Luận văn Xây dựng hệ thống mạng doanh nghiệp sử dụng mã nguồn mở

https://luanvan.net.vn/
BỘ CÔNG THƯƠNG
TRƯỜNG ĐẠI HỌC KINH TẾ - KĨ THUẬT CÔNG NGHIỆP
LUẬN VĂN TỐT NGHIỆP
TÊN ĐỀ TÀI LUẬN VĂN :
XÂY DỰNG HỆ THỐNG MẠNG DOANH NGHIỆP
SỬ DỤNG MÃ NGUỒN MỞ
Ngành đào tạo : Công nghệ thông tin
Mã số ngành : 7480201
Họ và tên sinh viên : VŨ ANH NGỌC
Người hướng dẫn luận văn tốt nghiệp :
THS . TRẦN QUỐC HOÀN

Hà Nội – 2020
BỘ CÔNG THƯƠNG
TRƯỜNG ĐẠI HỌC KINH TẾ - KĨ THUẬT CÔNG NGHIỆP
LUẬN VĂN TỐT NGHIỆP
TÊN ĐỀ TÀI LUẬN VĂN :
XÂY DỰNG HỆ THỐNG MẠNG DOANH NGHIỆP
SỬ DỤNG MÃ NGUỒN MỞ
Ngành đào tạo : Công nghệ thông tin
Mã số ngành : 7480201
Họ và tên sinh viên : VŨ ANH NGỌC
Người hướng dẫn luận văn tốt nghiệp :
THS . TRẦN QUỐC HOÀN

Hà Nội – 2020
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
…..……………………………………………………………………………...
………..………………………………………………………………………...
……………..…………………………………………………………………...
……………..…………………………………………………………………...
……………..…………………………………………………………………...
……………..…………………………………………………………………...
……………..…………………………………………………………………...
……………..…………………………………………………………………...
……………..…………………………………………………………………...
……………..…………………………………………………………………...
……………..…………………………………………………………………...
……………..…………………………………………………………………...
……………..…………………………………………………………………...
……………..…………………………………………………………………...
……………..…………………………………………………………………...
……………..…………………………………………………………………...
……………..…………………………………………………………………...
……………..…………………………………………………………………...
……………..…………………………………………………………………...
……………..…………………………………………………………………...
……………..…………………………………………………………………...
Hà Nội , Ngày ….. tháng ….. năm …..
GIÁO VIÊN HƯỚNG DẪN

ii
NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
GIÁO VIÊN PHẢN BIỆN

iii
NHẬN XÉT CỦA HỘI ĐỒNG
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
………………………………………………………………………………….
CHỦ TỊCH HỘI ĐỒNG

iv
LỜI CAM ĐOAN
Tôi xin cam đoan luận văn này là công trình nghiên cứu của cá nhân tôi,
được thực hiện dưới sự hướng dẫn của thạc sĩ Trần Quốc Hoàn. Các số liệu,
những kết luận nghiên cứu được trình bày trong luận văn này hoàn toàn trung
thực. Các tài liệu tham khảo sử dụng được trích dẫn và ghi rõ nguồn gốc trong
phần tài liệu tham khảo. Tôi xin hoàn toàn chịu trách nhiệm về lời cam đoan
này.
NGƯỜI CAM ĐOAN
Vũ Anh Ngọc

v
LỜI CẢM ƠN
Chúng em xin được gửi lời cảm ơn trân trọng và sâu sắc nhất tới giáo viên
hướng dẫn Thầy Trần Quốc Hoàn – người đã tận tình chỉ bảo, hướng dẫn,
truyền đạt kiến thức chúng em trong suốt quá trình nghiên cứu thực hiện đề tài
này.
Trong quá trình học tập, triển khai nghiên cứu đề tài và những gì đạt được
hôm nay, chúng em không thể quên được công lao giảng dạy và hướng dẫn của
các Thầy, Cô trường Đại học Kinh tế - Kĩ thuật Công nghiệp Hà Nội , đặc biệt
là các Thầy, Cô khoa Công nghệ thông tin trường Đại học Kinh tế - Kĩ thuật
Công nghiệp Hà Nội.
Xin được cảm ơn bạn bè đã luôn ở bên chúng em, giúp đỡ và tạo điều kiện
thuận lợi cho chúng em được học tập, nghiên cứu, hoàn thành đề tài.
SINH VIÊN THỰC HIỆN
Vũ Anh Ngọc

vi
MỤC LỤC
DANH MỤC HÌNH ẢNH ..............................................................................vii
DANH MỤC CÁC TỪ VIẾT TẮT ................................................................. ix
LỜI NÓI ĐẦU .................................................................................................. 1
CHƯƠNG 1 : TỔNG QUAN HỆ THỐNG MẠNG DOANH NGHIỆP.......... 2
1.1. LÝ DO CHỌN ĐỀ TÀI ............................................................................. 2
1.1.1. Lý do khách quan.................................................................................... 2
1.1.2. Lý do chủ quan........................................................................................ 2
1.2. MỤC TIÊU ĐỀ TÀI................................................................................... 2
1.3. GIỚI HẠN ĐỀ TÀI.................................................................................... 2
1.3. MỤC ĐÍCH NGHIÊN CỨU...................................................................... 3
1.3.1. Mục đích trước mắt................................................................................. 3
1.3.2. Mục đích cụ thể....................................................................................... 3
1.3.3. Mục đích lâu dài...................................................................................... 3
1.5. THỂ THỨC NGHIÊN CỨU...................................................................... 3
1.5.1. Dàn ý chi tiết ........................................................................................... 3
1.5.2. Đối tượng nghiên cứu.............................................................................. 3
1.5.3. Phương pháp nghiên cứu......................................................................... 4
1.5.3. Phương tiện nghiên cứu .......................................................................... 4
1.6. HỆ THỐNG MẠNG DOANH NGHIỆP................................................... 4
1.6.1 Kiến trúc mạng Enterprise Cisco ............................................................. 4
1.6.2. Kiến trúc mạng Campus.......................................................................... 5
1.6.3. Kiến trúc Data Center.............................................................................. 5
1.6.4. Kiến trúc Branch ..................................................................................... 6
1.6.7. Kiến trúc Teleworker .............................................................................. 7
1.6.8. Kiến trúc WAN và MAN........................................................................ 7

vii
1.6.9. Mô hình an ninh-an toàn (Secure models).............................................. 9
1.7. MÔ HÌNH WAN........................................................................................ 9
1.8. MÔ HÌNH MẠNG ĐỂ XUẤT................................................................. 11
1.8.1. Các yêu cầu về dịch vụ.......................................................................... 11
1.8.2. Sơ đồ mạng logic................................................................................... 12
1.8.3. Sơ đồ mạng thực tế................................................................................ 13
1.8.4. Sơ đồ mạng thực nghiệm ...................................................................... 14
CHƯƠNG 2 : HỆ THỐNG TÊN MIỀN DNS................................................ 15
2.1. DỊCH VỤ DNS ........................................................................................ 15
2.1.1. Giới thiệu về DNS................................................................................. 15
2.1.2. Cài đặt và cấu hình................................................................................ 18
2.2. DỊCH VỤ DHCP...................................................................................... 21
2.2.1. Giới thiệu DHCP................................................................................... 21
3.2.2. Cấu hình và cài đặt................................................................................ 21
2.3. DỊCH VỤ TELNET................................................................................. 23
2.3.1. Giới thiệu telnet..................................................................................... 23
2.3.2. Cấu hình và cài đặt................................................................................ 24
2.4.DỊCH VỤ SSH.......................................................................................... 26
2.4.1. Sơ lược về SSH ..................................................................................... 26
2.5. LDAP…. .................................................................................................. 29
2.5.1. Giới thiệu .............................................................................................. 29
2.6. DỊCH VỤ NFS......................................................................................... 42
2.6.1. Giới thiệu NFS ...................................................................................... 42
2.7. DỊCH VỤ SAMBA.................................................................................. 45
2.7.1. Giới thiệu SAMBA ............................................................................... 45
2.7.2. Cài đặt và cấu hình SAMBA................................................................. 46
CHƯƠNG 3 : BẢO MẬT HỆ THỐNG VÀ DỊCH VỤ TRUY CẬP TỪ XA50

viii
3.1 DỊCH VỤ FIREWALL............................................................................. 50
3.1.1. Giới thiệu .............................................................................................. 50
3.2. DỊCH VỤ PROXY................................................................................... 57
3.2.1. Giới thiệu proxy .................................................................................... 57
3.4. MAIL SERVER ....................................................................................... 62
3.4.1. Giới Thiệu Về Mail Server: .................................................................. 62
3.4.2. Cài đặt ….. ............................................................................................ 64
3.5. WEB SERVER......................................................................................... 68
3.5. Giới thiệu …............................................................................................. 68
3.5.2. Cài đặt ….. ............................................................................................ 70
3.6. FPT SERVER........................................................................................... 71
3.6.1. Giới thiệu FTP....................................................................................... 71
3.6.2. Cài đặt ….. ............................................................................................ 74
3.7. VIRTUAL PRIVATE NETWORK (VPN) ............................................. 75
3.7.1. Giới thiệu .............................................................................................. 75
3.8. IDS-IPS . .................................................................................................. 82
3.8.1. Giới thiệu .............................................................................................. 82
3.8.2. Cài đặt và cấu hình snort....................................................................... 85
TÀI LIỆU THAM KHẢO............................................................................... 90

vii
DANH MỤC HÌNH ẢNH
Hình 1.1: Các kiến trúc Enterprise của Cisco................................................... 4
Hình 1.2 : Kiến trúc mạng Campus................................................................... 5
Hình 1.3: Kiến trúc Data Center ....................................................................... 6
Hình 1.4: Kiến trúc Branch............................................................................... 6
Hình 1.5: Mô hình phân cấp.............................................................................. 8
Hình 1.6: Mô hình tường lửa 3 phần................................................................. 9
Hình 1.7: Mô hình phân cấp để hỗ trợ thiết kế WAN..................................... 10
Hình 1.8 : Sơ đồ mạng Logic.......................................................................... 12
Hình 1.9 : Mô hình thực nghiệm..................................................................... 13
Hình 2.1: Nội dung file cấu hình phân giải thuận........................................... 20
Hình 2.2: Nội dung file cấu hình phân giải ngược.......................................... 20
Hình 2.3: DNS phân giải trong nslookup........................................................ 21
Hình 2.4: Nội dung file cấu hình dhcp server................................................. 22
Hình 2.5 : Hiển thị được domain trên máy Client........................................... 23
Hình 2.6 : Giao diện PuTTy............................................................................ 25
Hình 2.7 : Màn hình đăng nhập Telnet bên Client.......................................... 25
Hình 2.8 : Nội dụng file SSH.......................................................................... 27
Hình 2.9: Giao diện phần mềm PuTTY.......................................................... 28
Hình 2.10 : Hình ảnh đăng nhập thành công SSH trên Client........................ 28
Hình 2.11 : Mô hình client server ................................................................... 29
Hình 2.12 : Cấu trúc cây trong ldap................................................................ 30
Hình 2.13 : Luồng thông điệp giữa client server ............................................ 31
Hình 2.14 : Những thông điệp Client gửi cho server...................................... 32
Hình 2.15 : Nhiều kết quả tìm kiếm được trả về............................................. 32
Hình 2.16 : Giao diện web phpldapadmin ...................................................... 42
Hình 2.17 : Hiển thị các Port sử dụng NFS .................................................... 44

viii
Hình 2.18 : Mô hình samba............................................................................. 46
Hình 3.19 : Hiển thị mục share bên phía Server............................................. 50
Hình 3.1 : Luồng sự kiện đi qua firewall ........................................................ 51
Hình 3.2 : Kết quả hiện thị thành công cài đạt Iptable tại Port 22.................. 53
Hình 3.2 : Nội dung file cấu hình iptables...................................................... 54
Hình 3.23 : Vị trí proxy với client và server................................................... 58
Hình 3.4 : File cấu hình Squid ........................................................................ 60
Hình 3.5 : Cấu hình Proxy cho công cụ trình duyệt Mozilla Firefox ............. 61
Hình 3.6 : Màn hình chứng thực thành công .................................................. 61
Hình 3.7 : Thành phần Postfix ........................................................................ 64
Hình 3.8 : tạo tài khoản Thunderbird.............................................................. 67
Hình 3.9 : Giao diện làm việc của Thunderbird.............................................. 68
Hình 3.10 : Giao diện trang www.uneti.edu.vn .............................................. 71
Hình 3.11 : Mô hình dịch vụ FTP................................................................... 72
Hình 3.12 : Cài đặt thành công Openvpn Server ............................................ 82
Hình 3.13 : Link trên trang chủ snort.org ...................................................... 86
Hình 3.14 : Hiển thị cài đặt và cấu hình thành công Snort............................. 88

ix
DANH MỤC CÁC TỪ VIẾT TẮT
DNS: Domain Name System
DHCP: Dynamic Host Configuration Protocol
SSH: Secure Shell
LDAP: Lightweight Directory Access Protocol
NFS: Network File System
UDP: User Datagram Protocol
TCP: Transmission Control Protocol
SMTP: Simple Mail Transfer Protocol
POP: Post Office Protocol
IMAP: Internet Message Access Protocol
FTP: File Transfer Protocol
VPN: Virtual Private Network
IDS: Intrusion detection system
IPS: Intrusion prevention systems

