Đồ án thiết kế mạng

Mục Lục
Contents
Lời nói đầu.......................................................................................................................................1
I. Cơ sở hạ tầng và yêu cầu của công ty ABC.........................................................................4
1. Cơ sở hạ tầng:......................................................................................................................4
2. Các yêu cầu về hệ thống mạng:..........................................................................................6
II. Thiết kế hê ̣ thống mạng.........................................................................................................8
1. Mô hình mạng logic:...........................................................................................................8
1.1. Tòa nhà chính:.............................................................................................................8
1.2. Chi nhánh 1:...............................................................................................................10
1.3. Chi nhánh 2 :..............................................................................................................11
2. Lý do chọn mô hình mạng:...............................................................................................12
3. Sơ đồ vật lý:........................................................................................................................13
3.1. Tòa nhà chính:...........................................................................................................13
3.2. Chi nhánh 1:...............................................................................................................17
3.3. Chi nhánh 2:...............................................................................................................21
II.3 Quy hoạch địa chỉ IP cho hệ thống mạng và thiết bị.........................................................30
 Tòa nhà trung tâm.........................................................................................................33
 Chi nhánh 1 – quy hoạch địa chỉ IP.............................................................................37
 Chi nhánh 2:..................................................................................................................40
III. CÁC DỊCH VỤ HỆ THỐNG...........................................................................................44
1. Dịch vụ kết nối Internet và kết nối giữa tòa nhà chính với các chi nhánh..................44
2. Hê ̣ Thống Firewall:...........................................................................................................50
3. Hê ̣ Thống dự phòng:.........................................................................................................57
4. Hê ̣ Thống VoIP:................................................................................................................61
5. Dịch vụ web và email :......................................................................................................65
6. Dịch vụ máy chấm công vân tay......................................................................................65
1
IV. Chi phí toàn hệ thống :.....................................................................................................66
V. Tổng kết................................................................................................................................72
 Điểm mạnh :....................................................................................................................72
 Điểm yếu – nguyên nhân và so sánh...............................................................................72
 Lời khuyên :....................................................................................................................74
VI. Tài liệu tham khảo............................................................................................................75
2
I. Cơ sở hạ tầng và yêu cầu của
công ty ABC
1. Cơ sở hạ tầng:
 Trụ sở chính : Tòa nhà 3 lầu với diện tích mặt sàn 2400m2(60x40) , đặt ở Quận Thanh
Khê
 Chi nhánh 1: Gồm một tòa nhà 2 lầu và 1 tầng hầm, với diện tích mặt sàn
600m2(30x20), đặt ở Quận Liên Chiểu
o Chi nhánh 2: Tòa nhà 4 lầu , diện tích mặt sàn 4000m2 . Đặt Quận Ngũ Hành
Sơn
o Cơ sở vâ ̣t chất đã có sẵn của trụ sở chính:
H1.2. Mô hình mạng sẵn có của công ty ABC
3
Thiết bị có sẵn ở Trụ sở chính :
Tên thiết bị Hãng sản xuất Số lượng
PC PV-D5701 20
Màn hình LCD SAMSUNG E1920NX Wide 20
máy in laser trắng đen HP LaserJet P1102 5
SW 24 port l2 Switch Cisco WS-CE500-24TT 2
DataBase Server IBM® System® x3550M3 (7944 - A2A) 1
Firewall ISA 1
Chi nhánh 1 và chi nhánh 2 vừa được xây dựng mới hoàn toàn .
2. Các yêu cầu về hệ thống mạng:
H1.3. Các yêu cầu của hê ̣ thống mạng
4
 Hệ thống máy chủ mạnh , hoạt động 24/24, đảm bảo yêu cầu truy cập từ mọi trụ
sở và chi nhánh vào mọi thời điểm. Thời gian phản hồi các yêu cầu đáp ứng thời
gian thực.
 Hệ thống chấm công bằng cách quét vân tay cho nhân viện trên trụ sở chính và
chi nhánh trong vòng 15 phút.
 Hệ thống mạng phải được bảo mật, các hệ thống ngoài mạng không nhìn thấy mô
hình mạng bên trong cũng như các thiết bị.
 Hệ thống trang web để quảng bá sản phẩm , hệ thống thư điện tử.
 Hệ thống Voip
II. Thiết kế hê ̣ thống mạng

1. Mô hình mạng logic:
1.1. Tòa nhà chính:
5
H2.1 Mô hình logic tòa nhà chính
Mô hình mạng toàn nhà chính gồm các thiết bị chính được tâ ̣p trung ở phòng
server và IT. Ngoài ra để đảm bảo mức tín hiê ̣u giữa các thiết bị có khoảng cách hơn
100m, ta dùng các switch 24 và 48 port ở các tầng.
Switch ở các tầng lầu có port Uplink có tốc độ 1000MB/s dùng để nối với switch
trung tâm để đảm bảo tốc đô ̣ truyền dữ liệu.
Mô hình mạng toàn nhà bao gồm:
6
 Router: Hê ̣ thống bao gồm 2 router, 1 kết nối mạng WAN và 1 Router kết nối tới
2 chi nhánh .
 Hệ thống các máy chủ được đặt tại phòng server có máy lạnh và hệ thống dự
phòng UPS, máy chủ Database cấu hình mạnh để đáp ứng nhu cầu xử lý và đồng
bô ̣ dữ liê ̣u từ chi nhánh. Database được bảo vê ̣ bằng Server Backup.
 Hê ̣ thống Firewall: Firewall gate là sự kết hợp của phần mềm bảo mâ ̣t chuyên
dụng của hãng checkpoint VPN-1 UTM chạy trên phần cứng chuyên dụng
crossbeam 6, IPS để bảo vệ vùng CSDL : database server, App server , DHCP
server … Web firewall để bảo vệ vùng DMZ (chứa web và mail server) và hê ̣
thống Scan virus chuyên dụng của hãng Trend Micro đă ̣t trước Firewall gateway.
1.2. Chi nhánh 1:
Vì chi nhánh 1 khá nhỏ nên ko có hê ̣ thống Server riêng, database sẽ được truy câ ̣p từ chi
nhánh chính.
7
H2.2. Mô hình logic chi nhánh 1
Mô hình mạng bao gồm:
 Các thiết bị được lắp đă ̣t tâ ̣p trung tại phòng server như chi nhánh chính
 Router: 1 Router kết nối chi nhánh chính và truy câ ̣p WAN
 Firewall: Firewall gate cho toàn bô ̣ hê ̣ thống
1.3. Chi nhánh 2 :

Tâ ̣p trung số lượng lớn nhân viên của công ty ABC
8
H2.3. Mô hình logic chi nhánh 2
Mô hình mạng bao gồm:
 Các thiết bị được lắp đă ̣t tâ ̣p trung tại phòng server như chi nhánh chính
 Router: 1 Router kết nối chi nhánh chính và truy câ ̣p WAN
 Firewall: Firewall gate là sự kết hợp của phần mềm VPN-1 UTM của hãng
checkpoint chạy trên phần cứng chuyên dụng crossbeam C6 – hê ̣ thống IPS cho
Web, Mail Server.
9
2. Lý do chọn mô hình mạng:
 Với mô hình mạng trên sẽ đảm bảo được các yêu cầu về tốc đô ̣ xử lý, an toàn
thông tin và bảo mâ ̣t dữ liê ̣u cho web, mail, server farm.
 Chúng tôi chọn mô hình trên theo hướng mở rô ̣ng các dịch vụ cho tương lai, mô
hình trên sẵn sàng đáp ứng các nhu cầu về thêm các thiết bị như PC, IP Phone,
Print mô ̣t cách dễ dàng.
 Hê ̣ thống web có thể dùng để mua hàng và thanh toán trực tiếp mô ̣t cách an toàn.
 Hê ̣ thống IPX riêng biê ̣t có thễ dễ dàng mở rô ̣ng các dịch vụ video conferencing
dễ dàng – Với đường line riêng nên mạng Lan trong công ty được bảo vê ̣ khỏi các
cuô ̣c tấn công từ PSTN
 Các tòa nhà đều có hệ thống máy chủ cơ sở dữ liệu riêng,nhằm giảm tải cho máy
chủ CSDL ở tòa trung tâm. hệ thống CSDL ở 2 chi nhánh sẽ được truyền về máy
chủ CSDL ở tòa nhà chính vào thời gian định săn để quản lý tập trung và backup
kịp thời.
3. Sơ đồ vật lý:
3.1. Tòa nhà chính:

