Professional Documents
Culture Documents
Contents
Lời nói đầu.......................................................................................................................................1
I. Cơ sở hạ tầng và yêu cầu của công ty ABC.........................................................................4
1. Cơ sở hạ tầng:......................................................................................................................4
2. Các yêu cầu về hệ thống mạng:..........................................................................................6
II. Thiết kế hê ̣ thống mạng.........................................................................................................8
1. Mô hình mạng logic:...........................................................................................................8
1.1. Tòa nhà chính:.............................................................................................................8
1.2. Chi nhánh 1:...............................................................................................................10
1.3. Chi nhánh 2 :..............................................................................................................11
2. Lý do chọn mô hình mạng:...............................................................................................12
3. Sơ đồ vật lý:........................................................................................................................13
3.1. Tòa nhà chính:...........................................................................................................13
3.2. Chi nhánh 1:...............................................................................................................17
3.3. Chi nhánh 2:...............................................................................................................21
II.3 Quy hoạch địa chỉ IP cho hệ thống mạng và thiết bị.........................................................30
Tòa nhà trung tâm.........................................................................................................33
Chi nhánh 1 – quy hoạch địa chỉ IP.............................................................................37
Chi nhánh 2:..................................................................................................................40
III. CÁC DỊCH VỤ HỆ THỐNG...........................................................................................44
1. Dịch vụ kết nối Internet và kết nối giữa tòa nhà chính với các chi nhánh..................44
2. Hê ̣ Thống Firewall:...........................................................................................................50
3. Hê ̣ Thống dự phòng:.........................................................................................................57
4. Hê ̣ Thống VoIP:................................................................................................................61
5. Dịch vụ web và email :......................................................................................................65
6. Dịch vụ máy chấm công vân tay......................................................................................65
1
IV. Chi phí toàn hệ thống :.....................................................................................................66
V. Tổng kết................................................................................................................................72
Điểm mạnh :....................................................................................................................72
Điểm yếu – nguyên nhân và so sánh...............................................................................72
Lời khuyên :....................................................................................................................74
VI. Tài liệu tham khảo............................................................................................................75
2
I. Cơ sở hạ tầng và yêu cầu của
công ty ABC
1. Cơ sở hạ tầng:
Trụ sở chính : Tòa nhà 3 lầu với diện tích mặt sàn 2400m2(60x40) , đặt ở Quận Thanh
Khê
Chi nhánh 1: Gồm một tòa nhà 2 lầu và 1 tầng hầm, với diện tích mặt sàn
o Chi nhánh 2: Tòa nhà 4 lầu , diện tích mặt sàn 4000m2 . Đặt Quận Ngũ Hành
Sơn
3
Thiết bị có sẵn ở Trụ sở chính :
PC PV-D5701 20
Firewall ISA 1
Chi nhánh 1 và chi nhánh 2 vừa được xây dựng mới hoàn toàn .
4
Hệ thống máy chủ mạnh , hoạt động 24/24, đảm bảo yêu cầu truy cập từ mọi trụ
sở và chi nhánh vào mọi thời điểm. Thời gian phản hồi các yêu cầu đáp ứng thời
gian thực.
Hệ thống chấm công bằng cách quét vân tay cho nhân viện trên trụ sở chính và
Hệ thống mạng phải được bảo mật, các hệ thống ngoài mạng không nhìn thấy mô
Hệ thống trang web để quảng bá sản phẩm , hệ thống thư điện tử.
Hệ thống Voip
5
H2.1 Mô hình logic tòa nhà chính
Mô hình mạng toàn nhà chính gồm các thiết bị chính được tâ ̣p trung ở phòng
server và IT. Ngoài ra để đảm bảo mức tín hiê ̣u giữa các thiết bị có khoảng cách hơn
Switch ở các tầng lầu có port Uplink có tốc độ 1000MB/s dùng để nối với switch
6
Router: Hê ̣ thống bao gồm 2 router, 1 kết nối mạng WAN và 1 Router kết nối tới
2 chi nhánh .
Hệ thống các máy chủ được đặt tại phòng server có máy lạnh và hệ thống dự
phòng UPS, máy chủ Database cấu hình mạnh để đáp ứng nhu cầu xử lý và đồng
bô ̣ dữ liê ̣u từ chi nhánh. Database được bảo vê ̣ bằng Server Backup.
