Bao-cao-quan-tri-mang-rev2.docx

CÁC THUẬT NGỮ LAN (Local Area Network): Là một mạng dùng để kết nối các máy tính trong một phạm vi nhỏ (nhà trường, nhà ở, phòng làm việc, ….) Các máy tính trong mạng LAN có thể chia sẻ tài nguyên với nhau (chia sẻ tập tin, máy in, máy quét , …) Boardcast Storms: Thường là do quá trình nối dự phòng giữa các Switch gây ra. Khi Switch không biết MAC của một destimation nào đó, nó gửi gói tin broadcast ra tất các port để hỏi MAC của destimation đó. Khi đến Switch khác cũng không biết lại gửi ra các port, nhưng các Switch này tạo thành một mạch kín, do đó cứ gửi qua gủi lại tạo thành vòng lặp broadcast cứ chạy vòng vòng cả mạng gọi là Broadcast Storm. STP (Spanning Tree Protocol): Là một giao thức ngăn chặn sự lặp vòng, cho phép các bridge truyền thông với nhau để phát hiện vòng lặp vật lý trong mạng. Sau đó giao thức này sẽ định rõ một thuật toán mà bridge có thể tạo ra một topology luận lý chứa loop-free. OSPF (Open Shortest Path First): Là một giao thức định tuyến link – state điều hành. Đây là giao thức được sử dụng rộng rãi trong các mạng doanh nghiệp có kích thước lớn. EIGRP (Enhanced Interior Gateway Routing Protocol): Là một giao thức định tuyến do Cisco phát triển, là một giao thức Distance – vector QoS (Quality of Service): Là thuật ngữ dùng trong lĩnh vực viễn thông. QoS cho phép điều khiển dòng thông tin ở mức độ căn bản xác định phương thức để dòng thông tin của một ứng dụng nào đó đi qua các bộ định tuyến và chuyển mạch của mạng. Frame Relay: đây là một dịch vụ truyền số liệu mạng diện rộng dựa trên công nghệ chuyển mạch gói. Đây là một chuẩn của CCTT(1) và ANSI(2) định ra quá trình truyền dữ liệu qua mạng dữ liệu công cộng. Hiện tại Frame Relay phục vụ cho các khách hang có nhu cầu kết nối mạng diện rộng. và sử dụng các ứng dụng riêng với tốc độ kết nối cao và phục vụ cho các ứng dụng phức tập như tiếng nói, âm thanh, hình ảnh. ADSL (Asymmetric Digital Subscriber Line): ADSL cung cấp một phương thức truyền dữ liệu với bang thông theo phương thức truy cạp quay số (Dial up) Khi truyền thông băng thông trên đường đây điện thoại được tách ra làm 2 phần, 1 phần nhờ dùng cho các tín hiệu như Phone, Fax. Phần lớn còn lại dùng cho truyền tải tín hiệu ADSL.

Chương 1. Phân tích yêu cầu hệ thống mạng doanh nghiệp 1. Tầm quan trọng của hệ thống mạng Ngày nay với một lượng lớn về thông tin, nhu cầu xử lý thông tin ngày càng cao. Mạng máy tính hiện nay trở nên quá quen thuộc đối với chúng ta, trong mọi lĩnh vực như khoa học, quân sự, quốc phòng, thương mại, dịch vụ, giáo dục, … Hiện nay ở nhiều nơi mạng đã trở thành một nhu cầu không thể thiếu được. Người ta thấy được việc kết nối các máy tính thành mạng cho chúng ta những khả năng mới to lớn như: - Sử dụng chung tài nguyên: Những tài nguyên của mạng (thiết bị, chương trình, dữ liệu) khi được trở thành các tài nguyên chung thì mọi thành viên của mạng đều có thể tiếp cận được mà không quan tâm tới những tài nguyên đó ở đâu. - Tăng độ tin cậy của hệ thống: Người ta có thể dễ dàng bảo trì máy móc và lưu trữ (backup) các dữ liệu chung và khi có trục trặc trong hệ thống thì chúng có thể được khôi phục nhanh chóng. Trong trường hợp có trục trặc trên một trạm làm việc thì người ta cũng có thể sử dụng những trạm khác thay thế. - Nâng cao chất lượng và hiệu quả khai thác thông tin: Khi thông tin có thể được sử dụng chung thì nó mang lại cho người sử dụng khả năng tổ chức lại các công việc với những thay đổi về chất như:  Đáp ứng những nhu cầu của hệ thống ứng dụng kinh doanh hiện đại.  Cung cấp sự thống nhất giữa các dữ liệu  Tăng cường năng lực xử lý nhờ kết hợp các bộ phận phân tán.  Tăng cường truy cập tới các dịch vụ mạng khác nhau đang được cung cấp trên thé giới. Với nhu cầu đòi hỏi ngày càng cao của xã hội nên vấn đề kỹ thuật trong mạng là mối quan tâm hang đầu của các nhà tin học. Ví dụ như làm thế nào để truy xuất thông tinn một cách nhanh chóng và tối ưu nhất. Hiện nay việc làm thế nào để thiết kế một hệ thống mạng tốt, an toàn và lợi ích kinh tế cao đang rất được quan tâm. Một vấn đề đặt ra đó là có rất nhiều giải pháp về công nghệ, mỗi giải pháp có rất nhiều yếu tố cấu thành, trong mỗi yếu tố có nhiều cách lựa chọn. Như vậy, để đưa ra một giải pháp hoàn chỉnh, phù hợp thì phải trải qua một quá trình chọn lọc dựa trên những ưu điểm của từng yếu tố, từng chi tiết nhỏ.

