TRƯỜNG ĐẠI HỌC ĐIỆN LỰC

KHOA CÔNG NGHỆ THÔNG TIN

BÁO CÁO THỰC TẬP MÔN HỌC

PHÂN TÍCH VÀ THIẾT KẾ AN TOÀN MẠNG

ĐỀ TÀI:

Sinh viên thực hiện : BÙI GIA HOÀNG HUY

Giảng viên hướng dẫn : ThS.Phạm Quang Huy

Khoa : CÔNG NGHỆ THÔNG TIN

Chuyên ngành : QUẢN TRỊ VÀ AN NINH MẠNG

Lớp : D12QTANM

Khóa : 2017-2022

Hà Nội,ngày 28 tháng 6 năm 2021

 PHIẾU CHẤM ĐIỂM

Sinh viên thực hiện:

Họ và tên Chữ ký Ghi chú

Bùi Gia Hoàng Huy

1781320008

Giảng viên chấm:

Họ và tên Chữ ký Ghi chú

Giảng viên chấm 1 :

Giảng viên chấm 2 :

MỤC LỤC
DANH MỤC HÌNH VẼ
DANH MỤC BẢNG BIỂU
LỜI MỞ ĐẦU

1
 CHƯƠNG 1: GIỚI THIỆU VÀ PHÂN TÍCH YÊU CẦU CỦA
KHÁCH HÀNG
1.1. Giới thiệu Trường Đại Học Điện Lực
Trường Đại học Điện lực là một trường đại học công lập đa cấp, đa ngành có
nhiệm vụ chủ yếu là đào tạo nguồn nhân lực có chất lượng cao cung
cấp cho Ngành và phục vụ nhu cầu kinh tế xã hội đồng thời là một trung tâm
nghiên cứu khoa học - công nghệ hàng đầu của Ngành.

Trường Đại học Điện lực hiện có 18 ngành đào tạo đại học đại trà (trong đó
11 ngành đã tuyển sinh và tổ chức đào tạo), 8 chương trình đại học chất lượng cao,
4 ngành đào tạo tiến sĩ, 7 ngành đào tạo thạc sỹ với quy mô gần 10.000 sinh viên.

Trường có 2 cơ sở đào tạo:

- Cơ sở 1 tại 235 Hoàng Quốc Việt – quận Bắc Từ Liêm – TP. Hà Nội

- Cơ sở 2 tại xã Tân Minh – Sóc Sơn – Hà Nội

Hình 1.1. Hình ảnh trường Đại Học Điện Lực

2
1.2. Phân tích nhu cầu của Trường Đại học Điện Lực
1.2.1. Mục Đích và đối tượng sử dụng mạng
 Đại Học Điện Lực đang có nhu cầu đầu tư hệ thống trang thiết bị công nghệ
thông tin phục vụ cho công việc giảng dạy và nghiệp vụ. Mong muốn xây
dựng hạ tầng chuẩn, hệ thống mạng có tính sẵn sàng cao, có độ ổn định. Hệ
thống đáp ứng được nhu cầu phát triển dữ liệu và mở rộng. Đồng thời tích
hợp với hệ thống mạng có sẵn.
 Trường đã có kế hoạch đầu tư xây dựng các tòa nhà 10 tầng với đầy đủ hệ
thống trang thiết bị tin học và mạng phục vụ cho công việc giảng dạy, học
tập và nghiệp vụ, theo dõi camera thông qua internet.
 Đối tượng sử dụng mạng: giáo viên, học sinh và cán bộ công nhân viên nhà
trường.
 Giảng viên, Sinh Viên sử dụng mạng cho mục đích giảng dậy, học tập, tra
cứu tài liệu. Các hệ thống camera để đảm bảo an ninh cho nhà trường cũng
như trong việc quan sát khi thi cử

1.2.2. Yêu cầu của Trường

- Kết nối mạng trục cho nhà 10 tầng để nối mạng Camera, nối mạng LAN nội
bộ tòa nhà.

- Kết nối với TTCNTT để từ nhà 10 tầng vào được phần mềm nội bộ và vào
mạng Internet qua đường Internet của TTCNTT.

- Kết nối với nhà H để tạo thành mạch vòng Nhà 10 tầng – TTCNTT-Nhà H
(nhà ăn CBGV-KTX SV).

- Tất cả máy tính trong Trường đều được kết nối Internet tốc độ cao với
đường truyền ổn định 24/24.

3
 - Chi phí chấp nhận được, tận dụng những thiết bị cũ của công ty.

- Đảm bảo tính thẩm mỹ.

Ngoài yêu cầu của nhà trường thì trong quá trình phân tích và thiết kế mạng
chúng ta cũng cần tuân thủ những yêu cầu về kỹ thuật, cấu trúc đặt ra như:

- Yêu cầu về kỹ thuật

- Yêu cầu về hiệu năng
- Yêu cầu về ứng dụng
- Yêu cầu về quản lý mạng
- Yêu cầu về an ninh-an toàn mạng.
- Yêu cầu về ràng buộc về tài chính,thời gian thực hiện
- Yêu cầu về chính trị của dự án, xác định nguồn nhân lực xác định các tài
nguyên đã có và có thể tái sử dụng

1.2.3. Yêu cầu về hiệu suất của hệ thống mạng

Đảm bảo truy xuất với tốc độ tối đa: 24h/1 ngày; 7 ngày/1 tuần, truy xuất
với tốc độ cao.

Thiết kế linh hoạt thích nghi với các thay đổi về traffic và nhu cầu về chất
lượng dịch vụ.

Thông lượng có ích: giảm hao phí trên đường truyền.

