tình hình là mình muốn xây dựng môt mạng với hệ thống full Back theo mô hình sau:
mình có 2 con Catalyst 3750 làm CoreSwitch, như vậy toàn bộ mạng bên trong được chạy nếu 1 con CoreSwitch die thì vẩn chạy bình thường.
Nhưng theo mô hình trên mình thấy vẫn còn một lỗ hỗn đó là nếu con CoreSwitch 1 chết thì toàn bộ Client cũng đâu có ra Internet được. Có cách nào giải quyết cho vấn đề là khi 1 trong 2 con CoreSwitch 3750 chết mà user vẫn đi nét ok không? nhờ các bạn tư vấn và thiết kế lại mô hình cho hợp lý nhất tối ưu nhất cho cái mạng của mình.
- Mình đã nghĩ đến chuyện nối thêm một Link từ CoreSwitch 2 đến Firewall như vậy Firewall phải cần đến 4 interface, với với Pix 515E có làm được chuyên này ko?
- tại Pix có 4 interface : 1 nối ----Router, 2 nối ----DMZ Web Server, 3 nối ---CoreSwitch 1, 4 Nối CoreSwitch 2. Nhưng mình không biết làm vậy có được không, vì mình nghĩ 2 con CoreSwitch chạy song song khi 1 ocn chết user sẽ không biết gateway nào đi ra internet vì tại Pix có tới 2 interface nối với LAN.
các bạn Design lại giùm mình nhe. thanks
- CHO MÌNH BIẾT VỊ TRÍ ĐẶT WEB SERVER TẠI ĐÂU LÀ HỢP LÝ NHẤT??

tình hình là mình muốn xây dựng môt mạng với hệ thống full Back theo mô hình sau:
mình có 2 con Catalyst 3750 làm CoreSwitch, như vậy toàn bộ mạng bên trong được chạy nếu 1 con CoreSwitch die thì vẩn chạy bình thường.
Nhưng theo mô hình trên mình thấy vẫn còn một lỗ hỗn đó là nếu con CoreSwitch 1 chết thì toàn bộ Client cũng đâu có ra Internet được. Có cách nào giải quyết cho vấn đề là khi 1 trong 2 con CoreSwitch 3750 chết mà user vẫn đi nét ok không? nhờ các bạn tư vấn và thiết kế lại mô hình cho hợp lý nhất tối ưu nhất cho cái mạng của mình.
- Mình đã nghĩ đến chuyện nối thêm một Link từ CoreSwitch 2 đến Firewall như vậy Firewall phải cần đến 4 interface, với với Pix 515E có làm được chuyên này ko?
- tại Pix có 4 interface : 1 nối ----Router, 2 nối ----DMZ Web Server, 3 nối ---CoreSwitch 1, 4 Nối CoreSwitch 2. Nhưng mình không biết làm vậy có được không, vì mình nghĩ 2 con CoreSwitch chạy song song khi 1 ocn chết user sẽ không biết gateway nào đi ra internet vì tại Pix có tới 2 interface nối với LAN.
các bạn Design lại giùm mình nhe. thanks
- CHO MÌNH BIẾT VỊ TRÍ ĐẶT WEB SERVER TẠI ĐÂU LÀ HỢP LÝ NHẤT??

hi bạn hoakylan,
với mô hình trên, bạn nên kết nối từ 2 con coreswitch ra 1 Switch khác, rồi từ switch này mới kết nối đến firewall.
WebServer bạn đặt tại vùng DMZ là đúng rồi.
Nếu mô hình thật sự redandancy thì phải có 2 PIX để chạy failover,
Chú ý: khi đã dùng CoreSwitch là 3750 thì từ access switch kết nối lên 2 con 3750, bạn cấu hình Etherchannel luôn nhé, lúc đó tốc độ uplink từ access switch lên coreswitch sẽ là 2Gbps (nếu dùng CoreSwitch là 3560 thì chỉ có thể dùng 1 uplink từ access switch lên coreswitch, link còn lại sẽ bị block bởi STP)

hi bạn hoakylan,
với mô hình trên, bạn nên kết nối từ 2 con coreswitch ra 1 Switch khác, rồi từ switch này mới kết nối đến firewall.
WebServer bạn đặt tại vùng DMZ là đúng rồi.
Nếu mô hình thật sự redandancy thì phải có 2 PIX để chạy failover,
Chú ý: khi đã dùng CoreSwitch là 3750 thì từ access switch kết nối lên 2 con 3750, bạn cấu hình Etherchannel luôn nhé, lúc đó tốc độ uplink từ access switch lên coreswitch sẽ là 2Gbps (nếu dùng CoreSwitch là 3560 thì chỉ có thể dùng 1 uplink từ access switch lên coreswitch, link còn lại sẽ bị block bởi STP)