2. Phân tích yêu cầu Số lượng nút mạng (rất lớn – trên 1000 nút, vừa – trên 100 nút, nhỏ - dưới 10 nút). Trên cơ sở nút mạng, sẽ có phương thức phân cáp, chọn kĩ thuật chuyenr mạch và chọn thiết bị chuyển mạch. Dựa vào mô phỏng ban đầu để phân đoạn vật lý, đảm bảo hai yêu cầu bảo mật và đảm bảo chất lượng dịch vụ. Lựa chọn công nghệ đi cáp. Dự báo các yêu cầu mở rộng. Mạng máy tính là LAN Campus Network có bang thông rộng đủ để khai thác hiệu quả các ứng dụng, cơ sở dữ liệu đặc trưng của tổ chức cũng như đáp ứng khả năng chạy các ứng dụng đa phương tiện phục vụ cho hoạt dộng kinh doanh online. Như vậy, mạng sẽ được xây dựng trên nền tảng công nghệ truyền dẫn tốc độ cao Ethernet/FastEthernet/GigabitEthernet và hệ thống cáp quang đa mode. Mạng cần có độ ổn định cao và khả năng dự phòng đề đảm bảo chất lượng cho việc truy cập các ứng dụng dữ liệu quan trọng. Như vậy hệ thống cáp mạng phải có khả năng dự phòng 1:1 cho các kết nối switch-switch cũng như đảm bảo khả năng sửa chữa, cách ly sự cố dễ dàng. Hệ thống cáp mạng cần được thiết kế đảm bảo đáp ứng các yêu cầu về két nối tốc dộ cao và khả năng dự phòng cũng như mở rộng lên các công nghệ mới. Mạng cần đảm bảo an ninh, an toàn cho toàn bộ các thiết bị nội bộ trước các truy nhập trái phép ở mạng ngoài cũng như từ các truy nhập gián tiếp có mục đích phá hoại hệ thống nên cần có tường lửa và các thiết bị phát hiện và phòng chống xâm nhập. Hệ thống mạng này được cấu thành bởi các switch chuyển mạch tốc độ cao hạn chế tối thiểu xung đột đữ liệu truyền tải (non-blocking). Các switch có khả năng tạo các LAN ảo phân đoạn mạng thành các phần nhỏ hơn cho từng phòng ban. LAN ảo là công nghệ dùng trong mạng nội bộ cho phép sử dụng cùng một nền tảng mạng nội bộ vật lý bao gồm nhiều switch được phân chia về mặt logic theo các cổng trên switch thành các phần mạng nhỏ khác nhau và độc lập hoạt dộng. Như vậy, ngay trong mạng LAN tại tòa nhà điều hành ta có thể thực hiện phân chia thành các phân mạng nhỏ hơn nữa cho các phòng ban. Việc phân chia các phân mạng LAN ảo cho phép các Phòng ban tổ chức có các phân mạng máy tính độc lập để tiện cho việc phát triển các ứng dụng nội

bộ cũng như tăng cường tính năng bảo mật giữa các phân mạng máy tính của các phòng ban khác nhau. Ngoài ra, LAN ảo cũng cho phép quản lý tập trung toàn bộ hệ thống mạng máy tính, nhất là hệ thống máy chủ thay vì phát triển rất nhiều phân mạng một cách riêng rẽ. Điều này tạo ra môi trường làm việc tập trung cho người quản trụ cũng như cắt giảm các chi phí do tập hợp được các thiết bị mạng lưới và máy chỉ dịch vụ hoạt dộng vào mổ số phòng có điều kiện hạ tầng đầy đủ thay vì nẳm rải rác trên các phòng ban khác nhau. Công nghệ LAN ảo giải quyết đồng thời hai bài toán về quản trị tập trung và riêng rẽ cho mạng máy tính của tổ chức. Mạng đảm bảo khả năng đinh tuyến trao đổi thông tin giữa các phân mạng LAN ảo khác nhau, cho phép các phân mạng khác nhau có thể kết nối đến nhau thông qua môi trường mạng dùng chung. Tuy nhiên, do phân cách các mạng LAN bằng switch có tính năng định tuyến nên các gói tin broadcasting trên toàn mạng được hạn chế ít đi và làm cho bang thông của mạng được sử dụng hiệu quả hơn so với trường hợp toàn bộ mạng xây dựng thành một mạng LAN không phân cấp (flat network). Các bước xây dựng hệ thống mạng: - Phân tích yêu cầu - Xây dự mô hình mạng - Lựa chọn phần cứng - Lựa chọn phần mềm - Tính toán giá thành - Triển khai

