Upload
virusworm
View
253
Download
10
Embed Size (px)
DESCRIPTION
An ninh mang
Citation preview
M c L cu u
ContentsLời nói đầu.......................................................................................................................................1
I. Cơ sở hạ tầng và yêu cầu của công ty ABC.........................................................................4
1. Cơ sở hạ tầng:......................................................................................................................4
2. Cac yêu cầu vê hệ thống mạng:..........................................................................................6
II. Thiết kế hê thông mạng.........................................................................................................8
1. Mô hinh mạng logic:...........................................................................................................8
1.1. Toa nha chinh:.............................................................................................................8
1.2. Chi nhanh 1:...............................................................................................................10
1.3. Chi nhanh 2 :..............................................................................................................11
2. Ly do chon mô hinh mạng:...............................................................................................12
3. Sơ đô vật ly:........................................................................................................................13
3.1. Toa nha chinh:...........................................................................................................13
3.2. Chi nhanh 1:...............................................................................................................17
3.3. Chi nhanh 2:...............................................................................................................21
II.3 Quy hoạch địa chỉ IP cho hệ thống mạng và thiết bị.........................................................30
Toa nha trung tâm.........................................................................................................33
Chi nhanh 1 – quy hoạch địa chỉ IP.............................................................................37
Chi nhanh 2:..................................................................................................................40
III. CAC DICH VU HÊ THÔNG...........................................................................................44
1. Dịch vụ kết nôi Internet và kết nôi giữa tòa nhà chính với các chi nhánh..................44
2. Hê Thông Firewall:...........................................................................................................50
3. Hê Thông dư phòng:.........................................................................................................57
4. Hê Thông VoIP:................................................................................................................61
5. Dịch vụ web và email :......................................................................................................65
6. Dịch vụ máy chấm công vân tay......................................................................................65
IV. Chi phí toàn hê thông :.....................................................................................................66
1
V. Tổng kết................................................................................................................................72
Điểm mạnh :....................................................................................................................72
Điểm yếu – nguyên nhân và so sánh...............................................................................72
Lời khuyên :....................................................................................................................74
VI. Tài liêu tham khảo............................................................................................................75
2
I. Cơ sở hạ tầng và yêu cầu của công ty ABC
1. Cơ sở hạ tầng:
Trụ sở chính : Tòa nhà 3 lầu với diện tích mặt sàn 2400m2(60x40) , đặt ở Quận Thanh
Khê
Chi nhánh 1: Gồm một tòa nhà 2 lầu và 1 tầng hầm, với diện tích mặt sàn
600m2(30x20), đặt ở Quận Liên Chiểu
o Chi nhánh 2: Tòa nhà 4 lầu , diện tích mặt sàn 4000m2 . Đặt Quận Ngũ Hành
Sơn
o Cơ sở vật chât đa có săn cua trụ sở chính:
H1.2. Mô hinh mạng săn co cua công ty ABC
3
Thiết bị có săn ở Trụ sở chính :
Tên thiết bị Hang sản xuât Số lượng
PC PV-D5701 20
Màn hình LCD SAMSUNG E1920NX Wide 20
máy in laser trắng đen HP LaserJet P1102 5
SW 24 port l2 Switch Cisco WS-CE500-24TT 2
DataBase Server IBM® System® x3550M3 (7944 - A2A) 1
Firewall ISA 1
Chi nhánh 1 và chi nhánh 2 vừa được xây dưng mới hoàn toàn .
2. Cac yêu cầu vê hệ thống mạng:
H1.3. Cac yêu câu cua hê thông mang
4
Hệ thống máy chu mạnh , hoạt động 24/24, đảm bảo yêu cầu truy cập từ mọi trụ
sở và chi nhánh vào mọi thời điểm. Thời gian phản hồi các yêu cầu đáp ứng thời
gian thực.
Hệ thống châm công bằng cách quét vân tay cho nhân viện trên trụ sở chính và
chi nhánh trong vòng 15 phút.
Hệ thống mạng phải được bảo mật, các hệ thống ngoài mạng không nhìn thây mô
hình mạng bên trong cũng như các thiết bị.
Hệ thống trang web để quảng bá sản phẩm , hệ thống thư điện tử.
Hệ thống Voip
II. Thiết kế hê thông mạng
1. Mô hinh mạng logic:
1.1. Toa nha chinh:
5
H2.1 Mô hình logic tòa nhà chính
Mô hình mạng toàn nhà chính gồm các thiết bị chính được tập trung ở phòng
server và IT. Ngoài ra để đảm bảo mức tín hiệu giưa các thiết bị có khoảng cách hơn
100m, ta dung các switch 24 và 48 port ở các tầng.
Switch ở các tầng lầu có port Uplink có tốc độ 1000MB/s dung để nối với switch
trung tâm để đảm bảo tốc độ truyên dư liệu.
Mô hình mạng toàn nhà bao gồm:
6
Router: Hệ thống bao gồm 2 router, 1 kết nối mạng WAN và 1 Router kết nối tới
2 chi nhánh .
Hệ thống các máy chu được đặt tại phòng server có máy lạnh và hệ thống dự
phòng UPS, máy chu Database câu hình mạnh để đáp ứng nhu cầu xử ly và đồng
bộ dư liệu từ chi nhánh. Database được bảo vệ bằng Server Backup.
Hệ thống Firewall: Firewall gate là sự kết hợp cua phần mêm bảo mật chuyên
dụng cua hang checkpoint VPN-1 UTM chạy trên phần cứng chuyên dụng
crossbeam 6, IPS để bảo vệ vung CSDL : database server, App server , DHCP
server … Web firewall để bảo vệ vung DMZ (chứa web và mail server) và hệ
thống Scan virus chuyên dụng cua hang Trend Micro đặt trước Firewall gateway.
1.2. Chi nhanh 1:
Vì chi nhánh 1 khá nho nên ko có hệ thống Server riêng, database se được truy cập từ chi
nhánh chính.
7
H2.2. Mô hình logic chi nhanh 1
Mô hình mạng bao gồm:
Các thiết bị được lắp đặt tập trung tại phòng server như chi nhánh chính
Router: 1 Router kết nối chi nhánh chính và truy cập WAN
Firewall: Firewall gate cho toàn bộ hệ thống
1.3. Chi nhanh 2 :
Tập trung số lượng lớn nhân viên cua công ty ABC
8
H2.3. Mô hình logic chi nhanh 2
Mô hình mạng bao gồm:
Các thiết bị được lắp đặt tập trung tại phòng server như chi nhánh chính
Router: 1 Router kết nối chi nhánh chính và truy cập WAN
Firewall: Firewall gate là sự kết hợp cua phần mêm VPN-1 UTM cua hang
checkpoint chạy trên phần cứng chuyên dụng crossbeam C6 – hệ thống IPS cho
Web, Mail Server.
9
2. Ly do chon mô hinh mạng:
Với mô hình mạng trên se đảm bảo được các yêu cầu vê tốc độ xử ly, an toàn
thông tin và bảo mật dư liệu cho web, mail, server farm.
Chúng tôi chọn mô hình trên theo hướng mở rộng các dịch vụ cho tương lai, mô
hình trên săn sàng đáp ứng các nhu cầu vê thêm các thiết bị như PC, IP Phone,
Print một cách dê dàng.
Hệ thống web có thể dung để mua hàng và thanh toán trực tiếp một cách an toàn.
Hệ thống IPX riêng biệt có thê dê dàng mở rộng các dịch vụ video conferencing
dê dàng – Với đường line riêng nên mạng Lan trong công ty được bảo vệ khoi các
cuộc tân công từ PSTN
Các tòa nhà đêu có hệ thống máy chu cơ sở dư liệu riêng,nhằm giảm tải cho máy
chu CSDL ở tòa trung tâm. hệ thống CSDL ở 2 chi nhánh se được truyên vê máy
chu CSDL ở tòa nhà chính vào thời gian định săn để quản ly tập trung và backup
kịp thời.
