Page 1 of 11 123 ... LastLast
Results 1 to 10 of 102

Thread: Thiết kế mạng, từ lý thuyết đến thực tiễn – lời nói đầu.

  1. #1
    Join Date
    Feb 2006
    Posts
    330

    Post Thiết kế mạng, từ lý thuyết đến thực tiễn – lời nói đầu.

    Đã từng một thời (cách đây 5 năm), với những “thắc mắc biết hỏi cùng ai” về thiết kế mạng:

    - Hệ thống mạng trên thực tế đang hoạt động được thiết kế như thế nào?
    - Mô hình mạng cần phải thiết kế ra sao cho từng đối tượng khách hàng (SMB, Enterprise, Banking, …)?
    - Phải chọn thiết bị mạng (Switch, Router, Firewall, …) tối ưu nhất trong từng thiết kế?
    - Ứng dụng những kiến thức đã học trong viêc thiết kế một hệ thống mạng trong thực tế như thế nào?

    … tại thời điểm đó, cũng có chút kiến thức học được (CCNP/CCDP), tuy nhiên việc áp dụng các kiến thức đã học áp dụng vào thực tế chỉ là con số 0 tròn trĩnh, hay nói cách khác, đó là một cảm giác “có võ công nhưng khi gặp cao thủ để tỉ thí thì không biết dùng như thế nào”, một cảm giác … thực sự rất khó chịu… đó là:

    - Học về HSRP/VRRP/GLBP, hiểu rõ các giao thức này hoạt động ra sao, hiểu rõ phải cấu hình thế nào, hiểu rõ phải troubleshoot ra sao nếu có sự cố,… nhưng lại không biết phải dùng ở đâu trong mô hình mạng.
    - Học về Spanning Tree Protocol (STP), Rapid Spanning Tree Protocol (RSTP), PVST+, Rapid-PVST, MST: hiểu rõ làm sau để cấu hình Root Bridge, Root Port, Load Sharing với STP, sự khác biệt giữa STP, RSTP, PVST+, Rapid-PVST, MST, ưu và nhược điểm của từng loại. Nhưng… lại không hiểu phải dùng như thế nào trong thực tế…
    - Học về thiết kế mạng mô hình 3 lớp: Core/Distribution/Access… hiểu rõ vai trò của từng lớp, nhưng lại không thể design nổi hệ thống mạng cho 1 doanh nghiệp vừa và nhỏ (SMB), hay thậm chí ngay cả khái niệm SMB, ENT, … cũng còn rất mơ mơ hồ hồ.
    - Và rất nhiều những điều tương tự …

    Đã từng tự hỏi, là do đâu ??? có phải là:

    - Thiếu kiến thức về sản phẩm: vâng, tuy rằng tôi đã được trang bị 1 hệ thống kiến thức nền tảng trong CCNP/CCDP, tuy nhiên lại không biết hoặc chưa hiểu được:
    o Khái niệm Modular Switch (Catalyst 6500, Catalyst 4500, Nexus 7000, …): thế nào là linecard, là supervisor, là fans tray, là power supply, vv..
    o Một Switch thế nào được gọi là “mạnh”, cùng các khái niệm để định nghĩa độ “mạnh” này của 1 thiết bị, ví dụ: trên dòng Switch 3750-X: 160 Gbps switching fabric, 101.2 mpps forwarding rate, 10GbE uplinks, …
    Link tham khảo thêm: http://www.cisco.com/en/US/prod/coll...78-584733.html
    o Khái niệm về VSS trên dòng Switch 6500, Stack-Wise trên dòng Switch 3750 series, Flex-Stack trên dòng Switch 2960S (lưu ý, đây là những tính năng cực kỳ quan trọng trong thiết kế hệ thống mạng với nhiều đặc điểm nổi trội mà sẽ được đề cập chi tiết trong các bài viết sau).
    o Các tính năng (feature) hỗ trợ trên từng dòng thiết bị là khác nhau do được thiết kế với những mục đích khác nhau, như: Switch 2960 series chỉ hỗ trợ các tính năng Layer 3 ở mức rất hạn chế so với Switch 3750/4500/6500 series do 2960 được thiết cho lớp Access …
    - Đặc trưng của từng đối tượng khách hàng, ví dụ: khi thiết kế hệ thống mạng cho khách hàng là SMB thì sẽ rất khác với khách hàng Enterprise,…
    - Chưa có kinh nghiệm thực tế… -> vậy phải làm sao để có?? Học từ ai?? Học ở đâu??