Chương 2: Thiết kế hệ thống mạng 1. Giới thiệu về mạng Enterprise Campus Enterprise Campus Network Model (ECNM) có thể dược sử dụng để chia mạng doanh nghiệp thành các mạng vật lý, luận lý và các khu vực chức năng khác nhau thông qua các tập nguyên tắc thiết kế cơ bản để có thể tạo ra một hệ thống mạng hiệu quả, đảm bảo tính sẵn sàng cao, tính mềm dẻo, tính linh động. Bất kì một kiến trúc tốt hay một hệ thống hiệu quả đều được xây dựng dựa trên một nền tảng kiến thức vững chắc và những nguyên tắc cơ bản về kỹ thuật, việc áp dụng những nguyên tắc kỹ thuật trong thiết kế nhằm đảm bảo sự cân bằng giữa khả năng sẵn sàng và khả năng bảo mật, tính linh hoạt và dê quản lý sau này. Ngoài việc thiết kế hệ thống mạng đáp ứng nhu cầu kinh doanh hiện tại của công ty, người thiết kế cũng cần phải tính đến khả năng mở rộng (phần cứng và phần mềm) của hệ thống trong tương lai. Một số hướng trong thiết kế mô hình mạng Enterprise Campus:  Hệ thống phân cấp.  Mô đun hóa.  Tính sẵn sàng.  Tính linh động. Ở đây em chọn xây dựng mô hình mạng phân cấp. 2. Hệ thống phân cấp Cisco đưa ra mô hình thiết kế mạng cho phép người thiết kế tạo ra một mạng luận lý bằng cách định nghĩa và sử dụng các lớp của thiết bị mang lại tính hiệu quả, tính thông minh, tính mở rộng và quản lý dễ dàng. Mô hình này gồm ba lớp: Access, Distribution và Core. Mỗi lớp có các thuộc tính riêng để cung cấp cả chức năng vật lý lẫn luận lý ở mỗi điểm tích hợp trong mạng Campus. Việc hiểu rõ mỗi lớp, chức năng cũng như hạn chế của nó là điều quan trọng để ứng dụng các lớp đúng cách trong quá trình thiết kế sẽ giúp đảm bảo:  Tính sẵn sàng và khả năng mở rộng cao.  Giảm sự đụng độ dữ liệu khi số lượng thiết bị và lưu lượng mạng tăng cao.  Tăng hiệu năng mạng.  Giảm giữ liệu broadcast khi các thiết bị tăng.

 Cô lập sự cố trong mạng dễ dàng và nhanh chóng hơn.

Mô hình mạng phân cấp

2.1.

Lớp truy cập (Access Layer)

Lớp truy cập (Access) là nơi các thiết bị đầu cuối (máy tính, máy in, máy ảnh, IP phones ,…) kết nối vào mạng. Ngoài ra chúng ta có thể mở rộng mạng thông qua các thiết bị như Access Point. Các thiết bị trong lớp Access thường được gọi là các switch truy cập và có đặc điểm sau:  Chi phí trên mỗi port của switch thấp.  Mật độ port cao.  Mở rộng các uplink đến các lớp cao hơn.  Chứng năng truy cập của người dùng như là thành viên VLAN, lọc lưu lượng và giao thức và QoS (Quality of Service – là 1 cách thức điều khiển mức độ ưu tiên traffic của hệ thống mạng, tính năng này hoạt động trên tất cả các tầng khác nhau của hệ thống).  Tính co dãn thông qua nhiều uplink. Access Layer là lớp phòng thủ đầu tiên của hệ thống mạng giữa thiết bị đầu cuối và cơ sở hạ tầng mạng, trên lớp Access chúng ta có thể thực hiện một số chức năng bảo mật, chính sách an ninh giữa các vùng tin tưởng khác nhau. 2.2.

Lớp phân phối (Distribution Layer)

Lớp phân phối chủ yếu cung cấp kết nối bên trong giữa lớp Access và lớp Core của mạng Campus. Ngoài ra nó có những chính sách về lưu lượng từ

Access Layer tới Distribution. Đây cũng là nơi quan trọng trong việc định tuyến điểm quan trọng tiếp theo là nó là nơi thực hiện các chính sách điều khiển, cách ly các khối Distribution với phần còn lại của mạng. Thiết bị lớp này được gọi là các switch phân phát và có đặc điểm sau:  Thông lượng lớp ba cao đỗi với việc xử lý gói.  Chức năng bảo mật và kết nối dựa trên chính sách thông qua đanh sách truy cập hoặc lọc gói.  Tính năng QoS  Tính co dãn và liên kết tốc độ cao đến lớp Core và lớp Access. 2.3.

Lớp nhân (Core Layer)

Lớp nhân của mạng Campus cung cấp các kết nối của tất cả các thiết bị, các lớp. Lớp nhân thường xuất hiện ở phần xương sống (backbone) của mạng, thông lượng qua đó rất lớn do đó phải có khả năng chuyển mạch nhanh chóng và hiệu quả. Do đó không nên để các chính sách (policy) phức tạp cũng như không có bất cứ người dùng hoặc máy chủ nào kết nối trực tiếp đến Core. Ở lớp này cần có các thiết bị dự phòng nhằm đảm bảo hệ thống hoạt động xuyên suốt và đạt hiệu năng cao nhất. Lớp Core cung cấp khả năng mở tộng và giảm thiểu rủi ro từ việc di chuyển, thêm và thay đổi hệ thống mạng. Các thiết bị lớp nhân thường được gọi là các back bone switch và có những thuộc tính sau:  Chi phí cao.  Có khả năng dự phòng và tính co dãn cao.  Chức năng QoS. 2.4.

