Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Thiết kế mạng, từ lý thuyết đến thực tiễn – lời nói đầu.

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • #31
    Phân Loại Và Tìm Hiểu Các Chủng Loại Cisco Switch

    Nhìn chung có thể phân Cisco Switch thành 2 nhóm chính:


    Cisco Nexus Series Family: đây là thế hệ Switch mới được phát minh trong thời gian vài năm trở lại đây và được thiết kế để hoạt động trong các trung tâm dữ liệu thế hệ mới (Next Generation Data Center), Cisco đã rất ưu ái cho dòng Switch này với kiến trúc hoàn toàn mới và khác biệt so với series Catalyst Switch, nhờ vậy dòng Nexus hỗ trợ rất nhiều tính năng mới cũng như hỗ trợ tốc độ chuyển mạch lên đến hàng chục Tbps (1 Tbps = 1000 Gbps). Có thể nêu 1 vài đặc điểm nổi bật của dòng Nexus như sau:
    - Hỗ trợ full range product family, bao gồm: Nexus 7000 Series Switch (Core/Distribution Layer), Nexus 5000 Series, 2000 Series Fabric Extend (dùng cho mô hình ToR: Top of Rack trong Data Center), Nexus 3000 Series Switch (dùng trong High Frequency Trading – HFT vốn đòi hỏi độ delay cực thấp), Nexus 4000 Series (là IO module dùng cho các máy chủ IBM Blade Center) và Nexus 1000V (là giải pháp Software Switch dùng trong môi trường ảo hóa VMWare).
    - Tốc độ chuyển mạch cực cao (ví dụ: dòng Switch Nexus 7000: hỗ trợ đến 17+ Tbps, 550Gbps per Slot, hỗ trợ cổng 10Gbps, 40Gbps, 100Gbps).
    - Hỗ trợ nhiều tính năng tiên tiến như: Fabric-Path (tương ứng với chuẩn mở là TRILL), OTV, FCoE (cung cấp khả năng encapsulation FC frame trong Ethernet frame và vận chuyển trong môi trường mạng LAN), Unified Ports (hỗ trợ FCoE frame và Standard Ethernet frame trên cùng 1 cổng kết nối vật l), Data Center Bridging – DCB (dùng để bridging frame từ Native-FC sang FCoE và ngược lại)…
    - Và nhiều tính năng khác nữa, khi có điều kiện tôi sẽ có 1 bài viết chi tiết hơn về dòng sản phẩm này.

    Cisco Catalyst Switch Series Family: là dòng Switch được thiết kế cho hệ thống mạng Enterprise, vì đây là dòng Switch được đề cập chính trong series bài viết, nên sẽ được đề cập chi tiết.
    Có thể liệt kê tất cả các dòng Switch trong Family này như dưới đây:
    - Cisco Catalyst 6500 Series: được thiết kế ở dạng Modular (gồm có: Chassis, SuperVisor, Linecard, Service Module, Power Supply, Fans Tray) để hoạt động ở lớp Core/Distribution, hỗ trợ tốc độ chuyển mạch 2Tbps (với Sup-2T) hoặc 720Gbps (với Sup-720) hoặc 32Gbps (với Sup-32) tất cả từ Hardware, hỗ trợ Service Module (FWSM, WiSM, NAM, IDSM, ACE,…) đây là đặc điểm duy nhất trên dòng thiết bị này, đặc biệt hỗ trợ công nghệ VSS (Virtual Switch System) giúp ảo hóa 2 Switch 6500 hoạt động như 1 Switch với tốc độ chuyển mạch gấp 2 lần binh thường và hỗ trợ MEC (Multichasis Etherchannel) giúp loại bỏ hoàn toàn STP, đặc điểm này sẽ được đề cập chi tiết trong các series bài viết “thiết kế hệ thống mạng dự phòng đầy đủ cho Enterprise”.
    Chi tiết: http://www.cisco.com/en/US/products/...omparison.html

    - Cisco Catalyst 4500 Series: được thiết kế ở dạng Modular (gồm có: Chassis, SuperVisor, Linecard, Power Supply, Fans Tray), hỗ trợ chuyển mạch lớp 3 Hardware, hoạt động ở lớp Core/Distribution, hỗ trợ tốc độ chuyển mạch 848Gbps (với Sup-7E), 520Gbps (với Sup-7LE), 320Gbps (với Sup-6E), 280Gbps (với Sup-6LE) và 136 Gbps (với Sup-V-10GE) tất cả từ Hardware. Điểm khác biệt của dòng Switch này so với 6500 Series là: yếu hơn, không hỗ trợ Service Module, chưa hỗ trợ công nghệ tương tự VSS.
    Chi tiết: http://www.cisco.com/en/US/products/...omparison.html

