TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THỦ ĐỨC
KHOA CÔNG NGHỆ THÔNG TIN

CHUYÊN ĐỀ HỆ THỐNG 2
ĐỀ TÀI: GIẢI PHÁP XÂY DỰNG HỆ THỐNG MẠNG CHO CƠNG TY
CÁC TRẮNG

Nhóm Mạo Hiểm
Ngơ Thanh Hồng
Lương Cơng Phong
Phan Khánh Duy
Nguyễn Ngọc Phương Un
GVHD: Nguyễn Thanh Vũ


04 Tháng 10 2022
CHƯƠNG 1. CƠ SỞ LÝ THUYẾT.......................................................................4
1.1 Giới thiệu cơng ty Cát trắng..........................................................................4
1.2 Tổ chức.........................................................................................................4
1.3 Mơ hình mạng...............................................................................................4
1.4 Giới thiệu các dịch vụ.................................................................................14
CHƯƠNG 2. CÀI ĐẶT HỆ THỐNG MẠNG.....................................................28
2.1 Office Network...........................................................................................28
2.2 Private Cloud..............................................................................................62
2.3 Public Cloud...............................................................................................82
2.4 Service Provider.........................................................................................95
CHƯƠNG 3. TỔNG KẾT..................................................................................121
3.1 Thuận lợi và khó khăn..............................................................................121
TÀI LIỆU THAM KHẢO..................................................................................122

Trang 2

LỜI MỞ ĐẦU
Ngày nay Công nghệ thông tin ngày càng phát triển vượt bật, công nghệ thay đổi
liên tục. Nhu cầu người dùng mạng truy cập thông tin, trao đổi dữ liệu nhanh
chóng....càng nhiều. Điều này cho thấy cơng nghệ ngày càng tiếp cận tới đời sống con
người nhiều hơn.
Vậy với những doanh nghiệp thì sao? Cùng với việc cơng nghệ ngày càng phát
triển thì các cơng ty xí nghiệp cũng mọc lên rất nhiều. Đòi hỏi việc trao đổi thơng tin, an
tồn thơng tin, làm cách nào để trao đổi thơng tin nhanh chóng và tiện lợi. Điều này đặt ra
cho những kỹ sư mạng thiết kế ra mô hình mạng máy tính và về cơ sở hạ tầng mạng đảm
bảo được yêu cầu của doanh nghiệp.
Từ những dịch vụ cơ bản như smbclient, curl, lynx, dnsutils, ldap-utils, ftp, lftp,
wget, ssh cho tới những dịch vụ như DHCP, DNS, Samba,.....Ngồi việc chia sẻ thơng tin
nội bộ thì việc có thể trao đổi thông tin qua mạng mà đảm bảo được tính an tồn cũng rất
quan trọng. Những dịch vụ Web, Mail xây dựng hệ thống Firewall....Đây là những điều
mà IT những người thiết kế mạng, đòi hỏi người IT phải có kinh nghiệm và sự tỉ mỉ.

Trang 3


CHƯƠNG 1. CƠ SỞ LÝ THUYẾT
1.1 Giới thiệu công ty Cát trắng
Cơng ty cát trắng là cơng ty có quy mô vừa chuyên kinh doanh các sản phẩm điện
tử và đồ công nghệ. Cùng với sự phát triển công nghệ thì cơng ty ln cập nhật và phát
triển tạo ra các bộ phận của điện thoại, laptop, PC.....
Công ty Cát trắng có nhiều năm kinh nghiệm trong việc kinh doanh các sản phẩm
công nghệ như laptop, PC, điện thoại.....Nhiều nhân viên với nhiều kinh nghiệm được
thành lập vào năm 2000. Quy mơ cơng ty lớn nên cần có cơ sở hạ tầng và mạng máy tính
đầy đủ những dịch vụ. Cơng ty có nhiều chính sách và phúc lợi cho nhân viên cũng như

tạo ra sân chơi lành mạnh cho nhân viên vào mỗi năm.
1.2 Tổ chức
Cơng ty có nhiều phịng ban: kinh doanh, nhân sự, kế tốn, sales, kỹ thuật. Quy
mơ cơng ty gồm 200 nhân viên.
1.3 Mơ hình mạng
1.3.1 Yêu cầu
Server và client

Trang 4


Network

Office users

Phần mềm
Với mục đích thử nghiệm các dịch vụ, tất cả các máy chủ đã được cài đặt các
công cụ kiểm tra sau: smbclient, curl, lynx, dnsutils, ldap-utils, ftp, lftp, wget, ssh, nfscommon, rsync, telnet, traceroute, tcptraceroute.
Mô tả dự án và nhiệm vụ
Mạng này bao gồm một mạng văn phòng với một đám mây riêng cho máy chủ Email nội bộ và mạng nội bộ. Truy cập từ xa cho phép các nhân viên làm việc từ xa. Một
đám mây công cộng được sử dụng cho trang Web công cộng của cơng ty. Cấu hình các
dịch vụ do ISP "Fast-Provider" cung cấp.
a. MẠNG VĂN PHỊNG
Mạng văn phịng được sử dụng cho các cơng việc văn phịng và bao gồm một
máy chủ và các máy khách. Nhiệm vụ của bạn là cài đặt và cấu hình để giúp nhân viên
văn phịng dễ dàng cộng tác. Cấu hình tường lửa và kết nối với ISP ngược dòng.