Lợi ích của mô hình mạng phân cấp

 Hiệu suất cao: Ta có thể dễ dàng thiết kế một hệ thống mạng với tốc độ cao bởi mỗi layer sẽ chỉ thực hiện một số chức năng nhất định giảm thiểu tắc nghẽn vì phải xử lý qúa nhiều chức năng cùng lúc tại cùng vị trí.  Tăng khả năng quản lý và troubleshoot khi có sự cố xảy ra: Mô hình phân cấp cũng giup việc quản lý và xử lý lỗi trở nên dễ dàng.  Khả năng mở rộng cao: Việc phân nhỏ tạo ra các vùng tự trị khiến cho việc mở rộng trở nên dễ dàng khi có yêu cầu cao hơn.  Dự đoán hành vi: Khi quản trị hoặc lên kế hoạch xây dựng một mạng. Mô hình cho phép bạn biết điều gì xảy ra khi một tải trọng đặt lên nó.

 Dễ dàng trong việc quản lý các policy vì các policy chỉ đặt tại distribute layer. 3. Mô hình thiết kế trên lab

3.1.

Tổng quan về mô hình hệ thống

Giả lập xây dựng hệ thống cho doanh nghiệp. Hệ thống gồm 2 site: Hà Nội và Hồ Chí Minh. Các thiết bị để dựng mô hình lab: - Router Cisco 4321. - Firewall ASA 5506X - Switch Cisco Catalyst 3650 - Switch Cisco Catalyst 2960 - Server 3.2. Chi tiết các thiết bị phần cứng 3.2.1. Router Cisco 4321 3.2.1.1. Tổng quan về Cisco 4300 series

- Cisco 4300 Series là một series nhỏ của Router Cisco IRS 4000, cách mạng hóa truyền thông WAN trong chi nhánh doanh nghiệp. Với các cấp độ mới về khả năng và khả năng hội tụ của mạng thông minh tích hợp, nó đặc biệt giải quyết nhu cầu ngày càng tăng về mạng nhận biết ứng dụng trong các trang web doanh nghiệp phân tán. - Những vị trí này có xu hướng có tài nguyên CNTT. Nhưng họ cũng thường có nhu cầu liên lạc trực tiếp với cả trung tâm dữ liệu riêng tư và đám mây công cộng trên các liên kết đa dạng, bao gồm cả VPN Chuyển mạch nhãn đa kênh (MPLS) và Internet. - Các sản phẩm của Cisco 4300 series: Cisco 4321, Cisco 4331, Cisco 4321 3.2.1.2. Các tính năng và lợi ích của Cisco 4321 - Dịch vụ phần mềm đồng thời ở tốc độ lên tới 2 Gbps. Kiến trúc bảng nối đa năng hỗ trợ giao tiếp giữa các mô-đun băng thông cao với tốc độ lên tới 10 Gbps.. - Kiến trúc đa lõi phân tán với mặt phẳng dịch vụ nội bộ đầu tiên của ngành. - Giải pháp nhúng IWAN để tạo kết nối Internet cấp doanh nghiệp có chi phí thấp. - Dung lượng bộ định tuyến có thể tăng lên khi nâng cấp giấy phép theo yêu cầu từ xa (không nâng cấp phần cứng) để tiết kiệm đặc biệt. - Nền tảng nhánh hội tụ duy nhất tích hợp định tuyến, chuyển mạch, máy chủ ảo, lưu trữ, bảo mật, truyền thông hợp nhất, tối ưu hóa mạng WAN và các công cụ quản lý hiệu suất. - Giao diện mạng mô-đun với các tùy chọn kết nối đa dạng để cân bằng tải và khả năng phục hồi mạng. - Giao diện mô-đun với loại bỏ và chèn trực tuyến (OIR) để nâng cấp môđun mà không bị gián đoạn mạng. - Điện thoại trang web từ xa có thể tồn tại của Cisco Unified (SRST), phục vụ như một sự bổ sung khả năng phục hồi cho Giải pháp cộng tác được lưu trữ của Cisco (HCS), một dịch vụ UC dựa trên đám mây của Cisco.. - Hỗ trợ cho nhiều liên kết truy cập đa dạng: T1 / E1, T3 / E3, Nối tiếp, xDSL, Gigabit và Ten-Gigabit Ethernet. - Cổng tương tự / kỹ thuật số hiệu suất cao, cho phép VoIP qua các trung kế Giao thức khởi tạo phiên (SIP) ít tốn kém hơn. - Tổng đài IP tích hợp ( Cisco Unified Communications Express ) và Bộ điều khiển viền phiên ( Phần tử viền hợp nhất của Cisco hoặc CUBE ). - Hình ảnh phần mềm đơn, phổ quát cho tất cả các tính năng và tính linh hoạt cấp phép theo yêu cầu. - Không có dịch vụ bổ sung và hỗ trợ cần thiết cho việc tính toán và lưu trữ.

- Được hỗ trợ bởi Cisco và các công cụ quản lý của bên thứ ba, với khả năng lập trình và tự động hóa. 3.2.1.3. Đặc điểm nổi bật về kiến trúc Đặc điểm kiến trúc Bộ xử lý đa lõi

Lợi ích / Mô tả Bộ xử lý đa lõi hiệu năng cao hỗ trợ các kết nối WAN tốc độ cao. Mặt phẳng dữ liệu sử dụng Bộ xử lý lưu lượng mô phỏng (FP) mô phỏng mang lại hiệu năng giống như mạch tích hợp dành riêng cho ứng dụng (ASIC) không suy giảm khi các dịch vụ được thêm vào.