1
LỜI NÓI ĐẦU
Với sự phát triển nhanh chóng của công nghệ thông tin, thế giới dường
như ngày càng thu nhỏ nhờ mạng Internet. Để có thể đáp ứng được đòi hỏi trình
độ công nghệ thông tin ngày càng cao của thị trường, sinh viên ngành công
nghệ thông tin nói riêng và các đối tượng hoạt động trong lĩnh vực công nghệ
thông tin nói chung cần phải nắm được các kiến thức về mạng máy tính cũng
như xây dựng, triển khai các ứng dụng mạng như: Truy nhập CSDL SQL server
trên LAN, truy nhập Web trên LAN hay chat trên LAN ... Điều hiển nhiên là
làm về mạng thì phải có mạng máy tính để thực hành. Thực tế điều kiện thực
hành mạng còn nhiều điều bất cập như thời lượng thực hành tại đa số các cơ sở
đào tạo chưa đủ; kinh phí hạn hẹp không cho phép có thể tự đầu tư nhiều bộ
máy tính để nối mạng; sự thiếu kinh nghiệm của sinh viên có thể dẫn đến các
sự cố đáng tiếc trong quá trình thực hành.
Nắm bắt được tình hình chung này, tôi đề xuất giải pháp cài đặt và cấu
hình mạng doanh nghiệp sử dụng mã nguồn mở để hỗ trợ giải quyết những khó
khăn trên. Bố cục bài luận văn được chia thành:
Chương 1: Tổng quan về hệ thống mạng doanh nghiệp
Đưa ra lý do chọn đề tài , mục đích của đề tài , giới hạn đề tài, mục đích
nghiên cứu , nghiên cứu về kiến trúc mạng Enterprise, mô hình mạng LAN và
WAN.
Chương 2: Hệ thống tên miền DNS và dịch vụ truy cập từ xa
Giới thiệu và cách cài đặt cấu hình DNS trên server và các dịch vụ truy
cập từ xa như Telnet, SSH,..
Chương 3: Bảo mật hệ thống và các giải pháp cho việc kết nối mạng dùng
riêng ra Internet
Giới thiệu và cách cài đặt cấu hình tường lửa Iptable và các dịch vụ sử
dụng Internet

2
CHƯƠNG 1 : TỔNG QUAN HỆ THỐNG MẠNG
DOANH NGHIỆP
1.1. LÝ DO CHỌN ĐỀ TÀI
1.1.1. Lý do khách quan
- Hiện nay, công nghệ thông tin đang đóng vai trò cực kỳ quan trọng không
thể thiếu trong quá trình quản lý, điều hành các hoạt động sản xuất kinh doanh
của mỗi doanh nghiệp. Do vậy, việc xây dựng được một hệ thống mạng với đầy
đủ các dịch vụ cần thiết phục vụ kinh doanh là điều cực kỳ cấp thiết.
- Ngoài các yếu tố phần cứng và nguồn nhân lực quản trị thì yếu tố phần
mềm cũng đóng vai trò rất quan trọng khi xây dựng một hệ thống mạng. Nói
đến phần mềm, một vấn đề lớn ở nước ta đó là bản quyền, chi phí mua bản
quyền các dịch vụ để hoàn tất một hệ thống mạng là rất lớn. Nên để tiết kiệm
một khoản lớn chi phí, người ta dần chuyển sang các sản phẩm dịch vụ từ mã
nguồn mở. Ngoài việc chạy ổn định, ít bị tấn công, có một cộng đồng phát triển
rất lớn thì ưu điểm lớn nhất và đáng quan tâm nhất của mã nguồn mở đó là
không tốn phí. Vì những lý do trên, nhóm thực hiện đề tài: “Xây dựng hệ thống
mạng doanh nghiệp sử dụng mã nguồn mở”.
1.1.2. Lý do chủ quan
- Em thực hiện đề tài nhằm mục đích tìm hiểu thêm những kiến thức mới
trong ngành Mạng máy tính. Để từ đó có thêm kiến thức phục vụ cho quá trình
học cũng như có ích cho công việc sau khi tốt nghiệp ra trường.
1.2. MỤC TIÊU ĐỀ TÀI
- Tìm hiểu kiến trúc mạng doanh nghiệp.
- Đề xuất một mô hình mạng doanh nghiệp.
- Cài đặt và cấu hình các dịch vụ theo mô hình đã đề xuất.
1.3. GIỚI HẠN ĐỀ TÀI
- Đề tài “Xây dựng hệ thống mạng doanh nghiệp sử dụng mã nguồn mở”
được nhóm chúng tôi lựa chọn để thực hiện khóa luận.
- Để xây dựng được mô hình mạng doanh nghiệp chạy ổn định và an toàn,
kiểm soát hầu hết các lỗi và các tấn công trong mạng internet cần cài đặt và cấu
hình rất nhiều dịch vụ tịch hợp với nhau. Do thời gian cũng như kiến thức và
kinh nghiệm của nhóm chưa có, nên đề tài chỉ cài đặt và cấu hình các dịch vụ
cơ bản nhất của một hệ thống mạng cần có.

3
1.3. MỤC ĐÍCH NGHIÊN CỨU
1.3.1. Mục đích trước mắt
- Nhằm mục đích tiếp thu những kiến thức mới để nâng cao trình độ phục
vụ cho công việc khi ra trường. Thông qua đó tạo được tác phong nghiên cứu
khoa học, năng lực tư duy và biết lập kế hoạch tạo tiền đề tốt cho quá trình
nghiên cứu sau này.
1.3.2. Mục đích cụ thể
Mục đích cụ thể nhóm nghiên cứu sẽ giải quyết các vấn đề sau :
- Giới thiệu nội dung.
- Đề xuất mô hình.
- Cài đặt và cấu hình dịch vụ.
1.3.3. Mục đích lâu dài
Về lâu dài, đồ án có thể làm tài liệu cho các sinh viên chuyên ngành cũng
như ai yêu thích công nghệ thông tin.
1.5. THỂ THỨC NGHIÊN CỨU
1.5.1. Dàn ý chi tiết
- Phần mở đầu
+ Lý do chọn đề tài.
+ Mục tiêu đề tài.
+ Giới hạn đề tài
+ Mục đích nghiên cứu.
+ Thể thức nghiên cứu.
- Phần nội dung
+ Chương 1: Tổng quan hệ thống mạng doanh nghiệp
+ Chương 2: Hệ thống tên miền DNS và dịch vụ truy cập từ xa
+ Chương 3: Bảo mật hệ thống và các giải pháp cho việc kết nối mạng
dùng riêng ra Internet
- Phần kết luận – đề nghị.
1.5.2. Đối tượng nghiên cứu
Đối tượng nghiên cứu: hệ thống Centos 7.

4
1.5.3. Phương pháp nghiên cứu
- Phương pháp tham khảo tài liệu: thu thập các tài liệu liên quan, phục vụ
cho quá trình nghiên cứu.
- Phương pháp tổng kết kinh nghiệm: thu thập các ý kiến, các phương pháp
của thầy (cô) giảng dạy bộ môn chuyên ngành, kết hợp với những kinh nghiệm
của bản thân rồi đúc kết để đưa vào bài báo cáo này.
1.5.3. Phương tiện nghiên cứu
- Máy tính
- Các tài liệu
- Các phần mềm hổ trợ
1.6. HỆ THỐNG MẠNG DOANH NGHIỆP
Chương này trình bày kiến trúc mạng Cisco và các loại mô hình mạng
trong doanh nghiệp, từ đó sẽ xây dựng một mô hình mạng thực nghiệm cho đề
tải.
1.6.1 Kiến trúc mạng Enterprise Cisco
- Kiến trúc tích hợp đầy đủ và tối ưu hóa các cơ sở hạ tầng mạng, dịch vụ
tương tác, và các ứng dụng trên toàn bộ doanh nghiệp. Các kiến trúc cụ thể:
Campus, Data Center, Branch, Teleworker, MAN và WAN.
Hình 1.1: Các kiến trúc Enterprise của Cisco

5
1.6.2. Kiến trúc mạng Campus
- Là một mạng lưới gồm một tòa nhà hoặc một nhóm các tòa nhà được kết
nối vào một mạng doanh nghiệp đó bao gồm nhiều mạng LAN. Thường giới
hạn trong một khu vực địa lý cố định.
Hình 1.2 : Kiến trúc mạng Campus
- Ví dụ: Một khu liên hợp công nghiệp, môi trường công viên kinh doanh.
- Kiến trúc khuôn viên cho các doanh nghiệp mô tả các phương pháp để
tạo ra một mạng lưới khả năng mở rộng, giải quyết các nhu cầu của hoạt động
kinh doanh.
- Là mô hình mạng thông minh do Cisco đưa ra bao gồm 3 phần chính:
+ Access Layer
+ Distribution Layer
+ Core Layer
1.6.3. Kiến trúc Data Center
- Là trung tâm dữ liệu có trách nhiệm quản lý và duy trì hệ thống dữ liệu
và quan trọng đối với hoạt động kinh doanh hiện đại.
+ Nhân viên, đối tác và khách hàng dựa trên dữ liệu và các nguồn lực
trong trung tâm dữ liệu để có hiệu quả cộng tác và tương tác.