    - Cisco Catalyst 3750-X: đây là phiên bản nâng cấp của 3750-E và 3750. Được thiết kế ở dạng Fix 1U, hoạt động ở mô hình Collapse Core/Distribution (thường dùng trong SMB), hoặc Access trong Enterprise, hỗ trợ tốc độ chuyển mạch 160Gbps Hardware ở lớp 3, PoE+ (30W per port), cổng Uplink 10Gbps chuẩn SFP, và downlink port 1Gbps, và đặc biệt hỗ trợ công nghệ StackWise+ với tốc độ StackRing lên đến 64Gbps, nhằm ảo hóa đến 9 Switch 3750 trong 1 Stack hoạt động như 1 Switch ảo, đây là 1 đặc điểm gần giống với VSS sẽ được đề cập chi tiết trong các series bài viết thiết kế sau.
    Chi tiết:


    - Cisco Catalyst 3750-E: tính năng giống với Catalyst 3750-X, tuy nhiên đây là dòng Switch cũ hơn Catalyst 3750-X, tương lai sẽ được thay thế bởi Catalyst 3750-X, nên sẽ không được đề cập chi tiết.

    - Cisco Catalyst 3750: tính năng giống với Catalyst 3750-X, tuy nhiên có một vài khác biệt như: không hỗ trợ cổng uplink tốc độ 10Gbps, chỉ hỗ trợ StackWise (không phải StackWise+) với tốc độ StackRing 32Gbps và hỗ trợ tốc độ downlink port là 100Mbps.
    Chi tiết:
    Find software and support documentation to design, install and upgrade, configure, and troubleshoot Cisco Catalyst 3750-X Series Switches.


    - Cisco Catalyst 3560-X: là phiên bản nâng cấp của Catalyst 3560-E và Catalyst 3560, tính năng giống với Catalyst 3750-X (Được thiết kế ở dạng Fix 1U, hoạt động ở mô hình Collapse Core/Distribution (thường dùng trong SMB), hoặc Access trong Enterprise, hỗ trợ tốc độ chuyển mạch 160Gbps Hardware, PoE+ (30W per port), cổng Uplink 10Gbps chuẩn SFP, và downlink port 1Gbps) điểm khác biệt duy nhất của dòng này so với Catalyst 3750-X là không hỗ trợ công nghệ StackWise hay StackWise+, do đó không thể dùng tính năng MEC trên dòng Switch này, tuy nhiên giá thành rẻ hơn so với Catalyst 3750-X ở cùng model.
    Chi tiết:


    - Cisco Catalyst 3560-E: tương tự với Catalyst 3750-E, dòng Switch sẽ được thay thế bởi Catalyst 3560-X, nên sẽ không được đề cập chi tiết.

    - Cisco Catalyst 3560: tính năng giống với Catalyst 3560-X, tuy nhiên có một vài khác biệt như: không hỗ trợ cổng uplink tốc độ 10Gbps, hỗ trợ tốc độ downlink port là 100Mbps.
    Chi tiết:
    Find software and support documentation to design, install and upgrade, configure, and troubleshoot Cisco Catalyst 3560 Series Switches.


    - Cisco Catalyst 3550: dòng Switch này được thay thế bởi Catalyst 3560 Series nên sẽ không được đề cập chi tiết.

    - Cisco Catalyst 2975: dòng Switch này được thay thế bởi Catalyst 2960-S series
    - Cisco Catalyst 2960-S: là phiên bản nâng cao của dong Catalyst 2960, dòng Switch này được thiết kế cho lớp Access trong mô hình thiết kế 2 lớp, hỗ trợ chuyển mạch ở lớp 2 từ Hardware tốc độ 88Gbps và một vài tính năng hạn chế ở lớp 3 từ software. Hỗ trợ tốc độ chuyển mạch uplink port 1Gbps hoặc 10Gbps, downlink port tốc độ 1Gbps, PoE+ (30W per port), Full PoE (15.4W per port) trên model 48 Ports. Đặc biệt thiết bị này hỗ trợ công nghệ Flex-Stack với tốc độ Flex-Port 20Gbps (tương tự Stack-Wise) cho phép gom đến 4 Catalyst 2960-S trong 1 nhóm và hoạt động như 2 Switch ảo, đây là tính năng quan trọng nhằm thiết kế hệ thống mạng mới (loại bỏ hoàn toàn STP) với nhiều ưu điểm nổi trội ở lớp Access.
    Chi tiết:


    - Cisco Catalyst 2960: là phiên bản nâng cấp của Catalyst 2950, được thiết kế để hoạt động ở lớp 2, với tốc độ uplink port 1Gbps và downlink port 100Mbps (đối với 2960) và 1Gbps (đối với 2960G), hỗ trợ chuyển mạch ở lớp 2 từ Hardware tốc độ 16Gbps (đối với 2960) và 32Gbps (đối với 2960G).
    Chi tiết:


    - Cisco Catalyst 2955: tính năng tương tự với 2960, tuy nhiên được thiết kế ở dạng rút gọn (chỉ bằng 1/3 so với 2960) và có khả năng chống chịu tốt trong điều kiện thời tiết khắt nghiệt (nhiệt độ, độ ẩm cao, …), thường được dùng trong môi trường: nhà máy, bến cảng, giàn khoang, … Tuy nhiên dòng Switch này sẽ được thay thế bởi IE3000 nên sẽ không được đề cập chi tiết.

