Dịch vụ Tư vấn & Triển khai Hệ thống Mạng

Chia sẻ:

VẤN ĐỀ CƠ BẢN TRONG THIẾT KẾ

Mạng LAN là cơ sở hạ tầng mạng cung cấp kết nối đến các dịch vụ và tài nguyên thông mạng cho người dung cuối. Việc thiết kế hệ thống mạng LAN có thể chỉ gồm một bộ chuyển mạch (Switch) với vài đến vài chục node cho tới mạng rất lớn với hàng nghìn kết nối.

Mạng Lan cho phép giao tiếp giữa các thiết bị trong một tòa nhà hoặc một nhóm các tòa nhà, cũng như cho phép kết nối với mạng WAN và Internet ở lõi mạng.

Cụ thể, khi thiết kế hệ thống mạng LAN phải cung cấp nền tảng mạng và các dịch vụ cho phép:

  • Kết nối mạng LAN theo phân cấp
  • Truy cập mạng có dây cho nhân viên
  • IP Multicast để phân phối dữ liệu hiệu quả
  • Cơ sở hạ tầng mạng có dây sẵn sàng cho các dịch vụ đa phương tiện.

MÔ HÌNH THIẾT KẾ PHÂN LỚP

Mạng Lan thường sử dụng mô hình thiết kế phân cấp để chia thiết kế thành các nhóm hoặc lớp Moudule. Việc chia nhỏ thiết kế thành các lớp cho phép mỗi lớp thực hiện các chức năng cụ thể, điều này giúp đơn giản hóa việc thiết kế mạng và do đó việc triển khai và quản lý mạng.

Tính mô-đun trong thiết kế mạng cho phép bạn tạo ra các phần tử thiết kế có thể được sao chép trong toàn mạng. Nhân rộng cung cấp một cách dễ dàng để mở rộng mạng cũng như một phương pháp triển khai nhất quán.

Trong các kiến trúc mạng phẳng hoặc chia lưới, các thay đổi có xu hướng ảnh hưởng đến một số lượng lớn các hệ thống. Thiết kế phân cấp giúp hạn chế các thay đổi hoạt động đối với một tập hợp con của mạng, giúp dễ dàng quản lý cũng như cải thiện khả năng phục hồi.

Cấu trúc mô-đun của mạng thành các phần tử nhỏ, dễ hiểu cũng tạo điều kiện cho khả năng phục hồi thông qua việc cải thiện khả năng cách ly lỗi.

Một hệ thống mạng phân cấp chia làm 3 lớp:

  • Lớp truy cập (Access Layer): cung cấp điểm cuối và người dung truy cập trực tiếp vào mạng
  • Lớp phân phối (Distribution layer): Tổng hợp các lớp truy cập và cung cấp kết nối với các dịch vụ
  • Lớp lõi (Core layer): Cung cấp kết nối giữa các lớp phân phối cho môi trường mạng LAN lớn.

Mỗi lớp có một đặc điểm và khả năng khác nhau. Tùy thuộc vào nhu cầu, đặc điểm, quy mô triển khai của mỗi đơn vị doanh nghiệp mà có thể thiết kế theo môt, hai hoặc ba lớp.

Lớp truy cập (Access Layer)

Lớp truy cập là nơi các thiết bị do người dùng điều khiển, thiết bị người dùng có thể truy cập và các thiết bị điểm cuối khác được kết nối với mạng. Lớp truy cập cung cấp cả kết nối có dây và không dây, đồng thời chứa các tính năng và dịch vụ đảm bảo tính bảo mật và khả năng phục hồi cho toàn bộ mạng.

Các yêu cầu cơ bản khi thiết kế lớp truy cập:

  • Khả năng kết nối thiết bị (Device Connectivity). Lớp truy cập cung cấp kết nối thiết bị băng thông cao. Để giúp mạng trở thành một phần minh bạch trong công việc hàng ngày của người dùng cuối, lớp truy cập phải hỗ trợ bùng nổ lưu lượng băng thông cao khi người dùng thực hiện các tác vụ thông thường, chẳng hạn như gửi email lớn hoặc mở tệp từ web nội bộ trang.
  • Các dịch vụ bảo mật và phục hồi (Resiliency and security services).Thiết kế lớp truy cập phải đảm bảo rằng mạng có sẵn cho tất cả người dùng cần, bất cứ khi nào họ cần. Là điểm kết nối giữa mạng và các thiết bị khách, lớp truy cập phải giúp bảo vệ mạng khỏi lỗi của con người và khỏi các cuộc tấn công nguy hiểm. Biện pháp bảo vệ này bao gồm việc đảm bảo rằng người dùng chỉ có quyền truy cập vào các dịch vụ được ủy quyền, ngăn thiết bị của người dùng cuối chiếm lấy vai trò của các thiết bị khác trên mạng và khi có thể, xác minh rằng từng thiết bị của người dùng cuối được phép trên mạng.
  • Đáp ứng công nghệ tiên tiến (Advanced technology capabilities) - Lớp truy cập cung cấp một tập hợp các dịch vụ mạng hỗ trợ các công nghệ tiên tiến, chẳng hạn như thoại và video. Lớp truy cập phải cung cấp quyền truy cập chuyên biệt cho các thiết bị sử dụng công nghệ tiên tiến, để đảm bảo rằng lưu lượng từ các thiết bị này không bị suy giảm bởi lưu lượng từ các thiết bị khác và để đảm bảo phân phối hiệu quả lưu lượng được nhiều thiết bị trong mạng cần.

Một số công nghệ lưu ý khi thiết kế lớp truy cập:

  • MultiGigabit Ethernet và PoE. Việc ra đời các chuẩn công nghệ có tốc độ kết nối lớn trên các thiết bị đầu cuối đòi hỏi các thiết bị và đường truyền lớp truy cập phải đáp ứng. Ví dụ như các chuẩn Wifi 6 (với tốc độ >1Gbps), công nghệ PoE 802.3bt Type 3 và 802.bt Type 4.
  • Băng thông kết nối port Uplink trên Access Switch. Khi có nhiều kết nối với tải lương download/ upload đồng thời cao, đòi hỏi port Uplink của Access Switch phải có băng thông lớn và cho phép kết hợp băng thông. Port Uplink có thể là 10Gbp, 20 Gbps …
  • Stack Switch – Đây là công nghệ hiệu quả cho việc mở rộng lớp truy cập:
    • Các switch được “stack” mang đặc điểm và chức năng như một switch duy nhất
    • Cho phép mở rông port mà không cần quản lý nhiều thiết bị.
    • Có thể thêm hoặc bớt switch mà không ảnh hưởng đến hoạt động tổng thể của “Stack Switch”
    • Cho phép truyền dữ liệu ngay cả khi một kết nối liên switch hoặc switch bị lỗi tùy thuộc cấu hình

Lớp phân phối

Lớp phân phối hỗ trợ nhiều dịch vụ quan trọng. Trong một mạng mà kết nối cần phải truyền qua mạng LAN end-to-end, cho dù giữa các thiết bị lớp truy cập khác nhau hoặc từ một thiết bị lớp truy cập đến mạng WAN, lớp phân phối sẽ tạo điều kiện thuận lợi cho kết nối này.

Khả năng mở rộng (Scalability) – Khi nhu cầu có nhiều hơn hai hoặc ba thiết bị lớp truy cập, việc kết nối tất cả các thiết bị chuyển mạch truy cập với nhau là không thực tế. Lớp phân phối đóng vai trò như một điểm tập hợp cho các thiết bị chuyển mạch nhiều lớp truy cập.

Lớp phân phối có thể giảm chi phí hoạt động bằng cách làm cho mạng hiệu quả hơn, bằng cách yêu cầu ít bộ nhớ hơn, bằng cách tạo các miền lỗi phân chia các lỗi hoặc thay đổi mạng và bằng cách xử lý tài nguyên cho các thiết bị ở nơi khác trong mạng. Lớp phân phối cũng tăng tính khả dụng của mạng bằng cách chứa các lỗi đối với các miền nhỏ hơn.

Giảm độ phức tạp và tăng khả năng phục hồi (Reduce complexity and increase resiliency) – Lớp phân phối được đơn giản hóa bao gồm một thực thể logic duy nhất có thể được triển khai bằng cách sử dụng một cặp thiết bị chuyển mạch riêng biệt hoạt động như một thiết bị (StackWise Virtual) hoặc sử dụng Stack Switch hoạt động như một thiết bị. Khả năng phục hồi được cung cấp bởi các thành phần vật lý dự phòng như nguồn điện, bộ giám sát và mô-đun, cũng như chuyển đổi trạng thái sang các mặt phẳng điều khiển logic dự phòng.

Việc đơn giản hóa lớp phân phối giúp giảm sự phức tạp trong cấu hình và vận hành. Do đó làm giảm thời gian hội tụ của mạng.

