ĐẠI HỌC QUỐC GIA HÀ NỘI VIỆN CÔNG NGHỆ THÔNG TIN ĐỒNG QUANG VIỆT XÂY DỰNG HỆ THỐNG QUẢN LÝ TÀI NGUYÊN VÀ TRUY CẬP INTERNET CHO CÁC KÝ TÚC XÁ ĐẠI HỌC QUỐC GIA HÀ NỘI LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Hà Nội - 2016 ĐẠI HỌC QUỐC GIA HÀ NỘI VIỆN CÔNG NGHỆ THÔNG TIN ĐỒNG QUANG VIỆT XÂY DỰNG HỆ THỐNG QUẢN LÝ TÀI NGUYÊN VÀ TRUY CẬP INTERNET CHO CÁC KÝ TÚC XÁ ĐẠI HỌC QUỐC GIA HÀ NỘI Ngành: Công nghệ Thông tin Chuyên ngành: Quản lý Hệ thống Thông tin Mã số: Chuyên ngành đào tạo thí điểm LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: TS VŨ DUY LINH NHẬN XÉT CỦA NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN CHỦ TICH HỘI ĐỒNG CHẤM LUẬN VĂN TS VŨ DUY LINH PGS.TS ĐỖ NĂNG TOÀN Hà Nội – 2016 Lời cảm ơn Để hoàn thành luận văn này, trước tiên, xin gửi lời cảm ơn sâu sắc đến thầy giáo TS Vũ Duy Linh, người khơi nguồn, định hướng chuyên môn, trực tiếp hướng dẫn tạo điều kiện thuận lợi cho tơi q trình thực luận văn Tôi xin chân thành gửi lời cảm ơn đến thầy cô Viện CNTT – ĐH Quốc Gia Hà Nội góp ý kiến, nhận xét quan tâm bảo, giúp đỡ tận tình trình thực đề tài Tôi xin chân thành gửi lời cám ơn đến bạn đồng nghiệp Trung tâm Ứng dụng Công nghệ Thông tin – Viện CNTT – ĐH Quốc Gia Hà Nội tạo điều kiện giúp đỡ tơi q trình thực đề tài Cuối cùng, tơi xin bày tỏ lịng kính trọng biết ơn sâu sắc đến gia đình tạo động lực điều kiện tốt để tơi hồn thành tốt cơng việc trình thực luận văn Mặc dù cố gắng q trình thực luận văn khơng thể tránh khỏi thiếu sót Tơi mong nhận góp ý thầy bạn bè để tiếp tục hoàn thiện thêm việc xây dựng hệ thống quản lý tài nguyên truy cập internet cho ký túc xá Đại học Quốc gia Hà Nội Hà Nội, ngày tháng năm 2016 Tác giả luận văn Đồng Quang Việt Lời cam đoan Tôi xin cam đoan cơng trình nghiên cứu tơi, có hỗ trợ từ Thầy hướng dẫn người cảm ơn Các nội dung nghiên cứu kết đề tài trung thực chưa công bố cơng trình Hà Nội, ngày tháng năm 2016 Tác giả luận văn Đồng Quang Việt MỤC LỤC DANH MỤC THUẬT NGỮ VÀ TỪ VIẾT TẮT i DANH MỤC HÌNH ii DANH MỤC BẢNG iii MỞ ĐẦU Chương 1: Tổng quan quản lý tài nguyên truy cập internet số giải pháp 1.1 Các ứng dụng dịch vụ mạng 1.1.1 DHCP 1.1.2 LDAP 1.1.3 RADIUS 1.1.4 DNS Forwarder .8 1.1.5 Squid proxy .8 1.1.6 Captive portal 1.1.7 Firewall 1.1.8 Load Balancer .11 1.2 Một số giải pháp quản lý tài nguyên truy cập internet 11 1.2.1 Giới thiệu giải pháp 11 1.2.2 So sánh giải pháp: 16 Chương 2: Thiết kế hệ thống quản lý tài nguyên truy cập internet cho ký túc xá ĐHQGHN 19 2.1 Kiến trúc hệ thống: 19 2.2 Nguyên lý hoạt động: 24 2.2.1 DHCP cho hệ thống quản lý tài nguyên truy cập internet KTXNN 24 2.2.2 Chứng thực người sử dụng cho hệ thống quản lý tài nguyên truy cập internet KTXNN .25 2.2.3 FireWall cho hệ thống quản lý tài nguyên truy cập internet KTXNN 26 2.2.4 Routing Load balancing cho hệ thống quản lý tài nguyên truy cập internet KTXNN .27 Kết luận Chương .28 Chương 3: Xây dựng hệ thống quản lý tài nguyên truy cập internet cho ký túc xá ĐHNN ĐHQGHN 29 3.1 Thực nghiệm xây dựng hệ thống quản lý tài nguyên truy cập internet cho KTXNN 29 3.2 Đánh giá hệ thống quản lý tài nguyên truy cập internet KTXNN 45 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 49 TÀI LIỆU THAM KHẢO .50 DANH MỤC THUẬT NGỮ VÀ TỪ VIẾT TẮT DHCP LDAP