    - Cisco Catalyst 2950: là Switch đời đầu so với 2960 và đã được thay thế bởi 2960, nên sẽ không được đề cập chi tiết.


    - Cisco Catalyst 3560-C Series: tính năng tương tự với catalyst 3560 (lớp 3), tuy nhiên đây là phiên bản thu gọn về kích cỡ so với 3560 (chỉ bằng ½ 3560) và hoạt động không cần quạt tản nhiệt, hỗ trợ từ 8 đến 12 downlink port. Một đặc điểm “lạ” là dòng switch này có thể hoạt động không cần nguồn điện từ bên ngoài (Adapter), mà thay vào đó nó sẽ nhận nguồn thông qua cổng Uplink PoE+ được cung cấp từ Switch khác có hỗ trợ PoE+ (như Catalyst 3560-X, 3750-X, 4500, 6500).
    Chi tiết:


    - Cisco Catalyst 2960-C Series: tính năng tương tự với Catalyst 2960 (hỗ trợ các tính năng ở lớp 2), tuy nhiên giống với Catalyst 3560-C là phiên bản thu gọn về kích cỡ của 2960 (chỉ bằng ½ 2960) và hoạt động không cần quạt tản nhiệt, hỗ trợ từ 8 đến 12 downlink port. Tương tự với Catalyst 3560-C, dòng switch này cũng có thể hoạt động dựa trên nguồn cung cấp từ Switch khác thông qua cổng Uplink PoE+.
    Chi tiết:


    - Cisco IE 3000: là phiên bản hoạt động ở Layer 2 với các tính năng tương tự Catalyst 2960, tuy nhiên đây là dòng Switch được thiết kế để hoạt động trong môi trường khắc nghiệt: nhiệt độ cao, độ ẩm lớn, không cần quạt tản nhiệt, … Nên được lựa chọn khi sử dụng ở: nhà máy, bến cảng, giàn khoan dầu ngoài biển, …
    Chi tiết:
    Cisco Industrial Ethernet 3000 (Cisco IE 3000 Switches or IE3K), is a ruggedized switch compliant with IEC 61850 & IEEE 1613 for harsh environments.


    - Cisco IE 3100: là phiên bảo hoạt động ở Layer 3 với các tính năng tương tự Catalyst 3560, giống với IE3000, dòng Switch này được thiết kế để hoạt động trong môi trường khắc nghiệt: nhiệt độ cao, độ ẩm lớn, không cần quạt tản nhiệt, … Nên được lựa chọn khi sử dụng ở: nhà máy, bến cảng, giàn khoan dầu ngoài biển, …
    Chi tiết:



    Catalyst Switch Product Buyer Guide: http://www.cisco.com/en/US/products/...ers_guide.html


    Đến đây chúng ta có đủ kiến thức để yên tâm đi tiếp phần thiết kế hạ tầng mạng LAN :)!

    Kỳ tới: "Thiết Kế Hạ Tầng Mạng LAN Dự Phòng Đầy Đủ Sử Dụng STP (Legacy Design Model)" to be continue...
    Do trong tuần tới công việc hơi nhiều, nên bài viết này sẽ được delay sang tuần tiếp theo, mong các bạn thông cảm nhé!
    Last edited by binhhd; 08-12-2011, 11:09 PM.

    Comment


    • #32
      bác cho 1 bài giới thiệu về các router đi ạ :D.. cám ơn về các bài viết của bác.. chờ phần mạng LAN có dự phòng :D

      Comment


      • #33
        Hơi confuse là bài về thiết kế mạng hay là bài về giới thiệu các tính năng, thuật ngữ của sản phẩm Cisco.

        Và có 1 câu hỏi cho tác giả, là CCIE. Có cần học đến CCIE để làm được thiết kế mạng (network designer) hoặc cao hơn 1 chút là kiến trúc sư mạng (network architect)?
        Theo kinh nghiệm của tớ thấy, một số chuyên gia thiết kế có tiếng lại chưa bao giờ học một cái chứng chỉ CCxx nào cả.

