Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Giái pháp thiết kế mạng hoàn chỉnh !

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Giái pháp thiết kế mạng hoàn chỉnh !

    Dẫn dắt tình huống:

    Hiện tại mình là sinh viên năm 3 của trường DH Khoa Học Tự Nhiên, được thầy giao và đã hoàn thành đề án thiết kế mạng của trường (trên lý thuyết).

    Dòng đời, duyên số xô đẩy nên mình có cơ hội được đi thiết kế 1 trường trung học phổ thông quốc tế với mô hình và yêu cầu tương tự, mà làm leader luôn :o).

    Tuy nhiên ngoài kiến thức nền tảng tương đối, mình vẫn chưa đi làm thực tế bao giờ :108:. Nên chắc chắn khi thiết kế, thi công sẽ xảy ra những sai lầm, những tình huống chưa lường trước được. Phụ mình có 2 anh đã đi làm chuyên về phần mềm và web, nhưng cũng có kiến thức thực tế bên mạng do vọc phá nhiều :56:.

    Khoảng gần 1 tháng nữa, mình mới bắt đầu vào công việc. Trong thời gian đó, mình cố gắng tranh thủ chuẩn bị kiến thức thật tốt, để hạn chế các vấn đề phát sinh. Nay mạo muội lập topic nhờ các thầy, các bạn đã có kinh nghiệm giúp đỡ. :)


    Tuy là trường cấp 3, nhưng đây là trường tư thục, định hướng theo tiêu chuẩn quốc tế, nên nói chung yêu cầu mạng đòi hỏi hơn nhiều so với các trường cấp 3 thông thường. Yêu cầu phía trường đặt ra: xây dựng 1 hệ thống mạng hoàn chỉnh thỏa các yêu cầu sau:
    - Xây dựng Web Server để học sinh/giáo viên vào xem tin tức, thời khóa biểu, tra điểm số (phần viết web, dựng database sẽ do 2 anh bên web làm).
    - Xây dựng Mail Server để:
    + Tạo account cho tất cả giáo viên, học sinh.
    + Trao đổi trong nội bộ giữa các phòng ban.
    + Khi có điểm, hoặc tin tức sẽ gởi mail đồng loạt về cho tất cả học sinh
    (hệ thống theo mình đoán khoảng 150~200 cán bộ/thầy cô, 2000 học sinh)
    - Dựng File Server, và phân quyền hợp lý.
    - Học sinh có thể kết nối wifi thoải mái ở khu vực sảnh, phòng tự học.


    Với những yêu cầu trên, mình đưa ra mô hình như sau:

    Mô hình tổng quan:


    Mô hình của dãy C (các dãy khác tương tự):


    Giải thích về mô hình tổng quan:
    - Thuê 2 đường FTTH để kết nối Internet, và dùng thiết bị Load Balancing để load-balancing/fail-over giữa 2 đường này.
    - Dùng Firewall để lọc các gói tin ra vào, làm theo mô hình 3-leg (dự định dùng ISA).
    - Tại trung tâm, đặt 1 core switch (switch layer 3), từ đây nối đến các Switch tại các dãy (switch layer 2 có chức năng chia VLAN), ngoài ra core switch còn nối đến các APs, và nối vào Server (làm Domain Controller, DNS nội bộ, File Server).
    - Tại vùng DMZ, ta triển khai Proxy, Web, Mail Server
    - Thuê 1 range Static public IP để publish Web, Mail: 203.169.15.30/29

    Giải thích về mô hình dãy C (các dãy khác tương tự):
    - Từ Switch trung tâm của dãy (có khả năng chia VLAN), ta cho 1 port là 1 VLAN, gắn Workgroup switch từng phòng (switch thường) vào từng port => xem như mỗi phòng là 1 VLAN, mục đích là hạn chế quy mô của broadcast domain.


    Mô hình đã đánh dấu các điểm thắc mắc:


    Vì mình cần có cái nhìn tổng quan về hệ thống mạng này, nên không thể tách nhỏ thắc mắc ra nhiều topic được. Thôi làm đại 1 cái vầy luôn :D. Nghĩ ra tới đâu hỏi tới đó. Rất mong được sự giúp đỡ nhiệt tình từ các thầy/các bạn.