6
+ Trong thập kỷ qua, sự phát triển của Internet và công nghệ trên nền
web dã làm cho trung tâm dữ liệu trở nên quan trọng hơn bao giờ hết, nâng cao
năng suất, nâng cao quy trình kinh doanh và thay đổi tốc độ.
Hình 1.3: Kiến trúc Data Center
1.6.4. Kiến trúc Branch
- Là kiến trúc hỗ trợ doanh nghiệp mở rộng ứng dụng văn phòng và tích
hợp hàng loạt các dịch vụ trên router tại chi nhánh cho các doanh nghiệp khi
triển khai dịch vụ mở.
Hình 1.4: Kiến trúc Branch

7
- Cisco tích hợp bảo mật, chuyển mạch, mạng lưới phân tích, lưu trữ và
hội tụ các dịch vụ thoại và video vào một loạt các dịch vụ tích hợp bộ định
tuyến trong ngành để các doanh nghiệp có thể triển khai dịch vụ mới khi họ đã
sẵn sàng mà không cần mua thiết bị mới.
1.6.7. Kiến trúc Teleworker
- Nhiều doanh nghiệp ngày nay cung cấp một môi trường làm việc linh
hoạt cho nhân viên của họ, cho phép họ liên lạc từ văn phòng về nhà.
- Kiến trúc cho phép doanh nghiệp quản lý tập trung, giảm thiểu các chi
phí IT hỗ trợ và bảo mật tích hợp mạnh mẽ.
- Nhân viên có thể đăng nhập an toàn vào mạng qua một VPN luôn sẵn
sàng và truy cập được vào các ứng dụng có thẩm quyền và các dịch vụ từ một
nền tảng hiệu quả duy nhất.
1.6.8. Kiến trúc WAN và MAN
- Kiến trúc Enterise của Cisco về WAN và MAN cung cấp sự hội tụ của
thoại, video, và các dịch vụ dữ liệu trên một mạng Truyền thông IP. Cách tiếp
cận này cho phép doanh nghiệp tiết kiệm chi phí làm việc trong một khu vực
địa lý rộng lớn.
1.6.8.1. Mô hình mạng LAN
1.6.8.1.1. Mô hình phân cấp (Hierarchical models)
- Cấu trúc
+ Tầng Core (Core Layer): Đây là đường trục chuyển mạch tốc độ cao
của mạng. Tầng Core có các đặc tính như: độ tin cậy cao, có công suất dư thừa,
có khả năng tự khắc phục lỗi, có khả năng thích nghi cao, đáp ứng nhanh, dễ
quản lý, có khả năng lọc gói, hay lọc các tiến trình đang truyền trong mạng.
+ Tầng phân tán (Distribution Layer): Lớp phân tán là ranh giới giữa
tầng truy nhập và tầng Core của mạng. Tầng phân tán thực hiện các chức năng
như đảm bảo gửi dữ liệu đến từng phân đoạn mạng, bảo mật, phân đoạn mạng
theo nhóm công tác, chia miền broadcast/multicast, định tuyến giữa các LAN
ảo (VLAN), chuyển môi trường truyền dẫn, định tuyến giữa các miền, tạo biên
giới giữa các miền trong định tuyến tĩnh và động, thực hiện các bộ lọc gói (theo
địa chỉ, theo số hiệu cổng,...), thực hiện các cơ chế đảm bảo chất lượng dịch vụ
QoS.

8
Router
Router
Router
Switch Hub
Workstation Workstation
Workstation
Workstation
Core
Layer
Distribution
Layer
Access
Layert
FDDI Ring
Campus Backbone
Network Core
Hình 1.5: Mô hình phân cấp
+ Tầng truy nhập (Access Layer): Tầng truy nhập cung cấp cho người
dùng cục bộ hay từ xa truy nhập vào mạng. Thường được thực hiện bằng các
bộ chuyển mạch (switch) trong môi trường campus, hay các công nghệ WAN.
- Đánh giá mô hình
+ Giá thành thấp
+ Dễ cài đặt
+ Dễ mở rộng
+ Dễ cô lập lỗi
1.6.8.1.2. Mô hình dự phòng (Redundant Models)
- Khi thiết kế một hệ thống mạng cho khách hàng, cần phải xác định khả
năng thất bại của các thành phần trong hệ thống và thiết kế dự phòng khi cần
thiết.
- Các loại thiết kế dự phòng:
+ Workstation-to-router dự phòng
+ Máy chủ dự phòng
+ Route dự phòng
+ Thiết bị dự phòng

9
1.6.8.1.3. Mô hình an ninh-an toàn (Secure models)
- Hệ thống tường lửa 3 phần (Three-Part Firewall System), đặc biệt quan
trọng trong thiết kế WAN. Ở đây, chúng tôi chỉ nêu một số khía cạnh chung
nhất cấu trúc của mô hình sử dụng trong thiết kế mạng LAN.
Internet
Outside
Filter
Inside
Filter
Hidden Corporate
Systems
Advertise
Route to
Isolation
LAN Only
Bastion
Host
Hình 1.6: Mô hình tường lửa 3 phần
- Một mạng LAN cô lập làm vùng đệm giữa mạng nội bộ của công ty với
mạng bên ngoài (trong một số tài liệu mạng LAN này được gọi là vùng phi
quân sự (DMZ))
- Một router hoạt động như một bộ lọc gói tin được đặt giữa DMZ và mạng
nội bộ.
- Một router khác hoạt động như một bộ lọc gói tin được đặt giữa DMZ
và mạng ngoài.
- Các dịch vụ có thể cài đặt ở vùng DMZ:
+ Anonymous FTP server
+ Web server
+ DNS server
+ Telnet
+ Phần mềm bảo mật Terminal Access Controller Access Control
System (TACACS)
1.6.8.2. Mô hình mạng WAN
- Khái niệm mô hình phân cấp: Mô hình phân cấp để hỗ trợ thiết kế WAN
thường là mô hình phân cấp ba tầng: tầng 1 là tầng lõi (xương sống của WAN

10
– backbone), tầng 2 phân tán, tầng 3 là tầng truy nhập, gọi tắt là mô hình phân
cấp phục vụ cho việc khảo sát và thiết kế WAN.
Telecomuter
Branch
Office
Workgroups
Dial-In
WAN BackBone
Tầng phân tán
Tầng lõi
Tầng truy cập
Campus
Backbone
Building
Backbone
Hình 1.7: Mô hình phân cấp để hỗ trợ thiết kế WAN
+ Tầng lõi là phần kết nối mạng (WAN backbone): kết nối các trung
tâm mạng (NOC) của từng vùng, thông thường khoảng cách giữa các NOC là
xa hay rất xa, do vậy chi phí kết nối và độtin cậy cần phải được xem xét kỹ.
Hơn nưa vấn đề đảm bảo chất lượng dịch vụ QoS cũng được đặt ra, dẫn đến
phân loại, phân cấp ưu tiên dịch vụ.
+ Tầng phân tán là phần kết nối các điểm đại diện POP, hay các nhánh
mạng vào NOC.
+Tầng truy nhập từ xa là phần kết nối của người dùng di động, hay các
chi nhánh nhỏ vào POP hay vào NOC.
- Các ưu điểm của mô hình phân cấp: Nhờ mô hình phân cấp người thiết
kết WAN dễ tổ chức khảo sát, dễ lựa chọn các phương án và công nghệ kết nối,
dễ tổ chức triển khai, cũng như đánh giá kết quả.

11
1.7. MÔ HÌNH MẠNG ĐỂ XUẤT
1.7.1. Các yêu cầu về dịch vụ
Để xây dựng được một hệ thống mạng cục bộ, phục vụ hầu hết các công
việc kinh doanh, cần có:
- DNS primary server để phân giải tên miền nội bộ.
- DNS seconday để dự phòng cho primary DNS server
- DHCP server để cấp địa chỉ IP cho các host.
- DC server kết hợp samba để chứng thực tập trung cho các users.
- Web server để phục vụ trang web giới thiệu, quảng bá về công ty.
- Mail server để gởi nhận mail trong nội bộ và nếu muốn gởi mail ra ngoài
thì phải đăng ký tên miền trên internet.
- FTP server để trao đổi file.
- Cài đặt dịch vụ SAMBA để chia sẻ file trong mạng cục bộ giữa client
windows và linux.
- Cài đặt dịch vụ NFS để chia sẻ file trong mạng cục bộ giữa các client
linux với nhau.
- Cài đặt firewall, proxy, IDS để lọc gói tin, ngăn chặn và phát hiện tấn
công đến các server.
- Cài đặt telnet, ssh để điều kiển server từ xa.
- Cài đặt VPN server giúp remote client truy xuất mạng cục bộ.

12
1.7.2. Sơ đồ mạng logic
Router Router
Router
Switch
Server
Wireless Router
...
Internet
Hình 1.8 : Sơ đồ mạng Logic
- Công ty có Web server và Mail server riêng
+ Đặt cùng Switch
+ được NAT tĩnh ra bên ngoài
- Các nhân viên có thể truy cập Internet
Switch 24 port
10pc
10pc
1 Lap
5pc
10pc
10 Laptop
P. Hội Đồng
P. Kỹ Thuật
P. Kinh Doanh
P. Kế Hoạch
P. Giám Đốc
P. Kế Toán
P. Canteem
Laptop

13
+ Thuê đương truyền ADSL, NAT out
- Nhân viên ở Canteen có thể truy nhập Internet qua Wireless
- Công ty có 1 chi nhánh
- Từ trung tâm kết nối đến văn phòng Chi nhánh qua Internet
- Chi nhánh công ty cũng có các phòng ban, chia VLAN
- Người dùng ở ngoài có thể truy nhập Web server của công ty
- Các máy tính trong công ty và chi nhánh có thể liên lạc với nhau
- Chia VLAN phòng Hội đồng và phòng Kỹ thuật
1.7.3. Sơ đồ mạng thực tế
Dựa vào những yêu cầu trên, nhóm đề xuất mô hình mạng và các dải địa
chỉ IP như sau.
− Web server, mail server, ftp server địa chỉ: 192.168.1.4/24
− DC server, DNS secondary server, samba, nfs địa chỉ: 192.168.1.2/24
− DHCP server, DNS primary server,VPN server địa chỉ: 192.168.1.3/24
− Mạng cục bộ chứa các client có dãi địa chỉ : 192.168.2.0/24
Internet
Hình 1.9 : Mô hình thực nghiệm
DHCP
Server 1
Firewall, IDS/IPS,Proxy
Eth1 : 192.168.2.1/24
Eth0 : 192.168.1.1/24
Client
Server 2
Web Server, Mail Server
FPT Server
Server 3
DC Server, DNS Secondary
Samba , NFD
Server 4
DHCP, DNS Server
VPN Server

14
1.7.4. Sơ đồ mạng thực nghiệm
− Bảng địa chỉ IP
IP Subnet mask Default
gateway
DNS
Server 1 eth0:192.168.1.1 255.255.255.0
eth1:192.168.2.1 255.255.255.0
eth2: DHCP
Server 2 eth0:192.168.1.4 255.255.255.0 192.168.1.1 192.168.1.3
192.168.1.2
Server 4 eth0:192.168.1.2 255.255.255.0 192.168.1.1 192.168.1.3
192.168.1.2
Server 5 eth0:192.168.1.3 255.255.255.0 192.168.1.1 192.168.1.3
192.168.1.2
Server 6 DHCP

15
CHƯƠNG 2 : HỆ THỐNG TÊN MIỀN DNS VÀ DỊCH VỤ
TRUY CẬP TỪ XA
2.1. DỊCH VỤ DNS
2.1.1. Giới thiệu về DNS
- Mỗi máy tính trên mạng muốn trao đổi thông tin với nhau thì cần phải
biết rõ địa chỉ IP của nhau.
- Mỗi máy tính ngoài địa chỉ IP còn có một tên (HOSTNAME). Để liên
lạc thì việc nhớ địa chỉ IP của nhau là việc rất khó khăn, đặc biệt là việc địa chỉ
IPV4 càng ngày không thể cung cấp đủ số lượng nhu cầu thì việc chuyển sang
dùng IPV6 là điều tất yếu và việc phải nhớ một dãy số hexa 32 số là việc không
tưởng.
- Do những khó khăn trên nên người ta nghĩ ra việc, làm sao để ánh xạ địa
chỉ ip của mỗi máy thành hostname của nó và ngược lại. Để khi trao đổi với
nhau người ta chỉ cần nhớ tên hostname của máy tính bên kia.
- Ban đầu do quy mô mạng ARPA NET( tiền thân của mạng internet) còn
nhỏ, nên chỉ có một tập tin HOST.TXT lưu thông tin và ánh xạ tên máy thành
địa chỉ IP. Trong đó, tên máy chỉ là chuỗi văn văn bản không phân cấp (plat
name). Tập tin này được duy trì tại một máy chủ và các máy chủ khác lưu giữ
bản sao của nó. Tuy nhiên khi quy mô mạng lớn hơn, việc sử dụng tập tin
HOST.TXT có các nhược điểm sau :
+ Lưu lượng mạng và máy chủ duy trì tập tin HOST.TXT bị quá tải.
+ Xung đột tên: do tên máy không phân cấp và không có cơ quản lý tập
tin nên có nguy cơ bị xung đột tên.
+ Không đảm bảo sự toàn vẹn: việc duy trì tập tin trên một mạng lớn
rất khó khăn. Ví dụ: khi tập tin HOST.TXT vừa cập nhật chưa kịp chuyển đến
máy chủ ở xa thì đã có sự thay đổi địa chỉ trên mạng rồi.
- Tóm lại: việc sử dụng tập tin HOST.TXT không phù hợp cho mạng lớn
vì thiếu cơ chế phân tán và mở rộng . Do đó dịch vụ DNS ra đời nhằm khắc
phục các nhược điểm này.
2.1.1.1. Hệ thống tên miền – DNS
- DNS hoạt động theo mô hình client - server. Máy chủ server chứa các
thông tin CSDL. Phía client là trình phân giải tên resolver, nó chỉ là các hàm
thư viện dùng để tạo các query và gởi chúng đến máy chủ DNS server.

