Xây Dựng Hệ Thống Mạng Cho Viện Giáo Dục Quốc Tế HUFLIT

Một hạ tầng mạng cho trường đại học quy mô như HUFLIT, với khoảng 400 sinh viên, 30 giảng viên và các phòng ban khác, đòi hỏi một thiết kế chi tiết. Yêu cầu đầu tiên là khả năng chịu tải cao, đặc biệt tại các khu vực tập trung đông người như giảng đường, thư viện và phòng LAB. Hệ thống phải hỗ trợ streaming video, hội thảo trực tuyến và truy cập các tài nguyên học tập số mà không bị gián đoạn. Thứ hai, việc phân chia mạng thành các Vùng logic (VLAN) là bắt buộc để tách biệt lưu lượng truy cập giữa sinh viên, giảng viên và khối hành chính, nhằm tăng cường bảo mật và hiệu suất. Cuối cùng, khả năng quản lý tập trung là yếu tố then chốt, cho phép đội ngũ quản trị mạng dễ dàng giám sát, cấu hình và bảo trì mạng cho viện giáo dục một cách hiệu quả.

Mục tiêu quan trọng nhất là xây dựng một hệ thống máy chủ cho e-learning mạnh mẽ và đáng tin cậy. Điều này bao gồm việc đảm bảo băng thông đủ lớn và độ trễ thấp để hỗ trợ các lớp học trực tuyến, hệ thống quản lý học tập (LMS) và kho tài liệu số. Hệ thống mạng phải cung cấp kết nối ổn định cho cả mạng có dây tại các phòng học và hệ thống mạng không dây tốc độ cao phủ sóng toàn bộ khuôn viên. Ngoài ra, việc bảo mật dữ liệu học tập và thông tin cá nhân của sinh viên là ưu tiên hàng đầu, đòi hỏi các giải pháp xác thực người dùng mạnh mẽ và mã hóa đường truyền. Hệ thống mạng thành công là khi nó trở thành một công cụ vô hình, hỗ trợ đắc lực cho quá trình dạy và học mà không gây ra bất kỳ trở ngại kỹ thuật nào.

Với số lượng lớn người dùng là sinh viên, việc quản lý băng thông trở thành bài toán cốt lõi. Nhu cầu sử dụng mạng rất đa dạng, từ học tập, nghiên cứu đến giải trí. Nếu không có chính sách phân bổ hợp lý, tình trạng nghẽn mạng cục bộ có thể xảy ra, ảnh hưởng trực tiếp đến chất lượng các lớp học trực tuyến hoặc truy cập tài liệu. Giải pháp được đề xuất trong nghiên cứu là áp dụng các kỹ thuật Traffic Shaping và Quality of Service (QoS). Các kỹ thuật này cho phép ưu tiên băng thông cho các dịch vụ quan trọng như E-learning, VoIP, Video Conference và giới hạn băng thông cho các hoạt động không thiết yếu. Điều này đảm bảo tài nguyên mạng luôn được sử dụng một cách tối ưu và công bằng.

Môi trường giáo dục là mục tiêu hấp dẫn của các cuộc tấn công mạng do chứa lượng lớn dữ liệu nhạy cảm. Các rủi ro chính bao gồm tấn công từ chối dịch vụ (DDoS), lây nhiễm mã độc (malware, ransomware) và truy cập trái phép vào dữ liệu. Do đó, yêu cầu về bảo mật hệ thống mạng viện giáo dục là cực kỳ nghiêm ngặt. Hệ thống không chỉ cần một tường lửa (Firewall) cho trường học mạnh mẽ ở lớp biên mà còn cần các cơ chế bảo vệ bên trong. Việc phân chia VLAN giúp cô lập các vùng mạng, ngăn chặn sự lây lan của mã độc nếu một khu vực bị xâm nhập. Thêm vào đó, triển khai hệ thống phát hiện xâm nhập (IDS/IPS) để giám sát và ngăn chặn các hành vi đáng ngờ là một yêu cầu bắt buộc để xây dựng một vành đai an ninh vững chắc.

Tài liệu nghiên cứu chỉ ra rằng Windows Server là lựa chọn tối ưu cho HUFLIT. Lý do chính là khả năng quản lý định danh và truy cập tập trung thông qua Active Directory (AD). Với AD, quản trị viên có thể dễ dàng tạo tài khoản, phân quyền cho sinh viên, giảng viên và nhân viên, cũng như áp đặt các chính sách bảo mật đồng bộ trên toàn mạng. Các dịch vụ mạng cốt lõi khác được triển khai trên Windows Server bao gồm DNS để phân giải tên miền nội bộ, DHCP để cấp phát địa chỉ IP tự động, và File Server để lưu trữ dữ liệu tập trung. Sự kết hợp này tạo ra một môi trường quản trị thống nhất, giảm thiểu sai sót thủ công và nâng cao tính an toàn cho toàn bộ hệ thống.