Hê ̣ thống Firewall: Firewall gate là sự kết hợp của phần mềm bảo mâ ̣t chuyên
dụng của hãng checkpoint VPN-1 UTM chạy trên phần cứng chuyên dụng
crossbeam 6, IPS để bảo vệ vùng CSDL : database server, App server , DHCP
server … Web firewall để bảo vệ vùng DMZ (chứa web và mail server) và hê ̣
thống Scan virus chuyên dụng của hãng Trend Micro đă ̣t trước Firewall gateway.
Vì chi nhánh 1 khá nhỏ nên ko có hê ̣ thống Server riêng, database sẽ được truy câ ̣p từ chi
nhánh chính.
7
H2.2. Mô hình logic chi nhánh 1
Các thiết bị được lắp đă ̣t tâ ̣p trung tại phòng server như chi nhánh chính
Router: 1 Router kết nối chi nhánh chính và truy câ ̣p WAN
Các thiết bị được lắp đă ̣t tâ ̣p trung tại phòng server như chi nhánh chính
Router: 1 Router kết nối chi nhánh chính và truy câ ̣p WAN
Firewall: Firewall gate là sự kết hợp của phần mềm VPN-1 UTM của hãng
checkpoint chạy trên phần cứng chuyên dụng crossbeam C6 – hê ̣ thống IPS cho
9
2. Lý do chọn mô hình mạng:
Với mô hình mạng trên sẽ đảm bảo được các yêu cầu về tốc đô ̣ xử lý, an toàn
thông tin và bảo mâ ̣t dữ liê ̣u cho web, mail, server farm.
Chúng tôi chọn mô hình trên theo hướng mở rô ̣ng các dịch vụ cho tương lai, mô
hình trên sẵn sàng đáp ứng các nhu cầu về thêm các thiết bị như PC, IP Phone,
Hê ̣ thống web có thể dùng để mua hàng và thanh toán trực tiếp mô ̣t cách an toàn.
Hê ̣ thống IPX riêng biê ̣t có thễ dễ dàng mở rô ̣ng các dịch vụ video conferencing
dễ dàng – Với đường line riêng nên mạng Lan trong công ty được bảo vê ̣ khỏi các
Các tòa nhà đều có hệ thống máy chủ cơ sở dữ liệu riêng,nhằm giảm tải cho máy
chủ CSDL ở tòa trung tâm. hệ thống CSDL ở 2 chi nhánh sẽ được truyền về máy
chủ CSDL ở tòa nhà chính vào thời gian định săn để quản lý tập trung và backup
kịp thời.
10
H2.4 Sơ đồ vật lý – Trụ sở chính – lầu 1
11
H2.5 Sơ đồ vật lý – Trụ sở chính – lầu 2
12
H2.6 Sơ đồ vật lý – Trụ sở chính – lầu 3
13
Tòa nhà chính - Tầng 3:
14
3.2. Chi nhánh 1:
15
CN1 - Tầng hầm:
16
CN1 - Tầng 1:
17
CN1 - Tầng 2:
Phòng tiếp thị và hoă ̣ch định chiến lược: 12 PC – 12 IP Phone – 2 Print
Chi nhánh 2 với diện tích 4000 M2, nhưng diện tích mặt sàn xây dựng là 3000m2(60x50) .
Chi nhánh 2 có 229 người bao gồm quản lý – nhân viên – bảo vệ - lao công.
18
H2.10 Sơ đồ vật lý – chi nhánh 2 – lầu 1
CN2 - Lầu 1 :
Ngoài ra, còn nối tới 2 máy quét vân tay và 2 máy quét thẻ
19
H 2.11 – Thiết bị CN2-lầu 1
20
Lắp đặt , bảo trì: 20
CN2- lầu 2 gồm 1 switch 48 port + patch panel 48 port, được dẫn tới các PC và máy in
Switch được nối lên switch trung tâm bằng port uplink 1000Mb/s.
21
Cn2 - Lầu 3 :
CN2 – lầu 3 : Số lượng nhân viên lầu 2 gồm 56 người được phân bố như sau :
22
Bảo hành : 18 người : 18 PC + 2 máy tin.