Nếu 2 Core nối với 1 Sw mà con này die thi toi hết.
Theo mình trong sơ đồ của bạn sử dụng cách 2 là okie, trên PIX bạn bundle 2 Interface nối đến Core 1 và Core2. Ngoài ra bạn nên nối 2 con 3750 thành Stack Switch chứ không phải nối thông thường thông qua UTP khi đó 2 con 3750 sẽ chạy theo cơ chế Master và Slave 1 trong 2 con die không vấn đề gì cả. Còn đối với các Client kết nối đến cả 2 con 3750 và sử dụng EtherChannel, cho tốc độ double
Chúc vui, ai có ý kiến cùng trao đổi nhé

ý kiến của bạn mon_hy cũng rất tốt, để apply trường hợp 2, bạn hoakylan nên tìm hiểu kỹ tính năng Redandant Interface trong PIX/ASA
link:http://www.cisco.com/en/US/docs/security/asa/asa80/configuration/guide/intrface.html#wp1045838
Tuy nhiên về lâu dài, thì 2 PIX or ASA để chạy failover mới là giải pháp triệt để :)

theo mình biết trên con Catalyst 3750 chia các vlan thì trên Pix đâu cần chia Subinterface như các con CAT 2900 phải không ?
Nếu dùng Redundant thì sao các bạn giải thích rõ hơn cho mình với.

hỏi thêm mình đang sài con Pix -515E-UR-BUN vậy gắn thêm interface theo mô hình trên là 4 interface được ko? hiện tại có 2. Theo mình biết thì nó hổ trợ 6 interface.
các bạn có thể cấu hình cái mô hình 2 cho mình tham khảo được không, ?

Phương pháp chung để có thể config được tất cả các model thông dụng nhất? có bác nào júp em với!!:105:
Thanks!

Không biết cty bạn có bao nhiêu người vậy? 2 con 3750 đã cho bạn 96 users rùi. Nhung bạn muốn dùng access switch thí tui nghỉ là bạn chac co ly do khác nào đó.

Giả sử bạn muốn dùng core và access switches thì tui có chút suy nghỉ thế này:

vói sơ đồ bạn đưa ra tôi không nghĩ việc firewall chết trong mot gio sẽ anh hưỡng nhiều đến hoạt động của cty bạn. cho nên 1 firewall cũng đủ đáp ứng yêu cầu của bạn. nếu giả sử firewall của bạn die, bạn vẫn có thể dùng con 2821 và tam thoi bypass firewall.

Bạn để public webserver o DMZ thi okies, không có gì bàn nũa. Nhưng bạn nối trực tiếp vào firewall thì không được hay cho lắm. Bạn thử nghỉ sau này bạn có thêm 1 email server hay 1 webserver chạy redunancy cho cái hiện tại bạn sẽ de ở đâu? nếu bạn có 1 cai switch riêng thì tốt, còn không tại sao bạn không tạo 1 cái vlan trên core switch và nối DMZ link vào đó. Sau đó nối webserver của bạn vào vlan đó. Như vậy sau này bạn có thể mỡ rộng DMZ của bạn dễ dàng hơn.
Còn nữa, server của bạn nên nối vào 2 switches này, bạn co thể chạy active/active oractive/standby trên NIC card của server

Cache proxy bạn nên để o DMZ và ADSL (nếu có cho backup) bạn nên terminate trước firewall.

Với core , bạn nên dùng stack connection như vây bạn se có 32Gbps giua 2 core switches thay vì 1 hoặc 2 Gig etherchannel.

Con ket nối voi access switches thi như bạn mon_hy đã nói.

Với config như vậy bạn có thể nghỉ đến VPN remote access. Và tuỳ vào cơ cấu của cty ban co thể tạo 1 hoặc nhiều VLAN cho internal users.

trong sơ đồ, hình như chưa có file server, DC, Internal DNS, DHCP servers. Nên có 1 VLAN riêng cho những server này. Và 1 Vlan nữa để cho development server (non-production or testing server). Muc đích là để hạn chế những gì có thể xảy ra khi nối những servers này vào live network cua bạn

chào bạn Homeless !
tại Core mình đã chia các vlan phù hợp với nhu cầu công ty., mình đã chia rieng ra 1 vlan cho nhóm Server bao gồm DNS, FTP, DHCP, ..., ok luôn.
công ty mình có khoản 200 user. vậy với CoreSwith 3750 có đáp ứng nổi không?
hơn nữa với việc đặt Web server trong DMZ mình dùng cơ chế Reverse Proxy cho Web chạy Cluster. vì mình nghĩ nếu đặt Web ở trong VLAN thì phải qua 2 lần NAT tại router và pix firewall nên người truy cập web sẽ chậm hơn chăng.
mong được các bạn gốp ý thêm.

