Đồ án xây dựng hệ thống mạng LAN cho doanh nghiệp.doc, các bạn có thể tham khảo thêm tại web luanvantot.com

1. DỊCH VỤ VIẾT THUÊ ĐỀ TÀI TRỌN GÓI ZALO/TELEGRAM : 0934.573.149
TẢI FLIE TÀI LIỆU – LUANVANTOT.COM
EBOOKBKMT.COM
TRƯỜNG ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ
KHOA CỘNG NGHỆ THÔNG TIN
====
ĐỒ ÁN TỐT NGHIỆP
Đề tài : Xây dựng hệ thống mạng LAN cho doanh nghiệp
SINH VIÊN : DOÃN VĂN QUÂN
MSSV : 13302279
LỚP : IT1 – K10
Hà Nội, tháng 01 năm 2016

2. DỊCH VỤ VIẾT THUÊ ĐỀ TÀI TRỌN GÓI ZALO/TELEGRAM : 0934.573.149
TẢI FLIE TÀI LIỆU – LUANVANTOT.COM
EBOOKBKMT.COM
TRƯỜNG ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ
KHOA CỘNG NGHỆ THÔNG TIN
====
ĐỒ ẮN TỐT NGHIỆP
Đề tài : Xây dựng hệ thống mạng LAN cho doanh nghiệp
SINH VIÊN : DOÃN VĂN QUÂN
MSSV : 13302279
LỚP : IT1 – K10
Hà Nội, tháng 01 năm 2016

3. Page 3 of 49
LỜI CÁM ƠN
Trong thời gian nghiên cứu và học tập môn học cơ sở dữ liệu mạng máy tính, cùng với
nội dung bài tập lớn thiết kế xây dựng hệ thống mạng LAN cho doanh nghiệp đã nhận
được sự giúp đỡ quý báu của các thầy giáo, cô giáo và các bạn, em đã hoàn thành
chương trình và bài báo đồ án mạng máy tính với thiết kế Xây dựng hệ thống mạng
LAN cho doanh nghiệp.
Cho phép chúng em được bày tỏ lời cảm ơn các thầy cô giáo trong khoa Công nghệ
Thông tin Trường Đại Học Kinh Doanh và Công Nghệ đã giúp đỡ em hoàn thành
chương trình và bài báo cáo này.
Đồng thời em gửi lời cảm ơn đặc biệt về sự hướng dẫn và chỉ bảo tận tình của thầy cô
đã tận tình hướng dẫn giúp đỡ em trong suốt quá trình hoàn thành chương trình cũng
như bài báo cáo này.
Do thời gian có hạn, cũng như kinh nghiệm còn thiếu nên trong chương trình cũng như
báo cáo này sẽ không tránh khỏi những thiếu sót, hạn chế nhất định. Em rất mong
nhận được nhận xét góp ý của thầy cô và các bạn.
Em xin chân thành cám ơn !
Hà Nội, ngày 11 tháng 01 năm 2016

4. Page 4 of 49
NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN
1. Về thái độ, ý thức của sinh viên:
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
2. Về đạo đức, tác phong:
………………………………………………………………………………
………………………………………………………………………………
3. Về năng lực chuyên môn:
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
4. Kết luận :
Nhận xét:……………………………………………………………………
Điểm: ……………………………………………….
…………….., ngày tháng năm ……
Giảng viên hướng dẫn

5. Page 5 of 49
MỤC LỤC
CHƯƠNG I TỔNG QUAN VỀ ĐỀ TÀI 4
I.1. Giới thiệu đề tài .....................................................................................................4
I.1.1 Lý do chọn đề tài ..............................................................................................4
I.1.2. Mục tiêu đề tài.................................................................................................4
I.1.3. Các giai đoạn thực hiện đề tài ........................................................................5
I.2. Đối tượng, phạm vi nghiên cứu của đề tài.............................................................6
I.3 Phương pháp nghiên cứu ........................................................................................6
I.4 Ý nghĩa lý luận và thực tiễn của đề tài ...................................................................6
CHƯƠNG II KHẢO SÁT VÀ THIẾT KẾ HỆ THỐNG MẠNG 7
II.1. Yêu cầu.................................................................................................................7
II.2. Giải pháp cho hệ thống mạng của doanh nghiệp ................................................7
II.2.1 Quản lý hệ thống mạng tập trung (Client – Server) .......................................9
II.2.2 Cấp IP động cho các máy trạm, sử dụng dịch vụ DHCP (Dynamic Host
Confguration Protocol) ............................................................................................9
II.2.3 Quản lý dữ liệu tập trung: (File Server – Database Server) ..........................9
II.2.4 In ấn (Print Server).......................................................................................10
CHƯƠNG III TRIỂN KHAI 11
III.1. Cấu hình Switch.............................................................................................11
III.1.1. VLAN là gì ..................................................................................................11
III.1.2. NAT (Network Address Translation) ..........................................................21
III.2. Cấu hình máy chủ và cài đặt dịch vụ.............................................................29
III.2.1. Cài đặt Active Directory.............................................................................29
III.2.1.1. Nâng cấp lên Domain Controller ............................................................29
III.2.1.2. Gia nhập máy trạm vào Domain để kiểm tra ..........................................33

6. Page 6 of 49
III.2.2. Tạo Group và User cho Domain ................................................................35
III.2.3. Tạo tài khoản người dùng (User) ...............................................................36
III.2.4. Tạo tài khoản nhóm (Group)......................................................................37
III.2.5. Phân quyền truy nhập Domain cho User ..................................................38
III.3. Cài đặt và cấu hình DHCP (Dynamic Host Configuration Protocol) – dịch vụ
cấp IP động cho máy trạm..........................................................................................40
III.3.1. Chứng thực dịch vụ DHCP trong Active Directory: ..................................41
III.3.2. Cấu hình dịch vụ DHCP.............................................................................41
III.3.3. Kiểm tra dịch vụ tại máy trạm....................................................................46
KẾT LUẬN 48

7. Page 7 of 49
CHƯƠNG ITỔNG QUAN VỀ ĐỀ TÀI
I.1. Giới thiệu đề tài
I.1.1 Lý do chọn đề tài
Ngày nay công nghệ thông tin trở thành một lĩnh vực mũi nhọn trong công cuộc
phát triển kinh tế xã hội. Cùng với công nghệ sinh học và năng lượng mới, công nghệ
thông tin (CNTT) vừa là công cụ, vừa là động lực thúc đẩy quá trình
công nghiệp hóa, hiện đại hóa đất nước.
Có thể nói trong khoa học máy tính không lĩnh vực nào có thể quan trọng hơn lĩnh
vực nối mạng. Mạng máy tính là hai hay nhiều máy tính được kết nối với nhau theo
một cách nào đó sao cho chúng có thể trao đổi thông tin qua lại với nhau, dùng chung
hoặc chia sẽ dữ liệu thông qua việc in ấn hay sao chép qua đĩa mềm, CDroom….
Do đó hạ tầng mạng máy tính là phần không thể thiếu trong các tổ chức hay các
công ty, trường học. Trong điều kiện kinh tế hiện nay hầu hết đa số các tổ chức hay
các công ty, trường học có phạm vi sử dụng bị giới hạn bởi diện tích và mặt bằng đều
triển khai xây dựng mạng LAN để phục vụ cho việc quản lý dữ liệu nội bộ cơ quan
mình được thuận lợi, đảm bảo tính an toàn dữ liệu cũng như tính bảo mật dữ liệu mặt
khác mạng Lan còn giúp các nhân viên trong các tổ chức, nhà trường hay công ty truy
nhập dữ liệu một cách thuận tiện với tốc độ cao, giúp việc. Một điểm thuận lợi nữa là
mạng LAN còn giúp cho người quản trị mạng phân quyền sử dụng tài nguyên cho từng
đối tượng là người dùng một cách rõ ràng và thuận tiện giúp cho những người có trách
nhiệm lãnh đạo công ty, tổ chức hay nhà trường đó dễ dàng quản lý nhân viên và điều
hành công ty.
Vì thế đề tài “Xây dựng hệ thống mạng doanh nghiệp” được tiến hành nhằm góp
phần giải quyết vấn đề bảo vệ an ninh, an toàn dữ liệu nội bộ, nhằm tăng hiệu suất làm
việc của công ty.
I.1.2. Mục tiêu đề tài
 Phân loại mạng máy tính theo phạm vi địa lý (LAN,WAN,GAN,
MAN),theo TOPO và theo từng chức năng.