Trụ sở chính diê ̣n tích 2400 m2 - 132 nhân viên gồm nhân viên các phòng – Giám Đốc –
Phó Giám Đốc
10
H2.4 Sơ đồ vật lý – Trụ sở chính – lầu 1
Trụ sở chính – lầu 1:
 Quầy tiếp tân: 2PC – 1 IP Phone
 Phòng thu ngân: 5 PC – 2 Print – 2 POS – 1 IP Phone
 Phòng giao hàng: 1 PC – 1 IP Phone
11
o Tòa nhà chính - Tầng 2:
 Kho hàng: 2 PC – 2 IP Phone – 2 Print
 Nhâ ̣n lắp đă ̣t: 2 PC – 2 IP Phone
 Bảo hành: 5 PC – 5 IP Phone – 2 Print
12
H2.7 Sơ đồ vật lý – Trụ sở chính – lầu 1 – phòng server
13
Tòa nhà chính - Tầng 3:
 Phòng Giám Đốc: 1 PC – 1 IP Phone
 Phòng Phó Giám Đốc: 1 PC – 1 IP Phone
 Phòng Thư Ký: 2 PC – 2 IP Phone – 2 Print
 Phòng Nghiên Cứu Thị Trường: 5 PC – 2 IP Phone – 2 Print
 Phòng Kinh Doanh: 6 PC – 6 IP Phone – 1 Print
 Phòng Kế Toán Tài Chính: 5 PC – 5 IP Phone – 1 Print
 Phòng Nhân Sự: 5 PC – 3 IP Phone – 1 Print
 Phòng IT: 5 PC – 1 IP Phone – 1 Print
 Phòng Họp + Phòng Nghỉ: 2 Acess point
14
3.2. Chi nhánh 1:
Chi nhánh 1 diê ̣n tích 600 m2 (30x20)
H2.7 Sơ đồ vật lý – Chi nhánh 1 – lầu 1
15
CN1 - Tầng hầm:
Kho Hàng: 2PC – 1 IP Phone – 1 Print
H2.8 Sơ đồ vật lý – chi nhánh 1 – lầu 2
16
CN1 - Tầng 1:
Bô ̣ phâ ̣n lắp đă ̣t: 16 PC – 16 IP Phone – 3 Print
Phòng bảo hành: 4 PC – 1 IP Phone
Phòng kế toán: 8 PC – 8 IP Phone – 4 Print
1 Finger divice – 1 máy POS
17
CN1 - Tầng 2:
Phòng tiếp thị và hoă ̣ch định chiến lược: 12 PC – 12 IP Phone – 2 Print
Phòng tài chính kế toán: 14 PC – 14 IP Phone – 2 Print
Phòng tiếp tân: 1 PC – 1 IP Phone
Phòng Giám Đốc: 2 PC – 2 IP Phone – 1 Print
Phòng Nhân Sự: 11 PC – 11 IP Phone – 2 Print
Phòng IT: 6 PC – 6 IP Phone
Phòng Họp: 1 Access Point
3.3. Chi nhánh 2:
Chi nhánh 2 với diện tích 4000 M2, nhưng diện tích mặt sàn xây dựng là 3000m2(60x50) .
Chi nhánh 2 có 229 người bao gồm quản lý – nhân viên – bảo vệ - lao công.
18
CN2 - Lầu 1 :
 Bộ phận thu ngân gồm 6 PC + 2 máy in + 1 máy quét thẻ .
 Bộ phận giao hàng gồm 2 PC + 1 máy tin
 Bộ phận kho-lầu 1 gồm 1 PC + 1 máy tin.
 Quầy tiếp tân 1 PC.
 Ngoài ra, còn nối tới 2 máy quét vân tay và 2 máy quét thẻ
19
H 2.11 – Thiết bị CN2-lầu 1
CN2 – lầu 2 : gồm :
 Thu Ngân : 6 người
 Giao hàng : 10 người
 Quản kho : 5 người
 Nhân viên tư vấn : 30 người
20
 Lắp đặt , bảo trì: 20
Chi tiết thiết kế :
CN2- lầu 2 gồm 1 switch 48 port + patch panel 48 port, được dẫn tới các PC và máy in
tới tất cả các phòng ban ở lầu 2.
H2.13 – Chi tiết thiết bị CN2- lầu 2
CN2-lầu2 gồm các thiết bị:
 Bộ phận thu ngân gồm 6 PC + 2 máy in + 2 máy quét thẻ.
 Giao hàng gồm 2 pc và 1 máy in.
 Bộ phần lắp đặt-bảo trì gồm 20 PC và 2 máy in.
 Switch được nối lên switch trung tâm bằng port uplink 1000Mb/s.
21
Cn2 - Lầu 3 :
CN2 – lầu 3 : Số lượng nhân viên lầu 2 gồm 56 người được phân bố như sau :
 Thu Ngân : 6 người : 6 PC + 2 máy in .
 Nhân viên tư vấn : 30 người : 20 PC + 2 máy tin.
22
 Bảo hành : 18 người : 18 PC + 2 máy tin.
 Tiếp viên phòng bảo hành: 2
 1 switch 48 port dẫn dây âm tường đi đến các PC các phòng, quầy .
 Kết nối lên switch trung tâm ở lầu 4 bằng port uplink.
CN2 - Lầu 4 :
23
Đây là lầu đặt hệ thống máy chủ, các switch của các lầu sẽ được dẫn lên tầng 4 này .
CN2 – lầu 4 gồm : phòng giám đốc chi nhánh , phòng kế toán, phòng quản lý nhân sự,
phòng server , thư viện, hội trường .
CN2 – lầu 4 có 49 người được phân bố :
 Giám đốc : 1
 Thư ký: 1
 Kế toán : 15
 Nhân Sự: 18
 IT : 8
 Quản thư : 6
Mô hình các thiết bị sử dụng :
H 2.16 : Chi tiết thiết bị CN2 – lầu 4
24
 Phòng giám đốc 1 PC
 Phòng Thư ký 1PC + 1 máy in
 Phòng nhân sự 16 PC + 2 máy in
 Phòng kế toán 15 PC + 2 máy in
 Phòng IT 6 PC + 1 máy in
 Phòng họp gồm 1 access point + 1 PC + 1 máy chiếu
 Phòng giải trí + thư viện : 1 access point
 Phòng server : 1 Database server + 1 DHCP server .
 1 switch 48 port + 2 sw 24 port + 2 patch panel 48 port để kết nối tới các
phòng ban.
 Switch trung tâm là 1 sw 24 port L3 có tốc độ xử lý cao và 1 sw dự phòng
được thiết kế theo mô hình phân cấp .
 Hệ thống firewall Check point và IPS
 Một router để kết nối ra internet và kết nối tới chi nhánh trung tâm.
Giải thích về sự chọn lọc các thiết bị :
Sử dụng Access Point ở phòng họp và phòng thư viện tiện lợi cho việc sử dùng laptop
kết nối internet và tài nguyên trong khi hội họp , và 1 access point trong phòng thư
viện để nhân viện sử dụng laptop vào giờ giải lao.
Đường kết nối từ các switch các lầu đến swich trung tâm đều dùng port uplink tốc độ
1000 mb/s, trong khi từ các switch đến các PC là tốc dộ 100MB/s nhắm đảm bảo tốc
25
độ truyền dữ liệu và giải quyết vấn đề tắt ngẵn khi nhiều luồng dữ liệu up lên cùng 1
lúc.
Hệ thống core gồm 1 sw L3 , ở đây chọn Cisco Switch WS-C3560G-24TS-S với
thong số Catalyst 3560 24 10/100/1000T + 4 SFP + IPB Image (24 port của Sw L3
này đều đạt đến tốc độ 1000mb/s), bên đó ta dùng 1 Sw nữa thiết kế theo mô hình
phân cấp nhắm dự phòng trường họp sw core gặp sự cố .
3. Quy hoạch địa chỉ IP cho hệ thống mạng và thiết bị

