Hướng dẫn cấu hình quản lý truy cập giữa các phòng ban trong hệ thống mạng doanh nghiệp
I. Mở đầu
Trong môi trường xã hội hiện nay, việc áp dụng CNTT như sử dụng hệ thống mạng nội bộ để trao đổi thông tin, chia sẻ tài liệu … là rất cần thiết, giúp các doanh nghiệp có thể nâng cao năng suất lao động, giảm thiểu thời gian xử lý công việc
Các hệ thống mạng của doanh nghiệp vừa và nhỏ hiện này của Việt Nam hiện nay còn chạy theo mô hình mạng flat (mạng phẳng) khá nhiều, tất cả các thiết bị sẽ cùng ở trong 1 mạng LAN. Việc này dẫn đến 1 số nguy cơ như lây lan virus không kiểm soát, không phân vùng được người dùng dẫn đến việc tất cả các dữ liệu đều được chia sẻ trên mạng mà không có sự phân quyền
Giải pháp về hạ tầng mạng cho việc này là chia mạng LAN thành các VLAN theo chức năng phòng ban, trên các VLAN này ta sẽ áp dụng các chính sách để cho phép hoặc không cho phép truy cập qua lại lẫn nhau
II. Mô hình mạng vật lý
III. Mô hình logic và các yêu cầu phân quyền
- Hệ thống mạng sẽ được chia làm 4 VLAN: 01 VLAN quản trị thiết bị, VLAN Kế Toán, VLAN Hành Chính, VLAN Kỹ Thuật
- VLAN Hành chính sẽ chỉ có thể ra được Internet, không được truy cập vào các phòng ban khác
- Chỉ VLAN Kỹ thuật được quyền truy cập vào VLAN quản lý thiết bị
- Giữa VLAN Kỹ thuật và VLAN Kế Toán được quyền truy cập qua lại lẫn nhau
IV. Các bước cấu hình
1. Tạo VLAN trên các switch, gắn các port vào các VLAN trên access switch
VLAN 1: Quản lý thiết bị (Dải mạng 192.168.1.0/24)
VLAN 2: Kế toán (Dải mạng 192.168.2.0/24)
VLAN 3: Hành chính (Dải mạng 192.168.3.0/24)
VLAN 4: Kỹ thuật (Dải mạng 192.168.4.0/24)
2. Tạo interface VLAN trên core switch, gán địa chỉ IP cho các interface VLAN, tạo DHCP Pool cấp phát địa chỉ IP động cho các thiết bị trong VLAN
3. Sử dụng access-list thiết lập chính sách truy cập qua lại giữa các phòng ban
4. Gắn access-list lên các interface vlan
V. Chi tiết file cấu hình Core switch
Switch#show run
Building configuration...
Current configuration : 2205 bytes
!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Switch
!
!
!
enable secret 5 $1$mERr$4sUA6SPF1ndO3xW17ZIOp.
!
!
!
ip dhcp pool vlan2
network 192.168.2.0 255.255.255.0
default-router 192.168.2.1
ip dhcp pool vlan3
network 192.168.3.0 255.255.255.0
default-router 192.168.3.1
ip dhcp pool vlan4
network 192.168.4.0 255.255.255.0
default-router 192.168.4.1
!
!
ip routing
!
!
!
!
!
!
!
!
!
!
!
!
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface FastEthernet0/1
!
interface FastEthernet0/2
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface FastEthernet0/3
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface FastEthernet0/4
!
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
ip access-group MANAGEMENT out
!
interface Vlan2
ip address 192.168.2.1 255.255.255.0
ip access-group KETOAN in
!
interface Vlan3
ip address 192.168.3.1 255.255.255.0
ip access-group HANHCHINH out
!
interface Vlan4
ip address 192.168.4.1 255.255.255.0
!
ip classless
!
ip flow-export version 9
!
!
ip access-list standard HANHCHINH
deny 192.168.1.0 0.0.0.255
deny 192.168.2.0 0.0.0.255
deny 192.168.4.0 0.0.0.255
permit any
ip access-list standard MANAGEMENT
permit 192.168.4.0 0.0.0.255
ip access-list standard KETOAN
deny 192.168.1.0 0.0.0.255
deny 192.168.3.0 0.0.0.255
permit any
!
!
!
!