    THẮC MẮC ĐẦU TIÊN:
    Các mô hình như trên có điểm nào bất hợp lý?

    THẮC MẮC 1:
    External DNS Server có thật sự cần thiết?
    Theo như mình tìm hiểu, các ISP sẽ làm cho mình việc đó (tạo các record cần thiết trên DNS Server của ISP).
    Vậy 1 số tổ chức vẫn xây dựng External DNS Server, mục đích làm gì nhỉ ?

    Làm thế nào để sử dụng Static Public IP cho Web, Mail Server ?
    Theo như topic này: http://www.nhatnghe.com/forum/showthread.php?t=25896 , có 2 cách:
    - Cách 1: dùng IP Private, Static NAT (Preferred)
    - Cách 2: chia luôn 1 network cho đ/c publish 203.169.15.30/29 sau router.

    Đối với cách 1: giả sử đặt IP như mô hình, vậy thì static NAT bằng cách nào ?
    - Mình đã cấu hình Static bằng router Cisco. Tuy nhiên với mô hình trên không dùng router Cisco, liệu modem hoặc load balancer gateway có khả năng Static NAT ?
    - Trong mô hình Static NAT bình thường, router nối trực tiếp với Switch nối các máy server. Với mô hình trên, giữa nó còn có Firewall (ISA) "ngáng đường", vậy làm cách nào vượt qua firewall này ?

    Đối với cách 2: nếu dùng range Public IP.
    - Vị trí Firewall phải làm luôn khả năng NAT (để các máy nội bộ có thể ra Internet).
    - Cần tốn bao nhiêu địa chỉ Public IP để có thể publish được Web và Mail Server? Theo mình hiểu các port trên đường modem----load balancer----firewall----server đều phải đặt địa chỉ Public IP.


    THẮC MẮC 2:
    Nên dùng Firewall cứng hay Firewall mềm, tại sao?
    Đối với firewall cứng: firewall cứng có thể join domain, tạo policy theo user được không (mình chưa có cơ hội tiếp xúc)? Model nào có thể thỏa hệ thống mạng trên ?
    Đối với firewall mềm:
    - Nếu chọn ISA, thì cấu hình tối thiểu của máy này như thế nào?
    - ISA Server, DC cùng gắn vào switch layer 3, vậy đã mặc định liên lạc được với nhau chưa, hay phải cấu hình thêm static route trên switch?


    THẮC MẮC 3, 4:
    Chọn cách kết nối nào? Về vấn đề Static NAT?
    Theo như tham khảo: http://www.nhatnghe.com/forum/showthread.php?t=44387 . Ta có 2 cách kết nối để phân tải:
    - Cách 1: modem ở chế độ PPPoE (mặc định), load balancer chỉ phân tải.
    - Cách 2: chuyển modem sang chế độ Bridge, load balancer bật chế độ PPPoE (Preferred)

    Nếu chọn cách 2: có thể cấu hình Static NAT trên load balancer được không? Dòng sản phẩm nào hỗ trợ chức năng này ? (bổ sung cho thắc mắc 1 - cách 1)


    THẮC MẮC 5:
    Vị trị đặt Proxy Server: đặt Proxy Server trong vùng DMZ có hợp lý không? Nếu được thì triển khai ra sao?
    -> Mình đã dự định triển khai Proxy Server tại vị trí Firewall (dùng ISA để làm Proxy Server luôn). Câu hỏi trên mục đích để bổ sung kiến thức thêm.


    THẮC MẮC 6:
    Với hệ thống như vậy, liệu 1 máy server có đủ khả năng đảm nhận cả 3 vai trò (DC/DNS/File Server) ?

    User trong nội bộ liên hệ với DC, File Server như thế nào ?
    Theo như mô hình thiết kế:
    - Đường nối giữa Core Switch tới tất cả các switch các dãy đều được chuyển thành đường trunk (chuyển các port nối thành port trunk).
    - Cấu hình InterVLAN routing tại core switch (tạo các interface vlan tương ứng).

    Vậy đường nối giữa Switch Layer 3 - Server (DC/DNS/File Server) có cần chuyển thành đường trunk ? Card mạng của server có cần hỗ trợ VLAN không?