RADIUS AAA NAC NAP TNC HA PVS ĐHQGHN KTXNN ĐHNN Dynamic Host Configuration Protocol Lightweight Directory Access Protocol Remote Authentication Dial-In User Service Authentication, Authorization, Access Control Network Admission Control Network Access Protection The Trusted Network Connect High Availability Posture Validation Server Đại Học Quốc Gia Hà Nôi Ký Túc Xá Đại học Ngoại Ngữ - Đại học Quốc gia Hà Nội Đại Học Ngoại Ngữ i DANH MỤC HÌNH Hình 1.1: Mơ hình kết nối client/server Hình 1.2: Thao tác tìm kiếm Hình 1.3: Những thơng điệp Client gửi cho server Hình 1.4: Nhiều kết tìm kiếm trả Hình 1.5: Tường lửa làm nhiệm vụ bảo vệ 10 Hình 1.6: Mơ hình xác thực NAC Cisco (nguồn [9]) .12 Hình 1.7: Mơ hình xác thực sử dụng Captive Portal .13 Hình 1.8: Mơ hình sử dụng PFSense .14 Hình 2.1: Mơ hình hệ thống mạng KTXNN 20 Hình 2.2: Mơ hình hệ thống mạng KTXNN – PFSense 22 Hình 2.3: Thông tin hệ thống Server PFSense 23 Hình 2.4: Mơ hình hệ thống mạng chia Vlan KTXNN 24 Hình 2.5: Bật chức DHCP server cho VLAN 25 Hình 2.6: Cấu hình cấp dải IP cho VLAN 25 Hình 2.7: Rules VLAN21NHAA 26 Hình 2.8: Bảng thiết lập NAT (1:1) .27 Hình 3.1: Cấu hình DHCP cho VLAN21NHAA 29 Hình 3.2: Cấu hình DHCP cho VLAN31NHAB 30 Hình 3.3: Cấu hình DHCP cho VLAN12 31 Hình 3.4: Cấu hình DHCP cho VLANWIFI16 .32 Hình 3.5: Kích hoạt DNS Forwarder .33 Hình 3.6: kích hoạt captive portal cho interface .33 Hình 3.7: Thiết lập Radius server Captive portal 34 Hình 3.8: Thiết lập IP qua Captive Portal .34 Hình 3.9: Bảng thiết lập Ip qua Captive Portal .35 Hình 3.10: Thiết lập kết nối LDAP cho FreeRADIUS 36 Hình 3.11: Bảng Rules Interface WANVNU112 37 Hình 3.12: Giới hạn băng thơng 37 Hình 3.13: Thiết lập hàng cho interface 38 ii Hình 3.14: Thiết lập hàng cho interface 38 Hình 3.15: Bảng Vlan hệ thống 39 Hình 3.16: Chỉnh sửa Vlan 39 Hình 3.17: Bảng interface hệ thống 40 Hình 3.18: Interface VLAN21NHAA 41 Hình 3.19: Interface WANVNU112 42 Hình 3.20: Interface WAN_SPT 43 Hình 3.21: Bảng routing 44 Hình 3.22: Cấu hình WAN_SPT gateway 44 Hình 3.23: Default Gateway hệ thống 45 Hình 3.24: Băng thơng qua interface WANVNU112 .46 Hình 3.25: Thơng tin hệ thống 47 Hình 3.26: Bảng trạng thái queue áp dụng interface 48 DANH MỤC BẢNG Bảng 1.1: So sánh giải pháp quản lý tài nguyên truy cập internet 17 iii MỞ ĐẦU Chúng ta sống thời đại mới, thời đại phát triển rực rỡ công nghệ thông tin Công nghệ thơng tin bước phát triển cao số hóa tất liệu thơng tin, luân chuyển mạnh mẽ kết nối tất lại với Mọi loại thông tin, số liệu âm thanh, hình ảnh đưa dạng kỹ thuật số để máy tính lưu trữ chuyển tiếp cho nhiều người Từ liệu số hóa trở thành tài nguyên chia sẻ chung hệ thống mạng internet Chính quản lý tài ngun truy cập internet người sử dụng toán tổng quan phổ biến Quản lý tài nguyên truy cập internet người sử dụng cần đáp ứng nhu cầu quản lý khác đơn vị, tổ chức doanh nghiệp mà chọn giải pháp khác Quản lý tài nguyên truy cập internet người sử dụng nhằm mục đích làm cho việc sử dụng tài nguyên truy cập internet hiệu sáng Rõ ràng bạn không muốn người sử dụng truy cập internet tài ngun khơng lành mạnh cần quản lý nội dung truy cập người sử dụng Và tăng hiệu làm việc khả học tập người sử dụng Quản lý tài nguyên truy cập internet phải quản lý lưu lượng sử