1 giả thiết

Công ty Gold star có 2 tầng nhà mỗi tầng rộng 80m2 chia làm các phòng: HR , manager ,
technicians, staff, server room . Công ty có khoảng 82 thiết bị
2 Thiết kế mạng cho hệ thống
A, tầng 1

Tầng 1 có 3 phòng gồm : 1 phòng nhân viên lớn , 1 phòng nhân viên nhỏ và phòng server
Phòng nhân viên viên nhỏ

Dự tính mỗi máy tính sẽ chiếm khoảng 1m chiều dài vào 90cm chiều rộng , chia làm 2 hàng mỗi hàng có
5 cặp máy tính , tức là có 10 máy .

Cặp máy tính gần với Switch nhất ( ở hàng đầu tiên, gần với Switch ) mỗi máy cần 3 meter dây mạng , cả
hai máy cần 6m dây , khoảng cách giữa các cặp máy trong mỗi hàng là 90 cm , nhưng để thật tiện cho
việc di chuyển , xê dịch máy ,thì bất đầu từ cặp máy thứ hai ta cộng thêm 1,5 m dây mạng cho mỗi máy,
điều đó có nghĩa là 3m dây cho mỗi cặp máy . Ở hàng thứ 2 cũng tương tự , cặp máy đầu tiên cần 6m
dây cho mỗi máy , hai máy sẽ là 12m , và từ cặp thứ hai đến cặp thứ 5 mỗi cặp lại công thêm 3m dây
mạng

Số lượng dây mạng cần dùng cho phòng này là:

 Hàng thứ nhất: 6+9+12+15+18=60 (m)

 Hàng thứ hai: 12+15+18+21+24=90(m)
 Cả phòng là:60+90=150(m)

Phòng nhân viên lớn

Phòng này tương tự với phòng nhân viên nhỏ nhưng sẽ có thêm hai hàng máy tính vì vậy số dây mạng
cần trong phòng này như sau :

 Hàng thứ nhất: (6+9+12+15+18) * 2 =120(m)

 Hàng thứ hai: (12+15+18+21+24) *2 =180(m)
 Cả phòng là: 120+180=300 (m)

Tầng 2

Tầng này có 4 phòng bao gồm : HR, phòng kỹ thuật viên, phòng phó giám đốc và tổng giám đốc

a, phòng HR

phòng này chỉ có 10 máy tính nên chỉ có 1 hàng máy tính nên số dây cần cho phòng này là:

6+9+12+15+18=60 m

b, phòng kỹ thuật viên

phòng này cũng chỉ có 10 máy tính nên chỏ có 1 hàng máy tính nên tổng số dây trong phòng này giống
với phòng HR đều là 60m.

c Khu giám đốc

khu này có 2 phòng cho và mỗi phòng chỉ có 1 máy tính nên chỉ cần khoảng 10m dây mạng cho khu này
3 lựa chọn thiết bị

a, Switch

 Switch 24 port
Tên thiết bị : Switch Cisco SG350-28P-K9-EU 28-port Gigabit POE Managed Switch

Thông số của sản phẩm:

Đánh giá

Thiết bị chuyển mạch Switch SG350-28p-K9-EU dòng sản phẩm Switch Cisco 350 một phần
của giải pháp tối ưu cho doanh nghiệp với khả năng cung cấp nguồn PoE công suất 195W cho 24
cổng RJ, giúp giảm thiểu chi phí hiệu quả.

Thiết bị chuyển mạch Switch Cisco SG350-28p-K9-EU này cung cấp các tính năng bạn cần để
cải thiện tính khả dụng của các ứng dụng kinh doanh quan trọng, bảo vệ thông tin nhạy cảm và
tối ưu hóa băng thông mạng để cung cấp thông tin và ứng dụng hiệu quả hơn.

Cisco SG350-28p-K9-EU được thiết kế với 26 x 10/100/1000 Ports, 2 SFP Slots , 2 combo mini-
GBIC ports là giải pháp hoàn hảo để cải thiện hiệu suất mạng cho các doanh nghiệp nhỏ giúp tiết
kiệm nhiều hơn những chi phí.

Các tính năng nổi bật

- Hỗ trợ Giao thức quản lý mạng đơn giản (SNMP) cho phép bạn thiết lập và quản lý các
thiết bị chuyển mạch và các thiết bị Cisco khác từ xa từ một trạm quản lý mạng, cải
thiện quy trình làm việc CNTT và cấu hình khối lượng.

