Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Phân tích và thiết kế mô hình mạng doanh nghiệp với thiết bị Cisco

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Phân tích và thiết kế mô hình mạng doanh nghiệp với thiết bị Cisco

    Một hệ thống mạng đơn giản dựa trên giao thức TCP/IP sử dụng classful 32-bit IP address và distance vector. Nhưng công nghệ thì liên tục thay đổi và phát triển yêu cầu hệ thống mạng cần phải có sự thay đổi, thiết kế lại, hay xây dựng một mô hình mạng mới, việc tạo ra một hệ thống mạng với tính tuỳ biến cao là cần thiết.
    Mở rộng là khả năng của hệ thống mạng đáp ứng yêu cầu ngày càng phát triển với trọng tâm là thiết kế lại và cài đặt lại hệ thống. Nhưng việc phát triển của hệ thống mạng thì rất nhanh nhưng thiết kế lại hệ thống là một điều không hề đơn giản. Đáp ứng yêu cầu giá cả, và sự đơn giản trong quá trình quản trị và bảo dưỡng hệ thống mạng. Ngoài ra hệ thống mạng cần phải thiết lập sự ưu tiên cho những ứng dụng khác nhau.
    Khi thiết kế hệ thống đáp ứng các yêu cầu phát triển trong tương lai bạn cần phải hiểu được cấu trúc vật lý và các giao thức mạng để thiết kế triển khai một cách hợp lý dưới đây tôi sẽ trình bày.
    Thiết kế mô hình mạng ba lớp:




    Với một hệ thống mạng được thiết kế có cấu trúc phân lớp nhằm tránh sự phức tạp hoá trong mạng, việc chia ra các lớp nhỏ giúp bạn nhóm những thiết bị, các giao thức kết nối, và tính năng cụ thể cho từng lớp một, giải quyết các sự cố một cách nhanh nhất liên quan trực tiếp tới một lớp nào đó. Tối ưu hoá hệ thống mạng.
    Cisco giới thiệu mô hình mạng ba lớp bao gồm
    Core layer
    Distribution layer
    Access layer



    Khái niệm mô hình mạng ba lớp dựa trên vai trò của từng lớp đó trong hệ thống mạng, nó cũng tương tự như khái niệm mô hình mạng OSI chia ra dựa trên vai trò của từng lớp trong việc truyền dữ liệu.
    Sử dụng mô hình mạng với cấu trúc phân lớp mang lại sự thuận tiện trong thiết kế, cụ thể trong triển khai, dễ dàng để quản lý và giải quyết sự cố. Và cũng đáp ứng được yêu cầu về tính mềm dẻo cho hệ thống mạng.
    Nhưng trong cùng một thời điểm rất khó có thể tách biệt hoàn toàn thiết bị này thiết làm việc tại lớp nào. Nhưng mỗi lớp trong hệ thống mạng cũng có thể sẽ bao gồm các thiết bị như:
    Router, Switch, Link, giải pháp tích hợp
    Một vài hệ thống mạng có kết hợp các thành phần của hai lớp vào làm một để đáp ứng các yêu cầu riêng. Dưới đây là vai trò của từng tầng trong mô hình mạng:
    Core Layer
    Lớp Core Layer cung cấp tối ưu hoá và độ tin cậy trong quá trình truyền tin với tốc độ rất cao (high speeds). Nhưng không phải lớp Core Layer đáp ứng toàn bộ quá trình truyền thông tin trên mạng, nhưng đó có thể được coi như đường đại lộ liên kết các đường nhỏ với nhau, đôi khi các giao tiếp chỉ thực hiện ở một lớp duy nhất mà thôi. Lớp Core Layer đáp ứng các vai trò sau:
    Kiểm tra Access-list
    Mã hoá dữ liệu
    Address translation
    Các thiết bị hoạt động trong lớp Core Layer bao gồm các dòng:
    12000, 7500, 7200, and 7000 series routers