Tăng cường phần cứng Tăng khả năng mở rộng. Khi được kết hợp với giấy VPN bảo mật IP (IPsec) phép Cisco IOS XE Software Security tùy chọn, cho phép các dịch vụ VPN và bảo mật liên kết WAN Cổng Gigabit Ethernet Cung cấp tối đa bốn cổng Ethernet 10/100/1000 tích tích hợp hợp cho mạng LAN hoặc LAN. Dựa trên nền tảng, một số cổng Ethernet 10/100/1000 có thể hỗ trợ kết nối dựa trên yếu tố có thể cắm yếu tố nhỏ (SFP) bên cạnh các kết nối RJ-45, cho phép kết nối cáp quang hoặc đồng. Tùy chọn, tùy thuộc vào nền tảng, có thể bật tối đa 30W PoE + trên hai giao diện Gigabit Ethernet tích hợp phía trước để cung cấp năng lượng cho các thiết bị bên ngoài như bộ định tuyến LTE thế hệ thứ tư (4G). Truy cập bảng điều Cổng điều khiển USB loại B mini port1 hỗ trợ kết nối khiển dựa trên USB quản lý khi không có cổng nối tiếp truyền thống Cung cấp năng lượng Nâng cấp tùy chọn cho nguồn điện bên trong cung tích hợp tùy chọn để cấp nguồn điện nội tuyến (PoE tương thích với phân phối PoE 802.3af hoặc PoE + tuân thủ theo chuẩn 802.3at) cho các mô-đun chuyển đổi tích hợp tùy chọn. Các mô đun chuyển đổi PoE dự phòng cung cấp thêm một lớp dung sai lỗi. Cung cấp năng lượng Chế độ tăng cường PoE tùy chọn tăng tổng công suất dự phòng tích hợp tùy PoE lên tới 1000W. chọn (RPS)

Mô-đun dịch vụ nâng Mỗi khe cắm mô-đun dịch vụ cung cấp khả năng cao của Cisco (SM-X) truyền dữ liệu cao lên đến 10 Gbps đối với hệ thống và tối đa 1 Gbps đối với các khe cắm mô-đun khác. Hỗ trợ cho cả hai mô-đun dịch vụ đơn và đôi cung cấp sự linh hoạt trong các tùy chọn triển khai. Khe SM-X có thể được chuyển đổi thành khe Mô-đun giao diện mạng (NIM) bằng thẻ nhà cung cấp tùy chọn. Các mô-đun dịch vụ hỗ trợ chèn và xóa trực tuyến (OIR), tránh gián đoạn mạng khi cài đặt các mô-đun mới hoặc thay thế Khe cắm thẻ dịch vụ Thẻ dịch vụ tích hợp hỗ trợ nguyên bản Mô-đun bộ tích hợp (ISC) của xử lý tín hiệu số mật độ cao (PVDM4) của Cisco, Cisco trên bo mạch chủ cung cấp giọng nói đa phương tiện mật độ lớn hơn. Mỗi khe cắm Thẻ dịch vụ tích hợp kết nối với kiến trúc hệ thống thông qua liên kết lên tới 2 Gbps. Các mô-đun trong tương lai có thể được lưu trữ trên khe cắm Thẻ dịch vụ tích hợp, cải thiện các chức năng hệ thống. Hỗ trợ bộ nhớ flash

Một khe nhớ flash đơn có sẵn để hỗ trợ mật độ lưu trữ tốc độ cao, có thể nâng cấp lên tới 32 GB. Các tàu ISR 4221 có đèn flash 8 GB cố định. Hai cổng USB loại A 2.0 cung cấp khả năng lưu trữ thuận tiện.

DRAM

Bộ nhớ mặc định là 4 GB, có thể nâng cấp lên 16 GB (chỉ 8 GB cho 4321) để cung cấp thêm khả năng mở rộng.

3.2.1.4. So sánh các sản phẩm Cisco 4300 series Đặc điểm

Cisco 4351

Thông lượng tổng 200 Mbps to 400 hợp Mbps Tổng số cổng WAN hoặc LAN 10/100/1000 trên bo mạch

3

Cisco 4331

Cisco 4321

100 Mbps to 300 Mbps

50 Mbps to 100 Mbps

3

2

Cổng dựa trên RJ-45

3

2

2

Các cổng dựa trên SFP

3

2

2

Khe cắm mô-đun dịch vụ nâng cao

2

1

0

Khe cắm mô-đun dịch vụ trên toàn thế giới

1

0

0

Khe NIM

3

2

2

Bộ nhớ tối đa DDR3 ECC DRAM (Điều khiển kết hợp / dịch vụ / mặt phẳng dữ liệu)

16GB

16GB

8GB

Bộ nhớ flash tối đa

16GB

16GB

8GB

Khe cắm USB 2.0 bên ngoài (loại A)

2

1

1

Tùy chọn cung cấp điện

Internal: AC, DC (roadmap) and PoE

Internal: AC and PoE

External: AC and PoE

3.2.1.5. Các giao thức định tuyến trên router a. Static route (Định tuyến tĩnh)  Khái niệm Định tuyến tĩnh là quá trình router thực hiện chuyển gói dữ liệu tới địa chỉ mạng đích dựa vào địa chỉ IP đích của gói dữ liệu. Để chuyển được gói dữ liệu đến đúng đích thì router phải học thông tin về đường đi tới các mạng khác. Thông tin về đường đi tới các mạng khác sẽ được người quản trị cấu hình cho router. Khi cấu trúc mạng thay đổi, người quản trị mạng phải tự thay đổi bảng định tuyến của router.  Ưu điểm + Sử dụng ít bandwidth hơn định tuyến động. + Không tiêu tốn tài nguyên để tính toán và phân tích gói tin định tuyến.