Mô hình chung :
26
H 2.17 Mô hình chung quy định địa chi IP
Thiết bị Ký hiệu Cổng IP Subnet mask Default gateway Ghi chú
Router R1 S0/0 192.168.200.1 255.255.255.252 N/A Kết nối với

tòa nhà R2
chính
R1 S0/1 192.168.200.5 255.255.255.252 N/A Kết nối với
27
R3
R1 F0/0 192.168.1.1 255.255.255.0 Kết nối tới

sw core
bên trong
mạng

CN1 R1
R2 F0/0 192.168.10.1 255.255.255.0 N/A Kết nối tới

sw core
bên trong
mạng

CN2 R1
R3 F0/0 192.168.100.1 255.255.255.0 N/A Kết nối tới

sw core
bên trong
mạng
Bảng 1 : Địa chỉ IP trên các cổng router
 Trụ sở chính :
 IP Internet: 203.100.100.3 và 203.100.100.4
 IP Web server: 203.100.100.1
 IP Mail server: 203.100.100.2
28
 Chi nhánh 1: IP Internet: 203.101.101.1 - 4
 Chi nhánh 2: IP Internet: 203.102.102.1 - 4
Hệ thống sử dụng VLAN để chia mạng .
Lợi ích của VLAN
Tiết kiệm băng thông của hệ thống mạng:
Tăng khả năng bảo mật:
Dễ dàng thêm hay bớt máy tính vào VLAN:
Giúp mạng có tính linh động cao:
Hệ thống Vlan được biểu diễn qua các bảng sau :
Tòa nhà trung tâm
STT VLAN Số thiết bị cần MAX IP Dải địa chỉ (IP đầu/subnet Mask -> IP
cấp địa chỉ cuối/subnet Mask)
1 Lắp đặt 13 30 192.168.1.0/27 à 192.168.1. 31/27
29
2 Thu ngân 7 30 192.168.1.32/27 à192.168.1.63/27
3 Nhân sự 7 14 192.168.1.64/28 à192.168.1.79 /28
4 Kế toán 7 14 192.168.1.80/28 à192.168.1.95 /28
5 Nghiên cứu 7 14 192.168.1.96/28 à192.168.1.111 /28
6 Server Farm 7 14 192.168.1.112/28 à192.168.1.127 /28
7 Giao hàng 2 14 192.168.1.128/28 à192.168.1.143 /28
8 Tiếp Tân 2 14 192.168.1.144/28 à192.168.1.159 /28
9 Kho hàng 4 14 192.168.1.160/28 à192.168.1.175 /28
10 Quét thẻ 2 6 192.168.1.176/28 à192.168.1.183 /28
11 Quét vân tay 2 6 192.168.1.184/28 à192.168.1.191 /28
12 Giám đốc 1 6 192.168.1.192/28 à192.168.1.199 /28
13 Phó giám đốc 1 6 192.168.1.200/28 à192.168.1.207 /28
14 DMZ 2 6 192.168.1.208/28 à192.168.1.215 /28
15 AP HỌP 1 6 192.168.1.216/28 à192.168.1.223 /28
16 AP Giải trí 1 6 192.168.1.224/29 à192.168.1.231 /29
17 IT 5 6 192.168.1.232/29 à192.168.1.239 /29
18 Thư ký 4 6 192.168.1.240/29 à192.168.1.247 /29
19 Router 1 1 2 192.168.1.248/30 à 192.168.1. 251/30
20 Router 2 1 2 192.168.1.252/30 à 192.168.1.255 /30
20 IP Phone 64 254 192.168.5.0/24 à 192.168.5.255 /24
Bảng thông tin chi tiết các thiết bị trên từng Vlan :
 Viết tắt :
 A : Vlan
30
 B:Loại Thiết Bị
 C: Tên thiết bị
 D: Số lượng
 E: cổng giao tiếp
 F: Địa chỉ IP /subnet Mask (dải địa chỉl à DHCP cấp )
 G: default gateway
STT A B C D E F G
1 Lắp đặt PC PV-D5701 11 RJ45 192.168.1.2/27 à 192.168.1.1

192.168.1. 30/27
2 Lắpđặt Máy in HP LaserJet 2 RJ45

P1102
3 Thu ngân PC PV-D5701 5 RJ45 192.168.1.34/27 192.168.1.33

à192.168.1.62/27
4 Thu ngân Máy in HP LaserJet 2 RJ45
P1102
5 Nhân sự PC PV-D5701 6 RJ45 192.168.1.66/28 192.168.1.65

à192.168.1.78 /28
6 Nhân sự Máy in HP LaserJet 1 RJ45
P1102
7 Kế toán PC PV-D5701 6 RJ45 192.168.1.82/28 192.168.1.81

à192.168.1.94 /28
8 Kế toán Máy in HP LaserJet 1 RJ45
P1102
9 Nghiêncứu PC PV-D5701 6 RJ45 192.168.1.98/28 192.168.1.97

à192.168.1.110/28
10 Nghiêncứu Máy in HP LaserJet 1 RJ45
31
P1102
11 Server Farm Print Server D-LINK DPR- 1 RJ45 192.168.1.114/28 192.168.1.113

1061
12 Server Farm DHCP IBM System 1 RJ45 192.168.1.115/28 192.168.1.113

server X3500 M3 (7380
- 42A)
13 Server Farm DataBase IBM® System® 1 RJ45 192.168.1.116/28 192.168.1.113

Server x3550M3 (7944 -
A2A)
14 Server Farm Backup IBM System 1 RJ45 192.168.1.117/28 192.168.1.113

server X3500 M3 (7380
- 42A)
15 Giaohàng PC PV-D5701 1 RJ45 192.168.1.130/28 192.168.1.129

à192.168.1.142/28
16 TiếpTân pc PV-D5701 2 RJ45 192.168.1.146/28 192.168.1.145

à192.168.1.158/28
17 Khohàng PC PV-D5701 2 RJ45 192.168.1.162/28 192.168.1.161

à192.168.1.174/28
18 Khohàng Máy in HP LaserJet 2 RJ45
P1102
19 Quétthẻ Quétthẻ LPV-VT6280 2 RJ45 192.168.1.178/28 192.168.1.177

à192.168.1.182/28
20 Quétvântay Quétvântay TimeWORKS - 2 RJ45 192.168.1.186/28 192.168.1.185

Fingerprint Time à192.168.1.190/28
21 Giámđốc PC PV-D7502 1 RJ45 192.168.1.194/28 192.168.1.193
22 Phógiámđốc PC PV-D7502 1 RJ45 192.168.1.202/28 192.168.1.201
23 DMZ Web server IBM® System® 1 RJ45 192.168.1.210/28 192.168.1.209

x3550M3 (7944 -
A2A)
24 DMZ Mail server IBM® System® 1 RJ45 192.168.1.211/28 192.168.1.209

x3550M3 (7944 -
32
A2A)
25 AP HỌP Access Point LINKSYS 1 RJ45 192.168.1.218/28 192.168.1.217

WRT160N à192.168.1.222/28
26 AP Giảitrí Access Point LINKSYS 1 RJ45 192.168.1.226/29 192.168.1.225

WRT160N à192.168.1.230/29
27 IT PC PV-D7502 4 RJ45 192.168.1.234/29 192.168.1.233

à192.168.1.238/29
28 IT Máy in HP LaserJet 1 RJ45
P1102
29 Thưký PC PV-D5701 2 RJ45 192.168.1.242/29 192.168.1.241

GD+PGD à192.168.1.246/29
30 Thưký Máy in HP LaserJet 2 RJ45

GD+PGD P1102
31 Router 1 Router CISCO2821 1 RJ45 192.168.1.249/30à

192.168.1. 250 /30
32 Router 2 Router CISCO2821 1 RJ45 192.168.1.253/30 à

192.168.1.254/30
33 IP Phone IP Phone Grandstream 64 RJ45 192.168.5.2/24 à 192.168.5.1

GXE5028 VoIP 192.168.5.254 /24
Phone System -
GXE-5028
Bảng 3 – Tòa trung tâm – chia IP cho từng thiết bị
Chi nhánh 1 – quy hoạch địa chỉ IP
STT VLAN Số thiết bị Số địa chỉ IP tối Dải địa chỉ (IP đầu/subnet Mask -> IP
cần cấp địa đa có thể dử cuối/subnet Mask)
chỉ dụng
1 IP Phone 63 126 192.168.10.0/25 à 192.168.10.127