    Dòng 12000

    Dòng 7000, 7200, 7500
    Riêng dòng 12000 chỉ dành riêng cho các nhà ISP bởi giá cả và tính năng cao cấp của nó với mục tiêu hướng tới các ISP.
    Tại lớp Core Layer với vai trò mang lại tốc độ truyền cao với độ ổn định cao nên việc kết nối chủ yếu sử dụng leased line như:
    T1, T3, OC3, Anything better
    Distribution Layer
    Distribution Layer làm việc ở giữa Core Layer và Access Layer, với vai trò đáp ứng một số giao tiếp giúp giảm tải cho lớp Core Layer trong quá trình truyền thông tin trong mạng. Với tác dụng của lớp này cung cấp danh giới cho việc sử dụng access lists và các tính năng lọc khác để khi cần thiết sẽ gửi lên lớp core layer. Tuy nhiên lớp này cũng là lớp định nghĩa các chính sách cho mạng. Một chính sách có thể áp dụng các dạng cụ thể sau:
    Routing updates
    Route summaries
    VLAN
    Address aggregation
    Sử dụng các chính sách để bảo mật mạng và chống các giao dịch không cần thiết.
    Nếu một hệ thống mạng bao gồm hai hoặc nhiều routing protocol, như Routing Information Protocol (RIP) và Interior Gateway Routing Protocol (IGRP), toàn bộ các vấn đề trên làm việc tại lớp distribution.
    Các thiết bị hoạt động tại lớp Distribution layer:
    4500, 4000, and 3600 series routers

    Dòng 4000

    Dòng 3600
    Access Layer
    Mang đến sự kết nối của người dùng với các tài nguyên trên mạng hoặc các giao tiếp với lớp Distribution. Access layer sử dụng Access lists để chống lại những kẻ xâm nhập bất hợp pháp, trong lớp Access layer cũng mang đến các kết nối như WAN, Frame Relay, ISDN, hay Leased lines.
    Các thiết bị hoạt động tại lớp Access Layer: 2600, 2500, 1700, and 1600 series routers

    Dòng 2600

    Dòng 1700
    Một ít kinh nghiệm về thiết kế mạng của Cisco.
    Về việc thiết kế mạng, Cisco đưa ra một mô hình phân tầng rõ ràng, phân chia theo nhu cầu sử dụng và tính năng của sản phẩm và nhanh chóng được mọi người + các hãng khác chấp nhận. Mô hình mà Cisco đưa ra bao gồm: Core Layer, Distribution Layer, Access Layer.

    Access Layer (tầng truy cập): các thiềt bị bao gồm HUB, SWITCH thông thường, SWITCH có VLAN... nói chung là các thiết bị từ Layer 2 của mô hình OSI trở xuống. Các thiết bị này nói chung là tương đối rẻ hơn các thiết bị ở các Layer khác. Đây là vị trí kết nối với hầu hết các thiết bị của End-user.

    Distribution Layer (tầng phân phối): bao gồm các thiết bị như ROUTER, SWITCH LAYER 3, MULTI-SWITCH, FIREWALL .... ở tầng này, các thiết bị làm nhiệm vụ đưa lượng thông tin tới nơi cần thiết (tức là phân phối í mà). Tuy nhiên, các thiết bị như Switch layer 3 hoặc Multi-layer có tốc độ xử lý nhanh hơn Router và Firewall; thiết bị tầng này tiếp nhận các luồng dữ liệu từ Access Layer tới và chuyển ra tầng cao hơn hoặc ra ngoài.

    Ghi chú riêng: ở tầng này thường thì các Multi-layer Switch hoặc Switch Layer 3 sẽ được nối với Server Farm để tăng tốc và các thiết bị này có khả năng xử lý dữ liệu rất cao.

    Core Layer (tầng lõi): đây là các thiết bị rất quan trọng, có tốc độ xử lý cao, thường đảm nhiệm việc quản lý tập trung. Ở tầng này hầu như không có bất kỳ một sự ràng buộc nào về các Rules của Firewall hoặc VLAN, chỉ đơn giản là Forward dữ liệu đi mà thôi. Tầng Core này là mắc tiền nhất vì có nhiều tính năng với các Card mở rộng và Module...

    Đó là mô hình thiết kế cơ bản của Cisco. Hèm..hèm.. ai học môn BCMSN cũ của Cisco sẽ biết nhiều về vấn đề này đó..

    Tiếp theo phần thiết kế cơ bản là bắt đầu vào những thàhh phần thiết kế phức tạp hơn nè (cái này nằm trong chương trình Switching của CCNP phiên bản cũ của cũ) có đề cập đến.