        Comment


        • #34
          bài viết quá hay. O:-)

          Comment


          • #35
            Originally posted by myquartz View Post
            Hơi confuse là bài về thiết kế mạng hay là bài về giới thiệu các tính năng, thuật ngữ của sản phẩm Cisco.

            Và có 1 câu hỏi cho tác giả, là CCIE. Có cần học đến CCIE để làm được thiết kế mạng (network designer) hoặc cao hơn 1 chút là kiến trúc sư mạng (network architect)?
            Theo kinh nghiệm của tớ thấy, một số chuyên gia thiết kế có tiếng lại chưa bao giờ học một cái chứng chỉ CCxx nào cả.
            cùng câu hỏi với bạn này^^

            Comment


            • #36
              Originally posted by myquartz View Post
              Hơi confuse là bài về thiết kế mạng hay là bài về giới thiệu các tính năng, thuật ngữ của sản phẩm Cisco.

              Và có 1 câu hỏi cho tác giả, là CCIE. Có cần học đến CCIE để làm được thiết kế mạng (network designer) hoặc cao hơn 1 chút là kiến trúc sư mạng (network architect)?
              Theo kinh nghiệm của tớ thấy, một số chuyên gia thiết kế có tiếng lại chưa bao giờ học một cái chứng chỉ CCxx nào cả.
              Chào bạn,
              Tôi có vài comments với câu hỏi của bạn như sau:
              - Nếu không hiểu tính năng, thuật ngữ của sản phẩm, thì có thể thiết kế tốt được không?
              - Nếu có CCIE thì có lợi hay có hại?
              - "Theo kinh nghiệm của tớ thấy, một số chuyên gia thiết kế có tiếng lại chưa bao giờ học một cái chứng chỉ CCxx nào cả" => tôi rất confuse với câu này :).

              Comment


              • #37
                viết bài quá hay mà trả lời cũng rất sắc bén :))
                Nguyễn Bá Hiển
                Email: nguyenbahien@vnpro.org
                Yahoo: nguyenbahien_vnpro
                ------------------------------------------------------------------------------------------------------------
                Trung Tâm Tin Học VnPro
                149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
                Tel : (08) 35124257 (5 lines)
                Fax: (08) 35124314

                Home page: http://www.vnpro.vn
                Support Forum: http://www.vnpro.org
                - Chuyên đào tạo quản trị mạng và hạ tầng Internet
                - Phát hành sách chuyên môn
                - Tư vấn và tuyển dụng nhân sự IT
                - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

                Network channel: http://www.dancisco.com
                Blog: http://www.vnpro.org/blog

                Comment


                • #38
                  @binhhd: Thanks a đã viết bài hướng dẫn chia sẻ kinh nghiệm.
                  @VNPRO: Ban quản trị có thể điều chỉnh bài viết hướng dẫn của a binhhd hiện trên trang đầu tiên được không? Mình nghĩ đây là bài viết hướng dẫn nhưng có nhiều cmt quá sẽ làm mọi người khó theo dõi.

                  Comment


                  • #39
                    Mong anh Bình tiếp tục dành thời gian để chia sẻ thêm kinh nghiệm và kiến thức của anh. Tôi học được rất nhiều từ những bài viết của anh. Cảm ơn anh rất nhiều.

                    Comment


                    • #40
                      bài viết rất hay và thực tế! Mong rằng sẽ tích lũy thêm được nhiều kiến thức quí báu như thế này nữa! cảm ơn tác giả nhiều!

                      Comment


                      • #41
                        Hi Mr Binhhd ,
                        Theo em thì phần cấu hình VTP ở lớp Core/Distribution mình nên cấu hình ở mode Server chứ ? để các lớp khác khỏi cần cấu hình Creat Vlan !

                        Comment


                        • #42
                          Originally posted by tuancuongtk6 View Post
                          Hi Mr Binhhd ,
                          Theo em thì phần cấu hình VTP ở lớp Core/Distribution mình nên cấu hình ở mode Server chứ ? để các lớp khác khỏi cần cấu hình Creat Vlan !
                          Chao ban,
                          Trong thuc te khi trien khai, VTP mode transparent duoc uu tien su dung, muc dich chinh la giam thieu sai lam trong qua trinh edit, add,remove VLAN, co the gay te liet toan bo mang. Co the xem day la "best practice" khi trien khai VTP trong thuc te.
                          Mot option khac cung co the xem xet la: su dung VTP Client/Server trong giai doan implementation/Deployment, de don gian hoa van de: Add, Remove, Edit VLAN, nhung sau khi hoan thanh giai doan nay, se chuyen tat ca Switch ve VTP mode Transparent.
                          Ngoai ra con them vai nguyen nhan phu, nhu:
                          VTP trasparent cho phep tao Vlan ID trong range 1005-4094.
                          Co the luu cau hinh Vlan bang lenh "show running"
                          Last edited by binhhd; 12-12-2011, 09:13 PM.