    Và tôi đã trải qua 1 đoạn thời gian mò mẫm, như bước đi trong 1 đường hầm tối tăm như thế, và cho đến bây giờ, tôi vẫn đang đi trong đường hầm, có khác chăng đó là đường hầm với một “tia sáng le lói” dẫn đường .

    Hiểu rõ những khó khăn đã từng trải qua cùng với mong muốn được chia sẽ, trao đổi và học hỏi nhằm làm giàu thêm về kỹ năng thiết kế mạng.

    Xin phép được bắt đầu chuỗi bài viết chuyên đề “Thiết kế mạng, từ lý thuyết đến thực tiễn”.

    Chương 1: Thiết kế hạ tầng mạng LAN không dự phòng. (to be continue…)

  2. #2
    Join Date
    Apr 2007
    Location
    Phú Yên
    Posts
    408

    Default

    Bài giới thiệu rất ấn tượng, mong chờ các bài tiếp theo của anh Bình

    Cảm ơn anh!
    HỌC QUẢN TRỊ MẠNG - HOCQUANTRIMANG.COM

    LÝ QUANG THIỆN - MASAN'S NETWORK ADMIN

  3. #3

    Default

    quá hay, đợi chờ phần tiếp theo anh viết, update sớm chút anh nhé.

  4. #4
    Join Date
    Aug 2010
    Location
    BinhThanh - HCMC
    Posts
    457

    Default

    Tuyệt vời, cám ơn anh đã chia sẽ, những gì anh nói hoàn toàn chính xác với hoàn cảnh mình hiện tại. Waiting for your next thread
    Last edited by nbhduoc; 04-12-2011 at 03:47 PM.

  5. #5

    Default

    Xin cám ơn sự chia sẽ của anh, mong là anh đầu tư vào chuỗi bài viết này thật nhiều để đàn em có thể hiểu được cách vận dụng lý thuyết vào thực tế như thế nào...

  6. #6
    Join Date
    Mar 2010
    Location
    GiaLai
    Posts
    200

    Default

    Thank anh vì chủ đề rất hay...chờ bài viết tiếp theo của anh
    Theo lối dẫn-Ngẫng nhìn thầy-Đi theo thầy-Nhìn thấu thầy-và Trở thành thầy.

  7. #7
    Join Date
    Feb 2006
    Posts
    330

    Post Thiết kế hạ tầng mạng lan không dự phòng

    Sơ Đồ Mạng (Network Diagram)


    Sơ đồ kết nối tổng quan






    Hệ thống mạng được thiết kế dựa trên nguyên tắc module hóa các thành phần.
    Việc module hóa khi thiết kế có những đặc điểm nổi bật sau:
    - Đơn giản, rõ ràng.
    - Có thể mở rộng hệ thống mạng dễ dàng.
    - Tách biệt rõ ràng chứng năng của từng module, từ đó có đầy đủ thông tin để chọn lựa đúng thiết bị mạng cho từng module:
    o Core/Distribution Block: là module trung tâm của hệ thống mạng, chịu trách nhiệm kết nối các module còn lại với nhau. Từ đây có thể thấy ưu tiên chọn thiết bị ở lớp này là “càng nhanh càng tốt”.
    o Access Layer Block: là module cung cấp kết nối cho người dùng cuối. Ưu tiên khi chọn thiết bị thuộc module này là “cung cấp nhiều cổng kết nối downlink cho người dùng, đồng thời phải có kết nối Uplink tốc độ cao để kết nối lên module Core/Distribution”, và tối ưu hóa chỉ số “giá thành / cổng downlink”. Thông thường thiết bị sử dụng tại module này chỉ cần hỗ trợ các tính năng ở lớp 2.
    o Server Farm Block: đây là module cung cấp kết nối cho các máy chủ (Servers) cung cấp dịch vụ trong mạng nội bộ, ví dụ: AD, DNS, DHCP, File, Application, Database. Thiết bị chọn ở lớp này cần có cổng kết nối downlink tốc độ tối thiểu là 1Gbps và hoạt động ở lớp 2.
    o WAN Block: là module cung cấp kết nối đến các chi nhánh khác. Thông thường, thiết bị trong module này cần hỗ trợ:
     Các cổng giao tiếp WAN: Serial, FTTH, ADSL, …
     Các tính năng: định tuyến động, mã hóa VPN ở phần cứng (VPN supported in hardward).
    o Internet Access Block: là module nằm ở ngoài cùng của hệ thống mạng, cung cấp kết nối Internet cho người dùng nội bộ. Thông thường thiết bị được chọn ở module này cần hỗ trợ các tính năng:
     Định tuyến.
     NAT/PAT.
     Firewall.
     Remote Access VPN.
    o DMZ Block: là module kết nối trực tiếp với module “Internet Access Block”. Chức năng của module này:
     Cung cấp các dịch vụ ra ngoài Internet: Mail, Web