Hiệu suất: 93%

1.2.4. Yêu cầu về tính bảo mật và an ninh trong hệ thống

Bảo vệ có chiều sâu (defense in depth): Hệ thống phải được bảo vệ theo
chiều sâu, phân thành nhiều tầng và tách thành nhiều lớp khác nhau. Mỗi tầng và
lớp đó sẽ được thực hiện các chính sách bảo mật hay ngăn chặn khác nhau

4
 Sử dụng nhiều công nghệ khác nhau: Không nên tin cậy vào chỉ một công
nghệ hay sản phẩm công nghệ bảo đảm an ninh cho mạng của một hãng nào đó.
Bởi nếu như sản phẩm của hãng đó bị hacker tìm ra lỗ hổng thì dễ dàng các sản
phẩm tương tự của hãng đó trong mạng cũng sẽ bị xuyên qua và việc phân tầng,
phân lớp trong chính sách phòng vệ là vô nghĩa.

1.2.5. Mục tiêu kinh tế

Dựa vào mô hình mạng thiết kế để phát triển công ty, điều hành quản lí chặt
chẽ để thuận lợi cho phát triển công việc, phát triển kinh tế.

Điều kiện ràng buộc:

 Sử dụng các công nghệ tốt nhất nhưng vẫn đảm bảo về mặt kinh tế.
 Sử dụng chi phí hiệu quả
 Chọn các thiết bị dễ cấu hình và sử dụng.
 Có tài liệu hướng dẫn sử dụng chi tiết.
 Đáp ứng được yêu cầu của sinh viên và cán bộ công nhân viên chức với một
chi phí tài chính cho phép.

Ngân sách dự kiến: 800 triệu

1.2.6. Yêu cầu về bảo trì hệ thống

Mạng sau khi đã cài đặt xong cần được bảo trì một khoảng thời gian nhất
định để khắc phục những vấn đề phát sinh xảy ra trong tiến trình thiết kế và cài đặt
mạng

1.3. Hiện trạng

Sau khi đi khảo sát trực tiếp tại khu nhà 10 tầng mới xây xong của Trường
Đại Học Điện Lực thì em đã tìm hiểu được một số đặc điểm hiện trạng như sau:

- Khu nhà gốm 10 tầng bao gồm 1 tầng hầm và 9 tầng mặt
5
Tầng Chức Năng Hiện Trạng
Hầm - Phòng bảo vệ - Đã lắp 06 Camera (Cam) và đấu
- Phòng kỹ thuật điện nối cáp mạng cho từng Cam về hộp
- Máy bơm kỹ thuật tầng 1.
- Hạ tầng cáp - Có 1 node mạng cho phòng bảo
vệ, đã nối về hộp kỹ thuật tầng 1
Tầng 1 - Phòng CTSV + HCQT - Đã lắp 03 Cam
- Phòng kỹ thuật chứa các - Phòng kỹ thuật có 01 tủ rack thiết
thiết bị mạng, tổng đài điện bị mạng.
thoại - Có 1 hộp kỹ thuật mạng. Trong
hộp này đã hàn nối 02 sợi có cáp
quang cho tầng 1 + cáp mạng LAN
tầng 1 chạy từ tủ rack ra hộp này.
- Cáp quang từ tầng 2-9 đã kéo về tủ
rack mạng nhưng chưa được hàn nối
vào hộp ODF quang (Cũng chưa có
hộp ODF). Nếu chưa hàn nối thì
không thể sử dụng được cáp quang.
- Có 1 đầu chờ mạng LAN để lắp
wifi
Tầng - Làm giảng đường với - Đã lắp 03 Cam
2-5 nhiều phòng học - Mỗi tầng đều có 1 hộp kỹ thuật
- Nếu ngồi full thì khoảng mạng (khá nhỏ), có nguồn điện,
vài trăm sinh viên - Cáp quang: trong hộp kỹ thuật đã
có cáp quang nối xuống tủ rack ở

6
 tầng 1.
- Cáp quang có 4 sợi quang, nhưng
tại hộp mới hàn nối 02 sợi.
- Cáp đồng cho mạng LAN: đã có
đầu chờ mạng LAN (RJ45) tại hộp.
Các đầu chờ này nối vào các phòng
học. Tuy nhiên không xác định
được đầu nào nối vào phòng nào.
- Có 1 đầu chờ mạng LAN để lắp
wifi
Tầng - Văn phòng làm việc của - Đã lắp 03 Cam
6-9 Khoa/phòng ban - Mỗi tầng đều có 1 hộp kỹ thuật
- Ngồi full thì khoảng 150 mạng (khá nhỏ), có nguồn điện
người, nhưng ít khi đạt con - Cáp quang: trong hộp kỹ thuật đã
số này do gv đi dạy ở các có cáp quang nối xuống tủ rack ở
nhà khác tầng 1.
- Cáp quang có 4 sợi quang, nhưng
tại hộp mới hàn nối 02 sợi.
- Cáp đồng cho mạng LAN: đã có
đầu chờ mạng LAN (RJ45) tại hộp.
Các đầu chờ này nối vào các văn
phòng. Tuy nhiên không xác định
được đầu
nào nối vào phòng nào.
- Có 1 đầu chờ mạng LAN để lắp
wifi
Bảng 1.1 Hiện trạng thực tế

7
 Hình 1.2. Bản vẽ
1.4. Nhận xét
- Hộp kỹ thuật nhỏ và bí, nếu để thiết bị mạng có thể sẽ ảnh hưởng đến độ
ổn định về sau.
- Cáp quang tại từng hộp kỹ thuật mới chỉ hàn nối 02 sợi trong tổng số 04
sợi. 

8
 - Cáp mạng LAN nối cho các camera đã đưa đến hộp kỹ thuật nhưng không
biết chính xác đầu dây ở hộp nối với camera nào. Cần đề nghị bên thi công
lý việc này.
- Cáp quang tập trung ở tủ rack tầng 1 nhưng chưa hàn nối vào ODF.

