Tài liệu Triển khai và bảo mật hệ thống mạng doanh nghiệp trên nền tảng ảo hóa vmware

LỜI MỞ ĐẦU Hiện nay ngành công nghệ thông tin phát triển nhanh với công nghệ ngày càng tiên tiến và hiện đại. Một trong những thành tựu lớn nhất mà ngành công nghệ thông tin mang lại cho cuộc sống con người là mạng máy tính. Đây là một môi trường thông tin liên kết con người trên toàn cầu lại với nhau, việc trao đổi thông tin bây giờ đã trở nên nhanh chóng, tiện lợi hơn bao giờ hết. Mạng máy tính được hình thành từ nhu cầu muốn chia sẻ tài nguyên và dùng chung nguồn dữ liệu. Máy tính cá nhân là công cụ tuyệt vời giúp tạo dữ liệu, bảng tính, hình ảnh, và nhiều dạng thông tin khác, nhưng không cho phép chia sẻ dữ liệu bạn đã tạo nên. Nếu không có hệ thống mạng, dữ liệu phải được in ra giấy thì người khác mới có thể hiệu chỉnh và sử dụng được hoặc chỉ có thể sao chép lên đĩa mềm do đó tốn nhiều thời gian và công sức. Khi người làm việc ở môi trường độc lập mà nối máy tính của mình với máy tính của nhiều người khác, thì ta có thể sử dụng trên các máy tính khác và cả máy in. Mạng máy tính được các tổ chức sử dụng chủ yếu để chia sẻ, dùng chung tài nguyên và cho phép giao tiếp trực tuyến bao gồm gửi và nhận thông điệp hay thư điện tử, giao dịch, buôn bán trên mạng, tìm kiếm thông tin trên mạng. Một số doanh nghiệp đầu tư vào mạng máy tính để chuẩn hoá các ứng dụng chẳng hạn như: chương trình xử lý văn bản, để bảo đảm rằng mọi người sử dụng cùng phiên bản của phần mềm ứng dụng dễ dàng hơn cho công việc. Các doanh nghiệp và tổ chức cũng nhận thấy sự thuận lợi của E-mail và các chương trình lập lịch biểu. Nhà quản lý có thể sử dụng các chương trình tiện ích để giao tiếp, truyền thông nhanh chóng và hiệu quả với rất nhiều người, cũng như để tổ chức sắp xếp toàn công ty dễ dàng. Trước khi có công nghệ ảo hóa, hệ điều hành và các ứng dụng chạy trên một máy tính vật lý. Một mối quan hệ 1:1 tồn tại giữa một máy tính vật lý và hệ điều hành. Mối quan hệ này sử dụng ít công suất, chỉ khoảng 5 – 10% công suất của máy chủ vật lý. Khi muốn triển khai nhiều hệ điều hành thì phải có nhiều máy chủ vật lý. Mỗi lần nâng cấp phần cứng thì cần rất nhiều thời gian để mua, láp ráp và cài đặt. Máy chủ dự phòng vật lý là một quá trình tốn nhiều thời gian. Trong các môi trường không ảo hóa thì thời gian được dành để mua phần cứng, láp ráp, cài đặt hệ điều hành, bản cập nhật hệ điều hành, cài đặt và cấu hình các ứng dụng cần thiết có thể mấ t nhiề u thời gian. Mô hình này không linh hoạt và không hiệu quả. Nhiều chi phí phát sinh như chi phí đầu tư, không gian, điện năng tiêu thụ, hệ thống làm mát, chi phí bảo trì… 1 Công nghệ ảo hóa là một công nghệ được ra đời nhằm khai thác triệt để khả năng làm việc của một máy chủ vật lý. Ảo hóa cho phép vận hành nhiều máy ảo trên cùng một máy