Trang 5



fw.skill12.net
Đây là tường lửa cho mạng văn phịng. Nó được chia sẻ với mạng đám mây riêng.
Openvpn
Định cấu hình VPN site-to-site thành fw.hcmcskills.org bằng thiết bị tun tất cả
lưu lượng giữa mạng văn phịng và mạng cơng cộng (mạng đám mây) nên được định
tuyến qua đường hầm (VPN đường hầm). Sử dụng UDP để giảm thiểu chi phí trong
đường hầm. Định cấu hình VPN máy khách cho janes-pc. Khi được kết nối, người dùng
phải có cùng quyền truy cập vào tất cả các tài nguyên như khách hàng trong các mạng văn
phòng. Điều này bao gồm mạng đám mây riêng và mạng đám mây cơng cộng.
DHCP
Cấu hình dịch vụ DHCP cho mạng văn phòng. Thêm tất cả các tùy chọn cần thiết
để làm cho tất cả các dịch vụ hoạt động. Bản ghi A và PTR của máy khách phải được cập
nhật động cho DNS trên file.skill12.net. Đảm bảo rằng file.skill12.net luôn được gán cùng
một địa chỉ.
IPTABLES
Tất cả lưu lượng truy cập qua tường lửa sẽ bị chặn theo mặc định. Lưu lượng truy
cập bắt nguồn từ mạng văn phòng luôn được cho phép. Lưu lượng truy cập bắt nguồn từ
mạng văn phòng và mạng đám mây riêng phải được dịch sang địa chỉ IP bên ngoài khi
truy cập internet. Lưu lượng truy cập HTTPS có nguồn từ ứng dụng OpenVPN được
chuyển đến mạng đám mây công cộng sẽ không đi qua Site-to-VPN trang web. Các lưu
lượng truy cập khác có nguồn từ ứng dụng khách OpenVPN được chuyển đến mạng đám
mây công cộng sẽ đi qua Site to site VPN đến trang web.
file.skill12.net
Đây là tệp cục bộ và máy chủ xác thực cho mạng văn phòng. Vui lòng cài đặt và
định cấu hình các dịch vụ sau trên máy chủ.
LDAP
Trang 6


Cài đặt máy chủ LDAP bằng OpenLDAP. Máy chủ LDAP sẽ được sử dụng để

xác thực cho người dùng đăng nhập vào máy khách cục bộ. Thêm tất cả người dùng văn
phòng vào cơ sở dữ liệu LDAP.
RAID
Thêm ba ổ cứng bổ sung, mỗi ổ có kích thước 1GB. Định cấu hình mảng RAID
5 /dev/ md0.
LVM
Thêm /dev/md0 dưới dạng ổ cứng vật lý và tạo ổ cứng hợp lý /dev/file/data. Tạo
nhóm dung lượng cần thiết và gắn kết ổ đĩa hợp lý trên /data.
SAMBA
Chia sẻ thư mục /data/ public-files với public.hcmcskills.org. Quyền truy cập ở
chế độ chỉ đọc và không máy chủ nào khác có thể truy cập thư mục.
NFS
Tạo một thư mục chia sẻ được gọi là documents mà tất cả người dùng đã xác thực
có thể truy cập bằng cả quyền đọc và ghi. Tạo và chia sẻ một thư mục chính cho từng
người dùng văn phịng trong /data/home. Thư mục chính chỉ nên cho người dùng tương
ứng có thể truy cập được. Bạn chỉ cần tạo thư mục chính cho những người dùng được tìm
thấy trong văn phòng, bảng người dùng ở trên. Tất cả các thư mục chia sẻ phải được đặt
trong /data.
DNS
Định cấu hình vùng DNS cho skill12.net và thêm tất cả các mục nhập cần thiết.
Các tra cứu đến tất cả các khu vực khác sẽ được chuyển tiếp đến srvpv01.fastprovider.net. Định cấu hình vùng tra cứu ngược cho mạng văn phòng và mạng con mạng
đám mây riêng.

Trang 7


client1.skill12.net
Sử dụng GNOME làm mơi trường máy tính để bàn. Đăng nhập với tư cách là
người dùng adam.
Người dùng đăng nhập vào máy khách (cả dòng lệnh và giao diện đồ họa) phải

được xác thực với máy chủ LDAP trên file12.skill12.net. Ngăn người dùng cục bộ thực
sự (khơng có tài khoản dịch vụ) ngoại trừ root đăng nhập. Lưu ý rằng root bị ngăn đăng
nhập bằng GUI theo mặc định, bạn không được thay đổi hành vi này. Thư mục chia sẻ "tài
liệu" nên được gắn kết cho tất cả người dùng văn phịng trong /mnt/Documents. Mỗi
người dùng phải có quyền truy cập vào phần chia sẻ trong Home của họ bằng NFS. Cấu
hình ứng dụng thư khách Thunderbird để người dùng adam gửi và nhận thư. Đảm bảo
rằng chứng chỉ được tin cậy bởi khách hàng. Lưu ý rằng bạn sẽ luôn nhận được cảnh báo
khi sử dụng chứng chỉ tự ký. Có thể gửi E-mail cho người dùng trong miền
hcmcskills.org.
b. HOME NETWORK
Mạng này được sử dụng để mô phỏng một nhân viên từ xa.
JANES-PC
Sử dụng GNOME làm môi trường máy tính để bàn. Tạo một jane người dùng
cục bộ và đăng nhập. Tạo một tập lệnh /usr/local/bin/startup.sh được chạy tự động
thông qua systemd khi khởi động. Đặt tên cho dịch vụ loglastboot. Tập lệnh phải chạm
vào /last-boot. Chúng tôi sẽ kiểm tra điều này bằng cách khởi động lại dịch vụ. Định cấu
hình ứng dụng thư khách Thunderbird để cho phép Jane gửi và nhận email. Đảm bảo
không có cảnh báo chứng chỉ hiển thị. Có thể gửi e-mail cho người dùng trong miền
skill12.net. Thiết lập kết nối OpenVPN tới fw.skill12.net, jane đó có thể mở sau khi
đăng nhập vào GNOME. Sử dụng GNOME network-manager.