                          Comment


                          • #43
                            OK , cảm ơn anh ! Mong anh tiếp tục hoàn thiện nốt bài viết của mình để chia sẻ cho mọi người.

                            Comment


                            • #44
                              Thiết kế hạ tầng mạng lan dự phòng đầy đủ dùng stp

                              Hôm nay, xin giới thiệu đến các bạn phương thức thiết kế hệ thống mạng LAN cho SMB với dự phòng đầy đủ dựa trên STP.
                              Tuy nhiên, thiết kế dựa trên STP đã có từ rất lâu, cùng với những hạn chế vốn có, thiết kế này không đáp ứng được các yêu cầu khắt khe ngày nay và sẽ được thay thế bằng các công nghệ mới hơn (sẽ được đề cập trong bài "Dự phòng đẩy đủ sử dụng Virtualize Switch, loại bỏ STP").


                              Sơ Đồ Mạng (Network Diagram)
                              Sơ đồ kết nối tổng quan


                              Về nguyên tắc tổng quan khi thiết kế hệ thống mạng LAN dự phòng đầy đủ cũng tương bao gồm các module như trong phần thiết kế hệ thống mạng LAN không dự phòng. Tuy nhiên, điểm khác biệt là, các module được thiết kế dự phòng, kết nối giữa các module cũng được thiết kế dự phòng nhằm đảm bảo khả năng High Availability (HA) của hệ thống mạng. Tính năng chính được sử dụng trong mô hình thiết kế này là Spanning Tree Protocol (STP) ở Layer 2 và Dynamic Routing ở Layer 3. Chi tiết được đề cập như bên dưới:
                              Hệ thống mạng được thiết kế dựa trên nguyên tắc module hóa các thành phần.
                              Việc module hóa khi thiết kế có những đặc điểm nổi bật sau:
                              Sử dụng STP ở Layer 2 và Dynamic Routing ở Layer 3 để cung cấp HA.
                              Đơn giản, rõ ràng.
                              Có thể mở rộng hệ thống mạng dễ dàng.
                              Tách biệt rõ ràng chứng năng của từng module, từ đó có đầy đủ thông tin để chọn lựa đúng thiết bị mạng cho từng module:
                              Core/Distribution Block: là module trung tâm của hệ thống mạng, chịu trách nhiệm kết nối các module còn lại với nhau. Từ đây có thể thấy ưu tiên chọn thiết bị ở lớp này là “càng nhanh càng tốt”.
                              Access Layer Block: là module cung cấp kết nối cho người dùng cuối. Ưu tiên khi chọn thiết bị thuộc module này là “cung cấp nhiều cổng kết nối downlink cho người dùng, đồng thời phải có kết nối Uplink tốc độ cao để kết nối lên module Core/Distribution”, và tối ưu hóa chỉ số “giá thành / cổng downlink”. Thông thường thiết bị sử dụng tại module này chỉ cần hỗ trợ các tính năng ở lớp 2.
                              Server Farm Block: đây là module cung cấp kết nối cho các máy chủ (Servers) cung cấp dịch vụ trong mạng nội bộ, ví dụ: AD, DNS, DHCP, File, Application, Database. Thiết bị chọn ở lớp này cần có cổng kết nối downlink tốc độ tối thiểu là 1Gbps và hoạt động ở lớp 2.
                              WAN Block: là module cung cấp kết nối đến các chi nhánh khác. Thông thường, thiết bị trong module này cần hỗ trợ:
                              Các cổng giao tiếp WAN: Serial, FTTH, ADSL, …
                              Các tính năng: định tuyến động, mã hóa VPN ở phần cứng (VPN supported in hardward).
                              Internet Access Block: là module nằm ở ngoài cùng của hệ thống mạng, cung cấp kết nối Internet cho người dùng nội bộ. Thông thường thiết bị được chọn ở module này cần hỗ trợ các tính năng:
                              Định tuyến.
                              NAT/PAT.
                              Firewall.
                              Remote Access VPN.
                              DMZ Block: là module kết nối trực tiếp với module “Internet Access Block”. Chức năng của module này:
                              Cung cấp các dịch vụ ra ngoài Internet: Mail, Web.