chủ vật lý, dùng chung các tài nguyên của một máy chủ vật lý như CPU, Ram, ổ cứng,… và các tài nguyên khác. Các máy ảo khác nhau có thể vận hành hệ điều hành và ứng dụng trên cùng một máy chủ vật lý. Công nghệ ảo hoá cho phép hợp nhất và chạy nhiều khối lượng công việc như các máy ảo trên một máy vi tính duy nhất. Một máy ảo là một máy tính được tạo ra bởi phần mềm, giống như một máy tính vật lý, chạy một hệ điều hành và các ứng dụng. Mỗi máy ảo có phần cứng ảo riêng của nó, bao gồm một CPU, bộ nhớ, đĩa cứng, và card mạng ảo, giống như phần cứng cho hệ điều hành và ứng dụng. Do đó nhờ có công nghệ ảo hóa mà doanh nghiệp giảm rất nhiều chi phí lắp đặt, bảo trì và không gian cho máy chủ. Thấy được tầm quan trọng của mạng máy tính và công nghệ ảo hóa nên nhóm em chọn đề tài “Triển khai và bảo mật hệ thống mạng doanh nghiệp trên nền tảng ảo hóa VMware”. Hy vọng nó sẽ là 1 tài liệu hữu ích, ko chỉ cho những người mới làm quen với mạng và hệ thống, mà còn giúp cho các bạn đang tìm hiểu về vấn đề này tích lũy thêm nhiều kiến thức mới. 2 CHƯƠNG I: CÔNG NGHỆ ẢO HÓA VMWARE 1.1 Giới thiệu công nghệ ảo hóa VMware Ảo hóa (Virtualization) rất quan trọng đối với điện toán đám mây. Với ảo hóa sẽ có khả năng mở rộng. Máy chủ ảo (Virtual Server) sẽ phân bổ công suất máy tính, dung lượng lưu trữ, bộ nhớ theo yêu cầu của khách hàng. Ảo hóa cho phép bạn chạy các khối lượng công việc nhiều hơn trên một máy chủ duy nhất bằng cách củng cố môi trường để các ứng dụng của bạn chạy trên máy ảo. Đối với Mô Hình Trung Tâm Dữ Liệu Vật Lý (Topology of a Physical Data Center) truyền thống việc quản lý và duy trì một trung tâm dữ liệu vật lý rất tốn thời gian và thường không hiệu quả. Mô hình trung tâm dữ liệu vật lý 3 Mô hình trung tâm dữ liệu ảo hóa Trong ảo hóa một máy ảo là một phần mềm máy tính, giống như một máy tính vật lý, chạy một hệ điều hành và các ứng dụng. 4 Ảo hóa là một công nghệ tách riêng phần cứng vật lý từ một hệ điều hành máy tính và cung cấp một giải pháp cho nhiều vấn đề mà IT thường gặp. Trong một môi trường vật lý, hệ điều hành giả định quyền sở hữu là của tất cả các CPU vật lý trong hệ thống. CPU ảo hóa nhấn mạnh hiệu suất và chạy trực tiếp trên các CPU có sẵn. 5 Trong một môi trường vật lý, hệ điều hành giả định quyền sở hữu của tất cả các bộ nhớ vật lý trong hệ thống. Bộ nhớ ảo hóa nhấn mạnh hiệu suất và chạy trực tiếp trên RAM có sẵn. Và công nghệ ảo hóa của VMWARE ngày nay đã cung cấp cho chúng ta tất cả những vấn đề nêu trên. Và công nghệ ảo hóa của VMWARE như thế nào chúng em sẽ giới thiệu tiếp sau đây: - VMware vSphere® VMFS cho phép một kiến trúc lưu trữ phân tán, cho phép nhiều máy chủ ESXi để đọc hoặc ghi vào bộ nhớ được chia sẻ đồng thời. 6 -File máy ảo được lưu trữ trong thư mục trên một VMFS hoặc kho dữ liệu NFS. Tại một trung tâm dữ liệu kiểm soát bằng phần mềm, tất cả các cơ sở hạ tầng sẽ được ảo hóa, và sự kiểm soát các trung tâm dữ liệu này là hoàn toàn tự động bằng phần mềm. 7 1.2 Giới thiệu mô hình ảo hóa xây dựng tại công ty 8 1.3 Cấu hình hệ thống ảo hóa VMware Tiến hành nâng cấp DC-VMware trên ESXi 1 thành Domain Controller với tên vinabook.local. Cấu hình DNS server dùng để cấu hình phân giải ESXi 1, ESXi 2, AD-VMware, vCenter, SAN Vitural Machines Name Distributed Switches Name Hostname IP Address ESXi 1 esxi1.vinabook.local 192.168.3.1 ESXi 2 esxi2.vinabook.local 192.168.3.2 dc.vinabook.local 192.168.3.3 DC-VMware MANAGESTOGARE vCenter vcenter.vinabook.local 192.168.3.4 SAN san.vinabook.local Cấu hình DNS Server 9 192.168.3.5 Cấu hình cài đặt vCenter. Tiến hành truy cập vào vCenter bằng VMware vSphere Client Giao diện vCenter khi truy cập vào thành công 10 Truy cập Hosts and Clusters kết nối các ESXi vào vCenter và tạo các Vitural Machines trên từng host Truy cập VMs and Template cấu hình thư mục hệ thống máy ảo cho việc quản lí dễ dàng hơn 11 Tiến hành chia các Distributed Switches Name ESXi Name ESXi 1 ESXi 2 Distributed Switches Name INTERNAL DMZ EXTERNAL VMOTION VM Network (MANAGE-STOGARE) INTERNAL DMZ EXTERNAL VMOTION VM Network (MANAGE-STOGARE) Truy cập Networking tiến hành chia Distributed Switches Name 12 IP Address 192.168.2.1 192.168.3.1 192.168.2.2 192.168.3.2 Cấu trúc Switches Name trên ESXi 1 13 Cấu trúc Switches Name trên ESXi 2 14 15 CHƯƠNG II: THIẾT KẾ VÀ BẢO MẬT MẠNG DOANH NGHIỆP GIỚI THIỆU SƠ LƯỢC VỀ CÔNG TY: Công ty GIANG là một công ty hoạt động trong lĩnh vực công nghệ .Cung cấp dịch vụ mạng và gia công phần mền cho doanh nghiệp. 2.1. PHÂN TÍCH YÊU CẦU ĐẶT RA 2.1.1 Mục đích lựa chọn đề tài: Trong thời đại công nghệ thông tin đang phát triển như vũ bão này thì nhu cầu con người càng đỏi hỏi cao hơn nữa, Từ khi có máy tính ra đời thì nó đã có thể thay thế dần con người những công việc tính toán có khối lượng lớn và phức tạp, và trong cuộc sống con người chúng ta cũng có những nhu cầu trao đổi thông tin, mua bán. Máy tính nói riêng và hệ thống mạng nói chung cũng góp phần làm thay đổi cách thức giao dịch trong xã hội, cho phép con người có thể thực hiện các công việc từ xa Mục đích mà em chọn đề tài này là giúp cho các nhân viên trong công ty hoặc doanh nghiệp có thể trao đổi thông tin, chia sẻ thêm dữ liệu giúp cho công việc của các nhân viên thêm thuận tiện và năng suất lao động sẽ đạt hiệu quả rất cao và làm được điều này thì các doanh nghiệp sẽ rất có lợi cho việc cơ cấu tổ chức các phòng ban, và hơn nữa là sẽ giảm chi phí cho các doanh nghiệp một khoản chi phí rất lớn. Việc xây dựng đề tài thiết kế mạng LAN cho công ty cũng giúp cho chúng em rất nhiều cho công việc sau này: Củng cố thêm kiến thức , kinh nghiệm thiết kế các mô hình