Hình 1.3. Hiện trạng mạng kết nối 3 khối tòa nhà ĐH Điện lực
1.5. Phân tích yêu cầu và ràng buộc thương mại
1.5.1 Mục tiêu trong thiết kế mạng của khách hàng

Trường Đại Học điện lực với Quy mô lớn, đang có nhu cầu đầu tư hệ thống
trang thiết bị công nghệ thông tin phục vụ cho công việc giảng dạy và nghiệp vụ.
Vì vậy để phục vụ tốt cho việc học tập, nhà trường cũng đòi hỏi một hệ thống
mạng đáp ứng nhu cầu học tập cho học sinh cũng như cán bộ, giảng viên.

- Mong muốn xây dựng hạ tầng chuẩn, hệ thống mạng có tính sẵn sàng cao,
có độ ổn định. Hệ thống đáp ứng được nhu cầu phát triển dữ liệu và mở
rộng. Đồng thời tích hợp với hệ thống mạng có sẵn.

9
 - Thiết kế phải đảm bào thuâ ̣n lợi cho viê ̣c quản lí và đảo tạo, dễ bảo trì, sửa
chữa.
- Tất cả các sinh viên, cán bộ, giáo viên trong nhà trường đều được sử dụng
internet
- Hệ thống đường truyền cần phải được đảm bảo về yêu cầu kết nối tốc độ
cao, khả năng dự phòng để hạn chế thấp nhất những sự cố xảy ra trong quá
trình vận hành. Sử dụng các công nghệ tốt nhất nhưng vẫn đảm bảo về mặt
kinh tế, không vượt quá ngân sách Nhà trường đã cung cấp.

1.5.2 Các vấn đề liên quan đến các chính sách

 Không được tiết lộ thông tin hay bất kì dữ liệu của Trường cho những cá
nhân hay tổ chức khác, có hệ thống bảo mật tốt chống bị tấn công.
 Bản thiết kế giải pháp và thi công mạng này cam kết chỉ cung cấp cho duy
nhất đơn vị trường Trường Đại Học Điện Lực, Nhà trường phải đảm bảo
1.6. Sơ đồ cấu trúc tòa nhà
Dựa trên việc phân tích yêu cầu, hiện trạng và đề xuất thiết kế, chúng em
thiết kế sơ đồ mặt bằng với vị trí các phòng ban, đường đi dây và các thiết bị tại
từng phòng ban như sau.

- Tầng hầm

10
 Hình 1.4. Sơ đồ cấu trúc tầng hầm
- Tầng 1

Hình 1.5. Sơ đồ cấu trúc tầng 1

11
- Tầng 2 đến tầng 5

Hình 1.6. Sơ đồ cấu trúc tầng 2-5

- Tầng 6

Hình 1.7. Sơ đồ cấu trúc tầng 6

12
- Tầng 7

Hình 1.8. Sơ đồ cấu trúc tầng 7

- Tầng 8

Hình 1.9. Sơ đồ cấu trúc tầng 8

13
- Tầng 9

Hình 1.10. Sơ đồ cấu trúc tầng 9

14
 CHƯƠNG 2: LỰA CHỌN THIẾT BỊ THIẾT KẾ 
2.1. Các linh kiện thiết bị đã có:  
+ 15 camera đã được lắp  
+ 1 tủ rack thiết bị mạng ở tầng 1, 1 hô ̣p kỹ thuâ ̣t mạng nhỏ ở mỗi tầng  
+ Các tầng đều có 4 sợi cáp quang đã nối xuống tủ rack tầng 1 
+ Các tầng đã có cáp đồng cho mang LAN có đầu chờ RJ45 tại hô ̣p
Các thiết bị phải mua mới :  

Thiêt bị Yêu cầu Số lượng

Switch Layer 3 C3850 1
Switch Layer 2 16 Port C2690 10
Wireless Router Router Wifi Asus RT- 24
AC88U
Camera Megapixel KBVISION 35
KX-A2004Ni
Đầu RJ45 Dintek 3 bịch
Cáp RJ45-ADC Cáp quang Singlemode: 250m

Cáp quang Multimode: 250m

Cáp đồng: 500m

Module connect GLC-SX-MM 18
Module connect SFP-10G-SR 4
Bảng 2.1: Các thiết bị cần mua mới
Công nghệ sử dụng: Tận dụng tối đa công nghệ của Microsoft kết hợp thêm
các dịch vụ phụ trợ khác.  

 Ưu điểm: công nghệ phổ biến và giá thành rẻ  

15
  Nhược điểm: hệ thống có thể xảy ra lỗi do phần mềm nên cần có nhân viên
kỹ thuật chuyên môn hỗ trợ.  

Chi tiết về công nghệ sử dụng:  

 Sử dụng Windows Server 2008r2 để cài đặt và quản lý tấc cả các dịch vụ
quan trọng trong trung tâm.  

 DNS, DHCP server: phân giải tên miền, cấp phát IP động cho toàn bộ vùng
mạng LAN  

 Web: Quản lý và lưu trữ web của công ty

2.2. Switch Layer 3 

Core Switch có thể sử dụng: Tại phân vùng Core đề xuất sử dụng 1 thiết bị
Cisco 3850. Switch 3850 là dòng thiết bị của Cisco, được trang bị chuyên dụng
cho Core, với các tính năng vượt trội và độ bền, độ ổn định cao. Thiết bị đươc
trang bị các cổng Module Cáp Quang 1G/10G phù hợp với yêu cầu. 