dụng dung lượng sử dụng người sử dụng, tránh làm ảnh hưởng đến chất lượng hệ thống việc sử dụng cá nhân khác Quản lý tài nguyên truy cập internet người sử dụng việc phải bảo đảm an toàn bảo mật thông tin người sử dụng hoạt động hệ thống Quản lý tài nguyên truy cập internet người sử dụng quản lý số người truy cập tài nguyên internet Muốn quản lý tài nguyên truy cập internet người sử dụng cần phải xây dựng hệ thống quản lý tài nguyên truy cập internet Với nhiều kỹ thuật có nhiều giải pháp đưa để quản lý tài nguyên truy cập internet người sử dụng Khiến cho toán quản lý tài nguyên truy cập internet trở nên thiết thực, phong phú áp dụng nhiều mô hình mạng khác từ nhỏ đến lớn Có thể kể đến giải pháp như: Captive Portal [2], Firewall, DHCP tích hợp MAC filter hay giải pháp hãng như: Cisco có gói giải pháp NAC (Network Admission Control) [10], Microsoft có gói giải pháp NAP (Network Access Protection) [11], hay tổ chức phi lợi nhuận The Trusted Computing Group đưa gói giải pháp TNC (the Trusted Network Connect) [12] Nhưng để đáp ứng nhu cầu mạnh mẽ với chi phí thấp sử dụng hệ thống tích hợp mã nguồn mở PFSense [5][6], hệ thống thiết thực với toán quản lý tài ngun truy cập internet cung cấp dịch vụ độc lập, phong phú, cho phép triển khai hệ thống mạng cỡ vừa lớn, với tập người dùng đa dạng, tập trung đến yếu tố quản lý truy xuất tài nguyên mạng người sử dụng đầu cuối quan trọng hệ thống phần mềm hồn tồn miễn phí phí triển khai thấp Hình 3.10: Thiết lập kết nối LDAP cho FreeRADIUS Trên hình 3.10 thấy địa IP LDAP là: 172.16.1.197 Bên cổng kết nối 389 Tiếp đến chứng thực tài khoản admin LDAP với password bên Cấu hình Rules cho Interface WANVNU112 interface để interface khác truy cập internet Do hệ thống mà người dùng chủ yếu sinh viên nên luật lọc đơn giản hình bên dưới: 36 Hình 3.11: Bảng Rules Interface WANVNU112 Cấu hình Traffic Shaper cho hệ thống quản lý tài nguyên truy cập internet KTXNN Đối với interface ta tùy chỉnh thông số cần giới hạn cho phù hợp với interface tương ứng Ngồi tạo giới hạn băng thông theo yêu cầu để hạn chế việc bị tải Hình 3.12: Giới hạn băng thơng 37 Hình 3.13: Thiết lập hàng cho interface Hình 3.14: Thiết lập hàng cho interface Thiết lập Vlan cho hệ thống quản lý tài nguyên truy cập internet KTXNN Đây bước quan trọng việc triển khai hệ thống quản lý tài nguyên truy cập internet KTXNN Dưới bảng Vlan hệ thống: 38 Hình 3.15: Bảng Vlan hệ thống Dưới cấu hình Vlan hệ thống Hình 3.16: Chỉnh sửa Vlan Mỗi Vlan liên quan đến Interface tương ứng thể bảng Interface đây: 39 Hình 3.17: Bảng interface hệ thống Trên bảng thể interface liên quan đến vlan không liên quan đến vlan interface khơng liên quan đến vlan cơng mạng thực tế server Như server PFSense hệ thống quản lý tài nguyên truy cập internet KTXNN quan tâm đến interface liên quan đến công mạng thực tế kết nối đến Internet VNU Internet SGPT interface WANVNU112 WAN_SPT Ngoài interface liên quan đến Vlan hệ thống như: VLAN12, VLAN13, VLAN14, VLAN15, VLAN16WIFI, VLAN21NHAA, VLAN31NHAB Các interface đến Vlan cần khai báo dải địa Vlan hình bên VLAN21NHAA 40 Hình 3.18: Interface VLAN21NHAA Tương ứng với interface Vlan lại Đối với Interface liên quan đến cơng mạng thực tế cần cấu hình địa IP cho interface chọn Gateway tương