Trang 8


c. ĐÁM MÂY RIÊNG
Đám mây riêng được sử dụng để cung cấp các dịch vụ công cộng cho người dùng
văn phịng. Vì mục đích bảo mật, nó được cách ly riêng phân đoạn mạng. Vui lòng tham
khảo bảng "NETWORKS" để biết thông tin về các mạng con được sử dụng.
private.skill12.net
Đây là mail cục bộ và web server. Nó phục vụ người dùng văn phòng dưới tên

miền skill12.net. Người dùng văn phịng adam sẽ có thể đăng nhập bằng SSH vào tài
khoản gốc từ client1.skill12.net sử dụng private-key xác thực.
E-mail
Cấu hình máy chủ để gửi và nhận email cho tất cả người dùng văn phòng dưới tên
miền skill12.net. Người dùng sẽ có thể truy cập hộp thư của họ qua IMAP. Tất cả giao
tiếp giữa máy chủ này và máy khách phải được bảo mật bằng TLS (STARTTLS). Có thể
gửi E-mail cho người dùng trong miền hcmcskills.org.
MYSQL
Cài đặt máy chủ cơ sở dữ liệu MySQL. Sử dụng người dùng root với mật khẩu
Passw0rd$ để đăng nhập. Nhập cơ sở dữ liệu skill12 có trong /root/skill12-backup.sql
được tìm thấy trên máy chủ của bạn.
Web Server
Cài đặt máy chủ web Apache2 và phục vụ trang intranet.skill12.net. Sử
dụng /www/intranet làm gốc tài liệu. Các người dùng văn phòng phải được xác thực
bằng LDAP-server trên file.skill12.net.
SAO LƯU
Sao lưu /important-data vào srvpv02.fast-provider.net bằng rsync. Điều này
nên được thực hiện 10 phút một lần (sử dụng crontab của root). Tạo một tập lệnh
/usr/local/bin/backup.sh có thể được sử dụng để chạy sao lưu theo cách thủ công.
GIÁM SÁT
Trang 9


Để theo dõi thiết lập mạng Icinga2. Giao diện web phải có thể truy cập trên cổng
8080 và lắng nghe bất kỳ tên máy /ip. Sử dụng tên người dùng icingaadmin với mật khẩu
Passw0rd$. Thêm các kiểm tra sau:
 Theo dõi fw.skill12.net bằng ICMP.
 Theo dõi trạng thái của trang web intranet.skill12.net
SSH
Để có thể quản lý trang web intranet.skill12.net, hãy thêm một người dùng được

gọi là webmaster với mật khẩu Passw0rd$ và cấp cho nó quyền truy cập SSH. Thư mục
chính của người dùng phải giống với thư mục gốc của trang web. Người dùng không
được phép rời khỏi thư mục chính. Người dùng chỉ được phép sử dụng lệnh ping.
d. ĐÁM MÂY CƠNG CỘNG
Đám mây cơng cộng được sử dụng cho các dịch vụ sản xuất.
Vui lòng tham khảo bảng "NETWORKS" để biết thông tin về các mạng con được
sử dụng.
fw.hcmcskills.org
Openvpn
Định cấu hình VPN site-to-site thành fw.skill12.net - mạng văn phòng.
BIỂU TƯỢNG
Tất cả lưu lượng truy cập qua tường lửa sẽ bị chặn theo mặc định.
Lưu lượng truy cập đến và đi từ public.hcmcskills.org nên được ẩn sau địa chỉ IP
bên ngoài.
Thêm tất cả các quy tắc cần thiết để các dịch vụ và đường hầm hoạt động như dự
kiến.
Reverse-Proxy

Trang 10


Cài đặt nginx và tạo proxy ngược HTTPS cho public.hcmcskills.org và
www.hcmcskills.org. Đối với người dùng bên ngoài, trang web chỉ nên được truy cập một
cách an toàn. Sử dụng chứng chỉ tự ký và đảm bảo rằng khơng có cảnh báo về chứng chỉ
được hiển thị khi duyệt từ janes-pc (user jane) bằng Firefox khi không kết nối với VPN.
public.hcmcskills.org
SAMBA
Gắn kết / data / public-files trên file.skill12.net vào thư mục cục bộ / data /
public-files. Đảm bảo lưu lượng truy cập được định tuyến thông qua đường hầm từ trang
này sang trang khác.

WEB SERVER
Cài đặt máy chủ web Apache2 và thêm hai trang web: public.hcmcskills.org và
www.hcmcskills.org. Cả hai trang web phải dùng HTTP. Thư mục gốc của web cho
www.hcmcskills.org phải được đặt thành /var/www. Khi truy cập public.hcmcskills.org,
danh sách thư mục của /data/public-files sẽ được hiển thị. Là một biện pháp bảo mật cơ
bản, hãy đảm bảo rằng khơng có thông tin nhạy cảm nào được hiển thị trong tiêu đề
HTTP và chân trang.
FTP
Cài đặt một máy chủ FTP bằng proftpd và thêm một người dùng được gọi là
webmaster với mật khẩu Passw0rd$. Hãy đảm bảo rằng thư mục gốc là thư mục giống
như thư mục gốc của web www.hcmcskills.org. Người dùng khơng được rời khỏi thư
mục chính của nó. Khi tải tệp lên, hãy đảm bảo rằng chủ sở hữu được đặt thành wwwdata và nhóm www-data. Tất cả thông tin liên lạc đến máy chủ FTP phải được mã hóa
(SSL rõ ràng). Sử dụng Fail2Ban để chặn người dùng sau ba (3) lần đăng nhập không
thành công. Người dùng sẽ bị chặn trong 1 phút. Thời hạn sẽ không được đánh dấu.
Trang 11