3. Sơ đô vật ly:
3.1. Toa nha chinh:
Trụ sở chính diện tích 2400 m2 - 132 nhân viên gồm nhân viên các phòng – Giám Đốc –
Phó Giám Đốc
10
H2.4 Sơ đô vật ly – Trụ sở chinh – lầu 1
Trụ sở chính – lầu 1:
Quầy tiếp tân: 2PC – 1 IP Phone
Phòng thu ngân: 5 PC – 2 Print – 2 POS – 1 IP Phone
Phòng giao hàng: 1 PC – 1 IP Phone
11
H2.5 Sơ đô vật ly – Trụ sở chinh – lầu 2
o Tòa nhà chính - Tầng 2:
Kho hàng: 2 PC – 2 IP Phone – 2 Print
Nhận lắp đặt: 2 PC – 2 IP Phone
Bảo hành: 5 PC – 5 IP Phone – 2 Print
12
H2.6 Sơ đô vật ly – Trụ sở chinh – lầu 3
H2.7 Sơ đô vật ly – Trụ sở chinh – lầu 1 – phong server
13
Tòa nhà chính - Tầng 3:
Phòng Giám Đốc: 1 PC – 1 IP Phone
Phòng Phó Giám Đốc: 1 PC – 1 IP Phone
Phòng Thư Ky: 2 PC – 2 IP Phone – 2 Print
Phòng Nghiên Cứu Thị Trường: 5 PC – 2 IP Phone – 2 Print
Phòng Kinh Doanh: 6 PC – 6 IP Phone – 1 Print
Phòng Kế Toán Tài Chính: 5 PC – 5 IP Phone – 1 Print
Phòng Nhân Sự: 5 PC – 3 IP Phone – 1 Print
Phòng IT: 5 PC – 1 IP Phone – 1 Print
Phòng Họp + Phòng Nghỉ: 2 Acess point
14
3.2. Chi nhanh 1:
Chi nhánh 1 diện tích 600 m2 (30x20)
H2.7 Sơ đô vật ly – Chi nhanh 1 – lầu 1
15
CN1 - Tầng hầm:
Kho Hàng: 2PC – 1 IP Phone – 1 Print
H2.8 Sơ đô vật ly – chi nhanh 1 – lầu 2
16
CN1 - Tầng 1:
Bộ phận lắp đặt: 16 PC – 16 IP Phone – 3 Print
Phòng bảo hành: 4 PC – 1 IP Phone
Phòng kế toán: 8 PC – 8 IP Phone – 4 Print
1 Finger divice – 1 máy POS
H2.9 Sơ đô vật ly – chi nhanh 1 – lầu 3
17
CN1 - Tầng 2:
Phòng tiếp thị và hoặch định chiến lược: 12 PC – 12 IP Phone – 2 Print
Phòng tài chính kế toán: 14 PC – 14 IP Phone – 2 Print
Phòng tiếp tân: 1 PC – 1 IP Phone
Phòng Giám Đốc: 2 PC – 2 IP Phone – 1 Print
Phòng Nhân Sự: 11 PC – 11 IP Phone – 2 Print
Phòng IT: 6 PC – 6 IP Phone
Phòng Họp: 1 Access Point
3.3. Chi nhanh 2:
Chi nhánh 2 với diện tích 4000 M2, nhưng diện tích mặt sàn xây dựng là 3000m2(60x50) .
Chi nhánh 2 có 229 người bao gồm quản ly – nhân viên – bảo vệ - lao công.
18
H2.10 Sơ đô vật ly – chi nhanh 2 – lầu 1
CN2 - Lầu 1 :
Bộ phận thu ngân gồm 6 PC + 2 máy in + 1 máy quét thẻ .
Bộ phận giao hàng gồm 2 PC + 1 máy tin
Bộ phận kho-lầu 1 gồm 1 PC + 1 máy tin.
Quầy tiếp tân 1 PC.
Ngoài ra, còn nối tới 2 máy quét vân tay và 2 máy quét thẻ
-
19
H 2.11 – Thiết bị CN2-lầu 1
H2.12 Sơ đô vật ly – chi nhanh 2 – lầu 2
CN2 – lầu 2 : gồm :
Thu Ngân : 6 người
Giao hàng : 10 người
Quản kho : 5 người
Nhân viên tư vân : 30 người
20
Lắp đặt , bảo trì: 20
Chi tiết thiết kế :
CN2- lầu 2 gồm 1 switch 48 port + patch panel 48 port, được dẫn tới các PC và máy in
tới tât cả các phòng ban ở lầu 2.
H2.13 – Chi tiết thiết bị CN2- lầu 2
CN2-lầu2 gôm cac thiết bị:
Bộ phận thu ngân gồm 6 PC + 2 máy in + 2 máy quét thẻ.
Giao hàng gồm 2 pc và 1 máy in.
Bộ phần lắp đặt-bảo trì gồm 20 PC và 2 máy in.
Switch được nối lên switch trung tâm bằng port uplink 1000Mb/s.
21
Cn2 - Lầu 3 :
H2.14 Sơ đô vật ly – chi nhanh 2 – lầu 3
CN2 – lầu 3 : Số lượng nhân viên lầu 2 gồm 56 người được phân bố như sau :
Thu Ngân : 6 người : 6 PC + 2 máy in .
Nhân viên tư vân : 30 người : 20 PC + 2 máy tin.
22
Bảo hành : 18 người : 18 PC + 2 máy tin.
Tiếp viên phòng bảo hành: 2
1 switch 48 port dẫn dây âm tường đi đến các PC các phòng, quầy .
Kết nối lên switch trung tâm ở lầu 4 bằng port uplink.
CN2 - Lầu 4 :
H2.15 Sơ đô vật ly – chi nhanh 2 – lầu 4
23
Đây là lầu đặt hệ thống máy chu, các switch cua các lầu se được dẫn lên tầng 4 này .
CN2 – lầu 4 gồm : phòng giám đốc chi nhánh , phòng kế toán, phòng quản ly nhân sự,
phòng server , thư viện, hội trường .
CN2 – lầu 4 có 49 người được phân bố :
Giám đốc : 1
Thư ky: 1
Kế toán : 15
Nhân Sự: 18
IT : 8
Quản thư : 6
Mô hình các thiết bị sử dụng :
H 2.16 : Chi tiết thiết bị CN2 – lầu 4
24
Phòng giám đốc 1 PC
Phòng Thư ky 1PC + 1 máy in
Phòng nhân sự 16 PC + 2 máy in
Phòng kế toán 15 PC + 2 máy in
Phòng IT 6 PC + 1 máy in
Phòng họp gồm 1 access point + 1 PC + 1 máy chiếu
Phòng giải trí + thư viện : 1 access point
Phòng server : 1 Database server + 1 DHCP server .
1 switch 48 port + 2 sw 24 port + 2 patch panel 48 port để kết nối tới các
phòng ban.
Switch trung tâm là 1 sw 24 port L3 có tốc độ xử ly cao và 1 sw dự phòng
được thiết kế theo mô hình phân câp .
Hệ thống firewall Check point và IPS
Một router để kết nối ra internet và kết nối tới chi nhánh trung tâm.
Giải thich vê sự chon loc cac thiết bị :
Sử dụng Access Point ở phòng họp và phòng thư viện tiện lợi cho việc sử dung laptop
kết nối internet và tài nguyên trong khi hội họp , và 1 access point trong phòng thư
viện để nhân viện sử dụng laptop vào giờ giải lao.
