About
Liên hệ
Tuyển dụng
Tin tức – Sự kiện
Bản tin tuần
Thông tin khuyến mãi
Uncategorized
Sài Gòn yêu dấu
Biz
Business
Blog VnPro
CCDA Chương 5 (phần 10)
Công nghệ backup WAN qua môi trường Internet
Phần này giới thiệu một sự lựa chọn có thể thay thế tạm thời cho kết nối WAN khi kết nối WAN bị lỗi. Loại kết nối này không đảm bảo về băng thông. Phương pháp phổ biến để sử dụng mạng IP công cộng gồm:
- IP routing without constraints
- GRE tunnels
- IPSec tunnels
IP Routing Without Constraints
Tạo ra kết nối dự phòng cho các chi nhánh, văn phòng đại diện dựa vào Internet. Dữ liệu được truyền trên kết nối này không được mã hóa.
Layer 3 Tunneling with GRE and Ipsec
Đường hầm lớp 3 sử dụng giao thức lớp 3 để vận chuyển qua mạng lớp 3.
GRE: Giao thức được phát triển bởi Cisco, cho phép đóng gói nhiều loại dữ liệu bên trong đường hầm IP. GRE được thiết kế cho đường hầm chung của giao thức. Trong Cisco IOS, GER là đường hầm IP chạy trên nền IP, rất tiện lợi khi xây dựng một mạng IP VPN quy mô nhỏ mà yêu cầu bảo mật không cao.
GER cho phép triển khai mạng riêng ảo IP đơn giản và linh hoạt. Dễ dàng triển khai, tuy vậy lại rất khó mở rông mô hình mạng vè mỗi liên kết kiểm điểm phải được xác định riêng biệt.
Khi sử dụng GER làm cơ chế dự phòng cho các liên kết sẽ gặp một vài nhược điểm về chi phí, mở rông quy mô, quá trình xử lý đóng gói GRE.
IPSec: IPSec là sự kết hợp của giao thức đóng gói và giao thức bảo mật. IPSec cung cấp tính bảo mật cho những thông tin nhạy cảm trên hệ thống mạng không được bảo vệ. (như môi trường Internet) bằng cách mã hóa dữ liệu khi truyền qua đường hầm. IPSec hoạt động ở lớp 3 trong việc truyền dữ liệu qua đường hầm nhằm bảo vệ, xác nhận gói tin IP giữa các thiết bị tham gia IPSec. Dưới đây là một số tính năng của IPSec.
- Tính bảo mật dữ liệu: Người dùng gửi gói tin IPSec có thể mã hóa các gói dữ liệu trước khi truyền qua mạng.
- Tính vẹn toàn dữ liệu (Data confidentiality): Người nhận gói tin có thể xác thực các gói tin được gửi của người gửi đảm bảo rằng dữ liệu không bị thay đổi trong quá trình truyền.
- Xác thực nguồn gốc dữ liệu (Data integrity): Người nhận gói tin IPSec có thể xác thực nguồn gốc của gói tin. Tính năng này phụ thuộc vào tính năng toàn vẹn dữ liệu.
- Chống tấn công theo kiểu gửi trùng lặp gói tin (Anti-replay): Người nhận có thể phát hiện và từ chối các gói tin trùng lặp.
- Dễ dàng triển khai: IPSec được triển khai không cần sự thay đổi hệ thống trung gian (hạ tầng ISP) và không làm thay đổi các ứng dụng hiện có.
- Internet Key Exchange (IKE): IPSec sử dụng IKE để quản lý tự động.
- Public Key Infrastructure (PKI): IPSec tương thích với PKI.
Có thể kết hợp IPSec với GRE tunnel nhằm cung cấp tính an toàn trong các GRE tunnels. Tải trọng GRE sẽ được mã hóa.
Hình 5.17 mô tả hai mạng không liên tiếp được kết nối thông qua liên kết điểm điểm và hệ thống dự phòng thông qua mạng IP sử dụng GRE IP tunnel. Đường hầm này được cấu hình giữa router nguồn (đầu vào) và router đích (đầu ra) và có thể thấy các cổng trên mỗi router.
Hình 5.17-Đường hầm GRE dự phòng qua mạng IP công cộng
Dữ liệu được chuyển qua đường hầm đã được định dạng trong mỗi gói tin, đóng gói theo chuẩn IP header. Các gói tin được đóng gói mới hoàn toàn với header của GRE và được đưa vào đường hầm với địa chỉ IP đích đã được thiết lập đầu cuối, hop tiếp theo. Khi các gói tin đến đầu cuối của đường hầm GRE, header GRE được tháo ra và tiếp tục chuyễn gói tin đi đến địa chỉ IP đích theo thông tin IP header.
Xem xét lựa chọn mạng WAN vùng biên doanh nghiệp mạng MAN
Cần xem xét các yếu tố sau khi lựa chọn:
- Hỗ trợ phát triển mạng lưới: Xu hướng ngày càng phát triển của các doanh nghiệp khiến họ cần phải lựa chọn công nghệ thích hợp phù hợp với quá trình phát triển của doanh nghiệp. Công nghệ WAN với khả năng mở rộng cao giúp cho việc mở thêm các chi nhánh hoặc văn phòng đại diện với cấu hình đơn giản, do đó giảm thiểu chi phí cho nguồn nhân lực IT cho những thay đối như thế. Các mạng WAN với sự hỗ trợ thấp hơn nhu cầu phát triển mạng đòi hỏi đáng kể lượng thời gian, công sức và chi phí cho việc mở rộng hệ thống mạng.
