Xin chào.
Nhờ các anh chị tư vấn giúp em mô hình mạng như trong file đính kèm ạ.
Em không biết nên dùng firewall loại gì.em cần loại firewall hổ trợ 500PC.
KHông biết mô hình mạng vậy là tốt chưa ạ, hiện em chưa có thiết bị backup cho mỗi khu vực chỉ dùng 1 thiết bị thôi ạ.
Em xin cám ơn.

xin chào.
hic hic, không ai cho em ý kiến hết vậy;.

Bạn nghiên cứu các dòng fix firewall 55xx của Cisco thủ xem !vào web cisco xem sẻ có sản phẩm đáp ứng được yêu cầu của bạn đó.Bạn nhớ lưu ý chọn loại full user nhe bạn !
Chúc bạn vui!

Bạn ơi Firewall nào mà support nhiều interface vậy, Pix suport 6 interface nhưng theo thiết kế vậy thì sẽ rất khó quản lý và sẽ ko tối ưu cho hệ thống.
Theo sơ đồ bạn vẽ có lẽ con Router 2821 là liên kết Site khác đúng ko ?
và đường cáp Quang FPT là dùng IP tĩnh cho Server đúng ko ?
2 đường ADSL cho user LAN sài đúng ko ?
vậy cung cấp cho bạn mô hình tham khảo nhe và ưu điểm của nó.
vẬY với mô hình trên bạn sẽ đảy toàn bộ User trong LAN đi bằng ADSL với việc xây dựng một proxy cache sẽ tối ưu cho LAN.
còn với Server Fram bạn cho đi FPT ip tĩnh sẽ ưu tiên toàn bộ BW cho Server như vậy việc truy cập vào Server sẽ tốt hơn, và ko sợ vị Virus cho Server nhiều do User bên trong thường xuyên truy cập Internet.
việc quản lý sẽ đơn giản hơn nhờ bộ định tuyến Catalyst Layer 3.

Thanks anh nhiều nhưng em down không được từ sáng giờ hu hu.
giờ đi học tối về down xem sao hic hic.
Thanks

hi TMQ,
Minh cung biet chut it ve network nên minh cũng có vài nhận xét:
1. nếu hệ thống của bạn lên đến 500 user là 1 con số không nhỏ, nhưng mình thấy tất cả các truy cập đều đi lên firewall (FW) rồi mới đi xuống lại Switch khác (có thể khác LAN). Như vậy có thể làm đuối FW.
2. Hệ thống server của bạn có phân ra làm server Farm (dùng cho truy cập nội bộ như AD, File, Application...) và DMZ (dùng cho public ra ngoài như mail, web, ftp ...) hay không.
3. Mình thấy switch 3750 (layer 3 có thể làm routing) nhưng đặt không tập trung và không biết có sử dụng hết chức năng hay không.

Như vậy mình có đề xuất:
1: Sử dụng mô hình mạng phân tầng 3 lớp switch làm tăng khả năng switching khi sữ dụng trong mạng nội bộ (cùng VLAN nhưng khác switch).
2: Sử dụng cấu trúc full cluster như mô hình mình vẽ (ko đẹp lắm :( ) để tránh các trường hợp sự cố trên thiết bị.
3: Chia VLAN và cho phép internal Routing giữa các user trên CoreSwitch.
4 : Các user đi internet or access vào server phải qua FW (gateway của VLAN server đặt trên FW)
5: để giải quyết vấn đề số interface hạn chế thì mình có thể sd subinterface.
6: 2 đường ADSL sẽ phân tải cho 2 nhóm user (1/2 số user đi đường này, 1/2 con lại đi đường kia) nhưng khi có sự cố thì vẫn routing lại được.
7: Server có thể đấu nối trực tiếp lên switch core (chia lại VLAN)
...
Đó là 1 số ý kiến của mình.
Ai có góp ý khác thì cho minh học hỏi thêm nhé :)

P/S:Hiện nay trên thị trường VN đang có rất nhiều loại FW có thể đáp ứng cho khoảng 500 user (CISCO ASA, JUNIPER SSG, Barracuda, hay sonic wall ....) bạn có thể tham khảo.