1 switch 48 port dẫn dây âm tường đi đến các PC các phòng, quầy .
Kết nối lên switch trung tâm ở lầu 4 bằng port uplink.
CN2 - Lầu 4 :
23
Đây là lầu đặt hệ thống máy chủ, các switch của các lầu sẽ được dẫn lên tầng 4 này .
CN2 – lầu 4 gồm : phòng giám đốc chi nhánh , phòng kế toán, phòng quản lý nhân sự,
Giám đốc : 1
Thư ký: 1
Kế toán : 15
Nhân Sự: 18
IT : 8
Quản thư : 6
24
Phòng giám đốc 1 PC
Phòng IT 6 PC + 1 máy in
1 switch 48 port + 2 sw 24 port + 2 patch panel 48 port để kết nối tới các
phòng ban.
Một router để kết nối ra internet và kết nối tới chi nhánh trung tâm.
Sử dụng Access Point ở phòng họp và phòng thư viện tiện lợi cho việc sử dùng laptop
kết nối internet và tài nguyên trong khi hội họp , và 1 access point trong phòng thư
Đường kết nối từ các switch các lầu đến swich trung tâm đều dùng port uplink tốc độ
1000 mb/s, trong khi từ các switch đến các PC là tốc dộ 100MB/s nhắm đảm bảo tốc
25
độ truyền dữ liệu và giải quyết vấn đề tắt ngẵn khi nhiều luồng dữ liệu up lên cùng 1
lúc.
thong số Catalyst 3560 24 10/100/1000T + 4 SFP + IPB Image (24 port của Sw L3
này đều đạt đến tốc độ 1000mb/s), bên đó ta dùng 1 Sw nữa thiết kế theo mô hình
26
H 2.17 Mô hình chung quy định địa chi IP
27
R3
Trụ sở chính :
28
Chi nhánh 1: IP Internet: 203.101.101.1 - 4
STT VLAN Số thiết bị cần MAX IP Dải địa chỉ (IP đầu/subnet Mask -> IP
cấp địa chỉ cuối/subnet Mask)
29
2 Thu ngân 7 30 192.168.1.32/27 à192.168.1.63/27
Bảng thông tin chi tiết các thiết bị trên từng Vlan :
Viết tắt :
A : Vlan
30
B:Loại Thiết Bị
C: Tên thiết bị
D: Số lượng
G: default gateway
STT A B C D E F G
32
A2A)
STT VLAN Số thiết bị Số địa chỉ IP tối Dải địa chỉ (IP đầu/subnet Mask -> IP
cần cấp địa đa có thể dử cuối/subnet Mask)
chỉ dụng
7 IT 5 14 192.168.11.32/27 à192.168.11.47
Bảng thông tin chi tiết chia IP cho từng loại thiết bị trên từng VLan cụ thể :
STT A B C D E F G
34
1 IP Phone IP Phone Grandstream GXE5028 63 RJ45 192.168.10.2/25 à 192.168.10.1
VoIP Phone System - 192.168.10.126/25
GXE-5028
8 Server Farm DHCP server IBM System X3500 M3 1 RJ45 192.168.11.50/28 192.168.11.49
(7380 - 42A)
35
HP LaserJet P1102
Chi nhánh 2:
STT tên phòng Số thiết bị Số địa chỉ IP tối Dãy địa chỉ IP
cần cấp địa đa có thể dử
chỉ dụng
11 IT 7 14 192.168.101.128/28 à192.168.101.143
36
13 vân tay 2 6 192.168.101.152/29 à 192.168.101.159
16 TK GD 2 6 192.168.101.176/29 à192.168.101.183
STT A B C D E F G
37
HP LaserJet à192.168.101.30
P1102
38
17 PGD PC PV-D7502 1 RJ45 192.168.101.186/29 192.168.101.185
39
III. CÁC DỊCH VỤ HỆ THỐNG
1. Dịch vụ kết nối Internet và kết nối giữa tòa nhà chính với
A . Internet :
H3.1 - Internet
40
Nhu cầu lắp đă ̣t Internet
Ngày nay với sự bùng nổ mạnh mẽ của Internet đã làm cho nhu cầu sử dụng Internet ngày càng
tăng trong cô ̣ng đồng dân cư nói chung đă ̣c biê ̣t là trong các công ty nói riêng. Công viê ̣c hiê ̣n
đại ngày càng liên quan mâ ̣t thiết đến mạng Internet : mail, web, hô ̣i nghị qua mạng, làm viê ̣c từ
xa …Chình vì vâ ̣y viê ̣c lắp đă ̣t và sử dụng mạng Internet trong mô ̣t công ty là hết sức quan trọng,
nó không những phục vụ công viê ̣c hàng ngày mà còn thúc đẩy sự phát triển của công ty ngày
Đối với một công ty bán hàng lớn và nhiều chi nhánh như ABC viê ̣c kết nối internet rất quan
trọng trong hoạt động của công ty cũng như sự phát triển và mở rộng sau này.