cách quản lý, hơn thế nữa là thông qua đề tài này nó sẽ cung cấp cho chúng em có thêm cái nhìn sâu hơn nữa về ngành công nghệ thông tin và có thể ứng dụng sâu rộng vào trong thực tế cuộc sống chúng ta. 2.1.2 Yêu cầu đề tài: Một doanh nghiệp cần sử dụng một hệ thống mạng máy tính để phục vụ cho việc vận hành sản xuất và kinh doanh sản phẩm. Doanh nghiệp gồm có 5 phòng ban P.Server, P.IT, P.Giám Đốc, P. Kế Toán, P.Kinh Doanh. Các máy tính sử dụng hệ điều hành Windows 7 để nhân viên làm việc. Máy chủ sử dụng hệ điều hành Windows Server 2008 Enterprise R2 để quản lý các máy tính khác trong mạng. Doanh nghiệp cũng sử dụng hệ thống máy in để in ấn và chia sẽ máy in tại các phòng ban. Hệ thống mạng kết nối Internet bằng đường truyền ADSL Xây dựng hệ thống Mail Server trên nền tảng Microsoft Exchange 2010, Website giúp cho việc gởi và nhận e-mail và giới thiệu quảng cáo công ty với các đối tác chuyên nghiệp hơn 16 Thiết kế hệ thống bảo mật mới Firewall TMG chống các cuộc tấn công từ bên ngoài vào mạng nội bộ công ty và thiết lập các chính sách bảo mật từ bên trong khi truy cập Internet Xây dựng trên nền tảng ảo hóa VMware nhằm tăng khả năng chụi lỗi và quản trị hệ thống tốt hơn 2.1.3 Phân tích đề tài Xây dựng hệ thống mạng Domain quản lý User và dữ liệu tập trung. Đảm bảo hệ thống mạng vận hành một cách ổn định, bảo mật đáp ứng tất cả yêu cầu của công ty. Hệ thống mạng còn phải có tính linh hoạt cao, có thể bổ sung thêm máy tính và các thành phần mạng nhanh chóng mà không mất nhiều thời gian và chi phí. 2.1.4 Lựa chọn kiến trúc mạng Công ty là một doanh nghiệp thuộc loại vừa và nhỏ nên chúng em chọn giải pháp là mạng LAN kết hợp mô hình TMG 3 Leg. Nghĩa là có một phòng đặt các thiết bị trung tâm từ đó dẫn dây đến các phòng còn lại và thuộc loại mô hình Client / Server thường được dùng trong các doạnh nghiệp công ty. 2.1.5 Lựa chọn giải pháp kỹ thuật (khả năng vận hành, tính tương thích, quản lý….) Việc thiết kế giải pháp sao cho để thoả mãn và đáp ứng được nhu cầu công ty không phải là một điều dễ dàng chút nào, để đáp ứng được đúng nhu cầu cho công ty về mặt kỹ thuật, cũng như tính thẩm mỹ, giá thành vừa kinh phí của công ty đưa ra thì, chúng ta phải khảo sát, thiết kế, lập được bảng dự trù thiết bị sao thật kỹ lưỡng. Đặc tả hệ thống mạng, lựa chọn giải pháp cho một hệ thống mạng phụ thuộc vào nhiều yếu tố như sau: - Kinh phí dành cho hệ thống mạng chúng ta xây dựng, đây là vấn đề được đặt lên hàng đâu của những ai bắt tay vào xây dựng mạng. - Công nghệ phổ biến trên thị trường hiện nay, như chúng ta đã biết do nhu cầu đòi hỏi của người dùng ngày càng cao, Để đáp ứng thì hệ thống máy móc và trang thiết bị cũng ngày càng tính tế và có nhiều chức năng hơn. Vì vậy trong cuộc sống hàng ngày cũng vậy nếu chúng ta không thường xuyên trao dồi kíên thức