Cisco WS-C3850-12XS-S Catalyst 3850 12 Port 10G Fiber Switch IP

Base 

Thông số kỹ thuật:

- Cổng giao tiếp: 12 x 10/100/1000 Cổng quang SFP

16
 - Số xếp chồng tối đa: 9

- Stack băng thông: 480 Gb / giây

- Hiệu suất chuyển tiếp: 68,4 Mpps - 277.28Mpps

- Chuyển đổi công suất: 68 Gb/giây – 320Gb/giây

- RAM: 4 GB

- Giao thức định tuyến BGP-4, EIGRP, EIGRP cho IPv6, IS-IS, OSPFv3,
PIM-SM, PIM-SSM, RIP-1, RIP-2,RIPng

- Giao thức quản lý từ xa CLI, RMON 1, RMON 2, SNMP 1, SNMP 2c,

SNMP 3, SSH, Telnet

Giá bán: 128.193.000.000 VND

2.3. Switch Layer 2

Switch WS-C2960L-16PS-LL trang bị các cổng POE (được viết tắt bởi
POWER OVER ETHERNET) hiểu một cách đơn giản có nghĩa là công nghệ cho
phép truyền tải nguồn điện trực tiếp trên sợi cáp mạng (Cable RJ45) đến các thiết
bị điện tử có cổng Ethernet. hoặc đơn giản hơn nữa PoE là công nghệ cung cấp

17
điện cho thiết bị thông qua cáp mạng xoắn đôi. Ưu điểm của switch Cisco 2960
POE là loại switch vừa dùng để truyền dữ liệu, vừa dùng để cấp nguồn điện cho
thiết bị. Đơn giản tối đa trong thi công, chỉ cần 1 sợi dây mạng cho cả dữ liệu và
nguồn điện.

Thông số kỹ thuật:

 Bộ nhớ và bộ vi xử lý
- CPU: ARMv7 800 MHz
- DRAM: 512 MB
- Bộ nhớ flash: 256 MB
 Hiệu suất
- Chuyển tiếp băng thông: 18 Gbps
- Chuyển đổi băng thông: 36 Gbps
 Môi trường
- 23ºF đến 113ºF (-5ºC to 45ºC)
- Cao độ hoạt động: 10,000 ft (3000m)
- Độ ẩm tương đối hoạt động 5% đến 90% ở 40ºC
 Điện
- Điện áp (tự động) 110 đến 220V
- Tần số 50 đến 60 Hz
- Hiện tại 0.16A đến 0.26A
- PoE công suất 120W PoE
- Mức công suất (tiêu thụ tối đa) 0,05 kVA

Giá bán: 14.400.000 VND

18
2.4. Wireless Router
Router Wifi Asus RT-AC88U được hỗ trợ bởi công nghệ 1024-QAM và
nhanh hơn 80% trên băng tần 5GHz với tốc độ 2100Mbps và 60% trên băng tần
2.4GHz với tốc độ lên tới 1000Mbps. Nó được trang bị thiết kế ăng-ten 4 truyền, 4
nhận, cho phép đạt được diện tích phủ sóng lên đến 5.000 feet vuông. Ngoài ra,
router này còn được trang bị công suất 4x Wifi với công nghệ MU-MIMO.

Thông số kỹ thuâ ̣t:

 Số máy truy cập tối đa đồng thời: 60 máy

 4 port x 10/100/1000 Lan, 1 port x 10/100/1000 Wan, 1 x USb 3.0, 1 x Usb

2.0

19
  Số Anten: 4 anten

Giá bán: 7.390.000 VND

2.5. Camera
Camera IP Dome hồng ngoại 2.0 Megapixel KBVISION KX-A2004Ni

- Camera IP chụp hình khuôn mặt chuyên dụng.

- Cảm biến hình ảnh: 1/2.8 inch progressive scan STARVIS CMOS.
- Chuẩn nén hình ảnh: H.265&H.264.
- Độ phân giải: 2.0 Megapixel.
- Tầm quan sát hồng ngoại: lên đến 40 mét. 
- Ống kính: 2.8mm.
- Góc nhìn: 106°.
- Hỗ trợ khe cắm thẻ nhớ lên đến 256GB.
- Hỗ trợ âm thanh 2 chiều (mic in/mic out), báo động (alarm in/alarm out).
- Hỗ trợ cân bằng ánh sáng, bù sáng, chống ngược sáng, chống nhiễu 3D-
DNR.

20
 - Hỗ trợ chức năng Nightbreaker giúp camera tự động điều chỉnh hình ảnh và
màu sắc đẹp nhất phù hợp nhất với môi trường ánh sáng yếu.
- Chuyên chống ngược sáng WDR(120dB).
- Chụp hình khuôn mặt: Hỗ trợ chụp hình khuôn mặt chuyên dụng.
- Hỗ trợ nhận diện 6 đặc tính của khuôn mặt: Tuổi, Giới tính, Biểu hiện (Vui
vẻ/Ngạc nhiên/Bình thường/Cáu gắt/Buồn/Chán ghét/Bối rối/Hoảng sợ),
Đeo kính, Đeo khẩu trang, Râu và ria mép.
- Bảo vệ chu vi: Bảo vệ khu vực quan sát, Bảo vệ khu vực giới hạn, Bảo vệ
khu vực nguy hiểm.
- Hỗ trợ chức năng SMD (lọc báo động thông minh) có thể phân loại giữa
người và phương tiện.
Giá bán: 4.000.000 VND

2.6. Cáp
2.6.1. Cáp quang
Các loại cáp quang:

1. Cáp Singlemode

- Lõi nhỏ (8 micron hay nhỏ hơn), hệ số thay đổi khúc xạ thay đổi từ lõi ra
cladding ít hơn multimode. Các tia truyền theo phương song song trục. Xung
nhận được hội tụ tốt, ít méo dạng.

- Ứng dụng: Dùng cho khoảng cách xa hàng nghìn km, phổ biến trong các
mạng điện thoại, mạng truyền hình cáp.đường kính 8um,truyền xa hàng trăm
km mà không cần khuếch đại

2. Cáp Multimode

21
  Multimode stepped index (chiết suất liên tục): Lõi lớn (100 micron), các tia
tạo xung ánh sáng có thể đi theo nhiều đường khác nhau trong lõi: thẳng,
zig-zag… tại điểm đến sẽ nhận các chùm tia riêng lẻ, vì vậy xung dễ bị méo
dạng.

