Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Giúp đỡ mô hình mạng

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Giúp đỡ mô hình mạng

    Mình đang muốn xây dựng mô hình mạng như sơ đồ dưới:

    - Vùng Server quản trị bao gồm Domain, server giám sát mạng, quản lý, backup data
    - Vùng Server farm bao gồm Data_Wan, Data_ ứng dụng nội bộ, Data cho vùng DMZ
    - Đối với Server data phục vụ cho vùng DMZ: với Server_web hướng tới xây dựng web theo Mô hình MVC, Server_ứng dụng trích xuất 1 phần dữ liệu để puclic ra Internet
    Các con router, ASA, Core sw sẽ có dự phòng
    - Vùng DMZ sẽ có 1 số server lấy hoặc trích 1 phần dữ liệu từ server_dmz- nên server_dmz đặt trong inside có hợp lý ?
    - Wan nội bộ cho phép truy cập server chi nhánh có cần thêm Firewall asa hay cho 1 trafic qua ASA1 để kiểm soát, còn ASA2 dùng vào việc khác
    - Xây dựng thêm 1 DC ( đặt DC trong vùng quản trị) quản lý máy trạm chi nhánh với băng thông Wan là 10Mb

    nhờ các bạn tư vấn giúp xem mô hình như vâỵ còn chỗ nào chưa hợp lý, còn thiếu ah
    cảm ơn mọi người đã giúp đỡ
    1 Photo
    Tags: None
  • #2
    Sử dụng Tệp Nhật Ký (Logging Files)


    Tôi vẫn còn nhớ một sự cố xảy ra tại một công ty khách hàng khi một máy chủ cơ sở dữ liệu bị hỏng ổ đĩa và chuyển sang sử dụng ổ đĩa dự phòng. Điều đáng lo là tình trạng này kéo dài trong nhiều tuần mà không ai nhận ra, cho đến khi một kỹ sư tình cờ đọc được thông báo lỗi trong nhật ký hệ thống. Nếu ổ đĩa dự phòng cũng gặp sự cố, toàn bộ hệ thống dữ liệu của công ty có thể đã bị sập. Sự việc đó nhấn mạnh tầm quan trọng của việc phân tích nhật ký hệ thống định kỳ – không chỉ từ máy chủ, mà còn từ các thiết bị mạng như router và switch.

    Thông tin ghi nhật ký (logging) có thể giúp:
    • Phát hiện sớm các sự cố phần cứng, chẳng hạn như ổ đĩa, nguồn điện, hoặc card mạng bị lỗi.
    • Hiểu rõ bản chất của các cuộc tấn công mạng, ví dụ như brute-force SSH, port scan hoặc tấn công DDoS.
    • Hỗ trợ khắc phục sự cố mạng, như tra cứu lý do router bị khởi động lại, mất kết nối hoặc lỗi định tuyến.
    • Tương quan sự kiện giữa các thiết bị – ví dụ: phát hiện rằng router A bị tấn công ngay sau khi firewall B cho phép một luồng lưu lượng bất thường đi qua.

    Để đảm bảo việc tương quan sự kiện chính xác, dấu thời gian đồng bộ là rất cần thiết. Điều này được thực hiện hiệu quả thông qua giao thức Network Time Protocol (NTP).
    Các điểm đến của log trên thiết bị Cisco


    Cisco router và switch có thể gửi log đến các nơi sau: Console


    Ví dụ: Khi một kỹ sư đang cấu hình router thông qua cổng console, các thông báo như “interface down”, “port security violation” sẽ hiển thị trực tiếp trên màn hình, giúp họ xử lý ngay lập tức. Dòng vty (Telnet/SSH)


    Khi truy cập router từ xa qua SSH, bạn cần gõ lệnh terminal monitor để có thể thấy các thông báo lỗi hoặc cảnh báo, ví dụ như:
    perl

    Copy


    Edit


    %LINK-5-CHANGED: Interface GigabitEthernet0/1, changed state to administratively down
    Buffer (Bộ nhớ đệm)


    Router có thể lưu tạm nhật ký vào bộ đệm trong RAM. Ví dụ: Khi bạn muốn xem lại các thông báo lỗi trong vòng 5 phút vừa qua, bạn có thể dùng lệnh:
    sql

    Copy


    Edit


    show logging



    Tuy nhiên, các log này sẽ bị mất khi router khởi động lại. Máy chủ SNMP


    Router có thể gửi SNMP traps khi gặp lỗi – ví dụ như CPU vượt quá 90%, interface bị down – đến phần mềm giám sát như SolarWinds, giúp đội vận hành nhận cảnh báo qua email/SMS. Máy chủ Syslog


    Một giải pháp phổ biến để tập trung log. Ví dụ: Một doanh nghiệp cấu hình toàn bộ switch và router gửi log về Syslog Server như Graylog hay Kiwi Syslog để lưu trữ và phân tích tập trung.
    Giải pháp ghi nhật ký bằng Syslog


    Một hệ thống syslog bao gồm:
    • Syslog client: Thiết bị gửi log (router, switch).
    • Syslog server: Thiết bị nhận log (máy chủ tập trung).

    Ví dụ: Trong một hệ thống mạng doanh nghiệp, tất cả các thiết bị Cisco đều được cấu hình để gửi thông điệp syslog đến máy chủ syslog nội bộ. Khi có tấn công brute-force SSH trên router biên, syslog ghi nhận hàng trăm lần đăng nhập thất bại từ một địa chỉ IP lạ – giúp đội bảo mật điều tra và chặn IP đó.
    Các mức độ nghiêm trọng của Syslog


    Không phải thông điệp nào cũng quan trọng như nhau. Dưới đây là các cấp độ mức độ nghiêm trọng:
    0 Emergencies Hệ thống không thể hoạt động Toàn bộ router sập nguồn hoặc lỗi nghiêm trọng gây mất kết nối
    1 Alerts Cần hành động ngay lập tức Tấn công DDoS khiến firewall quá tải
    2 Critical Lỗi nghiêm trọng OSPF không hoạt động gây gián đoạn định tuyến
    3 Error Lỗi bình thường Giao diện bị down do lỗi cáp
    4 Warnings Cảnh báo Số lần đăng nhập thất bại vượt ngưỡng
    5 Notifications Điều kiện bình thường nhưng quan trọng DHCP cấp phát địa chỉ mới
    6 Informational Thông tin tổng quát Người dùng đăng nhập thành công
    7 Debugging Gỡ lỗi chi tiết Theo dõi chi tiết quá trình trao đổi BGP
    Lưu ý: Logging ở mức Debugging (7) nên được giới hạn, vì nó tiêu tốn CPU và bộ nhớ, và dễ làm tràn log trên máy chủ nếu không kiểm soát tốt.
    Ý nghĩa của dấu thời gian (Timestamps)


    Mỗi bản ghi syslog đều kèm theo thời gian xảy ra sự kiện. Ví dụ: Nếu một log từ switch cho thấy port bị down lúc 10:15:23, và log từ firewall ghi nhận kết nối từ IP lạ lúc 10:15:24, bạn có thể xác định mối liên hệ giữa các sự kiện, từ đó điều tra sâu hơn về nguyên nhân.
    Để đảm bảo thời gian đồng bộ, các thiết bị mạng cần được cấu hình NTP chuẩn, ví dụ đồng bộ với máy chủ thời gian nội bộ hoặc sử dụng NTP của quốc gia.
    Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/

    Comment

    Previous template Next
    Working...
    X