Trân Giáo_Khoa CNTT_ĐH Thái Nguyên
CHƯƠNG 4
THIẾT KỆ MẠNG AN TOÀN CHO TRƯỜNG
CAO ĐẲNG CƠ KHÍ LUYỆN KIM SỬ DỤNG PIX FIREWALL
I. Khảo sát hệ thống mạng hiện tại và các yêu cầu cần nâng cấp.
1. Hiện trạng hệ thống
Qua quá trình khảo sát hiện trạng hệ thống mạng của Trường Cao đẳng cơ
khí luyện kim, cho thấy đây là một hệ thống còn hết sức đơn giản, có thể được mô
hình hóa như sau: * Đường truyền của hệ thống
+ Đường truyền Internet: hệ thống hiện tại chỉ có duy nhất một đường truyền
Internet ADSL tốc độ 2Mbps của VNPT
+ Mạng nội bộ: Hệ thống mạng LAN nối các tòa nhà, các phòng ban với nhau sử
dụng cáp UTP 4 pair
Trân Giáo_Khoa CNTT_ĐH Thái Nguyên
* Các dịch vụ cung cấp:
Hiện tại hệ thống mạng của trường chỉ dùng để trao đổi thông tin giữa các máy
trong LAN và truy cập khai thác Internet, chưa cung cấp bất kỳ dịch vụ nào khác.
* Các thiết bị chính
 Switch Catalyst 2950
 Switch planet FNSW – 1601
 Modem ADSL
 Các máy trạm tại các văn phòng
2. Đánh giá hiệu năng và mức an toàn của hệ thống
* Hiệu năng của hệ thống
Hiện tại hệ thống chỉ sử dụng các Hub để phân chia lưu lượng mạng, các
thiết bị này có nhược điểm là không phân chia các miền đụng độ. Do đó khi một
máy gửi tín hiệu đi thì tất cả các máy khác trong cùng miền đụng độ sẽ nhận được
lưu lượng đó. Vì vậy một lượng lớn lưu lượng chạy trong hệ thống mạng là lưu

cấp toàn bộ hệ thống mạng nhằm khắc phục các vấn đề về hiệu năng hệ thống, độ
an toàn của hệ thống và đảm bảo cung cấp các dịch vụ đã được đề ra.
Trân Giáo_Khoa CNTT_ĐH Thái Nguyên
II. Thiết kế hệ thống mạng sử dụng thiết bị PIX firewall.
1. Sơ đồ thiết kế hệ thống mới.
Xây dựng các web server, mail server, sử dụng thêm 1 đường ADSL cho
việc truy cập Internet, 1 đường lease line dành riêng cho các server, thay thế các
hub bằng các Switch 2960 để nâng cao hiệu năng của hệ thống. Đặc biệt là sử dụng
thiết bị PIX firewall để nâng cao mức độ an toàn cho hệ thống mạng. Mô hình mạng
của trường sẽ được thiết kế như sau:

Hệ thống mạng theo mô hình trên có các đặc điểm như sau:
* Xây dựng các Server triển khai các dịch vụ web server và mail server đáp ứng yêu
cầu đề ra ban đầu.
* Sử dụng thêm một đường ADSL 2Mbps cho việc truy cập Internet của người
dùng. Như vậy hệ thống bây giờ có 2 đường ADSL chạy qua một thiết bị cân bằng
tải Draytek V2930. Điều này sẽ cải thiện lớn tốc độ truy cập Internet của người
dùng, đặc biệt tăng tính ổn định của mạng Internet, không xảy ra tình trạng bị rớt
mạng.

Trân Giáo_Khoa CNTT_ĐH Thái Nguyên
* Sử dụng một đường lease line 384Kbps dành riêng cho các Server đảm bảo đường
truyền cho các Server được ổn định.
* Sử dụng switch Cisco để chia mạng LAN ảo - VLAN: Các Hub nối các phòng ban
sẽ được thay thế bằng switch với khả năng chia VLAN, các phòng ban sẽ được chia
vào các VLAN. Mục đích là hạn chế sự broadcast thông tin lên toàn mạng làm tắc
nghẽn đường truyền, nâng cao hiệu suất mạng, mặt khác giúp dễ dàng quản lý, áp
dụng được các chính sách khác nhau đối với từng phòng ban cũng như nhanh chóng
khắc phục các sự cố khi xảy ra.
* Sử dụng Firewall cứng (Cisco PIX Firewall) để bảo vệ hệ thống server và mạng