    Sơ đồ mạng kết nối vật lý



    Hệ thống mạng được xây dựng dựa trên tiêu chí không hỗ trợ tính năng sẵng sang cao (HA), do đó chi tiết thiết bị đề xuất cho các module như sau:
    - Core/Distribution Block: 1 x Switch có cổng kết nối tốc độ tối thiểu 1Gbps và hoạt động ở lớp 3.
    - Access Layer Block: n x Switch có cổng kết nối downlink tốc độ tối thiểu 100Mbps và Uplink 1Gbps, hoạt động ở lớp 2.
    - Server Farm Block:
    o 1 x Firewall: có cổng kết nối tốc độ tối thiểu 1Gbps và có Firewall Throughput tối thiểu 1Gbps.
    o 1 x Switch có cổng kết nối tốc độ tối thiểu 1Gbps và hoạt động ở lớp 2.
    - WAN Block: 1 x Router có cổng kết nối LAN/WAN tương ứng.
    - DMZ Block: 1 x Switch có tốc độ tối thiểu 100Mbps và hoạt động ở lớp 2.
    - Internet Access Block:
    o 1 x Firewall: hỗ trợ IPSEC VPN hoặc SSL VPN (nếu yêu cầu).
    o 1 x Router (tùy chọn): có cổng kết nối LAN/WAN tương ứng.


    Sơ đồ mạng kết nối luận lý



    Các tính năng được sử dụng:
    - Core/Distribution Switch:
    o Spanning Tree: Rapid-PVST, STP Root Bridge
    o Trunking: Dot1Q
    o Create VLAN.
    o Ether Channel.
    o VTP: Mode Transparent
    o InterVlan Routing.
    o Static Routing.
    o Device Security Hardening.
    - Access Switch:
    o Spanning Tree: Rapid-PVST, Portfast
    o Create VLAN
    o Trunking: Dot1Q
    o Ether Channel.
    o VTP: Mode Transparent
    o Assign Port to VLAN
    o Device Security Hardening.
    - Internal Firewall:
    o Static Routing.
    o Firewall Policy.
    o Device Security Hardening.
    - Server Switch:
    o Spanning Tree: Rapid-PVST, Portfast
    o Create VLAN.
    o VTP: Mode Transparent
    o Assign Port to VLAN
    o Device Security Hardening.
    - DMZ Switch:
    o Spanning Tree: Rapid-PVST, Portfast
    o Create VLAN.
    o Device Security Hardening.
    - Internet Firewall:
    o Cấu hình Interface.
    o Static Routing.
    o Remote Access VPN/ SSL VPN.
    o Firewall Policy.
    - Internet Router:
    o Cấu hình LAN/Internet Interface.
    o Static Routing.
    - WAN Router:
    o Cấu hình LAN/WAN Interface.
    o Static Routing.