 Nhược điểm + Không có khả năng tự động cập nhật đường đi. + Phải cấu hình thủ công khi mạng có sự thay đổi. + Phù hợp với mạng nhỏ, rất khó triển khai trên mạng lớn.  Lệnh cấu hình Router (config) # ip route destination_subnet subnetmask{IP_next_hop|output_interface} [AD]

Trong đó: Destination_subnet: mạng đích đến. subnetmask: subnet: mask của mạng đích. IP_next_hop: địa chỉ IP của trạm kế tiếp trên đường đi. output_interface: cổng ra trên router. AD: chỉ số AD của route khai báo, sử dụng trong trường hợp có cấu hình dự phòng. b. Dynamic Route  Khái niệm Định tuyến động là phương pháp định tuyến mà ở đó router sẽ tự động chia sẻ thông tin định tuyến (toàn bộ bảng định tuyến, hoặc một route trong bảng định tuyến) của mình cho các router hàng xóm (neighbor), qua đó router sẽ có thể tự động xác định đường đi tốt nhất tới một mạng đích.  Ưu điểm + Đơn giản trong việc cấu hình. + Tự động tìm ra những tuyến đường thay thế khi mạng thay đổi.  Nhược điểm + Yêu cầu xử lí của CPU của router cao hơn so với định tuyến tĩnh. + Tiêu tốn một phần băng thông trên mạng để xây dựng bảng định tuyến.  Các giao thức  EGP (exterior gatrway protocol): Sử dụng cho các ISP & Enterprise + BGP (Border Gateway Protocol): là loại giao thức dùng để chạy giữa những Router thuộc các AS khác nhau. AS- Autonomous System: tạm dịch là hệ thống tự trị tập hợp các router thuộc cùng sự quản lý về kỹ thuật, sỡ hữu của một doanh nghiệp, chịu chung một chính sách định tuyến. Thường thì các AS là ISP.

 IGP (interior gateway protocol) + Distance vector: mỗi router sẽ gửi cho láng giềng của nó toàn bộ bảng định tuyến theo định kỳ - RIP (hỗ trợ tối đa 15 router ngoài, học hết các bảng định tuyến) o Lệnh cấu hình: Router (config) # router rip Router (config-router) # version 2 Router (config-router) # network mang_can_quang_ba

o Các option:

 Auto-summary (gộp các subnet lại thành một network chung)  Default-information originate (quảng bá tuyến default route của nó cho các router cùng chạy RIP bên trong)  Redistribute static (quảng bá những static route của nó cho các router cùng chạy RIP bên trong)  Distance (set giá trị AD)  Passive-interface (không cho gửi thông tin RIP đến các cổng connected với host để giảm traffic vô ích)

- EIGRP (độc quyền của Cisco) o Lệnh cấu hình R(config)# router eigrp AS_Number R(config-router)# network IP Wildcard – mask

+ Link-state: mỗi router sẽ gửi bảng cơ sở dữ liệu trạng thái đường link (LSDB – Link State Database) cho mọi router cùng vùng (area). Việc tính toán định tuyến được thực hiện bằng giải thuật Dijkstra. - OSPF o Lệnh cấu hình Router (config) # router ospf process-id Router (config-router) # network dia_chi_IP wildcard_mask area area_id Trong đó: Process – id: số hiệu của tiến trình OSPF chạy trên router, chỉ có ý nghĩa local trên router.

3.2.1.6. Bảng đinh tuyến Router – Routing table - Khi khởi động Router thì bảng định tuyến vẫn chưa xuất hiện. - Bảng định tuyến chỉ xuất hiện khi ta đặt IP cho card mạng của Router - Từ version < 12.4 thì bảng định tuyến chỉ xuất hiện địa chỉ mạng. Kí hiệu : C (connected) - Từ version 15(hiện tại version 15 là mới nhất) xuất hiện thêm địa chỉ bản thân của Router. Kí hiệu : L (local) 3.2.1.7. Giao thức NAT (Network Address Translate) a. Khái niệm Là giao thức cho phép một hay nhiều địa chỉ IP nội miền được ánh xạ với một hay nhiều địa chỉ IP ngoại miền. b. Phân loại  Static NAT (NAT 1-1): Cứ một máy bên trong sẽ gán cứng cho một IP Public bên ngoài tương ứng. Thường áp dụng cho NAT Server  Lệnh cấu hình Router(config)# ip nat inside source static [inside_local_address] [inside_global_address]

Sau đó vào các cổng inside và outside để gán Router(config)# int port_inside Router(config)# ip nat inside Router(config)# int port_outside Router(config)# ip nat outside

 Dynamic NAT (NAT 1 dải ra 1 dải)  Lệnh cấu hình

Router(config) # ip nat pool [tên pool] [start_IP end_IP] netmask [subnet mask] Router(config) # ip nat inside source list [#ACL] pool [tên pool] Router(config) # access-list [#ACL] permit [IP] [wildcard mask] Sau đó vào các cổng insdie và outside để gán Router(config)# int port_inside Router(config)# ip nat inside Router(config)# int port_outside Router(config)# ip nat outside