 Multimode graded index (chiết suất bước): Lõi có chỉ số khúc xạ giảm dần
từ trong ra ngoài cladding. Các tia gần trục truyền chậm hơn các tia gần
cladding. Các tia theo đường cong thay vì zig-zag. Các chùm tia tại điểm hội
tụ, vì vậy xung ít bị méo dạng.

 Ứng dụng:
- Sử dụng cho truyền tải tín hiệu trong khoảng cách ngắn, bao gồm:
- Step index: dùng cho khoảng cách ngắn, phổ biến trong các đèn soi
trong
- Graded index: thường dùng trong các mạng LAN
Để lắp cáp quang trong trường Đại học Điện Lực, chọn cáp Mutimode bởi khoảng
cách giữa các tòa nhà gần nhau và khoảng cách giữa Core với các Switch trong nhà
10 tầng gần nhau
2.6.2. Cáp đồng

Cáp đồng là loại cáp được làm bằng dây điện giống như dây điện thoại. Đây là
loại cáp được sử dụng công nghệ truyền internet bằng điện với băng thông tốc độ
bất đối xứng, có nghĩa là độ download và upload không bằng nhau. Cáp mạng
đồng thường là cáp xoắn đôi gồm 4 cặp dây xoắn đôi có các loại phổ thông như
cat5e hay cat6

Thành phần của một dây cáp đồng trục gồm cho 4 phần:

22
 1. Một dây dẫn ở giữa trung tâm, đa phần là 1 dây được làm bằng sợi đồng đặc
hoặc nhiều sợi nhỏ tạo thành cáp đồng trục duy nhất.
2. Một lớp dây dẫn bao bọc bên ngoài đường dẫn trung tâm. Loại dây sử dụng
bao bên ngoài này thường ở dạng tết bím hoặc dạng lá kim loại. Lớp bên
ngoài này có tác dụng bảo vệ đường dẫn trung tâm không bị nhiễu âm (EMI
– Electro Magnetic Interference) nên được gọi là lá chắn.
3. Một lớp cách điện nằm giữa dây ngoài và trong (outer conductor) giữ
khoảng cách đều.
4. Ngoài cùng lớp bọc nhựa được làm bởi chất liệu tốt, nguyên chất, có độ bền
cao để cáp đồng trục an toàn.

Cáp đồng trục có 2 loại:

+ Loại cáp đường kính tầm 0.25 inch, có đặc điểm nhẹ dẻo, dai, có giá thành rẻ , dễ
thi công lắp đặt truyền tín hiệu  tốt nhất trong khoảng cách 185m thì được xem là
cáp mỏng.

+ Cáp dày thì có đường kính lớn gấp đôi cáp mỏng, đường kính khoảng 0.5 inch,
đặc tính của loại cáp cứng, khó thi công nhưng tín hiệu có thể truyền xa đạt tới 500
mét. Đây là các đặc điểm giúp cho người sử dụng nên chọn loại cáp nào cho công
trình của mình. Tùy thuộc vào đặc tính khoảng cách truyền dẫn data để phân loại
cáp đồng trục và chọn cáp phù hợp nhất.

2.7. Đầu RJ45

Loại DinTek, 100 cái/ bịch

Số lượng : 3

23
2.8. GLC-SX-MM

Thông số kỹ thuâ ̣t:

- Khoảng cách truyền tối đa : 1km

- Tốc độ truyền tải: 1.25Gbps
- Băng thông : 2000 MHz/kM
- Chuẩn Ethernet : IEEE 802.3z, IEEE 802.3ah

Giá bán: 160.000 VND

2.9. SFP-10G-SR

24
Cisco SFP-10G-SR là một loại module 10GBASE một sản phẩm nổi bật của Cisco
chúng mang những đặc điểm vô cùng khác biệt so với các loại khác. Thí dụ điển
hình là việc chúng hỗ trự liên kết 26m trên tiêu chuẩn Fiber Multibore Distributed
Data Interface (FDDI) – Multimode Fiber (MMF). Chúng cũng sử dụng
2000MHz* km MMD (OM3) có thể kéo dài lên đến 300m chiều dài của liên kết.
Sử dụng ở tần số 4700MHz * KM MMF (OM4) có thể kéo dài đến 400m chiều dài
liên kết.

Thông số kỹ thuâ ̣t:

- Bước sóng (nm): 850nm

- Kích thước cốt lõi ( Microns ): 62.5, 62.5, 50.0, 500, 50.0, 50.0
- Băng thông Modal ( MHz/km ): 160 (FDDI), 200 (OM1), 400, 500 (OM2),
2000 (OM3), 4700 (OM4)
- Khoảng cách cáp: 26m, 33m, 66m, 82m, 300m, 400m

Giá bán: 510.000 VND

25
2.10. Bảng dự toán chi phí

TÊN THIẾT BỊ SỐ ĐƠN GIÁ  THÀNH

LƯỢNG  TIỀN
Cisco WS-C3850-12XS-S Catalyst
3850 12 Port 10G Fiber Switch IP 1  128.193.00 128.193.000
Base  0

Switch access WS-C2960L-16PS-LL 9  14.400.000 126.000.000

Module Cisco GLC-SX-MM, SFP 18 160.000  2.880.000

1.25Gbps, 500m 

Module Cisco SFP-10G-SR 4 510.000 2.040.000

 

Router Wifi Asus RT-AC88U 24 7.390.000 177,360,000

Camera IP Dome hồng ngoại 2.0

33 4.000.000 132.000.000
Megapixel KBVISION KX-A2004Ni

Cáp Quang Mutimode 4 sợi OM3

10  180,000  1.800.000 

Đầu RJ45 Dintek 3 230.000  690.000

TỔNG  570,963,000

Bảng 2.2: Bảng dự toán chi phí

Tổng chi phí linh kiện: 570,963,000 VND (chưa bao gồm các chi phí phát sinh).