hi hoakylan,
Mình chưa dc dùng ASA nên ko biết như thế nào, nhưng thiết bị mạng thường có thể mở rộng số interface bằng cách gắn thêm vào các slot trên thiết bị mà.

best regards!

chào bạn hthfox !
Hiện nay đúng là có nhiều sản phẩm cho FW và hỗ trợ nhiều Interface, nhưng cũng như bạn nói với mô hình mà cho tất cả các user LN (>500-1000)và Client từ bên ngoài vào Server WEB,MAIL,....thì ít có FW nào đáp ứng nỗi và ko tối ưu traffic.
với giải pháp của mình là tách traffic ra làm 2 luồng (Flow Traffic),
1- Traffic từ LAN ra ngoài và truy cập nội bộ sẽ đi ADSL với một Proxy cache tốt sẽ hạn chế Traffic đi ra ngoài WAN do nó đả được lấy thông tin từ Proxy cache này. Ví dụ: một user truy cập trang vnpro.org thì user thứ 2 sẽ ko đi ra ngoài WAN lấy mà sẽ truy xuất trên Proxy cache. vậy hạn chế lưu lượng đi qua WAN.
2- Với Server Fram sẽ đi bằng Leasedline của FPT như bạn mô tả, như vậy tốc độ truy xuất từ ngoài vào Server Web sẽ tốt hơn.
3- sử dụng thiết bị layer 3 làm Switch core sẽ tốt hơn do mình có thể cấu hình dự phòng khi một trong các đường internet die thì sẽ tự động Fowar qua đường khác.

Thanks các anh.
@hoakylan: nếu user1 đi net thì qua proxyserver----------ADSL, còn các user khác thì đi qua firewall để ra net = > làm sao để cấu hình được như ý muốn này ạ.

Còn nếu theo sơ đồ của em ( mày vàng chói lọi đó_và tất cả là ở cty em hết ) thì mong anh cho em ý kiến về mô hình, và về việc backup lỡ con switchcore nó die.
Thanks. Mong hồi âm.

ko khó đâu bạn

bạn sợ con Switchcore die thì sài 2 con và cho chạy Redendancy khi 1 trong 2 con die thì nó tự động chuyển qua con khac chay thôi.
có thể câu hình Host Stanby.
còn việc bạn muốn cho User1 đi ra net đi bằng Proxy --ADSL thì ok. Các User khác đi đường Firewall ra net thì bạn chỉ Default Gateway cho nó đi thôi. Trong con Swtich bạn route đến Gateway nào thi no đi theo đo thôi.
Đây là mô hình có tính sẳn sàng cao mà khi một trong 2 con Swtichcore die thì yên tâm là nó chạy qua con khác do bạn config no thôi.
nếu mà ko có money thì có thể sài 01 con core cũng ok thôi, vẫn đáp ứng yêu cầu của bạn. với cơ chế Route-map
Set ip next-hop IP gateway
chúc vui!

Thanks anh hoakylan
Theo mô hình của em, nếu em muốn user nào đi theo đường nào có được hông ạ( ví dụ user1 đi net thì đi ra đường ADSL, user2 đi net thì đi thẳng đường cáp quang, user3 đi VPN thì đi đường cáp quang khác - các đường này sẽ nối vào con router phía trước firewall).
với cơ chế "Route-map Set ip next-hop IP gateway" em đang tìm hiểu, em chưa biết em sẽ tìm hiểu cơ chế này và việc redandancy luôn, nếu các anh cho em tài liệu thì tốt quá, thanks nhiều ạ. Chúc mọi người cuối tuần vui vẻ, còn em cuối tuần phải mò tài liệu hic hic