- Tính sẵn sàng tích hợp: Các doanh nghiệp chịu ảnh hưởng của sự gián đoạn với nhiều mức độ và thời gian khác nhau, vì vậy khi lựa chọn một hệ thống mạng cần xem xét vấn đề về tính sẵn sàng cao và các đặc tính quan trọng cho việc lựa chọn công nghệ. Công nghệ cao được tích hợp sẵn tính dự phòng và không có sự tồn tại của lỗi hay gián đoạn. Công nghệ không cung cấp tính sẵn sàng cao có hể thực hiện dự phòng thông qua nhiều kết nối khác ví dụ như internet……
- Chi phí hoạt động: Một số công nghệ WAN có chi phí cao hơn các công nghệ khác. Công nghệ riêng như Frame Relay hay ATM. Người ta thường sử dụng những công nghệ có chi phí thấp như IPSec VPN vì có lợi thế của môi trường Internet công cộng nhằm giảm chi phí. Quan trọng cho việc chọn công nghệ WAN là xem xét hiệu suất mạng, nếu như ta cứ quan trọng vấn đề chi phí mà bỏ qua hiệu suất thì cũng không được.
- Độ phức tạp khi hoạt động: Công nghệ WAN và MAN của Cisco khác nhau về độ phức tạp kỹ thuật. Do đó tùy vào công nghệ mà kỹ thuật chuyên môn cũng cần thích ứng theo. Hầu hết các doanh nghiệp khi nâng cấp hệ thống mạng WAN hay MAN đều sử dụng nguồn nhân lực IT hiện tại bằng cách đào tạo thêm công nghệ mới.
- Hỗ trợ thoại và video: Công nghệ MAN và WAN của Cisco hỗ trợ QoS giúp kích hoạt các ứng dụng như thoại và video trong mạng.
- Hỗ trợ mạng phân đoạn: Phân đoạn mạng có nghĩa là hỗ trợ một mạng duy nhất. Lợi ích của phân đoạn mạng là làm giảm các chi phí liên quan đến bảo trì, quản trị và các chi phí nhà cung cấp dịch vụ mạng.
Công nghệ kiến trúc mạng WAN và MAN của Cisco
Kiến trúc mạng MAN và WAN doanh nghiệp của Cisco sử dụng một nố công nghệ được tối ưu hóa để tương thích với các hệ thống khác, cung cấp QoS, an ninh, độ tin cậy và khả năng quản lý hỗ trợ các ứng dụng kinh doanh tiên tiến. Những công nghệ bao gồm cả những khả năng mở rộng mạng và giảm chi phí nhà cung cấp dịch vụ hàng tháng. Kiến trúc mạng MAN và WAN doanh nghiệp của Cisco bao gồm các công nghệ được tóm tắt trong bảng 5.4.
WAN riêng: Kết nối riêng hiện đang có như Frame Relay, ATM hay nhiều loại kết nối khác. Để cung cấp bảo mật khi kết nối các site và mã hóa mạnh ( sử dụng DES hay 3DES) và AES có thể giúp mạng riêng trở lên lý tưởng hơn cho doanh nghiệp với hy vọng mở rộng cho ác chi nhánh cũng như văn phòng đại diện sẽ được triển khai sớm. Các doanh nghiệp yêu cầu kết nối an toàn, chuyên dụng và đáng tin cậy cho phù hợp với các tiêu chuẩn bảo mật thông tin à cũng yêu cầu hỗ trợ cho các ứng dụng tiên tiến như thoại và video từ việc thông tin được mã hóa. Tuy nhiên với các công nghệ này sẽ dẫn tới chi phí hàng tháng tăng vọt. Nhưng doanh nghiệp lại không chọn các kết nối mã hóa thông tin cao cho các văn phòng đại diện mà sẽ lựa chọn kết nối VPN cho chi phí thấp hơn.
Dịch vụ ISP ( site-to-site và remote-access IPSec VPN): Những công nghệ này lợi dụng dạ tầng đã được triển khai khắp nơi hay mạng Internet công cộng. Việc sử dụng các chuẩn mã hóa ( DES,3DES và AES) cho phép mạng WAN an toàn hơn so với các kết nối truyền thống và trở nên phù hợp với các quy định bảo mật nhiều thông tin đối với chính phủ và các ngành công nghiệp( như tài chính và y tế). Khi triển khai qua mạng Internet công cộng thì mạng VPN IPSec là thích hợp nhất cho các doanh nghiệp yêu cầu kế nối dữ liệu cơ bản. Tuy nhiên nếu tích hợp các ứng dụng tiên tiến như thoại và video thì nên triển khai IPSec VPN trên hạ tầng của SP, nơi có QoS đảm bảo hỗ trợ lưu lượng của thoại và video. Chi phí thấp giúp cho doanh nghiệp có thể triển khai cho các chi nhánh hay các nhân viên làm việc linh động.
SP MPLS và IP VPN: IP VPN dựa trên mạng tương tự (analog) như nhiều cách để kết nối riêng, nhưng có tính linh hoạt, khả năng mở rộng có thể triển khai. IP VPN MPLS cho pháp kết hợp với QoS cho lưu lượng thoại và video, phù hợp với nhu cầu của nhiều doanh nghiệp, đặc biệt là những doanh nghiệp có nhu cầu mở rộng.
Self-deployed MPLS: là phân đoạn kỹ thuật cho phép các doanh nghiệp kết hợp các phân đoạn mạng. Self-deployed thường dành cho các doanh nghiệp lớn, SP sẳn sàng đáp ứng nhu cầu cho doanh nghiệp những thiết bị mạng và đào tạo chuyên môn cho đội ngũ IP của doanh nghiệp đó.
Bảng 5.4-So sánh kiến trúc mạng WAN doanh nghiệp và mạng MAN của Cisco
Hình 5.18-Mẫu kiến trúc WAN Cisco
23 March 2012 at 11:18 -
Comments