8. Page 8 of 49
 Mô hình tham chiếu hệ thống mở OSI và các bộ quản thúc mô hình
TCP/IP.
 Các kiến thức cơ bản về LAN,các phương pháp điều khiển truy cập trong
LAN,các công nghệ và các chuẩn cáp,các phương pháp đi cáp.
 Có thể thiết kế và xây dựng các mạng LAN, WAN và các dịch vụ khác
trong mạng có thể phục vụ tốt được các yêu cầu thực tế của các tổ chức
hay bất kỳ một công ty nào,mang lại hiểu quả kinh tế cao.
I.1.3. Các giai đoạn thực hiện đề tài
Quá trình nghiên cứu đề tài được tiến hành qua các bước như sau:
Giai đoạn 1 - Thu thập dữ liệu:
Khảo sát tình hình thực tiễn, thu thập dữ liệu (thu thập các yêu cầu từ phía người
sử dụng, phân tích yêu cầu, tìm các bài viết, tài liệu liên quan…). Nghiên cứu tài liệu,
tìm hiểu các phương pháp, tiếp cận đã biết, tham khảo các hệ thống mạng ở các công
ty hiện tại đang được sử dụng. Phác họa bức tranh tổng thể, thiết kế giải pháp.
Giai đoạn 2 – Thiết kế giải pháp:
Từ yêu cầu của khách hàng ta bắt đầu:
- Thiết kế sơ đồ mạng ở mức luận lý: Thiết kế sơ đồ mạng ở mức luận lý liên
quan đến việc chọn lựa mô hình mạng, giao thức mạng và thiết đặt các cấu hình
cho các thành phần nhận dạng mạng. Những vấn đề chung nhất khi thiết đặt cấu
hình cho mô hình mạng là:
 Định vị các thành phần nhận dạng mạng, bao gồm việc đặt tên cho Domain,
Workgroup, máy tính, định địa chỉ IP cho các máy, định cổng cho từng dịch
vụ.
 Phân chia mạng con, thực hiện vạch đường đi cho thông tin trên mạng.
- Xây dựng chiến lược khai thác và quản lý tài nguyên mạng.
- Thiết kế sơ đồ mạng ở mức vật lý
- Chọn hệ điều hành và các phần mềm ứng dụng
- Cài đặt mạng

9. Page 9 of 49
- Kiểm thử
- Bảo trì hệ thống
Giai đoạn 3 - Tổng kết:
Khái quát hóa và rút ra kết luận chung cho đề tài.
- Viết báo cáo, công bố kết quả nghiên cứu đề tài.
I.2. Đối tượng, phạm vi nghiên cứu của đề tài
Đề tài có thể được áp dụng sử dụng làm mô hình kết nối mạng cho doanh nghiệp.
I.3 Phương pháp nghiên cứu
 Khảo sát thực tế việc ứng dụng các hệ thống mạng trong công ty.
 Thu thập các tài liệu liên quan đến việc thiết kế và xây dựng mô hình mạng cho
công ty
 Thực hiện các công việc như: thu thập các yêu cầu của khác hàng, phân tích yêu
cầu, thiết kế giải pháp…..
I.4 Ý nghĩa lý luận và thực tiễn của đề tài
Ý nghĩa của đề tài đã được nêu rất rõ trong phần lí do lựa chọn đề tài là giúp cho
các công ty có thể bảo vệ an ninh, an toàn dữ liệu nội bộ, giúp nhân viên trong công ty
truy nhập dữ liệu một cách thuận tiện với tốc độ cao.

10. Page 10 of 49
CHƯƠNG IIKHẢO SÁT VÀ THIẾT KẾ HỆ THỐNG MẠNG
II.1. Yêu cầu
Một doanh nghiệp cần sử dụng một hệ thống mạng máy tính để phục vụ cho
việc vận hành sản xuất và kinh doanh sản phẩm. Doanh nghiệp có Ban Giám đốc gồm
1 Giám đốc và 2 Phó Giám đốc, và có 4 phòng ban gồm Phòng vật tư, Phòng Hành
chính, phòng kinh doanh và phòng kế toán. Các máy tính sử dụng hệ điều hành
Windows XP để nhân viên làm việc. Một máy chủ sử dụng hệ điều hành Windows
Server 2008 để quản lý các máy tính khác trong mạng. Doanh nghiệp cũng sử dụng
một máy in để in ấn tài liệu và máy in được chia sẻ để cho các nhân viên đều có thể sử
dụng. Hệ thống mạng kết nối Internet bằng một đường truyền ADSL.
Đối với máy chủ, yêu cầu chi tiết như sau:
 Cài đặt dịch vụ Active Directory điều khiển vùng (domain controller), tạo
tài khoản người dùng và phân quyền cho người dùng.
 Cài đặt DHCP cấp IP động cho các máy trạm trong mạng.
 Cấu hình File Server tạo các thư mục dùng chung và phân quyền truy cập
vào các thư mục.
 Cấu hình Printer Server, cài đặt và chia sẻ máy in trong mạng.
II.2. Giải pháp cho hệ thống mạng của doanh nghiệp
Xây dựng hệ thống mạng Domain quản lý User và dữ liệu tập trung. Đảm
bảo hệ thống mạng vận hành một cách trơn tru, đáp ứng tất cả yêu cầu của trung
tâm. Hệ thống mạng còn phải có tính linh hoạt cao, có thể bổ sung thêm máy tính và
các thành phần mạng nhanh chóng mà không mất nhiều thời gian và chi phí.
Mô hình sử dụng máy tính của một doanh nghiệp nhỏ như sau:
BAN GIÁM ĐỐC
PHÒNG KINH
DOANH
PHÒNG KẾ
TOÁN
PHÒNG
LÃNH ĐẠO
PHÒNG IT
PHÒNG TỔNG
HỢP

11. Page 11 of 49
Theo yêu cầu bài toán thì có thể xác định mô hình mạng của doanh nghiệp là
mô hình Client – Server do đó, sử dụng một máy chủ Server do nhân viên quản trị
mạng quản lý, máy chủ sử dụng hệ điều hành Windows Server 2008, còn các máy
trạm trong mạng thì sử dụng hệ điều hành Windows XP3, các máy trạm là các máy
của ban Giám đốc và các phòng ban liên quan. Sử dụng máy chủ để chia sẻ dữ liệu và
máy in. Hệ thống mạng sử dụng đường truyền Internet thông qua một đường truyền
ADSL. Như vậy, có thể hình dung mô hình mạng của doanh nghiệp như sau:
Mô hình mạng trong doanh nghiệp
II.2.1 Quản lý hệ thống mạng tập trung (Client – Server)
- Cấu trúc Active Directory: Được thiết kế bao gồm một Forest và một Domain, trong
Domain có một Domain Controller hoạt động. Cài đặt dịch vụ Active Directory với
hoạt động của Domain Controller nhằm quản lý dữ liệu trong mạng được tập trung. Dữ
liệu chung của doanh nghiệp sẽ được lưu trữ ở máy chủ, các máy trạm nếu muốn lấy
dữ liệu thì phải đăng nhập vào máy chủ bằng một tài khoản mà người Quản trị mạng