    Sơ đồ định tuyến




    Đối với hệ thống mạng đơn giản và không đòi hỏi tính năng sẵng sàng cao (HA), việc chọn và sử dụng định tuyến tĩnh (Static Routing) là hoàn toàn có thể chấp nhận.
    - Core Switch sẽ chịu trách nhiệm định tuyến giữa các VLAN người dùng và các module khác. Chi tiết định tuyến tham khảo mô hình trên.
    - External Firewall: ngoài việc định tuyến các traffic ra/vào Internet, thiết bị này còn được cấu hình thêm:
    o Firewall: lọc các packets ra/vao giữa các vùng: TRUSTED (còn gọi là INSIDE Zone), DMZ và UNTRUSTED (còn gọi là OUTSIDE Zone). Thông thường traffic từ Internet chi cho phép truy cập vào các tài nguyên được publich tại module DMZ, nghiêm cấm các kết nối được khởi tạo từ Internet vào TRUSTED hoặc từ DMZ vào TRUSTED. Chi tiết các firewall rule này còn phụ thuộc cụ thể vào từng chính sách bảo mật của từng công ty.
    o Remote Access VPN: phục vụ cho người dùng làm việc từ xa thông qua Internet.
    o Dynamic NAT PAT: traffic từ người dùng truy cập Internet.
    o Static NAT PAT: nhằm publich dịch vụ từ DMZ ra Internet.
    o NO-NAT: không NAT các yêu cầu truy cập (nếu có) từ mạng nội bộ ra/vào DMZ.


    Thảo Luận Về Thiết Bị Mạng Sử Dụng Trong Thiết Kế


    - Core/Distribution Switch:
    o Cisco Catalyst 3560G, 3560-X.
    - Access Switch:
    o Cisco Catalyst 2960.Link:
    - Internal Firewall:
    o Cisco ASA5550 hoặc tương đương.
    - Server Switch:
    o Cisco Catalyst 2960G, 2960S.
    - DMZ Switch:
    o Cisco Catalyst 2960.
    - Internet Firewall:
    o Cisco ASA5505, ASA5510 hoặc ASA5520.
    - Internet Router:
    o Cisco Router 1900.
    - WAN Router:
    o Cisco Router 800, 1900, 2900.


    References links:
    - Cisco 3560G: http://www.cisco.com/en/US/products/...528/index.html
    - Cisco 3560-X: http://www.cisco.com/en/US/products/ps10744/index.html
    - Cisco 2960: http://www.cisco.com/en/US/products/ps6406/index.html
    - Cisco 2960S: http://www.cisco.com/en/US/products/ps12200/index.html
    - Cisco ASA5500: http://www.cisco.com/en/US/products/ps6120/index.html
    - Cisco Router 800: http://www.cisco.com/en/US/products/...380/index.html
    - Cisco Router 1900: http://www.cisco.com/en/US/products/ps10538/index.html
    - Cisco Router 2900: http://www.cisco.com/en/US/products/ps10537/index.html



    Cấu Hình Mẫu (Configuration Template)

    To be continue…


    Thảo Luận Về Ưu / Khuyết Điểm Trong Thiết Kế Kể Trên



    Ưu Điểm:
    - Chi phí đầu tư thấp nhất.
    - Thích hợp cho SMB chấp nhận downtime khi hệ thống có sự cố: thiết bị hư hỏng, mất kết nối vật lý.

    Khuyết Điểm:
    - Không có tính dự phòng.


    Phần tới: Thiết kế hạ tầng mạng LAN dự phòng đầy đủ sử dụng STP (Legacy Model).
    Attached Images Attached Images
    Last edited by lyquangthien; 06-12-2011 at 07:21 PM.

  8. #8
    Join Date
    Aug 2010
    Location
    BinhThanh - HCMC
    Posts
    457

    Default

    Tới đây hơi chóng mặt rồi ^^.
    Copy vào 1 file bắt đầu ngâm cứu trong thời gian chờ bài tiếp theo.
    Chân thành cảm ơn sự chia sẽ của tiền bối.

  9. #9

    Default

    cám ơn bác...bài viết rất rõ ràng, dễ hiểu

  10. #10
    Join Date
    Jun 2009
    Location
    Hải Dương
    Posts
    95

    Default

    cho mình hỏi 1 chút là với Internal Firewall sao lại chon dòng asa cao hơn so với internet firewall, vì mình nghĩ internet firewall chịu lưu lượng cao hơn internal firewall, cả lưu lượng VPN và internet

Page 1 of 11 123 ... LastLast

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  
Website game điện thoại:Bigone