33
2 Kê hóa đơn và 12 30 192.168.10.128/27 à 192.168.10.159
thanh toán
3 Bảo trì, lắp đặt, 13 30 192.168.10.160/27 à192.168. 10.191

bảo hành
4 Tiếp thị kinh 14 30 192.168.10.192/27 à192.168.10.223

doanh
5 Kế toán tài 16 30 192.168.10.224/27 à192.168.10.255

chính
6 Nhân sự 11 30 192.168.11.0/27 à192.168.11.31
7 IT 5 14 192.168.11.32/27 à192.168.11.47
8 Server Farm 3 14 192.168.11.48/28 à 192.168.11.63
9 Quản kho hàng 3 6 192.168.11.64/28 à192.168.11.71
10 Máy quét vân 1 6 192.168.11.72/28 à 192.168.11. 79

tay
11 Máy quét thẻ 1 6 192.168.11.80/28 à 192.168.11.87
12 Giám đốc 1 6 192.168.11.88/28 à192.168.11.95
13 Thư ký 2 6 192.168.11.96/28 à 192.168.11.103
14 Tiếp tân 1 6 192.168.11.104/28 à192.168. 11.111
15 Router 1 2 192.168.11.112/28 à 192.168.11.115
Bảng 4 : quy hoạch địa chỉ IP chi nhánh 1
Bảng thông tin chi tiết chia IP cho từng loại thiết bị trên từng VLan cụ thể :
STT A B C D E F G
34
1 IP Phone IP Phone Grandstream GXE5028 63 RJ45 192.168.10.2/25 à 192.168.10.1
VoIP Phone System - 192.168.10.126/25
GXE-5028
2 Kêhóađơnvàt PC /máy in PV-D5701/ 12 RJ45 192.168.10.130/27 192.168.10.12

hanhtoán à 192.168.10.158 9
HP LaserJet P1102
3 Bảotrì, PC /máy in PV-D5701/ 13 RJ45 192.168.10.162/27 192.168.10.16

lắpđặt, à192.168. 10.190 1
bảohành HP LaserJet P1102
4 Tiếpthịkinhd PC /máy in PV-D5701/ 14 RJ45 192.168.10.194/27 192.168.10.19

oanh à192.168.10.222 3
HP LaserJet P1102
5 KếtoántàichínPC /máy in PV-D5701/ 16 RJ45 192.168.10.226/27 192.168.10.22

h à192.168.10.254 5
HP LaserJet P1102
6 Nhânsự PC /máy in PV-D5701/ 11 RJ45 192.168.11.2/27 192.168.11.1

à192.168.11.30
HP LaserJet P1102
7 IT PC /máy in PV-D5701/ 5 RJ45 192.168.11.34/27 192.168.11.33

à192.168.11.46
HP LaserJet P1102
8 Server Farm DHCP server IBM System X3500 M3 1 RJ45 192.168.11.50/28 192.168.11.49
(7380 - 42A)
8 Server Farm Print server D-LINK DPR-1061 1 RJ45 192.168.11.51/28 192.168.11.49
8 Server Farm DataBase IBM System X3500 M3 1 RJ45 192.168.11.52/28 192.168.11.49

Server (7380 - 42A)
9 QuảnkhohàngPC /máy in PV-D5701/ 3 RJ45 192.168.11.66/28 192.168.11.65

à192.168.11.70
HP LaserJet P1102
10 Máyquétvânt Máyquétvânta TimeWORKS - 1 RJ45 192.168.11.74/28 192.168.11.73

ay y Fingerprint Time
11 Máyquétthẻ Máyquétthẻ LPV-VT6280 1 PS/2 192.168.11.82/28 192.168.11.81
12 Giámđốc PC PV-D7502 1 RJ45 192.168.11.90/28 192.168.11.89
13 Thưký PC /máy in PV-D5701/ 2 RJ45 192.168.11.98/28 à192.168.11.97

192.168.11.102
35
HP LaserJet P1102
14 Tiếptân pc PV-D5701 1 RJ45 192.168.11.106/28 192.168.11.10

5
15 Router Router CISCO2821 1 RJ45 192.168.11.113/30
Bảng 5 : CN1 – chia IP cho từng thiết bị
Chi nhánh 2:
STT tên phòng Số thiết bị Số địa chỉ IP tối Dãy địa chỉ IP
cần cấp địa đa có thể dử
chỉ dụng
1 Lắp đặt 30 62 192.168.100.0/26 à 192.168.100.63
2 Thu ngân 24 62 192.168.100.64/26 à192.168.100.127
3 Bảo trì 22 62 192.168.100.128/26 à192.168.100.191
4 bảo hành 22 62 192.168.100.192/26 à192.168.100.255
5 nhân sư 20 30 192.168.101.0/27 à192.168.101.31
6 kế toán 17 30 192.168.101.32/27 à192.168.101.63
7 giao hàng 6 14 192.168.101.64/28 à192.168.101.79
8 kho 4 14 192.168.101.80/28 à192.168.101.95
9 tiếp tân 1 14 192.168.101.96/28 à192.168.101.111
10 relex 6 14 192.168.101.112/28 à192.168.101.127
11 IT 7 14 192.168.101.128/28 à192.168.101.143
12 quét thẻ 2 6 192.168.101.144/29 à192.168.101.151
36
13 vân tay 2 6 192.168.101.152/29 à 192.168.101.159
14 họp 2 6 192.168.101.160/29 à192.168.101.167
15 giám đốc 1 6 192.168.101.168/29 à192.168.101.175
16 TK GD 2 6 192.168.101.176/29 à192.168.101.183
17 PGD 1 6 192.168.101.184/29 à192.168.101.191
18 TK PGD 2 6 192.168.101.192/29 à192.168.101.199
19 server 2 6 192.168.101.200/29 à192.168.101.207
20 router 1 2 192.168.101.208/30 à192.168.101.211
21 IP Phone 51 254 192.168.500.0/24 à192.168.500.255
Bảng 6 : quy hoạch địa chỉ IP chi nhánh 2
CN2- Chi tiết chia IP trên từng thiết bị
STT A B C D E F G
1 Lắpđặt PC /máy in PV-D5701/ 30 RJ45 192.168.100.2/26 à 192.168.100.1

192.168.100.62
HP LaserJet
P1102
2 Thu ngân PC /máy in PV-D5701/ 24 RJ45 192.168.100.66/26 192.168.100.65

à192.168.100.126
HP LaserJet
P1102
3 Bảotrì PC /máy in PV-D5701/ 22 RJ45 192.168.100.130/26 192.168.100.129

à192.168.100.190
HP LaserJet
P1102
4 bảohành PC /máy in PV-D5701/ 22 RJ45 192.168.100.194/26 192.168.100.193

à192.168.100.254
HP LaserJet
P1102
5 nhânsư PC /máy in PV-D5701/ 20 RJ45 192.168.101.2/27 192.168.101.1
37
HP LaserJet à192.168.101.30
P1102
6 kếtoán PC /máy in PV-D5701/ 17 RJ45 192.168.101.34/27 192.168.101.33

à192.168.101.62
HP LaserJet
P1102
7 giaohàng PC /máy in PV-D5701/ 6 RJ45 192.168.101.66/28 192.168.101.65

à192.168.101.78
HP LaserJet
P1102
8 kho PC /máy in PV-D5701/ 4 RJ45 192.168.101.80/28 192.168.101.81

à192.168.101.94
HP LaserJet
P1102
9 tiếptân PC PV-D5701 1 RJ45 192.168.101.98/28 192.168.101.97

à192.168.101.110
10 relex AP/PC LINKSYS 6 RJ45 192.168.101.114/28 192.168.101.113

WRT160N/ à192.168.101.126
(1 -5)
PV-D5701
11 IT PC /máy in PV-D5701/ 7 RJ45 192.168.101.130/28 192.168.101.129

à192.168.101.142
HP LaserJet
P1102
12 quétthẻ quétthẻ LPV-VT6280 2 PS/2 192.168.101.146/29 192.168.101.145

à192.168.101.150
13 vântay vântay TimeWORKS - 2 RJ45 192.168.101.154/29 à 192.168.101.153

Fingerprint Time 192.168.101.158
14 họp AP/PC LINKSYS 2 RJ45 192.168.101.162/29 192.168.101.161

WRT160N/ à192.168.101.166
(1 -1)
PV-D5701
15 giámđốc PC PV-D7502 1 RJ45 192.168.101.170/29 192.168.101.169

