mp4, *.mp3:
Cấm download các file có đuôi mở rộng ở trên nhằm mục đích là tránh được sự tấn công ở ngoài vào như các virut giả mạo giống phần mở rộng: New Folder.exe, autorun.exe, hay.exe,… Làm tăng tốc độ và băng thông đường truyền.
v Thực hiện:
Kích chuột phải vào tên rule Truy cập web chọn Configure HTTP. Tại thẻ Extension, nhập phần mở rộng tại trường Extension: .exe rồi nhấn OK.
Tương tự, ta cũng nhập các đuôi mở rộng khác như: . flv, .mp4, .mp3. Sau đó nhấn OK\ Apply\ Refresh để hoàn thành.
b. Cấu hình Intrusion Detection nhận biết và ngăn chặn tấn công từ bên ngoài vào Internet:
Hiện nay, có nhiều dạng tấn công từ bên ngoài vào bên trong hệ thống mạng như các virut phá hoại máy tính phần mềm, hacker đánh cắp tài liệu mật, cấu hình Intrusion Detection sẽ giúp cơ quan ngăn chặn được những nguy cơ tấn công đó.
v Thực hiện:
- Enable Intrusion Detection:
Chọn General vào Enable intrusion detection and DNS attack detection.
Chọn Port scan tại thẻ common attacks.
- Thiết lập Action:
Chọn monitoring\ Configure alert definitions.
Tìm Intrusion Detection, chọn Edit.
Viết địa chỉ IP máy server, địa chỉ nhận thông báo như hình:
Nhấn OK\ Apply\ OK\ Refresh để kết thúc.
c. Theo dõi sự hoạt động của các trang Web:
Mục đích của công việc này là muốn biết trang web có hoạt động ổn định hay không mà không cần phải vào Internet để kiểm tra. Tiết kiệm được thời gian, công sức mà hiệu quả công việc vẫn cao.
v Thực hiện:
Trên Monitoring\ Connectivity Verifiers\ Create New Connectivity Verifier như trong hình sau:
Trong cửa sổ Welcome to the New Connectivity Verifier Wizard, nhập tên tại trường Connectivity Verifier name và nhấn Next.
Nhập điạ chỉ trang web cần theo dõi tại trường Monitor connectivity to this server or URL, chọn Web (Internet) tại Group type used to categorize this connectivity verifier và nhấn Next\ Finish\ Apply\ OK\ Refresh để hoàn thành.
Khi thực hiện xong, muốn kiểm tra vào Monitoring\ Connectivity Verifiers để xem như hình sau:
d. Quản lý băng thông bằng ISA Server 2006:
Các máy client trong hệ thống ra ngoài Internet không có sự kiểm soát làm ảnh hưởng đến tốc độ đường truyền của Trung tâm. Vì vậy, mục đích đặt ra là phải giới hạn băng thông (Bandwidth) hay dung lượng truy cập của máy khách, kiểm soát luồng dữ liệu ra, vào hệ thống trong hệ thống mạng nội bộ của Trung tâm, phân quyền cho từng người với từng băng thông khác nhau. Và ISA Server 2006 có thể đáp ứng được nhu cầu đó.
v Thực hiện:
- Quá trình cài đặt Bandwidth Splitter:
Chạy file setup của phần mềm hỗ trợ trong ISA 2006 là Bandwidth Splitter.
Trong bảng Welcome to the Bandwidth Splitter Setup Wizard, nhấn Next để cài đặt.
Chọn I accept the egreement và nhấn Next để đồng ý bảng quyền.
Nhấn Next để tiếp tục cài đặt.
Nhấn Install để cài đặt. Đợi hệ thống thực hiện cài đặt rồi nhấn Finish để hoàn thành.
- Cấu hình quản lý băng thông:
Sau khi cài xong, mở ISA Server 2006 ra sẽ có thêm một cột chức năng mới đó là Bandwidth Splitter.