Đường kết nối từ các switch các lầu đến swich trung tâm đêu dung port uplink tốc độ
1000 mb/s, trong khi từ các switch đến các PC là tốc dộ 100MB/s nhắm đảm bảo tốc
độ truyên dư liệu và giải quyết vân đê tắt ngăn khi nhiêu luồng dư liệu up lên cung 1
lúc.
25
Hệ thống core gồm 1 sw L3 , ở đây chọn Cisco Switch WS-C3560G-24TS-S với
thong số Catalyst 3560 24 10/100/1000T + 4 SFP + IPB Image (24 port cua Sw L3
này đêu đạt đến tốc độ 1000mb/s), bên đó ta dung 1 Sw nưa thiết kế theo mô hình
phân câp nhắm dự phòng trường họp sw core gặp sự cố .
3. Quy hoạch địa chỉ IP cho hệ thống mạng và thiết bịMô hình chung :
H 2.17 Mô hinh chung quy định địa chi IP
26
Thiết bị Ký hiêu
Cổng IP Subnet mask Default gateway
Ghi chú
Router tòa nhà chính
R1 S0/0 192.168.200.1 255.255.255.252 N/A Kết nối với R2
R1 S0/1 192.168.200.5 255.255.255.252 N/A Kết nối với R3
R1 F0/0 192.168.1.1 255.255.255.0 Kết nối tới sw core bên trong mạng
Router CN1
R2 S0/1 192.168.200.6 255.255.255.252 N/A Kết nối với R1
R2 F0/0 192.168.10.1 255.255.255.0 N/A Kết nối tới sw core bên trong mạng
Router CN2
R3 S0/1 192.168.200.2 255.255.255.252 N/A Kết nối với R1
R3 F0/0 192.168.100.1 255.255.255.0 N/A Kết nối tới sw core bên trong mạng
Bảng 1 : Địa chỉ IP trên cac cổng router
27
Trụ sở chính :
IP Internet: 203.100.100.3 và 203.100.100.4
IP Web server: 203.100.100.1
IP Mail server: 203.100.100.2
Chi nhánh 1: IP Internet: 203.101.101.1 - 4
Chi nhánh 2: IP Internet: 203.102.102.1 - 4
Hê thông sử dụng VLAN để chia mạng .
Lợi ích của VLAN
Tiết kiệm băng thông cua hệ thống mạng:
Tăng khả năng bảo mật:
Dễ dang thêm hay bớt may tinh vao VLAN:
Giúp mạng co tinh linh động cao:
Hệ thống Vlan được biểu diên qua các bảng sau :
28
Tòa nhà trung tâm
STT VLAN Sô thiết bị cần cấp địa chỉ
MAX IP Dải địa chỉ (IP đầu/subnet Mask -> IP cuôi/subnet Mask)
1 Lắp đặt 13 30 192.168.1.0/27 à 192.168.1. 31/27
2 Thu ngân 7 30 192.168.1.32/27 à192.168.1.63/27
3 Nhân sự 7 14 192.168.1.64/28 à192.168.1.79 /28
4 Kế toán 7 14 192.168.1.80/28 à192.168.1.95 /28
5 Nghiên cứu 7 14 192.168.1.96/28 à192.168.1.111 /28
6 Server Farm 7 14 192.168.1.112/28 à192.168.1.127 /28
7 Giao hàng 2 14 192.168.1.128/28 à192.168.1.143 /28
8 Tiếp Tân 2 14 192.168.1.144/28 à192.168.1.159 /28
9 Kho hàng 4 14 192.168.1.160/28 à192.168.1.175 /28
10 Quét thẻ 2 6 192.168.1.176/28 à192.168.1.183 /28
11 Quét vân tay 2 6 192.168.1.184/28 à192.168.1.191 /28
12 Giám đốc 1 6 192.168.1.192/28 à192.168.1.199 /28
13 Phó giám đốc 1 6 192.168.1.200/28 à192.168.1.207 /28
14 DMZ 2 6 192.168.1.208/28 à192.168.1.215 /28
15 AP HỌP 1 6 192.168.1.216/28 à192.168.1.223 /28
16 AP Giải trí 1 6 192.168.1.224/29 à192.168.1.231 /29
17 IT 5 6 192.168.1.232/29 à192.168.1.239 /29
18 Thư ky 4 6 192.168.1.240/29 à192.168.1.247 /29
19 Router 1 1 2 192.168.1.248/30 à 192.168.1. 251/30
20 Router 2 1 2 192.168.1.252/30 à 192.168.1.255 /30
29
20 IP Phone 64 254 192.168.5.0/24 à 192.168.5.255 /24
Bảng thông tin chi tiết các thiết bị trên từng Vlan :
Viết tắt :
A : Vlan
B:Loai Thiết Bị
C: Tên thiết bị
D: Sô lượng
E: cổng giao tiếp
F: Địa chỉ IP /subnet Mask (dải địa chỉl à DHCP cấp )
G: default gateway
STT A B C D E F G
1 Lắp đặt PC PV-D5701 11 RJ45 192.168.1.2/27 à 192.168.1. 30/27
192.168.1.1
2 Lắpđặt Máy in HP LaserJet P1102
2 RJ45
3 Thu ngân PC PV-D5701 5 RJ45 192.168.1.34/27 à192.168.1.62/27
192.168.1.33
4 Thu ngân Máy in HP LaserJet P1102
2 RJ45
5 Nhân sự PC PV-D5701 6 RJ45 192.168.1.66/28 à192.168.1.78 /28
192.168.1.65
6 Nhân sự Máy in HP LaserJet P1102
1 RJ45
7 Kế toán PC PV-D5701 6 RJ45 192.168.1.82/28 192.168.1.81
30
à192.168.1.94 /28
8 Kế toán Máy in HP LaserJet P1102
1 RJ45
9 Nghiêncứu
PC PV-D5701 6 RJ45 192.168.1.98/28 à192.168.1.110/28
192.168.1.97
10 Nghiêncứu
Máy in HP LaserJet P1102
1 RJ45
11 Server Farm
Print Server
D-LINK DPR-1061
1 RJ45 192.168.1.114/28 192.168.1.113
12 Server Farm
DHCP server
IBM System X3500 M3 (7380 - 42A)
1 RJ45 192.168.1.115/28 192.168.1.113
13 Server Farm
DataBase Server
IBM® System® x3550M3 (7944 - A2A)
1 RJ45 192.168.1.116/28 192.168.1.113
14 Server Farm
Backup server
IBM System X3500 M3 (7380 - 42A)
1 RJ45 192.168.1.117/28 192.168.1.113
15 Giaohàng PC PV-D5701 1 RJ45 192.168.1.130/28 à192.168.1.142/28
192.168.1.129
16 TiếpTân pc PV-D5701 2 RJ45 192.168.1.146/28 à192.168.1.158/28
192.168.1.145
17 Khohàng PC PV-D5701 2 RJ45 192.168.1.162/28 à192.168.1.174/28
192.168.1.161
18 Khohàng Máy in HP LaserJet P1102
2 RJ45
19 Quétthẻ Quétthẻ LPV-VT6280 2 RJ45 192.168.1.178/28 à192.168.1.182/
192.168.1.177
31
28
20 Quétvântay
Quétvântay
TimeWORKS - Fingerprint Time
2 RJ45 192.168.1.186/28 à192.168.1.190/28
192.168.1.185
21 Giámđốc PC PV-D7502 1 RJ45 192.168.1.194/28 192.168.1.193
22 Phógiámđốc
PC PV-D7502 1 RJ45 192.168.1.202/28 192.168.1.201
23 DMZ Web server
IBM® System® x3550M3 (7944 - A2A)
1 RJ45 192.168.1.210/28 192.168.1.209
24 DMZ Mail server
IBM® System® x3550M3 (7944 - A2A)
1 RJ45 192.168.1.211/28 192.168.1.209
25 AP HỌP Access Point
LINKSYS WRT160N
1 RJ45 192.168.1.218/28 à192.168.1.222/28
