Xây dựng hệ thống mạng LAN cho trường THCS hùng vương triển khai tường lửa TMG2010 và hệ thống cân bằng tải internet

Dự án 2 Ứng dụng CNTT TRƯỜNG CAO ĐẲNG THỰC HÀNH FPT Xây dựng hệ thống mạng LAN cho trường THCS Hùng Vương... Việc áp dụng vào thực tế của mạng máy tính như thiết kế mạng LAN trong một

GIỚI THIỆU ĐỀ TÀI

Từ khi ra đời, máy tính đã đóng vai trò quan trọng trong sự phát triển kinh tế - xã hội Công nghệ thông tin (CNTT) ngày nay phát triển mạnh mẽ, được ứng dụng rộng rãi trong mọi lĩnh vực, đặc biệt là quản lý Một trong những ứng dụng phổ biến nhất của CNTT là mạng LAN, được lắp đặt rộng rãi trong các cơ quan và xí nghiệp Hệ thống quản trị mạng này giúp tiết kiệm thời gian, nâng cao độ chính xác và hiệu quả công việc Trước đây, việc ghi chép và lưu trữ dữ liệu tốn nhiều thời gian và không gian, nhưng với sự phát triển của CNTT, những công việc này đã trở nên dễ dàng hơn rất nhiều.

Việc xây dựng mạng LAN tại trường THCS Hùng Vương là cần thiết để cải thiện quản lý và giảng dạy Hiện tại, trường chưa có hệ thống máy tính và mạng LAN, do đó, chúng tôi sẽ phát triển một hệ thống hoàn toàn mới Dự án này sẽ đưa ra các giải pháp và cơ chế nhằm tối ưu hóa chức năng hiện tại, từ đó nâng cao hiệu quả giảng dạy cho giáo viên Điều này không chỉ giúp cải thiện chất lượng giáo dục tại trường mà còn góp phần vào sự phát triển chung của ngành giáo dục.

Dự án 2 2 Ứng dụng CNTT

PHÂN TÍCH NỘI DUNG, YÊU CẦU

THIẾT KẾ

Ở trong phần này , chúng ta sẽ thiết kế , cài đặt các phần mềm và dịch vụ để triển khai và thực thi:

- Hệ thống mạng LAN cho trường Xây dựng máy sever chủ DC

- Mạng Lan gồm các máy client ở các phòng ban và các máy phòng thực hành

- Triển khai tường lửa TMG2010 trên máy sever

- Chia sẻ và phân quyền thư mục cho từng phòng ban Chia sẻ máy in cho cả trường dùng chung một máy in

- Cài đặt DHCP, Terminal Services, Web sever IIS 6 và FTP Services trên máy sver

- Tạo các chính sách GPO về Mật khẩu, Login

- Triền khai các phần mềm văn phòng: word,excel, vietkey trên các máy client

Trước tiên chúng ta sẽ xây dựng máy chủ DC Địa chỉ IP Default Gateway: 192.168.1.1 Địa chỉ IP máy Sever: 192.168.1.3 Địa chỉ Subnet Mark: 255.255.255.0 Địa chỉ DNS : 192.168.1.2

Dải địa chỉ DHCP Từ 192.168.1.10 đến 192.168.1.200

Cài đặt Windows sever 2008 trên máy sever thành công:

Cài đặt dịch vụ Active Dictory Domains trên Windows sever 2008 ( tích hợp DNS)

Cài đặt thành công Active Directory Domain tích hợp DNS

Cài đặt dịch vụ DHCP sever:

Cấu hình dải địa chỉ bắt đầu và kết thúc,Subnet mark , default gateway

Cài đặt dịch vụ DHCP thành công

Dự án 2 13 Ứng dụng CNTT Đã cài đặt thành công dịch vụ DHCP

Cài đặt dịch vụ Terminal Services

Tích chọn các dịch vụ

Cài đặt dịch vụ Web sever IIS 6 và FTP Services

- Bước 1: Vào Sever Manager –Roles – Web sever (IIS) - Add roles services Cửa sổ cài đặt hiện ra như hình Tích vào FTP

Cài đặt dịch vụ File Server

- Vào Server manager -> add roles -> tích vào file Services -> chọn Next

- Tiếp tục tích vào File server resource manager -> chọn Next

- Vào Role > add Role > Print Services < Next

Tạo OU các phòng ban , mỗi phòng ban là một OU, trong phòng ban có các Group trong đó có các User cho nhân viên các phòng ban

Cài đặt windows sever backup

To begin the installation process, access Server Manager and navigate to the Features section, then select "Add features." In the Add Features Wizard window, scroll down and choose the Windows Server Backup features before clicking Next to proceed.