à192.168.101.174
16 TK GD PC /máy in PV-D5701/ 2 RJ45 192.168.101.178/29 192.168.101.177

à192.168.101.182
HP LaserJet
P1102
38
17 PGD PC PV-D7502 1 RJ45 192.168.101.186/29 192.168.101.185
18 TK PGD PC /máy in PV-D5701/ 2 RJ45 192.168.101.194/29 192.168.101.193

à192.168.101.198
HP LaserJet
P1102
19 server DataBase IBM System 1 RJ45 192.168.101.202/29 192.168.101.201

Server X3500 M3 (7380
- 42A)
19 server DHCP-File IBM System 1 RJ45 192.168.101.203/29 192.168.101.201

server X3500 M3 (7380
- 42A)
20 router router CISCO2821 1 RJ45 192.168.101.209/30
21 IP Phone IP Phone Grandstream 51 RJ45 192.168.500.2/24 192.168.500.1

GXE5028 VoIP à192.168.500.254
Phone System -
GXE-5028
Bảng 7 – CN2 – chia IP cho từng thiết bị
39
III. CÁC DỊCH VỤ HỆ THỐNG
1. Dịch vụ kết nối Internet và kết nối giữa tòa nhà chính với
các chi nhánh
A . Internet :
H3.1 - Internet
40
Nhu cầu lắp đă ̣t Internet
Ngày nay với sự bùng nổ mạnh mẽ của Internet đã làm cho nhu cầu sử dụng Internet ngày càng
tăng trong cô ̣ng đồng dân cư nói chung đă ̣c biê ̣t là trong các công ty nói riêng. Công viê ̣c hiê ̣n
đại ngày càng liên quan mâ ̣t thiết đến mạng Internet : mail, web, hô ̣i nghị qua mạng, làm viê ̣c từ
xa …Chình vì vâ ̣y viê ̣c lắp đă ̣t và sử dụng mạng Internet trong mô ̣t công ty là hết sức quan trọng,
nó không những phục vụ công viê ̣c hàng ngày mà còn thúc đẩy sự phát triển của công ty ngày
càng hiê ̣n đại và chuyên nghiê ̣p hơn.
Đối với một công ty bán hàng lớn và nhiều chi nhánh như ABC viê ̣c kết nối internet rất quan
trọng trong hoạt động của công ty cũng như sự phát triển và mở rộng sau này.
a. Lựa chọn nhà cung cấp và gói cước
Nhà cung cấp : Viettel Telecom.
Công ty ABC là mô ̣t công ty chuyên về mua bán sản phẩm điê ̣n tử ,chi nhánh chính có số
lượng nhân viên nhiều nhất , hầu hết mỗi nhân viên đều có máy tính (có nối mạng Internet)
nên chúng em chọn gói cước là FTTP Pro. Và, chúng em sử dụng gói cước FTTP Office cho
2 chi nhánh còn lại.
41
b. . Mạng WAN
H3.2 Mạng wan
Lựa chọn dịch vụ MegaWan
Giới thiê ̣u về MegaWan:
MegaWAN là dịch vụ kết nối mạng máy tính tại nhiều điểm cố định khác nhau trên diện rộng
của các tổ chức, doanh nghiệp. Đây là mạng riêng ảo kết nối mạng riêng nội hạt, liên tỉnh, quốc
42
tế để truyền số liệu, truyền dữ liệu thông tin rất tiện lợi và đáng tin cậy cho doanh nghiệp trong
kinh doanh.
MegaWan rất cần thiết cho các tổ chức, doanh nghiệp có nhiều chi nhánh, nhiều điểm giao dịch
cần phải kết nối truyền dữ liệu như: Ngân hàng, Bảo hiểm, Hàng không, Cty chứng khoán ...
MegaWan kết nối các mạng máy tính trong nước và quốc tế bằng đường dây thuê bao SHDSL
(công nghệ đường dây thuê bao số đối xứng) hoặc ADSL (công nghệ đường dây thuê bao số bất
đối xứng) kết hợp với công nghệ MPLS/VPN.
MPLS là thuật ngữ viết tắt cho Multi-Protocol Label Switching (chuyển mạch nhãn đa giao
thức). Nguyên tắc cơ bản của MPLS là thay đổi các thiết bị lớp 2 trong mạng như các thiết bị
chuyển mạch ATM thành các LSR (label-switching router-Bộ định tuyến c
huyển mạch nhãn). LSR có thể được xem như một sự kết hợp giữa hệ thống chuyển mạch ATM
với các bộ định tuyến truyền thống.
chúng em lựa chon công ty điê ̣n toán và truyền số liê ̣u VDC là nhà cung cấp MegaWan. Những
lợi ích mà VDC mang lại khi lắp đă ̣t dịch vụ VPN/VNN (MPLS)
• Công nghệ tiên tiến
Công nghệ chuyển mạch nhãn đa giao thức MPLS (Multi Protocol Label Switching) là công
nghệ mới nhất đang được ứng dụng tại đa số các quốc gia lớn ( Nhật, Mỹ, Singapore…)
• Chi phí đầu tư hiệu quả
43
- Tận dụng khả năng xử lý của các thiết bị trong mạng core MPLS của VDC. Giảm các chi
phí đầu tư thiết bị đắt tiền tại đầu khách hàng.
- Đáp ứng mô hình điểm – đa điểm, cho phép kết nối mạng riêng với chỉ 1 đường kênh vật lý
duy nhất.
- Chi phí sử dụng rẻ hơn tới 50% so với công nghệ truyền thống.
• Bảo mật an toàn
- Bảo mật tuyệt đối trên mạng core MPLS của VDC
- Bảo mật tối ưu trên kênh Leased Line riêng (local loop)
• Khả năng mở rộng đơn giản
- Khi có nhu cầu thiết lập thêm chi nhánh hoặc điểm giao dịch, khách hàng chỉ cần đăng ký
thêm điểm kết nối với VDC mà không cần bất cứ một đầu tư lại gì trên mạng hiện có.
- Mọi cấu hình kết nối đều thực hiện tại mạng core MPLS của VDC, thành viên mạng không
cần bất kỳ một cấu hình nào.
• Đơn giản hoá quản trị IT
- Với quá trình quản trị và thiết lập VPN tại mạng core MPLS của VDC sẽ giúp đơn giản hoá
tối đa công việc quản trị IT trong hoạt động của doanh nghiệp.
- Nhận được nhiều hỗ trợ từ nhà cung cấp.
- Giảm các chi phí đầu tư thiết bị đắt tiền và phức tạp
44
• Tốc độ cao, đa ứng dụng và cam kết QoS
- VPN MPLS cho phép chuyển tải dữ liệu lên với tốc độ Gbps qua hệ thống truyền dẫn cáp
quang.
- Không chỉ là Data, VPN MPLS tại VDC có thể triển khai đầy đủ các ứng dụng về thời gian
thực như VoIP, Video Conferencing với độ trễ thấp nhất.
- Cung cấp các khả năng cam kết tốc độ và băng thông tối thiểu (QoS)
• Độ tin cậy của hạ tầng dịch vụ và công nghệ
- Hạ tầng mạng truyền số liệu được hậu thuẫn mạnh mẽ bởi Tập đoàn Bưu chính Viễn thông
Việt Nam (VNPT):
- Mạng trục truyền số liệu 3 x 7,5Gbps Bắc-Trung-Nam.
- Hạ tầng mạng lõi MPLS thiết lập bởi hệ thống thiết bị đồng bộ của Cisco.
- Mạng kết nối n x 155Mbps khắp 64 tỉnh, thành.
- Kết nối trực tiếp bằng kênh riêng cáp ngầm.
- Hơn 1 Gbps kết nối NNI với các đối tác quốc tế lớn tại Hongkong, Singapore, Nhật Bản,
Mỹ.
Chi tiết : http://vdc.com.vn/services/4/6/2/32/index.htm#view
Hiê ̣n nay có rất nhiều công ty cung cấp kết nối MegaWan , tuy nhiên chúng em lựa chọn
VDC còn nhằm mục đích mở rô ̣ng ra thị trường quốc tế.
45
Ở đây leased line không là lựa chọn hàng đầu của công ty bởi nhiều nguyên do sau :
 Chi phí quá mắc
 Phần dữ liê ̣u nhạy cảm khi khách hàng thanh toán bằng thẻ ngân hàng : có sự hỗ
trợ bảo mâ ̣t tối ưu từ ngân hàng cung cấp dịch vụ.
 Dữ liê ̣u truyền đi không liên tục : chủ yếu là dữ liê ̣u hàng hóa, có thể truyền theo
thời gian biểu đã lâ ̣p sẵn.
 Tính phổ biến
 Có cung cấp kết nối internet
c. Dự phòng khi kết nối Internet và WAN
Kết nối Internet : sử dụng dịch vụ kết nối internet khi lắp đă ̣t mạng WAN của VDC
(VPN/VNN) để dự phòng .
Dự phòng VPN khi VPN/VNN bị hư : có hỗ trợ sẵn bởi thiết bị của công ty .
2. Hê ̣ Thống Firewall:
46
Hệ thống Firewall gateway sẽ kiểm soát luồng dữ liệu đi qua bao gồm: Truy cập từ ngoài
Internet vào vùng dịch vụ trực tuyến, người dùng ở mạng LAN truy cập Internet qua đường
LeasedLine, ADSL hoặc Wireless, người dùng ở mạng LAN truy cập vào vùng Server ứng
dụng và cơ sở dữ liệu. Firewall sẽ kiểm soát, xác thực và ngăn chặn những truy cập không
hợp lệ, những tấn công của hacker từ ngoài Internet hoặc trực tiếp xuất phát từ bên trong
mạng vào các vùng servers.
Thiết bị an ninh tích hợp Crossbeam C6
47
Với kinh nghiệm triển khai của công ty Misoft, kết hợp với sự phát triển của công nghệ,
chúng tôi đề xuất hệ thống Firewall sẽ là sự kết hợp giữa Firewall VPN1- UTM của hãng
Check Point chạy trên phần cứng chuyên dụng của hãng Crossbeam System. Check Point