e. NHÀ CUNG CẤP DỊCH VỤ
Mạng của nhà cung cấp dịch vụ đại diện cho internet trong trường hợp này.
srvpv01.fast-provider.net
Cung cấp dịch vụ ISP.
DNS
Định cấu hình vùng DNS cho hcmcskills.org và fast-provider.net. Thêm tất cả
các mục cần thiết. Yêu cầu đối với skill12.net sẽ được chuyển tiếp đến file.skill12.net.
E-mail
Định cấu hình máy chủ để gửi và nhận email cho hcmcskills.org. Người dùng sẽ
có thể truy cập hộp thư của họ qua IMAP. Tất cả giao tiếp giữa máy chủ này và máy
khách phải được bảo mật bằng TLS. Thêm người dùng Có thể gửi
e-mail cho người dùng trong miền skill12.net. Khi nhận được thư tới
, thư trả lời tự động sẽ được gửi lại cho người gửi.

srvpv02.fast-provider.net
Máy chủ này chỉ được sử dụng để sao lưu từ xa.
DNS
Thiết lập máy chủ DNS làm máy chủ phụ cho vùng hcmcskills.org. Khi thêm các
mục vào máy chủ chính, chúng sẽ tự động đồng bộ hóa.
SAO LƯU RSYNC
Cài đặt và cấu hình dịch vụ sao lưu rsync. Máy chủ private.skill12.net phải được
định cấu hình để thực hiện theo lịch trình sao lưu (sử dụng crontab của root) vào thư mục
/backup/private-skill12-net. Giữ nguyên cấu trúc thư mục. Đảm bảo rằng chỉ chủ sở hữu
tệp mới có thể đọc các tệp trong /backup. Là một biện pháp bảo mật cơ bản, hãy đảm bảo
rằng chỉ các máy khách từ đám mây riêng mới được phép đồng bộ hóa. Truy cập trái phép
phải được đăng nhập vào /var/log/rsync/rsync-access.log.

Trang 12


1.3.2 Sơ đồ vật lý

Trang 13


Trang 14


1.4 Giới thiệu các dịch vụ
1.4.1 OpenVPN
Về cơ bản thì VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thông
thường là Internet) để kết nối các địa điểm hoặc kết nối những người sử dụng từ xa với 1
mạng LAN ở trụ sở trung tâm. Thay cho những kết nối phức tạp như đường dây thuê bao
số, VPN tạo ra những liên kết ảo được truyền qua Internet giữa hệ thống mạng riêng của 1

tổ chức với địa điểm hoặc người sử dụng ở xa.
Mạng riêng ảo (Virtual Private Network - VPN) chính là một kết nối an toàn và
đáng tin cậy giữa mạng cục bộ (LAN) và một hệ thống khác. Người dùng có thể hình
dung router của mình chính là chiếc cầu nối để các mạng có thể kết nối vào. Máy tính của
bạn và máy chủ OpenVPN ở trong trường hợp này chính là router sẽ liên kết với nhau
bằng cách sử dụng chứng chỉ xác nhận. Sau khi xác nhận, cả máy chủ và máy khách đều
sẽ đồng ý cho phép truy cập vào mạng của server.
Thông thường khi triển khai phần mềm VPN và phần cứng tốn nhiều thời gian
cũng như chi phí hơn. Vì vậy, OpenVPN là một giải pháp mã nguồn mở VPN hồn tồn
miễn phí cho người dùng. Cùng với OpenVPN, người dùng cịn có thể lựa chọn Tomato
để có được một kết nối an tồn và bảo mật giữa 2 mạng mà không cần thêm bất kỳ một
khoản phí nào. Tuy nhiên, chương trình này mặc định khơng hoạt động hiệu quả như
mong muốn. Vì thế, người dùng cần phải tinh chỉnh và cấu hình lại để có thể sử dụng
chúng một cách hiệu quả.
1.4.2 DHCP
DHCP được viết tắt từ cụm từ Dynamic Host Configuration Protocol (có nghĩa là
Giao thức cấu hình máy chủ). DHCP có nhiệm vụ giúp quản lý nhanh, tự động và tập
trung việc phân phối địa chỉ IP bên trong một mạng. Ngoài ra DHCP cịn giúp đưa thơng
tin đến các thiết bị hợp lý hơn cũng như việc cấu hình subnet mask hay cổng mặc định.
Cách thức hoạt động của DHCP:

Trang 15


Được giải thích một cách ngắn gọn nhất về cách thức hoạt động của DHCP chính
là khi một thiết bị yêu cầu địa chỉ IP từ một router thì ngay sau đó router sẽ gán một địa
chỉ IP khả dụng cho phép thiết bị đó có thể giao tiếp trên mạng.
Như ở các hộ gia đình hay các doanh nghiệp nhỏ thì router sẽ hoạt động như một
máy chủ DHCP nhưng ở các mạng lớn hơn thì DHCP như một máy chỉ ở vai trị là máy
tính.