- Bước 2 : Chọn Install Đợi quá trình cài đặt đến khi kết thúc

Sau khi cài đặt thành công Giao diện Windows sever back up như hình

- Bước 1: Nhấn chọn Backup schedule Cửa số hiện ra chọn Next

Bước 2 : Cửa số hiện ra , chọn dòng Full Sever Sau đó bấm Next

- Bước 3 : Ở cửa sổ tiếp theo , chọn thời gian backup trong ngày Bấm next

- Bước 4 : Chọn ổ lưu rồi chọn next

- Bước 6 : Chọn Finish Đợi quá trình kết thúc Backup xong

PHÁT TRIỂN/THỰC THI

Phân quyền OU và User

- Mỗi phòng ban có 1 người làm làm trưởng phòng ban có thể quản lý các phòng ban của mình:

Phòng Ban Giám Hiệu: Hiệu trưởng

Làm tương tự với các phòng ban khác

Phòng Đào tạo : Đào tạo 1

Phòng hành chính: hành chính 1

Phòng tài chính : Tài chính 1

Phòng thực hành: Giáo viên

Phòng Dịch vụ : Dịch vụ 1

Phòng Bộ môn : Bộ môn 1

- Các chính sách cơ bản áp dụng cho tất cả các phòng ban

Chính sách về mật khẩu : không thể thay trùng mật khẩu cũ gần đây 3 lần độ dài mật khẩu >=8

Tuổi thọ của mật khẩu = 90 ngày

Thời gian có thể đổi tiếp mật khẩu: 30 ngày

Mật khẩu phải có chứa kí tự đặc biệt

IT1 được phép đăng nhập từ xa qua qua temiral service

- Các máy phòng thực hành đăng nhập không cần Password

Các chính sách được áp dụng cho các phòng ban

Sau khi áp dụng cần update lại GPO Vào Run- cmd sau Enter gõ gpupdate /force enter

- Ta vào ổ C tạo thư mục dulieu_thcshungvuong

- Share thư mục này: chuột phải vào thư chọn properties -> chọn tab Sharing -> chọn Advanced như dưới :

- Share cho mọi người có quyền vào thư mục này :

- Bỏ tích “Include inheritable permissions from this object’s parent” -> chọn copy

Tiếp tục chúng ta add everyone (Kiu) vào và phần cho quyền read & execute

- Tạo thư mục cho các phòng ban

- Ở thư mục BAN GIAM HIEU : Bỏ tích “Include inheritable permissions from this object’s parent” -> chọn copy

- Xóa hết các user hay group không cân thiết chỉ để lại Administrator

- Add GR_BGH được phân quyền vào chỉ cho GR-BGH có thể vào :

- Nhập tên máy in chia sẻ

- Chia sẻ máy in thành công

Chia sẻ Phần mềm tới máy client

To share software from the server to the client machine, the first step is to install the necessary applications, specifically Microsoft Office and Unikey Begin by selecting the TS RemoteApp Manager option.

- Tại của sổ TS RemoteApp Manager, chọn Action, chọn Add RemoteApp Programs

- Chọn những phần mềm : Ms office, unikey…

- xem lại thông tin, nếu chính xác thì chọn finish

- kết quả như hình dưới

Tạo web site trên web IIS

-Bước 1: Trong web manager, chuột phải vào site chọn add web site

Để hoàn tất bước 2, bạn cần điền tên site là thcs.hungvuong.com, chỉ định đường dẫn vật lý đến thư mục web đã được tạo sẵn, và nhập tên máy chủ là www.thcs.hungvuong.com, sau đó chọn OK.

