Xây dựng hệ thống mạng cho công ty

Ngày nay bất cứ một doanh nghiệp nào cũng đều muốn ứng dụng công nghệ thông tin vào hoạt động quản lý, đặc biệt là quản lý thông tin trong nội bộ. Có rất nhiều dạng thông tin cần quản lý chẳng hạn như thông tin về các văn bản mật [file hồ sơ thầu, kế hoạch định hướng phát triển], thông tin về dữ liệu kế toán hay thông tin về các sản phẩm trí tuệ như phần mềm hoặc bản thiết kế sản phẩm. Nếu những thông tin này lọt ra ngoài 😥 doanh nghiệp nhẹ thì mất tiền chi phí cho sản phẩm, nặng thì mất uy tín với khách hàng. Điều tồi tệ này càng trở nên trầm trọng hơn khi doanh nghiệp không có đủ nhân lực công nghệ thông tin để thực hiện. Thấu hiểu vấn đề trên, 1Hosting sẽ giúp bạn điều này với bộ giải pháp hệ thống mạng cho doanh nghiệp vừa và nhỏ.

LỢI ÍCH CỦA GIẢI PHÁP:

• Dữ liệu được lưu trữ tập trung nên dễ bảo mật, backup, đồng bộ.
• Tài nguyên và dịch vụ được tập trung nên dễ quản lý và chia sẻ, phục vụ cho nhiều người dùng.
• Kiểm soát được các hoạt động của nhân viên trên PC.
• Phân quyền mềm dẻo, linh hoạt trên trên từng tài nguyên.
• Trên cơ sở hệ thống Domain Controller, có thể xây dựng thêm nhiều máy chủ với các chức năng khác nhau như: Firewall server, Mail server, Web Server, Data [File] server, Tổng đài thoại … giúp hệ thống trở nên hoàn hảo hơn.

Trải qua nhiều năm kinh nghiệm triển khai thực tế cho các khách hàng, 1Hosting đưa ra quy trình 3 bước thiết kế một hệ thống mạng cho doanh nghiệp như sau:

Bước 1: Khảo sát và tư vấn

• Khảo sát & ghi nhận thông tin Khách hàng
• Tìm hiểu mục đích sử dụng của khách hàng và yêu cầu về hệ thống.
• Khảo sát thiết bị hiện có và các điều kiện có thể ảnh hưởng đến hệ thống .
• Tư vấn giải pháp hệ thống mạng tối ưu.
• Thiết kế chi tiết mô hình logic và vật lý của hệ thống.
• Ước lượng thời gian triển khai dự án.

Bước 2: Xây dựng hệ thống

Mô hình tổng thể như sau:

• Cài đặt HĐH Server cho máy chủ và các giao thức, dịch vụ mạng Server
• Cài đặt Domain Controller với Các Policy thông dụng như:

Password Policy : 
• Yêu cầu hoặc không yêu cầu đạt password phức tạp
• Yêu cầu độ dài tối thiểu của password
• Thời gian hiệu lực tối đa của 1 password

Security Option
• Phân chia các phòng ban thành các vùng [zone] khác nhau để quản lý
• Không cho sử dụng các thiết bị ngoại vi như ổ CD-ROM, USB, hay máy in
• Hạn chế truy cập Website hay sử dụng các ứng dụng như Skype, Torrent
• Kiểm soát gửi nhận, Upload file ra ngoài Internet nhằm hạn chế rò rỉ tài liệu

User Configuration
• Ẩn My network Places trên màn hình desktop của user
• Không cho user truy cập vào control panel để tránh việc user can thiệp vào máy tính [ ví dụ xóa bớt phần mềm cài trên máy tính ]

• Cài đặt và cấu hình các dịch vụ: Firewall Server, Web Server, Mail Server nội bộ, DNS Server, File Server, Printer Server.
• Thiết Lập danh sách phòng ban và tài khoản người dùng trong Domain.
• Tạo những vùng dữ liệu và phân chia quyền hạn của từng user và phòng ban.
• Cài đặt mạng dịch vụ Internet với các Policy phức tạp khác

Bước 3: Kiểm thử và bàn giao hệ thống

• Kiểm tra sự tương thích và tính ổn định của hệ thống
• Nghiệm thu và bàn giao hệ thống
• Chuyển giao hồ sơ thiết kế hệ thống và sơ đồ mạng
• Hướng dẫn sử dụng và đào tạo quản trị mạng.