Về co bản thì ko có gì nhưng theo L biết thì cơ chế Route-map thì nó sẽ cho toàn bộ VLAN-ID luôn chứ ko cho 1 User đi dc.
Bạn nên phân chia theo đối tượng sử dụng tài nguyên mạng của mình như vậy sẽ tối ưu hơn nhiều lắm.
VD:
VIP: VLAN 2
Nhân viên: VLAN 3
Remote User (người dùng di động):
Server: VLAN 4
.....
như vậy bạn đã giải quyết dc bài toán của mình là ok.
VIP thì nên cho đi Leased Line vì ổn định hơn, bạn sẽ dc khen và tăng lương điều điều.
còn Nhân viên bạn nên cho đi qua Proxy Cache sẽ tối ưu BW.
VPN (Remote User ): bạn nên cho nó đi qua ADSL THÌ TỐT HƠN vì BW dành cho VPN là khá lớn nếu bạn cho đi Leased Line thì sẽ mất nhiều bw CHO NÓ THÌ NGƯỜI DÙNG BÊN ngoài sẽ truy cập vào Server của bạn chậm hơn.
Nói chung có nhiều cách để làm tùy nhu cầu của bạn thôi. Chúc vui

vâng, thanks.
Em chia theo Vlan em chỉ ví dụ thôi.
Vấn đề bây giờ là : em không biết tí gì về route-map cả, đành nhờ bác google thôi.
THanks anh nhiều. Cuối tuần vui vẻ nhé.

Chúc thành công
thật ra là cty bạn có tài chính ko thôi chứ việc đó ko khó
bạn nên tìm hiểu nhe.

Hi, hoakylan!

Minh doc tren dien dan co thay ban lam duoc Load balancing nhieu duong bang server Linux. Minh cung dang tien hanh lam viec nay, vay ban vui long co the help minh hoac cung cap cho minh tai lieu duoc khong? Neu duoc ban co the lien lac voi minh qua hom mail: thangpn@fsoft.com.vn.

Cam on ban truoc.

ThangPN.

Hiện tại Linux là công nghệ mạnh mẽ.
Hiện tại mình rất hài lòng về công nghệ này, và càng sử dụng mình thấy nó có nhiều cái hay mà mình không thể ngờ tới. có thể nói là tất cả trong 1.
Bạn cần thì có thể liên hệ mình. Mình thì ko có time nhiều nên có thể bạn có gắn liên hệ. IT là chia sẽ.

Hi, hoakylan!

Minh doc tren dien dan co thay ban lam duoc Load balancing nhieu duong bang server Linux. Minh cung dang tien hanh lam viec nay, vay ban vui long co the help minh hoac cung cap cho minh tai lieu duoc khong? Neu duoc ban co the lien lac voi minh qua hom mail: thangpn@fsoft.com.vn.

Cam on ban truoc.

ThangPN.

Minh thấy pfsense là lựa chọn tốt bạn có thể tham khảo tại đây, cứ làm đi khó khăn thì post anh em biết thì chỉ, hoặc nhờ anh Google.com.vn

http://doc.pfsense.org/index.php/Multi_WAN_/_Load_Balancing
=P~=P~=P~

minh có vấn đề xin tư vấn của cá bro

Mô tả đối tượng:
- Công ty ABC có ba văn phòng: 1 tại tp.HCM, 1 tại sân bay Liên Khương (Đà Lạt) và 1 tại sân bay Cần Thơ (Cần thơ).
- Các trung tâm có văn phòng làm việc cho khảng 20 người với các ứng dụng quản lý chuyên dụng được Hosting tại máy chủ của Văn phòng tp.HCM. Máy chủ trung tâm, hệ thống ứng dụng và các máy tính cá nhân (PC) cho nhân viên cùng các mạng LAN đã được xây dựng tại cả ba trung tâm.

Yêu cầu:
- Phân tích chọn lựa phương án đường truyền kết nối mạng diện rộng cho Công ty ABC (trên cơ sở các dịch vụ hiện có tại Việt nam: Leased Line hoặc Megawan hoặc Metronet, ….): loại dịch vụ, tốc độ đường truyền, ….
- Phân tích chọn lựa phương án đường truyền backup.
- Phân tích chọn lựa thiết bị đầu cuối (NTU/Modem/Router …) cho từng văn phòng đáp ứng yêu cầu.
- Phân tích chọn lựa giải pháp bảo mật của từng văn phòng.
- Phương pháp triển khai cấu hình thiết bị của từng văn phòng.
- Phương án cho các vấn đề khác liên quan mà bạn cho là cần thiết (ví dụ: giải pháp quản lý, bảo trì hệ thống …).