- Truy cập vào website www.thcs.hungvuong.com từ máy client

- Vào Administrative Tool — > IIS 6 Click chuột phải vào FTP chọn New — > chọn FTP Site…

- Điền mô tả vào ô Description, và chọn next

- Chọn địa chỉ IP : 192.168.47.3 và nhập port là 21

- Chọn Do not Isolate users

- trỏ đến thư mục web

-Sau khi tạo FTP site xong, ta chuột phải vào site vừa tạo chọn Properties

- Chuyển tab Security Accounts và tích vào mục cho phép tài khoản anonymous kết nối

- Quay trở lại IIS 6.0 Manager, chuột phải vào Website vào chọn Start để FTP hoạt động

TRIỂN KHAI TMG VÀ CÂN BẰNG TẢI TMG

Cài đặt và cấu hình TMG a Chức năng chính của TMG

- Firewall : Kiểm soát các gói tin truy cập nội bộ ra ngoài Internet và ngược lại

- Secure Web Gateway : Bảo vệ người dùng đối với các mối đe dọa khi truy cập web

- Secure E-mail Relay: Bảo vệ người dùng đối với các mối đe dọa từ e- mail độc hại

- Remote Access Gateway: Hỗ trợ người dùng truy cập từ xa để sử dụng các dịch vụ và tài nguyên mạng trong nội bộ

- Intrusion Prevention: Phòng chống các cuộc tấn công và xâm nhập từ bên ngoài

- Enhanced Voice over IP: cho phép kết nối và sử dụng Voice over Internet Protocol (VoIP) thông qua TMG

- ISP Link Redundancy: hỗ trợ load Balancing và Failover cho nhiều đường truyền Internet

- Web Anti- Malware: quét virus, phần mềm độc hại và các mối đe dọa khác khi truy cập web

- URL-Filterning: cho phép hoặc cấm các trang web theo danh sách phân loại nội dung sẵn có

- HTTPS Insdection: kiểm soát các gói tin được mã hóa HTTPS để phòng chống phần mềm độc hại và kiểm tra tính hợp lệ của các SSL Certificate

- E-Mail Protection Subscription service: tích hợp với Forefront Protection 2010 For Exchange Server và Exchange Edge Transport Server để kiểm soát viruses, malware, spam Email trong hệ thống Mail Exchange

- Network Inspection System (NIS): ngăn chặn các cuộc tấn công dựa vào lỗ hổng bảo mật

- Network Access Protection (NAP) Integation: tích hợp với NAP để kiểm tra tình trạng an toàn của các Client trước khi cho phép Client kết nối VPN

- Security Socket Tunneling Protocol (SSTP) Integration: hỗ trợ VPN- SSTP

- Để cài đặt TMG Firewall sử dụng hệ điều hành Window Server 2008

Windows Server 2008 có những hạn chế so với Windows Server 2003, đặc biệt là về khả năng tương thích với máy chủ, khi mà Server 2003 có thể cài đặt trên nhiều cấu hình máy tính khác nhau Tuy nhiên, TMG trên Server 2008 lại cung cấp chức năng gỡ rối Troubleshooting hữu ích, giúp người dùng không chuyên dễ dàng quản trị và khắc phục sự cố mà không cần sự can thiệp của IT chuyên nghiệp, miễn là họ có chút kiến thức về tiếng Anh và thuật ngữ chuyên ngành.

Trên cửa số Server Manager click chuột phải vào Features chọn Add Freature

Tick chọn Net Framework 3.5.1 Features

Trên cửa sổ Add role service and features required for Net framework 3.5.1 Features click Add Required Role Services

Trên cửa sổ Web Server (IIS) click Next

Cửa sổ Select Role Services để mặc định, click Next

Trên cửa số Confirm Installation Selections click Install để cài đặt Framework

Sau khi cài đặt xong, click Close để kết thúc

- Click đúp file cài đặt TMG 2010, trên cửa sổ Forefront Threat Management Gateway (TMG) 2010 click “ Run Preparation Tool”

- Chọn Run installation Wizard >Quá trình khởi động cài đặt bắt đầu chạy

- Cấu hình mạng và hệ thống

- cấu hình tiếp cho hệ thông, click Configure system settings

- Hoàn thành phần thiết lập TMG

2 Cấu hình 1 số tính năng của TMG a Web access

- Cấu hình access rule cho phép truy cập internet

- Theo mặc định khi cài đặt tường lửa thành công thì tường lửa sẽ khóa truy cập internet khi tạo access rule mới cho phép truy cập

- Cấu hình chọn Firewall policy chọn New chọn tiếp là Access Rule

- Đặt tên Access rule và next để tiếp tục

- Chọn Allow và nhấn next tiếp tục

- Chọn giao thức Http và Https và next

- Chọn giao thức Internal và local Host và next để tiếp tục

- Chọn External  next  next  và Finish  chọn Apply  Done b DNS Query

- Cấu hình thực hiện cho phép mạng nội bộ ra ngoài internet để thực hiện phân giải tên miền

- Hoàn thành quá trình cấu hình

3 Web Caching (tăng tốc độ truy cập web)

Web Caching là một tính năng cho phép lưu trữ nội dung của các trang web đã truy cập trên máy TMG, giúp tăng tốc độ truy cập cho những lần truy cập sau.