    THẮC MẮC 7:
    Có cần thiết triển khai 1 hotspot (cổng đăng nhập wifi) không ?
    Với nhu cầu không cần quản lý wifi chặt chẽ, mình không định triển khai (bữa làm đề án cũng bị thầy chửi do tốn tiền không cần thiết). Tuy nhiên, nếu không có thì gặp các vấn đề sau:
    - 1 Wifi xịn chuẩn N đáp ứng được bao nhiêu user truy cập cùng lúc, mà tốc độ vẫn chấp nhận được (dự kiến nhiều nhất khoảng 100 học sinh lên wifi cùng lúc).
    - Giải quyết sao với tình trạng đụng độ (giao thoa) của sóng wifi.


    THẮC MẮC 8 (ở mô hình dãy C):
    Việc chia nhiều VLAN có chống được các gói tin broadcast ? Thiết kế như vậy có hợp lý?
    Theo như mô hình tại switch của mỗi dãy mình chia thành n VLAN
    Vd:
    Dãy A:
    - 172.16.1.0/24
    - 172.16.2.0/24
    .....
    - 172.16.n.0/24

    Dãy B:
    - 172.16.n+1.0/24
    - 172.16.n+2.0/24
    .....
    - 172.16.2n.0/24

    ....................................

    Các workgroup switch tại mỗi phòng gắn vào 1 port tương ứng. Vậy coi như 1 phòng là 1 VLAN.


    RẤT CẢM ƠN BẠN ĐÃ ĐỌC VÀ TRẢ LỜI !

  • #2
    Chào bạn,

    với mô hình trên bạn nên thông qua một công ty giải pháp thì tốt hơn.

    Chúc vui

    Comment


    • #3
      mình thiết nghĩ bạn làm đề án môn học là thiết kế mạng cho trường ĐH, do đó bạn nên sử dụng các thiết bị mạng là của Cisco và dĩ nhiên là Windows là hệ điều hành ko thể không có trong hệ thống, nhưng nếu được những máy chủ nào có thể thay thế được bằng Linux bạn nên đưa linux vào.
      THẮC MẮC 1:
      External DNS Server có thật sự cần thiết?
      Theo như mình tìm hiểu, các ISP sẽ làm cho mình việc đó (tạo các record cần thiết trên DNS Server của ISP).
      Vậy 1 số tổ chức vẫn xây dựng External DNS Server, mục đích làm gì nhỉ ?
      Thông thường bạn cũng nên có DNS, vậy hỏi bạn nếu bạn sử dụng DNS của ISP sẽ chậm hơn việc bạn có 1 dns server, và nếu bạn sử dụng Windows Domain Network việc tích hợp DNS là thật cần thiết. (tại sao có xe buyt , taxi, xe ôm mà chúng ta vẫn phãi mua xe máy hay xe hoi riêng, kể cả mua máy bay nếu có điều kiện ... )

      THẮC MẮC 2:
      Nên dùng Firewall cứng hay Firewall mềm, tại sao?
      Đối với firewall cứng: firewall cứng có thể join domain, tạo policy theo user được không (mình chưa có cơ hội tiếp xúc)? Model nào có thể thỏa hệ thống mạng trên ?
      Đối với firewall mềm:
      - Nếu chọn ISA, thì cấu hình tối thiểu của máy này như thế nào?
      - ISA Server, DC cùng gắn vào switch layer 3, vậy đã mặc định liên lạc được với nhau chưa, hay phải cấu hình thêm static route trên switch?
      Bạn nên chọn :

      + Cisco ASA hoặc Linux để làm firewall cho hệ thống.

      firewall cứng hiện nay có chứng thực domain user nhiều chứ bạn, bạn sử dụng LDAP hay Kerberos ...
      bạn có thể chọn Fortigare, Juniper, Cyberoam, Sonicwall, Watchgard, Checkpoint ...
      ISA thì perfomance kém