 Overloading NAT (NAT có kèm theo Port nguồn)  Lệnh cấu hình + Cấu hình overload với 1 địa chỉ IP cụ thể

Router(config) # ip nat pool [tên_pool] [ip_global_inside] [subnet mask] Router(config) # ip nat inside source list [# ACL] pool [tên_pool] overload Router(config) # access-list [#ACL] permit [IP] [wildcard mask]

+ Cấu hình overload dùng địa chỉ cổng ra Router(config) # ip nat inside source list [#ACL] interface [cổng_ra] overload Router(config) # access-list [#ACL] permit [IP] [wildcard mask]

c. Các câu lệnh kiểm tra và debug các NAT Router # show ip nat translation Router # show ip nat statistics Router # debug ip nat

d. Các câu lệnh clear NAT  Lệnh xóa tất cả các dynamic nat trên toàn bộ interface Router # clear ip nat translation *

 Lệnh xóa các single nat trên từng interface Router # clear ip nat translation [inside/outside] [global ip - local ip]

 Lệnh xóa các extended nat trên từng interface Router # clear ip nat translation protocol [inside/outside] [global ip - global port – local ip – local port]

3.2.1.8. ACLs (Access Control Lists) a. Khái niệm ACL là một danh sách các câu lệnh được áp đặt vào các cổng (interface) của router. Danh sách này chỉ ra cho router biết loại packet nào được chấp nhận (allow) và loại packet nào bị hủy bỏ (deny). Sự chấp nhận và huỷ bỏ này có thể dựa vào địa chỉ nguồn, địa chỉ đích hoặc chỉ số port.

b. Cách hoạt động của ACLs – ACL sẽ được thực hiện theo trình tự của các câu lệnh trong danh sách cấu hình khi tạo access-list. Nếu có một điều kiện được so khớp (matched) trong danh sách thì nó sẽ thực hiện, và các câu lệnh còn lại sẽ không được kiểm tra nữa.Trường hợp tất cả các câu lệnh trong danh sách đều không khớp (unmatched) thì một câu lệnh mặc định “deny any” được thực hiện. Cuối access-list mặc định sẽ là lệnh loại bỏ tất cả (deny all). Vì vậy, trong access-list cần phải có ít nhất một câu lệnh permit. - Khi packet đi vào một interface, router sẽ kiểm tra xem có một ACL trong inbound interface hay không, nếu có packet sẽ được kiểm tra đối chiếu với những điều kiện trong danh sách. - Nếu packet đó được cho phép (allow) nó sẽ tiếp tục được kiểm tra trong bảng routing để quyết định chọn interface để đi đến đích. - Tiếp đó, router sẽ kiểm tra xem outbound interface có ACL hay không. Nếu không thì packet có thể sẽ được gửi tới mạng đích. Nếu có ACL ở outbound interface, nó sẽ kiểm tra đối chiếu với những điều kiện trong danh sách ACL đó. c. Phân loại  Standard (ACLs): Lọc (Filter) địa chỉ ip nguồn (Source) vào trong mạng – đặt gần đích (Destination).  Lệnh cấu hình Định nghĩa danh sách ACL để đặt vào interface router(config)#access-list [#] [permit deny] [host any] Sau đó đặt danh sách(ACLs) vào interface trên router mà ta muốn chặn gói tin ngay tại đó. router(config)#interface [interface-number] router(config-if)#ip access-group [#] [in out] – interface access control

 Extended (ACLs): Lọc địa chỉ ip nguồn và đích của 1 gói tin (packet), giao thức tầng “Network layer header” như TCP, UDP, ICMP…, và port numbers trong tầng “Transport layer header”. Nên đặt gần nguồn (source).  Lệnh cấu hình Định nghĩa danh sách ACL để đặt vào interface router(config)#access-list [#] [permit deny] [protocol] [host] [host] [destination address][ lt, gt, neq, eq, range] [port number] Sau đó áp access-lít vào cổng router(config)#interface [interface-number] router(config-if)#ip access-group [#] [in out] – interface access control

d. Quản lý các Access-List  Hiển thị tất cả các ACLs đang sử dụng Router(config)#show running-config

 Xem ACLs hoạt dộng trên interface nào đó Router(config)#show interface [ # ]

 Xem việc đặt và hướng đi của ip ACLs:

Router(config)#show ip interfaces [ # ]

 Xem những câu lệnh ACLs

Router(config)#show access-list [ # ]

 Hiển thị tất cả ip ACLs:

Router#show ip access-list

 Hiển thị ip ACL 100

Router#show ip access-list 100

 Xóa bộ đếm (to clear the counters use) router(config)#show access-list [ # ] router(config)#clear access-list counter [ # ]

 Xóa Access list

router(config)#no ip access-list [standard-extended][#] router(config)#interface [interface-number] router(config-if)#no access-list [#] [permit deny] [wildcard mask] 3.2.2. Firewall ASA 3.2.3. Switch Catalyts Cisco 3650 3.2.3.1. Tổng quan về Cisco 3650 Series -

Dòng sản phẩm Cisco Catalyst 3650 là thế hệ tiếp theo của các thiết bị chuyển mạch lớp truy cập độc lập và xếp lớp doanh nghiệp, cung cấp nền tảng cho sự hội tụ đầy đủ giữa dây và không dây trên một nền tảng duy nhất. Series 3650 được xây dựng trên Cisco StackWise-160 nâng cao và tận dụng lợi thế của mạch tích hợp ứng dụng đặc biệt mới của Cisco Unified Access Data Plane (UADP) mới (ASIC). Công tắc này có thể cho phép thực thi chính sách không dây có dây đồng bộ, khả năng hiển thị ứng dụng, tính linh hoạt, tối ưu hóa ứng dụng và khả năng phục hồi cao.

