Tweet
Giái pháp thiết kế mạng hoàn chỉnh !
Dẫn dắt tình huống:
Hiện tại mình là sinh viên năm 3 của trường DH Khoa Học Tự Nhiên, được thầy giao và đã hoàn thành đề án thiết kế mạng của trường (trên lý thuyết).
Dòng đời, duyên số xô đẩy nên mình có cơ hội được đi thiết kế 1 trường trung học phổ thông quốc tế với mô hình và yêu cầu tương tự, mà làm leader luôn :o).
Tuy nhiên ngoài kiến thức nền tảng tương đối, mình vẫn chưa đi làm thực tế bao giờ :108:. Nên chắc chắn khi thiết kế, thi công sẽ xảy ra những sai lầm, những tình huống chưa lường trước được. Phụ mình có 2 anh đã đi làm chuyên về phần mềm và web, nhưng cũng có kiến thức thực tế bên mạng do vọc phá nhiều :56:.
Khoảng gần 1 tháng nữa, mình mới bắt đầu vào công việc. Trong thời gian đó, mình cố gắng tranh thủ chuẩn bị kiến thức thật tốt, để hạn chế các vấn đề phát sinh. Nay mạo muội lập topic nhờ các thầy, các bạn đã có kinh nghiệm giúp đỡ. :)
Tuy là trường cấp 3, nhưng đây là trường tư thục, định hướng theo tiêu chuẩn quốc tế, nên nói chung yêu cầu mạng đòi hỏi hơn nhiều so với các trường cấp 3 thông thường. Yêu cầu phía trường đặt ra: xây dựng 1 hệ thống mạng hoàn chỉnh thỏa các yêu cầu sau:
- Xây dựng Web Server để học sinh/giáo viên vào xem tin tức, thời khóa biểu, tra điểm số (phần viết web, dựng database sẽ do 2 anh bên web làm).
- Xây dựng Mail Server để:
+ Tạo account cho tất cả giáo viên, học sinh.
+ Trao đổi trong nội bộ giữa các phòng ban.
+ Khi có điểm, hoặc tin tức sẽ gởi mail đồng loạt về cho tất cả học sinh
(hệ thống theo mình đoán khoảng 150~200 cán bộ/thầy cô, 2000 học sinh)
- Dựng File Server, và phân quyền hợp lý.
- Học sinh có thể kết nối wifi thoải mái ở khu vực sảnh, phòng tự học.
Với những yêu cầu trên, mình đưa ra mô hình như sau:
Mô hình tổng quan:
Mô hình của dãy C (các dãy khác tương tự):
Giải thích về mô hình tổng quan:
- Thuê 2 đường FTTH để kết nối Internet, và dùng thiết bị Load Balancing để load-balancing/fail-over giữa 2 đường này.
- Dùng Firewall để lọc các gói tin ra vào, làm theo mô hình 3-leg (dự định dùng ISA).
- Tại trung tâm, đặt 1 core switch (switch layer 3), từ đây nối đến các Switch tại các dãy (switch layer 2 có chức năng chia VLAN), ngoài ra core switch còn nối đến các APs, và nối vào Server (làm Domain Controller, DNS nội bộ, File Server).
- Tại vùng DMZ, ta triển khai Proxy, Web, Mail Server
- Thuê 1 range Static public IP để publish Web, Mail: 203.169.15.30/29
Giải thích về mô hình dãy C (các dãy khác tương tự):
- Từ Switch trung tâm của dãy (có khả năng chia VLAN), ta cho 1 port là 1 VLAN, gắn Workgroup switch từng phòng (switch thường) vào từng port => xem như mỗi phòng là 1 VLAN, mục đích là hạn chế quy mô của broadcast domain.
Mô hình đã đánh dấu các điểm thắc mắc:
Vì mình cần có cái nhìn tổng quan về hệ thống mạng này, nên không thể tách nhỏ thắc mắc ra nhiều topic được. Thôi làm đại 1 cái vầy luôn :D. Nghĩ ra tới đâu hỏi tới đó. Rất mong được sự giúp đỡ nhiệt tình từ các thầy/các bạn.
THẮC MẮC ĐẦU TIÊN:
Các mô hình như trên có điểm nào bất hợp lý?
THẮC MẮC 1:
External DNS Server có thật sự cần thiết?
Theo như mình tìm hiểu, các ISP sẽ làm cho mình việc đó (tạo các record cần thiết trên DNS Server của ISP).
Vậy 1 số tổ chức vẫn xây dựng External DNS Server, mục đích làm gì nhỉ ?
Làm thế nào để sử dụng Static Public IP cho Web, Mail Server ?
Theo như topic này: http://www.nhatnghe.com/forum/showthread.php?t=25896 , có 2 cách:
- Cách 1: dùng IP Private, Static NAT (Preferred)
- Cách 2: chia luôn 1 network cho đ/c publish 203.169.15.30/29 sau router.
