Announcement

**loc.nguyen246** · 26-04-2012, 11:19 AM

giúp em với

**thanhnam0707** · 27-04-2012, 03:14 PM

Thiết kế của bạn vậy tạm được rồi, bạn chia subnet vậy cũng ok, ngăn chặn giữa các phòng ban bạn nên dùng access-list.
Mô hình của bạn nên có 1 firewall để chống xâm nhập, có kết hợp UTM vd: antivirus thì càng tốt.

**boysaithanh** · 27-04-2012, 07:20 PM

Bạn có thể đưa ra sơ đồ triển khai cụ thể được ko ?.vì mỗi một phòng ban bạn chia nhỏ ra làm nhiều subnet, vấn đề lại là routing giữa các subnet đó (các nhóm trong một phòng phải thông được với nhau).
Thứ hai theo mình nghĩ, tại mối site mình nên đặt mỗi con switch và chia làm 5 Vlan tương ứng với các phòng ban yêu cầu.(các vlan là phải khác subnet) và phải rouitng intervlan.) Các SW nối với nhau bằng đường trunk.

**kira12a8** · 29-04-2012, 07:41 PM

Originally posted by loc.nguyen246 View Post

Đề:
Xây dựng hệ thống các thiết bị mạng cho 1 cty có 3 chi nhánh (văn phòng chính, chi nhánh Q.6, chi nhánh Q.10).
Ở 3 nơi đều có lượng PC từng phòng bang như nhau hết (phòng giám đốc: 5PC, phòng nhân sự: 200PC, phòng kế toán: 20PC, phòng kỹ thuật: 150PC, phòng IT: 20PC).
Cty chỉ thuê 1 đường truyền internet duy nhất đặt tại văn phòng chính, và chi nhánh Q.6 Q.10 muốn truy cập internet phải qua văn phòng chính.
Giảm tín hiệu Broadcast giữa các phòng ban.
Phân hoạch IP phù hợp cho các phòng ban.
Tối ưu phương pháp quản lý thiết bị.
Tính cân bằng và chịu tải giữa các thiết bị.
Các phòng ban ko được phép truy cập tài nguyên lẫn nhau.
Phòng IT được phép remove đến bất kì PC thuộc mọi phòng ban.
Cho phép các phòng ban truy cập internet.
Ngăn cấm các máy phòng kỹ thuật truy cập internet.
Phòng giám đốc phải hoạt động độc lập và tính sẵn sàng cao, tốc độ băng thông cao khi truy cập internet và ko phụ thuộc bất kì phòng ban nào.
Cho phép kết nối từ xa đến các thiết bị (router, switch) để thuận tiện việc quản trị.
Phòng giám đốc và kỹ thuật được phép truy cập tài nguyên ở các chi nhánh Q.6 và Q.10.
Phòng IT được phép truy cập bất kì chi nhánh nào (truy cập thiết bị router, switch).
Phần giải của em mong các anh các thầy nhận xét đánh giá và cho em phương pháp khả thi hơn:
Về phần thiết kế kết nối giữa 2 chi nhánh với văn phòng chính thì kết nối bằng đường cáp quang để đảm bảo việc truy xuất nhanh, và đường truyền internet đặt ở văn phòng chính là đường truyền tốc độ cao. Như hình dưới:

[ATTACH=CONFIG]4333[/ATTACH]

Còn về giảm tín hiệu Broadcats và phân hoạch IP cho hệ thống các chi nhánh thì em làm theo bảng bên dưới:

Phòng nhân sự (chia nhỏ ra để giảm Broadcast)

Nhóm 1: 192.168.1.0/27 --> 192.168.1.31/27 (30PC)
Nhóm 2: 192.168.1.32/27 --> 192.168.1.63/27 (30PC)
Nhóm 3: 192.168.1.64/27 --> 192.168.1.95/27 (30PC)
Nhóm 4: 192.168.1.96/27 --> 192.168.1.127/27 (30PC)
Nhóm 5: 192.168.1.128/27 --> 192.168.1.159/27 (30PC)
Nhóm 6: 192.168.1.160/27 --> 192.168.1.191/27 (30PC)
Nhóm 7: 192.168.1.192/27 --> 192.168.1.223/27 (30PC) dư ra được 10 IP có thể dùng cho kết nối máy in hoặc thiết bị cứng khác
Nhóm 8: 192.168.1.224/27 --> 192.168.1.255/27 (30PC) nhóm này em để dự phòng khi quy mô cty tăng lên

Phòng kỹ thuật (chia nhỏ ra để giảm Broadcast)

Nhóm 1: 192.168.2.0/27 --> 192.168.2.31/27 (30PC)
Nhóm 2: 192.168.2.32/27 --> 192.168.2.63/27 (30PC)
Nhóm 3: 192.168.2.64/27 --> 192.168.2.95/27 (30PC)
Nhóm 4: 192.168.2.96/27 --> 192.168.2.127/27 (30PC)
Nhóm 5: 192.168.2.128/27 --> 192.168.2.159/27 (30PC) vừa đủ 150 PC
Nhóm 6: 192.168.2.160/27 --> 192.168.2.191/27 (30PC) kết nối các thiết bị cứng khác hoặc dự phòng khi quy mô cty tăng

Phòng kế toán

192.168.3.0/27 --> 192.168.3.31/27 (30PC) dư 10

Phòng IT

192.168.3.32/27 --> 192.168.3.63/27 (30PC) dư 10

Phòng giám đốc

192.168.3.64/27 --> 192.168.3.95/27 (30PC) dư 25
với bảng IP trên em áp dụng cho mô hình bên dưới mong các anh và các thầy đánh giá dùm em