Switch 3750G có forwarding capacity khoãng 20Gps ( cho 64byte packets) (mặc dù backplane 32G). với 200users, 2 con 3750G này serve good nên không cần lo. nếu ban tính tỉ lệ 1:20 thì nó serve tới 400 users vẫn tốt.

Bạn dùng co 1 vai NAT thoi thì chẳng ảnh hưởng mảy may gi đến firewall và router 2821 của bạn đâu. Nếu bạn dùng vài ngàn NAT thi mói nghì đến delay.

Với reverse proxy, bàn. nên đặc nó o DMZ, trên router không NAT gi hết. Trên firewall NAT 1 public IP vào real IP của reverse proxy. Những real server cụa bạn sẽ để o 1 VLAN inside. trên firewall ban no-nat giua inside va DMZ cho nhung real server nay và forward request từ reverse proxy vào real servers inside. Như vay chỉ co 1 NAT như bạn muốn. hau het reverse proxy deu ho tro load sharing. neu ban turn cai feature nay len thi se hay

bạn ơi nếu trên con Roueter ko NAT thì sao được ? vì nó là địa chỉ Public mà
mình có 8 ip tĩnh nên phải NAT tại Router để sài chứ.
vi dụ nhe:
IP public------>>inteface 1 (router)---->>NAT-->>interface 2(router)--->Outsite Pix---NAT-->>Insite Pix---->>LAN.
210.245.x.x---->>Static NAT --->>172.16.x.1--------->172.16.x.2 Outsite Pix-----Static NAT-->192.168.x.x----->>LAN.
như vậy qua 2 lần NAT từ 210.245.x.x qua 172.16.x.x và tứ 172.16.x.x NAT 192.168.x.x.
mình vẫn chưa hiểu ý bạn ?

ban co bao nhieu public IP? firewall handle NAT tot hon router

Public IP---Router----Public IP------firewall (NAT) --- Inside
.................................................. .......|
.................................................. ... NAT
.................................................. ...... |
.................................................. ......DMZ

ban co the dung nat 0 tren firewall
neu ban khong co nhieu public IP thi co the dung nhu sau. gia su proxy ip cua ban la 172.16.3.10 va real server cua ban la 192.168.3.10 va public IP cua ban la 210.245.3.10. router interface 172.16.1.1, outside firewall 172.16.1.2


210.245.3.10---->>Static NAT( hoac Port forwarding) --->>172.16.3.10---------> Outsite Pix(NAT 0) ------------>>LAN.

Thanks bạn nhe mình đã hiểu ý bạn rồi

các bạn cho mình hỏi tại CoreSwitch mà mình thực hiện các chính sách cho các VLAN thì có làm cho mạng chậm không?
mình muốn xây dựng ACL trên các VLAN như vậy có tốt không, vì mình nghỉ là không nên thực hiện chính sách trên CoreSwitch. như vậy sẽ không chuyển mạch gói nhanh được.
các bạn cho ý kiến nhe.!!

các bạn cho mình hỏi tại CoreSwitch mà mình thực hiện các chính sách cho các VLAN thì có làm cho mạng chậm không?
mình muốn xây dựng ACL trên các VLAN như vậy có tốt không, vì mình nghỉ là không nên thực hiện chính sách trên CoreSwitch. như vậy sẽ không chuyển mạch gói nhanh được.
các bạn cho ý kiến nhe.!!

không có vấn đề gì, vì trên các loại switch layer 3 của Cisco, ACL và QoS được thực hiện trong bảng TCAM (hoạt động dựa trên hardware base) nên sẽ không ảnh hưởng gì, nhưng chú ý, nếu bạn cấu hình Policy-base routing thì sẽ ảnh hưởng đến performance vì policy-base routing hoạt động trên software base.

edit lại cái topology cho bác chủ topic :)

cái catalyst 2960 nối với Pix die thì tiu luôn cái mạng bác edit vậy chết em !