      THẮC MẮC 3, 4:
      Chọn cách kết nối nào? Về vấn đề Static NAT?
      Theo như tham khảo: http://www.nhatnghe.com/forum/showthread.php?t=44387 . Ta có 2 cách kết nối để phân tải:
      - Cách 1: modem ở chế độ PPPoE (mặc định), load balancer chỉ phân tải.
      - Cách 2: chuyển modem sang chế độ Bridge, load balancer bật chế độ PPPoE (Preferred)
      bài lab của bạn nên sử dụng sao cho trong sáng, dễ nhìn và cũng đừng rối quá, bạn lượm 1 nơi một đoạn ghép lại, thú thật mình nhìn chổ này cũng chả hiểu nữa.
      Vị trị đặt Proxy Server: đặt Proxy Server trong vùng DMZ có hợp lý không? Nếu được thì triển khai ra sao?
      -> Mình đã dự định triển khai Proxy Server tại vị trí Firewall (dùng ISA để làm Proxy Server luôn). Câu hỏi trên mục đích để bổ sung kiến thức thêm.
      Bạn nói đến đây thì mình thấy bạn lại đã xem như chọn ISA, nhưng mình cũng khuyên bạn nếu chọn ISA thì bạn nên chọn Linux hay hơn, và việc chọn linux để vừa làm Proxy, Firewall, Loadbalance cho đường truyền ...

      THẮC MẮC 6:
      Với hệ thống như vậy, liệu 1 máy server có đủ khả năng đảm nhận cả 3 vai trò (DC/DNS/File Server) ?

      User trong nội bộ liên hệ với DC, File Server như thế nào ?
      Theo như mô hình thiết kế:
      - Đường nối giữa Core Switch tới tất cả các switch các dãy đều được chuyển thành đường trunk (chuyển các port nối thành port trunk).
      - Cấu hình InterVLAN routing tại core switch (tạo các interface vlan tương ứng).

      Vậy đường nối giữa Switch Layer 3 - Server (DC/DNS/File Server) có cần chuyển thành đường trunk ? Card mạng của server có cần hỗ trợ VLAN không?
      Bạn sử dụng 1 hay nhiều máy chủ còn do quan điểm và qui mô của hệ thống của bạn nữa, 1 máy chủ mà bạn sử dụng Siêu máy chủ thì sao ?

      Nên sử dụng mỗi dịch vụ 1 máy chủ, bạn cần phải tiên lượng được mức độ của hệ thống bạn cần dựa trên số lượng người sử dụng dịch vụ.

      Bạn thiếu nhiều kiến thức về network, và kiến thức của bạn cũng tùm lum quá. sao tự nhiên nối Server bằng trunk.

      THẮC MẮC 7:
      Có cần thiết triển khai 1 hotspot (cổng đăng nhập wifi) không ?
      Với nhu cầu không cần quản lý wifi chặt chẽ, mình không định triển khai (bữa làm đề án cũng bị thầy chửi do tốn tiền không cần thiết). Tuy nhiên, nếu không có thì gặp các vấn đề sau:
      - 1 Wifi xịn chuẩn N đáp ứng được bao nhiêu user truy cập cùng lúc, mà tốc độ vẫn chấp nhận được (dự kiến nhiều nhất khoảng 100 học sinh lên wifi cùng lúc).
      - Giải quyết sao với tình trạng đụng độ (giao thoa) của sóng wifi.
      Trong thời buổi này mà 1 hệ thống mạng thiếu 1 cái wifi thì cũng giống bạn sử dụng dt không có màn hình màu, chụp hình ... bạn thấy giờ có mấy người mua dt đó nữa đâu, dù đôi khi cả năm chưa chụp 1 tấm hình.

      Nhìn thấy thầy bạn nói câu Wifi tốn tiền không cần thiết, thì mình nghĩ Thầy của bạn cũng đi Update kiến thức xã hội được rồi.

      Số lượng sử dụng cho 1 AP thì bạn có thể ước lượng được thôi, chứ khó chính xác, thường 1 AP khoảng dưới 50 người sử dụng.

      THẮC MẮC 8 (ở mô hình dãy C):
      Việc chia nhiều VLAN có chống được các gói tin broadcast ? Thiết kế như vậy có hợp lý?
      Theo như mô hình tại switch của mỗi dãy mình chia thành n VLAN
      Vd:
      Dãy A:
      - 172.16.1.0/24
      - 172.16.2.0/24
      .....
      - 172.16.n.0/24

      Dãy B:
      - 172.16.n+1.0/24
      - 172.16.n+2.0/24
      .....
      - 172.16.2n.0/24
      ok không vấn đề gì ,

      ---------- o0o -----------

      Kết luận cuối cùng của mình là bạn nên đến VNPRO học 1 vài khóa về network nếu muốn theo con đường hệ thống này.

