Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

[Ask] Đánh giá sơ đồ mạng

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • [Ask] Đánh giá sơ đồ mạng

    Chào các bạn,
    Hiện tại sơ đồ hệ thống của mình có khoảng 500 máy. Mình định triển khai như thế này, mong các bạn cho ý kiến.
    [ASK]: Theo bạn thì đặt con Juniper firewall sau con Network Load Balancing trước khi vào Switch Core VS đặt trước Vlan External Server (như trong hình), cái nào tốt hơn? :)


  • #2
    con juniper firewall đặt sau con Network load balancing đâu có tác dụng j đâu bạn,con firewall đặt như trong hình là đúng òi...con Switchcore sẽ forward packet theo Vlan mà mình Math trên con firewall có nghĩa là con Firewall sẽ quyết định Vlan nào được phép hay ko được phép làm j sau đó con SwitchCore mới forward...mình được tham khảo mạng 1 số ngân hàng họ làm y như thế...Có j ko đúng mong anh em góp ý...
    Theo lối dẫn-Ngẫng nhìn thầy-Đi theo thầy-Nhìn thấu thầy-và Trở thành thầy.

    Comment


    • #3
      Chào vampirevnp

      Theo mô hình của bạn là khá là ổn định rồi, mình thấy mô hình Petronas chi nhánh VN họ cũng thiết lập như vậy.
      Anh em thảo luận ý kiến đóng góp cho mô hình thêm hoàn thiện giúp chủ topic

      Comment


      • #4
        Chào bạn,

        Mô hình của bạn có thể nói là tạm ổn. Vì những yêu cầu là ko nhiều, nhưng bạn lưu ý, trong cấu trúc chia 3 lớp của Sw, thì ko khuyến cáo áp đặt chính sách ở tầng Core, sẽ làm giảm hiệu suất chuyển mạch.

        Vd trong sơ đồ này, từ external và internal phải qua 2 lần Firewall, tốc độ sẽ giảm phần nào.

        Mời các bạn thảo luận thêm sao cho tối ưu nhất !
        Trịnh Anh Luân
        - Email : trinhanhluan@vnpro.org
        - Search my site
        - Search VNPRO.ORG

        Trung Tâm Tin Học VnPro
        Địa chỉ: 149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
        Tel: (08) 35124257 (5 lines)
        Fax: (08) 35124314

        Home page: http://www.vnpro.vn
        Support Forum: http://www.vnpro.org
        Network channel: http://www.dancisco.com
        • Chuyên đào tạo quản trị mạng và hạ tầng Internet
        • Phát hành sách chuyên môn
        • Tư vấn và tuyển dụng nhân sự IT
        • Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

        Blog: http://www.vnpro.org/blog
        Wifi forum: http://www.wifipro.org

        Comment


        • #5
          việc sử dụng firewall mền như ISA cũng làm giảm đáng kể tốc độ khi các máy bên trong ISA muốn truy cập ra phía bên ngoài

          Comment


          • #6
            Việc sử dụng ISA 2006 trong sơ đồ này, theo ý kiến mình không hợp lý lắm, có thể tối giản bỏ ISA và chỉ dùng Netscreen làm Core Firewall thì hợp lý hơn.
            Chân-Thiện-Nhẫn

            MCP, MCSA, MCSE, MCITP-Enterprise Admin, MCITP-Virtualization Admin
            CCNA, CCNA Wireless, CCNP Wireless, CCIE Wireless Written
            IBM System x Technical Expert V6

            Comment


            • #7
              Cảm ơn các ý kiến của các bạn,
              Hiện tại mình có 500 máy, nếu chỉ đặt firewall sau con Network Load Balancing, bỏ ISA 2006 thì rất nguy hiểm. Vì mạng nội bộ của mình theo mình thấy là khá lớn. Nhưng nếu đặt như vậy thì sẽ hạn chế đến việc Internal truy xuất External. Mong các bạn cho mình thêm ý kiến. :)

              Comment


              • #8
                Mình cũng đồng thuận với ý kiến của bạn itcisco, thông thường các hệ thống họ đều có firewall ở phía trước đảm bảo an toàn cho mạng internal khi kết nối Internet.


                (DMZ, Web, Mail Server )
                |
                Draytech Virgor 3300 (Load Balance)--Netsceen----------------Switch Core----- Switch Access


                Mong cùng góp ý!
                Last edited by hoathienvu; 19-12-2011, 04:33 PM.

