Nguyễn Xuân Khiêm
Lời nói đầu
Hiện nay, vấn đề quản lý mạng doanh nghiệp là mối quan tâm hàng
đầu và là vấn đề quan trọng nhất cần giải quyết của các doanh nghiệp,
nhất là các doanh nghiệp cần tính bảo mật thông tin cao. Với những khả
năng mà hệ thống quản lý mạng viễn thông đem lại cùng với sự phát triển
của các mạng lưới, các doanh nghiệp đều xây dựng cho mình các hệ
thống quản lí mạng thích hợp để nâng cao hiệu quả hoạt động cũng như
khai thác tốt mọi tài nguyên của doanh nghiệp mình. Vì thế chúng tôi
chọn đề tài này trong đồ án viễn thông của mình để tìm hiểu về các quá
trình xây dựng và quản lý mạng doanh nghiệp cũng như các vấn đề khác.
Do vấn đề xây dựng và quản lý mạng doanh nghiệp cũng là một
vấn đề mới mẻ đối với sinh viên chúng tôi, cùng với đó là một số lí do
khách quan khác mà chúng tôi khó có thể tránh khỏi những sai sót trong
bản đồ án này. Vì vậy rất mong quý thầy cô và các bạn giúp đỡ cũng như
chỉ dẫn thêm để đề tài được hoàn thiện hơn. Xin trân trọng cảm ơn
Nhóm sinh viên thực
hiện
1
Nguyễn Xuân Khiêm
CHƯƠNG I CƠ SỞ LÝ THUYẾT
1.1. Mạng máy tính
1.1.1. Nhu cầu của việc kết nối mạng máy tính
Việc nối máy tính thành mạng từ lâu đã trở thành một nhu cầu khách
quan vì :
- Có rất nhiều công việc về bản chất là phân tán hoặc về thông tin, hoặc
về xử lý hoặc cả hai đòi hỏi có sự kết hợp truyền thông với xử lý hoặc
sử dụng phương tiện từ xa.
- Chia sẻ các tài nguyên trên mạng cho nhiều người sử dụng tại một
thời điểm (ổ cứng, máy in, ổ CD ROM . . .)
- Nhu cầu liên lạc, trao đổi thông tin nhờ phương tiện máy tính.

dây dẫn tín hiệu).
- Đường truyền vô tuyến: các máy tính truyền tín hiệu với nhau thông
qua các sóng vô tuyến với các thiết bị điều chế/giải điều chế ớ các đầu
mút.
1.2.2. Kỹ thuật chuyển mạch
Là đặc trưng kỹ thuật chuyển tín hiệu giữa các nút trong mạng, các nút
mạng có chức năng hướng thông tin tới đích nào đó trong mạng, hiện
tại có các kỹ thuật chuyển mạch như sau:
- Kỹ thuật chuyển mạch kênh: Khi có hai thực thể cần truyền thông với
nhau thì giữa chúng sẽ thiết lập một kênh cố định và duy trì kết nối đó
3
Nguyễn Xuân Khiêm
cho tới khi hai bên ngắt liên lạc. Các dữ liệu chỉ truyền đi theo con
đường cố định đó.
- Kỹ thuật chuyển mạch thông báo: thông báo là một đơn vị dữ liệu của
người sử dụng có khuôn dạng được quy định trước. Mỗi thông báo có
chứa các thông tin điều khiển trong đó chỉ rõ đích cần truyền tới của
thông báo. Căn cứ vào thông tin điều khiển này mà mỗi nút trung gian
có thể chuyển thông báo tới nút kế tiếp trên con đường dẫn tới đích
của thông báo
- Kỹ thuật chuyển mạch gói: ở đây mỗi thông báo được chia ra thành
nhiều gói
nhỏ hơn được gọi là các gói tin (packet) có khuôn dạng qui định trước.
Mỗi gói
tin cũng chứa các thông tin điều khiển, trong đó có địa chỉ nguồn
(người gửi)
và địa chỉ đích (người nhận) của gói tin. Các gói tin của cùng một
thông báo có
thể được gửi đi qua mạng tới đích theo nhiều con đường khác nhau.
1.2.3. Kiến trúc mạng