và tìm kiếm thông tin báo chí về các linh kiện thiết bị thì chúng ta sẽ không thể nào có những trang thiết bị tốt và hợp lý cho công ty được. Vậy nên phải thường xuyên truy cập thông tin báo chí để nhanh chóng bắt được những tài liệu về những trang thiết bị mới ra. 2.1.6 Lựa chọn thiết bị Việc lựa chọn thiết bị cho việc lắp đặt hệ thống mạng cũng rất quan trong, việc khảo sát và nhu cầu của công ty đặt ra thế nào thì việc lựa chọn thiết bị cũng 17 ảnh hưởng đến rất nhiều. Nhu cầu công ty đặt ra như nào hệ thống gồm bao nhiêu phòng ban, máy móc yêu cầu thế nào. Từ những việc trên chúng ta mới căn cứ vào đó và đưa ra bảng dự trù và danh sách những loại thiết bị nào chúng ta nên dùng và những thiết bị nào chúng ta có thể nâng cấp thêm. Lựa chọn thiết bị chủ yếu dựa vào nhu cầu của khách hàng và kinh phí chi trả cho các thiết bị 2.1.7 Thiết bị bảo vệ điện áp Trong quá trình hoạt động thì vấn đề điện áp cũng là điều đáng nói đến, trong một công ty với hệ thống máy tính và Server lớn thì vấn đề ổn định nguồn điện cho các thiết bị hoạt động đúng công suất là điều cần phải có, để dự phòng cho các trường hợp xấu có thể đế như là: Mất điện đột ngột, hoặc hệ thống máy tính có sự cố, hoặc điện áp để dùng cho hệ thống máy cao và ổn định. Trong trườngg hợp này chúng ta có thể nâng cấp thêm một ổn áp điện, một máy phát điện dự phòng. 2.1.8 Lập kế hoạch thực hiện: Sau khi đã lên bảng dự trù thiết bị và các danh sách các loại thiết bị chúng ta nên dùng rồi, thì điều cũng thật quan trọng trong giai đoạn này là lập kế hoạch thực hiện, triển khai lắp đặt chính thức. Cách sắp xếp bố trí công việc thế nào cho hợp lý, vừa tốt chi phí thấp nhất vừa đem lại hiệu quả cao. Việc lập kế hoạch thực hiện tốt thì tránh cho chúng ta những khó khăn gặp phải trong quá trình thực hiện: Những nảy sinh ngoài dự tính và lập kế hoạch thì chúng ta có thể kiểm tra được công việc triển khai đến đâu và chất lượng thề nào 2.1.9 Điều kiện thi công và chủng loại vật liệu thi công: Do công ty có 2 tầng nên hệ thống cáp cũng được tổ chức cao. Cáp dùng cho hệ thống là loại cáp UTP CAT5e, do nhu cầu truyền dẫn tín hiệu tốt. Để tăng tính thẩm mỹ cho công ty chúng ta dùng thêm các ống nẹp dây cho gọn gàng và chống nhiễu từ giữa các dây với nhau. 18 2.2.Thiết kế sơ đồ mạng Tiến hành khảo sát và triển khai mô hình mạng đáp ứng đầy đủ các yêu cầu tại công ty. Từ quá trình khảo sát thực tế ta sẽ tiến hành thiết kết hệ thống mạng một cách dễ dàng và tiết kiệm được nhiều thời gian và chi chi phí Sơ đồ khảo sát hạ tầng công ty 19 Sơ đồ thiết bị và đi dây Tổ chức từng phòng bao gồm: - P.Kinh doanh : 20 máy tính, 3 máy in, 2 máy photo - P.Kế toán : 15 máy tính, 3 máy in, 1 máy photo - P.Giám đốc & Phó giám đốc : 5 máy tính, 3 máy in - P.IT : 10 máy tính, 2 máy in - P.Server: 2 ESXi (6 Server) 20