ứng để định tuyến cho interface 41 Cấu hình giải địa IP tương ứng WANVNU112 hình bên dưới: Hình 3.19: Interface WANVNU112 42 Cấu hình Interface WAN_SPT hình bên dưới: Hình 3.20: Interface WAN_SPT Từ cấu hình interface hiểu cấu hình routing cho hệ thống quản lý tài nguyên truy cập internet KTXNN 43 Dưới bảng routing hệ thống: Hình 3.21: Bảng routing Trên bảng quan tâm đến cấu hình routing cấu hình default gateway cấu hình WAN_SPT Dưới cấu hình WAN_SPT: Hình 3.22: Cấu hình WAN_SPT gateway Cấu hình để phục vụ cho việc NAT địa chạy trực tiếp hệ thống wifi miễn phí đường Internet SGPT Dưới cấu hình Default GateWay để tất vlan tương ứng interface chạy mặc định qua 44 Hình 3.23: Default Gateway hệ thống Trên số cấu hình thực nghiệm xây dựng hệ thống quản lý tài nguyên truy cập internet KTXNN Trên giao diện Web việc cấu hình hệ thống dễ dàng để tối ưu hệ thống cần nghiên cứu sâu cần thời gian giám sát hệ thống để đưa tinh chỉnh cho hệ thống phù hợp 3.2 Đánh giá hệ thống quản lý tài nguyên truy cập internet KTXNN Sau triển khai xây dựng hệ thống quản lý tài nguyên truy cập internet cho KTXNN nhận thấy điểm khác biệt sau: Triển khai hệ thống xác thực Captive Portal username/password hệ thống email sinh viên nên việc truy cập tài nguyên internet KTXNN giới hạn phục vụ cho hệ thống sinh viên nhà trường Từ quản lý việc truy cập từ mạng Lan từ Wifi hệ thống mạng KTXNN Triển khai xây dựng hệ thống quản lý tài nguyên truy cập internet KTXNN kiểm sốt băng thơng sử dụng hệ thống qua hệ thống giám sát hệ thống hình bên dưới: 45 Hình 3.24: Băng thông qua interface WANVNU112 Với hệ thống giám sát băng thơng giám sát băng thơng qua interface mà trước khơng thể kiểm soát việc Từ giám sát băng thơng tối ưu hóa luật lọc hệ thống để cho hệ thống hoạt động tốt Hệ thống quản lý tài nguyên truy cập internet KTXNN bao gồm hệ thống Firewall nên việc sử dụng an tồn bảo mật hệ thống tinh Rule để ngăn chặn cơng từ bên ngồi vào hệ thống Nhưng hệ thống phục vụ sinh viên nên việc thiết lập Rule phức tạp chưa áp dụng nhiều Hệ thống ln có báo cáo tình trạng hoạt động server nên dễ dàng kiểm sốt tình trạng hoạt động server hệ thống có ổn định hay khơng 46 Hình 3.25: Thông tin hệ thống Đối với người quản trị mà nói triển khai hệ thống quản lý tài nguyên truy cập internet làm cho người quan tri thấy rõ hệ thống để tính chỉnh cho hệ thống tối ưu nhiều ví thiết lập queue traffic shaper có hệ thống phần giám sát queue hoạt động 47 Hình 3.26: Bảng trạng thái queue áp dụng interface Hệ thống quản lý tài nguyên truy cập internet KTXNN triển khai hệ thống mã nguồn mở PFSense hệ thống ưu việt với phần mềm miễn phí chi phí triển khai thấp Cũng hệ thống có khả triển khai nhiều tính cần thiết cho hệ thống mạng lớn ký túc xá Đại học Ngoại Ngữ Mà quản trị web đơn giản có nhiều cơng cụ hỗ trợ cho người quản trị Sau thời gian hoạt động thấy hệ thống hoạt động ổn định có hiệu cao Từ triển khai hệ thống quản lý tài nguyên truy cập internet KTXNN việc cấp phát DHCP IP thống nên khơng cịn xảy việc xung đột địa IP làm gián đoạn việc sử dụng sinh viên Cũng kiểm sốt băng thơng sử dụng Vlan giới hạn băng thông phù hợp nên không thấy việc nghén nút mạng cổ chai không thấy việc thiết bị treo hay tải trước làm gián đoạn việc sử dụng sinh viên