Hy vọng với những đinh hướng và giải pháp như trên, 1Hosting sẽ giúp doanh nghiệp tiết kiệm rất nhiều thời gian, công sức và tiền bạc để quản lý thông tin an toàn trong thời đại Internet ngày nay.

—————————————————————

MỌI THÔNG TIN CHI TIẾT VUI LÒNG LIÊN HỆ

CÔNG TY CỔ PHẦN GIẢI PHÁP DỮ LIỆU TRỰC TUYẾN ANZ

Địa chỉ: Biệt thự 11 ngõ 233 đường Xuân Thủy, quận Cầu Giấy, Hà Nội

Email:

Hotline: 0915 54 99 22

03.05.19 12:19 AM Bởi Anln

Bạn muốn trở thành một người "Quản trị mạng" hay "Quản trị mạng doanh nghiệp" thì việc đầu tiên bạn cần hiểu cơ bản về một hệ thống mạng. Thông qua bài này sẽ có thêm góc nhìn cho những bạn mới tiếp cận ngành này. Đây là giải pháp triển khai thực tế hạ tầng hệ thống mạng cho một doanh nghiệp trên địa bàn Hà Nội. "Chú ý: Tài liệu chỉ mang tính tham khảo".

A. Xác nhận yêu cầu từ doanh nghiệp

• Đảm bảo hệ thống truy cập được ra Internet.
• Xây dựng hệ thống Firewall mới nhất để bảo vệ hệ thống.
• Chặn người dùng truy cập một số trang Web như: Facebook, Web Game, Web đen.
• Tập trung dữ liệu của các phòng ban trên Server.
• Có khả năng mở rộng các phòng ban.
• Hệ thống phần mềm tính tiền nước của khách hàng đặt tại trung tâm, trước mắt chỉ tập trung nhập dữ liệu vào hệ thống và in hóa đơn từ 3 cơ sở về. Tương lai sẽ Public thông tin của người dùng ra ngoài để các hộ gia đình có thể tự kiểm tra được.

B. Triển khai

1. Khảo sát hệ thống mạng doanh nghiệp

• Số lượng phòng ban sử dụng máy tính: 18
• Tổng số máy tính: 100
• Khoảng cách đặt từ máy chủ tới phòng xa nhất 100m
• Số lượng máy chủ: 2c
• IBM X3400: Chip intel xeon E5320 1.86 Ghz, ram 8G, win server 2008, raid
• IBM X3650: Chip intel xeon E5 2620 2.00 Ghz, ram 2G, win server 2008 R2 standard 64-bit, raid.
• Số lượng Router đang dùng: 5c
• Dự kiến số lượng khách hàng tăng hàng năm: 10.000
• Số lượng chi nhánh: 3 huyện, số lượng khách hàng 5000-8000.

2. Đánh giá và đưa ra giải pháp cho hệ thống mạng doanh nghiệp

• Hạ tầng mạng hiện tại chỉ phục vụ được công việc truy cập Internet của các phòng ban. Khi doanh nghiệp sử dụng hệ thống phần mềm với số lượng truy xuất thông tin rất lớn thì toàn bộ thiết bị của doanh nghiệp hiện tại sẽ không đáp ứng được yêu cầu.

• Để xây dựng hệ thống tường lửa để bảo vệ hệ thống thì có 2 loại: dùng Firewall cứng và Firewall mềm.