Để giới hạn băng thông, tạo thêm một rule mới trong Shaping Rule. Kích chuột phải vào Shaping Rule\ New\ Rule…
Nhấn Next sau khi nhập tên vào trường Shaping rule name.
Trong cửa sổ Applies To, chọn quản lý theo User (nếu muốn quản lý theo User), tạo một nhóm User trước trong phần Toolbox trong ISA. Nhóm User này có thể là User của Domain, hoặc User ở ngay máy hiện tại. Ở đây để dễ dàng, quản lý theo địa chỉ IP. Vì vậy, chọn IP Address sets specified below và Add vùng mạng hay địa chỉ mạng cần quản lý vào. Ở đây quản lý mạng nội bộ Internal và bấm Next.
Trong cửa sổ Destinations, chọn Add và chọn External, nhấn Close\ Next.
Ở cửa sổ này, chọn thời gian cụ thể sẽ thiết lập để quản lý băng thông của mạng. Hiện tại ISA đã thiết lập sẵn ba chế độ là Always, Weekends và Work hours. Chọn Always và nhấn Next.
Trong cửa sổ Shaping, chọn:
- Shape total traffic (incoming + outgoing): cho phép băng thông tổng số download và upload.
- Shape incoming and outgoing traffic: quản lý tốc độ download và upload riêng biệt.
- Shape incoming traffic only: chỉ quản lý tốc độ download.
- Shape outgoing traffic only:chỉ quản lý tốc độ upload.
Nhấn Next để tiếp tục.
Tại cửa sổ Shaping Type, nếu chọn:
- Assign bandwidth individually to each applicable users/addresses: thiết lập quản lý băng thông áp dụng cho từng máy.
- Distribute bandwidth between all applicable users/addresses: tổng băng thông thiết lập ở trên sẽ được chia cho các máy trạm, nếu máy nào dùng nhiều thì máy khác sẽ truy cập Internet chậm. Ở đây, thêm một lựa chọn khác: Static bandwidth distribution là chia đều tốc độ download. Nhấn Next để tiếp tục.
Extra parameters cho phép thiết lập rule trên trong trường hợp nếu máy khách thiết lập đã vượt quá số MB download, upload hoặc không áp dụng để tính traffic.
Nhấn Next\ Finish\ Apply\ Refresh để kết thúc.
e. Tạo Report thống kê, báo cáo về các giao dịch thông qua ISA Server 2006:
Tạo báo cáo để thống kê các giao dịch mà các máy trong mạng đã thực hiện.
Để thực hiện, chọn Monitoring\ Tab Reports\ kích vào Generate a New Report như giao diện sau:
Nhập tên Report vào trường Report name và nhấn Next.
Tiếp theo, nhấn Next cho đến khi kết thúc.
Để công việc được thực hiện, nhấn Apply\ OK\ Refresh.
Muốn xem báo cáo, vào Monitoring\ Tab Report\ kích chuột phải vào tên báo cáo chọn View.
f. Tạo và mở file Backup ISA Server 2006:
ISA Server 2006 sử dụng VSS (Volum Shadow Copy Service) để tạo file backup để lưu lại những cấu hình đã được cài đặt. Nói cách khác, là một tập tin dự trữ để khi gặp trường hợp cấu hình bị lỗi muốn quay về thời điểm trước thì Restore file backup đã được tạo.
v Thực hiện:
- Tạo file backup:
Kích chuột phải vào tên máy Server\ chọn Export (back up) để tạo file.
Xuất hiện hộp thoại sau, nhấn Next để tiếp tục.
Trong bảng Export File Location, nhấn nút Browse để tìm đường dẫn lưu file và đặt tên file sau đó nhấn Next để tiếp tục. Đợi hệ thống thực hiện và nhấn OK\ Apply\ Refresh để kết thúc.
- Mở file backup:
Kích chuột phải vào tên máy Server\ chọn Import (restore) để mở file đó ra khi cần thiết.
Kích nút Browse để tìm đường dẫn lưu file và nhấn Next.