Thực sự là một mạng INTERNET thu nhỏ vào trong một cơ quan/công
ty/tổ chức hay một bộ/nghành . . ., giới hạn phạm vi người sử dụng, có
sử dụng các công nghệ kiểm soát truy cập và bảo mật thông tin. Được
phát triển từ các mạng LAN, WAN dùng công nghệ INTERNET.
1.4. An ninh mạng
1.4.1. An ninh mạng là gì?
5
Nguyễn Xuân Khiêm
An ninh mạng là bạn sử dụng các công cụ cần thiết để bảo vệ mạng của
bạn trước các nguy cơ tấn công từ bên ngoài cũng như bên trong.
Các công nghệ An ninh mạng bảo vệ mạng của bạn trước việ đánh cắp
và sử dụng thông tin bí mật và chống lại bằng mã độc từ virut và sâu
máy tính trên mạng Internet. Nếu không có An ninh mạng được triển
khai, bạn sẽ gặp rủi ro trước sự xâm nhập trái phép, sự ngừng trệ hoạt
động của mạng, sự gián đoạn dịch vụ, sự không tuân thủ quy định và
thậm chí là các hành động phạm pháp.
1.4.2. Hoạt động của An ninh mạng.
An ninh mạng không chỉ dựa vào một phương pháp mà sử dụng một
tập hợp các rào cản để bảo vệ thông tin của bạn theo những cách khác
nhau. Ngay cả khi một giải pháp gặp sự cố thì giải pháp khác vẫn bảo
vệ được dữ liệu của bạn trước đa dạng các loại tấn công.
Các lớp an ninh trên mạng của bạn có nghĩa là thông tin có giá trị mà
bạn dựa vào để tiến hành kinh danh là luôn có sẵn đối với bạn và được
bảo vệ trước các tấn công. Cụ thể, An ninh mạng:
- Bảo vệ chống lại những tấn công mạng từ bên trong và bên ngoài. Các
tấn công có thể xuất phát từ ca hai phía, từ bên trong và bên ngoài
tường lửa của công ty. Một hệ thống an ninh hiệu quả sẽ giám sát tất
cả các hoạt động mạng, cảnh báo về những hành động vi phạm và thực
hiện những phản ứng thích hợp.
- Đảm bảo tính riêng tư của tất cả các liên lạc, ở bất cứ đâu và bất cứ

nguy hiểm vì kẻ gian có thể dùng các thủ đoạn xấu để tìm các ăn cắp
tiền từ những lỗ hổng bảo mật này. Hay các doanh nghiệp lớn như các
doanh nghiệp xuất nhập khẩu nếu bị lộ thông tin về kế hoạch phát triển
mới thì sẽ rất nguy hiểm vì các doanh nghiệp cạnh tranh khác sẽ tiến
hành làm trước vì vậy sẽ ảnh hưởng nghiêm trọng đến sự phát triển
của doanh nghiệp mình. Hay việc quản lý điểm ở các trường đại học.
Hiện nay hầu hết ở các trường đại học điểm của sinh viên được lưu trữ
trên cổng thông tin của trường đó. Và vậy nếu bị kẻ xấu tấn công và
8
Nguyễn Xuân Khiêm
thay đổi kết quả của hàng loạt sinh viên thì ảnh hưởng rất nghiêm
trọng đến kết quả học tập của sinh viên và làm giản uy tín nghiêm
trọng đối với trường đại học đó.
Chính vì những lý do đó mà chúng ta cần phải quản lý mạng doanh
nghiệp.
2.1. Giả thiết và phân tích các ràng buộc yêu cầu
Có trụ sở chính đặt ngoài Hà Nội, có 3 chi nhánh đặt tại thành phố Vinh:
phường Lê Lợi, phường Bến Thủy, phường Quang
Trung.
2.1.1. Cơ cấu hành chính, nhân sự và thiết bị
Giả thiết 3 chi nhánh đặt tại thành phố Vinh có cơ cấu hành chính, nhân
sự và thiết bị hoàn toàn giống nhau:
- Ban giám đốc gồm:
+ 1 giám đốc: 1 PC , 1 máy in
+ 2 phó giám đốc: 2 PC, 1 máy in
- Phòng ban khác gồm:
+ Phòng kế toán: 3 PC, 1 máy in
+ Phòng marketing: 3 PC, 1 máy in
+ Phòng hành chính: 4 PC, 1 máy in
+ Phòng kỹ thuật: 2 PC, 1 máy in