16
- DNS hoạt động như một giao thức tầng application trong mạng TCP/IP.
- DNS là một cơ sở dữ liệu phân tán. Có nhiệm vụ chuyển đổi tên miền
sang địa chỉ IP và ngược lại. Hệ thống DNS ra đời nhằm mục đích giúp người
sử dụng một tên dễ nhớ, dễ sử dụng.
- Nguyên tắc làm việc của DNS:
+ Mỗi nhà cung cấp dịch vụ vận hành và duy trì DNS server của riêng
mình. Khi có yêu cầu tìm kiếm một website nào đó, thì DNS server phân giải
tên website này phải là DNS server của chính tổ chức quản lý website đó.
+ INTERNIC - Internet Network Information Center chịu trách nhiệm
quản lý các tên miền và DNS server tương ứng.
+ DNS server có khả năng truy vấn các DNS server khác. Ngoài việc
phân giải tên miền cho các máy trong nội bộ thì nó cũng hỗ trợ các truy vấn từ
các máy ngoài mạng internet vào bên trong.
+ DNS server cũng có khả năng nhớ lại các tên vừa phân giải, để dùng
cho những lần truy vấn lần sau. Số lượng tên miền được lưu lại phụ thuộc vào
quy mô của từng DNS server.
2.1.1.2. Hoạt động của DNS server trong LINUX
- Phân loại DNS server
+ Primary name server: Nguồn xác thực thông tin chính thức cho các
domain mà nó được phép quản lý.
+ Secondary name server: server dự phòng cho primary server.
+ Caching name server: Lưu lại các lần truy vấn của client, giúp cho
các lần truy vấn sau được nhanh chóng và giảm tải cho server.
- DNS zone là gì?
+ Là tập hợp các ánh xạ từ Host đến địa chỉ IP và từ IP tới Host trong
một phần liên tục trong một nhánh của Domain.
+ Thông tin DNS Zone là những Record gồm tên Host và địa chỉ IP
được lưu trong DNS Server . DNS Server quản lí và trả lời những yêu cầu này
từ Client liên quan đến DNS Server này.
+ Hệ thống tên miền cho phép phân chia tên miền để quản lí và chia hệ
thống tên miền thành Zone và trong Zone quản lí tên miền được phân chia đó.

17
• Zone file lưu thông tin Zone ở dạng text hoặc trong Active
Directorry.
+ Zone thuận và Zone nghịch
• Zone thuận - Forward Lookup Zone để phân giải tên máy
(Hostname) thành địa chỉ IP.
• Zone nghịch - Reverse Lookup Zone để phân giải địa chỉ IP thành
tên máy (Hostname).
- Các loại truy vấn
+ Truy vấn đệ quy (Recursive query) : Khi name server nhận được truy
vấn dạng này, nó bắt buộc phải trả về kết quả tìm được hoặc thông báo lỗi nếu
như truy vấn này không phân giải được. Nameserver không thể tham chiếu truy
vấn đến một name server khác. Namesserver có thể gửi truy vấn dạng đệ quy
hoặc tương tác đến nameserver khác nhưng nó phải thực hiện cho đến khi nào
có kết quả mới thôi.
+ Truy vấn tương tác: khi nameserver nhận được truy vấn dạng này, nó
trả lời cho resolver với thông tin tốt nhất mà nó có được vào thời điểm đó. Bản
thân nameserver không thực hiện bất cứ một truy vấn nào thêm. Thông tin tốt
nhất trả về có thể lấy từ dữ liệu cục bộ (kể cả cache). Trong trường hợp
nameserver không tìm thấy trong dữ liệu cục bộ nó sẽ trả về tên miền và địa
chỉ IP của nameserver gần nhất mà nó biết.
- Các file cấu hình chính.
+ Host.conf: là tệp điều khiển hoạt động của resolver, nó quy định các
dịch vụ sử dụng của resolver và thứ tự sử dụng của chúng.
+ Resolver (bộ giải): khi một chương trình cần giải một tên host thì cần
sử dụng một cơ chế gọi là bộ giải. Bộ giải đầu tiên sẽ tra cứu file /etc/host.conf
và xác định phương thức nào sẽ được sử dụng để giải các tên host (local file,
name server, NIS hay ldap server).
+ File named.conf: file cấu hình chính cùa DNS.
+ Các tệp cơ sở dữ liệu DNS - các file phận giải thuận, phân giải nghịch.
Thành phần cơ bản là bản ghi nguồn RR( Resource Record). Mỗi bản ghi có
một kiểu dữ liệu, bao gồm:

18
• SOA (Start of Authority): Trong mỗi tập tin cơ sở dữ liệu phải có
một và chỉ một record SOA. Record SOA chỉ ra rằng máy chủ name server là
nơi cung cấp thông tin tin cậy từ dữ liệu có trong zone.
• NS (Name Server): tên server
• MX (Mail Exchange): chuyểnmail trên mạng Internet
• A (Address): ánh xạ tên máy (hostname) vào địa chỉ IP
• CNAME (Canonical Name): tên bí danh của server
• PTR: dùng để ánh xạ địa chỉ IP thành Hostname.
2.1.2. Cài đặt và cấu hình
2.1.2.1. Cài đặt
- Cần download và cài đặt gới BIND trên máy linux. Thường thì tên file
cài đặt BIND bắt đầu là bind, sau đó là version, ví dụ: bind-9.6.2-5.P2.fc12.i686
- Nếu không biết version nào, gõ: bind* - Thông thường có 2 cách cài đặt
BIND là cài từ source và từ gói compile sẵn (RPM - Redhat Package Manager).
+ Cài từ gói rpm:
• rpm –ivh bind-9.3.3-10.el5.rpm
• rpm –ivh bind-chroot-9.3.3-10.el5.rpm
• Hoặc nếu có internet thì cài bằng lệnh yum như sau: yum –y install
bind*
+ Cài từ source
• Mount thư mụcchứa gói cài đặt DNS vào máy chủ Centos: #mount
/dev/cdrom/media/
• Liệt kê các gói bind: #cd Centos
• Cài đặt các gói phục vụ cho dịchvụ DNS: #rpm –ivh bind.*.rpm (*
là phiên bản của gói cài đặt).
2.1.2.2. Cấu hình DNS
Cấu hình master DNS
options {
listen-on port 53 { 127.0.0.1;192.168.1.1; };
#listen-on-v6 port 53 { ::1; };
directory"/var/named";

19
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
recursing-file "/var/named/data/named.recursing";
secroots-file "/var/named/data/named.secroots";
allow-query { localhost;192.168.1.0/24; };
};
zone "." IN {
type hint;
file "named.ca";
};
zone "uneti.edu.vn" IN{
type master;
file "forward.uneti.edu.vn";
};
zone "1.168.192.in-addr.arpa" IN{
type master;
file "reverse.uneti.edu.vn";
};
• Named.ca chứa địa chỉ của DNS root server trên toàn cầu.
• zone "uneti.edu.vn" là zone phân giải thuận trong miền nội bộ của
hệ thống.
• zone "1.168.192.in-addr.arpa" là zone phân giải nghịch trong miền
nội bộ. Phân giải trong miền nội bộ phụ thuộc rất lớn vào 2 file này.
+ Cấu hình file “forward.uneti.edu.vn” trong thư mục /var/named/

20
Hình 2.1: Nội dung file cấu hình phân giải thuận
+ Cấu hình file phần giải nghịch “reverse.uneti.edu.vn” trong thư mục
/var/named/
Hình 2.2: Nội dung file cấu hình phân giải ngược
Sau khi cấu hình xong file này và ping thành công 2 máy thì khi restart lại
dịch vụ, DNS slave tự động cập nhật các cấu hình bên máy Master qua file cấu
hình.

21
- Kiểm tra dịch vụ DNS phân giải trong nslookup
Hình 2.3: DNS phân giải trong nslookup
2.2. DỊCH VỤ DHCP
2.2.1. Giới thiệu DHCP
2.2.1.1. Dịch vụ cung cấp IP động DHCP
- Hệ thống cần cung cấp IP mỗi máy tính để các máy này có thể liên lạc
với nhau.
- Với mô hình mạng tương đối nhỏ việc cấp IP tương đối dễ dàng. Nhưng
với 1 mô hình mạng lớn thì việc cung cấp IP trở nên khó khăn.
=> Cần phải có một dịch vụ cung cấp IP tự động cho các máy client trong
hệ thống mạng
- DHCP là một dịch vụ cung cấp IP động cho các Client.
- Hoạt động theo mô hình Client – Server.
- Ngoài ra DHCP còn có nhiều tính năng khác cho client như: cung cấp
địa chỉ của máy tính dùng để giải quyết tên miền DNS, địa chỉ của một Gateway
router, …
2.2.1.2. Cấu hình DHCP server bao gồm bốn thông số sau:
- Options: Dùng để cung cấp các yếu tố cho phía client như địa chỉ IP, địa
chỉ subnet mask, địa chỉ Gateway, địa chỉ DNS …
- Scope: Một đoạn địa chỉ được quy định trước trên DHCP server dùng để
gán cho các máy client.
- Reservation: Là những đoạn địa chỉ dùng để “để dành” trong một scope
đã được quy định ở trên.
- Lease: Thời gian “cho thuê” địa chỉ IP đối với mỗi client.
3.2.2. Cấu hình và cài đặt
- Để cấu hình dịch vụ DHCP, bạn cần phải cài đặt gói dịch vụ DHCP. Có
2 cách cài đặt:

22
+ Cách 1: cài đặt từ đĩa cd
#rpm –ivhdhcp-*.rpm (với * là phiên bản của gói dịch vụ).
+ Cách 2: cài đặt bằng cách tải từ trên mạng
#yum –y install dhcp
- Kiểm tra gói cài đặt :# rpm –qa|grepdhcp
- Cấu hình
+ Bước 1: tạo file cấu hình dhcpd.conf bằng cách sử dụng câu lệnh
# nano /etc/dhcp/dhcpd.conf
+ Bước 2 : Sửa đổi file cấu hình
Hình 2.4: Nội dung file cấu hình dhcp server
Ý nghĩa của một số options:
• subnet … netmask … : địa chỉ subnet và netmask
• option router: Default gateway
• option domain-name: Domain name
• option domain-name-servers: IP DNS server
• range dynamic-bootp: vùng địa chỉ cấp cho các clients
• default-lease-time: thời gian mặc định cấp cho 1 client
• max-lease-time: thời gian tối đa cấp cho 1 client
+ Bước 3. Khởi động dịch vụ
• Khởi động dịch vụ DHCP:
# service dhcpd restart

23
• Để dịch vụ khởi động khi khởi động máy tính, dùng lệnh:
# chkconfig dhcpd on
• Để tắt dịch vụ, dùng lệnh:
# service dhcpd stop
+ Trên máy client win 7 : cmd -> ipconfig
Hình 2.5 : Hiển thị được domain trên máy Client
2.3. DỊCH VỤ TELNET
2.3.1. Giới thiệu telnet
- Telnet viết tắt của Terminal Network là một giao thức mạng.
- Telnet là một giao thức khách – chủ cho phép người quản trị điều khiển
máy chủ từ xa.
- Telnet sử dụng giao thức TCP để truy cập.Thường kết nối vào cổng 23
của máy chủ.
- Ngày nay người ta càng ít dùng telnet vì 3 nguyên nhân sau:
+ Càng ngày càng phát hiện các điểm yếu trong các daemon của telnet.
+ Telnet không mã hóa dữ liệu trên đường truyền, kể cả mật khẩu.
+ Telnet không chứng thực người dùng.
- Tuy nhiên telnet vẫn được dùng trong các trường hợp không cần mã hóa
thông tin như gỡ lỗi, tìm các sai sót trong các dịch vụ mạng, tham gia cộng
đồng online.