Công ty ABC là mô ̣t công ty chuyên về mua bán sản phẩm điê ̣n tử ,chi nhánh chính có số
lượng nhân viên nhiều nhất , hầu hết mỗi nhân viên đều có máy tính (có nối mạng Internet)
nên chúng em chọn gói cước là FTTP Pro. Và, chúng em sử dụng gói cước FTTP Office cho
41
b. . Mạng WAN
MegaWAN là dịch vụ kết nối mạng máy tính tại nhiều điểm cố định khác nhau trên diện rộng
của các tổ chức, doanh nghiệp. Đây là mạng riêng ảo kết nối mạng riêng nội hạt, liên tỉnh, quốc
42
tế để truyền số liệu, truyền dữ liệu thông tin rất tiện lợi và đáng tin cậy cho doanh nghiệp trong
kinh doanh.
MegaWan rất cần thiết cho các tổ chức, doanh nghiệp có nhiều chi nhánh, nhiều điểm giao dịch
cần phải kết nối truyền dữ liệu như: Ngân hàng, Bảo hiểm, Hàng không, Cty chứng khoán ...
MegaWan kết nối các mạng máy tính trong nước và quốc tế bằng đường dây thuê bao SHDSL
(công nghệ đường dây thuê bao số đối xứng) hoặc ADSL (công nghệ đường dây thuê bao số bất
MPLS là thuật ngữ viết tắt cho Multi-Protocol Label Switching (chuyển mạch nhãn đa giao
thức). Nguyên tắc cơ bản của MPLS là thay đổi các thiết bị lớp 2 trong mạng như các thiết bị
chuyển mạch ATM thành các LSR (label-switching router-Bộ định tuyến c
huyển mạch nhãn). LSR có thể được xem như một sự kết hợp giữa hệ thống chuyển mạch ATM
chúng em lựa chon công ty điê ̣n toán và truyền số liê ̣u VDC là nhà cung cấp MegaWan. Những
lợi ích mà VDC mang lại khi lắp đă ̣t dịch vụ VPN/VNN (MPLS)
Công nghệ chuyển mạch nhãn đa giao thức MPLS (Multi Protocol Label Switching) là công
nghệ mới nhất đang được ứng dụng tại đa số các quốc gia lớn ( Nhật, Mỹ, Singapore…)
43
- Tận dụng khả năng xử lý của các thiết bị trong mạng core MPLS của VDC. Giảm các chi
- Đáp ứng mô hình điểm – đa điểm, cho phép kết nối mạng riêng với chỉ 1 đường kênh vật lý
duy nhất.
- Chi phí sử dụng rẻ hơn tới 50% so với công nghệ truyền thống.
- Bảo mật tuyệt đối trên mạng core MPLS của VDC
- Bảo mật tối ưu trên kênh Leased Line riêng (local loop)
- Khi có nhu cầu thiết lập thêm chi nhánh hoặc điểm giao dịch, khách hàng chỉ cần đăng ký
thêm điểm kết nối với VDC mà không cần bất cứ một đầu tư lại gì trên mạng hiện có.
- Mọi cấu hình kết nối đều thực hiện tại mạng core MPLS của VDC, thành viên mạng không
- Với quá trình quản trị và thiết lập VPN tại mạng core MPLS của VDC sẽ giúp đơn giản hoá
tối đa công việc quản trị IT trong hoạt động của doanh nghiệp.