Cách thức hoạt động của DHCP cịn được giải thích ở một cách khác thì khi một
thiết bị muốn kết nối với mạng thì nó sẽ gửi một yêu cầu tới máy chủ, yêu cầu này gọi là
DHCP DISCOVER. Sau khi yêu cầu này đến máy chủ DHCP thì ngay tại đó máy chủ sẽ
tìm một địa chỉ IP có thể sử dụng trên thiết bị đó tồi cung cấp cho thiết bị địa chỉ cùng với
gói DHCPOFFER
Khi nhận được IP thì thiết bị tiếp tục phản hồi lại máy chủ DHCP gói mang tên
DHCPREQUEST. Lúc này là lúc chấp nhận yêu cầu thì máy chủ sẽ gửi tin báo nhận
(ACK) để xác định thiết bị đó đã có IP, đồng thời xác định rõ thời gian sử dụng IP vừa cấp
đến khi có địa chỉ IP mới.
1.4.3 IPTABLES
IPtables là ứng dụng tường lửa miễn phí trong Linux, cho phép thiết lập các quy
tắc riêng để kiểm sốt truy cập, tăng tính bảo mật, cho phép người dùng thiết lập các
quyền truy cập để kiểm soát lưu lượng một cách chọn lọc trên máy chủ. Khi sử dụng máy
chủ, tường lửa là một trong những công cụ quan trọng giúp bạn ngăn chặn các truy cập
không hợp lệ. Đối với các bản phân phối Linux như Ubuntu, Fedora, CentOS… bạn có
thể tìm thấy cơng cụ tường lửa tích hợp sẵn Iptables
Lý do nên sử dụng IPTABLES
Đây là một cơng cụ đầy đủ tính năng cung cấp cho bạn mọi thứ bạn cần
Bạn có thể xử lý các packet linh hoạt hơn.
iptables cực kỳ thú vị và có thể sẽ khiến bạn cảm thấy cực kỳ tuyệt vời khi làm
việc với chúng.
Trang 16


Bạn sẽ cảm thấy mình giống như một hacker hoặc một kẻ lập dị phi thường khi tự
mình viết được những rule tuyệt vời chống lại các cuộc tấn công.
Cấu trúc của IPTABLES
Để hiểu rõ iptables một cách cụ thể, ta hãy đi tìm hiểu chi tiết hơn về nó. Iptables
bao gồm các thành phần khác nhau:
 Chain: Có 5 chain trong iptables và mỗi chain chịu trách nhiệm cho một

nhiệm vụ cụ thể. Các chain này là: PREROUTING, INPUT, FORWARD,
OUTPUT và POSTROUTING. Giống như tên gọi của chúng, chúng chịu
trách nhiệm về các packet ngay khi nhận được, hoặc ngay trước khi định
tuyến ra bên ngoài.
 Table: các table khác nhau chịu trách nhiệm cho các nhiệm vụ khác nhau.
Danh sách table bao gồm: filter, nat, mangle, raw và security. Hai table
đầu được sử dụng nhiều nhất. Table filter chịu trách nhiệm lọc (filter) và
hạn chế các packet đến máy chủ. Table nat chịu trách nhiệm về chuyển đổi
địa chỉ mạng (NAT – Network Address Translation).
 Target: Các target chỉ định nơi packet sẽ đi. Điều này được quyết định





bằng cách sử dụng các target của chính iptables:
ACCEPT (chấp nhận)
DROP (gỡ bỏ)
RETURN (quay trở lại)
Hoặc target của các extension module, phổ biến nhất là DNAT, LOG,

MASQUERADE, REJECT, SNAT, TRACE và TTL.
 Các target được chia thành có kết thúc và khơng kết thúc. Các target có kết
thúc chấm dứt rule và các packet sẽ bị ngừng ở đó. Nhưng các target
không kết thúc sẽ xử lý packet theo một cách nào đó và rule sẽ được thực
hiện tiếp tục sau đó.
1.4.4 LDAP
LDAP - Lightweight Directory Access Protocol: là một giao thức phát triển trên
chuẩn X500, một giao thức dạng client-server sử dụng để truy cập một dịch vụ thư mục,


Trang 17


một giao thức cho phép người dùng xác định cấu trúc và đặc điểm của thông tin trong thư
mục.
Hiện nay, để xây dựng các hệ thống lớn, điều tối quan trọng là phải làm cách nào
để có thể tích hợp dữ liệu để từ đó có thể dùng chung giữa các hệ thống khác nhau.Trong
đó, tích hợp tài khoản của người sử dụng là vấn đề cần thiết nhất trong những cái "tối
quan trọng" trên.
Hãy tưởng tượng một hệ thống với khoảng 5 - 6 mô đun khác nhau, mỗi mô đun
lại được thiết kế trên một nền tảng khác nhau (Có người thì dùng Oracle + ASPortal, có
người thì dùng DB2 với WebSphere, người khác thì dùng MySQL với phpnuke, người thì
dùng Window, người thì cài Linux), do đó cần có một hệ thống người dùng khác nhau.
Vậy thì với mỗi mơ đun, người sử dụng cần phải có một Username, một mật khẩu khác
nhau, đó là điều khơng thể chấp nhận được. Người dùng chẳng mấy chốc mà chán ghét hệ
thống.
1.4.5 RAID
RAID là chữ viết tắt của Redundant Array of Independent Disks. Ban đầu, RAID
được sử dụng như một giải pháp phịng hộ vì nó cho phép ghi dữ liệu lên nhiều đĩa cứng
cùng lúc. Về sau, RAID đã có nhiều biến thể cho phép khơng chỉ đảm bảo an tồn dữ liệu
mà cịn giúp gia tăng đáng kể tốc độ truy xuất dữ liệu từ đĩa cứng
Có thể hiểu nhanh về RAID qua thông tin dưới đây:
 RAID chỉ nên làm việc với các loại ổ cứng dung lượng bằng nhau.
 Sử dụng RAID sẽ tốn số lượng ổ nhiều hơn bình thường, nhưng đổi lại là
dữ liệu sẽ an tồn hơn.
 RAID có thể dùng cho bất kỳ hệ điều hành nào, từ Window 98, window
2000, window XP, Window 10, window server 2016, MAC OS X, Linux…
vv
 RAID 0 bằng tổng dung lượng các ổ cộng lại.
 RAID 1 chỉ duy trì dung lượng 1 ổ.