- Mở DNS Console, tạo một HOST (A) tên là www trỏ về IP của máy sever cài DC

By default, TMG does not enable the Web Caching feature To utilize this function, you need to activate it Select the Web Access Policy and click on the Disabled link under Web Caching Then, navigate to the Cache Drives tab and press the Configure button.

- Chọn ỗ đĩa.Nhấn nút Set Rồi OK - Apply

- Malware (MaliciousSoftware) là tên gọi chung cho tất cả những phần mềm độc hại đối với máy tính

Malware, bao gồm virus, worm, trojan, spyware và adware, là những phần mềm độc hại gây ảnh hưởng tiêu cực đến máy tính Vì vậy, việc bảo vệ máy tính khỏi malware là rất quan trọng cho người dùng khi truy cập internet.

- Cấu hình chức năng Malware Inspection

- ChọnForefront TMG (Tên Server) - Launch Getting Started Wizrd

- Chọn Use the Microsoft Update service to check for updates - Nhấn Next

- Chấp nhận các thông số mặc định – và cuối cùng chọn finish

- Sau khi đã cập nhật, cấu hình Malware Inspection bằng cách chọn Firewall Policy - Bấm phải chuột vào Access Rule Allow Web - Chọn Properties

- Sang Tab Malware Inspection - Đánh dấu check Inspect content downloaded from Web servers to clients - Nhấn OK sau đó nhấn Apply

HTTP filter là chức năng cho phép lọc và chặn nội dung gói tin HTTP khi truy cập Web Trên TMG, chức năng này giúp cấm tải xuống các loại file chỉ định và hạn chế truy cập Web theo phương thức cụ thể Ví dụ, tôi sẽ cấu hình để cấm tải xuống các file nhất định và hạn chế truy cập dựa trên phương thức.

- Cấm Download các loại file exe

- Chọn Firewall Policy - Bấm phải chuột lên Access Rule Allow Web - Chọn Configure HTTP

- Sang Tab Extensions - Chọn Block specified extensions (allow all others) - Nhấn Add Nhập loại file exe - OK

Thực hiện backup và restore

- Thực hiện Backup hệ thống

- Trong mục Action, chọn Export Firewall Policy

- Restore file đã Backup của hệ thống

- Vào menu Action\import firewall policy… để restore file cấu hình

Nhập pass Đợi quá trình hoàn thành

Cân bằng tải, hay còn gọi là Load balancing, là kỹ thuật phân phối công việc đồng đều giữa nhiều máy tính, kết nối mạng, CPU, ổ cứng và các nguồn lực khác Mục tiêu của cân bằng tải là tối ưu hóa việc sử dụng nguồn lực, tối đa hóa thông lượng, giảm thời gian đáp ứng và ngăn ngừa tình trạng quá tải.

- Sử dụng nhiều thành phần với cân bằng tải, thay vì 1 thành phần duy nhất, có thể làm tăng khả năng làm việc

- Các dịch vụ cân bằng tải thường được nhà cung cấp bởi 1 chương trình chuyện dụng hoặc thiết bị phần cứng

1 Demo sử dụng Cân bằng tải: Đăng nhập vào cấu hình của v2920 series:

Có 2 phương thức là - Phương thức Static or Dynamic IP: do thiết bị

Router ADSL V2920 series chỉ đóng vai trò cân bằng tải trong mạng, yêu cầu gói dữ liệu phải trải qua hai lần xử lý.

Thiết bị ADSL router hoạt động ở chế độ Brigde Mode, giúp đồng bộ tín hiệu ADSL và chuyển đổi từ line ADSL RJ-11 sang mạng LAN RJ-45 Thiết bị này không chỉ thực hiện chức năng định tuyến mạng mà còn cân bằng tải, cho phép gói dữ liệu của bạn chỉ cần được xử lý một lần trên dòng sản phẩm V2920 series.