[ATTACH=CONFIG]4334[/ATTACH]

ở cái switch trên cùng em chia 5 vlan:

[*=left]vlan 1 cho phòng giám đốc (192.168.3.64/27 --> 192.168.3.95/27)
[*=left]vlan 2 cho phòng IT (192.168.3.32/27 --> 192.168.3.63/27)
[*=left]vlan 3 cho phòng kế toán (192.168.3.0/27 --> 192.168.3.31/27)
[*=left]vlan 4 cho phòng kỹ thuật (192.168.2.0/24 vì với 5 lớp mạng nhỏ khi ta gom lại để quảng bá là ra 192.168.2.0/24)
[*=left]vlan 5 cho phòng nahn6 sự (192.168.1.0/24 vì 7 lớp mạng nhỏ gom lại để quảng bá là 192.168.1.0/24)

các anh các thầy cho em hỏi là em làm vậy đúng hay ko vì em ko biết là switch chi Vlan thì các Vlan có được khác IP ko (Vlan 1 2 3 192.168.3.0, Vlan 4 192.168.2.0, Vlan 5 192.168.1.0)
với các chia Vlan ở cái switch trên cùng như vậy có giúp được việc ngăn cách các phòng ban ko truy cập tài nguyên lẫn nhau chưa hay phải dùng access list mở rộng để ngăn cấm
ở mô hình này em cho IP đường mạng kết nối với switch của cái Router trên cùng (cái kết nối internet) là 192.168.3.0/24 có ổn ko
các anh các thầy có thể chỉ em thêm về access list mở rộng để làm được các câu hỏi như ngăn cấm truy cập hay cho phép truy cập, vì em chỉ mới koi video bài giảng của các thầy thôi nên kiến thức còn hạng hẹp
thank các anh các thầy

Chào bạn,

Mình giúp bạn định hướng một số câu cơ bản nhé :)

1. Giảm tín hiệu Broadcast giữa các phòng ban.

Phòng nhân sự và phòng kỹ thuật bạn chia nhỏ subnet ra để giảm broadcast như vậy là không được, nhân viên trong cùng một phòng ban phải chung LAN chứ (bạn hãy tưởng tượng ví dụ anh trưởng phòng nhân sự gởi một thông báo đến tất cả các nhân viên (broadcast) trong phòng nhân sự thì nếu như thiết kế như bạn thì chỉ có những người chung subnet với anh trường phòng mới nhận được còn những người khác mặc dù cũng trong phòng nhân sự lại không nhận được do khác subnet)
==> do đó để thực hiện yêu cầu này thì mỗi phòng ban ta cho vào 1 vlan và mỗi vlan là thuộc một subnet riêng biệt

2. Phân hoạch IP phù hợp cho các phòng ban.

Dùng VLSM để phân hoạch IP, phòng nhân sự có số lượng nhân viên nhiều nhất thì ta lấy đó để chia subnet. Ví dụ phòng nhân sự có 200 nhân viên thì ta sử dụng nguyên một mạng lớp C để làm subnet cho phòng nhân sự : 192.168.1.0/24 (mạng này có thể đáp ứng 254 nhân viên, nếu sợ không đủ cấp cho tương lai thì có thể dùng mạng lớp B không ai cấm cả :) nhưng nếu dùng mạng lớp B thì sẽ sử dụng subnetmask là /24 để thỏa yêu cầu là phân hoạch IP phù hợp). Ví dụ thêm cái nữa nhé, phòng giám đốc có 5 pc thì ta dùng mạng có subnet mask là /29 chứ phòng giám đốc chỉ có 5pc mà bạn dùng /27 thì bạn phân hoạch IP không phù hợp rồi vì 2^5-2=30pc)

3. Các phòng ban ko được phép truy cập tài nguyên lẫn nhau.

Khi bạn chia vlan rồi thì các phòng ban này nằm trong các vlan khác nhau nên không thể truy cập lẫn nhau.

4. Ngăn cấm các máy phòng kỹ thuật truy cập internet

Bạn sử dụng access-list để cấm địa chỉ mạng của phòng này trên port 80

5. Cho phép kết nối từ xa đến các thiết bị (router, switch) để thuận tiện việc quản trị.

Trên router : đặt địa chỉ cổng telnet
Trên switch : đặt địa chỉ trên interface vlan1 để telnet và nhớ phải thêm lệnh ip default-gateway trỏ về cổng sub-interface bất kỳ trên router (con router nối với internet) để có thể telnet từ bất kỳ một thiết bị thuộc một vlan nào đó tới switch

**samson79** · 14-05-2012, 04:33 PM

Xem bài lab này để biết thêm về thực tế.
Switch 1-2 thuộc lầu 4.
Switch 3-4 thuộc lầu 6.
Core Switch 3560.
Access Switch Lynsys E4200 (tương đương SW Layer2 2960)
Dùng công nghệ Ethe-Channel gộp 2 port 1Gb thành 2Gb (port nối với core switch)

Yêu cầu:
DHCP trên core switch.
Chia VLAN.
Giới hạn băng thông cho Acess Point Guest.
Guest chỉ được phép truy cập internet, ko được phép tru cập nội bộ (vì mạng này dành cho khách đến công ty)
Giới hạn băng thông trên Guest.
Ưu tiên cho BOSS.
Các vlan còn lại ko giới hạn băng thông.
VPN RA và VPN LDAP trên ASA5510, public ra internet.

Announcement

cần các anh các thầy giúp đỡ định hướng dùm em bài lab này

cần các anh các thầy giúp đỡ định hướng dùm em bài lab này

Comment

Comment

Comment

Comment

Comment