- Giảm các chi phí đầu tư thiết bị đắt tiền và phức tạp
44
• Tốc độ cao, đa ứng dụng và cam kết QoS
- VPN MPLS cho phép chuyển tải dữ liệu lên với tốc độ Gbps qua hệ thống truyền dẫn cáp
quang.
- Không chỉ là Data, VPN MPLS tại VDC có thể triển khai đầy đủ các ứng dụng về thời gian
- Cung cấp các khả năng cam kết tốc độ và băng thông tối thiểu (QoS)
- Hạ tầng mạng truyền số liệu được hậu thuẫn mạnh mẽ bởi Tập đoàn Bưu chính Viễn thông
- Hạ tầng mạng lõi MPLS thiết lập bởi hệ thống thiết bị đồng bộ của Cisco.
- Kết nối trực tiếp bằng kênh riêng cáp ngầm.
- Hơn 1 Gbps kết nối NNI với các đối tác quốc tế lớn tại Hongkong, Singapore, Nhật Bản,
Mỹ.
Hiê ̣n nay có rất nhiều công ty cung cấp kết nối MegaWan , tuy nhiên chúng em lựa chọn
VDC còn nhằm mục đích mở rô ̣ng ra thị trường quốc tế.
45
Ở đây leased line không là lựa chọn hàng đầu của công ty bởi nhiều nguyên do sau :
Phần dữ liê ̣u nhạy cảm khi khách hàng thanh toán bằng thẻ ngân hàng : có sự hỗ
trợ bảo mâ ̣t tối ưu từ ngân hàng cung cấp dịch vụ.
Dữ liê ̣u truyền đi không liên tục : chủ yếu là dữ liê ̣u hàng hóa, có thể truyền theo
Kết nối Internet : sử dụng dịch vụ kết nối internet khi lắp đă ̣t mạng WAN của VDC
Dự phòng VPN khi VPN/VNN bị hư : có hỗ trợ sẵn bởi thiết bị của công ty .
2. Hê ̣ Thống Firewall:
46
Hệ thống Firewall gateway sẽ kiểm soát luồng dữ liệu đi qua bao gồm: Truy cập từ ngoài
Internet vào vùng dịch vụ trực tuyến, người dùng ở mạng LAN truy cập Internet qua đường
LeasedLine, ADSL hoặc Wireless, người dùng ở mạng LAN truy cập vào vùng Server ứng
dụng và cơ sở dữ liệu. Firewall sẽ kiểm soát, xác thực và ngăn chặn những truy cập không
hợp lệ, những tấn công của hacker từ ngoài Internet hoặc trực tiếp xuất phát từ bên trong
47
Với kinh nghiệm triển khai của công ty Misoft, kết hợp với sự phát triển của công nghệ,
chúng tôi đề xuất hệ thống Firewall sẽ là sự kết hợp giữa Firewall VPN1- UTM của hãng
Check Point chạy trên phần cứng chuyên dụng của hãng Crossbeam System. Check Point
Firewall VPN1-UTM hội đủ các yêu tố bảo vệ mạng bao gồm các tính năng Firewall,
AntiVirus, IPS và VPN server chỉ trong một sản phẩm. Check Point Firewall được cài trên
một cặp thiết bị an ninh tích hợp chuyên dụng của hãng Crossbeam System chạy clustering ở
chế độ HA (High availability) đảm bảo tính sẵn sàng cao và hiệu năng hoạt động của toàn
mạng.