- Ta chọn phương thức Static or Dynamic IP

 Tại Wan 1  chọn Static or Dynamic IP  Details page:

 Sau khi Details page sẽ hiện trang như dưới:

 Check vào mục Enable để kích hoạt chức năng:

- Trong phần Wan ip network setting:

 Obtain an IP address automatically: chạy chế độ DHCP

 Specify an IP address: chạy chế độ đặt IP tĩnh

Phát hiện kết nối WAN là phương thức quan trọng để đảm bảo đường truyền ổn định Chúng ta sử dụng phương pháp Ping Detect, cho phép hệ thống tự động ping đến địa chỉ IP đã được cung cấp khi xảy ra lỗi kết nối.

MTU, hay Maximum Transmission Unit, là đơn vị truyền tải dữ liệu lớn nhất mà modem có thể xử lý, xác định kích thước tối đa của một gói dữ liệu Đối với modem ADSL và ADSL 2+, mức MTU tối ưu được khuyến nghị là 1492.

 Tại Wan 2 thiết lập tương tự:

 Sau khi thiết lập xong cân bằng tải ta tích chọn Using current configuration để sử dụng thiết lập vừa xong  nhấn OK:

 Ta đợi 1 lúc để router reset  Sau đó nhấn Online status:

 Tích chọn Physical connection  hệ thống hoạt động bình thường trên Wan 1:

 2 router đứng trước không cần hỗ trợ tính năng Brigde

 Cấu hình đơn giản trên cả 3 thiết bị nếu bạn biết một số kiến thức mạng cơ bản

 Mạng chậm vì gói dữ liệu cần xử lý 2 lần (trên V2910 và trên router đứng trước V2910)

 Phải thay đổi IP của 3 thiết bị khác lớp mạng hoặc khác subnet

NAT Port phức tạp (bạn phải NAT 2 lần trên cả 2 thiết bị V2910 và router đứng trước)

- Ta làm phương thức thứ 2 là: Phương thức PPPoE

Chúng tôi có hai modem/router hỗ trợ tính năng Bridge và thiết bị v2920 series Cả hai modem/router này được cấu hình thành Bridge, trong khi thiết bị v2920 series được thiết lập để kết nối PPPoE nhằm nhận địa chỉ IP WAN từ nhà cung cấp dịch vụ, đồng thời thực hiện chức năng cân bằng tải cho hệ thống mạng.

Mỗi router sẽ có 1 cách riêng để cấu hình Brigde nên ta phải liên hệ với nhà cung cấp sản phẩm để được hỗ trợ

- Cấu hình PPPoE trên v2920 series: đăng nhập vào giao diện cấu hình của v2920 series  mục WAN  Internet Access Trong phần WAN 1 chọn PPPoE và nhấn nút Details Page

- Chọn Enable để bật chức năng Sau đó đăng nhập vào hệ thống với username và password do nhà mạng cung cấp:

- Cấu hình tương tự với Wan 2:

- Ta chọn Using current configuration  OK để chạy thiết lập:

- Đợi hệ thống reset  Sau đó nhấn Online status:

- Tích chọn Physical connection  hệ thống hoạt động bình thường trên Wan 1:

 Mạng hoạt động nhanh và ổn định hơn, vì chỉ xử lý dữ liệu 1 lần, gói dữ liệu được xử lý trên V2920 series và được chuyển thẳng ra ngoài

 Tính năng định tuyến được xử lý trên các thiết bị load balance như V2920 series mạnh mẽ hơn so với xử lý trên các router ADSL thông thường

 Không cần quan tâm đến IP của 2 router đứng trước V2920 series NAT port đơn giản, chỉ cần NAT trên V2920 series

 Router đứng trước phải hỗ trợ tính năng Brigde

HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI

Nhà trường có khả năng mở rộng và phát triển các cơ sở giáo dục ở nhiều khu vực khác nhau trong tương lai Vì vậy, việc triển khai hệ thống VPN Site to Site hoặc Remote Access là rất cần thiết để hỗ trợ truy cập từ xa và trao đổi dữ liệu giữa các trường học.

Tiêu đề	Xây Dựng Hệ Thống Mạng LAN Cho Trường THCS Hùng Vương. Triển Khai Tường Lửa TMG2010 Và Hệ Thống Cân Bằng Tải Internet
Tác giả	Phạm Công Hoan, Trần Hoàng Ngọc, Nguyễn Văn Cường, Nguyễn Ngọc Quân, Vũ Văn Tuân
Người hướng dẫn	Trần Thanh Long
Trường học	FPT Polytechnic
Thể loại	báo cáo dự án
Năm xuất bản	2016
Thành phố	Hà Nội

Định dạng
Số trang	103
Dung lượng	9,57 MB