192.168.1.217
26 AP Giảitrí Access Point
LINKSYS WRT160N
1 RJ45 192.168.1.226/29 à192.168.1.230/29
192.168.1.225
27 IT PC PV-D7502 4 RJ45 192.168.1.234/29 à192.168.1.238/29
192.168.1.233
28 IT Máy in HP LaserJet P1102
1 RJ45
29 Thưky GD+PGD
PC PV-D5701 2 RJ45 192.168.1.242/29 à192.168.1.246/29
192.168.1.241
30 Thưky GD+PGD
Máy in HP LaserJet P1102
2 RJ45
31 Router 1 Router CISCO2821 1 RJ45 192.168.1.249/30à 192.168.1. 250 /30
32
32 Router 2 Router CISCO2821 1 RJ45 192.168.1.253/30 à 192.168.1.254/30
33 IP Phone IP Phone Grandstream GXE5028 VoIP Phone System - GXE-5028
64 RJ45 192.168.5.2/24 à 192.168.5.254 /24
192.168.5.1
Bảng 3 – Toa trung tâm – chia IP cho từng thiết bị
Chi nhanh 1 – quy hoạch địa chỉ IP
STT VLAN Sô thiết bị cần cấp địa chỉ
Sô địa chỉ IP tôi đa có thể dử dụng
Dải địa chỉ (IP đầu/subnet Mask -> IP cuôi/subnet Mask)
1 IP Phone 63 126 192.168.10.0/25 à 192.168.10.127
2 Kê hóa đơn và thanh toán
12 30 192.168.10.128/27 à 192.168.10.159
3 Bảo trì, lắp đặt, bảo hành
13 30 192.168.10.160/27 à192.168. 10.191
4 Tiếp thị kinh doanh
14 30 192.168.10.192/27 à192.168.10.223
5 Kế toán tài chính
16 30 192.168.10.224/27 à192.168.10.255
6 Nhân sự 11 30 192.168.11.0/27 à192.168.11.31
7 IT 5 14 192.168.11.32/27 à192.168.11.47
8 Server Farm 3 14 192.168.11.48/28 à 192.168.11.63
9 Quản kho hàng
3 6 192.168.11.64/28 à192.168.11.71
10 Máy quét 1 6 192.168.11.72/28 à 192.168.11. 79
33
vân tay
11 Máy quét thẻ 1 6 192.168.11.80/28 à 192.168.11.87
12 Giám đốc 1 6 192.168.11.88/28 à192.168.11.95
13 Thư ky 2 6 192.168.11.96/28 à 192.168.11.103
14 Tiếp tân 1 6 192.168.11.104/28 à192.168. 11.111
15 Router 1 2 192.168.11.112/28 à 192.168.11.115
Bảng 4 : quy hoạch địa chỉ IP chi nhanh 1
Bảng thông tin chi tiết chia IP cho từng loại thiết bị trên từng VLan cụ thể :
STT A B C D E F G
1 IP Phone IP Phone Grandstream GXE5028 VoIP Phone System - GXE-5028
63 RJ45
192.168.10.2/25 à 192.168.10.126/25
192.168.10.1
2 Kêhóađơnvàthanhtoán
PC /máy in PV-D5701/
HP LaserJet P1102
12 RJ45
192.168.10.130/27 à 192.168.10.158
192.168.10.129
3 Bảotrì, lắpđặt, bảohành
PC /máy in PV-D5701/
HP LaserJet P1102
13 RJ45
192.168.10.162/27 à192.168. 10.190
192.168.10.161
4 Tiếpthịkinhdoanh
PC /máy in PV-D5701/
HP LaserJet P1102
14 RJ45
192.168.10.194/27 à192.168.10.222
192.168.10.193
5 Kếtoántàichính
PC /máy in PV-D5701/
HP LaserJet P1102
16 RJ45
192.168.10.226/27 à192.168.10.25
192.168.10.225
34
4
6 Nhânsự PC /máy in PV-D5701/
HP LaserJet P1102
11 RJ45
192.168.11.2/27 à192.168.11.30
192.168.11.1
7 IT PC /máy in PV-D5701/
HP LaserJet P1102
5 RJ45
192.168.11.34/27 à192.168.11.46
192.168.11.33
8 Server Farm
DHCP server
IBM System X3500 M3 (7380 - 42A)
1 RJ45
192.168.11.50/28
192.168.11.49
8 Server Farm
Print server D-LINK DPR-1061 1 RJ45
192.168.11.51/28
192.168.11.49
8 Server Farm
DataBase Server
IBM System X3500 M3 (7380 - 42A)
1 RJ45
192.168.11.52/28
192.168.11.49
9 Quảnkhohàng
PC /máy in PV-D5701/
HP LaserJet P1102
3 RJ45
192.168.11.66/28 à192.168.11.70
192.168.11.65
10 Máyquétvântay
Máyquétvântay
TimeWORKS - Fingerprint Time
1 RJ45
192.168.11.74/28
192.168.11.73
11 Máyquétthẻ
Máyquétthẻ LPV-VT6280 1 PS/2
192.168.11.82/28
192.168.11.81
12 Giámđốc PC PV-D7502 1 RJ45
192.168.11.90/28
192.168.11.89
13 Thưky PC /máy in PV-D5701/
HP LaserJet P1102
2 RJ45
192.168.11.98/28 à 192.168.11.102
192.168.11.97
14 Tiếptân pc PV-D5701 1 RJ45
192.168.11.106/28
192.168.11.105
15 Router Router CISCO2821 1 RJ45
192.168.11.113/30
Bảng 5 : CN1 – chia IP cho từng thiết bị
35
Chi nhánh 2:
STT tên phòng Sô thiết bị cần cấp địa chỉ
Sô địa chỉ IP tôi đa có thể dử dụng
Dãy địa chỉ IP
1 Lắp đặt 30 62 192.168.100.0/26 à 192.168.100.63
2 Thu ngân 24 62 192.168.100.64/26 à192.168.100.127
3 Bảo trì 22 62 192.168.100.128/26 à192.168.100.191
4 bảo hành 22 62 192.168.100.192/26 à192.168.100.255
5 nhân sư 20 30 192.168.101.0/27 à192.168.101.31
6 kế toán 17 30 192.168.101.32/27 à192.168.101.63
7 giao hàng 6 14 192.168.101.64/28 à192.168.101.79
8 kho 4 14 192.168.101.80/28 à192.168.101.95
9 tiếp tân 1 14 192.168.101.96/28 à192.168.101.111
10 relex 6 14 192.168.101.112/28 à192.168.101.127
11 IT 7 14 192.168.101.128/28 à192.168.101.143
12 quét thẻ 2 6 192.168.101.144/29 à192.168.101.151
13 vân tay 2 6 192.168.101.152/29 à 192.168.101.159
14 họp 2 6 192.168.101.160/29 à192.168.101.167
15 giám đốc 1 6 192.168.101.168/29 à192.168.101.175
16 TK GD 2 6 192.168.101.176/29 à192.168.101.183
17 PGD 1 6 192.168.101.184/29 à192.168.101.191
18 TK PGD 2 6 192.168.101.192/29 à192.168.101.199
19 server 2 6 192.168.101.200/29 à192.168.101.207
20 router 1 2 192.168.101.208/30 à192.168.101.211
36
21 IP Phone 51 254 192.168.500.0/24 à192.168.500.255
Bảng 6 : quy hoạch địa chỉ IP chi nhanh 2
CN2- Chi tiết chia IP trên từng thiết bị
STT A B C D E F G
1 Lắpđặt PC /máy in
PV-D5701/
HP LaserJet P1102
30 RJ45 192.168.100.2/26 à 192.168.100.62
192.168.100.1
2 Thu ngân
PC /máy in
PV-D5701/
HP LaserJet P1102
24 RJ45 192.168.100.66/26 à192.168.100.126
192.168.100.65
3 Bảotrì PC /máy in
PV-D5701/