 RAID 5 sẽ có dung lượng ít hơn 1 ổ (5 ổ dùng raid 5 sẽ có dung lượng 4
ổ).
Trang 18


 RAID 6 sẽ có dung lượng ít hơn 2 ổ (5 ổ dùng raid 6 sẽ có dung lượng 3
ổ).
 RAID 10 sẽ chỉ tạo được khi số ổ là chẵn, phải có tối thiểu từ 4 ổ trở lên.
Dung lượng bằng tổng số ổ chia đôi (10 ổ thì dung lượng sử dụng là 5 ổ).
1.4.6 LVM
LVM là một công cụ để quản lý phân vùng logic được tạo và phân bổ từ các ổ đĩa
vật lý. Với LVM bạn có thể dễ dàng tạo mới, thay đổi kích thước hoặc xóa bỏ phân vùng
đã tạo.
LVM được sử dụng cho các mục đích sau:
 Tạo 1 hoặc nhiều phần vùng logic hoặc phân vùng với toàn bộ đĩa cứng
(hơi giống với RAID 0, nhưng tương tự như JBOD), cho phép thay đổi
kích thước volume.
 Quản lý trang trại đĩa cứng lớn (Large hard Disk Farms) bằng cách cho
phép thêm và thay thế đĩa mà không bị ngừng hoạt động hoặc gián đoạn
dịch vụ, kết hợp với trao đổi nóng (hot swapping).
 Trên các hệ thống nhỏ (như máy tính để bàn), thay vì phải ước tính thời
gian cài đặt, phân vùng có thể cần lớn đến mức nào, LVM cho phép các hệ
thống tệp dễ dàng thay đổi kích thước khi cần.
 Thực hiện sao lưu nhất quán bằng cách tạo snapshot nhanh các khối một
cách hợp lý.
 Mã hóa nhiều phân vùng vật lý bằng một mật khẩu
1.4.7 SAMBA
Samba Server là một máy chủ tập tin (File Server), sử dụng trong mạng nội bộ.
Là nơi lưu trữ tập trung các thông tin của một tổ chức, doanh nghiệp bất kỳ và thường
được cài đặt trên hệ điều hành Linux hoặc Windows. Máy chủ Samba hoạt động chủ yếu

dựa trên giao thức SMB (Server Message Block Protocol) được công bố năm 1984 trong
một tài liệu kỹ thuật của hãng IBM với mục đích ban đầu là thiết kế một giao thức mạng
để đặt tên và duyệt (naming and browsing).
Sự phổ biến của giao thức SMB bắt nguồn từ đâu?
Trang 19


Tuy nhiên, giao thức này chỉ thực sự được biết đến rộng rãi với tên gọi CIFS
(Common Internet File Sharing - Hệ thống chia sẻ tập tin phổ biến trên mạng) khi được
Microsoft thừa hưởng và phát triển. CIFS được phát triển phổ biến do có thiết kế đơn giản
và đáp ứng được nhu cầu sử dụng của số lượng lớn người dùng. Giao thức này được hình
thành cịn hướng người dùng đến việc chia sẻ và lưu trữ thông tin lên một máy chủ nhất
định. Do vậy, nó đem đến tính ứng dụng cao đối với một mơ hình mạng tập trung cho một
tổ chức hay doanh nghiệp.
Cách thức hoạt động của giao thức SMB
Đối với giao thức SMB (tên gọi sơ khai của CIFS), nó hoạt động trong mạng
Internet dựa trên giao thức TCP/IP. Và đem đến cho người dùng toàn quyền trong việc tạo
một tập tin với các quyền hạn như Chỉ đọc (Read Only), Đọc và ghi (Read-Write), đặt mật
khẩu, khóa một tập tin, …. Ngồi ra, SMB cịn hỗ trợ các tính năng khác như:







Đàm phán, dàn xếp để tương thích giữa các hình thái SMB
Phát hiện các máy chủ sử dụng SMB trên mạng (browse network)
Xác thực truy cập file, thư mục chia sẻ
Thông báo sự thay đổi file và thư mục

Xử lý các thuộc tính mở rộng của file
Hỗ trợ Unicode

1.4.8 NFS
NFS (Network File System) là một hệ thống giao thức chia sẻ file phát triển bởi
Sun Microsystems từ năm 1984, cho phép một người dùng trên một máy tính khách truy
cập tới hệ thống file chia sẻ thông qua một mạng máy tính giống như truy cập trực tiếp
trên ổ cứng. Hiện tại có 3 phiên bản NFS là NFSv2, NFSv3, NFSv4.
a. NFSv2
Phiên bản 2 của giao thức (được xác định trong RFC 1094 , tháng 3 năm 1989)
ban đầu chỉ hoạt động trên Giao thức gói dữ liệu người dùng (UDP). Các nhà thiết kế của
nó có nghĩa là giữ cho phía máy chủ khơng trạng thái , với việc khóa (ví dụ) được triển
khai bên ngồi giao thức cốt lõi. Những người liên quan đến việc tạo ra NFS phiên bản 2
bao gồm Russel Sandberg , Bob Lyon , Bill Joy , Steve Kleiman và những người khácCác
Trang 20


