Giải pháp triển khai thực tế "Xây dựng hệ thống mạng doanh nghiệp"

03.05.19 12:19 AM Bình luận Đăng bởi PQ

Bạn muốn trở thành một người "Quản trị mạng" hay "Quản trị mạng doanh nghiệp" thì việc đầu tiên bạn cần hiểu cơ bản về một hệ thống mạng. Thông qua bài này sẽ có thêm góc nhìn cho những bạn mới tiếp cận ngành này. Đây là giải pháp triển khai thực tế hạ tầng hệ thống mạng cho một doanh nghiệp trên địa bàn Hà Nội. "Chú ý: Tài liệu chỉ mang tính tham khảo".
A. Xác nhận yêu cầu từ doanh nghiệp
  • Đảm bảo hệ thống truy cập được ra Internet.
  • Xây dựng hệ thống Firewall mới nhất để bảo vệ hệ thống.
  • Chặn người dùng truy cập một số trang Web như: Facebook, Web Game, Web đen.
  • Tập trung dữ liệu của các phòng ban trên Server.
  • Có khả năng mở rộng các phòng ban.
  • Hệ thống phần mềm tính tiền nước của khách hàng đặt tại trung tâm, trước mắt chỉ tập trung nhập dữ liệu vào hệ thống và in hóa đơn từ 3 cơ sở về. Tương lai sẽ Public thông tin của người dùng ra ngoài để các hộ gia đình có thể tự kiểm tra được.

B. Triển khai

1. Khảo sát hệ thống mạng doanh nghiệp

  • Số lượng phòng ban sử dụng máy tính: 18
  • Tổng số máy tính: 100
  • Khoảng cách đặt từ máy chủ tới phòng xa nhất 100m
  • Số lượng máy chủ: 2c
  • IBM X3400: Chip intel xeon E5320 1.86 Ghz, ram 8G, win server 2008, raid
  • IBM X3650: Chip intel xeon E5 2620 2.00 Ghz, ram 2G, win server 2008 R2 standard 64-bit, raid.
  • Số lượng Router đang dùng: 5c
  • Dự kiến số lượng khách hàng tăng hàng năm: 10.000
  • Số lượng chi nhánh: 3 huyện, số lượng khách hàng 5000-8000.

2. Đánh giá và đưa ra giải pháp cho hệ thống mạng doanh nghiệp

  • Hạ tầng mạng hiện tại chỉ phục vụ được công việc truy cập Internet của các phòng ban. Khi doanh nghiệp sử dụng hệ thống phần mềm với số lượng truy xuất thông tin rất lớn thì toàn bộ thiết bị của doanh nghiệp hiện tại sẽ không đáp ứng được yêu cầu.
  • Để xây dựng hệ thống tường lửa để bảo vệ hệ thống thì có 2 loại: dùng Firewall cứng và Firewall mềm.
    • Đối với Firewall mềm ta dùng Pfsense cài đặt trên một máy chủ HP ML10v2 có RAM 16 GB hoặc 32GB nhưng chỉ ổn định với số lượng khách hàng khoảng 5000 tới 7000 và 200 máy từ trong doanh nghiệp truy cập vào ra internet trên cùng một thời điểm. Còn số lượng lớn hơn thì dẫn tới treo hệ thống hoặc chậm. Ưu điểm của phần mềm này là nguồn mở nên không mất phí, chỉ tính phí đầu tư Server vào khoảng 23 triệu. Phần mềm này chặn các dịch vụ hoặc điều khiển tín hiệu vào ra rất tốt. Có thể xây dựng được cả Proxy.
    • Đối với dòng Firewall cứng như Fortinet 90D hoặc 140D thì khả năng ổn định cao khi có số lượng khách hàng truy cập lớn. Tốc độ truy xuất vào ra cao hơn hẳn dòng Firewall mềm. Dòng Fortinet 90D thì duy trì phiên truy cập lên tới 2 triệu phiên (2 triệu khách hàng) và đồng thời xử lý được 4000 phiên mới trên cùng một thời điểm. Dòng 140D thì hỗ trợ tới 3 triệu phiên làm việc và 22000 phiên mới cùng lúc mà không bị treo hoặc ảnh hưởng, để lựa chọn nên chọn dòng 140D. Nhưng chi phí của dòng cứng lại rất đắt, dòng Fortinet 90D lên tới 32 triệu và license chỉ được 1 năm. Khi mua License lên tới 45% theo giá trị phần cứng (License dùng vào việc lọc Web đen, web game, diệt virus rất tốt. Nếu không dùng License thì nó có tính năng cao cập hơn Router và vẫn sử dụng để bảo vệ doanh nghiệp rất tốt chỉ không diệt được virus). Fortinet 140D có phí phần cứng không license là 55 triệu còn có licent là 85 triệu.
  • Sử dụng Switch layer 3 CISCO WS-C3750G-24T-S 24. Switch Cisco 3750 dùng để tách VLAN và định tuyến cho các VLAN trao đổi dữ liệu giữa nội bộ với nhau mà không cần phải đi qua Firewall, những dữ liệu cần thiết đi ra ngoài Internet mới đi qua Firewall. Switch Cisco 3750 có 24 Ethernet 10/100/1000 ports và 4 cổng quang (SFP-based Gigabit Ethernet ports). Hiện tại hệ thống trung tâm lên tới 18 phòng ban, các phòng ban đều độc lập, nếu không tách VLAN khi có một phòng nào bị virus làm treo đường truyền sẽ ảnh hưởng tới toàn bộ phòng ban khác. Nhưng khi có VLAN sẽ làm giảm tải được vấn đề này. Nhưng đặc thù của Switch này là dành cho doanh nghiệp lớn từ 10 phòng ban trở lên, có số máy trên 100 và cần truy xuất dữ liệu nhiều, nên chi phí cũng khá đắt. Giá của dòng Switch 3750 này lên tới 98 triệu (vẫn có loại thấp hơn nhưng thiếu nhiều module mở rộng, sau này thay thế rất khó).
  • Hệ thống giám sát và cảnh báo sớm bằng phần mềm Zabbix. Thông qua phần mềm Zabbix ta có thể biết được tín hiệu ra vào các cổng, biết được khu vực nào bị hỏng thiết bị, có thể đo được nhiệt độ của CPU, phần trăm sử dụng RAM, CPU… Phần mềm này phải chạy trên một máy chủ có hệ điều hành là nguồn mở (CentOS). Trên máy chủ cài Zabbix này ta có thể kết hợp cài dịch vụ FTP Server để chia sẽ tài nguyên trong mạng LAN của công ty. Vì là hệ điều hành nguồn mở nó sẽ tránh bị lây nhiễm một số Virus từ máy Windows sang.
  • Máy chủ cài đặt hệ thống phần mềm tính tiền nước của công ty cùng hệ thống File Server sẽ được đặt trong khu vực DMZ riêng, được bảo vệ bở Firewall Fortinet. Đối với hệ thống phần mềm tính tiền nước này sẽ chạy HA là load balancer hoặc failover
  • Đường truyền hiện tại là đáp ứng được nhu cầu của công ty, khi số lượng khách hàng tăng lên ta có thể nâng băng thông của đường truyền về. Để các chi nhánh nhập dữ liệu ổn định ta có thể dùng các đường WAN kết nối về. Khi xẩy ra sự cố tấn công cũng không ảnh hưởng tới dữ liệu truy cập và nhập về hệ thống.