    Mục tiêu của việc thiết kế là xác định lượng thông tin làm việc ở bên ngoài (Outside) nhiều hay là bên trong (Inside) nhiều. Tỉ lệ của nguyên tắc là 80/20 Rule hoặc 20/80, nó thể hiện lượng Inside/Outside giữa thiết kế cũ và mới. Theo thiết kế cũ thì 80% lượng thông tin nằm trong Local (Inside) và 20% còn lại nằm phía ngoài (Outside); còn thiết kế mới thì ngược lại. Giờ thì chúng ta bắt đầu tính toán việc thiết kế này một chút xíu nha.

    Nguyên tắc 1: Nguyên tắc "hạn chế kẹt xe" .

    Nguyên tắc này xây dựng dựa trên nhu cầu đi ra của hệ thống, trước hết là phải xem thử các ứng dụng và lưu lượng trung bình ra ngoài của một phòng ban, hoặc User là bao nhiêu rồi nhân với số lượng kết nối đã có. Chẳng hạn như một người kế toán bình thường thì lưu lượng chỉ sử dụng trong Local là chính, và thường là máy tính trong phòng ban hoặc server nào đó, còn lại là duyệt Web và chat chit như thế thì lưu lượng không cao lắm khoảng 1Mb thôi... Giả sử switch nối với 10 người như thế thì lưu lượng ra ngoài chỉ có 10Mb.

    Tiếp theo đó là xem Switch cao hơn (Distribution chẳng hạn), lượng thông tin từ Access Layer tới Distribution (tức là đường ra của Access Layer) có đảm bảo lớn hơn 10Mb hay không. Nếu lớn hơn thì OK còn ngược lại thì .... sẽ có nghẽn nội bộ.

    Vấn đề ở đây là Distribution sẽ "bị" kết nối với quá nhiều Access Layer nên tổng dung lượng từ Distribution tới Core Layer sẽ phải tính toán lại lần nữa (cách tính đơn giản như trên hen).

    Nguyên tắc 1 được thông qua với hình thức là hạn chế nghẽn hoặc hạn chế kẹt xe. Nguyên tắc 1 nếu không đáp ứng được thì hầu như vô phương cứu chữa chỉ có thể dời kẹt vào thời điểm này sang thời điểm khác thôi....

    Nguyên tắc thứ 2: Yếu tố Hardware

    Yếu tố này thiên về những thành phần hoạt động là chính, các tính năng chính của các thiết bị. Việc này bắt đầu từ khả năng xử lý dữ liệu và được sắp xếp theo thứ tự tăng dần như sau: HUB (cái này chậm nhất) < Modem < Firewall (IPS, Security Devices) < Router < Switch (layer 2) < Switch Layer 3 ....

    HUB chậm thì dĩ nhiên rồi vì nó chơi toàn broadcast ép người khác phải xử lý dữ liệu , Modem (loại Dial-up hoặc ADSL thì xử lý chậm rì)

    Firewall và các thiết bị Security khác mặc dù được trang bị ngày càng mạnh nhưng vì nó phải xử lý các luồng dữ liệu, càng ngày càng có nhiều Rules được thêm vào nên tính về hiệu suất không thể bằng anh chàng Router nhà ta.

    Router thì không bằng Switch được rồi, Router xử lý forward dữ liệu bằng phần mềm (thật ra họ lập trình trên đó) nên chẳng thể so với Hardware của Switch được. Đó là lý do vì sao những anh chàng Router "bự" con hay gắn thêm Module Switch là vậy. Để biết thêm những vấn đề này, anh em ta có thể liên hệ với những người như sau: Alex (tên này học chung với mèo, rất là cứng về Cisco), gà mờ (hắn nói thì khó mà hiểu nhưng đúng là nó hoạt động như vậy) hoặc là thầy dạy Cisco cho mèo: thầy Đặng Viết Cường (nếu thầy chịu giảng thì hấp dẫn lắm).

    Rồi, nếu so sánh xong phần Hardware như thế thì chưa đủ đâu, phải tiếp tục tới phần Hardware hỗ trợ thế nào nữa. Đầu tiên là nếu anh em nào muốn cấu hình Switch Cisco tăng tốc bằng kỹ thuật EtherChannel thì chú ý rằng là nó không cho cấu hình nhiều hơn 6 dây đâu đó (mèo nhớ thế), hoặc là Load Balancing trên Router cũng không thể quá 6 đường đâu nên khi thiết kế phải chú ý.