hệ thống tập tin ảo giao diện cho phép thực hiện mô đun, phản ánh trong một giao thức
đơn giản. Đến tháng 2 năm 1986, việc triển khai đã được chứng minh cho các hệ điều
hành như System V phát hành 2, DOS và VAX / VMS sử dụng Eunice NFSv2 chỉ cho
phép đọc 2 GB đầu tiên của tệp do giới hạn 32 bit .
NFSv3
Phiên bản 3 ( RFC 1813 , tháng 6 năm 1995) đã thêm:
Hỗ trợ kích thước và độ lệch tệp 64 bit, để xử lý các tệp lớn hơn 2 gigabyte (GB);
Hỗ trợ ghi không đồng bộ trên máy chủ, để cải thiện hiệu suất ghi;
Thuộc tính tệp bổ sung trong nhiều phản hồi, để tránh phải tìm nạp lại chúng;
Một thao tác READDIRPLUS, để xử lý tệp và các thuộc tính cùng với tên tệp
khi quét thư mục;
Các loại cải tiến khác.
Đề xuất NFS Phiên bản 3 đầu tiên trong Sun microsystems đã được tạo ra không

lâu sau khi phát hành NFS Phiên bản 2. Động lực chính là nỗ lực giảm thiểu vấn đề hiệu
năng của hoạt động ghi đồng bộ trong NFS Phiên bản 2. Đến tháng 7 năm 1992, việc thực
hiện thực tế đã giải quyết được nhiều thiếu sót của NFS Phiên bản 2, chỉ thiếu hỗ trợ tệp
lớn (kích thước tệp 64 bit và độ lệch) là một vấn đề cấp bách. Điều này đã trở thành một
điểm đau cấp tính đối với Tập đồn Thiết bị Kỹ thuật số với việc giới thiệu phiên bản
Ultrix 64 bit để hỗ trợ bộ xử lý RISC 64 bit mới phát hành của họ , Alpha 21064 . Tại thời
điểm giới thiệu Phiên bản 3, nhà cung cấp hỗ trợ cho TCP dưới dạng giao thức lớp vận
chuyển bắt đầu tăng. Mặc dù một số nhà cung cấp đã thêm hỗ trợ cho NFS Phiên bản 2
với TCP làm phương tiện vận chuyển, Sun microsystems đã thêm hỗ trợ cho TCP dưới
dạng vận chuyển cho NFS đồng thời bổ sung hỗ trợ cho Phiên bản 3. Sử dụng TCP làm
phương tiện vận chuyển được thực hiện bằng NFS qua mạng WAN khả thi hơn và cho
phép sử dụng các kích thước truyền và đọc lớn hơn vượt quá giới hạn 8 KB do Giao thức
gói dữ liệu người dùng áp đặt .

Trang 21


NFSv4
Phiên bản 4 ( RFC 3010 , tháng 12 năm 2000; được sửa đổi trong RFC 3530 ,
tháng 4 năm 2003 và một lần nữa trong RFC 7530 , tháng 3 năm 2015), chịu ảnh hưởng
của Andrew File System (AFS) và Server Message Block (SMB, cũng được gọi là CIFS),
bao gồm cải tiến hiệu suất, bắt buộc bảo mật mạnh mẽ, và giới thiệu một giao thức trạng
thái Phiên bản 4 trở thành phiên bản đầu tiên được phát triển với Lực lượng đặc nhiệm kỹ
thuật Internet (IETF) sau khi Sun microsystems bàn giao việc phát triển các giao thức
NFS.
Phiên bản NFS 4.1 ( RFC 5661 , tháng 1 năm 2010) nhằm mục đích cung cấp hỗ trợ giao
thức để tận dụng các triển khai máy chủ phân cụm bao gồm khả năng cung cấp quyền truy
cập song song có thể mở rộng vào các tệp được phân phối giữa nhiều máy chủ (tiện ích
mở rộng pNFS). Phiên bản 4.1 bao gồm cơ chế trung kế phiên (Còn được gọi là NFS
Multipathing) và có sẵn trong một số giải pháp doanh nghiệp như VMware ESXi .

Phiên bản NFS 4.2 ( RFC 7862 ) đã được xuất bản vào tháng 11 năm 2016 với các tính
năng mới bao gồm: sao chép và sao chép phía máy chủ, tư vấn I / O ứng dụng, tệp thưa,
đặt chỗ không gian, khối dữ liệu ứng dụng (ADB), được gắn nhãn NFS với sec_label có
thể chứa bất kỳ hệ thống bảo mật MAC nào và hai hoạt động mới cho pNFS
(LAYOUTERROR và LAYOUTSTATS).
Một lợi thế lớn của NFSv4 so với các phiên bản trước đó là chỉ có một cổng UDP hoặc
TCP, 2049, được sử dụng để chạy dịch vụ, giúp đơn giản hóa việc sử dụng giao thức trên
tường lửa.
1.4.9 DNS
DNS viết tắt từ Domain Name System(tạm dịch Hệ thống tên miền) là Hệ thống
phân giải tên được phát minh vào năm 1984 cho Internet và là một trong số các chuẩn
công nghiệp của các cổng bao gồm cả TCP/IP. DNS là chìa khóa chủ chốt của nhiều dịch
vụ mạng như duyệt Internet, mail server, web server...Có thể nói khơng có DNS, Internet
sẽ mau chóng lụi tàn để bạn có thể hình dung về mức độ quan trọng của DNS.

