Mô hình mạng cho các doanh nghiệp vừa và nhỏ – Sao Thiên Vương, Phân phối thiết bị mạng MikroTik, Ubiquiti Unifi

Thứ hai – 12/10/2015 08:53

Ngày nay, Internet là một phần không thể tách rời với hoạt động kinh doanh của hầu hết các doanh nghiệp. Xây dựng một hệ thống mạng tiêu chuẩn, ổn định, bảo mật là nền tảng ban đầu cho sự phát triển vững vàng của doanh nghiệp. Sau đây chúng tôi đề xuất giải pháp mạng cho doanh nghiệp với tên giả định là công ty Sao Thiên Vương với số lượng nhân viên trong tương lại không vượt quá 260 người. Giải pháp được xây dựng trên nền tảng, tài liệu thiết kế tham khảo của hãng Cisco,

thiết bị mạng Cisco

, được tinh chỉnh lại cho phù hợp với điều kiện về tài chính của doanh nghiệp Việt Nam.

I)  Hiện trạng và nhu cầu xây dựng hệ thống mạng của công ty Sao Thiên Vương

1) Hiện Trạng

  • Xây mới hoàn toàn (hoặc đã có hệ thống mạng nhưng chưa được chuẩn hóa).

  • Số lượng nhân viên nhỏ hơn 260 người.

  • Chỉ có 1 site với yêu cầu truy cập Internet.

2) Nhu cầu

  • Không yêu cầu tính dư thừa và độ sẵn sàng cao khi thiết kế mạng (redundancy and High Availability)

  • Chi phí đầu tư ban đầu hạn chế

  • Cung cấp khả năng dễ dàng trong việc quản trị và khắc phục nhanh khi có sự cố xảy ra

 

II) Giải pháp xây dựng hệ thống mạng cho công ty Sao Thiên Vương diagram bên dưới
1) Các đặc điểm của mô hình này

  • Chỉ có một site và có nhu cầu kết nối Internet bằng các loại kết nối như: ADSL, Leaseline Internet, FTTH, …
  • Không yêu cầu tính sẵng sàng cao.
  • Số lượng nhân viên dưới 260 người.
  • Chi phí đầu tư ban đầu hạn chế.
  • Vẫn cung cấp khả năng mở rộng mạng sau này.

2) Số lượng tối đa và loại thiết bị dùng cho mô hình này

  • 1 x core Switch Catalyst 3560 24 port 10/100/1000, IOS IP Base.
  • 1 x Firewall ASA5510 của Cisco hoặc dòng Firewall tương đương của các hãng khác: lớp lá chắn bên ngoài
  • 12 x Access Switch Cisco Catalyst 2960 hoặc dòng Switch tương đương của các hãng khác: cung cấp kết nối cho người dùng cuối
  • 1 x Access Switch Cisco Catalyst 2960 24 port 10/100/1000 hoặc dòng switch tương đương của các hãng khác: cung cấp kết nối cho Internal Server Block
  • 1 x Access Switch Cisco Catalyst 2960 24 port 10/100/1000 hoặc dòng switch tương đương của các hãng khác: cung cấp kết nối cho DMZ Block
  • Tùy chọn 1 x Internal Firewall ASA5550 của Cisco hoặc dòng Firewall tương đương của các hãng khác: bảo vệ các server bên trong trước nguy cơ tấn công của người dùng nội bộ
  • 1 x Internet Router 1841 hoặc 2801 hoặc 2811 kết nối ra Internet

3) Chi phí đầu tư tham khảo (tối đa cho 260 users)

  • Liên hệ với chúng tôi để được tư vấn lựa chọn thiết bị phù hợp với điều kiện thực tế của doanh nghiệp.