Thiết kế hai lớp

Lớp phân phối cung cấp kết nối với các dịch vụ dựa trên mạng, đến mạng WAN và biên giới Internet. Các dịch vụ dựa trên mạng có thể bao gồm và không giới hạn ở Dịch vụ Ứng dụng Diện rộng (WAAS) và bộ điều khiển WLAN. Tùy thuộc vào kích thước của mạng LAN, các dịch vụ này và kết nối với biên WAN và Internet có thể nằm trên một công tắc lớp phân phối cũng tổng hợp kết nối lớp truy cập LAN. Đây cũng được gọi là thiết kế lõi thu gọn vì phân phối đóng vai trò là lớp tổng hợp Lớp 3 cho tất cả các thiết bị.

Thiết kế ba lớp

Các thiết kế mạng LAN lớn hơn yêu cầu một lớp phân phối chuyên dụng cho các dịch vụ dựa trên mạng thay vì chia sẻ kết nối với các thiết bị lớp truy cập. Khi mật độ của bộ định tuyến WAN, bộ điều khiển WAAS, thiết bị biên Internet và bộ điều khiển WLAN ngày càng tăng, khả năng kết nối với một công tắc lớp phân phối đơn trở nên khó quản lý. Khi kết nối ít nhất ba bản phân phối với nhau, việc sử dụng lớp lõi để kết nối phân phối nên được cân nhắc.

Có một số yếu tố thúc đẩy thiết kế mạng LAN với nhiều mô-đun lớp phân phối:

  • Số lượng cổng và băng thông cổng mà nền tảng lớp phân phối có thể cung cấp ảnh hưởng đến hiệu suất và thông lượng mạng.
  • Khả năng phục hồi của mạng là một yếu tố khi tất cả các dịch vụ dựa trên mạng LAN và dựa trên một nền tảng duy nhất, bất kể thiết kế của nền tảng đó như thế nào, nó có thể xuất hiện một điểm lỗi duy nhất hoặc một miền lỗi lớn không thể chấp nhận được.
  • Kiểm soát và tần suất thay đổi ảnh hưởng đến khả năng phục hồi. Khi tất cả các dịch vụ mạng LAN, WAN và các dịch vụ mạng khác được hợp nhất trên một lớp phân phối duy nhất, các lỗi hoạt động hoặc cấu hình có thể ảnh hưởng đến tất cả hoạt động của mạng.
  • Sự phân tán theo địa lý của các công tắc truy cập mạng LAN qua nhiều tòa nhà trong một cơ sở lớn hơn trong khuôn viên trường sẽ yêu cầu nhiều kết nối cáp quang hơn quay trở lại một lõi bị sập duy nhất.

Giống như lớp truy cập, lớp phân phối cũng cung cấp chất lượng dịch vụ (QoS) cho các luồng ứng dụng để đảm bảo các ứng dụng quan trọng và các ứng dụng đa phương tiện hoạt động như thiết kế

Lớp lõi

Trong môi trường mạng LAN lớn, thường nảy sinh nhu cầu có nhiều thiết bị chuyển mạch lớp phân phối. Một lý do cho điều này là khi các thiết bị chuyển mạch lớp truy cập được đặt trong nhiều tòa nhà phân tán về mặt địa lý, bạn có thể tiết kiệm việc chạy cáp quang tiềm năng tốn kém giữa các tòa nhà bằng cách định vị bộ chuyển mạch lớp phân phối trong mỗi tòa nhà đó. Khi mạng phát triển vượt ra ngoài ba lớp phân phối ở một vị trí, các tổ chức nên sử dụng lớp lõi để tối ưu hóa thiết kế.

Một lý do khác để sử dụng nhiều thiết bị chuyển mạch lớp phân phối là khi số lượng thiết bị chuyển mạch lớp truy cập kết nối với một lớp phân phối duy nhất vượt quá mục tiêu hiệu suất của nhà thiết kế mạng. Trong một thiết kế mô-đun và có thể mở rộng, bạn có thể sắp xếp các lớp phân phối cho trung tâm dữ liệu, kết nối WAN hoặc các dịch vụ biên Internet.