                              Sơ đồ mạng kết nối vật lý


                              Nhằm đạt được tiêu chí xây dựng hệ thống mạng mô hình SMB đảm bảo tính HA, do đó chi tiết thiết bị đề xuất cho các module như sau:
                              Core/Distribution Block: 2 x Switch có cổng kết nối tốc độ tối thiểu 1Gbps và hoạt động ở lớp 3. Đây là khối trung tâm vận chuyển traffic giữa các khối còn lại, giữa 2 Core/Dist Switch được kết nối với nhau từ 6-8 links, và được chia thành 2 EtherChannel khác nhau: 1 group là Layer 2 EtherChannel và 1 group là Layer 3 Ether Channel, cụ thể sẽ được đề cập trong phần Logical Diagram.
                              Access Layer Block: n x Switch có cổng kết nối downlink tốc độ tối thiểu 100Mbps và tối thiểu 2 Uplink 1Gbps, hoạt động ở lớp 2. Các Access Switch được kết nối tối thiểu 2 Uplink lên mỗi Core/Dist như mô hình. Đảm bảo nếu 1 Core/Dist gặp sự cố, traffic tự động được chuyển sang Core/Dist còn lại.
                              Server Farm Block:
                              2 x Firewall: có tối thiểu 3 cổng kết nối tốc độ tối thiểu 1Gbps và có Firewall Throughput tối thiểu 1Gbps. FW được cấu hình để hoạt động ở Mode Cluster, đảm bảo nếu 1 FW gặp sự cố, FW còn lại sẽ tự động được active. FW được kết nối vào Core/Dist Switch và Server Switch như mô hình, đây là mô hình FW được kết nối vật lý giữa Core/Dist và Server Farm, nhằm sử dụng tối đa throughput cao của Internal FW.
                              2 x Switch có cổng kết nối downlink/uplink tốc độ 1Gbps và hoạt động ở lớp 2. Các Server với 2 NIC Port được kết nối vật lý vào 2 Server Switch như mô hình và được cấu hình NIC Teaming nhằm đảm bảo nếu 1 Server Switch gặp sự cố, traffic sẽ được tự động chuyển sang Server Switch còn lại.
                              WAN Block:
                              2 x Router có cổng kết nối LAN/WAN tương ứng. Nhằm đảm bảo tính HA, 2 Router nên được kết nối vào 2 ISP khác nhau và 1 điều quan trọng là nên yêu cầu 2 ISP này sử dụng 2 đường kết nối vật lý riêng biệt (ví dụ: không đi chung trụ điện, đấu chung ODF, … mà thông thường điều này rất khó được đáp ứng).
                              2 x WAN Switch tốc độ tối thiểu 100Mbps và hoạt động ở lớp 2. 2 WAN Switch này cung cấp kết nối ở lớp 2 thuần túy và được kết nối như mô hình, (có thể dùng chung với DMZ Switch bằng cách chia 1 VLAN riêng biệt trên DMZ Switch và được chỉ định dùng riêng cho WAN Router)
                              DMZ Block, Internet Access Block:
                              2 x Switch có tốc độ tối thiểu 100Mbps và hoạt động ở lớp 2.
                              2 x Firewall: hỗ trợ IPSEC VPN hoặc SSL VPN (nếu yêu cầu). Tương tự như Internal FW, 2 External FW cũng được cấu hình để chạy ở Mode Cluster, nhằm đơn giản trong thiết kế, và thông thường kết nối Internet tốc độ không lớn, do đó 2 External FW sẽ được thiết kế ở dạng “Firewall on a Stick”. Trong đó 1 cổng được kết nối giữa 2 FW được sử dụng làm Heartbeat traffic, 2 cổng còn lại được kết nối vào mỗi Core/Dist Switching như mô hình trên, nếu sử dụng Cisco ASA5500, 2 cổng này sẽ được cấu hình ở Mode Interface Redundant (tức là 1 cổng sẽ hoạt động ở Mode Active, cổng còn lại hoạt động ở Mode Standby trong Interface Redundant). Và Interface Redundant này được cấu hình 3 SubInterface bao gồm: TRUSTED (facing to LAN), UNTRUSTED (facing to Internet) và DMZ.
                              2 x Router: có cổng kết nối LAN/WAN tương ứng. Chi tiết được đề cập trong mô hình kết nối luận lý bên dưới.