- Mã hóa lớp bảo mật nhúng (SSL) được mã hóa bảo vệ dữ liệu quản lý di chuyển đến
và đi từ nút chuyển.

- Danh sách kiểm soát truy cập mở rộng (ACL) hạn chế các phần nhạy cảm của mạng để
tránh người dùng trái phép và bảo vệ chống lại các cuộc tấn công mạng.

- VLAN khách cho phép bạn cung cấp kết nối Internet cho người dùng không có việc
làm trong khi cô lập các dịch vụ kinh doanh quan trọng từ lưu lượng khách.

SG250-28P-K9-EU

Hình ảnh: Mặt sau Cisco SG250-28P-K9-EU

- Hỗ trợ các ứng dụng bảo mật mạng nâng cao như bảo mật cổng IEEE 802.1X giới hạn
chặt chẽ quyền truy cập vào các phân đoạn cụ thể trong mạng của bạn. Xác thực dựa
trên web cung cấp một giao diện nhất quán để xác thực tất cả các loại thiết bị lưu trữ và
các hệ điều hành, mà không có sự phức tạp của việc triển khai các máy khách IEEE
802.1X trên mỗi điểm cuối.

- Các cơ chế bảo vệ tiên tiến, bao gồm kiểm tra giao thức phân giải địa chỉ động (ARP),
IP Source Guard và Giao thức cấu hình máy chủ động (DHCP) rình mò, phát hiện và
ngăn chặn các cuộc tấn công mạng có chủ ý. Các kết hợp của các giao thức này cũng
được gọi là ràng buộc cổng IP-MAC (IPMB).

Quạt tản nhiệt trên SG250-28P-K9-EU

Quạt tản nhiệt hai bên hông SG250-28P-K9-EU

Hình ảnh: Quạt tản nhiệt hai bên hông SG250-28P-K9-EU

- IPv6 First Hop Security mở rộng khả năng bảo vệ mối đe dọa nâng cao lên IPv6. Bộ
bảo mật toàn diện này bao gồm kiểm tra ND, bảo vệ RA, bảo vệ DHCPv6 và kiểm tra
tính toàn vẹn ràng buộc hàng xóm, cung cấp khả năng bảo vệ tuyệt vời chống lại một
loạt các cuộc tấn công địa chỉ và tấn công man-in-the-middle trên mạng IPv6.

- ACL dựa trên thời gian và hoạt động cổng hạn chế quyền truy cập vào mạng trong
thời gian được chỉ định như giờ làm việc.

- Bảo mật dựa trên địa chỉ MAC thống nhất có thể được áp dụng tự động cho người
dùng di động khi họ di chuyển giữa các điểm truy cập không dây.

- Công nghệ bảo mật lõi (SCT) giúp đảm bảo rằng công tắc có thể xử lý lưu lượng truy
cập quản lý khi đối mặt với tấn công Từ chối dịch vụ (DoS).

- Private VLAN Edge (PVE) cung cấp lớp cách ly 2 giữa các thiết bị trên cùng một VLAN.

- Kiểm soát bão có thể được áp dụng cho lưu lượng phát sóng, phát đa hướng và không
xác định.

- Bảo vệ các phiên quản lý xảy ra bằng RADIUS, TACACS + và xác thực cơ sở dữ liệu cục
bộ cũng như các phiên quản lý an toàn qua SSL, SSH và SNMPv3.

- Phòng chống tấn công DoS tối đa hóa thời gian hoạt động của mạng khi có sự tấn
công.
Giá 621.21$

b, Switch 48 port

tên thiết bị : Switch Cisco SG350-52-K9-EU 52-port Gigabit Managed Switch

Thông số sản phẩm

Đánh giá

Thiết bị chuyển mạch Switch SG350-52p-K9-EU dòng sản phẩm Switch Cisco 350 Series một
phần của giải pháp tối ưu cho doanh nghiệp với khả năng cung cấp nguồn PoE công suất 195W
cho 24 cổng RJ, giúp giảm thiểu chi phí hiệu quả.

Thiết bị chuyển mạch Switch Cisco SG350-52p-K9-EU này cung cấp các tính năng bạn cần để
cải thiện tính khả dụng của các ứng dụng kinh doanh quan trọng, bảo vệ thông tin nhạy cảm và
tối ưu hóa băng thông mạng để cung cấp thông tin và ứng dụng hiệu quả hơn.