    Switching

    Chuyển mạch (Switching) là một kỹ thuật rất quan trọng, nó quyết định sự kết nối được thực hiện như thế nào và dữ liệu lưu chuyển được xử lý ra sao trong một mạng WAN. Dữ liệu gửi qua PSTN hoặc các liên mạng có thể đi theo các con đường rất khác nhau từ nơi gửi đến nơi nhận. Có ba kỹ thuật chuyển mạch cơ bản được sử dụng để chuyển tiếp dữ liệu qua liên mạng là: chuyển mạch kênh (circuit switching), chuyển mạch thông báo (message switching) và chuyển mạch gói (packet switching).

    Circuit switching thực hiện sự kết nối giữa người gửi và người nhận bằng một đường truyền vật lý trong suốt quá trình giao tiếp. Ngược lại message switching không thiết lập một đường truyền dành riêng giữa hai trạm mà thay vào đó các thông báo (message) được lưu và chuyển tiếp từ một thiết bị trung chuyển này đến một thiết bị khác cho tới đích. Packet switching tổ hợp các ưu điểm của cả hai kỹ thuật trên bằng cách chia các thông báo dài ra thành từng phần gọi là gói tin (packet). Packet switching là kỹ thuật chuyển mạch hiệu quả nhất trong việc trao đổi dữ liệu. Sau đây ta sẽ xem xét từng kỹ thuật.

    Circuit switching

    Trong kỹ thuật chuyển mạch kênh, một đường truyền vật lý được dành riêng thực hiện liên kết giữa trạm gửi và trạm nhận trong suốt quá trình giao tiếp.

    PSTN ( mạng điện thoại công cộng ) là một ví dụ về chuyển mạch kênh.

    Trước khi hai trạm có thể truyền dữ liệu, một kênh dành riêng phải được thiết lập giữa hai trạm. Trạm gửi yêu cầu một liên kết tới trạm nhận, sau khi trạm nhận gửi tín hiệu báo nó sẵn sàng để nhận dữ liệu, dữ liệu sẽ được gửi từ trạm nguồn đến trạm đích sau đó trạm đích gửi tín hiệu báo nhận trở lại cho trạm nguồn. Khi kết thúc quá trình giao tiếp trạm nguồn gửi tín hiệu tới trạm đích báo kết thúc quá trình giao tiếp để trạm đích giải phóng liên kết và đồng thời trạm nguồn cũng tự giải phóng liên kết.

    Ưu điểm nổi bật của kỹ thuật này là một kênh truyền được dành riêng trong suốt quá trình giao tiếp do đó tốc độ truyền dữ liệu được bảo đảm. Điều này là đặc biệt quan trọng đối với các ứng dụng thời gian thực như audio và video. Hơn nữa khi một kênh được thiết lập sẽ không có độ trễ truy nhập, do kênh truyền luôn sẵn sàng nên việc yêu cầu kênh truyền lại là không cần thiết.

    Circuit switching cũng có những nhược điểm riêng, trước hết đây là sự sử dụng kênh truyền không có hiệu quả do kênh truyền được dành riêng nên trong khi kênh truyền rỗi các thiết bị khác cũng không thể sử dụng kênh truyền này, hơn nữa do các kênh truyền dành riêng thường đòi hỏi thông lượng lớn hơn do đó phương tiện truyền thông có thể có giá thành cao và cuối cùng kỹ thuật này có thể mất nhiều thời gian trễ cho việc thiết lập kênh truyền trước khi các trạm có thể giao tiếp với nhau.

    Message switching

    Không giống circuit switching, message switching không thiết lập liên kết dành riêng giữa hai thiết bị giao tiếp mà thay vào đó mỗi thông báo được xem như một khối độc lập bao gồm cả địa chỉ nguồn và địa chỉ đích. Mỗi thông báo sẽ được truyền qua các thiết bị trong mạng cho đến khi nó đến được địa chỉ đích, mỗi thiết bị trung gian sẽ nhận và lưu trữ thông báo cho đến khi thiết bị trung gian kế tiếp sẵn sàng để nhận thông báo sau đó nó chuyển tiếp thông báo đến thiết bị kế tiếp, chính vì lý do này mà mạng chuyển mạch thông báo còn có thể được gọi là mạng lưu và chuyển tiếp (store-and-forward network).