24
2.3.2. Cấu hình và cài đặt
Bước 1 : Cài đặt : yum install telnet-server –y
Bước 2 : Khởi động telnet và cho phép telnet khởi động cùng hệ thống ta
dùng :
# systemctl start telnet.socket && systemctl enable telnet.socket
Bước 3 : Cho phép firewall thêm Port 23 và khởi động lại tường lửa
# firewall-cmd --permanent --add-port=23/tcp && firewall-cmd --reload
Bước 4 : Thêm user và password mới
Bước 5 : Kiểm tra Port 23
# ss -tnlp|grep 23

25
Bước 6 : Cài đặt Putty và nhập địa chị mạng ở máy server vào ô HostName
Hình 2.6 : Giao diện PuTTy
Bước 7 : Đăng nhập user tạo ở Server rồi dùng câu lệnh để mở Telnet trên máy
Client
# systemctl status telnet-socker
Hình 2.7 : Màn hình đăng nhập Telnet bên Client

26
2.4.DỊCH VỤ SSH
2.4.1. Sơ lược về SSH
- SSH (Secure Shell) là một giao thức mạng tương tác giữa máy server và
máy client. Cung cấp các cơ chế mã hóa, bảo mật dữ liệu chống lại sự đánh cắp
trên đường truyền.
- SSH làm việc thông qua 3 bước:
+ Định danh host – xác định định danh của hệ thống tham gia phiên làm
việc ssh. Bằng cách trao đổi khóa, mối khóa gồm khóa công khai và khóa bí
mật.
+ Mã hóa - thiết lập kênh làm việc mã hóa bằng 3DES, IDEA, Blowfish,
MD5, ...
+ Chứng thực – xác thực người sử dụng có quyền đăng nhập vào hệ
thống. Có nhiều cách như chứng thực rhost, mật khẩu, RSA, ssh-keygen và ssh-
agent.
- Đặc điểm của SSH
+ Tính bí mật (Privacy) của dữ liệu thông qua việc mã hóa mạnh mẽ.
+ Tính toàn vẹn (integrity) của thông tin truyền, đảm bảo chúng không
bị biến đổi.
+ Chứng minh xác thực (authenticaiton) : nhận dạng được bên gởi và
bên nhận
+ Phân quyền (authrization): dùng để điều khiển truy cập đến tài khoản
+ Chuyển tiếp (forwarding) hoặc tạo đường hầm (tunneling) để mã hóa
những phiên làm việc dựa trên giao thức TCP/IP
Bước 1 : Cài đặt ssh : yum install openssh* -y
Bước 2 : Khởi động lại dịch vụ ssh sử dụng
# systemctl restart sshd.service
Bước 3 : Mở file vi /etc/ssh/sshd_config

27
Hình 2.8 : Nội dụng file SSH
+ PermitRootLogin yes: cho phép root có được SSH không ở đây chúng
ta bỏ dấu “ # “ đăng trước .
+ ClientAliveInterval 300: thời gian chờ để login là 300s
+ Port 22: mặc định port để ssh là 22, ta cũng có thể đổi thành 2222
+ PasswordAuthentication no: cho phép chứng thực bằng mật khẩu.
+ PubkeyAuthentication yes: chứng thực bằng key.
+ AllowUsers, DenyUsers, AllowGroups, DenyGroups : cho phép hay
từ chối những users hay groups nào được phép SSH.
+ LoginGraceTime: quy định số giây đăng nhập vào server, giả sử 400
= gần 7 phút, trong khoảng thời gian này nếu có user nào đăng kết nối vào
không thành công, truy cập không hợp lệ thì tự động disconnect

28
- Kết nối SSH qua phần mềm putty
Hình 2.9: Giao diện phần mềm PuTTY
- Đăng nhập và kiểm thử
Hình 2.10 : Hình ảnh đăng nhập thành công SSH trên Client

29
2.5. LDAP
2.5.1. Giới thiệu
- LDAP (Lightweight Directory Access Protocol) là giao thức truy cập
nhanh các dịch vụ thư mục - là một chuẩn mở rộng cho nghi thức truy cập thư
mục.
- LDAP được tạo ra đặc biệt cho hành động "đọc". Bởi thế, xác thực người
dùng bằng phương tiện "lookup" LDAP nhanh, hiệu suất, ít tốn tài nguyên, đơn
giản hơn là truy vấn đến 1 tài khoản người dùng trên CSDL
- LDAP dùng giao thức dạng Client/Server để truy cập dịch vụ thư mục.
Hình 2.11 : Mô hình client server
- LDAP chạy trên TCP/IP hoặc các dịch vụ hướng kết nối khác.
- Có các LDAP Server như: OpenLDAP, OPENDS, Active Directory, …
- Các đối tượng lưu trong LDAP gọi là entry
- Mỗi entry có nhiều thuộc tính và được phân biệt với nhau bởi globally-
unique Distinguished Name (DN)
- Mỗi entry có thuộc một type và có một hoặc nhiều value
- LDAP lưu trữ đối tượng theo cấu trúc cây
1. Open connection and bind
2. Kết quả thao tác bind
8. Search operation
7. Return entry #1
6. Return entry #2
5. Return code of search operation
4. Thao tác unbind
3. Đóng kết nối
LDAP client LDAP server

30
- Cấu trúc phản ánh về vị trí địa lý, tổ chức, chức vụ của các entry
Hình 2.12 : Cấu trúc cây trong ldap
- LDAP sử dụng Berkeley BD để nâng cao hiệu suất, khả năng co giãn và
tăng độ tin cậy
- LDAP chạy port 389
- LDAP over TLS chạy port 636
2.5.1.1. Phương thức hoạt động của LDAP
- Ldap dùng giao thức giao tiếp client/server
- Giao thức giao tiếp client/sever là một mô hình giao thức giữa một
chương trình client chạy trên một máy tính gởi một yêu cầu qua mạng đến cho
một máy tính khác đang chạy một chương trình sever (phục vụ).
- Chương trình server này nhận lấy yêu cầu và thực hiện sau đó nó trả lại
kết quả cho chương trình client
- Ý tưởng cơ bản của giao thức client/server là công việc được gán cho
những máy tính đã được tối ưu hoá để thực hiện công việc đó.
- Một máy server LDAP cần có rất nhiều RAM (bô nhớ) dùng để lưu trữ
nội dung các thư mục cho các thao tác thực thi nhanh và máy này cũng cần đĩa
cứng và các bộ vi xử lý ở tốc độ cao.
dn=example , dn=com
ou=people ou= hosts
ou=services
ou=staff ou=group ou=contacts
ou=admin ou=user

31
- Client mở một kết nối TCP đến LDAP server và thực hiện một thao tác
bind. Thao tác bind bao gồm tên của một directory entry và thông tin xác thực
sẽ được sử dụng trong quá trình xác thực, thông tin xác thực thông thường là
pasword nhưng cũng có thể là ID của người dùng.
- Sau khi thư mục có được sự xác định của thao tác bind, kết quả của thao
tác bind được trả về cho client. Client phát ra các yêu cầu tìm kiếm.
- Server thực hiện xử lý và trả về kết quả cho client.
- Server gửi thông điệp kết thúc việc tìm kiếm.
- Client phát ra yêu cầu unbind.
- Server đóng kết nối.
- LDAP là một giao thức hướng thông điệp
- Do client và sever giao tiếp thông qua các thông điệp, client tạo một
thông điệp (LDAP message) chứa yêu cầu và gởi nó đến cho server. Server
nhận được thông điệp và xử lý yêu cầu của client sau đó gởi trả cho client cũng
bằng một thông điệp LDAP.
Hình 2.13 : Luồng thông điệp giữa client server
- Nếu client tìm kiếm thư mục và nhiều kết quả được tìm thấy, thì các kết
quả này được gởi đến client bằng nhiều thông điệp.
1.Kết quả thao tác bind
2.Search operation
3.Return entry #1

32
Hình 2.14 : Những thông điệp Client gửi cho server
- Do nghi thức LDAP là giao thức hướng thông điệp nên client được phép
phát ra nhiều thông điệp yêu cầu đồng thời cùng một lúc. Trong LDAP,
message ID dùng để phân biệt các yêu cầu của client và kết quả trả về của
server.
Hình 2.15 : Nhiều kết quả tìm kiếm được trả về
- Việc cho phép nhiều thông điệp cùng xử lý đồng thời làm cho LDAP
linh động hơn các nghi thức khác.
- Ví dụ như HTTP, với mỗi yêu cầu từ client phải được trả lời trước khi
một yêu cầu khác được gởi đi, một HTTP client program như là Web browser
muốn tải xuống cùng lúc nhiều file thì Web browser phải thực hiện mở từng
kết nối cho từng file, LDAP thực hiện theo cách hoàn toàn khác, quản lý tất cả
thao tác trên một kết nối.
2.5.1.2. Các thao tác của giao thức LDAP
- LDAP có 9 thao tác cơ bản, chia thành 3 nhóm thao tác chính:
+ Thao tác thẩm tra (interrogation) : search, compare. Hai thao tác này cho
phép thực hiện thẩm tra trên thư mục.
1.Search operation, ,msqid =1
3.Return entry , msqid =1
2.Search operation, ,msqid =2
4.Return entry , msqid =2
5.Return code , msqid =2
6.Return code , msqid =1
1.Thực hiện thao tác tìm kiếm
2. Entry thứ 1 trả về cho clinet
3. Entry thứ 2 trả về cho client
N entry thứ N-1 trả về cho client
N+1 trả về mã thoát (Result code)

33
+ Thao tác cập nhật (update): add, delete, modify, modify DN ( rename ).
Những thao tác này cho phép thực hiện cập nhật thông tin trên thư mục.
+ Thao tác xác thực và điều kiển (authentiaction and control) : bind,
unbind, abandon. Thao tác bind cho phép client tự xác định được mình với thư
mục, thao tác này cung cấp sự xác nhận và xác thực chứng thư; unbind cho
phép client huỷ bỏ phân đoạn làm việc hiện hành và cuối cùng là thao tác
abandon cho phép client chỉ ra các thao tác mà kết quả client không còn quan
tâm đến nữa.
2.5.1.3. Mô hình LDAP Security
- Vấn đề cuối cùng trong các mô hình LDAP là việc bảo vệ thông tin trong
thư mục khỏi các truy cập không được phép. Khi thực hiện thao tác bind dưới
một tên DN hay có thể client một người vô danh thì với mỗi user có một số
quyền thao tác trên entry thư mục. Và những quyền nào được entry chấp nhận
tất cả những điều trên gọi là truy cập điều kiển (access control). Hiện nay LDAP
chưa định nghĩa ra một mô hình Access Control, các điều kiển truy cập này
được thiết lập bởi các nhà quản trị hệ thống bằng các server software.
2.5.1.4. LDAP Data Interchange Format (LDIF)
- Ldap định nghĩa ra LDIF là dạng văn bản để mô tả thông tin thư mục.
LDIF có thể mô tả một tập hợp các entry thư mục hay là tập hợp các cập nhật
lên dữ liệu lên thư mục có thể trao đổi cho nhau bằng cách dùng LDIF.
- File LDIF thường được sử dụng để import dữ liệu mới vào trong
directory của bạn hoặc thay đổi dữ liệu đã có. Dữ liệu trong file LDIF cần phải
tuân theo quy luật có trong schema của LDAP directory.
- Schema là một loại dữ liệu đã được định nghĩa từ trước trong directory
của bạn. Mọi thành phần được thêm vào hoặc thay đổi trong directory của bạn
sẽ được kiểm tra lại trong schema để đảm bảo sự chính xác. Lỗi vi phạm schema
sẽ xuất hiện nếu dữ liệu không đúng với quy luật đã có.
- Một entry là tập hợp của các thuộc tính, từng thuộc tính này mô tả một
nét đặt trưng tiêu biểu của một đối tượng. Một entry bao gồm nhiều dòng :
+ dn : distinguished name - là tên của entry thư mục, tất cả được viết
trên một dòng.
+ Sau đó lần lượt là các thuộc tính của entry, thuộc tính dùng để lưu giữ
dữ liệu. Mỗi thuộc tính trên một dòng theo định dạng là “kiểu thuộc tính : giá
trị thuộc tính”.