Firewall VPN1-UTM hội đủ các yêu tố bảo vệ mạng bao gồm các tính năng Firewall,
AntiVirus, IPS và VPN server chỉ trong một sản phẩm. Check Point Firewall được cài trên
một cặp thiết bị an ninh tích hợp chuyên dụng của hãng Crossbeam System chạy clustering ở
chế độ HA (High availability) đảm bảo tính sẵn sàng cao và hiệu năng hoạt động của toàn
mạng.
(http://www.pcworld.com.vn/articles/quan-ly/tu-van/2007/04/1190428/an-toan-thong-tin-
cho-cong-ty-chung-khoan/ tham khảo ngày 20/04/2011)
Trong mô hình bảo mật, vùng máy chủ cơ sở dữ liệu và máy chủ ứng dụng là quan trọng
nhất trong hoạt động trao đổi thông tin của công ty. Nếu một trong các máy chủ này bị tấn
công hoặc có sự cố, hoạt động kinh doanh của các công ty sẽ bị ảnh hưởng trực tiếp. Do vậy
bên cạnh hệ thống Firewall bảo vệ hạ tầng network của công ty, nhất thiết cần trang bị bổ
sung hệ thống phòng chống xâm nhập (IPS) để bảo vệ riêng cho vùng các Server ứng dụng
này. Khác với Network Firewall, hệ thống IPS sẽ phát hiện và ngăn chặn các xâm nhập ở
tầng ứng dụng, can thiệp trực tiếp vào các protocols, các traffice mà hệ thống Firewall không
phát hiện được. Hệ thống IPS được đặt trong vùng mạng LAN, do vậy hệ thống phải đảm
bảo được tốc độ xử lý để không làm nghẽn luồng thông tin được trao đổi với mật độ cao tại
đây.
48
Với mức độ quan trọng như trên, chúng tôi đề xuất triển khai thiết bị phòng chống xâm
nhập Proventia Network IPS chuyên dụng của hãng Internet Security Systems –ISS. Thiết bị
này cho phép ngăn chặn trước các cuộc tấn công chưa biết cũng như các cuộc tấn công đã
biết như DoS, trojan, peer to peer download, backdoor, malicious http và file đính kèm e-
mail mà không ảnh hưởng đến hoạt động của mạng. Đặc biệt, thiết bị Proventia Network IPS
có khả năng phân tích và nhận dạng các giao thức được sử dụng trong VoIP như SIP, MGCP,
H.323, H.225, H.245, Q.931, T.120 và SCCP để xác định các cuộc tấn công.
Thiết bị này sẽ được đặt trước vùng Server farm bảo vệ cho cả vùng, kiểm soát toàn bộ
các yêu cầu truy cập dữ liệu cả ở mức Network và mức ứng dụng trên các Server. Cơ sở dữ
liệu về các mẫu tấn công (attacking Signatures) sẽ luôn được hệ thống update từ Internet
Security Systems X-Force theo thời gian thực, đảm bảo ngăn chặn tối đa các tấn công có thể
xảy ra hiện nay. Proventia Network IPS có tính năng Fail-open và hỗ trợ cấu hình dạng
Active/Active, Active/Passive do vậy đảm bảo tính sẵn sàng cao của toàn mạng.
Proventia Network IPS G400
49
Ngăn chặn tấn công của Virus tại Gateway và trong các vùng mạng.
Các con đường mà virus có thể tấn công và bùng phát vào mạng của công ty chứng khoán
tương đối đa dạng, xuất phát từ Internet, từ người dùng bên trong, bên ngoài mạng và đặc
biệt qua email. Để có một hệ thống phòng chống có hiệu quả cao thì cần phòng và chống
Virus và Spyware tại cả 4 lớp mạng: gateway, mailserver, server, PCs. Hệ thống này phải
được quản lý tập trung, thống nhất và luôn luôn được cập nhật mẫu Virus và Spyware từ
những trung tâm phòng chống Virus và Spyware lớn trên thế giới. Ngoài ra cần phải có một
chính sách bảo mật chung và kết hợp với các giải pháp bảo mật khác để phòng chống Virus
và Spyware hiệu quả hơn.
Trend Micro Client/Server bảo vệ mailserver, server và PC khỏi sự lây nhiễm của Virus
50
Giải pháp tổng thể được chúng tôi đề xuất dựa trên công nghệ và sản phẩm phòng chống
virus của hãng Trend Micro. Các sản phẩm bao gồm:
 Trend Micro™ Client/Server/Messaging Suite for SMB
 Trend Micro Internet Security
 InterScan Gateway Security Appliance
Đối với ngăn chặn và phòng chống AntiVirus tại Internet Gateway, chúng tôi sử dụng
thiết bị chuyên dụng InterScan Gateway Appliance (ISGA) của hãng Trend Micro. Đây là
thiết bị quét virus, spyware, phishing tại Internet Gateway trên các luồng: SMTP, POP3,
HTTP, FTP và đặc biệt đảm bảo được tốc độ tại điểm Gateway mà hầu hết các traffice trao
đổi thông tin giữa mạng trong và mạng ngoài đều phải đi qua.
Thiết bị chuyên dụng chống Virus
tại Internet Gateway(IGSA)
51
Các web site thông tin về các sản phẩm bảo mật được đề xuất trong giải pháp tổng thể về
an toàn thông tin cho các công ty chứng khoán:
Các sản phẩm của hệ thống Firewall/VPN
 Firewall cho hạ tầng mạng
Check Point: www.checkpoint.com
Crossbeam System www.crossbeamsystems.com
 Firewall cho ứng dụng
Netcontinuum: www.netcontiuum.com
Các sản phẩm của hệ thống phòng chống xâm nhập (IPS)
 Internet Security Systems: www.iss.net
Các sản phẩm của hệ thống phòng chống Virus
 Trend Micro: www.trendmicro.com
52
3. Hê ̣ Thống dự phòng:
3.a. Dự phòng trong nội bộ tòa nhà, chi nhánh
Xây dựng hệ thống mạng theo mô hình phân cấp
H3.3- xây dưng mô hình mạng phân cấp
Hệ thống Core Switch gồm 2 swich core , được kết nối theo mô hình phân cấp sau :
53
H3.4- mô hình hệ thống phân cấp .
Mô hình phân cấp tạo khả năng dự phòng, khi 1 switch core (sw xử lý nhiều nhất hệ
thống) không hoạt động thì switch bên sẽ chạy , đảm bảo cho hệ thống hoạt động
24/24.
54
3.b Dự phòng kết nối giữa các chi nhánh
Hệ thống Check Point Firewall VPN1-UTM đặt tại trụ sở chính của công ty chứng khoán
bên cạnh chức năng kiểm soát các luồng thông tin ra vào mạng còn là hệ thống VPN Server cho
các kết nối theo cả 2 mô hình Client to Site và Site to Site.
Với mô hình kết nối VPN Site to Site, tại mỗi chi nhánh hoặc đại lý sẽ sử dụng thiết bị
Firewall VPN chuyên dụng loại nhỏ VPN1-Edge của hãng Check Point. Thiết bị này có đầy đủ
tính năng Firewall và thiết lập kênh kết nối Site to Site qua đường Leaseline hoặc ADSL. Với
mô hình này, hệ thống VPN Server tại Headquater sẽ tự động xác thực giữa 2 đầu thiết bị và
kiểm tra tính an toàn trước khi cho phép thiết lập kênh kết nối.
Thiết bị bảo mật VPN-1 UTM Edge bảo vệ kết nối giữa công ty Chứng khoán với
chi nhánh, đại lý và văn phòng
55
Check Point VPN1-Edge khi thiết lập VPN tunnel sẽ sử dụng các công nghệ mã hoá sau
 (AES) 128-256 bit
 Triple DES 56-168 bit
 SSL – Secure Sockets Layer
Mô hình Client to Site áp dụng cho các nhân viên của công ty làm việc tại các TTGDCK
thiết lập kênh kết nối qua Internet, dial-up và hỗ trợ xác thực người dùng bằng nhiều phương
thức như Certificate, Token, Smartcard… trước khi cho phép kết nối. Tại các máy của nhân viên
sẽ cài phần mếm thiết lập kết nối VPN client của Check Point.
4. Hê ̣ Thống VoIP:
H3.5 – Tổng quan mô hình mạng Voip
56
Sơ đồ triễn khi hệ thống Voip cho từng tòa .
 Tòa trung tâm
H3.6 – Mô hình triển khai VoiP – tòa trung tâm
57
 Chi nhánh 1
H3.7 – Mô hình triển khai VoiP – CN1
 Chi nhánh 2
H3.8 – Mô hình triển khai VoiP – CN2
58
Lợi ích khi triển khi hệ thống Voip trên :
 Gọi nội bộ miễn phí với các chi nhánh với nhau.
 Gọi quốc tế giá rẻ hơn so với mức gọi bình thường.
 Kết nối máy Fax giữa các chi nhánh với nhau thông qua hệ thống mạng IP.
 Có khả năng sử dụng cả máy điện thoại thông thường, điện thoại IP có dây và không dây.
 Mở rộng mạng dễ dàng.
 An toàn bảo mật.
 Chất lượng ổn định.
 Giá thành hợp lý.
 Đảm bảo tính thẩm mỹ.
5. Dịch vụ web và email :