12. Page 12 of 49
cấp cho với một số quyền hạn nhất định, ứng với chức vụ, cấp bậc của cá nhân đó
trong doanh nghiệp. Việc đăng nhập này được thực hiện gián tiếp từ các máy Client.
- Mô hình User – Group: Các Group được xây dựng theotừng phòng ban hoặc bộ
phận. Mỗi phòng ban hoặc bộ phận có một hoặc nhiều Global Group.
II.2.2 Cấp IP động cho các máy trạm, sử dụng dịch vụ DHCP (Dynamic Host
Confguration Protocol)
DHCP tự động cung cấp địa chỉ IP đến các thiết bị mạng từ một hoặc nhiều
DHCP Server. Dù trong một mạng nhỏ hoặc mạng lớn, DHCP thực sự hữu ích, giúp
cho việc thêm một máy tính mới vào mạng một cách dễ dàng và hiệu quả.
II.2.3 Quản lý dữ liệu tập trung: (File Server – Database Server)
Trong lĩnh vực máy tính, File Server là một máy tính liên kết với hệ thống
mạng có mục đích chính là cung cấp nơi lưu trữ dữ liệu cho các máy tính khác trong
hệ thống mạng. Vai trò này nổi bật nhất khi File Server vận hành trong hệ thống
mạng Domain (Client – Server). Các file server thường ít khi xử lý các tính toán,
điều này giúp cho hệ thống hoạt động nhanh nhất có thể đảm bảo nhu cầu lưu trữ dữ
liệu từ các client. Các dữ liệu lưu trên File Server có thể là tài liệu, hình ảnh, âm
thanh, video, database…
File Server là nơi chứa dữ liệu của tất cả các phòng ban trong trung tâm, giúp
cho dữ liệu được quản lý tập trung, tránh phân tán, giúp cho việc backup và restore
dễ dàng và nhanh chóng.
II.2.4 In ấn (Print Server)
Print Server là một máy tính hoặc một thiết bị kết nối một hoặc nhiều máy in
và các Client thông qua hệ thống mạng, có thể chấp nhận các yêu cầu in ấn và
chuyển đến máy in thích hợp.
Các phòng ban có thể in ấn một cách dễ dàng các tài liệu thông qua Print
Server. Ngoài ra, nhân viên công ty từ Internet cũng có thể in ấn bằng máy in tại trung
tâm thông qua dịch vụ Internet Printing.

13. Page 13 of 49
GHI CHÚ
1 Máng cáp:
2 Ổ Cắm mạng:
3 Dây cáp UTP CAT6
CHƯƠNG III TRIỂN KHAI
III.1. Cấu hình Switch
III.1.1. VLAN là gì
VLAN là viết tắt của Virtual Local Area Network hay còn gọi là mạng LAN ảo.
Một VLAN được định nghĩa là một nhóm logic các thiết bị mạng và được thiết lập dựa
trên các yếu tố như chức năng, bộ phận, phòng ban của công ty, doanh nghiệp...

14. Page 14 of 49
Hiện nay, VLAN đóng một vai trò rất quan trọng trong công nghệ mạng LAN.
Để thấy rõ được lợi ích này chúng ta hãy xét một ví dụ:
Một công ty thuê một tòa nhà 3 tầng, mỗi tầng có 3 phòng ban (phòng kế toán,
phòng kinh doanh, phòng IT...). Mỗi phòng phải dùng 1 Switch để kết nối các thiết bị
như máy tính, máy in... Vậy mỗi tầng phải sử dụng 3 Switch và cả tòa nhà là 9 Switch.
Cách làm trên là rất tốn kém chi phí và không tận dụng hết số cổng trên 1 Switch.
Chính vì vậy, VLAN ra đời nhằm giải quyết vấn đề trên một cách đơn giản và tiết
kiệm được chi phí.
 Phân loại VLAN
•Port -
based VLAN: là cách cấu hình VLAN đơn giản và phổ biến. Mỗicổng của Switch đượ
c gắn với một VLAN xác định (mặc định là VLAN1), do vậy bất cứ thiết bị host nào g
ắn vào cổng đó đều thuộc một VLANnào đó.
•MAC address based VLAN: Cách
cấu hình này ít được sử dụng do cónhiều bất tiện trong việc quản lý. Mỗi địa chỉ MAC
được đánh dấu vớimột VLAN xác định.
•Protocol – based VLAN: Cách cấu hình này gần giống như MAC
Addressbased, nhưng sử dụng một địa chỉ logic hay địa chỉ IP thay thế cho địa
chỉMAC. Cách cấu hình không còn thông dụng nhờ sử dụng giao thứcDHCP.
 Lợi ích của VLAN:
 Tiết kiệm băng thông của hệ thống mạng:
VLAN chia mạng LAN thành nhiều đoạn nhỏ, mỗi đoạn đó là một vùng quảng
bá (broadcast domain). Khi có gói tin quảng bá (broadcast), nó sẽ được truyền duy
nhất trong VLAN tương ứng. Do đó việc chia VLAN giúp tiết kiệm băng thông của hệ
thống mạng.
 Tăng khả năng bảo mật:
Do các thiết bị ở các VLAN khác nhau không thể truy nhập vào nhau (trừ khi ta
sử dụng router nối giữa các VLAN). Như trong ví dụ trên, các máy tính trong VLAN
phòng kế toán chỉ có thể liên lạc được với nhau. Máy ở VLAN phòng kế toán không
thể kết nối được với máy tính ở VLAN phòng IT.

15. Page 15 of 49
Dễ dàng thêm hay bớt máy tính vào VLAN:
Việc thêm một máy tính vào VLAN rất đơn giản, chỉ cần cấu hình cổng cho
máy đó vào VLAN mong muốn.
 Giúp mạng có tính linh động cao:
VLAN có thể dễ dàng di chuyển các thiết bị. Giả sử trong ví dụ trên, sau một
thời gian sử dụng công ty quyết định để mỗi phòng ban ở một tầng riêng biệt. Ta chỉ
cần cấu hình lại các cổng switch rồi đặt chúng vào các VLAN theo yêu cầu.
VLAN có thể được cấu hình tĩnh hay động. Trong cấu hình tĩnh, người quản trị
mạng phải cấu hình cho từng cổng của mỗi switch. Sau đó, gán cho nó vào một VLAN
nào đó. Trong cấu hình động mỗi cổng của switch có thể tự cấu hình VLAN cho mình
dựa vào địa chỉ MAC của thiết bị được kết nối vào.
Cấu hình VLAN trên Switch:
 Tạo VLAN:
Có 2 cách tạo VLAN như sau:
Cách 1: Ở privileged mode
vlan database
vlan<VLAN ID> name <tên VLAN>
Cách 2: Ở configured mode
vlan<VLAN ID>
name<tên VLAN>
Lưu ý:
- VLAN ID là số từ 1 tới 1005, nên đặt VLAN ID từ 2 trở lên vì VLAN 1 là
default VLAN, mạc định mọi Switch đều có VLAN này.
- Tên VLAN không bắt buộc phải đặt, nhưng cần đặt tên để tiện quảng lý ví dụ
như Phong_KeToan, VLAN_Tang1...
 Gán port vào VLAN:
Vào interface-config mode:
switchport mode access

16. Page 16 of 49
switchport access vlan <VLAN ID>
 Hoặc gán một dãy port vào VLAN:
Ở configured mode:
interface range <dãy port cần gán vào VLAN ví dụ: f0/1-12 (từ f0/1 tới
f0/12)>
switchport mode access
switchport access vlan <VLAN ID>
Lưu ý: port ở mode access chỉ truyền và nhận dữ liệu trong cùng VLAN
 Lệnh show:
show vlan brief (show ở dạng ngắn gọn)
show vlan <VLAN ID>
show vlan <tên VLAN>
Các bước cấu hình:
Tạo VLan 100 OSC