                              Sơ đồ mạng kết nối luận lý


                              Chi tiết hoạt động:
                              Core/Distribution Switch: 1 Switch được cấu hình là STP Root Bridge và HSRP active, Switch còn lại sẽ được cấu hình là STP Backup Root Bridge và HSRP standby. Cấu hình 2 EtherChannel Group giữa 2 Switch: 1 Group Ether Channel Layer 2 Trunking Dot1Q hoạt động ở Layer 2 và 1 group EtherChannel Layer 3 Routed Port được cấu hình để thiết lập OSPF neighbor giữa 2 Core/Dist Switch.
                              Access Switch: Cấu hình 2 Uplink Port là Layer 2 Trunking Dot1Q. Như vậy tại 1 thời điểm, sẽ có 1 Uplink Port kết nối trực tiếp với Core/Dist Switch STP Root Bridge là ở trạng thái Forwarding, Uplink Port còn lại sẽ ở trạng thái Blocking.( lưu ý, ở bài sau đề cập đến VSS/Stack-Wise/Flex-Stack, Access Switch có thể cấu hình EtherChannel cho cả 2 Uplink Port lên 2 Core/Dist, và như vậy, tốc độ của Uplink sẽ là 2Gbps và không cần dùng STP thay vì 1Gbps khi dùng STP)
                              Internal Firewall: FW được cấu hình FW Cluster và có 2 Zone: TRUSTED (facing to Servers Farm) và UNTRUSTED (facing to LAN). FW có nhiệm vụ filter traffic từ người dùng nội bộ truy cập vào các ứng dụng được triển khai trong Server Farm.
                              Server Switch: chỉ hoạt động ở Layer 2 và được cấu hình các tính năng ở Layer 2 (VLAN, Trunking, …)
                              DMZ Switch: chỉ cấu hình các tính năng ở Layer 2 tương tự với Server Switching.
                              Internet Firewall: được thiết cấu hình với 3 zone: UNTRUSTED (facing to Internet), DMZ và TRUSTED (facing to LAN). FW có nhiệm vụ filter các yêu cầu truy cập từ Internet vào DMZ, từ DMZ vào Internal, … cung cấp chức năng NAT từ Internet và DMZ (NAT/PAT 1-1), Internal Users to Internet (Dynamic NAT/PAT n-1). Và được cấu hình như VPN Server (IPSEC VPN hoặc SSL VPN) giúp người có thể truy cập tài nguyên nội bộ an toàn từ Internet.
                              Internet Router: cung cấp WAN port và định tuyến giúp Internet FW có thể forward traffic ra/vào Internet, trong 1 vài trường hợp, nếu Internet connection là RJ45 (FTTH,…), có bỏ qua Internet Router để kết nối Internet link trực tiếp vào External Switch.
                              WAN Router: cung cấp các kết nối WAN (Serial, T3, …), Dynamic Routing (OSPF, EIGRP) và Site-to-Site IPSEC VPN (hoặc DMVPN, GetVPN) nhằm kết nối đến các site khác của doanh nghiệp.


                              Spanning Tree Diagram


                              Đối với các dòng thiết bị từ Access Layer (Catalyst 3560, 2960,…) đến Core/Distribution Layer (6500, 4500, 3750-X) đều đã hỗ trợ Rapid STP với 2 phiên bản là: Rapid-PVST và MST. Thông thường Traditional STP (802.1D) có thời gian hội tụ là 30->50 giây, là quá chậm so với Rapid STP với thời gian hội tụ thông thường < 2 giây. Do đó trong bài này Rapid-PVST sẽ được sử dụng, cụ thể thiết kế được đề cập như bên dưới.
                              Root Bridge / HSRP Active: 1 Switch sẽ được cấu hình là Root Bridge 1 dãy các VLAN và đồng thời cũng là HSRP Active cho các Interface VLAN này. Có thể cấu hình LoadSharing bằng cách cấu hình Core/Dist Switch thứ 1 là Root STp/HSRP Active cho 1 dãy VLAN thứ 1, Core/Dist Switch thứ 2 là Root STP/HSRP Active cho dãy VLAN thứ 2. Phương thức LoadSharing này có 2 điểm lợi là: chia sẽ tải giữa 2 Core/Dist Switch và chia sẽ tải cho 2 Uplink trên các Access Switch.
                              Backup Root Bridge / HSRP Standby: đây là Switch sẽ không đảm nhận forward traffic trong điều kiện binh thường (Root Bridge/HSRP Active Switch vẫn còn hoạt động) và sẽ được tự động chuyển vào trạng thái Root Bridge/HSRP Active khi Switch kia gặp sự cố.
                              STP BPDU Guard: được cấu hình trên các cổng downlink của Access Switch.
                              STP Root Guard: được cấu hình trên các cổng downlink của Core/Dist Switch.
                              STP Loop Guard: được cấu hình trên các STP Blocking Port và Root Port.
                              STP Portfast: được cấu hình trên các cổng downlink của Access Switch.