Kịch bản xây dựng chọn một trong hai:
- Kịch bản một: Bạn đang làm việc tại Công ty ABC và bạn đang phải xây dựng phương án cho Công ty mình;
- Kịch bản hai: Công ty ABC là khách hàng của bạn và bạn đang phải xây dựng phương án khả thi thuyết phục khách hàng của mình.

Hello

Xin post lại một số thảo luận của diễn đàn xung quanh việc chọn lựa công nghệ WAN.
------------------
Hiện nay có rất nhiều giải pháp để kết nối hay thiết kế hệ thống mạng diện rộng WAN.

Các nhà cung cấp dịch vụ mạng Wan như VNPT, FPT, Viettel, EVN đều đang chạy đua để cung cấp dịch vụ tới từng khách hàng :

- LeasedLine (VNPT,Viettel,EVN)
- FrameRelay
- MPLS (VDC, VTN)
- Metro Net (VNPT) (megawan)
- E-Metro (FPT).

Đa số các dịch vụ là ổn định và tốc độ đi Internet quốc tế đúng như cam kết. Tuy nhiên cũng có những trường hợp không ổn định do cáp, thiết bị... gây ra. Ngoài ra còn 1 yếu tố quan trọng khi chọn ISP là chất lượng dịch vụ như thế nào. Tùy theo nhu cầu mà bạn có thể chọn một trong các dịch vụ trên mà sử dụng, đối với các kênh kết nối của ngân hàng thì họ luôn làm 2 kết nối , 1 dùng như đường chính , 1 đường dùng như dự phòng backup và chọn sử dụng 2 nhà cung cấp dịch vụ khác nhau mà sử dụng.

Để sử dụng giải pháp ít tốn kém hơn thì bạn sử dụng MegaWAN và ADSL làm VPN backup. Megwan bạn nên sử dụng dịch vụ của VTN vì họ đã triển khai đến 64 tỉnh thành. MEGAWAN là loại tốt nhất cân bằng giữa chi phí và chất lượng. Kết nối Megawan liên tỉnh thì liện hệ với VTN2 còn nội hạt ở TP.HCM thì liên hệ với Cty Điện thoại Đông, còn nội hạt ở các tỉnh thành khác thì liên hệ tại các bưu điện tỉnh thành đó. nhưng nếu vừa triển khai Megawan liên tỉnh và nội hạt thì yêu cầu VTN2 triển khai luôn.

FTTH la dịch vụ internet Fiber optic, hạn chế là bạn phải tự làm VPN để kết nối các site lại. Riêng VSAT thì theo mình biết chi phí còn mắc hơn cả LeasedLine. Hiện tại hệ thống mình sử dụng MetroNet (VNPT) và E-Metro (FPT) để truyền dữ liệu với các site.

Để triển khai hệ thống Mạng cho Ngân hàng thì bạn nên sử dụng kênh thuê riêng Leased Line, và Backup bằng MW (có thể cấu hình Load-balance). Leased Line ổn định. MegaWAN khả năng chịu lỗi khá thấp nhưng chi phí rẻ.
Thuê kênh leased line TDM cam kết với tốc độ là cực tốt. Còn hiện tại leased line thường chạy qua DSLAM thông qua Card SHDSL nên tốc độ phụ thuộc vào modem, chất lượng cáp, uplink của DSLAM. Leased line của đơn vụ mình dùng là 128k FPT. Leased line tốc độ nhỏ hơn 2Mbps của FPT thực chất là SHDSL. lớn hơn nữa thì mới có kênh riêng thực sự. SHDSL có cả ATM và xDSL.

Đường Megawan của VTN thực chất là VPN qua MPSL vẫn phải qua các DSLAM. Còn khái niệm thế nào là leased line thì theo khái niệm truyền thống chỉ là kênh nối giữa 2 điểm. Không ai có thể truy cập trên đường đó cả trừ bạn. Còn công nghệ để thực hiện điều đó dựa trên xDSL hay ATM hay FrameRelay hoặc TDM… thì đấy là vấn đề của nhà cung cấp mà thôi.