-

Thiết bị chuyển mạch Cisco 3650 Series hỗ trợ đầy đủ chuẩn IEEE 802.3at qua Ethernet Plus (PoE +), Cisco Universal Power over Ethernet (Cisco UPOE®) trên các thiết bị chuyển mạch đa năng Cisco Catalyst 3650 Series, và cung cấp các nguồn quạt và nguồn dự phòng có thể thay thế và mô-đun.

-

Các sản phẩm của Cisco 3650 series: WS-C3650-24PS-L, WS-C3650-24TSL, WS-C3650-24TS-S…

3.2.3.2. -

Các tính năng chính của Cisco 3650 Series

Khả năng điều khiển không dây tích hợp với: Tối đa 40G công suất không dây trên mỗi switch (48-port models) và Hỗ trợ tối đa 25 điểm truy cập và 1000 khách hàng không dây trên mỗi thực thể chuyển đổi (switch hoặc stack)

-

Cisco WS-C3650-24TS-S được tích hợp với 24 cổng Ethernet và 4 x 1G cổng Uplink SFP trong bộ tính năng IP Base.Thiết bị chuyển mạch Switch Cisco WS-C3650-24TS-S có dải băng thông lên đến 160Gpbs, tốc độ chuyển tiếp băng thông 41,66Mpbs, Công suất chuyển mạch 88 Gbps.

-

Công nghệ Cisco StackWise-160 tùy chọn cung cấp khả năng mở rộng và khả năng phục hồi với 160 Gbps dung lượng xếp chồng có nguồn cung cấp mô đun kép và 3 quạt mô đun cung cấp dự phòng. Đầy đủ IEEE 802.3at (PoE +) với công suất 30 W trên tất cả các cổng trong 1RU Rack

-

Hỗ trợ phần mềm cho định tuyến IPv4 và IPv6, định tuyến multicast, chất lượng dịch vụ modul (QoS), linh hoạt NetFlow (FNF) Phiên bản 9 và các tính năng bảo mật nâng cao

-

Truy cập vào doanh nghiệp các tính năng chuyển mạch lớp 2 Bộ tính năng cơ sở mạng LAN Base cung cấp các dịch vụ thông minh được nâng cao bao gồm các tính năng lớp 2 toàn diện, với tối đa 255 VLAN.

-

Truy cập doanh nghiệp cơ bản các tính năng chuyển mạch lớp 3 Bộ tính năng IP Base cung cấp các dịch vụ doanh nghiệp cấp thấp hơn tất cả các tính năng của mạng LAN Base, với 1K VLAN.

Bảng thông tin về Interface và POE 3650 Series

-

Các phiên bản Licence Cisco 3650 Series: + Lan Base: cung cấp khả năng quản lý ở full mức Layer 2, và 1 ít ở layer 3, cho khả năng static route, 802.1x , Radius + IP Base: cung cấp tất cả tính năng của Lan Base và kèm theo các giao thức dynamyc routing + IP Service: cung cấp tất cả tính năng của IP base và kèm theo các giao thức cao cấp, quan trọng là hỗ trợ IPV6

3.2.3.3. Triển khai cấu hình thiết bị Đặt địa chỉ IP cho các cổng ( Interface ): + Đặt IP cho cổng nối tới Switch layer 2: SwitchLayer3(Config)#int GigabitEthernet0/23 SwitchLayer3(Config-if)#ip add 192.168.15.1 255.255.255.0 +

Đặt IP cho cổng nối tới Firewall: SwitchLayer3(Config)#int GigabitEthernet0/21 SwitchLayer3(Config-if)#ip add 192.168.17.2 255.255.255.0

+

Đặt IP cho cổng nối tới Server: SwitchLayer3(Config)#int GigabitEthernet0/24 SwitchLayer3(Config-if)#ip add 192.168.16.1 255.255.255.0

-

Cấu hình hỏi DHCP: SwitchLayer3(Config)#int GigabitEthernet0/23 SwitchLayer3(Config-if)#ip helper-address 192.168.16.2

-

Default Route các dải bên trong ra ngoài: SwitchLayer3(Config)#Ip route 0.0.0.0 0.0.0.0 192.168.17.1

-

Hoặc Dynamic Route: Router (config) # router rip Router (config-router) # version 2 Router (config-router) # network 192.168.15.0 Router (config-router) # network 192.168.16.0

-

Cấu hình telnet bằng cổng mạng: R1(config)#line vty 0 4 R1(config-line)#password cisco R1(config-line)#login

-

Hiển thị cấu hình đang chạy: RouterHN(config)#show running-config

Chương 3. Giá thành chi phí triển khai 1. Bảng chi tiết thiết bị phần cứng STT

Tên thiết bị

1

Cisco WSC2960X-24TS-L Switch Core WS-C365024TS-S

2

3 4 5

Hãng sản xuất Cisco

Thông số kỹ thuật

Số lượng

Đơn giá