                              Logical Diagram for External Firewall


                              Đối với Cisco Firewall ASA5500, khi cấu hình Cluster cho 2 FW, 2 FW sẽ hoạt động Logic như 1 FW, 2 cổng kết nối vật lý từ mỗi FW vào 2 Core/Dist Switch sẽ được cấu hình ở Mode Interface Redundant (1 port sẽ Active, port còn lại Standby). Do chúng ta cần chia 3 Zone (TRUSTED, DMZ và UNTRUSTED), do đó trên Interface Redundant sẽ được cấu hình 3 SubInterface với các VLAN lần lượt thuộc: TRUSTED, DMZ và UNTRUSTED như mô hình trên.
                              Trên mô hình là 1 ví dụ traffic flow khi Users muốn truy cập Internet:
                              Example: Traffice flow from USERS to INTERNET:
                              Users ==(user vlan)==> Access Switch ==(trunking)==> Core Switch ====(trusted vlan)====> External Firewall ==(untrusted vlan) ==> Core Switch ==(untrusted vlan)==> External Switch ==(untrusted vlan)==> Router ====> INTERNET.



                              Sơ đồ định tuyến


                              Giả sử đây là Trụ Sở chính của doanh nghiệp. OSPF được sử dụng và thiết kế như mô hình trên:
                              OSPF Area 0 (Backbone Area): bao gồm các thiết bị: Core/Dist Switch, WAN Router, Internal FW. Cấu hình để OSPF chỉ quảng bá default route hoặc summary route để các Stub Area ở các site khác. Lưu ý về kết nối giữa 2 Core/Dist Switch, chỉ dùng Layer 3 Ether Channel giữa 2 Switch này để tạo OSPF neighbor, các Interface VLAN Routing cho End Users được cấu hình ở Mode Passive.
                              OSPF Area N (Stub or Totally Stub Area): mỗi Site được thiết kế thuộc về 1 Stub Area, các site này chỉ nhận default route (nếu là totally stub area) hoặc các summary route (nếu là stub area) từ Backbone Area.
                              Để thiết kế trên thực sự tối ưu, đòi hỏi người thiết kế phải làm thật tốt công việc phân hoạch địa chỉ IP cho từng chi nhánh. Mỗi chi nhánh phải được lên kế hoạch cụ thể sẽ sử dụng range IP nào, nên assign 1 range IP Address liên tục đủ lớn, đáp ứng nhu cầu phát triển / mở rộng số lượng người dùng của chi nhánh trong tương lai, tránh việc assign nhiều Rang IP Address không liên tục, sẽ làm giảm hiệu quả việc việc Route Summary.



                              Thảo Luận Về Ưu và Khuyết Điểm Trong Thiết Kế

                              Ưu Điểm: hệ thống mạng hỗ trợ đầy đủ HA.
                              Khuyết Điểm:
                              Sử dụng STP/HSRP làm nền tảng hỗ trợ HA nên hệ thống mạng dễ gặp các sự cố liên quan đến STP (broadcast storm, STP loop, …). Độ rủi ro của các sự cố này càng nhiều nếu hệ thống mạng được mở rộng càng lớn.
                              Không thể sử dụng Ether Channel cho các kết nối từ Access Switch lên 2 Core/Dist Switch khác nhau.
                              STP không được recommend trong các thiết kế mới và đang có xu hướng sẽ bị loại bỏ trong các thiết kế về sau, do tính bất ổn của STP có thể gây ra các hậu quả nghiêm trọng cho hệ thống mạng.



                              Thảo Luận Về Thiết Bị Mạng Sử Dụng Trong Thiết Kế

                              Core/Distribution Switch: Cisco Catalyst 3560G, 3560-X.
                              Access Switch: Cisco Catalyst 2960.
                              Internal Firewall: Cisco ASA5550 hoặc tương đương.
                              Server Switch: Cisco Catalyst 2960G, 2960S.
                              DMZ Switch: Cisco Catalyst 2960.
                              Internet Firewall: Cisco ASA5505, ASA5510 hoặc ASA5520.
                              Internet Router: Cisco Router 1900.
                              WAN Router: Cisco Router 800, 1900, 2900.


                              References links:
                              - Cisco 3560G: http://www.cisco.com/en/US/products/...528/index.html
                              - Cisco 3560-X: http://www.cisco.com/en/US/products/ps10744/index.html
                              - Cisco 2960: http://www.cisco.com/en/US/products/ps6406/index.html
                              - Cisco 2960S: http://www.cisco.com/en/US/products/ps12200/index.html
                              - Cisco ASA5500: http://www.cisco.com/en/US/products/ps6120/index.html
                              - Cisco Router 800: http://www.cisco.com/en/US/products/...380/index.html
                              - Cisco Router 1900: http://www.cisco.com/en/US/products/ps10538/index.html
                              - Cisco Router 2900: http://www.cisco.com/en/US/products/ps10537/index.html



                              Cấu Hình Mẫu (Configuration Template)
                              To be continue ...
                              Attached Files

                              Comment


                              • #45
                                một kiểu phá cách rất chi là mới mẻ,mong mọi người ủng hộ anh bình sớm ra tác phẩm mới!!! thank.

                                Comment

                                Working...
                                X