Cisco SG350-52p-K9-EU được thiết kế với 26 x 10/100/1000 Ports, 2 SFP Slots , 2 combo mini-
GBIC ports là giải pháp hoàn hảo để cải thiện hiệu suất mạng cho các doanh nghiệp nhỏ giúp tiết
kiệm nhiều hơn những chi phí.

Các tính năng nổi bật

- Hỗ trợ Giao thức quản lý mạng đơn giản (SNMP) cho phép bạn thiết lập và quản lý các
thiết bị chuyển mạch và các thiết bị Cisco khác từ xa từ một trạm quản lý mạng, cải
thiện quy trình làm việc CNTT và cấu hình khối lượng.

- Mã hóa lớp bảo mật nhúng (SSL) được mã hóa bảo vệ dữ liệu quản lý di chuyển đến
và đi từ nút chuyển.

- Danh sách kiểm soát truy cập mở rộng (ACL) hạn chế các phần nhạy cảm của mạng để
tránh người dùng trái phép và bảo vệ chống lại các cuộc tấn công mạng.

- VLAN khách cho phép bạn cung cấp kết nối Internet cho người dùng không có việc
làm trong khi cô lập các dịch vụ kinh doanh quan trọng từ lưu lượng khách.
- Hỗ trợ các ứng dụng bảo mật mạng nâng cao như bảo mật cổng IEEE 802.1X giới hạn
chặt chẽ quyền truy cập vào các phân đoạn cụ thể trong mạng của bạn. Xác thực dựa
trên web cung cấp một giao diện nhất quán để xác thực tất cả các loại thiết bị lưu trữ và
các hệ điều hành, mà không có sự phức tạp của việc triển khai các máy khách IEEE
802.1X trên mỗi điểm cuối.

- Các cơ chế bảo vệ tiên tiến, bao gồm kiểm tra giao thức phân giải địa chỉ động (ARP),
IP Source Guard và Giao thức cấu hình máy chủ động (DHCP) rình mò, phát hiện và
ngăn chặn các cuộc tấn công mạng có chủ ý. Các kết hợp của các giao thức này cũng
được gọi là ràng buộc cổng IP-MAC (IPMB).

- IPv6 First Hop Security mở rộng khả năng bảo vệ mối đe dọa nâng cao lên IPv6. Bộ
bảo mật toàn diện này bao gồm kiểm tra ND, bảo vệ RA, bảo vệ DHCPv6 và kiểm tra
tính toàn vẹn ràng buộc hàng xóm, cung cấp khả năng bảo vệ tuyệt vời chống lại một
loạt các cuộc tấn công địa chỉ và tấn công man-in-the-middle trên mạng IPv6.

- ACL dựa trên thời gian và hoạt động cổng hạn chế quyền truy cập vào mạng trong
thời gian được chỉ định như giờ làm việc.

- Bảo mật dựa trên địa chỉ MAC thống nhất có thể được áp dụng tự động cho người
dùng di động khi họ di chuyển giữa các điểm truy cập không dây.

- Công nghệ bảo mật lõi (SCT) giúp đảm bảo rằng công tắc có thể xử lý lưu lượng truy
cập quản lý khi đối mặt với tấn công Từ chối dịch vụ (DoS).

- Private VLAN Edge (PVE) cung cấp lớp cách ly 2 giữa các thiết bị trên cùng một VLAN.

- Kiểm soát bão có thể được áp dụng cho lưu lượng phát sóng, phát đa hướng và không
xác định.

- Bảo vệ các phiên quản lý xảy ra bằng RADIUS, TACACS + và xác thực cơ sở dữ liệu cục
bộ cũng như các phiên quản lý an toàn qua SSL, SSH và SNMPv3.

- Phòng chống tấn công DoS tối đa hóa thời gian hoạt động của mạng khi có sự tấn
công.

Giá 754,33$

Switch 8 port
Tên thiết bị : Switch CISCO SG95D-08 8 port

Giá 50,09$

Router

Tên thiết bị : Ubiquiti UniFi AP AC LR

Thông số
-  UniFi AP AC LR  is a dedicated wifi transmitter installed in the house.
- Centralized configuration using Unifi Controller software   installed on computer or Cloud.
- Manage  Guest Portal / Hotspot Support
- Smooth roaming support.
- Support 2 bands at the same time 2.4Ghz and 5Ghz
-  Latest 802.11 a/b/g/n/ac standard (300 Mbps/ 2.4GHz and 867 Mbps/5GHz)
- Operation mode: Access Point 
- Connection port: 01 LAN x 10/100/1000Mbps
- Built-in Antenna: 2x2(2.4GHz) MIMO & 2x2 (5GHz) MIMO
- Security: WEP, WPA-PSK, WPA-TKIP, WPA2 AES, 802.11i
- Support: 802.11Q VLAN, WMM, AP access speed limit for each user
- Coverage area: maximum broadcasting radius of 120m in an unobstructed environment
- Maximum simultaneous connection support: 150 people
- Included accessories: 24V, 0.5A PoE power and wall mount
Giá 160$