4) Mô hình kết nối tổng thể
a)Diagram

b) Giải pháp

  • Core Switch Cisco Catalyst 3560 với 24 port GigEthernet và backlane 32Gbps là trung tâm trong kết nối mạng
  • Các Access Switch Catalyst 2960 kết nối với CoreSwitch bằng 2 cổng uplink GigEthernet với công nghệ Etherchannel gộp 2 link này chạy song song để tạo thành 1 link tốc độ 2Gbps nhằm tránh nghẽn cổ chai từ Access Switch lên Core Switch đồng thời cung cấp khả năng redundancy giữa 2 kết nối này, nếu 1 kết nối có vấn đề dữ liệu được tự động chuyển sang kết nối còn lại, quá trình này là trong suốt với người dùng cuối
  • Từ Core Switch kết nối sang khối Internal Server Block với tùy chọn dùng Firewall Internal (bắt buộc throughput của Firewall này phải >= 1Gbps nhằm tránh tình trạng nghẽn cổ chai dữ liệu đến các Server) hoặc không dùng Internal Firewall (có thể đầu tư ở phase 2, vì Firewall này có giá khá cao (tham khảo bảng giá thiết bị dự kiến ở trên))
  • Từ Core Switch kết nối sang vùng DMZ và đi ra Internet qua một External Firewall, nhiệm vụ của Firewall này nhằm bảo vệ người dùng trong mạng trước các nguy cơ từ Internet, đồng thời gới hạn các truy xuất từ Internet vào vùng DMZ nhằm hạn chế tối đa các truy xuất trái phép từ Internet vào sâu trong mạng
  • Kết nối ra ngoài Internet là 1 gateway Cisco Router, Router này cung cấp các giao diện (Interface) tương ứng để kết nối với các kiểu đường truyền ra Internet, ví dụ: ADSL, FTTH, Leaseline, …

5) Phân tích các ưu và khuyết điểm trong mô hình trên:
a) Ưu điểm

  • Các Switch có hiệu suất chuyển mạch (Forwarding rate, backplane) phù hợp đáp ứng yêu cầu của hệ thống. Đặc biệt Core Switch có hiệu suất cao đáp ứng cho tất cả các kết nối từ người dùng cuối và máy chủ
  • Được thiết kế theo cấu trúc mở, tuân thủ các tiêu chuẩn quốc tế về thiết kế, thi công và lắp đặt
  • Chi phí đầu tư ban đầu thấp, thích hợp cho các doanh nghiệp vừa và nhỏ với số lượng không quá 260 người và yêu cầu về công nghệ không quá phức tạp
  • Hệ thống dùng đồng bộ thiết bị của 1 hãng Cisco duy nhất giúp cho sự phối hợp vận hành giữa các thiết bị đạt hiệu quả cao nhất đồng thời cung cấp khả năng quản trị dễ dàng, uyển chuyển trong vấn đề phát hiện và khắc phục khi có sự có xảy ra trong thời gian nhanh nhất
  • Người quản trị mạng chỉ cần tiếp cận 1 công nghệ từ một hãng duy nhất là Cisco để có thể quản trị tốt hệ thống mạng, bên cạnh đó hệ thống đào tạo của Cisco tại ViệtNam là mạnh nhất với rất nhiều trung tâm và hệ thống chứng chỉ của Cisco đã trở thành chuẩn và được công nhận trên toàn thế giới, có thể kể đến đó là:
    • CCNA/CCDA cho cấp độ sơ cấp
    • CCNP/CCDP/CCIP/CCSP/CCVP: cấp độ chuyên nghiệp
    • CCIE/CCDE: cấp độ chuyên gia

Để quản lý tốt trong mô hình mạng này, quản trị mạng cần có trình độ tương đương mức “CCxP” (recommand: CCNP, CCSP). Để tối ưu chi phí, Khách hàng có thể sử dụng dịch vụ 

Hỗ trợ nhân lực CNTT – cho thuê IT

 của chúng tôi.

b) Khuyết điểm

  • Chỉ có thể mở rộng tối đa đến 260 người, nếu muốn mở rộng lớn hơn phải thay thế lại mô hình lại mạng và thiết bị
  • Không có tính redundancy, trong trường hợp các thiết bị quan trọng gặp sự cố sẽ ảnh hưởng đến sự hoạt động của mạng, có thể kể đến như sau:
    • Core Switch gặp sự cố: toàn bộ mạng sẽ gặp sự cố, các user không thể truy cập Internet, Internet Server, Internet, …
    • External Firewall gặp sự cố: tất cả người dùng nội bộ vẫn có thể truy xuất đến nhau, truy xuất đến Internet Server Block nhưng không thể truy xuất ra ngoài Internet cũng như ở ngoài Internet không thể truy xuất các dịch vụ (Mail Server, Web Server, …) đặt tại vùng DMZ
    • Internet Router gặp sự cố: tất cả người dùng nội bộ vẫn có thể truy xuất đến nhau, truy xuất đến Internet Server Block, truy xuất đến các dịch vụ đặt trong vùng DMZ nhưng không thể truy xuất ra ngoài Internet cũng như ở ngoài Internet không thể truy xuất các dịch vụ (Mail Server, Web Server, …) đặt tại vùng DMZ