Phân chia VLAN (Virtual LAN) là kỹ thuật nền tảng để triển khai mạng máy tính cho phòng học và các khu vực khác một cách an toàn và hiệu quả. Trong dự án này, hệ thống mạng được chia thành nhiều VLAN riêng biệt: VLAN cho Ban Giám đốc, VLAN cho phòng hành chính, VLAN cho các phòng LAB của sinh viên, và VLAN dành riêng cho hệ thống Wi-Fi (Access Point). Việc này mang lại hai lợi ích lớn. Thứ nhất, nó cô lập lưu lượng truy cập, ngăn chặn các thiết bị trong VLAN này "nhìn thấy" các thiết bị ở VLAN khác, qua đó tăng cường bảo mật. Thứ hai, nó giảm broadcast traffic, giúp cải thiện hiệu suất chung của toàn mạng. Các VLAN được kết nối với nhau thông qua cơ chế định tuyến trên Switch Layer 3 hoặc trên Router.

pfSense được cấu hình làm gateway trung tâm, quản lý toàn bộ lưu lượng ra vào Internet cũng như giữa các VLAN nội bộ. Các quy tắc (rules) được thiết lập một cách chi tiết trên từng giao diện mạng (interface). Ví dụ, quy tắc cho phép VLAN sinh viên truy cập Internet nhưng chặn truy cập vào VLAN của khối hành chính. Đồng thời, các quy tắc cũng được áp dụng để cho phép các dịch vụ cần thiết như DNS, HTTP/HTTPS và chặn các cổng (port) không sử dụng hoặc có rủi ro cao. Việc sử dụng pfSense, một giải pháp mã nguồn mở, không chỉ giúp tiết kiệm chi phí bản quyền mà còn mang lại sự linh hoạt và khả năng tùy biến mạnh mẽ, đáp ứng chính xác yêu cầu của một tường lửa (Firewall) cho trường học.

Trong khi tường lửa hoạt động như một bức tường thành, hệ thống phát hiện xâm nhập (IDS) như Suricata đóng vai trò như những người lính tuần tra. Suricata được triển khai để phân tích sâu các gói tin trong thời gian thực, so sánh với một cơ sở dữ liệu lớn các "chữ ký" tấn công đã biết. Nó có khả năng phát hiện nhiều loại hình tấn công tinh vi mà tường lửa có thể bỏ sót, chẳng hạn như SQL injection, quét cổng, hoặc các hoạt động của mã độc. Khi phát hiện một mối đe dọa, Suricata sẽ ghi lại log chi tiết và gửi cảnh báo đến quản trị viên, giúp họ phản ứng kịp thời trước khi thiệt hại xảy ra, đóng vai trò then chốt trong việc bảo mật hệ thống mạng viện giáo dục.

Theo kết quả triển khai trong tài liệu, các VLAN đã được tạo và gán thành công cho các cổng switch tương ứng. Ví dụ, các phòng LAB sinh viên được gom vào các VLAN riêng (ví dụ: VLAN 30, VLAN 40), trong khi khu vực hành chính thuộc một VLAN khác (ví dụ: VLAN 20). Cổng kết nối từ switch access lên switch core được cấu hình ở chế độ Trunk, cho phép lưu lượng của nhiều VLAN đi qua. Điều này đã được kiểm chứng qua việc các máy tính trong cùng một VLAN có thể giao tiếp với nhau, và không thể giao tiếp trực tiếp với máy tính ở VLAN khác. Đây là một bước quan trọng trong việc triển khai mạng máy tính cho phòng học theo đúng tiêu chuẩn bảo mật.

Hệ thống máy chủ DHCP đã được cấu hình với các dải IP (DHCP pool) riêng biệt cho từng VLAN. Khi một thiết bị kết nối vào mạng, nó sẽ tự động nhận được một địa chỉ IP, Subnet Mask, Default Gateway và DNS Server tương ứng với VLAN mà nó thuộc về. Kết quả kiểm tra cho thấy các máy trạm trong phòng LAB đã nhận được địa chỉ IP trong dải đã định sẵn một cách chính xác. Việc tự động hóa này giúp việc tư vấn lắp đặt mạng cho cơ sở giáo dục trở nên đơn giản hơn rất nhiều trong khâu vận hành, đặc biệt khi có số lượng lớn thiết bị cần kết nối.