Đảm bảo việc sử dụng cho khoảng 2000 sinh viên ký túc xá Đáp ứng nhu cầu học tập giải trí sinh viên KTXNN 48 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Trong điều kiện thời gian có hạn, luận văn hoàn thành số nội dung sau: Luận văn trình bày số lý thuyết dịch vụ, ứng dụng mạng cần có hệ thống quản lý tài nguyên truy cập internet Luận văn nêu số giải pháp quản lý tài nguyên truy cập internet Trong tìm hiểu kỹ giải pháp quản lý tài nguyên truy cập internet hệ thống mã nguồn mở PFSense Qua so sánh đánh giá thấy đáp ứng việc xây dựng hệ thống quản lý tài nguyên truy cập internet cho ký túc xá Đại học Quốc gia Hà nội Trình bày việc xây dựng hệ thống quản lý tài nguyên truy cập internet cho ký túc xá Đại học Ngoại Ngữ - Đại học Quốc gia Hà Nội làm điển hình cho việc xây dựng hệ thống cho ký túc xá khác Đại học Quốc gia Hà Nội Cuối trình bày cấu hình thực nghiệm hệ thống quản lý tài nguyên truy cập internet ký túc xá Đại học Ngoại Ngữ Cũng từ đánh giá khác biệt có hệ thống thơng qua việc vận hành giám sát hệ thống Hiện hệ thống quản lý tài nguyên truy cập internet xây dựng ký túc xá - Đại học Ngoại ngữ cần có nhiều thời gian giám sát, phân tích để đánh giá hệ thống Tiếp đến tinh chỉnh cấu hình phát triển thêm tính đáp ứng nhu cầu quản lý sử dụng ký túc xá Sau hồn thiện hệ thống từ áp dụng cho ký túc xá khác Đại học Quốc gia Hà Nội 49 TÀI LIỆU THAM KHẢO [1] Sergey Poznyakoff, “Gnu Radius Reference Manual”, Published by Free Software Foundation, 2003 [2] Ralph Droms, Ted Lemon, “The DHCP Handbook”, 2nd Edition, SAMS, November 2002 [3] R Droms, W Arbaugh, “Authentication for DHCP Messages”, RFC 3118, June 2001 [4] Chirag Sheth, Rajesh Thakker, “Performance Evaluation and Comparative Analysis of Network Firewalls”, 2011 IEEE [5] Christopher M Buechler, Jim Pingle, “The Definitive Guide to the PFSense Open Source Firewall and Router Distribution”, 2009 [6] Matt Williamson, “PFSense2 Cookbook”, 2011 Packt Publishing [7] The FreeRADIUS Server Project and Contributors, 2014, http://freeradius.org/doc/ [8] Benny Czarny, “Network Access Control Technologies”, OPSWAT Inc, [9] https://www.opswat.com/sites/default/files/Network_Access_Control_Technolo gies.pdf [10] http://en.wikipedia.org/wiki/Network_Admission_Control [11] http://en.wikipedia.org/wiki/Network_Access_Protection [12] http://en.wikipedia.org/wiki/Trusted_Network_Connect [13] Đinh Hồng Ngọc (2014), Nâng cao hiệu quản lý truy cập mạng cho hệ thống firewall PFSense với tập người dùng động, Luận văn Thạc sĩ, Trường Đại học Công nghệ, Đại học Quốc gia Hà Nội [14] http://cait.vnu.edu.vn/giai-phap/28/squid-proxy-cho-quan-ly-truy-cap-internet 50 ... xây dựng hệ thống quản lý tài nguyên truy cập internet cho ký túc xá Đại học Quốc gia Hà Nội Trình bày việc xây dựng hệ thống quản lý tài nguyên truy cập internet cho ký túc xá Đại học Quốc gia. ..ĐẠI HỌC QUỐC GIA HÀ NỘI VIỆN CÔNG NGHỆ THÔNG TIN ĐỒNG QUANG VIỆT XÂY DỰNG HỆ THỐNG QUẢN LÝ TÀI NGUYÊN VÀ TRUY CẬP INTERNET CHO CÁC KÝ TÚC XÁ ĐẠI HỌC QUỐC GIA HÀ NỘI Ngành: Công nghệ Thông tin. .. ngữ Đại học Quốc gia Hà Nội hệ thống mã nguồn mở PFSense 18 Chương 2: Thiết kế hệ thống quản lý tài nguyên truy cập internet cho ký túc xá ĐHQGHN Hệ thống quản lý tài nguyên truy cập internet cho