17. Page 17 of 49
Gán một dãy port vào VLAN
Miêu tả cổng

18. Page 18 of 49
Đặt địa chỉ IP và miêu tả VLan
- Sử dụng lệnh
“show run” và ta có kết quả như sau:

19. Page 19 of 49
Cấu hình Static Routing
Cấu hình DHCP và DNS-Server

20. Page 20 of 49
Khởi động dịch vụ DHCP
Cấu hình Telnet
 Tạo các Vlan Lãnh Đạo, IT

21. Page 21 of 49
Show Vlan

22. Page 22 of 49
III.1.2. NAT (Network Address Translation)
NAT giống như một router, nó chuyển tiếp các gói tin giữa những lớp mạng
khác nhau trên một mạng lớn. NAT dịch hay thay đổi một hoặc cả hai địa chỉ bên
trong một gói tin khi gói tin đó đi qua một router, hay một số thiết bị khác. Thông
thường, NAT thường thay đổi địa chỉ (thường là địa chỉ riêng) được dùng bên trong
một mạng sang địa chỉ công cộng.
NAT cũng có thể coi như một firewall cơ bản. Để thực hiện được công việc đó,
NAT duy trì một bảng thông tin về mỗi gói tin được gửi qua. Khi một PC trên
mạng kết nối đến 1 website trên Internet header của địa chỉ IP nguồn được thay đổi
và thay thế bằng địa chỉ Public mà đã được cấu hình sẵn trên NAT Server, sau khi
có gói tin trở về NAT dựa vào bảng record mà nó đã lưu về các gói tin, thay đổi địa
chỉ IP đích thành địa chỉ của PC trong mạng và chuyển tiếp đi. Thông qua cơ chế
đó quản trị mạng có khả năng lọc các gói tin gửi đến hay gửi từ một địa chỉ IP và
cho phép hay cấm truy cập đến một port cụ thể.
NAT làm việc như thế nào?
NAT sử dụng IP của chính nó làm IP công cộng cho mỗi máy con (client) với
IP riêng. Khi một máy con thực hiện kết nối hoặc gửi dữ liệu tới một máy tính nào
đó trên internet, dữ liệu sẽ được gởi tới NAT, sau đó NAT sẽ thay thế địa chỉ IP
gốc của máy con đó rồi gửi gói dữ liệu đi với địa chỉ IP của NAT. Máy tính từ xa
hoặc máy tính nào đó trên internet khi nhận được tín hiệu sẽ gởi gói tin trở về cho
NAT computer bởi vì chúng nghĩ rằng NAT computer là máy đã gởi những gói dữ
liệu đi. NAT ghi lại bảng thông tin của những máy tính đã gởi những gói tin đi ra
ngoài trên mỗi cổng dịch vụ và gởi những gói tin nhận được về đúng máy tính đó
(client). NAT xử lý một gói tin xuất phát từ bên trong đi ra bên ngoài một mạng
theo cách thức sau:
• Khi NAT nhận một gói tin từ một cổng bên trong, gói tin này đáp ứng các
tiêu chuẩn để NAT, router sẽ tìm kiếm trong bảng NAT địa chỉ bên ngoài (outside
address) của gói tin. Nói cách khác, tiến trình NAT tìm kiếm một hàng ở trong

23. Page 23 of 49
bảng NAT trong đó địa chỉ outside local address bằng với địa chỉ đích của gói tin.
Nếu không có phép so trùng nào tìm thấy, gói tin sẽ bị loại bỏ.
• Nếu có một hàng trong bảng NAT là tìm thấy (trong hàng này, địa chỉ đích
của gói tin bằng với địa chỉ outside local), NAT sẽ thay thế địa chỉ đích trong gói
tin bằng địa chỉ outside global theo thông tin trong bảng NAT.
• Tiến trình NAT tiếp tục tìm kiếm bảng NAT để xem có một địa chỉ inside
local nào bằng vớI địa chỉ nguồn của gói tin hay không. Nếu có một hàng là tìm
thấy, NAT tiếp tục thay thế địa chỉ nguồn của gói tin bằng địa chỉ inside global.
Nếu không có một hàng nào được tìm thấy, NAT sẽ tạo ra một hàng mới trong
bảng NAT và chèn địa chỉ mới vào trong gói tin.
NAT sẽ xử lý một gói tin xuất phát từ mạng bên ngoài đi vào mạng bên trong
theo cách sau:
• Khi NAT nhận được một gói tin xuất phát từ một cổng bên ngoài, đáp ứng
các tiêu chuẩn để NAT, tiến trình NAT sẽ tìm kiếm trong bảng NAT một hàng
trong đó địa chỉ inside global là bằng vớI đia chỉ đích của gói tin.
• Nếu không có hàng nào trong bảng NAT được tìm thấy, gói tin bị loạI bỏ.
Nếu có một hàng tìm thấy trong bảng NAT, NAT sẽ thay thế địa chỉ đích bằng địa
chỉ inside local từ bảng NAT.
• Router tìm kiếm bảng NAT để tìm ra địa chỉ outside global bằng với địa chỉ
nguồn của gói tin. Nếu có một hàng là tìm thấy, NAT sẽ thay thế địa chỉ đích bằng
địa chỉ outside local từ bảng NAT. Nếu NAT không tìm thấy một hàng nào, nó sẽ
tạo ra một hàng mới trong bảng NAT và cũng thực hiện như ở bước 2.
NAT giải quyết những vấn đề nào?
Ban đầu, NAT được đưa ra nhằm giải quyết vấn đề thiếu hụt địa chỉ của IPv4 .
• NAT giúp chia sẻ kết nối Internet (hay 1 mạng khác) với nhiều máy trong
LAN chỉ với 1 IP duy nhất.
• NAT che giấu IP bên trong LAN.
• NAT giúp quản trị mạng lọc các gói tin được gửi đến hay gửi từ một địa chỉ
IP và cho phép hay cấm truy cập đến một port cụ thể.

24. Page 24 of 49
Các khai niệm cơ bản:
a. Inside local address - Địa chỉ IP được gán cho một host của mạng trong.
Đây là địa chỉ được cấu hình như là một tham số của hệ điều hành trong
máy tính hoặc được gán một cách tự động thông qua các giao thức như
DHCP. Địa chỉ này không phải là những địa chỉ IP hợp lệ được cấp bởi NIC
(Network Information Center) hoặc nhà cung cấp dịch vụ Internet.
b. Inside global address - Là một địa chỉ hợp lệ được cấp bởi NIC hoặc một
nhà cung cấp dịch vụ trung gian. Địa chỉ này đại diện cho một hay nhiều địa
chỉ IP inside local trong việc giao tiếp với mạng bên ngoài.
c. Outside local address - Là địa chỉ IP của một host thuộc mạng bên ngoài,
các host thuộc mạng bên trong sẽ nhìn host thuộc mạng bên ngoài thông qua
địa chỉ này. Outside local không nhất thiết phải là một địa chỉ hợp lệ trên
mạng IP (có thể là địa chỉ private).
d. Outside global address - Là địa chỉ IP được gán cho một host thuộc mạng
ngoài bởi người sở hữu host đó. Địa chỉ này được gán bằng một địa chỉ IP
hợp lệ trên mạng Internet.
Chúng ta có thể hình dung để phân biệt 4 kiểu địa chỉ này như sau:
Các gói tin bắt nguồn từ bên trong mạng nội bộ (inside) sẽ có source IP là địa
chỉ kiểu “inside local” và destination IP là “ouside local” khi nó còn ở trong phần
mạng nội bộ. Cũng gói tin đó, khi được chuyển ra ngoài mạng (qua NAT) source IP
address sẽ được chuyển thành "inside global address" và địa destination IP của gói tin
sẽ là “outside global address”. Hay ngược lại, khi một gói tin bắt nguồn từ một mạng
bên ngoài, khi nó còn đang ở mạng bên ngoài đó, địa chỉ source IP của nó sẽ là
"outside global address", địa chỉ destination IP sẽ là "inside global address". Cũng gói
tin đó khi được chuyển vào mạng bên trong (qua NAT), địa chỉ source sẽ là "outside
local address" và địa chỉ destination của gói tin sẽ là "inside local address".