2.1.2.3. Đối với hệ thống mạng bên ngoài
- Không cho người ngoài internet đăng nhập trái phép, nếu có sẽ
xuất hiện thông báo ở Server .
- Tạo điều kiện thuận lợi cho nhân viên có thể làm việc mà không
cần trực tiếp vào công ty.
2.1.2. Sơ đồ mạng tổng quát của công ty
Hình 1. Sơ đồ mạng tổng quát của công ty
11
Nguyễn Xuân Khiêm
2.1.3. Sơ đồ mặt bằng của công ty
2.2. Mô phỏng hệ thống
( thêm hình vễ vào đây)
2.2.1. Cấu hình router
- Cấu hình cơ bản cho router leloi:
Phụ lục 1 (kèm theo)
- Cấu hình cơ bản cho router benthuy:
Phụ lục 2 (kèm theo)
- Cấu hình cơ bản cho router quangtrung :
Phụ lục 3 (kèm theo)
2.2.2. Cấu hình định tuyến
- Cấu hình định tuyến cho router leloi :
Phụ lục 4 (kèm theo)
- Cấu hình định tuyến cho router benthuy:
Phụ lục 5 (kèm theo)
- Cấu hình định tuyến cho router quangtrung:
Phụ lục 6 (kèm theo)
2.4. Giải thích cấu hình
2.4.1.Cấu hình telnet
Telnet được viết tắt từ cụm từ terminal network là một giao thức
mạng network protocol được dùng trên các kết nối internet hoặc các

Định tuyến ( routing hay routeing) là quá trình chọn lựa các
đường đi trên một mạng máy tính để gửi dữ liệu qua đó. Việc định
tuyến được thực
hiện cho nhiều loạ mạng, trong đó có mạng điện thoại, liên mạng,
internet, mạng giao thông.
Định tuyến có hai loại đó là định tuyến tĩnh (static routing) và
định tuyến động. Định tuyến tĩnh sử dụng các route bằng tay, đây là
một phương pháp thủ công, chỉ phù hợp với quy mô mạng nhỏ, ít thiết
bị. Còn đối với mạng có quy mô lớn thì loại định tuyến tĩnh này không
phù hợp. Thay vào đó là định tuyến động. Định tuyến động sử dụng các
loại giao thức định tuyến như: RIP, OSPF, EIGRP…Trong nội dung đồ án
này chúng tôi lựa chọn định tuyến động sử dụng giao thức RIP. Cấu
hình cơ bản của nó như sau:
benthuy(config)#router rip
benthuy(config-router)#version 2
benthuy(config-router)#network 10.0.0.0
benthuy(config-router)#network 12.0.0.0
benthuy(config-router)#no auto-summary
benthuy(config-router)#end
RIP là một giao thức distance – vector điển hình. Mỗi router sẽ
gửi toàn bộ bảng định tuyến của nó cho router láng giềng theo định kỳ
30s/lần. Thông tin này lại tiếp tục được láng giềng lan truyền tiếp cho
các láng giềng khác và cứ thế lan truyền ra mọi router trên toàn mạng.
Metric trong RIP được tính theo hop count – số node lớp 3
(router) phải đi qua trên đường đi để đến đích. Với RIP, giá trị metric
14
Nguyễn Xuân Khiêm
tối đa là 15, giá trị metric = 16 được gọi là infinity metric (“metric vô
hạn”), có nghĩa là một mạng chỉ được phép cách nguồn tin 15 router là
tối đa, nếu nó cách nguồn tin từ 16 router trở lên, nó không thể nhận

benthuy(dhcp-config)# exit
benthuy(config)# ip dhcp excluded-address 12.0.0.1 12.0.0.10
benthuy(config)# end
2.4.5. Cấu hình NAT
NAT (Network Address Translation) là một cơ chế để tiết kiệm
địa chỉ IP đăng ký trong một mạng lớn và giúp đơn giản hóa việc quản
lý địa chỉ IP. Khi 1 gói dữ liệu được định tuyến trong 1 thiết bị mạng,
thường là firewall hoặc các router biên, địa chỉ IP nguồn sẽ được
chuyển đổi từ địa chỉ mạng riêng thành địa chỉ IP công cộng định tuyến
được. Điều này cho phép gói dữ liệu được truyền đi trong trong mạng
công cộng, ví dụ như Internet. Sau đó, địa chỉ công cộng trong gói trả
lời lại được chuyển đổi thành địa chỉ riêng để phát vào trong mạng nội
bộ. Cấu hình NAT được thể hiện như sau:
Bước Thực hiện Ghi chú
1 Thiết lập mối quan hệ chuyển đổi giữa địa chỉ nội
bộ bên trong và địa chỉ đại diện bên ngoài
Router (config) # ip nat inside
source static local-ip global-ip
Trong chế độ cấu
hình toàn cục, bạn
dùng câu lệnh
no ip nat inside
source static
16
Nguyễn Xuân Khiêm
để xóa sự chuyển
đổi địa chỉ cố định.
2
Xác định cổng kết nối vòa mạng bên trong.
Router(config) # interface type number