Xây dựng vùng DMZ chứa các máy chủ web và mail tách biệt với hệ thống mạng nội bộ, hệ
thống firewall IPS bảo vệ . Việc xây dựng hệ thống web thương mại điện tử nhằm quảng bá
công ty, cung cấp giá cả các mặt hàng , dịch vụ trực tuyến với khách hàng.
6. Dịch vụ máy chấm công vân tay
Sử dụng thiết bị mới với công nghệ tiên thiến của hãng Digital Person. Hệ thống chấm công
bằng dấu vân tay trên PC bao gồm máy đọc dấu vân tay kích cỡ nhỏ gọn và chương trình quản lý
thời gian. Hai phần này thay thế chức năng máy bấm thẻ hay cách ghi nhận giờ ra-vào khác bất
59
kể là cà thẻ một cách hiệu quả . Với số lượng 2 máy / mỗi tòa nhà, đảm bảo quét tất cả nhân viên
trong vòng 15 phút.
IV. Chi phí toàn hệ thống :

Tòa trung tâm
H3.9 – Chi phí trụ sở chính
60
Chi nhánh1
H3.10 – Chi phí CN1
61
Chi nhánh 2
H3.11 – Chi phí cn 2
Chi phí lắp đặt Internet và WAN

62
Đường truyền cáp quang
Gói cước dành cho Doanh nghiệp Gói cước dành cho
Gói cước đại lý Internet

và hộ kinh doanh cá thể
FTTH Office FTTH Pro FTTH Pub
I. Phí lắp đặt và phí sử dụng hàng tháng (VND)
Phí lắp đặt mới 2.000.000 2.000.000 2.000.000
Phí hàng tháng 2.000.000 6.000.000 2.000.000
II. Băng thông (Download = Upload)
Băng thông trong nước

32 Mbps 50 Mbps 34 Mbps
tối đa
Băng thông quốc tế tối

640 Kbps 1536 Kbps 640 Kbps
thiểu
IP WAN 01 IP tĩnh miễn phí 01 IP tĩnh miễn phí 01 IP động
IP tĩnh - 04 IP tĩnh miễn phí -
III. Các khoản phí khác (VND)
Mua thêm 1 block IP

500.000
tĩnh (gồm 4 IP tĩnh)
Chuyển đổi từ tốc độ
thấp lên tốc độ cao Miễn phí
(đồng/TB/lần)
Chuyển đổi từ tốc độ
cao xuống tốc độ thấp 200.000
(đồng/TB/lần)
Khôi phục lại dịch vụ Miễn phí
63
(đồng/TB/lần)
Chuyển dịch khác địa

1.500.000
chỉ (đồng/TB/lần)
Chuyển dịch cùng địa

500.000
chỉ (đồng/TB/lần)
(Áp dụng từ ngày 15/5/2010)
Giá thiết bị
Modem Modem TP
Chủng loại thiết Media Modem Modem
Proware M- Link TL-
bị Converter Draytek - 2910 Draytek - 2950
R460 R460
Giá bán (VND) 550.000 250.000 500.000 2.800.000 11.500.000
Chi tiết : http://www.vietteltelecom.vn/internet/ftth/2009/06/4262/
Chi phí lắp đă ̣t dự tính : 30.000.000 VND
Tổng chi phí :
 Tòa trung tâm : 90 007 $
64
 Chi nhánh 1 : 48 694 $
 Chi nhánh 2 : 73 699 $
 Internet và megawan : 1 000 $
Tổng Cô ̣ng : 213 400 $
V. Tổng kết
Với mô hình thiết kế mạng này, nhóm đã đáp ứng đầy đủ các yêu cầu của công ty
ABC . Hơn nữa, khả năng mở rộng của hệ thống là rất lớn. Những điểm mấu chốt
của đề tài được thể hiện :
Điểm mạnh :
Dự án thiết kế mạng này đáp ứng đầy đủ yêu cầu của công ty ABC . Được thể hiện qua các chi
tiết sau :
 Bảo mật cao
 Sẵn sàng cao
 Thiết kế theo sự phân cấp à dễ thay đổi, mở rộng, nâng cấp, bảo trì .
65
 Hệ thống web, mail server truy cập từ công ty và internet
 Hệ thống quét vân tay và thẻ ngân hàng
 Hệ thống Voip tiết kiệm chi phí và mở rộng cao
 Toàn bộ hệ thống sử dụng Patch panel và Outlet tạo thẫm mĩ cho hệ thống mạng và
tòa nhà
Điểm yếu – nguyên nhân và so sánh
 Cần nhiều nhân viên quản trị và bảo trì hê ̣ thống.
 Nhóm chúng em muốn đưa ra môt hệ thống mạng tốt nhất , một giải pháp an ninh
chặt chẽ nhất với các thiết bị thuộc diện “cao cấp” nhất có thể, vấn đề tiền bạc nhóm
không quan tâm lắm . Vì thể khi tổng kết lại giá cả lên tới 4 tỷ 2 cho toàn bộ hệ
thống.
 Giá cả hệ thống cao vì nhóm sử dụng những thiết bị cao cấp và có khả năng hoạt
động rất tốt. Lấy dẫn chứng hệ thống firewall : tại sao sử dụng hệ thống firewall
checkpoint với giá thiết bị rất cao mà không sử dụng các hệ thống firewall của
iptables hoặc ISP? Bời vì check point có những tính năng vượt trội hơn hẳn iptables.
So sánh : check point và iptables
Cả hai đều sử dụng "stateful packet filtering" firewall. Tuy nhiên, iptables chỉ dừng
lại ở tầng IP và tạo điều kiện để các ứng dụng tích hợp khác kiểm soát packets ở tầng
66
cao hơn xuyên qua "target" QUEUE của netfilter. Trong khi đó, checkpoint bao cả 7
tầng OSI và nó có khả năng kiểm soát khá sâu với nội dung packet của tầng
application (ví dụ, nó có thể kiểm soát HTTP packets).
Iptables thật ra chỉ là "interface" ở phía user để tương tác với netfilter ở phía kernel.
Bởi thế, so sánh khả năng của checkpoint với iptables thì đúng ra nên so sánh ở phía
netfilter thay vì so sánh với phía iptables.
Netfilter / iptables cực kỳ gọn nhẹ và nhóm phát triển nó không quan tâm đến việc
cung cấp GUI để điều khiển. Chỉ có một số nhóm tạo những cái GUI (đơn giản và
phức tạp) khác nhau để giúp điều chỉnh và kiểm soát rules cho dễ. Trong khi đó, GUI
của Checkpoint cực kỳ tinh xảo (và nếu không có GUI thì có lẽ checkpoint sẽ khó
dùng). Checkpoint đòi hỏi tài nguyên khá nhiều và trọn bộ cơ chế làm việc của nó
khá nặng nề.
Netfilter / iptables không tích hợp VPN mà chỉ có những modules giúp xử lý VPN
qua những giao thức thông thường để tạo VPN (IPSEC AH/ESP, PPTP). Trong khi
đó, Checkpoint có giải pháp VPN đầy đủ và tích hợp hoàn toàn với firewall; sử dụng
nhiều phương thức authentication khác nhau.
Lời khuyên :
- Nếu công ty chịu đầu tư để triển khai hệ thống mạng này , tuy giá cả hơi cao, nhưng bù
lại, hệ thống sẽ hoạt động luôn ổn định. Dữ liệu an toàn với hệ thống firewall check point
67
, IPS. Mạng hoạt động thông suốt với mô hình thiết kế phân cấp có dự phòng . Và khả
năng mở rộn mạng về sau cũng dễ dàng hơn.
- Tuy nhiên, nếu muốn giảm giá tiền xuống. Ta có thể sử dụng hệ thống firewall ISA của
Microsoft, giá thiết bị sẽ giảm đáng kể. Ví dụ: thiết bị Firewall check point VPN1- UTM
& Crossbeam Systems - C6 giá 5,250 USD (lấy từ
http://www.checkpoint.com/products/choice/platforms/crossbeamc6.html), còn 1 server
ISA chỉ tầm 2000 USD .
VI. Tài liệu tham khảo