  • Đối với Firewall mềm ta dùng Pfsense cài đặt trên một máy chủ HP ML10v2 có RAM 16 GB hoặc 32GB nhưng chỉ ổn định với số lượng khách hàng khoảng 5000 tới 7000 và 200 máy từ trong doanh nghiệp truy cập vào ra internet trên cùng một thời điểm. Còn số lượng lớn hơn thì dẫn tới treo hệ thống hoặc chậm. Ưu điểm của phần mềm này là nguồn mở nên không mất phí, chỉ tính phí đầu tư Server vào khoảng 23 triệu. Phần mềm này chặn các dịch vụ hoặc điều khiển tín hiệu vào ra rất tốt. Có thể xây dựng được cả Proxy.
  • Đối với dòng Firewall cứng như Fortinet 90D hoặc 140D thì khả năng ổn định cao khi có số lượng khách hàng truy cập lớn. Tốc độ truy xuất vào ra cao hơn hẳn dòng Firewall mềm. Dòng Fortinet 90D thì duy trì phiên truy cập lên tới 2 triệu phiên [2 triệu khách hàng] và đồng thời xử lý được 4000 phiên mới trên cùng một thời điểm. Dòng 140D thì hỗ trợ tới 3 triệu phiên làm việc và 22000 phiên mới cùng lúc mà không bị treo hoặc ảnh hưởng, để lựa chọn nên chọn dòng 140D. Nhưng chi phí của dòng cứng lại rất đắt, dòng Fortinet 90D lên tới 32 triệu và license chỉ được 1 năm. Khi mua License lên tới 45% theo giá trị phần cứng [License dùng vào việc lọc Web đen, web game, diệt virus rất tốt. Nếu không dùng License thì nó có tính năng cao cập hơn Router và vẫn sử dụng để bảo vệ doanh nghiệp rất tốt chỉ không diệt được virus]. Fortinet 140D có phí phần cứng không license là 55 triệu còn có licent là 85 triệu.
• Sử dụng Switch layer 3 CISCO WS-C3750G-24T-S 24. Switch Cisco 3750 dùng để tách VLAN và định tuyến cho các VLAN trao đổi dữ liệu giữa nội bộ với nhau mà không cần phải đi qua Firewall, những dữ liệu cần thiết đi ra ngoài Internet mới đi qua Firewall. Switch Cisco 3750 có 24 Ethernet 10/100/1000 ports và 4 cổng quang [SFP-based Gigabit Ethernet ports]. Hiện tại hệ thống trung tâm lên tới 18 phòng ban, các phòng ban đều độc lập, nếu không tách VLAN khi có một phòng nào bị virus làm treo đường truyền sẽ ảnh hưởng tới toàn bộ phòng ban khác. Nhưng khi có VLAN sẽ làm giảm tải được vấn đề này. Nhưng đặc thù của Switch này là dành cho doanh nghiệp lớn từ 10 phòng ban trở lên, có số máy trên 100 và cần truy xuất dữ liệu nhiều, nên chi phí cũng khá đắt. Giá của dòng Switch 3750 này lên tới 98 triệu [vẫn có loại thấp hơn nhưng thiếu nhiều module mở rộng, sau này thay thế rất khó].
• Hệ thống giám sát và cảnh báo sớm bằng phần mềm Zabbix. Thông qua phần mềm Zabbix ta có thể biết được tín hiệu ra vào các cổng, biết được khu vực nào bị hỏng thiết bị, có thể đo được nhiệt độ của CPU, phần trăm sử dụng RAM, CPU… Phần mềm này phải chạy trên một máy chủ có hệ điều hành là nguồn mở [CentOS]. Trên máy chủ cài Zabbix này ta có thể kết hợp cài dịch vụ FTP Server để chia sẽ tài nguyên trong mạng LAN của công ty. Vì là hệ điều hành nguồn mở nó sẽ tránh bị lây nhiễm một số Virus từ máy Windows sang.
• Máy chủ cài đặt hệ thống phần mềm tính tiền nước của công ty cùng hệ thống File Server sẽ được đặt trong khu vực DMZ riêng, được bảo vệ bở Firewall Fortinet. Đối với hệ thống phần mềm tính tiền nước này sẽ chạy HA là load balancer hoặc failover
• Đường truyền hiện tại là đáp ứng được nhu cầu của công ty, khi số lượng khách hàng tăng lên ta có thể nâng băng thông của đường truyền về. Để các chi nhánh nhập dữ liệu ổn định ta có thể dùng các đường WAN kết nối về. Khi xẩy ra sự cố tấn công cũng không ảnh hưởng tới dữ liệu truy cập và nhập về hệ thống.

3. Mô hình mạng Logic của hệ thống mạng doanh nghiệp

4. Tham khảo một số thiết bịvà công cụ phục vụ cho triển khai hệ thống mạng doanh nghiệp

-----&-----&-----

Video tham khảo