Đối với cách 1: giả sử đặt IP như mô hình, vậy thì static NAT bằng cách nào ?
- Mình đã cấu hình Static bằng router Cisco. Tuy nhiên với mô hình trên không dùng router Cisco, liệu modem hoặc load balancer gateway có khả năng Static NAT ?
- Trong mô hình Static NAT bình thường, router nối trực tiếp với Switch nối các máy server. Với mô hình trên, giữa nó còn có Firewall (ISA) "ngáng đường", vậy làm cách nào vượt qua firewall này ?
Đối với cách 2: nếu dùng range Public IP.
- Vị trí Firewall phải làm luôn khả năng NAT (để các máy nội bộ có thể ra Internet).
- Cần tốn bao nhiêu địa chỉ Public IP để có thể publish được Web và Mail Server? Theo mình hiểu các port trên đường modem----load balancer----firewall----server đều phải đặt địa chỉ Public IP.
THẮC MẮC 2:
Nên dùng Firewall cứng hay Firewall mềm, tại sao?
Đối với firewall cứng: firewall cứng có thể join domain, tạo policy theo user được không (mình chưa có cơ hội tiếp xúc)? Model nào có thể thỏa hệ thống mạng trên ?
Đối với firewall mềm:
- Nếu chọn ISA, thì cấu hình tối thiểu của máy này như thế nào?
- ISA Server, DC cùng gắn vào switch layer 3, vậy đã mặc định liên lạc được với nhau chưa, hay phải cấu hình thêm static route trên switch?
THẮC MẮC 3, 4:
Chọn cách kết nối nào? Về vấn đề Static NAT?
Theo như tham khảo: http://www.nhatnghe.com/forum/showthread.php?t=44387 . Ta có 2 cách kết nối để phân tải:
- Cách 1: modem ở chế độ PPPoE (mặc định), load balancer chỉ phân tải.
- Cách 2: chuyển modem sang chế độ Bridge, load balancer bật chế độ PPPoE (Preferred)
Nếu chọn cách 2: có thể cấu hình Static NAT trên load balancer được không? Dòng sản phẩm nào hỗ trợ chức năng này ? (bổ sung cho thắc mắc 1 - cách 1)
THẮC MẮC 5:
Vị trị đặt Proxy Server: đặt Proxy Server trong vùng DMZ có hợp lý không? Nếu được thì triển khai ra sao?
-> Mình đã dự định triển khai Proxy Server tại vị trí Firewall (dùng ISA để làm Proxy Server luôn). Câu hỏi trên mục đích để bổ sung kiến thức thêm.
THẮC MẮC 6:
Với hệ thống như vậy, liệu 1 máy server có đủ khả năng đảm nhận cả 3 vai trò (DC/DNS/File Server) ?
User trong nội bộ liên hệ với DC, File Server như thế nào ?
Theo như mô hình thiết kế:
- Đường nối giữa Core Switch tới tất cả các switch các dãy đều được chuyển thành đường trunk (chuyển các port nối thành port trunk).
- Cấu hình InterVLAN routing tại core switch (tạo các interface vlan tương ứng).
Vậy đường nối giữa Switch Layer 3 - Server (DC/DNS/File Server) có cần chuyển thành đường trunk ? Card mạng của server có cần hỗ trợ VLAN không?
THẮC MẮC 7:
Có cần thiết triển khai 1 hotspot (cổng đăng nhập wifi) không ?
Với nhu cầu không cần quản lý wifi chặt chẽ, mình không định triển khai (bữa làm đề án cũng bị thầy chửi do tốn tiền không cần thiết). Tuy nhiên, nếu không có thì gặp các vấn đề sau:
- 1 Wifi xịn chuẩn N đáp ứng được bao nhiêu user truy cập cùng lúc, mà tốc độ vẫn chấp nhận được (dự kiến nhiều nhất khoảng 100 học sinh lên wifi cùng lúc).
- Giải quyết sao với tình trạng đụng độ (giao thoa) của sóng wifi.
THẮC MẮC 8 (ở mô hình dãy C):
Việc chia nhiều VLAN có chống được các gói tin broadcast ? Thiết kế như vậy có hợp lý?
Theo như mô hình tại switch của mỗi dãy mình chia thành n VLAN
Vd:
Dãy A:
- 172.16.1.0/24
- 172.16.2.0/24
.....
- 172.16.n.0/24
Dãy B:
- 172.16.n+1.0/24
- 172.16.n+2.0/24
.....
- 172.16.2n.0/24
....................................
Các workgroup switch tại mỗi phòng gắn vào 1 port tương ứng. Vậy coi như 1 phòng là 1 VLAN.
RẤT CẢM ƠN BẠN ĐÃ ĐỌC VÀ TRẢ LỜI !