25. Page 25 of 49
Các kỹ thuật NAT
Kỹ thuật NAT tĩnh
Với NAT tĩnh, địa chỉ IP thường được ánh xạ tĩnh với nhau thông qua các lệnh
cấu hình. Trong NAT tĩnh, một địa chỉ Inside Local luôn luôn được ánh xạ vào địa chỉ
Inside Global. Nếu được sử dụng, mỗi địa chỉ Outside Local luôn luôn ánh xạ vào
cùng địa chỉ Outside Global. NAT tĩnh không có tiết kiệm địa chỉ thực.
Mặc dù NAT tĩnh không giúp tiết kiệm địa chỉ IP, cơ chế NAT tĩnh cho phép
một máy chủ bên trong hiện diện ra ngoài Internet, bởi vì máy chủ sẽ luôn dùng cùng
một địa chỉ IP thực .
Cách thức thực hiện NAT tĩnh thì dễ dàng vì toàn bộ cơ chế dịch địa chỉ được
thực hiện bởi một công thức đơn giản:
Địa chỉ đích =Địa chỉ mạng mới OR (địa chỉ nguồn AND ( NOT netmask))
VD:
Một địa chỉ private được map với một địa chỉ public. Ví dụ 1 một máy trọng
mạng LAN có địa chỉ 10. 1. 1. 1 được “phiên dịch” thành 1 địa chỉ public 20. 1. 1. 1
khi gửi tin ra ngoài Internet.
Bắt đầu bằng một gói tin được gửi từ một PC bên trái của hình đến một máy
chủ bên phải ở địa chỉ 170. 1. 1. 1. Địa chỉ nguồn private 10. 1. 1. 1 được dịch thành
một địa chỉ thực 200. 1. 1. 1. Máy client gửi ra một gói tin với địa chỉ nguồn 10. 1. 1. 1
nhưng router NAT thay đổi địa chỉ nguồn thành 200. 1. 1. 1. Khi server nhận được một
gói tin với địa chỉ nguồn 200. 1. 1. 1, máy chủ nghĩ rằng nó đang nói chuyện với máy

26. Page 26 of 49
200. 1. 1. 1, vì vậy máy chủ trả lời lại bằng một gói tin gửi về địa chỉ đích 200. 1. 1. 1.
Router sau đó sẽ dịch địa chỉ đích 200. 1. 1. 1 ngược lại thành 10. 1. 1. 1.
Kỹ thuật NAT động (Dynamic NAT)
Với NAT, khi số IP nguồn không bằng số IP đích. Số host chia sẻ nói
chung bị giới hạn bởi số IP đích có sẵn. NAT động phức tạp hơn NAT tĩnh, vì
thế chúng phải lưu giữ lại thông tin kết nối và thậm chí tìm thông tin của TCP
trong packet. Một số người dùng nó thay cho NAT tĩnh vì mục đích bảo mật.
Những người từ bên ngoài không thể tìm được IP nào kết nối với host chỉ định
vì tại thời điểm tiếp theo host này có thể nhận một IP hoàn toàn khác.
Những kết nối từ bên ngoài thì chỉ có thể khi những host này vẫn còn nắm
giữ một IP trong bảng NAT động. Nơi mà NAT router lưu giữ những thông tin
về IP bên trong (IP nguồn )được liên kết với NAT-IP(IP đích). Cho một ví dụ
trong một session của FPT non-passive. Nơi mà server cố gắng thiết lập một
kênh truyền dữ liệu vì thế khi server cố gắng gửi một IP packet đến FTP client
thì phải có một entry cho client trong bảng NAT. Nó vẫn phải còn liên kết một
IPclient với cùng một NAT-IPs khi client bắt đầu một kênh truyền control trừ
khi FTP session rỗi sau một thời gian timeout. Xin nói thêm giao thức FTP có 2
cơ chế là passive và non-passive . Giao thức FTP luôn dùng 2 port (control và

27. Page 27 of 49
data) . Với cơ chế passive (thụ động ) host kết nối sẽ nhận thông tin về data port
từ server và ngược lại non-passive thì host kết nối sẽ chỉ định dataport yêu cầu
server lắng nghe kết nối tới.
Bất cứ khi nào nếu một người từ bên ngoài muốn kết nối vào một host chỉ
định ở bên trong mạng tại một thời điểm tùy ý chỉ có 2 trường hợp :
 Host bên trong không có một entry trong bảng NAT khi đó sẽ nhận được
thông tin “host unreachable” hoặc có một entry nhưng NAT-IPs là không
biết.
 Biết được IP của một kết nối bởi vì có một kết nối từ host bên trong ra
ngoài mạng. Tuy nhiên đó chỉ là NAT-IPs và không phải là IP thật của
host. Và thông tin này sẽ bị mất sau một thờii gian timeout của entry này
trong bảng NAT router.
VD:
Một địa chỉ private được map với một địa chỉ public từ một nhóm các dịa chỉ
public. Ví dụ một mạng LAN có địa chỉ 10. 1. 1. 1/8 được “phiên dịch” thành 1 địa chỉ
public trong dải 200. 1. 1. 1 đến 200. 1. 1. 100 khi gửi tin ra ngoài Internet.
Kỹ thuật NAT overloading (PAT)
Dùng để ánh xạ nhiều địa chỉ IP riêng sang một địa chỉ công cộng vì mỗi địa
chỉ riêng được phân biệt bằng số port. Có tới 65. 356 địa chỉ nội bộ có thể chuyển đổi
sang 1 địa chỉ công cộng. Nhưng thực tế thì khỏang 4000 port.

28. Page 28 of 49
PAT hoạt động bằng cách đánh dấu một số dòng lưu lượng TCP hoặc UDP từ
nhiều máy cục bộ bên trong xuất hiện như cùng từ một hoặc một vài địa chỉ Inside
Global. Với PAT, thay vì chỉ dịch địa chỉ IP, NAT cũng dịch các cổng khi cần thiết.
Và bởi vì các trường của cổng có chiều dài 16 bit, mỗi địa chỉ Inside Global có
thể hỗ trợ lên đến 65000 kết nối TCP và UDP đồng thời. Ví dụ, trong một hệ thống
mạng có 1000 máy, một địa chỉ IP thực được dùng như là địa chỉ Inside Global duy
nhất có thể quản lý trung bình sáu dòng dữ liệu đến và đi từ các máy trên Internet.
VD:
PAT map nhiều địa chỉ Private đến một địa chỉ Public, việc phân biệt các địa
chỉ Private này được dựa theo port, ví dụ IP address 10. 1. 1. 1 sẽ được map đến ip
address 200. 1. 1. 6:port_number.
* Mối quan hệ giữa NAT và PAT:
 PAT có mối quan hệ gần gũi với NAT nên vẫn thường được gọi là NAT.
 Trong NAT, nhìn chung chỉ địa chỉ ip được đổi. Có sự tương ứng 1:1 giữa địa
chỉ riêng và địa chỉ công cộng.
 Trong PAT, cả địa chỉ riêng của người gửi và cổng đều được thay đổi. Thiết bị
PAT sẽ chọn số cổng mà các hosts trên mạng công cộng sẽ nhìn thấy.
 Trong NAT, những gói tin từ ngoài mạng vào được định tuyến tới địa chỉ IP
đích của nó trên mạng riêng bằng cách tham chiếu địa chỉ ngưồn đi vào .
 Trong PAT, Chỉ có một địa chỉ IP công cộng được nhìn thấy từ bên ngoài và
gói tin đi vào từ mạng công cộng được định tuyến tới đích của chúng trên mạng
riêng bằng cách tham chiếu tới bảng quản lý từng cặp cổng private và public
lưu trong thiết bị PAT. Cái này thường được gọi là connection tracking.
 Một số thiết bị cung cấp NAT, như broadband routers, thực tế cung cấp PAT. vì
lý do này, có sự nhầm lẫn đáng kể giữa các thuật ngữ. Nhìn chung người ta sử
dụng NAT để bao gồm những thiết bị PAT .

29. Page 29 of 49
III.2. Cấu hình máy chủ và cài đặt dịch vụ
III.2.1. Cài đặt Active Directory
III.2.1.1. Nâng cấp lên Domain Controller
Trước khi cấu hình Active Directory cần phải thay đổi tên máy và cài đặt IP tĩnh cho
máy chủ.
Đặt tên cho máy tính. Click phải vô My Computer chọn Manage, chọn Change đặt
tên cho máy vào khung Computer Name
Đặt tên máy
Đặt IP tĩnh cho máy. Kích chuột vào Start, chọn Control Panel/ Network
Connections/ Local Area Connection, cửa sổ Local Area Connection Status hiện ra
chọn Properties, sau đó double click chuột vào mục Internet Protocol (TCP/IP).

30. Page 30 of 49
Chọn Property, bouble click vào Internet Protocol (TCP/IP) vào cửa sổ bên cạnh
Điền địa chỉ IP vào các ô ở cửa sổ Internet Protocol (TCP/IP) Property như hình, ở
đây ta sẽ đặt địa chỉ ở lớp B, hệ thống mạng của doanh nghiệp sẽ lấy dải địa chi IP
172.16.15.254 / 24, và Defaut gateway đặt IP là 172.16.15.1. Sau khi hoàn thành việc
đặt IP, nhấn OK. Như vậy máy chủ đã được đặt địa chỉ IP.
Sau khi đặt địa chi IP cho máy chủ, ta tiến hành cài cấu hình dịch vụ Active Directory,
vào Start, chọn Run, gõ lệnh Dcpromo, tại cửa sổ Active Directory Installation
Wizad nhấn Next để tiếp tục.