Trang 22


Các tài nguyên mạng được định danh bằng những địa chỉ IP dạng như 10.0.0.10
làm ví dụ. Mỗi máy tính khi kết nối vào mạng Internet cũng được gán cho 1 địa chỉ IP
riêng biệt không trùng lẫn với bất kỳ máy tính nào khác trên thế giới. Tương tự vậy với
website cũng có các địa chỉ IP riêng biệt. Tuy nhiên, bạn đâu thể nhớ rõ địa chỉ IP sẽ dẫn
đến website thay vì gõ địa chỉ IP bạn chỉ cần gõ tên miền
1.4.10 Email
Mail Server hay Email Server là hệ thống máy chủ được cấu hình riêng theo tên
miền của doanh nghiệp dùng để gửi và nhận thư điện tử. Một Mail server tương tự như
bưu điện, nơi lưu trữ và sắp xếp thư trước khi gửi tới điểm đến. Mỗi email sẽ gửi qua một
loạt các máy chủ trên đường đi tới hộp mail của người nhận. Mỗi lần gửi mail, quy trình
có thể được mơ tả đơn giản dễ hiểu như sau: email được gửi từ PC của bạn sang PC khác
chỉ trong chớp mắt. Tuy nhiên, thực tế diễn biến của q trình khơng hề đơn giản như vậy,

mà trong đó chứa rất nhiều chuyển đổi phức tạp diễn ra. Nếu khơng có các chuyển đổi
phức tạp đó, thì bạn chỉ có thể gửi email trong một giới hạn nhất định.
Các loại mail server
Mail server gửi đi ( Outgoing Mail Servers )
Mail Server gửi đi (Outgoing Mail Servers) hay còn được gọi là SMTP (Simple
Mail Transfer Protocol) - Giao thức dịch chuyển Mail đơn giả
Mail server đến ( Incoming Mail Servers )
Mail Server đến (Incoming Mail Servers) hay còn được biết đến dưới 2 loại giao
thức:
POP3 (Post Office Protocol phiên bản 3)
IMAP (Internet Message Access Protocol)
Khi thiết lập email, bạn đã có thể được hỏi về việc lựa chọn giao thức email bạn
muốn (POP3 hay IMAP).

Trang 23


Cách thức hoạt động
Bước 1:
Sau khi tạo và gửi email, email của bạn sẽ kết nối với Server SMTP mang tên
miền của mình. SMTP sẽ đặt tên cho tất cả mọi thứ, ví dụ: smtp.tenmien.com.
Bước 2:
Email của bạn sẽ "giao tiếp" với SMTP server. Và cung cấp cho SMTP Server
mọi thông tin như: địa chỉ mail người gửi, địa chỉ mail người nhận, nội dung email và file
đính kèm.
Bước 3:
Tại đây có 2 trường hợp xảy ra:
Trường hợp 1: Tên miền (domain email) của người gửi và người nhận giống
nhau.
tới Mail này sẽ được

gửi trực tiếp đến POP3 hoặc IMAP Server có tên miền của bạn.
Trường hợp 2: Tên miền của người gửi và người nhận khác
tới SMTP Server sẽ
phải "liên lạc" với một server tên miền khác.
Bước 4:
Để tìm ra Server của người nhận, SMTP Server của người gửi sẽ phải giao tiếp
với DNS (Domain Name Server).
DNS sẽ lấy thông tin tên miền người nhận và dịch trang địa chỉ IP.
SMTP Server người gửi không thể thực hiện gửi email chính xác mà chỉ dựa trên
tên miền thêm vào đó sẽ là địa chỉ IP. Địa chỉ IP (đơn nhất) sẽ giúp SMTP hoạt động
chính xác và hiệu quả hơn.

Trang 24


Bước 5:
Sau khi có địa chỉ IP của người nhận, tức SMTP người gửi đã có thể kết nối
SMTP Server người nhận. 
Bước 6:
SMTP server người nhận sẽ quét (scan) thư gửi đến. Nếu nhận ra tên miền và tên
người gửi, nó sẽ chuyển tiếp (forward) mail thuộc POP3 hoặc IMAP server mang tên
miền của bạn.
Từ đây, email đã được gửi đến mục hộp thư đến của người nhận.
1.4.11 Web Server
Web Server là tên gọi dành cho một loại máy chủ có dung lượng lớn, tốc độ cao
có cơng dụng lưu trữ các thông tin trên internet như một ngân hàng dữ liệu bao gồm các
website đã được thiết kế và các thơng tin, tài khoản… có liên quan.
Xét ở mức độ cơ bản nhất, toàn bộ các website cần một chương trình máy tính,
phân phối các trang web khi có yêu cầu từ người dùng. Chiếc máy tính chạy chương trình
này là web server. Khi một người dùng sử dụng máy tính để truy cập một website, họ

nhập và gửi yêu cầu tới internet về việc xem một trang web.
Điều này có thể thực hiện được là vì mỗi máy tính/ thiết bị kết nối internet đều
được định danh với một địa chỉ nhận dạng duy nhất IP (viết tắt của từ Internet Protocol
giao thức internet). Thông qua địa chỉ này, các máy tính có thể tìm kiếm nhau.
Mỗi trang web tương ứng có một địa chỉ duy nhất là URL (viết tắt của từ Uniform
Resource Locator). Khi người dùng sử dụng máy tính (máy khách) nhập URL của website
vào trình duyệt web. Ví dụ: nhập: vào trình duyệt. Máy khách sẽ gửi
yêu cầu truy cập đến IP của Web server sẽ nhận được yêu cầu về việc xem nội dung trang
web của Long Vân thông qua qua giao thức http – giao thức được thiết kế để gửi các file
đến trình duyệt web và các giao thức khác. Web server sẽ sẽ gửi nội dung web (bài viết,
hình ảnh, video,…) đến máy khách thông qua đường truyền internet.

Trang 25