26
 CHƯƠNG 3: PHÂN TÍCH THIẾT KẾ TỔNG THỂ
3.1. Thiết kế nhà 10 tầng
Lớp lõi trong mô hình ( Core Switch )

Lớp Core Switch được coi là xương sống của hệ thống mạng khi mà chức
năng của Switch Core là chịu trách nhiệm vận chuyển khối lượng lớn dữ liệu mà
vẫn đảm bảo độ tin cậy nhanh chóng. Core Switch thường được gọi là lớp lõi và
chúng phải chuyển mạch dữ liệu càng nhanh càng tốt.

Để làm được điều đó thì cần phải xử lý dữ liệu qua lớp phân phối
(Distribution). Core Switch vận chuyển lượng lớn dữ liệu do đó mà độ trễ tại lớp
này cần phải cực nhỏ. Và bạn cũng không nên thực hiện tạo các Access List hay
routing giữa các VLAN với nhau để đảm bảo không có sự cố ảnh hưởng đến tốc độ
truyền tải dữ liệu của Core Switch.

Trong một hệ thống Core Switch khi được thiết kế cần đảm bảo một số điều:

- Đảm bảo có độ tin cậy cao, thiết kế dự phòng đầy đủ các yếu tố như nguồn
dự phòng, card xử lý, dự phòng node, ...
- Tốc Tốc độ chuyển mạch cực cao, độ trễ phải cực bé.
- Khi sử dụng các giap thức định tuyến thì giao thức đó phải có thời gian thiết
lập thấp và có bảng định tuyến đơn giản nhất.

Lớp Distribution Layer

Đây là lớp trung gian và thực hiện việc kết nối giữa Core Switch với các lớp
Access, chúng thực hiện việc xử lý dữ liệu, định tuyến gói tin, lọc gói , truy cập
mạng WAN, tạo Access List và nhiều chức năng khác.Nhiêm vụ chính của chúng
vẫn là xử lý dữ liệu và tìm đường đi nhanh nhất để đáp ứng các User yêu cầu.

Distribution Switch trong mô hình Core Switch Cisco thực hiện chính sách
Policies bởi vậy khi xây dựng lớp này bạn cần đảm bảo thực hiện đủ các yếu tố
như dưới đây:

- Tạo các access list, packet filtering, và queueing tại lớp này.
- Bảo mật với các chính sách address translation (như NAT, PAT) và firewall.
- Redistribution (phối hợp lẫn nhau) giữa các giao thức định tuyến, bao gồm
cả định tuyến tĩnh.
- Định tuyến giữa các VLAN với nhau.

27
 - Định nghĩa các broadcast và multicast domain.

Lớp Access Layer truy cập mạng ( Switch Access )

Khác biệt với Core Switch các Switch Access chỉ thực hiện việc kết nối của
mạng tới các Client trên cùng một hệ thống.

Ở lớp này bạn cần đảm bảo các yếu tố như là:

- Tiếp tục thực hiện các access control và policy từ lớp Phân Phối.
- Tạo ra các collision domain riêng biệt nhờ dùng các switch chứ không dung
hub/bridge.
- Lớp truy cập phải chọn các bộ chuyển mạch có mật độ cổng cao đồng thời
phải có giá thành thấp, kết nối đến các máy trạm hoặc kết nối tốc độ Gigabit
(1000 Mbps) đến thiết bị chuyển mạch ở lớp phân phối.

28
3.1.1. Mô hình logic

Hình 3.1.1 Mô hình Logic

29
3.1.2. Core + Distribution
Mô hình thiết kế sơ đồ đi cáp giữa 3 tòa

Hình 3.1.2. Mô hình thiết kế đi cáp giữa 3 tòa

1. Sử dụng dây cáp quang Cat6 ẩn dưới các nắp cống bê tông để đi dây giữa các
tòa nhà. Lý do:
 Dây cáp để ngoài trời sử dụng Cáp cat6, có những đặc điểm sau:
- Thứ nhất: Lõi dây cáp mạng ngoài trời thường được làm bằng đồng
nguyên chất, tiết diện lõi dây 0.5mm nên dây mạng ngoài trời không bị
oxi hóa theo thời gian, đảm bảo được độ truyền dẫn tốt, tín hiệu mạng ổn
định. Lõi dây băng đồng nên khoảng cách kéo rất xa, có thể lên tới 200m.
- Thứ hai: Đặc điểm nổi bật nhất là cáp mạng ngoài trời có sợi thép cường
lực đi kèm suốt chiều dài cuộn dây. Cáp mạng ngoài trời có sợi thép

30
 cường lực được tạo từ các sợi thép nhỏ xoắn lại với nhau, đảm bảo độ
dẻo dai, chịu được lực kéo lớn( gió bão) trong quá trình sử dụng
- Thứ ba: Lớp vỏ nhựa rất dày, được làm bằng vỏ nhựa PVC nguyên chất
nên chịu được nắng mưa tốt. Nhiều loại dây mạng lan ngoài trời còn có
thêm lớp bạc+ linon chống ẩm bên trong lớp vỏ nhựa, càng tăng thêm
hiệu quả khi đi ngoài trời
 Đặc điểm đặc biệt của cáp cat6:
- Cáp mạng cat6 ngoài trời có lõi nhựa múi khế chịu lực và cáp mạng
SFTP 0786 bọc bạc chống nhiễu
- Đây là loại cáp mạng cat6 ngoài trời rẻ nhất hiện bán trên thị trường,
không có sợ thép cường lực đi kèm.
- Dây mạng loại này có lõi nhựa chịu lực chữ thập phân tách 4 cặp dây
trong nó, có loại dây mạng ngoài trời giá rẻ tốt hơn đó chính là dây mạng
cat6e 0786 sftp có bọc bạc chống nhiễu.
- Lõi cáp mạng cat6 ngoài trời thường được làm bằng CCA hoặc hợp kim
nhôm. Kéo xa được 120m
2. Sử dụng dây cáp quang có tốc độ 10Gbps cho 3 Core tại 3 tòa.
3. Tòa H và A (Trung Tâm) lắp thêm 1 SFP cho mỗi Core kết nối thay mới với
nhau.
4. Core Tòa 10 tầng lắp thêm 2 SFP để kết nối tới Core tòa A và H. Đồng thời 9
SFP để kết nối tới rủ rack đặt tầng 1.