                Comment


                • #9
                  Thế nào mà mình không sửa được cài vùng máy chủ kết nối vào còn Netscreen :(

                  Comment


                  • #10
                    Cảm ơn ý kiến đóng góp của mọi người, mình đã có giải pháp của riêng của mình.
                    Thank all. :D

                    Comment


                    • #11
                      SW core nên đặt sau Firewall mà kết nối tới modem (vigor), từ Firewall này có thể chia thành các vùng khác nhau (DMZ, LAN ,...) thì sẽ hợp lý hơn, tận dụng được khả năng xử lý của SW core, đồng thời giữa internal và external có một firewall tránh được khá nhiều nguy cơ từ external, và nên chọn 1 loại firewall UTM ( Checkpoint,Fortinet,Juniper hoặc Cisco...) , không cần thiết phải 2 firewall tách rời như thế này, nếu có điều kiện làm 1 cặp FW giống nhau chạy HA còn ổn định hơn mô hình này, có một vài lời nhận xét, mời AE cứ chém

                      Comment


                      • #12
                        Originally posted by vampirevp View Post
                        Chào các bạn,
                        Hiện tại sơ đồ hệ thống của mình có khoảng 500 máy. Mình định triển khai như thế này, mong các bạn cho ý kiến.
                        [ASK]: Theo bạn thì đặt con Juniper firewall sau con Network Load Balancing trước khi vào Switch Core VS đặt trước Vlan External Server (như trong hình), cái nào tốt hơn? :)

                        Mô hình này thường thấy ở các công ty đặt biệt có các úng dụng quản lý trên internet.
                        Về mặt kết nối thấy 2 đường truyền backup như vây chưa ổn. Để triển khai bạn phải thuê internet leased line vì 2 lý do : một là bạn cần một đường truyền tốc độ cao, ổn định lúc đấy có các lớp địa chỉ ip trỏ vào các cầu úng dụng của công ty như web, mail... lý do thứ 2 dùng FTTH khi bị đứt đường truyền làm sao tự động trỏ tên miền về địa chỉ mới. Để an toàn cho hệ thống bạn có thể yêu cầu nhà cung cấp dịch vụ triển khai thêm đường back up
                        Về mạng LAN rỏ ràng việc đặt 2 firewall như vậy hiệu suất mạng sẽ xuống rất thấp và tốn kém. mặt khác mô hình như vậy tại vùng vlan public sẽ không được kiểm soát sẽ gây ra nghẽn mạng. Bạn chỉ nên dùng một firewall đặt ở bên ngoài.
                        MCSE(1000,1000,976,1000,981,1000,1000)
                        CEH 100%
                        CCNP(1000,1000,988,1000)

                        Comment


                        • #13
                          Hi,

                          Thông thường ở 1 hệ thống lớn thì người ta hay có những thiết bị chuyên dụng riêng cho từng vùng. Với con Netscreen 50 của bạn thì khá nhỏ nên không thể đặt phía sau Vigor3300 được, nó sẽ gây ra tình trạng ngẽn cổ chai. Bạn nên dùng 1 cặp Firewall tương đối lớn chạy HA thay chổ con Switch core để bảo vệ được tất cả các vùng. Core switch bạn nên chuyển vào vùng user của bạn để đảm bảo switching nhanh trong LAN. Về ISA và Netscreen bạn có thể bổ sung thêm cho các vùng mang tính bảo mật cao. Hệ thông công ty mình đang dùng cặp checkpoint cho toàn mạng, cặp ASA cho vùng dữ liệu, cặp F5 cho vùng ứng dụng, các cặp switch layer 3, serial 4503 cho vùng users. Cỏn các vùng khác cặp checkpoint gánh luôn. hihi
                          Đời là phù du...!!!:105:

                          Comment


                          • #14
                            Bạn Lê Đức trí này làm ở công ty nào mà xài hàng khủng không vậy :D.

                            Nếu ko có kinh phí đầu tư thiết bị như bạn Lê Đức trí thì có thể nâng cấp bản ISA 2006 lên Forefont sẽ có tính năng UTM đó bạn.
                            Hugo

                            Comment


                            • #15
                              Originally posted by thanhnam0707 View Post
                              Bạn Lê Đức trí này làm ở công ty nào mà xài hàng khủng không vậy :D.

                              Nếu ko có kinh phí đầu tư thiết bị như bạn Lê Đức trí thì có thể nâng cấp bản ISA 2006 lên Forefont sẽ có tính năng UTM đó bạn.
                              Hi bạn,

                              Mình là lính đặc nhiệm, hiện đang tham chiến tại chiến trường Cathay Life của Taiwan.

                              Hy vọng được học hỏi các bạn nhiều hơn

                              Cheers!
                              Đời là phù du...!!!:105:

                              Comment

                              Working...
                              X