Hiện tại mình là sinh viên năm 3 của trường DH Khoa Học Tự Nhiên, được thầy giao và đã hoàn thành đề án thiết kế mạng của trường (trên lý thuyết).
Dòng đời, duyên số xô đẩy nên mình có cơ hội được đi thiết kế 1 trường trung học phổ thông quốc tế với mô hình và yêu cầu tương tự, mà làm leader luôn :o).
Tuy nhiên ngoài kiến thức nền tảng tương đối, mình vẫn chưa đi làm thực tế bao giờ :108:. Nên chắc chắn khi thiết kế, thi công sẽ xảy ra những sai lầm, những tình huống chưa lường trước được. Phụ mình có 2 anh đã đi làm chuyên về phần mềm và web, nhưng cũng có kiến thức thực tế bên mạng do vọc phá nhiều :56:.
Khoảng gần 1 tháng nữa, mình mới bắt đầu vào công việc. Trong thời gian đó, mình cố gắng tranh thủ chuẩn bị kiến thức thật tốt, để hạn chế các vấn đề phát sinh. Nay mạo muội lập topic nhờ các thầy, các bạn đã có kinh nghiệm giúp đỡ. :)
Tuy là trường cấp 3, nhưng đây là trường tư thục, định hướng theo tiêu chuẩn quốc tế, nên nói chung yêu cầu mạng đòi hỏi hơn nhiều so với các trường cấp 3 thông thường. Yêu cầu phía trường đặt ra: xây dựng 1 hệ thống mạng hoàn chỉnh thỏa các yêu cầu sau:
- Xây dựng Web Server để học sinh/giáo viên vào xem tin tức, thời khóa biểu, tra điểm số (phần viết web, dựng database sẽ do 2 anh bên web làm).
- Xây dựng Mail Server để:
+ Tạo account cho tất cả giáo viên, học sinh.
+ Trao đổi trong nội bộ giữa các phòng ban.
+ Khi có điểm, hoặc tin tức sẽ gởi mail đồng loạt về cho tất cả học sinh
(hệ thống theo mình đoán khoảng 150~200 cán bộ/thầy cô, 2000 học sinh)
- Dựng File Server, và phân quyền hợp lý.
- Học sinh có thể kết nối wifi thoải mái ở khu vực sảnh, phòng tự học.
Với những yêu cầu trên, mình đưa ra mô hình như sau:
Mô hình tổng quan:
Mô hình của dãy C (các dãy khác tương tự):
Giải thích về mô hình tổng quan:
- Thuê 2 đường FTTH để kết nối Internet, và dùng thiết bị Load Balancing để load-balancing/fail-over giữa 2 đường này.
- Dùng Firewall để lọc các gói tin ra vào, làm theo mô hình 3-leg (dự định dùng ISA).
- Tại trung tâm, đặt 1 core switch (switch layer 3), từ đây nối đến các Switch tại các dãy (switch layer 2 có chức năng chia VLAN), ngoài ra core switch còn nối đến các APs, và nối vào Server (làm Domain Controller, DNS nội bộ, File Server).
- Tại vùng DMZ, ta triển khai Proxy, Web, Mail Server
- Thuê 1 range Static public IP để publish Web, Mail: 203.169.15.30/29
Giải thích về mô hình dãy C (các dãy khác tương tự):
- Từ Switch trung tâm của dãy (có khả năng chia VLAN), ta cho 1 port là 1 VLAN, gắn Workgroup switch từng phòng (switch thường) vào từng port => xem như mỗi phòng là 1 VLAN, mục đích là hạn chế quy mô của broadcast domain.
Mô hình đã đánh dấu các điểm thắc mắc:
Vì mình cần có cái nhìn tổng quan về hệ thống mạng này, nên không thể tách nhỏ thắc mắc ra nhiều topic được. Thôi làm đại 1 cái vầy luôn :D. Nghĩ ra tới đâu hỏi tới đó. Rất mong được sự giúp đỡ nhiệt tình từ các thầy/các bạn.
THẮC MẮC ĐẦU TIÊN:
Các mô hình như trên có điểm nào bất hợp lý?
THẮC MẮC 1:
External DNS Server có thật sự cần thiết?
Theo như mình tìm hiểu, các ISP sẽ làm cho mình việc đó (tạo các record cần thiết trên DNS Server của ISP).
Vậy 1 số tổ chức vẫn xây dựng External DNS Server, mục đích làm gì nhỉ ?
Làm thế nào để sử dụng Static Public IP cho Web, Mail Server ?
Theo như topic này: http://www.nhatnghe.com/forum/showthread.php?t=25896 , có 2 cách:
- Cách 1: dùng IP Private, Static NAT (Preferred)
- Cách 2: chia luôn 1 network cho đ/c publish 203.169.15.30/29 sau router.