34
+ Thứ tự các thuộc tính không quan trọng, tuy nhiên để dễ đọc được
thông tin nên đặt các giá trị objectclass trước tiên và làm sao cho các giá trị của
các thuộc tính cùng kiểu ở gần nhau.
- Ví dụ: một mô tả của ldif
dn: o=it,dc=hcmute,dc=edu,dc=vn
objectClass: top
objectClass: organization
description: information technology
o: it given
Name: vungoc
uid: vungoc
cn: vungoc
telephoneNumber: 12345678910
sn: tuanh
entryUUID: fbcb85d5-e17c-494e-a36d-5932fb503125
createTimestamp: 20100326000527Z
- Một số các thuộc tính của file ldif
Tên Mô tả
dn Distinguished name: tên gọi để phân biệt
c Country: 2 ký tự viết tắt của quốc gia
o Organization- tổ chức
ou Organization unit: đơn vị tổ chức
objectClass Mỗi giá trị objectClass hoạt động như một
khuôn mẫu cho các dữ liệu được lưu giữ
trong một entry. Nó định nghĩa một bộ các
thuộc tính phải được trình bày trong entry
(Ví dụ : entry này có giá trị của thuộc tính
objectClass là eperson, mà trong eperson
có quy định cần có các thuộc tính là tên,
email, uid ,…thì entry này sẽ có các thuộc
tính đó), còn bộ các thuộc tính tùy chọn
có thể có hoặc có thể không có mặt.
givenName tên
uid id người dùng

35
cn common name – tên thường gọi
telephoneNumber Số điện thoại
sn Surname: họ
userPassword Mật khẩu
mail Địa chỉ mail
facsimileTelephoneNumber Số fax
createTimestamp thời gian tạo ra entry này
creatorsName tên người tạo ra entry này
pwdChangedTime thời gian thay đổi mật khẩu
entryUUID id của entry
Phần này trình bày các bước cài đặt và cấu hình LDAP trên DC server.
2.5.2.1. Cài đặt Berkeley Database
Truy cập :
http://www.oracle.com/technetwork/products/berkeleydb/downloads/ind
ex.html
- Giải nén
- Vào thư mục db-.NC/build_unix
- ../dist/configure
- make
- make install
- Thêm biến môi trường trong file /etc/profile - export
LD_LIBRARY_PATH="/usr/lib:/usr/local/lib:/usr/local/BerkeleyDB.18.1.32/
lib:/usr/lib/open ssl"
2.5.2.2. Cài đặt OpenLdap
- Chuẩn bị trước khi cài OpenLdap
+ Tắt firewalld :
systemctl stop firewalld
systemctl disable firewalld

36
+ Tắt Selinux:
sudo setenforce 0
sedi's/SELINUX=enforcing/SELINUX=disabled/g'/etc/sysconfig/selinux
sedi's/SELINUX=permissive/SELINUX=disabled/g'/etc/sysconfig/selinux
sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config
sed-i 's/SELINUX=permissive/SELINUX=disabled/g' /etc/selinux/config
+ Khởi động lại máy để lấy lại cấu hình mới nhất : init 6
+ Cài đặt epel-release và cập nhật các gói phần mềm :
yum install epel-release -y
yum update –y
Cài đặt OpenLDAP#
+ Cài đặt openldap-servers và openldap-clients:
yum -y install openldap-servers openldap-clients
+ Sao chép file cấu hình và phân quyền :
cp/usr/share/openldapservers/DB_CONFIG.example/var/lib/ldap/DB_C
ONFIG
chown ldap. /var/lib/ldap/DB_CONFIG
+ Khởi động slapd:
systemctl start slapd
systemctl enable slapd
+ Thiết lập LDAP admin password, tạo mật khẩu :
slappasswd
New password:
Re-enter new password:
{SSHA}adminpasswd
+ Thêm mới file chroot.ldif:
cat > chrootpw.ldif << EOF
dn: olcDatabase={0}config,cn=config
changetype: modify

37
add: olcRootPW
olcRootPW: {SSHA}adminpasswd
EOF
+ Chạy lệnh sau để update thông từ file chroot.ldif:
ldapadd -Y EXTERNAL -H ldapi:/// -f chrootpw.ldif
Import các schemas:
ldapadd -Y EXTERNAL -H ldapi:/// -f
/etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd-YEXTERNAL-Hldapi:///-
f/etc/openldap/schema/inetorgperson.ldif
+ Thiết lập Manager Password, tạo mật khẩu :
slappasswd
New password:
Re-enter new password:
{SSHA}managerpassword
Thêm mới file chdomain.ldif:
cat > chdomain.ldif << EOF
dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess:{0}to*bydn.base="gidNumber=0+uidNumber=0,cn=peercr
ed,cn=external,cn=auth"readbydn.base="cn=Manager,dc=nhanhoa,dc=local
" read by * none
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=nhanhoa,dc=local

38
changetype: modify
replace: olcRootDN
olcRootDN: cn=Manager,dc=nhanhoa,dc=local
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}managerpassword
changetype: modify
add: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange by
dn="cn=Manager,dc=nhanhoa,dc=local" write by anonymous auth by
self write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by dn="cn=Manager,dc=nhanhoa,dc=local" write by
* read
EOF
+ Chạy lệnh sau để update thông tin:
ldapmodify -Y EXTERNAL -H ldapi:/// -f chdomain.ldif
Thêm file basedomain.ldif:
cat > basedomain.ldif << EOF
dn: dc=nhanhoa,dc=local
objectClass: top
objectClass: dcObject
objectclass: organization
o: Nhanhoa Software

39
dc: Nhahoa
dn: cn=Manager,dc=nhanhoa,dc=local
objectClass: organizationalRole
cn: Manager
description: Directory Manager
dn: ou=People,dc=nhanhoa,dc=local
objectClass: organizationalUnit
ou: People
dn: ou=Group,dc=nhanhoa,dc=local
objectClass: organizationalUnit
ou: Group
EOF
+ Update thông tin của basedomain:
ldapadd -x -D cn=Manager,dc=srv,dc=world -W -f basedomain.ldif
Enter LDAP Password: # password của manager
+ Sau khi thực hiện xong các bước chúng ta sử dụng lệnh sau để kiểm
tra các entry:
slapcat
+ Để thêm mới một entry chúng ta cần tạo ra file ldif và update thông
tin các file ldif đó và dùng slapcat để kiểm tra.
+ Ví dụ về thêm một entry user :
cat > adduser_1.ldif << EOF

40
dn: cn=adduser_1,ou=People,dc=nhanhoa,dc=local
objectClass: person
objectClass: inetOrgPerson
userPassword:: V2VsY29tZTEyMw==
sn: user
cn: adduser_1
EOF
Update file adduser_1.ldif để thông tin user được thêm vào cây LDAP :
ldapadd -x -D cn=Manager,dc=nhanhoa,dc=local -W -f adduser_1.ldif
2.5.2.3. Cài đặt PHPLDAPADMIN để quản lý LDAP bằng giao diện web
- Cài đặt httpd
yum -y install httpd
+ Mở file /etc/httpd/conf/httpd.conf và sửa đổi các thông tin sau:
# Tại dòng 151 sửa như sau :
AllowOverride All
# Tại dòng 164, sửa thông tin như sau:
DirectoryIndex index.html index.cgi index.php
# Thêm vào cuối file những cấu hình sau:
ServerTokens Prod
KeepAlive On
+ Khởi động httpd:
systemctl start httpd
systemctl enable httpd
- Cài đặt PHP
yum -y install php php-mbstring php-pear
+ Mở file /etc/php.ini và sửa lại các thông tin như sau:
# Tại dòng 878 sửa lại timezone: date.timezone = "Asia/Ho_Chi_Minh"
+ Tải và cài dặt epel 7:
yum install wget -y
wget http://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm

41
rpm -ivh epel-release-latest-7.noarch.rpm
+ Cài đặt phpLDAPadminyum --enablerepo=epel -y install phpldapadmin
+ Mở file /etc/phpldapadmin/config.php và sửa lại thông tin như sau:
# Tại dòng 398:
$servers->setValue('login','attr','dn');
// $servers->setValue('login','attr','uid');
+ Cho phép truy cập vào phpLDAPadmin:
cat > /etc/httpd/conf.d/phpldapadmin.conf << EOF
Alias /phpldapadmin /usr/share/phpldapadmin/htdocs
Alias /ldapadmin /usr/share/phpldapadmin/htdocs
<Directory /usr/share/phpldapadmin/htdocs>
<IfModule mod_authz_core.c>
# Apache 2.4
Require all granted
</IfModule>
<IfModule !mod_authz_core.c>
# Apache 2.2
Order Deny,Allow
Deny from all
Allow from 127.0.0.1
Allow from ::1
</IfModule>
</Directory>
EOF
+ Khởi động lại httpd:
systemctl restart httpd

42
+ Truy cập : 127.0.0.1/phpldapadmin
Hình 2.16 : Giao diện web phpldapadmin
2.6. DỊCH VỤ NFS
2.6.1. Giới thiệu NFS
- Phát triển bởi Sun Microsystem năm 1984
- Cho phép client truy cập share file trên hệ thống mạng như local thông
qua Open Network Computing Remote Procedure Call (ONC RPC)
- Gồm các version 2, 3 và 4
+ NFSv2
• Truyền dữ liệu bằng UDP
• Truyền file với kích thước tối đa 2GB
• Được định nghĩa trong RFC1094
+ NFSv3
• Truyền dữ liệu bằng UDP và TCP
• Truyền file với kích thước lớn hơn 2GB
• Hỗ trợ chế độ asynchronous
• Được định nghĩa trong RFC1813
• Synchronous: Khi dữ liệu thay đổi thì NFS sẽ ghi vào server buffer
cache và sau đó server buffer cache sẽ ghi vào disk. Client phải đợi quá trình
này hoàn tất
• Asynchronous: Khi dữ liệu thay đổi thì NFS sẽ ghi vào server buffer
cache. Client không phải đợi quá trình ghi vào disk. Hệ thống hoàn toàn tin
tưởng server buffer cache sẽ ghi thành công vào disk