Trong môi trường có nhiều công tắc lớp phân phối tồn tại gần nhau và nơi sợi quang cung cấp khả năng kết nối liên thông băng thông cao, một lớp lõi làm giảm độ phức tạp của mạng xuống N * 2 liên kết dự phòng cho N phân phối, giảm từ N * (N-1)/2 liên kết dư thừa, như thể hiện trong hai hình sau.

a. Cấu trúc mạng Lan có lớp lõi

b. Cấu trúc mạng Lan không có lớp lõi

Lớp lõi của mạng LAN là một phần quan trọng của mạng có thể mở rộng và theo thiết kế, là một trong những lớp đơn giản nhất. Lớp phân phối cung cấp các miền lỗi và điều khiển, và lõi đại diện cho kết nối không ngừng 24x7x365 giữa chúng, mà các tổ chức phải có trong môi trường kinh doanh hiện đại, nơi kết nối với các nguồn lực để tiến hành kinh doanh là rất quan trọng. Kết nối đến và đi từ lõi chỉ là Lớp 3, giúp tăng khả năng phục hồi và ổn định.

MỘT SỐ YÊU CẦU TRONG THIẾT KẾ HỆ THỐNG MẠNG

TÍNH BẢO MẬT

Với bất kỳ thiết kế mạng nào, bảo mật cũng phải được chú trọng. Những công cụ dưới đây có thể giúp ngăn chặn các cuộc tấn công và làm cho mạng an toàn và đáng tin cậy hơn:

DHCP Snooping

Máy chủ DHCP giả mạo có thể gây hại cho tính bảo mật và khả năng sử dụng của mạng nếu không được bảo vệ chống lại đúng cách. Các máy chủ DHCP giả mạo tấn công mạng bằng cách gán các địa chỉ IP không thể thay đổi được cho các máy khách khiến chúng mất kết nối. Ngoài ra, máy chủ Rogue DHCP có thể được sử dụng để phát hành các máy chủ DNS độc hại. Sau đó, người dùng tìm cách truy cập các trang web thực sẽ được gửi đến các bản sao giả mạo của các trang web này để lấy cắp thông tin hoặc thông tin xác thực

DHCP Snooping là một công cụ được sử dụng để chống lại các máy chủ DHCP giả mạo. Nó hoạt động bằng cách gán một hoặc nhiều cổng là đáng tin cậy, có nghĩa là các cổng này dẫn đến các máy chủ DHCP hợp pháp. Sau đó, bộ chuyển mạch sẽ xây dựng cơ sở dữ liệu về các máy chủ không đáng tin cậy với địa chỉ IP đã thuê, Địa chỉ MAC, cổng chuyển mạch và VLAN. Lưu lượng được gửi từ các máy chủ không đáng tin cậy này sẽ được lọc khỏi bất kỳ thông báo nào của máy chủ DHCP, chặn mọi nỗ lực của máy chủ DHCP độc hại.

Dynamic ARP Inspection

Đầu độc bộ nhớ cache ARP là một công cụ độc hại được sử dụng để tạo ra các cuộc tấn công trung gian. Nó hoạt động bằng cách gửi một gói ARP giả mạo với địa chỉ IP của thiết bị khác và địa chỉ MAC của chính nó để đầu độc bộ nhớ cache ARP của máy chủ. Điều này có nghĩa là thay vào đó, lưu lượng truy cập dành cho thiết bị hợp pháp sẽ được gửi đến kẻ tấn công. Sau đó, kẻ tấn công có thể chuyển tiếp lưu lượng truy cập đến đích dự kiến của nó, làm cho nó trông như thể lưu lượng truy cập không bao giờ bị gián đoạn

Kiểm tra ARP động (DAI) là một công cụ có thể được sử dụng để giảm thiểu mối đe dọa này. DAI sử dụng cơ sở dữ liệu DHCP snooping cho các ràng buộc địa chỉ IP với MAC. Sau đó, DAI chặn tất cả các gói ARP và loại bỏ bất kỳ gói nào mà liên kết địa chỉ IP với MAC không hợp lệ.

BPDU Guard

Trong mạng L2, các vòng lặp có thể là cơn ác mộng tồi tệ nhất của bạn. Để chống lại điều này, chúng tôi sử dụng STP (Spanning Tree Protocol), nhưng điều này cũng có thể được sử dụng để làm tổn thương mạng nếu chúng tôi không bảo vệ nó.

Trong spanning-tree, một root-bridge được bầu. Điều này quyết định cổng nào sẽ được đặt ở trạng thái chuyển tiếp hoặc chặn. Nếu một thiết bị được thêm vào với mức độ ưu tiên thấp hơn root bridge hiện tại, thiết bị đó sẽ tiếp quản gây ra thay đổi cấu trúc liên kết và có thể chặn lưu lượng truy cập từ một đường dẫn mong muốn.