31
3.1.3. Access
3.1.3.1. Tầng 1

Mô hình phác thảo nối dây và đặt các tủ tại tầng hầm và tầng 1 – Tòa 10 tầng

Hình 3.1.3.1. Tầng 1

3.1.3.2. Tầng 2 -5 Giảng Đường
Mô hình phác họa kết nối tầng 2 – 5 giảng đường học và phòng nghỉ giáo viên.

32
 Hình 3.1.3.2. Tầng 2 - 5
3.1.3.3. Tầng 6 – 8 Phòng làm việc – thí nghiệm – phòng họp
Mô hình phác họa kết nối tầng 6

Hình 3.1.3.3 Tầng 6

Mô hình phác họa kết nối tầng 7

Hình 3.1.3.3 Tầng 7

33
Mô hình phác họa kết nối tầng 8

Hình 3.1.3.3 Tầng 8

3.1.3.4. Tầng 9 – Phòng đa năng
Mô hình phác họa kết nối tầng 9 phòng đa năng.

Hình 3.1.3.4 Tầng 9

34
3.2. Thiết kế bảo mật
Thiết kế bảo mật là là việc bảo vệ hệ thống mạng máy tính khỏi các hành vi trộm
cắp hoặc làm tổn hại đến phần cứng, phần mềm và các dữ liệu, cũng như các
nguyên nhân dẫn đến sự gián đoạn, chuyển lệch hướng của các dịch vụ hiện đang
được được cung cấp.
Mục tiêu nhằm bảo vệ thông tin khỏi bị đánh cắp, xâm phạm hoặc bị tấn công. Độ
bảo mật an ninh mạng có thể được đo lường bằng ít nhất một trong ba mục tiêu
sau:
- Bảo vệ tính bảo mật của dữ liệu.
- Bảo toàn tính toàn vẹn của dữ liệu.
- Thúc đẩy sự sẵn có của dữ liệu cho người dùng được ủy quyền.
Những mục tiêu này tạo thành bộ ba "Bảo mật – Toàn vẹn – Sẵn có"
(Confidentiality – Integrity – Availability). Tam giác CIA là một mô hình bảo mật
được thiết kế để hướng dẫn thực thi các chính sách bảo mật thông tin trong khuôn
khổ nội bộ một tổ chức hoặc một công ty.
Với tòa nhà 10 tầng của trường Đại Học Điện Lực chúng em triển khai phần bảo
mật đối với mạng Core, mạng Access và Wireless như sau.
3.2.1. Bảo mật mạng Core

Hình 3.2.1 Core + Distribution

Sau đây là một số mối đe dọa có khả năng ảnh hưởng đến phần Core:
- Gián đoạn dịch vụ — Các cuộc tấn công DoS và DDoS vào cơ sở hạ tầng.
- Truy cập trái phép — Xâm nhập, người dùng trái phép, leo thang đặc quyền,
truy cập trái phép vào cơ sở hạ tầng bị hạn chế và tấn công giao thức định
tuyến.
- Tiết lộ và sửa đổi dữ liệu — Các cuộc tấn công đánh hơi gói ( Packet
sniffing ), tấn công man-in-the-middle (MITM) của dữ liệu khi đang truyền.

35
 Cách giảm nhẹ và ngắn chặn các mỗi đe dọa tại Core:
Tấn công định
Truy cập Xâm Hiển
DoS DDos tuyến (Routing Botnets Control
trái phép nhập thị
Protocol Attacks)
Dự phòng hệ
Yes Yes Yes Yes Yes
thống và topo
Tắt các dịch vụ
Yes Yes Yes Yes Yes Yes
không cần thiết
Chính sách mật
Yes Yes Yes
khẩu mạnh
AAA Yes Yes Yes Yes

SSH Yes Yes Yes

Xác thực SNMP Yes Yes Yes Yes

ACLs Yes Yes Yes Yes Yes Yes

Xác thực vùng

Yes Yes Yes Yes
lân cận Router

NetFlow Syslog Yes

CoPP Yes Yes Yes Yes Yes Yes Yes Yes

Giải thích mốt số từ viết tắt:

- Control Plane Policing (CoPP): là một tính năng trên toàn hệ điều hành
IOS của Cisco được thiết kế để cho phép người dùng quản lý kiểm tra các
gói vào luồng lưu lượng được xử lý vào của các thiết bị của họ.
- AAA: có IOS hỗ trợ mô hình Xác thực, Ủy quyền và Kế toán (AAA), sử
dụng các giao thức RADIUS hoặc TACACS + để tập trung các chức năng
này trên các máy chủ AAA chuyên dụng.
- ACLs: Access Control Lists “ACLs” là các bộ lọc lưu lượng mạng có thể
kiểm soát lưu lượng đến hoặc đi

36
3.2.2. Bảo mật mạng Access

Hình 3.2.2. Access

Các biện pháp chính để cung cấp bảo mật trên các Switch Access bao gồm:
 Hạn chế broadcast và domains.
 Spanning Tree Protocol (STP) Security
- Rapid PVST + (hội tụ nhanh)
- BPDU Guard (tắt cổng nếu nhận được BPDU, ngăn thao tác STP)
- Root Guard để bảo vệ khỏi các vòng lặp vô ý (ngăn chặn các thiết bị
chuyển mạch khác trở thành cầu nối gốc)
- Bộ lọc BPDU (ngăn chặn các BPDU được phát sóng đến các cổng
truy cập)