mỗi vlan sẽ đảm nhận mọt công việc nhất định mà người quản tri
mạng đặt ra. Và nó chỉ hoạt động được trong phân vùng của nó, khi ra
khỏi phân vùng được định nghĩa thì nó hoàn toàn không có tác dụng. Ví
dụ trong một doanh nghiệp có chia các vlan như sau. Vlan 10 name
ketoan, vlan 20 name nhansu, vlan 30 name quanly thì mỗi PC trong
các vlan được chia chỉ hoạt động trong vlan đó.
2.4.8. Cấu hình portscurity
Những interface lớp 2 của Cisco được hiểu như là các Port.
Một Switch mà không cung cấp khả năng bảo vệ Port, thì cho phép kẻ
tấn công tấn công vào hệ thống không dùng đến, enable Port, thu thập
thông tin hoặc tấn công. Một Switch có thể cấu hình để hoạt động giống
như Hub. Điều đó có nghĩa là mỗi hệ thống kết nối đến Switch có thể
thấy tất cả các traffic di chuyển qua Switch để tới các hệ thống kết nối
đến Switch. Như vậy 1 kẻ tấn công có thể thu thập traffic chứa đựng
các thông tin như: username, passord, những thông tin cấu hình…
Port Security giới hạn số lượng của địa chỉ MAC hợp lệ được
cho
phép trên Port. Tất cả những port trên Switch hoặc những interface
nên được
đảm bảo trước khi triển khai. Theo cách này, những đặt tính được cài
đặt hoặc
gỡ bỏ như là những yêu cầu để thêm vào hoặc làm dài thêm những đặt
tính
18
Nguyễn Xuân Khiêm
một cách ngẫu nhiên hoặc là những kết quả bảo mật vốn đã có sẵn.
Cấu hình portscurity như sau:
SW1(config-if)#int f0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport acc vlan 2

chuyên ngành quản trị mạng này chưa được giảng dạy trong chương trình
nên dù rất cố gắng nhưng trong đồ án này khó có thể tránh những sai sót.
Rất mong nhận được sự góp ý từ quý thầy cô cùng các bạn.
Một lần nữa, nhóm đồ án xin gửi lời cảm ơn chân thành đến cô giáo
ThS. Lê Đình Công đã tận tình giúp đỡ để chúng tôi có thể hoàn thành đồ án
môn học này.
Sinh viên thực
hiện
Nguyễn Mạnh
Tùng
21
Nguyễn Xuân Khiêm
TÀI LIỆU THAM KHẢO
1. www.shoptinhoc.com
2. www.itnghean
3. www.nhatnghe
4. www.vnpro.vn
5. Cisco Certified network Associate.
6. Đặng Quang Minh, Bùi Hoàng Long, Phạm Đình Thông, Lê Đức
Phương CCNA Labpro 2012 NXB Thông Tin và Truyền Thông.
7. Trần Công Hùng Kỹ thuật mạng máy tính.
8. Cisco Việt Nam Giáo trình quản trị mạng và thiết bị.
9. TS Phạm Thế Quế Mạng máy tính NXB HVCN Bưu chính viễn
thông.
10. Nguyễn Thức Hải Mạng máy tính và các hệ thống mở NXB:
Giáo Dục
Switch cũng “học” thông tin của mạng thông qua các gói tin (packet) mà
nó nhận được từ các máy trong mạng.
Switch sử dụng các thông tin này để xây dựng lên bảng Switch
22

leloi(config)#int f0/0.3
leloi(config-subif)#encapsulation dot1Q 3
leloi(config-subif)#ip add 10.0.2.1 255.255.255.0
leloi(config-subif)#no shutdown
leloi(config-subif)#exit
leloi(config-if)#int f0/0.4
leloi(config-subif)#encapsulation dot1Q 4
leloi(config-subif)#ip add 10.0.3.1 255.255.255.0
leloi(config-subif)#no shutdown
leloi(config-subif)#exit
leloi(config)#int s2/0
leloi(config-if)#ip add 12.0.0.1 255.255.255.0
leloi(config-if)#no shutdown
leloi(config-if)#clock rate 64000
leloi(config-if)#exit
leloi(config-subif)#end
25