3. Mô hình mạng Logic của hệ thống mạng doanh nghiệp

4. Tham khảo một số thiết bị và công cụ phục vụ cho triển khai hệ thống mạng doanh nghiệp

STT

DANH MỤC THIẾT BỊ

TÍNH NĂNG KỸ THUẬT

Bảo Hành

1

 SERVER HP ML10v2

CPU:  E3-1225v5 3.3Ghz 1P 4C 
RAM: 16GB (8GBx2), 4LFF, DDR4
HDD: 2*1TB, 
DVDRW, Intel RST SATA RAID, SATA, 
300W

12 tháng
Chính Hãng

2

CISCO WS-C3750G-24T-S 24

24 Ethernet 10/100/1000 ports and 4 SFP-based Gigabit Ethernet ports. Swtich layer 3

12 tháng
Chính Hãng

3

FortiGate-90D FG-90D-BDL

Hardware plus 1 Year 8x5 FortiCare and FortiGuard UTM Bundle
FortiGate FG-90D bundle Security Appliance
16 x GE RJ45 ports (2x WAN ports, 14x Switch 
ports), 32GB onboard storage. Max managed 
FortiAPs (Total / Tunnel) 32 / 16
-  Gateway-to-Gateway IPSec VPN Tunnels 200
Client-to-Gateway IPSec VPN Tunnels 1,000, 
SSL-VPN Users 200
- Firewall Throughput : 3,5 Gbps
- Concurrent Sessions : 2 Million
- New Sessions/Second : 4,000
- IPS Throughput : 275  Mbps
- IPSec VPN Throughput : 35 Mbps
- Antivirus Throughput :  65 Mbps

12 tháng
Chính Hãng
License 1 năm

4

Cáp mạng Cat6 AMP chính hãng
cuộn(305m)

Hỗ trợ chuẩn Gigabit Ethernet.
Thỏa tất cả các yêu cầu của Gigabit Ethernet(IEEE 802.3ab).
Băng thông hỗ trợ tới 600 MHz
Hiệu suất 3dB NEXT trên chuẩn Cat 6.
Độ dày lõi 23 AWG, 4-cặp UTP.

 

5

Hạt Mạng

Hạt Mạng cat5 AMP chính hãng

 

6

Gen Sino 39x18

Gen Sino 39x18

 

7

Tủ Rack 6U

Tủ Rack 6U đựng thiết bị

12 tháng
Chính Hãng

8

Vật tư phụ

Vật tư phụ (vít, lở, băng dính, đanh dấu đầu dây...)

 

9

Nhân công

Nhân công thi công, lắp đặt cấu hình hoàn thiện  hệ thống /node mạng

 

 

-----&-----&-----

Video tham khảo

Chia sẻ -