Router

Thông số

Giá 200$

3 cấu hình DHCP

Thiết lập IP trên server DHCP

Thiết lập địa chỉ IP các phòng trong server DHCP

Thiết lập DHCP trên các router

Địa chỉ IP trong các phòng sau khi thiết lập DHCP sau khi thiết lập thì địa chỉ IP được tự động
cấp cho các thiết bị khi kết nối với mạng nội bộ của phòng.
Định tuyến router

Dịch vụ mail

create user and password for each employee

- configure mail on each device
 Tổng số lương dây trong các phòng là:
In addition, we also have to use the network press to be able to connect the network to

devices as well as computers, the type of UTP connector we can use is the type of UTP
cat6 RJ45, it is sold in boxes, the number of 100 units / box. We have about

85computers, so we need 170 heads of network, among other devices we need about 40.
So, we need to buy three boxes of the top.

Các tính năng:

 Hỗ trợ VPN Site-to-site và remote access VPN, cung cấp khả năng truy cập hiệu suất cao,

bảo mật cao và tính sẵn sàng cao để giúp đảm bảo tính liên tục của doanh nghiệp.

 Khả năng hiển thị và kiểm soát ứng dụng chi tiết (AVC) hỗ trợ hơn 4.000 lớp ứng dụng và

các hoạt động dựa trên các chính sách phát hiện mối đe dọa xâm nhập (IPS) phù hợp để tối

ưu hóa hiệu quả bảo mật.

 Cung cấp khả năng ngăn chặn mối đe dọa và nhận thức đầy đủ về người dùng, cơ sở hạ

tầng, ứng dụng và nội dung để phát hiện các mối đe dọa.

 Lọc URL và danh mục, cung cấp cảnh báo toàn diện và kiểm soát lưu lượng truy cập web và

thực thi chính sách trên hàng trăm triệu URL trong hơn 80 danh mục.

 AMP cung cấp cung cấp các cơ chế phát hiện phần mềm đọc hại, sandbox, với tổng chi phí

sở hữu thấp và giá trị bảo vệ cao cấp giúp bạn khám phá, hiểu và ngăn chặn phần mềm độc

hại và các mối đe dọa mới bị các lớp bảo mật khác bỏ qua.

Cisco Firewall ASA5506-K9

Lựa chọn băng thông

Chúng ta nên chọn gói mạng F300 PlUS bời vì nó có băng thông là 300Mbps và băng

thông quốc tế tối thiểu là 15Mbps . Giá cho gói cước này là 435.02$ trên một tháng
Phần mềm bảo mật
Loại phần mềm nên dùng là Kaspersky Endpoint Security for Business

Một số tính năng:

Kaspersky Endpoint Security for Business ADVANCED bao gồm các công nghệ chống phần
mềm độc hại mới nhất của Kaspersky Lab, kết hợp biện pháp bảo vệ dựa trên chữ ký, chủ
động và có sự hỗ trợ của web – để phòng vệ hiệu quả, nhiều cấp. Với các bản cập nhật tự
động từ Mạng Bảo mật Kaspersky trên nền tảng điện toán đám mây, Kaspersky cung cấp
phản ứng nhanh đối với các mối đe dọa mới và đang phát triển.