      ---- o0o ----

      TRời viết xong đọc lại mới thấy bạn này hỏi 1 hệ thống mạng thật sự trang bị cho trường học quốc tế và bạn này sẽ là IT MANAGER ...

      => Rồi làm thực tế thì hỏi bạn 1 cái là :

      - Qui mô của hệ thống, tổng số máy trạm, máy chủ dịch vụ và các trang thiết bị sẽ phụ thuộc vào số lượng này ?
      - Mong muốn khả năng của hệ thống là chuyên nghiệp hay chỉ sài cho qua ngày đoạn tháng ?
      - Số tiền bỏ ra cho dự án này khoảng bao nhiêu ?
      - Bạn chưa có kinh nghiệm thì bạn dựa vào đâu để thiết lập 1 hệ thống như vậy ? đừng nói đang làm chạy lên Google search thông tin về làm tiếp nha.
      - bạn nên chuẩn bị hệ thống ghost server cho các máy của học sinh , và nếu có thể bạn sử dụng các phần mềm quản lý trường học như NetSchool hay những phần mềm quản lý phòng net để quản lý các máy học sinh ...
      - Hệ thống của bạn còn thiếu 1 con server rất là quan trọng đó là Database Server , bạn cần thiết chọn cho mình 1 hệ quản trị cơ sở dữ liệu như : Oracle , SQL, MySQl ...
      Last edited by camaptrang; 09-06-2011, 11:26 AM.

      Hướng dẫn cài đặt cấu hình Data Loss Prevention - MyQLP Appliance (Open Source)


      Hướng dẫn cài đặt và cấu hình Mdeamon 12.x

      Hướng dẫn cài đặt cấu hình ISA 2006 và Exchange 2003 - Mô hình Front-End Back-End

      Cài đặt và cấu hình Cacti - Giám Sát và Quản Lý Hệ Thống Mạng

      Hướng dẫn cài đặt cấu hình Retrospect Backup Server

      Cài đặt và cấu hình phần mềm FSA Audit Files Server

      CAMAPTRANG
      http://www.asterisk.vn

      Comment


      • #4
        Originally posted by nvphung90 View Post
        Với những yêu cầu trên, mình đưa ra mô hình như sau:
        Nếu đây là thiết kế thực tế chứ không phải đồ án, thì bạn đã xem qua bản vẽ mặt bằng khuôn viên trường chưa ? Bạn đã thiết kế sơ đồ vật lý chưa ?
        Diệp Thanh Nguyên - Viettel Networks
        Certificates : Chứng chỉ A Vi tính 1995 (DOS, NC, Vietres, Foxpro, Quattro) :))

        Comment


        • #6
          1. Bạn chú ý theo dõi chủ đề này. Mình không Quote lại vì dài quá he he

          Mình xem qua cái mô hình của bạn ý kiến như sau:

          Mình không thấy cái bản vẽ thiết kế về xây dựng và kiến trúc nên mình không biết được khoảng cách giữa các toà nhà như thế nào ? cái này ảnh hưởng rất quan trọng đến việc thiết kế hệ thống Cabling và việc lựa chọn thiết bị.

          >> Ý kiến của mình <<

          Đối với đường kết nối từ Core Switch đến các Access Switch bạn nên dùng Cable quang và tối thiểu là 2 đường hoặc thiết kế theo kiểu N + 1 (trong đó N là số lượng đường kết nối chạy thực tế và 1 là đường dự phòng)

          Đối với những Building có khoảng cách cable nhỏ hơn chiều dài tối đa theo quy định (100M) bạn nên tập trung tất cả về 1 phòng (Server Room), việc tập trung này thuận lợi cho việc quản lý sau này.

          Đối với WIFI, theo như mô tả của bạn thì mình thấy rằng số lượng ACP của bạn là khá nhiều, bạn nên chọn những giải pháp WIFI của các hãng như (Cisco, Rukus, Alcatel ...) những giải pháp toàn diện này sẽ giúp người quản trị dễ dàng hơn trong công tác quản lý. Đối với 1 dãy nhà bạn nên bố trí 1 con switch có PoE dành cho hệ thống ACP, Switch này được kết nối trực tiếp đến Core Switch.