(http://www.pcworld.com.vn/articles/quan-ly/tu-van/2007/04/1190428/an-toan-thong-tin-
cho-cong-ty-chung-khoan/ tham khảo ngày 20/04/2011)
Trong mô hình bảo mật, vùng máy chủ cơ sở dữ liệu và máy chủ ứng dụng là quan trọng
nhất trong hoạt động trao đổi thông tin của công ty. Nếu một trong các máy chủ này bị tấn
công hoặc có sự cố, hoạt động kinh doanh của các công ty sẽ bị ảnh hưởng trực tiếp. Do vậy
bên cạnh hệ thống Firewall bảo vệ hạ tầng network của công ty, nhất thiết cần trang bị bổ
sung hệ thống phòng chống xâm nhập (IPS) để bảo vệ riêng cho vùng các Server ứng dụng
này. Khác với Network Firewall, hệ thống IPS sẽ phát hiện và ngăn chặn các xâm nhập ở
tầng ứng dụng, can thiệp trực tiếp vào các protocols, các traffice mà hệ thống Firewall không
phát hiện được. Hệ thống IPS được đặt trong vùng mạng LAN, do vậy hệ thống phải đảm
bảo được tốc độ xử lý để không làm nghẽn luồng thông tin được trao đổi với mật độ cao tại
đây.
48
Với mức độ quan trọng như trên, chúng tôi đề xuất triển khai thiết bị phòng chống xâm
nhập Proventia Network IPS chuyên dụng của hãng Internet Security Systems –ISS. Thiết bị
này cho phép ngăn chặn trước các cuộc tấn công chưa biết cũng như các cuộc tấn công đã
biết như DoS, trojan, peer to peer download, backdoor, malicious http và file đính kèm e-
mail mà không ảnh hưởng đến hoạt động của mạng. Đặc biệt, thiết bị Proventia Network IPS
có khả năng phân tích và nhận dạng các giao thức được sử dụng trong VoIP như SIP, MGCP,
H.323, H.225, H.245, Q.931, T.120 và SCCP để xác định các cuộc tấn công.
Thiết bị này sẽ được đặt trước vùng Server farm bảo vệ cho cả vùng, kiểm soát toàn bộ
các yêu cầu truy cập dữ liệu cả ở mức Network và mức ứng dụng trên các Server. Cơ sở dữ
liệu về các mẫu tấn công (attacking Signatures) sẽ luôn được hệ thống update từ Internet
Security Systems X-Force theo thời gian thực, đảm bảo ngăn chặn tối đa các tấn công có thể
xảy ra hiện nay. Proventia Network IPS có tính năng Fail-open và hỗ trợ cấu hình dạng
Active/Active, Active/Passive do vậy đảm bảo tính sẵn sàng cao của toàn mạng.
49
Ngăn chặn tấn công của Virus tại Gateway và trong các vùng mạng.
Các con đường mà virus có thể tấn công và bùng phát vào mạng của công ty chứng khoán
tương đối đa dạng, xuất phát từ Internet, từ người dùng bên trong, bên ngoài mạng và đặc
biệt qua email. Để có một hệ thống phòng chống có hiệu quả cao thì cần phòng và chống
Virus và Spyware tại cả 4 lớp mạng: gateway, mailserver, server, PCs. Hệ thống này phải
được quản lý tập trung, thống nhất và luôn luôn được cập nhật mẫu Virus và Spyware từ
những trung tâm phòng chống Virus và Spyware lớn trên thế giới. Ngoài ra cần phải có một
chính sách bảo mật chung và kết hợp với các giải pháp bảo mật khác để phòng chống Virus
Trend Micro Client/Server bảo vệ mailserver, server và PC khỏi sự lây nhiễm của Virus
50
Giải pháp tổng thể được chúng tôi đề xuất dựa trên công nghệ và sản phẩm phòng chống
virus của hãng Trend Micro. Các sản phẩm bao gồm:
Đối với ngăn chặn và phòng chống AntiVirus tại Internet Gateway, chúng tôi sử dụng
thiết bị chuyên dụng InterScan Gateway Appliance (ISGA) của hãng Trend Micro. Đây là
thiết bị quét virus, spyware, phishing tại Internet Gateway trên các luồng: SMTP, POP3,
HTTP, FTP và đặc biệt đảm bảo được tốc độ tại điểm Gateway mà hầu hết các traffice trao
đổi thông tin giữa mạng trong và mạng ngoài đều phải đi qua.
51
Các web site thông tin về các sản phẩm bảo mật được đề xuất trong giải pháp tổng thể về
Netcontinuum: www.netcontiuum.com
Các sản phẩm của hệ thống phòng chống xâm nhập (IPS)
52
3. Hê ̣ Thống dự phòng:
Hệ thống Core Switch gồm 2 swich core , được kết nối theo mô hình phân cấp sau :
53
H3.4- mô hình hệ thống phân cấp .