[1] Nguyễn Nam Thuận, Lữ Đức Hào 2006, Tự học thiết kế mạng & xây dựng mạng máy
tính , nxb Giao thông vận tải.
[2] Ip phone, www.ipphone-warehouse.com ,ngày 25/03/2011,
http://www.ipphone-warehouse.com/Grandstream-GXE5028-IP-PBX-VoIP-Phone-System-
p/grandstream-gxe5028-ip-pbx.htm
[3] Check Point, www.checkpoint.com ,ngày 25/03/2011,
www.checkpoint.com
68
[4] Wikipedia 2011, vi.wikipedia.org, ngày 1 tháng 4 năm 2011,
http://vi.wikipedia.org/wiki/M%E1%BA%A1ng_ri%C3%AAng_%E1%BA%A3o
[5] Sieuthivienthong, sieuthivienthong.com, , ngày 1 tháng 4 năm 2011,
http://www.sieuthivienthong.com/SWITCHCISCO/254/category.html
[6] Tủ mạng, tumang.us, ngày 1 tháng 4 năm 2011,
http://www.tumang.us/vn/Tu-rack-27U-sau-1000-p1421-Tu-mang-27U-sau-1000mm-Cua-
luoi-n465
[7] Quản trị máy chủ, quantrimaychu.com, ngày 25 tháng 3 năm 2011
http://quantrimaychu.com/showthread.php?t=3577&s=f9c7aa8c3cc69061d93fc1c891cefc43
69

Đồ án thiết kế mạng

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Đồ án thiết kế mạng

Uploaded by

Copyright:

Available Formats

Mục Lục

600m2(30x20), đặt ở Quận Liên Chiểu

o Cơ sở vâ ̣t chất đã có sẵn của trụ sở chính:

H1.2. Mô hình mạng sẵn có của công ty ABC

Tên thiết bị Hãng sản xuất Số lượng

Màn hình LCD SAMSUNG E1920NX Wide 20

máy in laser trắng đen HP LaserJet P1102 5

SW 24 port l2 Switch Cisco WS-CE500-24TT 2

DataBase Server IBM® System® x3550M3 (7944 - A2A) 1

2. Các yêu cầu về hệ thống mạng:

H1.3. Các yêu cầu của hê ̣ thống mạng

chi nhánh trong vòng 15 phút.

hình mạng bên trong cũng như các thiết bị.

II. Thiết kế hê ̣ thống mạng

1.1. Tòa nhà chính:

100m, ta dùng các switch 24 và 48 port ở các tầng.

trung tâm để đảm bảo tốc đô ̣ truyền dữ liệu.

Mô hình mạng toàn nhà bao gồm:

1.2. Chi nhánh 1:

Mô hình mạng bao gồm:

 Firewall: Firewall gate cho toàn bô ̣ hê ̣ thống

1.3. Chi nhánh 2 :

Mô hình mạng bao gồm:

Web, Mail Server.

Print mô ̣t cách dễ dàng.

cuô ̣c tấn công từ PSTN

3. Sơ đồ vật lý:

3.1. Tòa nhà chính:

Phó Giám Đốc

Trụ sở chính – lầu 1:

 Quầy tiếp tân: 2PC – 1 IP Phone

 Phòng thu ngân: 5 PC – 2 Print – 2 POS – 1 IP Phone

 Phòng giao hàng: 1 PC – 1 IP Phone

o Tòa nhà chính - Tầng 2:

 Kho hàng: 2 PC – 2 IP Phone – 2 Print

 Nhâ ̣n lắp đă ̣t: 2 PC – 2 IP Phone

 Bảo hành: 5 PC – 5 IP Phone – 2 Print

H2.7 Sơ đồ vật lý – Trụ sở chính – lầu 1 – phòng server

 Phòng Giám Đốc: 1 PC – 1 IP Phone

 Phòng Phó Giám Đốc: 1 PC – 1 IP Phone

 Phòng Thư Ký: 2 PC – 2 IP Phone – 2 Print

 Phòng Nghiên Cứu Thị Trường: 5 PC – 2 IP Phone – 2 Print

 Phòng Kinh Doanh: 6 PC – 6 IP Phone – 1 Print

 Phòng Kế Toán Tài Chính: 5 PC – 5 IP Phone – 1 Print

 Phòng Nhân Sự: 5 PC – 3 IP Phone – 1 Print

 Phòng IT: 5 PC – 1 IP Phone – 1 Print

 Phòng Họp + Phòng Nghỉ: 2 Acess point

Chi nhánh 1 diê ̣n tích 600 m2 (30x20)

H2.7 Sơ đồ vật lý – Chi nhánh 1 – lầu 1

Kho Hàng: 2PC – 1 IP Phone – 1 Print

H2.8 Sơ đồ vật lý – chi nhánh 1 – lầu 2

Bô ̣ phâ ̣n lắp đă ̣t: 16 PC – 16 IP Phone – 3 Print

Phòng bảo hành: 4 PC – 1 IP Phone

Phòng kế toán: 8 PC – 8 IP Phone – 4 Print

1 Finger divice – 1 máy POS

H2.9 Sơ đồ vật lý – chi nhánh 1 – lầu 3

Phòng tài chính kế toán: 14 PC – 14 IP Phone – 2 Print

Phòng tiếp tân: 1 PC – 1 IP Phone

Phòng Giám Đốc: 2 PC – 2 IP Phone – 1 Print

Phòng Nhân Sự: 11 PC – 11 IP Phone – 2 Print

Phòng IT: 6 PC – 6 IP Phone

Phòng Họp: 1 Access Point

3.3. Chi nhánh 2:

 Bộ phận thu ngân gồm 6 PC + 2 máy in + 1 máy quét thẻ .