31. Page 31 of 49
Nhấn Next để bắt đầu nâng cấp Active Directory
Trong hộp thoại Domain Controller Type, vì chúng ta mới bắt đầu nâng cấp Active
Directory, trước đó chưa có Domain Controller cho nên ta tích chọn mục Create a
new domain in a new forest, sau đó nhấn Next để tiếp tục.

32. Page 32 of 49
Chọn Create a new domain in a new forest sau đó nhấn Next
Hộp thoại New Domain Name yêu cầu nhập tên DNS đầy đủ cần xây dựng, nhập tên
DNS là hubt.vn. Sau đó nhấn Next qua bước tiếp theo.
Hộp thoại Database and Log Locations cho phép chỉ định vị trí lưu trữ database
Acive Directory và các tập tin Log. Shared System Volume cho phép định vị trí của
thư mục SYSVOL. Thư mục này phai nằm trên một NTFS5 Volume. Chấp nhận giá trị
mặc định và nhấn Next.

33. Page 33 of 49
Hộp thoại tiếp theo, chọn lựa chọn thứ hai để hệ thống tự động cài đặt và cấu hình dịch
vụ DNS cho máy, sau đó nhấn Next.
Hộp thoại Directory Services Restore Mode Administrator Password, chỉ định mật
khẩu trong trường hợp Server phải khởi động vào chế độ Directory Services Restore
Mode. Nhấn Next tiếp tục.
Chỉ định mật khẩu trong trường hợp Server phải khởi động vào Restore Mode
Hộp thoại Summany hiện ra, trình bày tất các các thông tin đã chọn. Nhấn Next để bắt
đầu thực hiện quá trình cài đặt khi tất cả đều chính xác.

34. Page 34 of 49
Nhấn Next khi các thông tin đều chính xác
Hộp thoại Configuring Active Directory cho biết quá trình cài đặt đang thực hiện. Quá
trình này chiếm nhiều thời gian. Chương trình cài đặt cũng yêu cầu cung câp nguồn cài
đặt Windows Server 2008 để tiến hành sao chép nếu không tìm thấy.
Quá trình cài đặt được tiến hành
Sau khi quá trình cài đặt kết thúc, hộp thoại Completing the Active Directory
Installation Wizard xuất hiện. Nhấn chọn Finish để kết thúc.
Chọn Finish để kết thúc quá trình cài đặt
Cuối cùng, phải khởi động lại máy thì các thông tin cài đặt mới bắt đầu có hiệu lực.
Nhấn chọn nút Restart Now để khởi động lại.

35. Page 35 of 49
III.2.1.2. Gia nhập máy trạm vào Domain để kiểm tra
Sau khi cấu hình Active Directory, để kiểm tra hoạt động của Domain Controller, ta
tiến hành đăng nhập cục bộ vào máy trạm (có thể dùng trực tiếp tài khoản
administrator để đăng nhập). Các bước tiến hành như sau:
Tại máy trạm, đặt IP cho máy, các bước đặt IP tương tự như đặt IP cho Server đã làm
ở phần trên, ở đây ta sẽ đặt IP cho máy trạm kiểm tra là 172.16.15.15 IP cùng lớp B và
cùng Default gateway, Preferred DNS Server với máy Server.
Đặt IP từ máy trạm để join máy trạm vào Domain
Sau khi đã đặt địa chỉ IP cho máy trạm, thực hiện gia nhập vào Domain từ máy trạm.
Chuột phải vào My Computer, chọn Properties, chọn tiếp tab Computer Name, click
vào mục change để thay đổi miền gia nhập. Tại đây, tích chọn Member ofDomain,
nhập tên miền của mạng cần gia nhập vào ô.

36. Page 36 of 49
Sau khi xác thực chính xác và hệ thống chấp nhận máy trạm này gia nhập vào miền thì
hệ thống xuất hiện thông báo thành công và yêu cầu Reboot lại để đăng nhập vào
mạng.
Khi máy trạm khởi động lại, hộp thoại Log on to Windows có thêm một mục là Log
on to, cho phép chọn một trong hai phần là IDC và this computer, chọn IDCđể gia
nhập vào Domain bằng tài khoản của Admin.
III.2.2. Tạo Group và User cho Domain
Sau khi thăng cấp Active Directory, tiến hành tạo mới các Nhóm (Groups) và
các tài khoản người dùng (Users). Theo kết quả phân tích ở phần trước, ta có thể chia
hệ thống sử dụng máy tính của doanh nghiệp Phúc Hải có thể chia làm 5 Group là các
Group: Ban Giám Đốc, Phòng Vật tư, Phòng Hành chính, Phòng Kinh doanh và Phòng
Kế toán. Ban Giám đốc bao gồm 1 Giám đốc và 2 Phó Giám đốc, các phòng ban có
Trưởng Phòng, Phó Phòng và các nhân viên trực thuộc các phòng.
Việc phân quyền truy cập máy chủ của các nhân viên trong Doanh nghiệp như
sau: Ban Giám đốc có thể truy cập vào hệ thống máy chủ bất cứ thời gian nào và bất
cứ địa điểm nào, các trưởng phòng thì có thể truy cập vào giờ hành chính tất cả các

37. Page 37 of 49
ngày trong tuần, còn các nhân viên thì chỉ có thể truy cập vào hệ thống máy chủ trong
giờ hành chính từ thứ 2 đến thứ 7, trừ ban giám đốc, còn lại các nhân viên khác chỉ có
thể truy cập vào hệ thống máy chủ bằng máy tính cục bộ của doanh nghiệp hoặc các
máy tính xác định sẵn, các User đều phải thay đổi mật khẩu ngay lần đăng nhập đầu
tiên.
Trước khi tạo Group và User, ta phải chỉnh sửa thiết lập password policy cho
User bằng cách vào Start, chọn Administrative Tool/Domain Security Policy, trong
hộp thoại Default Domain Security Settings chọn Account Policies/ Password
Policy, double click vào các mục ở trong Password Policy để chỉnh sửa, các mục
được đặt như hình. Việc chỉnh sửa này để dễ dàng trong việc tạo mật khẩu của User.
Chỉnh sửa thiết lập Password Policy cho User
Tương tự, ta cũng vào Start /Administrative Tool và chọn mục Domain Controller
Security Policy /Account Policies /Password Policyđể chỉnh sửa thiết lập chế độ an
ninh cho Domain Controller, các thiết lập tương tự như việc thiết lập trong Domain
Security Policy đã làm ở trên.
Sau khi đã hoàn tất thiết lập chế độ an ninh, vào Start chọn Run, gõ vào câu lệnh:
gpupdate /force và nhấn OK để refesh những thiết lập đã cài đặt.
Gõ lệnh gpupdate /force

38. Page 38 of 49
Hệ thống tự động refresh để lưu những thiết lập vừa tạo
III.2.3. Tạo tài khoản người dùng (User)
Tại máy Server chọn Start/Administrative Tool/Active Directory Users and
Computers, cửa sổ hiển thị tiếp theo chọn vào Domain của hệ thống là
idcmienbac.com, sau đó chọn mục Users. Để tạo mới một User, chuột phải chọn
New/User.
Chuột phải chọn New/ User để tạo mới một User
Cửa sổ New Object – User hiện ra, nhập thông tin của User vào các ô,ba ô đầu tiên có
thể bỏ trống, sau đó nhấn Next để tiếp tục.
Tiếp theo, nhập mật khẩu cho User, tích chọn ô User must change password at next
logon, để thiết đặt cho User phải thay đổi mật khẩu khi đăng nhâp lần đầu tiên, nếu
như trước đó không chỉnh sửa thiết lập Password Policy thì bước này hệ thống có thể
sẽ báo lỗi do đặt mật khẩu không đúng với mặc định thiết lập ở Password Policy.
Sau đó nhấn Finish, và tài khoản User đã được tạo mới, tương tự đối với các tài khoản
khác cũng thực hiện các bước trên.
III.2.4. Tạo tài khoản nhóm (Group)
Cũng trong mục User chuột phải, chọn New/ Group.