HP LaserJet P1102
22 RJ45 192.168.100.130/26 à192.168.100.190
192.168.100.129
4 bảohành PC /máy in
PV-D5701/
HP LaserJet P1102
22 RJ45 192.168.100.194/26 à192.168.100.254
192.168.100.193
5 nhânsư PC /máy in
PV-D5701/
HP LaserJet P1102
20 RJ45 192.168.101.2/27 à192.168.101.30
192.168.101.1
6 kếtoán PC /máy in
PV-D5701/
HP LaserJet P1102
17 RJ45 192.168.101.34/27 à192.168.101.62
192.168.101.33
7 giaohàng PC /máy in
PV-D5701/
HP LaserJet P1102
6 RJ45 192.168.101.66/28 à192.168.101.78
192.168.101.65
8 kho PC /máy in
PV-D5701/
HP LaserJet
4 RJ45 192.168.101.80/28 à192.168.101.94
192.168.101.81
37
P1102
9 tiếptân PC PV-D5701 1 RJ45 192.168.101.98/28 à192.168.101.110
192.168.101.97
10 relex AP/PC
(1 -5)
LINKSYS WRT160N/
PV-D5701
6 RJ45 192.168.101.114/28 à192.168.101.126
192.168.101.113
11 IT PC /máy in
PV-D5701/
HP LaserJet P1102
7 RJ45 192.168.101.130/28 à192.168.101.142
192.168.101.129
12 quétthẻ quétthẻ LPV-VT6280 2 PS/2 192.168.101.146/29 à192.168.101.150
192.168.101.145
13 vântay vântay TimeWORKS - Fingerprint Time
2 RJ45 192.168.101.154/29 à 192.168.101.158
192.168.101.153
14 họp AP/PC
(1 -1)
LINKSYS WRT160N/
PV-D5701
2 RJ45 192.168.101.162/29 à192.168.101.166
192.168.101.161
15 giámđốc PC PV-D7502 1 RJ45 192.168.101.170/29 à192.168.101.174
192.168.101.169
16 TK GD PC /máy in
PV-D5701/
HP LaserJet P1102
2 RJ45 192.168.101.178/29 à192.168.101.182
192.168.101.177
17 PGD PC PV-D7502 1 RJ45 192.168.101.186/29 192.168.101.185
18 TK PGD PC /máy in
PV-D5701/
HP LaserJet P1102
2 RJ45 192.168.101.194/29 à192.168.101.198
192.168.101.193
19 server DataBase Server
IBM System X3500 M3 (7380 - 42A)
1 RJ45 192.168.101.202/29 192.168.101.201
38
19 server DHCP-File server
IBM System X3500 M3 (7380 - 42A)
1 RJ45 192.168.101.203/29 192.168.101.201
20 router router CISCO2821 1 RJ45 192.168.101.209/30
21 IP Phone IP Phone Grandstream GXE5028 VoIP Phone System - GXE-5028
51 RJ45 192.168.500.2/24 à192.168.500.254
192.168.500.1
Bảng 7 – CN2 – chia IP cho từng thiết bị
39
III. CAC DICH VU HÊ THÔNG
1. Dịch vụ kết nôi Internet và kết nôi giữa tòa nhà chính với
các chi nhánh
A . Internet :
H3.1 - Internet
Nhu cầu lắp đặt Internet
Ngày nay với sự bung nô mạnh me cua Internet đa làm cho nhu cầu sử dụng Internet ngày càng
tăng trong cộng đồng dân cư nói chung đặc biệt là trong các công ty nói riêng. Công việc hiện
đại ngày càng liên quan mật thiết đến mạng Internet : mail, web, hội nghị qua mạng, làm việc từ
xa …Chình vì vậy việc lắp đặt và sử dụng mạng Internet trong một công ty là hết sức quan trọng,
40
nó không nhưng phục vụ công việc hàng ngày mà còn thúc đẩy sự phát triển cua công ty ngày
càng hiện đại và chuyên nghiệp hơn.
Đối với một công ty bán hàng lớn và nhiêu chi nhánh như ABC việc kết nối internet rât quan
trọng trong hoạt động cua công ty cũng như sự phát triển và mở rộng sau này.
a. Lựa chọn nhà cung câp và gói cước
Nhà cung câp : Viettel Telecom.
Công ty ABC là một công ty chuyên vê mua bán sản phẩm điện tử ,chi nhánh chính có số
lượng nhân viên nhiêu nhât , hầu hết môi nhân viên đêu có máy tính (có nối mạng Internet)
nên chúng em chọn gói cước là FTTP Pro. Và, chúng em sử dụng gói cước FTTP Office cho
2 chi nhánh còn lại.
b. . Mạng WAN
H3.2 Mạng wan
41
Lựa chon dịch vụ MegaWan
Giới thiệu vê MegaWan:
MegaWAN là dịch vụ kết nối mạng máy tính tại nhiêu điểm cố định khác nhau trên diện rộng
cua các tô chức, doanh nghiệp. Đây là mạng riêng ảo kết nối mạng riêng nội hạt, liên tỉnh, quốc
tế để truyên số liệu, truyên dư liệu thông tin rât tiện lợi và đáng tin cậy cho doanh nghiệp trong
kinh doanh.
MegaWan rât cần thiết cho các tô chức, doanh nghiệp có nhiêu chi nhánh, nhiêu điểm giao dịch
cần phải kết nối truyên dư liệu như: Ngân hàng, Bảo hiểm, Hàng không, Cty chứng khoán ...
MegaWan kết nối các mạng máy tính trong nước và quốc tế bằng đường dây thuê bao SHDSL
(công nghệ đường dây thuê bao số đối xứng) hoặc ADSL (công nghệ đường dây thuê bao số bât
đối xứng) kết hợp với công nghệ MPLS/VPN.
MPLS là thuật ngư viết tắt cho Multi-Protocol Label Switching (chuyển mạch nhan đa giao
thức). Nguyên tắc cơ bản cua MPLS là thay đôi các thiết bị lớp 2 trong mạng như các thiết bị
chuyển mạch ATM thành các LSR (label-switching router-Bộ định tuyến c
huyển mạch nhan). LSR có thể được xem như một sự kết hợp giưa hệ thống chuyển mạch ATM
với các bộ định tuyến truyên thống.
chúng em lựa chon công ty điện toán và truyên số liệu VDC là nhà cung câp MegaWan. Nhưng
lợi ích mà VDC mang lại khi lắp đặt dịch vụ VPN/VNN (MPLS)
• Công nghệ tiên tiến
42
Công nghệ chuyển mạch nhan đa giao thức MPLS (Multi Protocol Label Switching) là công
nghệ mới nhât đang được ứng dụng tại đa số các quốc gia lớn ( Nhật, Mỹ, Singapore…)
• Chi phi đầu tư hiệu quả
- Tận dụng khả năng xử ly cua các thiết bị trong mạng core MPLS cua VDC. Giảm các chi
phí đầu tư thiết bị đắt tiên tại đầu khách hàng.
- Đáp ứng mô hình điểm – đa điểm, cho phép kết nối mạng riêng với chỉ 1 đường kênh vật ly
duy nhât.
- Chi phí sử dụng rẻ hơn tới 50% so với công nghệ truyên thống.