          Đối với server: Không gắn trực tiếp lên core switch (cách này mình thường hay dùng) trang bị 1 hay 2 switch dành cho hệ thống server, trunk trực tiếp đến core switch, tuỳ theo năng lực tài chính.

          Phần DMZ: OK Mình không bàn đến

          Phần Firewall: Nên sử dụng firewall cứng (Fortinet, juniper ... ) Cá nhân em không thích firewall cisco nên em không tư vấn firewall cisco he he

          Phần LB: Nên chọn LB của acenlink hay peplink đây là các hãng khá nổi tiếng. Em đã dùng rồi nên em có thể đảm bào về chất lượng

          Phần modem bỏ đi cắm trực tiếp từ converter vào LB luôn cho dễ làm

          ------------

          Việc thuê 2 đường FTTH hay nhiều hơn và tốc độ bao nhiêu phụ thuộc vào số lượng user của bác.

          Theo em nên thuê 3 đường trở lên

          2 cho end user
          1 cho Public services

          Còn nếu đường Public bác chọn Leaseline thì em không bàn đến nhá.


          Phần server:
          Kinh nghiệm của em là mỗi services bác cho nó 1 hoặc 2 server đừng gộp chung lại như thế.

          Ex:
          Server 1: AD, DNS, DHCP
          Server 2: AD2, DNS2, File Server 1
          Server 3: File Server 2
          Server 4: Web server
          Server 5: Mail Server (Tuỳ mô hình Mail bác chạy mà chọn số lượng server nha)
          Server 6: APP Server + SQL Server
          Server 7,8: Dự phòng để chơi hoặc em yêu khoa học

          Tạm thời em xong cái phần thiết bị. Cái này chỉ là tổng quan thôi nhé. Bác muốn chi tiết thì gửi thông tin chính xác và chi tiết lên đây em sẽ giúp ..
          Last edited by thuongnet; 09-06-2011, 01:51 PM.

          Comment


          • #7
            Phần tiếp theo

            VLAN: Theo em bác là giải pháp cho trường học nên phân chia cheo chức năng từng phòng ban

            Ex:
            VLAN ID 2: Classwoom
            VLAN ID 3: LIB
            VLAN ID 4: ......

            Nói túm lại là bác có bao nhiêu phòng ban chức năng thì chia cho nó bấy nhiêu cái VLAN


            Chú ý: Em tư vấn với bác là không dùng switch cùi nhá (tất cả các Switch phải có chức năng managerment) Bác nên dùng switch 48port cho dự án này.

            Comment


            • #8
              THẮC MẮC 1:
              External DNS Server có thật sự cần thiết ? >> Cần thiết >> Bác thử nghĩ xem nếu client truy vấn trì tốc độ từ Client >> DNS của bác nó có nhanh hơn là đến DNS của ISP không ?? với mô hình domain thì DNS server không thể thiếu nha bác.

              Theo như mình tìm hiểu, các ISP sẽ làm cho mình việc đó (tạo các record cần thiết trên DNS Server của ISP). >> Ví dụ cái em không hiểu ý bác, cái mà bác đang nói là cái domain của bác phải không ?? Nếu là domain thì hầu hết các DNS chuyển giao đều cho bác config hết, config như thế nào là quyền của bác.

              Vậy 1 số tổ chức vẫn xây dựng External DNS Server, mục đích làm gì nhỉ ? >> Cần gì cái này - Internal DNS thôi, phục vụ cho chính mình là chủ yếu.

              Làm thế nào để sử dụng Static Public IP cho Web, Mail Server ? >> Làm tới đó em hướng dẫn. Tuỳ thuộc vào thiết bị và mô hình cụ thể

              Theo như topic này: http://www.nhatnghe.com/forum/showthread.php?t=25896 , có 2 cách:
              - Cách 1: dùng IP Private, Static NAT (Preferred)
              - Cách 2: chia luôn 1 network cho đ/c publish 203.169.15.30/29 sau router.

              Đối với cách 1: giả sử đặt IP như mô hình, vậy thì static NAT bằng cách nào ?
              - Mình đã cấu hình Static bằng router Cisco. Tuy nhiên với mô hình trên không dùng router Cisco, liệu modem hoặc load balancer gateway có khả năng Static NAT ?
              - Trong mô hình Static NAT bình thường, router nối trực tiếp với Switch nối các máy server. Với mô hình trên, giữa nó còn có Firewall (ISA) "ngáng đường", vậy làm cách nào vượt qua firewall này ?