43
+ NFSv3.1
• Cải thiện performance
• Nâng cao bảo mật
• Hỗ trợ clustering giữa các server và truy cập song song
- NFS chia sẽ file, thư mục theo qui định trong file /etc/exports
- /etc/exports là file chứa danh sách các mount point để client truy cập.
Mỗi dòng là một mount point
- Cấu trúc mỗi dòng /etc/exports như sau
<share_folder> <host1>(<options>)…..<hostN>(<options>)
/data 192.168.1.1(rw) 192.168.1.2(ro)
+ Host: hostname và IP
+ Group: @
+ Wildcard: ? *
+ Network: A.B.C.D/X
- Ngoài ra, NFS còn đỏi hỏi phải có một Daemon quan trọng dùng để quản
lý các kết nối đó là Portmap. Mặc định portmap được cài đặt sẳn trên hệ thống.
Portmap listen trên TCP port 111.
2.6.2.1. Các option
- secure (insecure): source port của client phải nhỏ hơn 1024
- Rw: cho phép client thay đổi trên share folder
- Ro: chỉ cho phép đọc - noaccess: không cho phép truy cập
- sync (async): đồng bộ hay không đồng bộ
- root_squash: không ánh xạ uid, gid giữa server và client (tất cả đều là
nfsnobody)
- no_root_squash: ánh xạ uid, gid giữa server và client
2.6.2.2. Cài đặt
- Server cài đặt
+ nfs-utils-lib
+ nfs-utils
+ rpcbind

44
- Client cài đặt: nfs-utils-lib
2.6.2.3. Cấu hình
– Tạo thư mục chia sẻ tài nguyên trên server :
/var/nfs/share
– Sửa file /etc/exports để tạo mountpoint export, thêm nội dung sau:
/data 192.168.1.0/24 (rw, async) để chia sẻ cho mạng 192.168.1.0
– Khởi động NFS Server
# systemctl start rpcbind nfs-server
– Đặt NFS Server khởi động cùng server
# systemctl enable rpcbind nfs-server
– Kiểm tra port sử dụng bởi NFS
+ Rpcinfo-p
Hình 2.17 : Hiển thị các Port sử dụng NFS
– Cấu hình Firewall để cho phép truy cập
# firewall-cmd --permanent --add-service=nfs
#firewall-cmd --permanent --add-service=mountd

45
#firewall-cmd --permanent --add-service=rpc-bind
#firewall-cmd --permanent --add-port=2049/tcp
#firewall-cmd --permanent --add-port=2049/udp
#firewall-cmd –reload
– Kiểm tra mount point trên server
#showmount -e localhost
2.7. DỊCH VỤ SAMBA
2.7.1. Giới thiệu SAMBA
- Samba được tạo ra bởi Andrew Tridgell 1991
- Được phát triển dựa trên giao thức SMB và CIFS
- Samba là giao thức dùng để giao tiếp giữa Linux và Window với một số
chức năng : Chia sẻ file, thư mục
- Distributed Filesystem (MS-DFS) namespace
- Quản lý printer, printer setting tập trung
- Chứng thực client login vào Window domain
- Cung cấp Windows Internet Name Service (WINS)
Data Printer
Samba Server
Window Client

46
Hình 2.18 : Mô hình samba
- Các thành phần cơ bản của SAMBA
+ Tiến trình smbd: Lắng nghe trên port 139, trực tiếp xử lí các request
truy cập đến thư mục chia sẻ trên Linux
+ Tiến trình nmbd: Lắng nghe trên port 137, chịu trách nhiệm cung cấp
tên NetBIOS của samba server cho các request kết nối.
+ Tiến trình Winbind: Giao tiếp với DC và cung cấp thông về nhóm của
user
2.7.2. Cài đặt và cấu hình SAMBA
3.7.2.1. Cài đặt :
- Server cài đặt: yum install samba-common samba
- Client cài: yum install samba-client
3.7.2.2. Cấu hình :
- smbd -V : Kiểm tra version của samba
- testparm -s /etc/samba/smb.conf: Kiểm tra file cấu hình

47
- Tạo một thư mục tại địa chỉ : /samba/anonymous_share và tiến hành set
full permission cho thư mục. Bạn cũng có thể đặt tên thư mục tùy theo ý thích
của mình.
# mkdir -p /samba/anonymous_share
# chmod -R 0777 /samba/anonymous_share
- Các port sử dụng trong SAMBA:
+ 137/udp: NetBIOS network browsing (nmbd).
+ 138/udp: NetBIOS name service (nmbd).
+ 139/tcp: File và printer sharing (smbd)
+ 445/tcp: NetBIOS-less CIFS port (smbd).
+ 901/tcp: SWAT giao diện web
- File cấu hình chính của SAMBA vi /etc/samba/smb.conf
[global]
dos charset = CP932
map to guest = Bad User
printcap name = cups
security = USER
server max protocol = SMB2
idmap config * : backend = tdb
cups options = raw
hosts allow = 127. 192.168.1.
[homes]
browseable = No
comment = Home Directories
inherit acls = Yes
read only = No
valid users = %S %D%w%S

48
[printers]
browseable = No
comment = All Printers
create mask = 0600
path = /var/tmp
printable = Yes
[print$]
comment = Printer Drivers
create mask = 0664
directory mask = 0775
force group = @printadmin
path = /var/lib/samba/drivers
write list = @printadmin root
[Anonymous share]
create mask = 0777
directory mask = 0777
guest ok = Yes
guest only = Yes
path = /samba/anonymous_share
read only = No
– Cấu hình SE Linux :
Chỉnh giá trị samba_enable_home_dirs thành On nếu bạn muốn share thư
mục home qua Samba :
# setsebool -P samba_enable_home_dirs on
Nếu bạn tạo một thư mục mới, chẳng hạn như là các thư mục ở gốc, hãy
gắn nhãn chúng là samba_share_t, khi đó SELinux sẽ để cho Samba đọc và viết
trên nó. Hãy nhớ đừng gắn chúng với các nhãn như /etc/ và /home/.

49
Ở trường hợp của chúng ta, đã tạo thư mục anonymous, vậy hãy gắn nhãn
nó như bên dưới :
# chcon -t samba_share_t /samba/anonymous_share/
Còn nếu chúng ta không muốn bị bối rối với SELinux, hãy disable nó theo
hướng dẫn bên dưới :
Mở file SELinux theo đường dẫn /etc/sysconfig/selinux :
# vi /etc/sysconfig/selinux
– Set giá trị của SELinux thành disable :
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of these two values:
# targeted - Targeted processes are protected,
# mls - Multi Level Security protection.
SELINUXTYPE=targeted
– Reset máy để thay đổi có hiệu lực.

50
- Bên máy Win 7 , Bấm vào Start -> run. Điền vào địa chỉ IP của máy Samba
server theo hình bên dưới và tạo folder trong file share rồi sang máy server
kiểm tra
Hình 3.19 : Hiển thị mục share bên phía Server
– Kiểm tra folder vừa được tạo với lệnh :
ls -l /samba/anonymous_share/
– Được kết quả như sau :
total 0
drwxrwxrwx 2 nobody nobody 6 Apr 25 10:39 uneti
CHƯƠNG 3 : BẢO MẬT HỆ THỐNG VÀ CÁC GIẢI PHÁP
CHO VIỆC KẾT NỐI MẠNG DÙNG RIÊNG RA INTERNET
3.1 DỊCH VỤ FIREWALL
3.1.1. Giới thiệu
- Firewall là thiết bị phần cứng hay phần mềm có khả năng ngăn chặn,
kiểm tra thông tin của các packet đi qua thiết bị đó như IP, port, header…
- Tùy theo từng loại firewall có thể lọc tới các layer khác nhau trong mô
hình OSI
- Iptables là firewall mặc định trong mô hình OSI có thể lọc packet tới
layer 4

51
- Bất kỳ Packet nào muốn đi vào firewall đều phải đi qua Input Chain.
- Bất kỳ Packet nào từ firewall muốn đi ra ngoài đều phải đi qua Output
Chain
- Bất kỳ Packet nào từ PC khác gửi đếnmột Destination khác đều mà qua
firewall phải đi qua Forward Chain
- Theo mặc định thì InputChain và Output Chain luôn được cấu hình ở chế
độ Accept. Còn Forward luôn được thiết lập ở chế độ Deny
Hình 3.1 : Luồng sự kiện đi qua firewall
- Các bảng trong IPTABLES
+ Mangle: chịu trách nhiệm thay đổi các bits dịch vụ trong TCP header
+ Filter: chịu trách nhiệm lọc gói dữ liệu. Dựa theo 3 cách sau:
• Forward chain: lọc gói khi đến các server khác
• Input chain: lọc gói khi vào trong firewall
• Output chain: lọc gói khi ra khỏi firewall
+ NAT: gồm có 2 loại sau:
• Pre-routing chain: thay đổi địa chỉ đích của gói tin trước khi xảy ra
quá trình định tuyến (DNAT)
• Post-routing chain: thay đổi địa chỉ nguồn của gói tin sau khi định
tuyến (SNAT)

52
3.1.2.1. Cài đặt:
Bắt đầu với CentOS 7, FirewallD thay thế iptables làm công cụ quản lý
tường lửa mặc định.
Giờ vô hiệu hóa dịch vụ FirewallD và cài đặt iptables.
Điều kiện tiên quyết : Trước khi bắt đầu với hướng dẫn, hãy đảm bảo bạn đã
đăng nhập với tư cách là người dùng có quyền sudo
Bước 1 : Vô hiệu hóa Tường lửa
Để tắt Tường lửa trên hệ thống CentOS 7 của bạn , hãy làm theo các bước sau:
1. Nhập lệnh sau để dừng dịch vụ FirewallD:
# systemctl stop firewalld
2. Vô hiệu hóa dịch vụ FirewallD để tự động khởi động khi khởi động hệ
thống:
# systemctl disable firewalld
3. Che dấu dịch vụ FirewallD để ngăn chặn nó bắt đầu bởi một dịch vụ
khác:
# systemctl mask --now firewalld
Bước 2 : Cài đặt và kích hoạt Iptables
Thực hiện các bước sau để cài đặt Iptables trên hệ thống CentOS 7:
1. Chạy lệnh sau để cài đặt iptables-servicegói từ kho CentOS:
# yum install iptables-services
2. Khi gói được cài đặt bắt đầu dịch vụ Iptables:
# systemctl start iptables
# systemctl start ip6tables
3. Cho phép dịch vụ Iptables tự động khởi động khi khởi động hệ thống:
# systemctl enable iptables
# systemctl enable ip6tables
4. Kiểm tra trạng thái dịch vụ iptables với:
# systemctl status iptables
# systemctl status ip6tables
5. Để kiểm tra các quy tắc iptables hiện tại, hãy sử dụng các lệnh sau:

53
# iptables -nvL
# ip6tables -nvL
Theo mặc định, chỉ có cổng SSH 22 được mở. Đầu ra sẽ trông giống như
thế này:
Hình 3.2 : Kết quả hiện thị thành công cài đạt Iptable tại Port 22
- Target là cơ chế hoạt động trong iptables, dùng để nhận diện và kiểm tra
packet. Các target được xây dựng sẵn trong iptables như: + ACCEPT: iptables
chấp nhận chuyển data đến đích.
+ DROP: iptables sẽ xóa những packet này.
+ LOG: thông tin của packet sẽ gởi vào syslog daemon iptables tiếp tục
xử lý luật tiếp theo trong bảng mô tả luật. Nếu luật cuối cùng không match thì
sẽ drop packet. Với tùy chọn thông dụng là --log-prefix=”string”
+ REJECT: ngăn chặn packet và gởi thông báo cho sender. Với tùy
chọn thông dụng là --reject-with qualifier
+ DNAT: thay đổi địa chỉ đích của packet. Tùy chọn là --to-destination
ipaddress. + SNAT: thay đổi địa chỉ nguồn của packet. Tùy chọn là --to-source
<address>[address][:<port>-<port>]
+ MASQUERADING: được sử dụng để thực hiện kỹ thuật NAT (giả
mạo địa chỉ nguồn với địa chỉ của interface của firewall). Tùy chọn là
[--to-ports <port>[-<port>]]chỉ định dãy port nguồn sẽ ánh xạ với dãy
port ban đầu
- Các options trong iptables