!
line con 0
password tuda1990
login
!
line aux 0
!
line vty 0 4
password tuda1990
login
line vty 5 15
password tuda1990
login
!
end
Trong môi trường xã hội hiện nay, việc áp dụng CNTT như sử dụng hệ thống mạng nội bộ để trao đổi thông tin, chia sẻ tài liệu … là rất cần thiết, giúp các doanh nghiệp có thể nâng cao năng suất lao động, giảm thiểu thời gian xử lý công việc
Các hệ thống mạng của doanh nghiệp vừa và nhỏ hiện này của Việt Nam hiện nay còn chạy theo mô hình mạng flat (mạng phẳng) khá nhiều, tất cả các thiết bị sẽ cùng ở trong 1 mạng LAN. Việc này dẫn đến 1 số nguy cơ như lây lan virus không kiểm soát, không phân vùng được người dùng dẫn đến việc tất cả các dữ liệu đều được chia sẻ trên mạng mà không có sự phân quyền
Giải pháp về hạ tầng mạng cho việc này là chia mạng LAN thành các VLAN theo chức năng phòng ban, trên các VLAN này ta sẽ áp dụng các chính sách để cho phép hoặc không cho phép truy cập qua lại lẫn nhau
II. Mô hình mạng vật lý
III. Mô hình logic và các yêu cầu phân quyền
- Hệ thống mạng sẽ được chia làm 4 VLAN: 01 VLAN quản trị thiết bị, VLAN Kế Toán, VLAN Hành Chính, VLAN Kỹ Thuật
- VLAN Hành chính sẽ chỉ có thể ra được Internet, không được truy cập vào các phòng ban khác
- Chỉ VLAN Kỹ thuật được quyền truy cập vào VLAN quản lý thiết bị
- Giữa VLAN Kỹ thuật và VLAN Kế Toán được quyền truy cập qua lại lẫn nhau
IV. Các bước cấu hình
1. Tạo VLAN trên các switch, gắn các port vào các VLAN trên access switch
VLAN 1: Quản lý thiết bị (Dải mạng 192.168.1.0/24)
VLAN 2: Kế toán (Dải mạng 192.168.2.0/24)
VLAN 3: Hành chính (Dải mạng 192.168.3.0/24)
VLAN 4: Kỹ thuật (Dải mạng 192.168.4.0/24)
2. Tạo interface VLAN trên core switch, gán địa chỉ IP cho các interface VLAN, tạo DHCP Pool cấp phát địa chỉ IP động cho các thiết bị trong VLAN
3. Sử dụng access-list thiết lập chính sách truy cập qua lại giữa các phòng ban
4. Gắn access-list lên các interface vlan
V. Chi tiết file cấu hình Core switch
Switch#show run
Building configuration...
Current configuration : 2205 bytes
!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Switch
!
!
!
enable secret 5 $1$mERr$4sUA6SPF1ndO3xW17ZIOp.
!
!
!
ip dhcp pool vlan2
network 192.168.2.0 255.255.255.0
default-router 192.168.2.1
ip dhcp pool vlan3
network 192.168.3.0 255.255.255.0
default-router 192.168.3.1
ip dhcp pool vlan4
network 192.168.4.0 255.255.255.0
default-router 192.168.4.1
!
!
ip routing
!
!
!
!
!
!
!
!
!
!
!
!
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface FastEthernet0/1
!
interface FastEthernet0/2
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface FastEthernet0/3
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface FastEthernet0/4
!
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
ip access-group MANAGEMENT out
!
interface Vlan2
ip address 192.168.2.1 255.255.255.0
ip access-group KETOAN in
!
interface Vlan3
ip address 192.168.3.1 255.255.255.0
ip access-group HANHCHINH out
!
interface Vlan4
ip address 192.168.4.1 255.255.255.0
!
ip classless
!
ip flow-export version 9
!
!
ip access-list standard HANHCHINH
deny 192.168.1.0 0.0.0.255
deny 192.168.2.0 0.0.0.255
deny 192.168.4.0 0.0.0.255
permit any
ip access-list standard MANAGEMENT
permit 192.168.4.0 0.0.0.255
ip access-list standard KETOAN
deny 192.168.1.0 0.0.0.255
deny 192.168.3.0 0.0.0.255
permit any
!
!
!
!
!
line con 0
password tuda1990
login
!
line aux 0
!
line vty 0 4
password tuda1990
login
line vty 5 15
password tuda1990
login
!
end