              Đối với cách 2: nếu dùng range Public IP.
              - Vị trí Firewall phải làm luôn khả năng NAT (để các máy nội bộ có thể ra Internet).
              - Cần tốn bao nhiêu địa chỉ Public IP để có thể publish được Web và Mail Server? Theo mình hiểu các port trên đường modem----load balancer----firewall----server đều phải đặt địa chỉ Public IP.

              Túm lại phần NAT này sẽ hướng dẫn bác làm sau

              Comment


              • #9
                THẮC MẮC 2:
                Nên dùng Firewall cứng hay Firewall mềm, tại sao? >> Hardware Firewall

                Đối với firewall cứng: firewall cứng có thể join domain, tạo policy theo user được không (mình chưa có cơ hội tiếp xúc)? Model nào có thể thỏa hệ thống mạng trên ?
                Mọi thứ làm được trên Software Firewall đều có thể làm trên Hardware Firewall

                Bác có thể chọn:

                FortiGate-310B Bundle
                Juniper: SSG320M hoặc SSG350M
                Astaro Security Gateway 425

                Còn nhiều hãng bác có thể chọn. Tham khảo ý kiến mọi người nha bác



                Đối với firewall mềm:
                - Nếu chọn ISA, thì cấu hình tối thiểu của máy này như thế nào? >> Không khuyến khích dùng ISA
                - ISA Server, DC cùng gắn vào switch layer 3, vậy đã mặc định liên lạc được với nhau chưa, hay phải cấu hình thêm static route trên switch? >> Cái này còn nhiều vấn đề lằng nhằng lắm làm đến đó rồi tính nha bác

                Đối với Firewall cái quan trọng là bác dùng nó như thế nào, mô hình của nó. Bác tham khảo tài liệu hướng dẫn của từng hãng sẽ có giải pháp tối ưu cho bác, chú ý tối ưu về giải pháp sẽ không tối ưu về tiền kha kha

                Comment


                • #10
                  THẮC MẮC 3, 4:
                  Chọn cách kết nối nào? Về vấn đề Static NAT?
                  Theo như tham khảo: http://www.nhatnghe.com/forum/showthread.php?t=44387 . Ta có 2 cách kết nối để phân tải:
                  - Cách 1: modem ở chế độ PPPoE (mặc định), load balancer chỉ phân tải.
                  - Cách 2: chuyển modem sang chế độ Bridge, load balancer bật chế độ PPPoE (Preferred)

                  Nếu chọn cách 2: có thể cấu hình Static NAT trên load balancer được không? Dòng sản phẩm nào hỗ trợ chức năng này ? (bổ sung cho thắc mắc 1 - cách 1)

                  Tham khảo nha bác - Em lười copy Internet Load Balancing

                  Comment


                  • #11
                    THẮC MẮC 6:
                    Với hệ thống như vậy, liệu 1 máy server có đủ khả năng đảm nhận cả 3 vai trò (DC/DNS/File Server) ? >> có thể có hoặc không tuỳ vào máy chủ của bác, nếu bác dùng Blade Server thì em nghỉ là đủ.

                    User trong nội bộ liên hệ với DC, File Server như thế nào ? >> Cái này bác hỏi ngang đánh đố em
                    Theo như mô hình thiết kế:
                    - Đường nối giữa Core Switch tới tất cả các switch các dãy đều được chuyển thành đường trunk (chuyển các port nối thành port trunk). >> OK
                    - Cấu hình InterVLAN routing tại core switch (tạo các interface vlan tương ứng). >> OK

                    Vậy đường nối giữa Switch Layer 3 - Server (DC/DNS/File Server) có cần chuyển thành đường trunk ? Card mạng của server có cần hỗ trợ VLAN không? >> Card mạng server tiêu chuẩn đều hỗ trợ nha bác chuẩn (802.3 ad)