Đối với cách 1: giả sử đặt IP như mô hình, vậy thì static NAT bằng cách nào ?
- Mình đã cấu hình Static bằng router Cisco. Tuy nhiên với mô hình trên không dùng router Cisco, liệu modem hoặc load balancer gateway có khả năng Static NAT ?
- Trong mô hình Static NAT bình thường, router nối trực tiếp với Switch nối các máy server. Với mô hình trên, giữa nó còn có Firewall (ISA) "ngáng đường", vậy làm cách nào vượt qua firewall này ?
Đối với cách 2: nếu dùng range Public IP.
- Vị trí Firewall phải làm luôn khả năng NAT (để các máy nội bộ có thể ra Internet).
- Cần tốn bao nhiêu địa chỉ Public IP để có thể publish được Web và Mail Server? Theo mình hiểu các port trên đường modem----load balancer----firewall----server đều phải đặt địa chỉ Public IP.
THẮC MẮC 2:
Nên dùng Firewall cứng hay Firewall mềm, tại sao?
Đối với firewall cứng: firewall cứng có thể join domain, tạo policy theo user được không (mình chưa có cơ hội tiếp xúc)? Model nào có thể thỏa hệ thống mạng trên ?
Đối với firewall mềm:
- Nếu chọn ISA, thì cấu hình tối thiểu của máy này như thế nào?
- ISA Server, DC cùng gắn vào switch layer 3, vậy đã mặc định liên lạc được với nhau chưa, hay phải cấu hình thêm static route trên switch?
THẮC MẮC 3, 4:
Chọn cách kết nối nào? Về vấn đề Static NAT?
Theo như tham khảo: http://www.nhatnghe.com/forum/showthread.php?t=44387 . Ta có 2 cách kết nối để phân tải:
- Cách 1: modem ở chế độ PPPoE (mặc định), load balancer chỉ phân tải.
- Cách 2: chuyển modem sang chế độ Bridge, load balancer bật chế độ PPPoE (Preferred)
Nếu chọn cách 2: có thể cấu hình Static NAT trên load balancer được không? Dòng sản phẩm nào hỗ trợ chức năng này ? (bổ sung cho thắc mắc 1 - cách 1)
THẮC MẮC 5:
Vị trị đặt Proxy Server: đặt Proxy Server trong vùng DMZ có hợp lý không? Nếu được thì triển khai ra sao?
-> Mình đã dự định triển khai Proxy Server tại vị trí Firewall (dùng ISA để làm Proxy Server luôn). Câu hỏi trên mục đích để bổ sung kiến thức thêm.
THẮC MẮC 6:
Với hệ thống như vậy, liệu 1 máy server có đủ khả năng đảm nhận cả 3 vai trò (DC/DNS/File Server) ?
User trong nội bộ liên hệ với DC, File Server như thế nào ?
Theo như mô hình thiết kế:
- Đường nối giữa Core Switch tới tất cả các switch các dãy đều được chuyển thành đường trunk (chuyển các port nối thành port trunk).
- Cấu hình InterVLAN routing tại core switch (tạo các interface vlan tương ứng).
Vậy đường nối giữa Switch Layer 3 - Server (DC/DNS/File Server) có cần chuyển thành đường trunk ? Card mạng của server có cần hỗ trợ VLAN không?
THẮC MẮC 7:
Có cần thiết triển khai 1 hotspot (cổng đăng nhập wifi) không ?
Với nhu cầu không cần quản lý wifi chặt chẽ, mình không định triển khai (bữa làm đề án cũng bị thầy chửi do tốn tiền không cần thiết). Tuy nhiên, nếu không có thì gặp các vấn đề sau:
- 1 Wifi xịn chuẩn N đáp ứng được bao nhiêu user truy cập cùng lúc, mà tốc độ vẫn chấp nhận được (dự kiến nhiều nhất khoảng 100 học sinh lên wifi cùng lúc).
- Giải quyết sao với tình trạng đụng độ (giao thoa) của sóng wifi.
THẮC MẮC 8 (ở mô hình dãy C):
Việc chia nhiều VLAN có chống được các gói tin broadcast ? Thiết kế như vậy có hợp lý?
Theo như mô hình tại switch của mỗi dãy mình chia thành n VLAN
Vd:
Dãy A:
- 172.16.1.0/24
- 172.16.2.0/24
.....
- 172.16.n.0/24
Dãy B:
- 172.16.n+1.0/24
- 172.16.n+2.0/24
.....
- 172.16.2n.0/24
....................................
Các workgroup switch tại mỗi phòng gắn vào 1 port tương ứng. Vậy coi như 1 phòng là 1 VLAN.
RẤT CẢM ƠN BẠN ĐÃ ĐỌC VÀ TRẢ LỜI !
Comment