Mô hình phân cấp tạo khả năng dự phòng, khi 1 switch core (sw xử lý nhiều nhất hệ
thống) không hoạt động thì switch bên sẽ chạy , đảm bảo cho hệ thống hoạt động
24/24.
54
3.b Dự phòng kết nối giữa các chi nhánh
Hệ thống Check Point Firewall VPN1-UTM đặt tại trụ sở chính của công ty chứng khoán
bên cạnh chức năng kiểm soát các luồng thông tin ra vào mạng còn là hệ thống VPN Server cho
Với mô hình kết nối VPN Site to Site, tại mỗi chi nhánh hoặc đại lý sẽ sử dụng thiết bị
Firewall VPN chuyên dụng loại nhỏ VPN1-Edge của hãng Check Point. Thiết bị này có đầy đủ
tính năng Firewall và thiết lập kênh kết nối Site to Site qua đường Leaseline hoặc ADSL. Với
mô hình này, hệ thống VPN Server tại Headquater sẽ tự động xác thực giữa 2 đầu thiết bị và
kiểm tra tính an toàn trước khi cho phép thiết lập kênh kết nối.
Thiết bị bảo mật VPN-1 UTM Edge bảo vệ kết nối giữa công ty Chứng khoán với
chi nhánh, đại lý và văn phòng
55
Check Point VPN1-Edge khi thiết lập VPN tunnel sẽ sử dụng các công nghệ mã hoá sau
Mô hình Client to Site áp dụng cho các nhân viên của công ty làm việc tại các TTGDCK
thiết lập kênh kết nối qua Internet, dial-up và hỗ trợ xác thực người dùng bằng nhiều phương
thức như Certificate, Token, Smartcard… trước khi cho phép kết nối. Tại các máy của nhân viên
sẽ cài phần mếm thiết lập kết nối VPN client của Check Point.
4. Hê ̣ Thống VoIP:
56
Sơ đồ triễn khi hệ thống Voip cho từng tòa .
57
Chi nhánh 1
Chi nhánh 2
58
Lợi ích khi triển khi hệ thống Voip trên :
Gọi nội bộ miễn phí với các chi nhánh với nhau.
Kết nối máy Fax giữa các chi nhánh với nhau thông qua hệ thống mạng IP.
Có khả năng sử dụng cả máy điện thoại thông thường, điện thoại IP có dây và không dây.
thống firewall IPS bảo vệ . Việc xây dựng hệ thống web thương mại điện tử nhằm quảng bá
công ty, cung cấp giá cả các mặt hàng , dịch vụ trực tuyến với khách hàng.
Sử dụng thiết bị mới với công nghệ tiên thiến của hãng Digital Person. Hệ thống chấm công
bằng dấu vân tay trên PC bao gồm máy đọc dấu vân tay kích cỡ nhỏ gọn và chương trình quản lý
thời gian. Hai phần này thay thế chức năng máy bấm thẻ hay cách ghi nhận giờ ra-vào khác bất
59
kể là cà thẻ một cách hiệu quả . Với số lượng 2 máy / mỗi tòa nhà, đảm bảo quét tất cả nhân viên
60
Chi nhánh1
61
Chi nhánh 2
Gói cước dành cho Doanh nghiệp Gói cước dành cho
(đồng/TB/lần)
(đồng/TB/lần)
63
(đồng/TB/lần)
Modem Modem TP
Chủng loại thiết Media Modem Modem
Proware M- Link TL-
bị Converter Draytek - 2910 Draytek - 2950
R460 R460
64
Chi nhánh 1 : 48 694 $
V. Tổng kết
Với mô hình thiết kế mạng này, nhóm đã đáp ứng đầy đủ các yêu cầu của công ty
ABC . Hơn nữa, khả năng mở rộng của hệ thống là rất lớn. Những điểm mấu chốt
Điểm mạnh :
Dự án thiết kế mạng này đáp ứng đầy đủ yêu cầu của công ty ABC . Được thể hiện qua các chi
tiết sau :
Thiết kế theo sự phân cấp à dễ thay đổi, mở rộng, nâng cấp, bảo trì .