    Kỹ thuật này có thể được lập trình với các thông tin về cách chọn đường hiệu quả nhất cũng như các thông tin về các thiết bị trung gian kế tiếp, có thể được sử dụng để chuyển tiếp thông báo cho tới đích, chính vì lý do này và vì điều kiện của mạng luôn thay đổi các thông báo có thể đi tới đích theo những con đường rất khác nhau. Thiết bị được sử dụng để thực hiện việc chuyển mạch thông báo thông thường là các PC, PC phải được chuẩn bị về chỗ trống để lưu giữ các thông báo cho đến khi các thông báo này được chuyển tiếp tới các thiết bị trung gian kế tiếp. Các thông báo có thể được lưu giữ trong bộ nhớ trong hoặc bộ nhớ ngoài và số lượng thông báo được lưu giữ phụ thuộc vào mức độ lưu thông qua nút đó. Một ví dụ điển hình về kỹ thuật này là e-mail, nó được chuyển tiếp qua các nút cho đến khi tới được đích cần đến.

    Message switching có những ưu điểm sau:

    Cung cấp một sự quản lý hiệu quả hơn đối với sự lưu thông của mạng. Bằng cách gán các thứ tự ưu tiên cho các thông báo ta có thể đảm bảo các thông báo có độ ưu tiên cao hơn sẽ được lưu chuyển thay vì bị trễ do quá trình lưu thông trên mạng.

    Giảm sự tắc nghẽn trên mạng. Các thiết bị trung gian có thể lưu giữ các thông báo cho đến khi kênh truyền rỗi thay vì làm tăng thêm sự tắc nghẽn của mạng bằng cách cố truyền mọi thứ trong thời gian thực.

    Tăng hiệu quả sử dụng kênh truyền, với kỹ thuật này các thiết bị có thể dùng chung kênh truyền, điều này làm tăng hiệu suất đường truyền do có số lượng dải thông có thể sử dụng lớn hơn.

    Cung cấp phương thức truyền thông dị bộ xuyên thời gian (across time zone). Thông báo có thể được gửi mà không yêu cầu người nhận phải có mặt cùng lúc với quá trình gửi.

    Nhược điểm của kỹ thuật này là độ trễ do việc lưu trữ và chuyển tiếp thông báo là không phù hợp với các ứng dụng thời gian thực, điểm yếu thứ hai là các thiết bị trung gian có thể phải có dung lượng bộ nhớ rất lớn để có thể lưu giữ các thông báo trước khi có thể chuyển tiếp nó tới một thiết bị trung gian khác.

    Packet switching

    Kỹ thuật này được đưa ra nhằm tận dụng các ưu điểm và khác phục những nhược điểm của hai kỹ thuật trên, đối với kỹ thuật này các thông báo được chia thành các gói tin, mỗi gói tin bao gồm dữ liệu, địa chỉ nguồn, địa chỉ đích và các thông tin về địa chỉ các nút trung gian. Các gói tin riêng biệt không phải luôn luôn đi theo một con đường duy nhất, điều này được gọi là chọn đường độc lập (independent routing), phương pháp này có hai ưu điểm là:

    Dải thông có thể được quản lý bằng cách chia nhỏ dữ liệu vào các đường khác nhau trong trường hợp kênh truyền bận.

    Nếu một liên kết bị sự cố trong quá trình truyền thông thì các gói tin còn lại có thể được gửi đi theo các con đường khác.

    Điểm khác nhau cơ bản giữa kỹ thuật chuyển mạch thông báo và kỹ thuật chuyển mạch gói là trong kỹ thuật chuyển mạch gói các gói tin được giới hạn về độ dài tối đa điều này cho phép các thiết bị chuyển mạch có thể lưu giữ các gói tin trong bộ nhớ trong mà không phải đưa ra bộ nhớ ngoài do đó giảm được thời gian truy nhập và tăng hiệu quả truyền tin. Anh Ngọc (Tổng hợp từ nhiều nguồn)
    Phạm Minh Tuấn

    Email : phamminhtuan@vnpro.org
    Yahoo : phamminhtuan_vnpro
    -----------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel : (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Network channel: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog

  • #2
    Em đang làm về đề tài :"Nghiên cứu các biện pháp bảo mật trong mạng doanh nghiệp" .Như vậy trong mạng doanh nghiệp người ta thường sử dụng những biện pháp bảo mật nào ngoài cách thức bảo mật đã có của các thiết bị cisco! Và anh có thể nói rõ hơn cho em hiểu về CÁC THÀNH PHẦN CƠ BẢN CỦA MẠNG DOANH NGHIỆP không ạ! Cảm ơn anh nhiều ạ.! Mong hồi đáp của anh!

    Comment

    Working...
    X