39. Page 39 of 49
Hộp thoại tiếp theo nhập tên nhóm là “Ban Giam Doc” vào ô Group Name, ô pre-
Windows 2000sẽ tự động phát sinh, chọn loại nhóm ở Group scopelà Global, sau đó
nhấn OK việc tạo một nhóm đã hoàn thành. Thực hiện tương tự đối với các nhóm
Phòng ban khác.
Để thêm User vào Group ta chỉ việc double click vào Group đó rồi chọn Tab
Members, click chọn Add, sau đó nhập tên của User vào ô trống, nhấn nút Check
Name để kiểm tra User có đúng hay không! Nếu như chúng ta quên tên User có thể
chọn Advances, chọn Find Now, sau đó tìm và chọn User muốn thêm vào Group,
nhấn OK và Apply sau khi đã hoàn thành.
Cũng có thể làm theo cách thứ hai bằng cách double click vào tên User và chọn Tab
Member of, sau đó nhập tên Group, nhấn Check Name để kiểm tra hoặc chọn
Advances/ Find Now sau đó tìm và chọn tên Group tương ứng.
III.2.5. Phân quyền truy nhập Domain cho User
Như đã phân tích ở trên, các thành viên Ban Giám đốc sẽ có quyền truy cập vào
Domain tại mọi thời điểm, và mọi máy tính. Các Trưởng phòng và Phó phòng thì có
thể truy cập trong giờ hành chính vào tất cả các ngày trong tuần, các nhân viên thì chỉ
được đăng nhập trong giờ hành chính từ thứ 2 đến thứ 7, hai loại đối tượng này chỉ
được đăng nhập bằng máy tính cục bộ của doanh nghiệp hoặc máy tính do người quản
trị mạng xác định trước.
Quá trính này thực hiện lần lượt từng User, người quản trị sẽ lần lượt cấp quyền
truy cập vào hệ thống cho mỗi User. Dưới đây sẽ minh họa việc cáp quyền cho một
nhân viên trong doanh nghiệp, các thành viên khác tiến hành tương tự.
Chẳng hạn cấp quyền truy cập cho nhân viên tên là Nguyễn Thị Thùy Nhân,
chức vụ là Trưởng phòng kế toán, các bước tiến hành như sau: cũng trong mục User
của Domainidc.vnptdata.vn double click vào tên User nv1, hộp thoại nv1 Properties
xuất hiện, chọn tab Account, tại đây chọn tiếp mục Logon Hours để thiết lập thời gian
truy cập cho nhân viên này.
Trong hộp thoại Logon Hours for nv1, tùy chỉnh thời gian truy cập vào hệ
thống bằng cách quét chọn vùng thời gian ứng với đối tượng sau đó tích chọn Logon
Permitted để mặc định, sau đó nhấn OK. Le Thi Huong là trưởng phòng cho nên thời
gian truy cập là vào giờ hành chính tất cả các ngày trong tuần. Đối với các đối tượng

40. Page 40 of 49
thuộc Ban Giám Đốc thì vùng Logon Permitted (vùng màu xanh) sẽ chọn tất cả các ô.
Đối với các nhân viên thì vùng chọn sẽ không có ngày Chủ Nhật.
Chọn vùng thời gian, sau đó tích chọn Logon Permitted
Cũng tại hộp thoại nv1 Properties, chọn mục Log On To để thiết lập phương tiện truy
cập. Tích chọn The following computers, sau đó nhập tên máy tính muốn cho gia
nhập vào Domain, rồi nhấn nút Add để cho phép. A được phép truy cập vào hệ thống
Domain bằng máy trạm tại doanh nghiệp, là máy tính hiện nhân viên này đang sử dụng
ở công ty có tên là ketoan, và một máy tính cá nhân có tên làNv1. Sau khi hoàn thành
nhấn OK và Apply.
Nhập tên máy tính cho phép truy cập sau đó nhấn Add để cho phép
Thực hiện tương tự đối với các nhân viên khác, riêng Ban Giám đốc thì trong
mục này sẽ tích chọn All computer cho phép truy cập vào hệ thống Domain bằng mọi
máy tính.
Kiểm tra tại máy trạm:

41. Page 41 of 49
Bây giờ ta sẽ kiểm tra User nv1 gia nhập vào hệ thống Domain từ máy trạm.
Một điều cần chú ý là máy tính đăng nhập vào phải là máy tính có tên là Nv1 hoặc
TPketoan (điều này bắt buộc bởi như đã phân tích ở phần trên, User A chỉ được đăng
nhập vào Domain bằng máy tính có tên máy là một trong hai tên trên, nếu đăng nhập ở
máy tính khác thì sẽ không được phép).
Nhập tên User và mật khẩu của nhân viên A, ở mục Log on to chọn IDC để
đăng nhập vào Domain idc.vnptdata.vn. Sau khi nhấn nút OK để đăng nhập, hệ thống
sẽ hiện ra thông báo User phải đổi mật khẩu trong lần đầu tiên đăng nhập, như vậy là
tài khoản của User nv1 đã được chập nhận, và điều cần làm bây giờ là thay đổi mật
khẩu của User để đăng nhập vào Domain. Nhấn OK để chấp nhận thay đổi mật khẩu.
Yêu cầu thay đổi mật khẩu trong lần đầu tiên đăng nhập
Sau khi thay đổi mật khẩu, hệ thống sẽ báo Your password has been changed,
nhấn OK để truy cập vào Domain, nếu thời điểm đăng nhập là thời gian cho phép (từ 6
giờ sang đến 6 giờ tối) thì hệ thống sẽ cho phép User này đăng nhập vào Domain,
ngược lại nếu như thời điểm đăng nhập không phải là thời gian cho phép thì hệ thống
sẽ không cho phép User này đăng nhập
Đăng nhập không đúng thời gian quy định

42. Page 42 of 49
Các User khác khi truy cập vào hệ thống cũng phải làm tương tự như trên.
III.3. Cài đặt và cấu hình DHCP (Dynamic Host Configuration Protocol) – dịch
vụ cấp IP động cho máy trạm
DHCP là một giao thức cấu hình tự động địa chỉ IP. Máy tính được cấu hình
một cách tự động vì thế sẽ giảm việc can thiệp vào hệ thống mạng. Nó cung cấp một
database trung tâm để theo dõi tất cả các máy tính trong hệ thống mạng. Mục đích
quan trọng nhất là tránh trường hợp hai máy tính khác nhau lại có cùng địa chỉ IP.
Nếu không có DHCP, các máy chỉ có thể cấu hình IP bằng cách thủ công.
Ngoài việc cung cấp địa chỉ IP, DHCP còn cung cấp thông tin cấu hình khác, cụ thể
như DNS. Hiện nay DHCP có 2 version: cho IPv4 và IPv6.
Việc cài đặt DHCP là việc cài đặt Components cho máy Server công việc này ta đã
làm ở phần đầu, cho nên dịch vụ DHCP đã được cài đặt.
III.3.1. Chứng thực dịch vụ DHCP trong Active Directory:
Nếu máy tính Windows Server 2008 chạy dịch vụ DHCP, mà trên đó lại làm
việc trong một Domain (có thể là một Server thành viên bình thường hoặc là một máy
điều khiển vùng), dịch vụ muốn csao thể hoạt động bình thường thì phải được chứng
thực bằng Active Directory.
Mục đích của việc chứng thực này là để không cho các Server hoặc máy trạm
không được chứng thực làm ảnh hưởng đến hoạt động mạng. Chỉ có những Windows
2003 DHCP Server được chứng thực mới được phép hoạt động trên mạng. Trong
trường hợp máy Windows Server 2008 làm DHCP Server không nằm trong một
Domain thì cũng không cần phải chứng thực trong Active Diretory. Có thể sử dụng
công cụ DHCP để tiến hành việc chứng thực một DHCP Server. Các bước tiến hành
như sau:
Chọn Start/Administrative Tool/DHCP, trong ô bên trái của cửa sổ DHCP,
chọn Server định chứng thực (ở đây Server của chúng ta là Server DoanQuan), sau đó
chọn Menu Action/Authorize. Đợi một lúc, chọn lại Action/Refresh. Bây giờ DHCP
đã được chứng thực, để ý biểu tượng kế bên tên Server là một mũi tên màu xanh
hướng lên (thay vì một mũi tên màu đỏ hướng xuống).
III.3.2. Cấu hình dịch vụ DHCP
Thực hiện các bước sau để tạo một Scope cấp phát địa chỉ ip.