65
Hệ thống web, mail server truy cập từ công ty và internet
Toàn bộ hệ thống sử dụng Patch panel và Outlet tạo thẫm mĩ cho hệ thống mạng và
tòa nhà
Nhóm chúng em muốn đưa ra môt hệ thống mạng tốt nhất , một giải pháp an ninh
chặt chẽ nhất với các thiết bị thuộc diện “cao cấp” nhất có thể, vấn đề tiền bạc nhóm
không quan tâm lắm . Vì thể khi tổng kết lại giá cả lên tới 4 tỷ 2 cho toàn bộ hệ
thống.
Giá cả hệ thống cao vì nhóm sử dụng những thiết bị cao cấp và có khả năng hoạt
động rất tốt. Lấy dẫn chứng hệ thống firewall : tại sao sử dụng hệ thống firewall
checkpoint với giá thiết bị rất cao mà không sử dụng các hệ thống firewall của
iptables hoặc ISP? Bời vì check point có những tính năng vượt trội hơn hẳn iptables.
Cả hai đều sử dụng "stateful packet filtering" firewall. Tuy nhiên, iptables chỉ dừng
lại ở tầng IP và tạo điều kiện để các ứng dụng tích hợp khác kiểm soát packets ở tầng
66
cao hơn xuyên qua "target" QUEUE của netfilter. Trong khi đó, checkpoint bao cả 7
tầng OSI và nó có khả năng kiểm soát khá sâu với nội dung packet của tầng
Iptables thật ra chỉ là "interface" ở phía user để tương tác với netfilter ở phía kernel.
Bởi thế, so sánh khả năng của checkpoint với iptables thì đúng ra nên so sánh ở phía
Netfilter / iptables cực kỳ gọn nhẹ và nhóm phát triển nó không quan tâm đến việc
cung cấp GUI để điều khiển. Chỉ có một số nhóm tạo những cái GUI (đơn giản và
phức tạp) khác nhau để giúp điều chỉnh và kiểm soát rules cho dễ. Trong khi đó, GUI
của Checkpoint cực kỳ tinh xảo (và nếu không có GUI thì có lẽ checkpoint sẽ khó
dùng). Checkpoint đòi hỏi tài nguyên khá nhiều và trọn bộ cơ chế làm việc của nó
Netfilter / iptables không tích hợp VPN mà chỉ có những modules giúp xử lý VPN
qua những giao thức thông thường để tạo VPN (IPSEC AH/ESP, PPTP). Trong khi
đó, Checkpoint có giải pháp VPN đầy đủ và tích hợp hoàn toàn với firewall; sử dụng
Lời khuyên :
- Nếu công ty chịu đầu tư để triển khai hệ thống mạng này , tuy giá cả hơi cao, nhưng bù
lại, hệ thống sẽ hoạt động luôn ổn định. Dữ liệu an toàn với hệ thống firewall check point
67
, IPS. Mạng hoạt động thông suốt với mô hình thiết kế phân cấp có dự phòng . Và khả
- Tuy nhiên, nếu muốn giảm giá tiền xuống. Ta có thể sử dụng hệ thống firewall ISA của
Microsoft, giá thiết bị sẽ giảm đáng kể. Ví dụ: thiết bị Firewall check point VPN1- UTM
http://www.ipphone-warehouse.com/Grandstream-GXE5028-IP-PBX-VoIP-Phone-System-
p/grandstream-gxe5028-ip-pbx.htm
www.checkpoint.com
68
[4] Wikipedia 2011, vi.wikipedia.org, ngày 1 tháng 4 năm 2011,
http://vi.wikipedia.org/wiki/M%E1%BA%A1ng_ri%C3%AAng_%E1%BA%A3o
http://www.sieuthivienthong.com/SWITCHCISCO/254/category.html
http://www.tumang.us/vn/Tu-rack-27U-sau-1000-p1421-Tu-mang-27U-sau-1000mm-Cua-
luoi-n465
[7] Quản trị máy chủ, quantrimaychu.com, ngày 25 tháng 3 năm 2011
http://quantrimaychu.com/showthread.php?t=3577&s=f9c7aa8c3cc69061d93fc1c891cefc43
69