• Bảo mật an toan
- Bảo mật tuyệt đối trên mạng core MPLS cua VDC
- Bảo mật tối ưu trên kênh Leased Line riêng (local loop)
• Khả năng mở rộng đơn giản
- Khi có nhu cầu thiết lập thêm chi nhánh hoặc điểm giao dịch, khách hàng chỉ cần đăng ky
thêm điểm kết nối với VDC mà không cần bât cứ một đầu tư lại gì trên mạng hiện có.
- Mọi câu hình kết nối đêu thực hiện tại mạng core MPLS cua VDC, thành viên mạng không
cần bât kỳ một câu hình nào.
• Đơn giản hoa quản trị IT
- Với quá trình quản trị và thiết lập VPN tại mạng core MPLS cua VDC se giúp đơn giản hoá
tối đa công việc quản trị IT trong hoạt động cua doanh nghiệp.
43
- Nhận được nhiêu hô trợ từ nhà cung câp.
- Giảm các chi phí đầu tư thiết bị đắt tiên và phức tạp
• Tốc độ cao, đa ứng dụng va cam kết QoS
- VPN MPLS cho phép chuyển tải dư liệu lên với tốc độ Gbps qua hệ thống truyên dẫn cáp
quang.
- Không chỉ là Data, VPN MPLS tại VDC có thể triển khai đầy đu các ứng dụng vê thời gian
thực như VoIP, Video Conferencing với độ trê thâp nhât.
- Cung câp các khả năng cam kết tốc độ và băng thông tối thiểu (QoS)
• Độ tin cậy cua hạ tầng dịch vụ va công nghệ
- Hạ tầng mạng truyên số liệu được hậu thuẫn mạnh me bởi Tập đoàn Bưu chính Viên thông
Việt Nam (VNPT):
- Mạng trục truyên số liệu 3 x 7,5Gbps Bắc-Trung-Nam.
- Hạ tầng mạng lõi MPLS thiết lập bởi hệ thống thiết bị đồng bộ cua Cisco.
- Mạng kết nối n x 155Mbps khắp 64 tỉnh, thành.
- Kết nối trực tiếp bằng kênh riêng cáp ngầm.
- Hơn 1 Gbps kết nối NNI với các đối tác quốc tế lớn tại Hongkong, Singapore, Nhật Bản,
Mỹ.
Chi tiết : http://vdc.com.vn/services/4/6/2/32/index.htm#view
44
Hiện nay có rât nhiêu công ty cung câp kết nối MegaWan , tuy nhiên chúng em lựa chọn
VDC còn nhằm mục đích mở rộng ra thị trường quốc tế.
Ơ đây leased line không là lựa chọn hàng đầu cua công ty bởi nhiêu nguyên do sau :
Chi phí quá mắc
Phần dư liệu nhạy cảm khi khách hàng thanh toán bằng thẻ ngân hàng : có sự hô
trợ bảo mật tối ưu từ ngân hàng cung câp dịch vụ.
Dư liệu truyên đi không liên tục : chu yếu là dư liệu hàng hóa, có thể truyên theo
thời gian biểu đa lập săn.
Tính phô biến
Có cung câp kết nối internet
c. Dự phòng khi kết nối Internet và WAN
Kết nối Internet : sử dụng dịch vụ kết nối internet khi lắp đặt mạng WAN cua VDC
(VPN/VNN) để dự phòng .
Dự phòng VPN khi VPN/VNN bị hư : có hô trợ săn bởi thiết bị cua công ty .
45
Thiết bị an ninh tich hợp Crossbeam C6
2. Hê Thông Firewall:
Hệ thống Firewall gateway se kiểm soát luồng dư liệu đi qua bao gồm: Truy cập từ ngoài
Internet vào vung dịch vụ trực tuyến, người dung ở mạng LAN truy cập Internet qua đường
LeasedLine, ADSL hoặc Wireless, người dung ở mạng LAN truy cập vào vung Server ứng
dụng và cơ sở dư liệu. Firewall se kiểm soát, xác thực và ngăn chặn nhưng truy cập không
hợp lệ, nhưng tân công cua hacker từ ngoài Internet hoặc trực tiếp xuât phát từ bên trong
mạng vào các vung servers.
46
Với kinh nghiệm triển khai cua công ty Misoft, kết hợp với sự phát triển cua công nghệ,
chúng tôi đê xuât hệ thống Firewall se là sự kết hợp giưa Firewall VPN1- UTM cua hang
Check Point chạy trên phần cứng chuyên dụng cua hang Crossbeam System. Check Point
Firewall VPN1-UTM hội đu các yêu tố bảo vệ mạng bao gồm các tính năng Firewall,
AntiVirus, IPS và VPN server chỉ trong một sản phẩm. Check Point Firewall được cài trên
một cặp thiết bị an ninh tích hợp chuyên dụng cua hang Crossbeam System chạy clustering ở
chế độ HA (High availability) đảm bảo tính săn sàng cao và hiệu năng hoạt động cua toàn
mạng.
(http://www.pcworld.com.vn/articles/quan-ly/tu-van/2007/04/1190428/an-toan-thong-tin-cho-cong-ty-chung-khoan/ tham khảo ngày 20/04/2011)
Trong mô hình bảo mật, vung máy chu cơ sở dư liệu và máy chu ứng dụng là quan trọng
nhât trong hoạt động trao đôi thông tin cua công ty. Nếu một trong các máy chu này bị tân
công hoặc có sự cố, hoạt động kinh doanh cua các công ty se bị ảnh hưởng trực tiếp. Do vậy
bên cạnh hệ thống Firewall bảo vệ hạ tầng network cua công ty, nhât thiết cần trang bị bô
sung hệ thống phòng chống xâm nhập (IPS) để bảo vệ riêng cho vung các Server ứng dụng
này. Khác với Network Firewall, hệ thống IPS se phát hiện và ngăn chặn các xâm nhập ở
tầng ứng dụng, can thiệp trực tiếp vào các protocols, các traffice mà hệ thống Firewall không
phát hiện được. Hệ thống IPS được đặt trong vung mạng LAN, do vậy hệ thống phải đảm
bảo được tốc độ xử ly để không làm nghen luồng thông tin được trao đôi với mật độ cao tại
đây.
47
Proventia Network IPS G400
Với mức độ quan trọng như trên, chúng tôi đê xuât triển khai thiết bị phòng chống xâm
nhập Proventia Network IPS chuyên dụng cua hang Internet Security Systems –ISS. Thiết bị
này cho phép ngăn chặn trước các cuộc tân công chưa biết cũng như các cuộc tân công đa
biết như DoS, trojan, peer to peer download, backdoor, malicious http và file đính kèm e-
mail mà không ảnh hưởng đến hoạt động cua mạng. Đặc biệt, thiết bị Proventia Network IPS
có khả năng phân tích và nhận dạng các giao thức được sử dụng trong VoIP như SIP, MGCP,
H.323, H.225, H.245, Q.931, T.120 và SCCP để xác định các cuộc tân công.
Thiết bị này se được đặt trước vung Server farm bảo vệ cho cả vung, kiểm soát toàn bộ
các yêu cầu truy cập dư liệu cả ở mức Network và mức ứng dụng trên các Server. Cơ sở dư
liệu vê các mẫu tân công (attacking Signatures) se luôn được hệ thống update từ Internet
Security Systems X-Force theo thời gian thực, đảm bảo ngăn chặn tối đa các tân công có thể
xảy ra hiện nay. Proventia Network IPS có tính năng Fail-open và hô trợ câu hình dạng
Active/Active, Active/Passive do vậy đảm bảo tính săn sàng cao cua toàn mạng.
48
Ngăn chặn tân công cua Virus tại Gateway và trong các vung mạng.