Tại bảng Import Action, chọn Overwrite (restore) rồi nhấn Next\ Next\ OK\ Apply\ Refresh để hoàn thành.
g. Cấu hình VPN Client to site cho ISA 2006:
Trong cơ quan đôi khi nhân viên phải đi công tác xa mà không thể về cơ quan. Nhiều lúc cần trao đổi thông tin với các đồng nghiệp hay lấy tài liệu gì đó ở cơ quan thì gặp phải khó khăn vì không gia nhập được mạng nội bộ. Cấu hình VPN client to site sẽ giúp nhân viên gia nhập vào mạng LAN một cách dễ dàng thông qua mạng Internet sẵn có.
v Thực hiện:
Để làm được việc này ta sẽ tạo ra những user của nhân viên và đưa họ vào nhóm VPN-Group.
Để user có thể truy cập từ bên ngoài vào thì ta cần cấp quyền cho nó bằng cách kích chuột phải vào tên user chọn Properties, chuyển qua tab Dial-in. Trong phần Remote Access Permission ta chọn Allow Access.
Nhấn OK để kết thúc.
Trước khi bật được VPN server ở ISA khai báo mảng địa chỉ IP sẽ cấp cho các Client khi thực hiện kết nối vào. Vào Virtual Private Networks (VPN) chọn Define Address Asignment.
Nhấn Add và khai báo mảng IP sẽ cho kết nối VPN. Nhấn OK để kết thúc.
Chọn Configure VPN Client Access. Trong tab General phần Maximun number of VPN clients allowed chỉnh lại số kết nối được cho phép.
Chuyển qua tab Groups. Đây là phần xác định những máy được phép VPN vào server. Trong trường hợp này add vpn-group vào.
Nhấn OK để kết thúc.
Trong màn hình VPN Properties, chuyển qua tab Access Networks, chọn External.
Nhấn OK để kết thúc.
Bật VPN server ở ISA: Vào Virtual Private Networks (VPN) chọn Enable VPN Client Access.
Tạo Rule cho phép liên lạc chạy giữa 2 đường mạng Internal và VPN Client. Vào Firewall Policy Click Create Acces Rule để tạo một Access Rule mới. Khai báo các thông số cho Access Rule vừa tạo:
+ Access Rule Name: VPN Client to Site
+ Rule Action: Allow
+ Protocols: All outbound traffic
+ Access Rule Sources: VPN Client, Internal
+ Access Rule Destinations: VPN Client, Internal.
+ User Sets: All Users.
- Để gia nhập được VPN thì cấu hình ở máy client như sau:
Vào Network Connection, nhấn Create New Connection. Trong phần Network Connection Type, chọn Connect to the network at my workplace.
Nhấn Next để tiếp tục, chọn Virtual Private Network connection.
Nhấn Next để tiếp tục. Trong phần Company name, điền vào tên công ty.
Nhấn Next để tiếp tục . Trong phần VPN Server Selection , nhập vào IP của VPN Server.
Nhấn Next để tiếp tục. Sau đó điền username và password để thực hiện kết nối.
Sau khi đã kết nối thành công, vào Command Prompt kiểm tra các kết nối.
2.3.2. Cài đặt các máy trạm tương ứng:
2.3.2.1. Cài đặt hệ điều hành cho máy trạm:
Các máy trạm chạy hệ diều hành Window XP (đã được cài đặt trong đĩa chương trình).
2.3.2.2. Gia nhập các máy trạm vào hệ thống:
Tại các máy trạm, để gia nhập vào Domain ta làm như sau:
Kích chuột phải vào My computer chọn Properties, tại thẻ Computer name kích chọn Change để thay đổi, tiếp theo kích chọn Domain tại Member of nhập tên Domain rồi nhấn OK.
Tiếp theo xuất hiện hộp thoại nhập tên Usesr và Password rồi nh
Các file đính kèm theo tài liệu này:
- xay_dung_quan_tri_he_thong_mang_lan_3527.doc