43. Page 43 of 49
Tạo Scope cấp phát địa chỉ 172.16.15.0 /24 .Chọn Start/Administrative Tool/DHCP,
trong cửa sổ DHCP chọn mục New Scope trong popup menu.
Trong hộp thoại Scope Name, nhập vào tên và chú thích, giúp cho việc nhận diện
Scope này. Sau đó nhấn chọn Next.
Nhập tên và chú thích cho Scope
Hộp thoại IP Address Range xuất hiện, nhập địa chỉ IP vào ô địa chỉ bắt đầu và kết
thúc của danh sách địa chỉ cấp phát. Sau đó chỉ định subnet mask bằng cách cho biết
số bit 1 hoặc nhập vào chuỗi số. Sau đó chọn Next. Chỉnh sửa subnet mask để thu hẹp
dải IP.

44. Page 44 of 49
Nhập địa chỉ IP đầu và cuối cho Scope
Trong hộp thoại Add Exclusions, nhập vào dải địa chỉ sẽ được loại ra khỏi nhóm địa
chỉ đã được chỉ định ở trên. Các địa chỉ này dùng để đặt cho các máy tính dùng IP tĩnh
hoặc dành cho mục đích khác. Sau đó nhấn nút Add để thêm vào danh sách. Nhấn
Next để tiếp tục.
Nhập
vào
dải IP
sẽ
được
loại
khỏi
nhóm
IP được
chỉ định
Trong
hộp

45. Page 45 of 49
thoại Lease Duration, chỉnh sửa thiết lập thời gian cho các máy trạm có thể sử dụng IP
này, hết thời gian đó thì hệ thống sẽ tự động cấp một IP khác trong dải IP đã được chỉ
định ở trên cho máy trạm. Để mặc định sau đó nhấn Next.
Thiết lập thời gian thay đổi IP mới cho máy trạm
Hộp thoại Configure DHCP Options xuất hiện, để mặc định, sau đó nhấn Next.
Đồng ý cấu hình các tùy chọn phổ biến

46. Page 46 of 49
Trong hộp thoại Router (Default Gateway), nhập địa chỉ IP của Default gateway mà
các máy DHCP Client sử dụng và nhấn Add, sau đó nhấn Next. Địa chỉ default
gateway là 172.16.15.1
Add địa chỉ default gateway cho các máy trạm sử dụng
Trong hộp thoại Domain Name and DNS Server, cho biết tên Domain và địa chỉ IP
của DNS server dùng phân giải tên mà DHCP cần sử dụng. Tên Domain là
idc.vnptdata.vn và IP DNS là 172.16.15.254. Nhấn Next sau khi hoàn thành.

47. Page 47 of 49
Nhập tên Domain và IP DNS mà các máy DHCP Client sử dụng
Hộp thoại WIN SERVER hiện ra, dịch vụ WINS ít được sử dụng do đó có thể bỏ qua,
nhấn Next để sang bước tiếp theo.
Trong hộp thoại Active Scope xuất hiện, chọn mục Yes, I want to activate this scope
now để kích hoạt Scope, sau đó nhấn Next.
Cho phép kích hoạt Scope
Trong hộp thoại Complete the New Scope Wizard, nhấn chọn Finish để kết thúc.
Việc tạo một Scope cấp phát IP động đã hoàn thành .Tìm đến ô Router, tích chọn và
nhập địa chỉ IP của defualt gateway là 172.16.15.1 vào ô IP address, sau đó nhấn nút
Add.
 Tìm đến ô DNS Server, tích chọn và nhạp địa chỉ IP của DNS Server là
172.16.15.254 vào ô IP address, sau đó nhấn Add.
 Tìm đến ô DNS Domain Name, tích chọn và nhập tên domain là hubt.vn
vào ô String value.
Sau khi hoàn thành các bước trên, nhấn Apply và OK.
III.3.3. Kiểm tra dịch vụ tại máy trạm
Kiểm tra dịch vụ DHCP ở máy trạm. Ở máy trạm, đăng nhập vào domain bằng
tài khoản administrator và thay đổi địa chỉ IP thành IP động để có thể kích hoạt DHCP
ở máy Client, tại cửa sổ Internet Protocol (TCP/IP) Properties tích chọn hai mục:
Obtain an IP address automatically và Obtain DNS server address automatically

48. Page 48 of 49
sau đó nhấn OK để kích hoạt chế độ nhận IP động từ DHCP của domain
idc.vnptdata.vn
Sau khi đã thiết lập chế độ nhận IP tự động, ta sẽ kiểm tra xem máy trạm đã
nhận được IP tự động từ DHCP của Domain hay chưa. Click chuột vào Start, chọn
Run, cửa sổ comment hiện ra, lần lượt gõ vào các dòng lệnh: ipconfig – câu lệnh này
sẽ hiển thị kết quả là địa chỉ IP mặc định của máy, ipconfig /release – câu lệnh này sẽ
xóa đi địa chỉ IP mặc định đó, và ipconfig /renew – câu lệnh thêm mới tự động một
địa chỉ IP
Tiến hành các bước tương tự đối với máy trạm thứ hai, ta sẽ được kết quả là
máy sẽ nhận địa chỉ IP là 172.16.15.18 , cùng nằm trong dải địa chỉ IP mà ta đã cấp
phát. Đối với các máy trạm khác cũng tiến hành tương tự như trên.
Sau khi tiến hành các công việc ở trên, thì tại máy Server, ta kích chọn vào thư mục
Address Leases của Scope tương ứng đã tạo trước đó, và tại đây, ở ô bên phải cạnh nó
sẽ xuất hiện tên các máy trạm và địa chỉ IP của các máy đó, điều đó chứng tỏ rằng các
máy trạm có tên đó đã được cấp địa chỉ IP và hiện tại đang truy cập vào domain, trong
trường hợp máy trạm đã gia nhập Domain và đã nhận IP động từ DHCP, thì ta chuột
phải vào Address Leases và chọn refresh để làm tươi thư mục, sau đó kết quả sẽ hiện
ra ở ô bên cạnh.

49. Page 49 of 49
KẾT LUẬN
Việc thiết kế, xây dựng hệ thống mạng máy tính là một công đoạn hết sức khó
khăn, để có thể thiết kế nên một hệ thống mạng hoàn chỉnh đồng thời có khoa học, đòi
hỏi người thiết kế phải có tư duy cũng như kiến thức về nó. Hệ thống mạng chạy tốt
hay không, duy trì được lâu hay không, thường xuyên gặp trục trặc hay là ít, điều đó
phần lớn đều bắt nguồn từ việc thiết kế hệ thống mạng có khoa học hay là không. Lắp
đặt hệ thống mạng làm sao để cho dễ quản lý, dễ nâng cấp và hạn chế sự cố tới mức
thấp nhất, đồng thời đảm bảo tính bảo mật cao, đó là cả một vấn đề đòi hỏi người thiết
kế phải hết sức chú ý.
Qua một thời gian tìm hiểu, cộng với kiến thức học được và được sự hướng dẫn
của thầy giáo, em đã hoàn thành bài tập của mình, đồng thời cũng mở mang thêm kiến
thức về môn học Quản Trị mạng, giúp ích cho bản thân sau này. Tuy nhiên, trong quá
trình thực hiện bài tập sẽ không tránh khỏi những sai lầm nhất định, cũng như những
thiếu sót trong quá trình thực hiện dự án của mình, rất mong được sự góp ý của thầy
giáo và bạn đọc !
Em xin cảm ơn !
Tài liệu tham khảo
- Giáo trình thiết kế Mạng doanh nghiệp – Th.SVŨ KHÁNH QUÝ
- Giáo trình mạng doanh nghiệp - Th.S Nguyễn Minh Trí
- Internet