Sơ Đồ Mạng (Network Diagram)Nguồn: vnpro.org Sơ đồ kết nối tổng quan Hệ thống mạng được thiết kế dựa trên nguyên tắc module hóa các thành phần. Việc module hóa khi thiết kế có những đặc điểm nổi bật sau: - Đơn giản, rõ ràng. - Có thể mở rộng hệ thống mạng dễ dàng. - Tách biệt rõ ràng chứng năng của từng module, từ đó có đầy đủ thông tin để chọn lựa đúng thiết bị mạng cho từng module: o Core/Distribution Block: là module trung tâm của hệ thống mạng, chịu trách nhiệm kết nối các module còn lại với nhau. Từ đây có thể thấy ưu tiên chọn thiết bị ở lớp này là “càng nhanh càng tốt”. o Access Layer Block: là module cung cấp kết nối cho người dùng cuối. Ưu tiên khi chọn thiết bị thuộc module này là “cung cấp nhiều cổng kết nối downlink cho người dùng, đồng thời phải có kết nối Uplink tốc độ cao để kết nối lên module Core/Distribution”, và tối ưu hóa chỉ số “giá thành / cổng downlink”. Thông thường thiết bị sử dụng tại module này chỉ cần hỗ trợ các tính năng ở lớp 2. o Server Farm Block: đây là module cung cấp kết nối cho các máy chủ (Servers) cung cấp dịch vụ trong mạng nội bộ, ví dụ: AD, DNS, DHCP, File, Application, Database. Thiết bị chọn ở lớp này cần có cổng kết nối downlink tốc độ tối thiểu là 1Gbps và hoạt động ở lớp 2. o WAN Block: là module cung cấp kết nối đến các chi nhánh khác. Thông thường, thiết bị trong module này cần hỗ trợ: Các cổng giao tiếp WAN: Serial, FTTH, ADSL, … Các tính năng: định tuyến động, mã hóa VPN ở phần cứng (VPN supported in hardward). o Internet Access Block: là module nằm ở ngoài cùng của hệ thống mạng, cung cấp kết nối Internet cho người dùng nội bộ. Thông thường thiết bị được chọn ở module này cần hỗ trợ các tính năng: Định tuyến. NAT/PAT. Firewall. Remote Access VPN. o DMZ Block: là module kết nối trực tiếp với module “Internet Access Block”. Chức năng của module này: Cung cấp các dịch vụ ra ngoài Internet: Mail, Web Sơ đồ mạng kết nối vật lý Hệ thống mạng được xây dựng dựa trên tiêu chí không hỗ trợ tính năng sẵng sang cao (HA), do đó chi tiết thiết bị đề xuất cho các module như sau: - Core/Distribution Block: 1 x Switch có cổng kết nối tốc độ tối thiểu 1Gbps và hoạt động ở lớp 3. - Access Layer Block: n x Switch có cổng kết nối downlink tốc độ tối thiểu 100Mbps và Uplink 1Gbps, hoạt động ở lớp 2. - Server Farm Block: o 1 x Firewall: có cổng kết nối tốc độ tối thiểu 1Gbps và có Firewall Throughput tối thiểu 1Gbps. o 1 x Switch có cổng kết nối tốc độ tối thiểu 1Gbps và hoạt động ở lớp 2. - WAN Block: 1 x Router có cổng kết nối LAN/WAN tương ứng. - DMZ Block: 1 x Switch có tốc độ tối thiểu 100Mbps và hoạt động ở lớp 2. - Internet Access Block: o 1 x Firewall: hỗ trợ IPSEC VPN hoặc SSL VPN (nếu yêu cầu). o 1 x Router (tùy chọn): có cổng kết nối LAN/WAN tương ứng. Sơ đồ mạng kết nối luận lý Các tính năng được sử dụng: - Core/Distribution Switch: o Spanning Tree: Rapid-PVST, STP Root Bridge o Trunking: Dot1Q o Create VLAN. o Ether Channel. o VTP: Mode Transparent o InterVlan Routing. o Static Routing. o Device Security Hardening. - Access Switch: o Spanning Tree: Rapid-PVST, Portfast o Create VLAN o Trunking: Dot1Q o Ether Channel. o VTP: Mode Transparent o Assign Port to VLAN o Device Security Hardening. - Internal Firewall: o Static Routing. o Firewall Policy. o Device Security Hardening. - Server Switch: o Spanning Tree: Rapid-PVST, Portfast o Create VLAN. o VTP: Mode Transparent o Assign Port to VLAN o Device Security Hardening. - DMZ Switch: o Spanning Tree: Rapid-PVST, Portfast o Create VLAN. o Device Security Hardening. - Internet Firewall: o Cấu hình Interface. o Static Routing. o Remote Access VPN/ SSL VPN. o Firewall Policy. - Internet Router: o Cấu hình LAN/Internet Interface. o Static Routing. - WAN Router: o Cấu hình LAN/WAN Interface. o Static Routing. Sơ đồ định tuyến Đối với hệ thống mạng đơn giản và không đòi hỏi tính năng sẵng sàng cao (HA), việc chọn và sử dụng định tuyến tĩnh (Static Routing) là hoàn toàn có thể chấp nhận. - Core Switch sẽ chịu trách nhiệm định tuyến giữa các VLAN người dùng và các module khác. Chi tiết định tuyến tham khảo mô hình trên. - External Firewall: ngoài việc định tuyến các traffic ra/vào Internet, thiết bị này còn được cấu hình thêm: o Firewall: lọc các packets ra/vao giữa các vùng: TRUSTED (còn gọi là INSIDE Zone), DMZ và UNTRUSTED (còn gọi là OUTSIDE Zone). Thông thường traffic từ Internet chi cho phép truy cập vào các tài nguyên được publich tại module DMZ, nghiêm cấm các kết nối được khởi tạo từ Internet vào TRUSTED hoặc từ DMZ vào TRUSTED. Chi tiết các firewall rule này còn phụ thuộc cụ thể vào từng chính sách bảo mật của từng công ty. o Remote Access VPN: phục vụ cho người dùng làm việc từ xa thông qua Internet. o Dynamic NAT PAT: traffic từ người dùng truy cập Internet. o Static NAT PAT: nhằm publich dịch vụ từ DMZ ra Internet. o NO-NAT: không NAT các yêu cầu truy cập (nếu có) từ mạng nội bộ ra/vào DMZ. Thảo Luận Về Thiết Bị Mạng Sử Dụng Trong Thiết Kế - Core/Distribution Switch: o Cisco Catalyst 3560G, 3560-X. - Access Switch: o Cisco Catalyst 2960.Link: - Internal Firewall: o Cisco ASA5550 hoặc tương đương. - Server Switch: o Cisco Catalyst 2960G, 2960S. - DMZ Switch: o Cisco Catalyst 2960. - Internet Firewall: o Cisco ASA5505, ASA5510 hoặc ASA5520. - Internet Router: o Cisco Router 1900. - WAN Router: o Cisco Router 800, 1900, 2900. References links: Cấu Hình Mẫu (Configuration Template) To be continue… Thảo Luận Về Ưu / Khuyết Điểm Trong Thiết Kế Kể Trên Ưu Điểm: - Chi phí đầu tư thấp nhất. - Thích hợp cho SMB chấp nhận downtime khi hệ thống có sự cố: thiết bị hư hỏng, mất kết nối vật lý. Khuyết Điểm: - Không có tính dự phòng. Phần tới: Thiết kế hạ tầng mạng LAN dự phòng đầy đủ sử dụng STP (Legacy Model).