Các con đường mà virus có thể tân công và bung phát vào mạng cua công ty chứng khoán
tương đối đa dạng, xuât phát từ Internet, từ người dung bên trong, bên ngoài mạng và đặc
biệt qua email. Để có một hệ thống phòng chống có hiệu quả cao thì cần phòng và chống
Virus và Spyware tại cả 4 lớp mạng: gateway, mailserver, server, PCs. Hệ thống này phải
được quản ly tập trung, thống nhât và luôn luôn được cập nhật mẫu Virus và Spyware từ
nhưng trung tâm phòng chống Virus và Spyware lớn trên thế giới. Ngoài ra cần phải có một
chính sách bảo mật chung và kết hợp với các giải pháp bảo mật khác để phòng chống Virus
và Spyware hiệu quả hơn.
49
Trend Micro Client/Server bảo vệ mailserver, server va PC khỏi sự lây nhiễm cua Virus
Thiết bị chuyên dụng chống Virus
tại Internet Gateway(IGSA)
Giải pháp tông thể được chúng tôi đê xuât dựa trên công nghệ và sản phẩm phòng chống
virus cua hang Trend Micro. Các sản phẩm bao gồm:
Trend Micro™ Client/Server/Messaging Suite for SMB
Trend Micro Internet Security
InterScan Gateway Security Appliance
Đối với ngăn chặn và phòng chống AntiVirus tại Internet Gateway, chúng tôi sử dụng
thiết bị chuyên dụng InterScan Gateway Appliance (ISGA) cua hang Trend Micro. Đây là
thiết bị quét virus, spyware, phishing tại Internet Gateway trên các luồng: SMTP, POP3,
HTTP, FTP và đặc biệt đảm bảo được tốc độ tại điểm Gateway mà hầu hết các traffice trao
đôi thông tin giưa mạng trong và mạng ngoài đêu phải đi qua.
50
Các web site thông tin vê các sản phẩm bảo mật được đê xuât trong giải pháp tông thể vê
an toàn thông tin cho các công ty chứng khoán:
Các sản phẩm cua hệ thống Firewall/VPN
Firewall cho hạ tầng mạng
Check Point: www.checkpoint.com
Crossbeam System www.crossbeamsystems.com
Firewall cho ứng dụng
Netcontinuum: www.netcontiuum.com
Các sản phẩm cua hệ thống phòng chống xâm nhập (IPS)
Internet Security Systems: www.iss.net
Các sản phẩm cua hệ thống phòng chống Virus
Trend Micro: www.trendmicro.com
51
3. Hê Thông dư phòng:
3.a. Dự phòng trong nội bộ tòa nhà, chi nhánh
Xây dựng hệ thống mạng theo mô hình phân câp
H3.3- xây dưng mô hinh mạng phân cấp
Hệ thống Core Switch gồm 2 swich core , được kết nối theo mô hình phân câp sau :
52
H3.4- mô hinh hệ thống phân cấp .
Mô hình phân câp tạo khả năng dự phòng, khi 1 switch core (sw xử ly nhiêu nhât hệ
thống) không hoạt động thì switch bên se chạy , đảm bảo cho hệ thống hoạt động
24/24.
53
3.b Dự phòng kết nối giưa các chi nhánh
Hệ thống Check Point Firewall VPN1-UTM đặt tại trụ sở chính cua công ty chứng khoán
bên cạnh chức năng kiểm soát các luồng thông tin ra vào mạng còn là hệ thống VPN Server cho
các kết nối theo cả 2 mô hình Client to Site và Site to Site.
Với mô hình kết nối VPN Site to Site, tại môi chi nhánh hoặc đại ly se sử dụng thiết bị
Firewall VPN chuyên dụng loại nho VPN1-Edge cua hang Check Point. Thiết bị này có đầy đu
tính năng Firewall và thiết lập kênh kết nối Site to Site qua đường Leaseline hoặc ADSL. Với
mô hình này, hệ thống VPN Server tại Headquater se tự động xác thực giưa 2 đầu thiết bị và
kiểm tra tính an toàn trước khi cho phép thiết lập kênh kết nối.
54
Thiết bị bảo mật VPN-1 UTM Edge bảo vệ kết nối giữa công ty Chứng khoán với chi nhánh, đại lý và văn phòng
Check Point VPN1-Edge khi thiết lập VPN tunnel se sử dụng các công nghệ ma hoá sau
(AES) 128-256 bit
Triple DES 56-168 bit
SSL – Secure Sockets Layer
Mô hình Client to Site áp dụng cho các nhân viên cua công ty làm việc tại các TTGDCK
thiết lập kênh kết nối qua Internet, dial-up và hô trợ xác thực người dung bằng nhiêu phương
thức như Certificate, Token, Smartcard… trước khi cho phép kết nối. Tại các máy cua nhân viên
se cài phần mếm thiết lập kết nối VPN client cua Check Point.
4. Hê Thông VoIP:
H3.5 – Tổng quan mô hinh mạng Voip
55
Sơ đồ triên khi hệ thống Voip cho từng tòa .
Tòa trung tâm
H3.6 – Mô hinh triển khai VoiP – toa trung tâm
Chi nhánh 1
56
H3.7 – Mô hinh triển khai VoiP – CN1
Chi nhánh 2
H3.8 – Mô hinh triển khai VoiP – CN2
Lợi ich khi triển khi hệ thống Voip trên :
57
Gọi nội bộ miên phí với các chi nhánh với nhau.
Gọi quốc tế giá rẻ hơn so với mức gọi bình thường.
Kết nối máy Fax giưa các chi nhánh với nhau thông qua hệ thống mạng IP.
Có khả năng sử dụng cả máy điện thoại thông thường, điện thoại IP có dây và không dây.
Mở rộng mạng dê dàng.
An toàn bảo mật.
Chât lượng ôn định.
Giá thành hợp ly.
Đảm bảo tính thẩm mỹ.
5. Dịch vụ web và email :
Xây dựng vung DMZ chứa các máy chu web và mail tách biệt với hệ thống mạng nội bộ, hệ
thống firewall IPS bảo vệ . Việc xây dựng hệ thống web thương mại điện tử nhằm quảng bá
công ty, cung câp giá cả các mặt hàng , dịch vụ trực tuyến với khách hàng.
6. Dịch vụ máy chấm công vân tay
Sử dụng thiết bị mới với công nghệ tiên thiến cua hang Digital Person. Hệ thống châm công
bằng dâu vân tay trên PC bao gồm máy đọc dâu vân tay kích cỡ nho gọn và chương trình quản ly
thời gian. Hai phần này thay thế chức năng máy bâm thẻ hay cách ghi nhận giờ ra-vào khác bât
kể là cà thẻ một cách hiệu quả . Với số lượng 2 máy / môi tòa nhà, đảm bảo quét tât cả nhân viên
trong vòng 15 phút.