Tội phạm mạng đang ngày càng gia tăng việc sử dụng các lỗ hổng chưa được vá – trong các
hệ điều hành (HĐH) và các ứng dụng – để tấn công các hệ thống công ty và đánh cắp dữ liệu
hoặc tiền. Chức năng quản lý bản vá lỗi và quét lỗ hổng của Kaspersky cung cấp khả năng
kiểm soát tập trung việc phát hiện các lỗ hổng của ứng dụng và HĐH – và phân mức độ ưu
tiên vá lỗi ứng dụng / HĐH. Kaspersky Endpoint Security for Business ADVANCED đóng một
vai trò quan trọng trong việc giúp loại bỏ nguy cơ tội phạm khai thác các lỗ hổng trong hệ
thống.
Vì các hệ thống mạng CNTT doanh nghiệp ngày càng trở nên phức tạp, nhiệm vụ quản lý tất
cả các hệ thống mà doanh nghiệp của bạn phụ thuộc vào đã trở nên khó khăn và tốn thời
 gian hơn nhiều. Kaspersky Endpoint Security for Business ADVANCED đơn giản hóa hàng loạt
tác vụ quản lý hệ thống – bao gồm việc cấu hình, triển khai và xử lý sự cố.
Kaspersky Endpoint Security for Business ADVANCED được cấu hình sẵn để giúp bạn quản lý
và bảo vệ các hệ thống của bạn – ngay sau khi được cài đặt. Hơn nữa, với bảng điều khiển
quản lý hợp nhất, dễ sử dụng được cung cấp cùng với Trung tâm Bảo mật Kaspersky – đội
ngũ CNTT của bạn có thể nhanh chóng áp dụng các chính sách quản lý hệ thống mới và cấu
hình bảo mật.
Thiết lập DHCP server mà Mail server
Đặt địa chỉ IP cho DHCP server

Install and configure network services

1. Router configuration
2. Server configuration
3. service configuration
enable all routers, enable ports and set ip addresses for them.
Sử dụng IP help-address trong router để chia địa chỉ IP

Configure Router
create user and password for each employee
configure mail on each device

Step 1: Access Global Configuration Mode:

Step 2: Configure hostname, domain name, enable password, banner mode:

Step 3: Configure AES to encrypt Password:

Step 4: VLAN configuration

Step 5: Configure the Default Static Route on the Cisco ASA

Step 6: Configure Telnet, SSH on Cisco ASA

Step 7: Configure NTP on Cisco ASA

Step 8: Configure DHCP Server on Cisco ASA
4. Firewall configuration
Thiết lập telnet
Kiểm tra telnet trong pc

Kiểm tra các thiết bị truy cập vào router thông qua telnet

SSH
Kiểm tra ssh trên PC
Thiết lập ping từ máy tính trong phòng smail staff đến máy tính trong phòng technicians

thereby giving out strengths and weaknesses in your network.

Following the design and construction of this system, I discovered that it is quite beneficial and
effective for the company's operations. Here are my evaluations of the system once it has been

built:
The company's activities are also faster and more cost-effective thanks to the centralized control
of the file server and other technologies.

Convenient for workers and the company's management team to utilize

Information is more secure and manageable.

Khó nâng cấp hệ thống

Mô hình chưa được tối ưu hóa

Design a maintenance schedule to support the networked system.

The purpose of maintenance is to prevent and reduce system failures so that the user's

productivity and profit may be increased. Can forewarn organizations of problems that may
arise in a short period of time, allowing them to prepare a backup plan and guaranteeing the

most efficient administration of the operating system. When the system has an issue that can't
be fixed, make sure the device is replaced. The software was checked, data was backed up, and

fresh system software utilities were installed.

Items that need to be maintained on a regular basis:

 Vệ sinh phần cứng

  Xử lý lỗi – cập nhật phần mềm :
 Nâng cao hiệu suất làm việc của máy :
  Backup dữ liệu :

 Ghi rõ hồ sơ, thời gian bảo trì

Bảo trì máy trạm

Kiểm tra cấu hình, phần mềm diệt virus của máy trạm khi kết nối với máy chủ

Sao lưu và lưu trữ tài liệu quan trọng ra các thiết bị để tránh trường hợp bị mất hay
đảo lộn trong quá trình bảo trì

Tối ưu hóa các phần mềm, ứng dụng và việc dọn rác của hệ thống
  Đảm bảo các ứng dụng được vận hành bình thường

Bảo trì hệ thống mạng

 Cấu hình mạng để các máy truy cập vào hệ thống

Rà soát các hệ thống dây cáp mạng

 Bố trí sơ đồ máy chủ và các máy kết nối theo đúng tiêu chuẩn kỹ thuật
 Kiểm tra và test hệ thống mạng cáp để xác nhận xem tốc độ đường truyền có đúng
với yêu cầu hay không

Although the network architecture has been improved, it is still relatively basic and
might fail if a critical device breaks. as a result, the network structure can be
enhanced further in the future:

 add routers to increase redundancy

 add redundant servers

 upgrade to private network

 nâng cấp băng thông

 thêm hệ thống bảo mật

thiết lập địa chị IP trên các thiết bị bằng DHCP