                    Comment


                    • #12
                      THẮC MẮC 7:
                      Có cần thiết triển khai 1 hotspot (cổng đăng nhập wifi) không ? >> Có chắc chắn, rất cần
                      Với nhu cầu không cần quản lý wifi chặt chẽ, mình không định triển khai (bữa làm đề án cũng bị thầy chửi do tốn tiền không cần thiết). Tuy nhiên, nếu không có thì gặp các vấn đề sau: >> Bạn học trường nào vậy. em không bàn luận cái chỗ này ạ nó không liên quan gì đến tin học
                      - 1 Wifi xịn chuẩn N đáp ứng được bao nhiêu user truy cập cùng lúc, mà tốc độ vẫn chấp nhận được (dự kiến nhiều nhất khoảng 100 học sinh lên wifi cùng lúc). >> Các giải pháp WIFI đều có software cho bác tính cái này
                      - Giải quyết sao với tình trạng đụng độ (giao thoa) của sóng wifi >> Các hệ thống WIFI chuyên nghiệp sẽ giải quyết vấn đề này cho bạn. còn nó như thế nào thì bác phải chọn hãng cái đã xong mới nói chuyện tiếp được

                      Comment


                      • #13
                        THẮC MẮC 8: >> Đọc bài POST của anh camaptrang


                        TÚM LẠI:

                        Xin lỗi bác em nói thẳng: Tình tới thời điểm hiện tại bác không đủ khả năng cũng như kiến thức để thực hiện hệ thống như vậy. Bác nên đi thuê.

                        Để xây dựng và vận hành 1 hệ thống như bác yêu cầu bác cần:

                        1. Qua VNPRO học tối thiểu là hết CCNP.
                        2. Tối thiểu phải có MCSE
                        3. Có kinh nghiệm làm việc > 7 năm (các công ty SI chuyên triển khai dự án nha bác)
                        4. Am hiểu về thiết bị mạng
                        5. Am hiểu về các hệ thống Cabling
                        6. Tiếng anh thành thạo hoặc đọc và hiểu được chính xác tài liệu của các hãng và thiết bị

                        Những điều trên sẽ không cần nếu bác đi thuê. Ặc ặc ......

                        Em đang quản lý 1 hệ thống IT của 1 trường quốc tế. Bác cần thì cứ PM hay email cho em.

                        YM: it.thuongnguyen mail it.thuongnguyen@gmail.com

                        Và cuối cùng bác nên đọc kỹ các bài POST của em và camaptrang trả lời hết các câu hỏi đặc biệt là bài POST #4 cuối cùng

                        Bao giờ bác hiểu được hết các thứ bác cần thì mọi người mới tư vấn chính xác cho bác được
                        Last edited by thuongnet; 09-06-2011, 02:53 PM.

                        Comment


                        • #14
                          Originally posted by thuongnet View Post
                          TÚM LẠI:

                          Xin lỗi bác em nói thẳng: Tình tới thời điểm hiện tại bác không đủ khả năng cũng như kiến thức để thực hiện hệ thống như vậy. Bác nên đi thuê.
                          Chính xác, kết nhất câu này. Đây là lời khuyên có giá trị nhất trong số các lời khuyên.

                          Originally posted by thuongnet View Post
                          Những điều trên sẽ không cần nếu bác đi thuê. Ặc ặc ......
                          Đúng luôn, thời buổi này tiến bộ rất nhanh, không phải ai cũng tự mình làm được mọi thứ. Tiếc tiền mà tốn thời gian làm với quá ít kinh nghiệm sẽ hối hận về sau

                          Originally posted by thuongnet View Post
                          Và cuối cùng bác nên đọc kỹ các bài POST của em
                          Câu bài thấy ớn, ghép vào 1 bài được rồi !!!
                          Diệp Thanh Nguyên - Viettel Networks
                          Certificates : Chứng chỉ A Vi tính 1995 (DOS, NC, Vietres, Foxpro, Quattro) :))

                          Comment


                          • #15
                            Câu bài thấy ớn, ghép vào 1 bài được rồi !!!
                            Hức đừng mắng em tội nghiệp em định làm 1 post thôi như mà giống như trên dài lắm, khi trả lời khó Quote nên em tách nó ra đấy ạ. Quan điểm của em là em post 1 bài chất lượng còn hơn là nhiều bài spam. Nhưng lâu lâu em vẫn spam ạ !

                            Comment

                            Working...
                            X