58
IV. Chi phí toàn hê thông :
Tòa trung tâm
H3.9 – Chi phi trụ sở chinh
Chi nhánh1
59
H3.10 – Chi phi CN1
60
Chi nhánh 2
H3.11 – Chi phi cn 2
\
Chi phí lắp đặt Internet và WAN
61
Đương truyên cáp quang
Gói cước
Gói cước dành cho Doanh nghiêp
và hộ kinh doanh cá thể
Gói cước dành
cho đại lý Internet
FTTH Office FTTH Pro FTTH Pub
I. Phí lắp đặt và phí sử dụng hàng tháng (VND)
Phí lắp đặt mới 2.000.000 2.000.000 2.000.000
Phí hàng tháng 2.000.000 6.000.000 2.000.000
II. Băng thông (Download = Upload)
Băng thông trong nước
tối đa32 Mbps 50 Mbps 34 Mbps
Băng thông quốc tế tối
thiểu640 Kbps 1536 Kbps 640 Kbps
IP WAN 01 IP tĩnh miên phí 01 IP tĩnh miên phí 01 IP động
IP tĩnh - 04 IP tĩnh miên phí -
III. Các khoản phí khác (VND)
Mua thêm 1 block IP
tĩnh (gồm 4 IP tĩnh)500.000
Chuyển đôi từ tốc độ Miên phí
62
thâp lên tốc độ cao
(đồng/TB/lần)
Chuyển đôi từ tốc độ
cao xuống tốc độ thâp
(đồng/TB/lần)
200.000
Khôi phục lại dịch vụ
(đồng/TB/lần)Miên phí
Chuyển dịch khác địa
chỉ (đồng/TB/lần)1.500.000
Chuyển dịch cung địa
chỉ (đồng/TB/lần)500.000
(Áp dụng từ ngày 15/5/2010)
Giá thiết bị
Chủng loại thiết
bị
Media
Converter
Modem
Proware M-
R460
Modem TP
Link TL-
R460
Modem
Draytek -
2910
Modem
Draytek -
2950
Giá bán (VND) 550.000 250.000 500.000 2.800.000 11.500.000
63
Chi tiêt : http://www.vietteltelecom.vn/internet/ftth/2009/06/4262/
Chi phí lắp đặt dự tính : 30.000.000 VND
Tổng chi phi :
Tòa trung tâm : 90 007 $
Chi nhánh 1 : 48 694 $
Chi nhánh 2 : 73 699 $
Internet và megawan : 1 000 $
Tổng Cộng : 213 400 $
V. Tổng kết
64
Với mô hình thiết kế mạng này, nhóm đa đáp ứng đầy đu các yêu cầu cua công ty
ABC . Hơn nưa, khả năng mở rộng cua hệ thống là rât lớn. Nhưng điểm mâu chốt
cua đê tài được thể hiện :
Điểm mạnh :
Dự án thiết kế mạng này đáp ứng đầy đu yêu cầu cua công ty ABC . Được thể hiện qua các chi
tiết sau :
Bảo mật cao
Săn sàng cao
Thiết kế theo sự phân câp à dê thay đôi, mở rộng, nâng câp, bảo trì .
Hệ thống web, mail server truy cập từ công ty và internet
Hệ thống quét vân tay và thẻ ngân hàng
Hệ thống Voip tiết kiệm chi phí và mở rộng cao
Toàn bộ hệ thống sử dụng Patch panel và Outlet tạo thẫm mĩ cho hệ thống mạng và
tòa nhà
Điểm yếu – nguyên nhân và so sánh
Cần nhiêu nhân viên quản trị và bảo trì hệ thống.
Nhóm chúng em muốn đưa ra môt hệ thống mạng tốt nhât , một giải pháp an ninh
chặt che nhât với các thiết bị thuộc diện “cao câp” nhât có thể, vân đê tiên bạc nhóm
65
không quan tâm lắm . Vì thể khi tông kết lại giá cả lên tới 4 tỷ 2 cho toàn bộ hệ
thống.
Giá cả hệ thống cao vì nhóm sử dụng nhưng thiết bị cao câp và có khả năng hoạt
động rât tốt. Lây dẫn chứng hệ thống firewall : tại sao sử dụng hệ thống firewall
checkpoint với giá thiết bị rât cao mà không sử dụng các hệ thống firewall cua
iptables hoặc ISP? Bời vì check point có nhưng tính năng vượt trội hơn hẳn iptables.
So sanh : check point va iptables
Cả hai đêu sử dụng "stateful packet filtering" firewall. Tuy nhiên, iptables chỉ dừng
lại ở tầng IP và tạo điêu kiện để các ứng dụng tích hợp khác kiểm soát packets ở tầng
cao hơn xuyên qua "target" QUEUE cua netfilter. Trong khi đó, checkpoint bao cả 7
tầng OSI và nó có khả năng kiểm soát khá sâu với nội dung packet cua tầng
application (ví dụ, nó có thể kiểm soát HTTP packets).
Iptables thật ra chỉ là "interface" ở phía user để tương tác với netfilter ở phía kernel.
Bởi thế, so sánh khả năng cua checkpoint với iptables thì đúng ra nên so sánh ở phía
netfilter thay vì so sánh với phía iptables.
Netfilter / iptables cực kỳ gọn nhẹ và nhóm phát triển nó không quan tâm đến việc
cung câp GUI để điêu khiển. Chỉ có một số nhóm tạo nhưng cái GUI (đơn giản và
phức tạp) khác nhau để giúp điêu chỉnh và kiểm soát rules cho dê. Trong khi đó, GUI
cua Checkpoint cực kỳ tinh xảo (và nếu không có GUI thì có le checkpoint se khó
66
dung). Checkpoint đòi hoi tài nguyên khá nhiêu và trọn bộ cơ chế làm việc cua nó
khá nặng nê.
Netfilter / iptables không tích hợp VPN mà chỉ có nhưng modules giúp xử ly VPN
qua nhưng giao thức thông thường để tạo VPN (IPSEC AH/ESP, PPTP). Trong khi
đó, Checkpoint có giải pháp VPN đầy đu và tích hợp hoàn toàn với firewall; sử dụng
nhiêu phương thức authentication khác nhau.
Lơi khuyên :
- Nếu công ty chịu đầu tư để triển khai hệ thống mạng này , tuy giá cả hơi cao, nhưng bu
lại, hệ thống se hoạt động luôn ôn định. Dư liệu an toàn với hệ thống firewall check point
, IPS. Mạng hoạt động thông suốt với mô hình thiết kế phân câp có dự phòng . Và khả
năng mở rộn mạng vê sau cũng dê dàng hơn.
- Tuy nhiên, nếu muốn giảm giá tiên xuống. Ta có thể sử dụng hệ thống firewall ISA cua
Microsoft, giá thiết bị se giảm đáng kể. Ví dụ: thiết bị Firewall check point VPN1- UTM
& Crossbeam Systems - C6 giá 5,250 USD (lây từ
http://www.checkpoint.com/products/choice/platforms/crossbeamc6.html), còn 1 server
ISA chỉ tầm 2000 USD .
67
VI. Tài liêu tham khảo[1] Nguyên Nam Thuận, Lư Đức Hào 2006, Tự học thiết kế mang & xây dựng mang may tính
, nxb Giao thông vận tải.
[2] Ip phone, www.ipphone-warehouse.com ,ngày 25/03/2011,
http://www.ipphone-warehouse.com/Grandstream-GXE5028-IP-PBX-VoIP-Phone-System-
p/grandstream-gxe5028-ip-pbx.htm
[3] Check Point, www.checkpoint.com ,ngày 25/03/2011,
www.checkpoint.com
[4] Wikipedia 2011, vi.wikipedia.org, ngày 1 tháng 4 năm 2011,
http://vi.wikipedia.org/wiki/M%E1%BA%A1ng_ri%C3%AAng_%E1%BA%A3o
[5] Sieuthivienthong, sieuthivienthong.com, , ngày 1 tháng 4 năm 2011,
http://www.sieuthivienthong.com/SWITCHCISCO/254/category.html
[6] Tu mạng, tumang.us, ngày 1 tháng 4 năm 2011,
http://www.tumang.us/vn/Tu-rack-27U-sau-1000-p1421-Tu-mang-27U-sau-1000mm-Cua-
luoi-n465
[7] Quản trị máy chu, quantrimaychu.com, ngày 25 tháng 3 năm 2011
http://quantrimaychu.com/showthread.php?t=3577&s=f9c7aa8c3cc69061d93fc1c891cefc43
68