Bảo vệ BPDU là một giao thức được thiết kế để giải quyết vấn đề này. Khi được bật, nếu một switch thấy lưu lượng BDPU đến từ một cổng, nó sẽ tự động đặt nó ở trạng thái “bị tắt” để không có lưu lượng nào có thể vượt qua.

802.1X

Xác thực là rất quan trọng đối với bảo mật của mạng. Kẻ tấn công tiềm năng có thể lẻn vào một tòa nhà và cắm vào một cổng mạng được kích hoạt và giành quyền truy cập vào mạng.

802.1X là một tiêu chuẩn IEEE được sử dụng để hạn chế truy cập trái phép vào mạng bằng cách làm cho người dùng xác thực trước khi họ được phép vào mạng. 802.1X sử dụng ba phần khác nhau để xác thực.

Supplicant - Đây là phần mềm chạy trên thiết bị người dùng thu thập thông tin xác thực và chuyển tiếp chúng để được xác thực.

Authenticator - Đây là thiết bị truy cập mạng, thường là một bộ chuyển mạch, người đề nghị sẽ gửi thông tin đăng nhập của người dùng đến. Sau đó, thông tin xác thực được chuyển tiếp đến máy chủ xác thực.

Máy chủ xác thực - Đây là máy chủ RADIUS xác thực thông tin xác thực dựa trên thông tin trong cơ sở dữ liệu của nó.

TÍNH SẴN SÀNG (HIGHT AVAILABILITY)

Công suất, mật độ và tính năng là những khác biệt chính thúc đẩy việc lựa chọn nền tảng. Cả hai nền tảng khách hàng tiềm năng đều có các nền tảng anh em có thể phù hợp với vai trò cốt lõi trong các mạng hoặc mạng hiện có mà không yêu cầu đầy đủ các khả năng của nền tảng khách hàng tiềm năng

Stateful Switchover (SSO)

Bộ chuyển mạch trạng thái (SSO) đồng bộ hóa thông tin quy trình đang hoạt động, cũng như thông tin cấu hình, giữa người giám sát hoạt động và dự phòng của cặp khung Module / StackWise Virtual, hoặc giữa Switch active và Switch Standby trong Stack. SSO cho phép Switch Sandby tiếp quản ngay lập tức khi Switch Active gặp sự cố.

Non-stop Forwarding (NSF)

Chuyển tiếp không ngừng (NSF) giúp ngăn chặn các lỗi định tuyến trong các thiết bị hỗ trợ SSO. NSF cho phép khởi động lại các giao thức định tuyến L3, trong trường hợp lỗi xảy ra đối với Active Switch trong Stack. Khi người giám sát hoặc Switch chuyển từ trạng thái hoạt động sang chế độ chờ nóng, nó sẽ tiếp tục chuyển luồng lưu lượng dữ liệu IP trong phần cứng. Tuy nhiên, thiết bị ở vai trò là active cần thời gian để thiết lập lại mặt phẳng điều khiển ngang hàng với các hàng xóm định tuyến IP. NSF cho phép chuyển tiếp các gói dữ liệu tiếp tục dọc theo các tuyến đường đã biết trong khi thông tin giao thức định tuyến đang được khôi phục sau khi chuyển đổi.

StackWise Virtual Technology

Công nghệ StackWise Virtual kết hợp hai thiết bị Chuyển mạch thành một thực thể mạng logic duy nhất từ mặt phẳng điều khiển mạng và quản lý. Bởi vì hai thiết bị hoạt động như một, StackWise Virtual cho phép tạo ra cấu trúc liên kết không có vòng lặp. Spanning-tree xử lý cặp StackWise Virtual như một nút cầu, thay vì hai. Công nghệ StackWise Virtual sử dụng SSO / NSF để cung cấp chuyển đổi dự phòng lưu lượng liền mạch khi một trong các thiết bị chuyển mạch bị lỗi. Đối với các thiết bị lân cận, một miền StackWise Virtual sẽ xuất hiện dưới dạng một bộ chuyển mạch hoặc bộ định tuyến logic. Trong miền StackWise Virtual, một thiết bị được chỉ định trạng thái Active và thiết bị kia được chỉ định làm Stanby. Tất cả các chức năng của mặt phẳng điều khiển được quản lý tập trung bởi thiết bị Active. Từ quan điểm của mặt phẳng dữ liệu và chuyển tiếp lưu lượng, cả hai đều chủ động chuyển tiếp lưu lượng truy cập.