54
+ t <table>: Chỉ định bảng cho iptables bao gồm: filter, nat, mangle
tables.
+ j <target>: Nhảy đến một target chain khi packet thỏa luật hiện tại.
+ A: Thêm luật vào cuối iptables chain.
+ F: Xóa tất cả các luật trong bảng lựa chọn
+ p <protocol-type>: Mô tả các giao thức bao gồm: icmp, tcp, udp và
all
+ s <ip-address>: Chỉ định địa chỉ nguồn
+ d <ip-address>: Chỉ định địa chỉ đích
+ i <interface-name>: Chỉ định “input” interface nhận packet
+ o <interface-name>: Chỉ định “output” interface chuyển packet ra
ngoài
- file cấu hình vi /etc/sysconfig/iptables
Hình 3.2 : Nội dung file cấu hình iptables
- Bước 1: Xóa tất cả các rules
+ iptables -F
- Bước 2: Đặt rules mặc định cho các chain là DROP hay ACCEPT
+ iptables -P INPUT DROP
+ iptables -P OUTPUT DROP
+ iptables -P FORWARD DROP
- Bước 3: Có chép các gói tin liên quan ra vào hệ thống
+ iptables -A INPUT -m state --state ESTABLISHED,RELATED -j
ACCEPT

55
+ iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j
ACCEPT
+ iptables -A FORWARD -m state --state ESTABLISHED,RELATED
-j ACCEPT
- Bước 4: Cấu hình các rules cho các tables và các chain theo ý muốn
+ vd1: cấu hình cho phép ssh vào firewall
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
+ vd2: cho phép từ iptables ping ra ngoài
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
+ vd3: Cho phép mạng internal truy cập internet
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p udp --dport 53 -j ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE
+ vd4: Chuyển đổi địa chỉ đích. Muốn truy cập google.com bằng địa
chỉ 1.1.1.1
iptables -t nat -A PREROUTING -i eth1 -d 1.1.1.1 -j DNAT --to-
destination 73.125.223.194
+ vd5: NAT webserver địa chỉ 172.16.1.152 ra mạng internet
iptables -A FORWARD -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -d 192.168.1.151 -p tcp --
dport 80 -j DNAT --to-destination 172.16.1.152:80
+ vd6: cấu hình proxy và iptables transparent port mặc định của proxy
3128
+ cấu hình phân giải DNS
iptables -A INPUT -i eth0 -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT
+ cấu hình cho ra web
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT
+ cấu hình forward DNS và Web giữa 2 interface của firewall
iptables -A FORWARD -p udp --dport 53 -j ACCEPT

56
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
+ cấu hình NAT
iptables -A INPUT -i eth1 -p tcp -m multiport --dport 80,3128 -j
ACCEPT
iptables -t nat -A PREROUTING -i eth1 -d 0/0 -p tcp --dport 80 -j
DNAT --todestination 192.168.1.151:3128
+ Đối với mô hình mạng đã đề xuất. Cấn cấu hình cho client mạng nội
bộ truy cập đến các sever. Đa phần các rule này là FORWARD vì firewall chỉ
làm trung gian chuyển tiếp giữa client và server. Tùy theo dịch vụ, sẽ mở port
tương ứng.
+ Danh sách mô tả các luật:
• Client xin địa chỉ IP, firewall làm DHCP replay agent nhận yêu cầu
từ client và gởi đến DHCP server nên loại luật là INPUT và OUPUT, firewall
mở port 67,68.
• Client phân giải các địa chỉ IP trong nội bộ phải trỏ prefer DNS đến
DNS server. Ở đây firewall chỉ làm nhiệm vụ chuyển tiếp nên rule là
FORWARD, mở port 53.
• Để client sử dụng được dịch vụ SAMBA, server cần mở port
137,138,139 và 445. Rule là FORWARD.
• Để client sử dụng được dịch vụ NFS, server cần mở port 111,
2049, 32803, 32769, 892, 875, 662. Rule là FORWARD. Trong NFS server,
chỉnh sửa file/etc/sysconfig/nfs.Uncommand các dòng sau:
LOCKD_TCPPORT=32803LOCKD_UDPPORT=32769
MOUNTD_PORT=892 STATD_PORT=662
• Để client sử dụng truy cập web, server cần mở port 80. Rule là
FORWARD.
• Để client sử dụng truy cập FTP, server cần mở port 20, 21. Rule là
FORWARD.
• Để client sử dụng được dịch vụ mail, server cần mở port 25, 110.
Rule là FORWARD.
• Để client sử dụng được dịch vụ VPN, server cần mở port 1723.
Rule là FORWARD.

57
• Để client sử dụng truy cập DC server, server cần mở port 389, 636.
Rule là FORWARD
+ Cấu hình client xin ip
+ Cấu hình cho nội bộ ra ngoài internet
+ Cấu hình truy cập web
+ Cấu hình mở port ftp
+ Cấu hình truy cập DNS
3.2. DỊCH VỤ PROXY
3.2.1. Giới thiệu proxy
- Proxy là một server để forward các request của client đến nơi nó cần đến
và nhận kết quả trả về cho client
- Những chương trình client của người sử dụng sẽ qua trung gian proxy
server thay thế cho server thật sự mà người sử dụng cần giao tiếp.
- Proxy server xác định những yêu cầu từ client và quyết định đáp ứng hay
không đáp ứng, nếu yêu cầu được đáp ứng, proxy server sẽ kết nối với server
thật thay cho client và tiếp tục chuyển tiếp đến những yêu cầu từ clientđến
server, cũng như đáp ứng những yêu cầu của server đến client. Vì vậy, proxy
server giống cầu nối trung gian giữa server và client .

58
Hình 3.23 : Vị trí proxy với client và server.
- Phân loại proxy
+ Theo mức độ ẩn danh
• Anonymous: Đôi khi còn được gọi là web proxy, giúp người dùng
giấu IP.
• High Anonymity: Mức độ che dấu tung tích cao hơn anonymous.
Http Proxy hoàn toàn không gửi đi bất kì thông số nào của các .
HTTP_X_FORWARDED_FOR,HTTP_VIAvàHTTP_PROXY_CONNE
CTION
Do vậy Internet Host không thể biết bạn đang dùng Proxy server, cũng như
không phát hiện được real IP của bạn.
• Transparent: Proxy xuyên suốt, user không nhận thức được mình
đang truy cập internet qua một “cổng giám sát”. Yêu cầu truy cập của Client
đước chuyển đến gateway sau đó gateway chuyển sang Proxy server xử lý. User
chỉ cần thiết lập địa chỉ IP của gateway do Admin cung cấp, mà không phải xác
lập các thông số Proxy trong trình duyệt cũng như Internet applications khác.
+ Theo khả năng hỗ trợ
• HTTP/HTTPS Proxy: Các proxy servers sẵn sàng cho các dịch vụ
thông thường trên internet, ví dụ như: một HTTP proxy được dùng cho truy cập
Web, một FTP proxy được dùng cho truyền File.
• SOCKS hay Sockets: SOCKS ban đầu là hệ thống Proxy được sủ
dụng cho các traffic như FTP, Telnet, .., nhưng không dành cho HTTP.

59
SOCKS4 kiểm soát các TCPconnections (là phần lớn các Application trên
Internet), SOCKS5 còn hỗ trợ thêm UDP, ICMP, xác thực User (user
authentication) và giải quyết hostname (DNSservice). SOCKS bắt buộc Client
phải được cấu hình để chuyển trực tiếp các yêu cầu đến SOCKS server, hoặc
ngược lại SOCKS driver sẽ ngăn chặn các Clients chuyểncác yêu cầu
nonSOCKS application.
• CGI Proxy server: Hỗ trợ giao thức trên Net là HTTP (có khi hỗ trợ
HTTPS – HTTP Security & FTP). Được cung cấp qua 1 số website dưới dạng
nhập 1 URL vào 1 textbox. CGI proxy được biết đến như là một proxy web
miễn phí. Chỉ cần mở trang này, nhập URL trong "URL", và nhấp vào "Go"
(hoặc "Surf" hoặc "Submit", vv ...). Bạn sẽ đi đến các trang web yêu cầu, nhưng
URL sẽ là một "ảo thư mục con" của CGI proxy
• FTP Proxy server: Loại proxy này được chuyên biệt hóa để chỉ làm
việc với các máy chủ truyền file (FTP servers).
• SSL Proxy server: Hỗ trợ mã hóa dữ liệu trên đường truyền, hỗ trợ
xác thực cả 2 phía.
- Các chức năng của proxy - squid
+ Cahing
+ NAT
+ Filtering

60
3.2.2.1. Cài đặt: dùng lệnh yum install squid
Bước 1 : Mở file cấu hình Squid : # nano /etc/squid/squid.conf
Hình 3.4 : File cấu hình Squid
Bước2 : Thay 10.0.0.0/8 thành địa chỉ mạng máy Server 192.168.11.0/24
trong file squid.conf rồi sau đó lưu file lại.
Bước 3 : Cấu hình tường lửa Iptables cho Squid
# nano /etc/systemconf/iptables
Thêm câu lệnh để cho phép Squid chạy cổng HTTP-Port mặc định là
3128 A INPUT -p tcp -m tcp --dport 3128 -j ACCEPT . Rồi sau đó lưu file lại.
Bước 4 : Khởi động lại dịch vụ Iptables
# service iptables restart
Bước 5 : Khởi động dichj vụ Squid
# systemctl start squid
#systemctl enable squid

61
Bước 6 : Vào web cấu hình lại mạng rồi sau đó trình duyệt lại để kiểm tra
Hình 3.5 : Cấu hình Proxy cho công cụ trình duyệt Mozilla Firefox
Hình 3.6 : Màn hình chứng thực thành công
3.2.2.3. Cài đặt và cấu hình Squidclamav
- Squidclamav là một phần mở rộng của squid kết hợp với antivirus để tạo
thêm một lớp bảo vệ cho hệ thống

62
- Squid proxy sẽ chuyển tất cả nội dung qua dịch vụ clamd. Nhưng bản
thân squid không làm được như vậy cho nên ta cần một dịch vụ trung gian là
c-icap.
- SquidClamav được cài như một module của c-icap - Cài đặt clamav
- Cài đặt clamav
+ tải xuống từ EPEL
# yum --enablerepo=epel -y install clamav clamav-update
# sed -i -e "s/^Example/#Example/" /etc/freshclam.conf
+ cập nhật tệp mẫu
# freshclam
+ Quét virus
# clamscan --infected --remove --recursive /home
+ Bây giờ test thử , tạo một con virus giả
#curl -O http://www.eicar.org/download/eicar.com
+ Dùng lệnh để xoá con virus vừa tạo
# clamscan --infected --remove --recursive .
3.4. MAIL SERVER
3.4.1. Giới Thiệu Về Mail Server:
3.4.1.1. Mail Server
Mail server là máy chủ dùng để nhận và gửi mail, với các chức năng chính:
- Quản lý account
- Nhận mail của người gửi và gửi cho người nhận hoặc mail server của
người nhận.

Luận văn Xây dựng hệ thống mạng doanh nghiệp sử dụng mã nguồn mở

Luận văn Xây dựng hệ thống mạng doanh nghiệp sử dụng mã nguồn mở

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Luận văn Xây dựng hệ thống mạng doanh nghiệp sử dụng mã nguồn mở

Similar to Luận văn Xây dựng hệ thống mạng doanh nghiệp sử dụng mã nguồn mở (20)

More from Aubrey Yundt

More from Aubrey Yundt (9)

Recently uploaded

Recently uploaded (20)

Luận văn Xây dựng hệ thống mạng doanh nghiệp sử dụng mã nguồn mở