37
 DHCP Protection
- Triển khai DHCP snooping trên các VLAN truy cập để bảo vệ trước
các cuộc tấn công máy chủ DHCP giả mạo.
 IP Spoofing Protection
- Triển khai Bảo vệ nguồn IP trên các cổng truy cập để ngăn chặn việc
giả mạo IP.
 ARP Spoofing Protection
- Thực hiện kiểm tra ARP động (DAI) trên các VLAN truy cập.
 MAC Flooding Protection
- Bật Port Security trên các cổng truy cập (để giới hạn số lượng địa chỉ
MAC được phép trên một cổng).
 Broadcast - Multicast Storm Protection
- Bật kiểm soát storm trên các cổng truy cập.
 Thực tiễn phổ biến bảo mật nhất về VLAN
- Hạn chế các VLAN trong một Swtich duy nhất (phương pháp hay
nhất về thiết kế hiện tại, ngăn ngừa các vấn đề về STP).
- Định cấu hình các VLAN riêng biệt cho dữ liệu.
- Định cấu hình tất cả các cổng hướng tới người dùng là non-trunking
(DTP tắt)
- Vô hiệu hóa VLAN dynamic trunk trên các cổng truy cập (ngăn chặn
các cuộc tấn công VLAN hopping)
- Cấu hình rõ ràng Trunking trên các cổng cơ sở hạ tầng thay vì tự động
cấu hình.
- Sử dụng chế độ VTP
- Tắt các cổng không sử dụng và đặt vào VLAN không sử dụng
- Không sử dụng VLAN 1.
- Cấu hình VLAN gốc trên các liên kết Trunk đến một VLAN không sử
dụng (ngăn VLAN hopping sử dụng các khung được gắn thẻ kép –
double tagged frames)
 Phần mềm chống vi-rút trên các Endpoint: Cài đặt phần mềm chống vi-
rút và cập nhật các định nghĩa vi-rút. Nhiều chương trình chống vi-rút cũng
có các tính năng bổ sung giúp phát hiện hoặc bảo vệ khỏi phần mềm gián
điệp và phần mềm quảng cáo.

38
3.2.3. Bảo mật mạng Wireless
- Thay đổi mật khẩu mặc định: Cấu hình trước với mật khẩu quản trị viên
mặc định để đơn giản hóa việc thiết lập. Mật khẩu mặc định này có thể dễ
dàng lấy trực tuyến. Thay đổi mật khẩu mặc định khiến kẻ tấn công khó truy
cập thiết bị hơn. Sử dụng và thay đổi định kỳ các mật khẩu phức tạp là tuyến
phòng thủ đầu tiên.
- Hạn chế truy cập: Chỉ cho phép người dùng được ủy quyền truy cập mạng.
Có thể hạn chế quyền truy cập vào mạng của mình bằng cách lọc các địa chỉ
MAC. Có thể sử dụng tài khoản “khách”, đây là một tính năng được sử dụng
rộng rãi trên nhiều bộ định tuyến không dây. Tính năng này cho phép cấp
quyền truy cập không dây cho khách trên một kênh không dây riêng biệt
bằng mật khẩu riêng, đồng thời duy trì tính riêng tư của thông tin đăng nhập
chính.
- Mã hóa dữ liệu trên mạng: Mã hóa dữ liệu không dây ngăn không cho bất
kỳ ai có thể truy cập mạng. Truy cập được bảo vệ bằng Wi-Fi (WPA),
WPA2 và WPA3 mã hóa thông tin được truyền giữa bộ định tuyến không
dây và thiết bị không dây. WPA3 hiện là mã hóa mạnh nhất. WPA và WPA2
vẫn có sẵn; tuy nhiên, nên sử dụng thiết bị hỗ trợ đặc biệt WPA3.
- Bảo vệ mã định danh dịch vụ (SSID): Tất cả các bộ định tuyến Wi-Fi đều
cho phép người dùng bảo vệ SSID, điều này khiến những kẻ tấn công khó
tìm thấy mạng hơn. Ít nhất, hãy thay đổi SSID của thành một cái gì đó duy
nhất. Để nó làm mặc định của nhà sản xuất có thể cho phép kẻ tấn công tiềm
năng xác định loại bộ định tuyến và có thể khai thác bất kỳ lỗ hổng đã biết
nào.

39
 - Kết nối bằng Mạng riêng ảo (VPN): Nhiều công ty và tổ chức có VPN.
VPN mã hóa các kết nối ở đầu gửi và nhận và loại bỏ lưu lượng không được
mã hóa đúng cách.

CHƯƠNG 4. TRIỂN KHAI CÀI ĐẶT

4.1. Sơ đồ đi cáp giữa 3 tòa nhà
Mô phỏng đường dây đi cáp

Sơ đồ đi cáp giữa 3 toà nhà

40
41
4.2. Triên khai cài đặt switch

- Lắp đặt các thiết bị vào tủ rack và hộ kỹ thuật

- Đấu nối dây theo sơ đồ

- Cấu hình bảo mật cho switch để tránh xâm nhập trái phép

- Cấu hình vlan

- Cấu hình Etherchannel

4.3. Triển khai cài đặt firewall

- Lắp đặt các thiết bị vào tủ rack và hộ kỹ thuật

- Đấu nối dây theo sơ đồ

- Cấu hình bảo mật cho firewall để tránh xâm nhập trái phép

- Thêm giá trị vlan vào firewall

- Cấu hình tạo zone inside và outside

- Đặt security level cho các zone

- Cấu hình DHCP (cấp ip động cho từng tầng)

4.4. Triển khai cài đặt wireless lan controller

- Lắp đặt các thiết bị vào tủ rack và hộ kỹ thuật

- Đấu nối dây theo sơ đồ

- Cấu hình bảo mật cho wireless lan controller để tránh xâm nhập trái phép

- Cấu hình WLAN (Wireless LAN Controller)

42
- Cấu hình Authentication cho các Access Point
- Cấu hình Intra-Controller Roaming

KẾT LUẬN

43