- Hoàn thiện ảo hóa các thiết bị fortigate, Cisco IOL, Window server-pc trên EVE-NG 6 05/04 – 11/04 - Thiết kế mô hình mạng doanh nghiệp - Quy hoạch IP và định tuyến mạng nội bộ của doan
Trang 1
SVTH:
GVHD: TS HUỲNH NGUYÊN CHÍNH
VÕ THÀNH ĐẠT ĐOÀN NHẬT HÀO
Trang 2
GIÁO VIÊN HƯỚNG DẪN
ỨNG DỤNG CÔNG NGHỆ SD-WAN TRONG MÔ HÌNH MẠNG DOANH NGHIỆP
Trang 3ỨNG DỤNG CÔNG NGHỆ SD-WAN TRONG MÔ HÌNH MẠNG DOANH NGHIỆP
Trang 4PHIẾU NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
Họ và tên Sinh viên 1: Võ Thành Đạt MSSV 1: 17110280
Họ và tên Sinh viên 2: Đoàn Nhật Hào MSSV 2: 17110289
2 Ưu điểm:
3 Khuyết điểm
4 Đề nghị cho bảo vệ hay không?
5 Đánh giá loại:
6 Điểm: Tp Hồ Chí Minh, ngày tháng năm 2022
Giáo viên hướng dẫn
(Ký & ghi rõ họ tên)
Tp Hồ Chí Minh, ngày tháng năm 2020
Giáo viên hướng dẫn
(Ký & ghi rõ họ tên)
Trang 5PHIẾU NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN
Họ và tên Sinh viên 1: Võ Thành Đạt MSSV 1: 17110280
Họ và tên Sinh viên 2: Đoàn Nhật Hào MSSV 2: 17110289
2 Ưu điểm:
3 Khuyết điểm
4 Đề nghị cho bảo vệ hay không?
5 Đánh giá loại:
6 Điểm:
Tp Hồ Chí Minh, ngày tháng năm 2022
Giáo viên phản biện
(Ký & ghi rõ họ tên)
Tp Hồ Chí Minh, ngày tháng năm 2020
Giáo viên hướng dẫn
(Ký & ghi rõ họ tên)
Trang 6Đầu tiên, nhóm chúng em xin phép gửi lời cảm ơn đến Khoa Công Nghệ Thông Tin – Trường Đại Học Sư Phạm Kỹ Thuật Thành Phố Hồ Chí Minh đã tạo điều kiện cho nhóm chúng em được học tập, tìm hiểu và phát triển nền tảng kiến thức để thực hiện đề tài này Ngoài ra chúng em xin được gửi lời cảm ơn chân thành đến thầy Huỳnh Nguyên Chính Xuyên suốt quá trình học tập và thực hiện đề tài vừa qua Thầy đã tận tình giảng dạy cũng như hướng dẫn để nhóm có thể hoàn thành đề tài
Những kiến thức chuyên ngành cùng với những kinh nghiệm và yêu cầu thực tế ngoài
xã hội mà thầy đã truyền đạt cho chúng em chính là những kinh nghiệm quý giá, và những kinh nghiệm ấy sẽ trở thành hành trang của chúng em trong tương lai
Tuy nhiên, kiến thức là một điều gì đó quá to lớn mà không ai có thể đong đếm được cùng với thời gian hữu hạn chỉ trong hơn ba tháng nghiên cứu và thực hiện đề tài Mặc dù chúng em đã cố gắng để hoàn thành một cách trọn vẹn nhất, nhưng việc xảy ra những sai sót là điều khó thể tránh khỏi Chúng em hy vọng nhận được những đánh giá góp ý từ quý thầy cô để nhóm chúng em có thể rút ra những bài học kinh nghiệm và dựa trên những đóng góp đó phát triển đề tài của mình hoàn thiện hơn trong tương lai
Chúng em chân thành cảm ơn thầy Huỳnh Nguyên Chính và tập thể quý thầy (cô) Khoa Công Nghệ Thông Tin – Trường Đại Học Sư Phạm Kỹ Thuật Thành Phố Hồ Chí Minh đã giành thời gian để giúp chúng em hoàn thành đề tài này
Nhóm thực hiện
Võ Thành Đạt – 17110280 Đoàn Nhật Hào – 17110289
Trang 7ĐỀ CƯƠNG KHÓA LUẬN TỐT NGHIỆP
Họ và tên sinh viên 2: Đoàn Nhật Hào MSSV: 17110289
Thời gian làm luận văn: từ ngày 14/03/2022 đến ngày 15/08/2022
Chuyên ngành: Mạng và An Ninh Mạng
Tên luận văn: ỨNG DỤNG CÔNG NGHỆ SD-WAN TRONG MÔ HÌNH MẠNG
DOANH NGHIỆP Giáo viên hướng dẫn: Ts Huỳnh Nguyên Chính
Nhiệm vụ của luận văn
Lý thuyết:
- Mô hình mạng doanh nghiệp
- Tổng quan về SD-WAN
Thực hành:
- Xây dựng mô hình mạng doanh nghiệp trên EVE-NG
- Ứng dụng công nghệ SD-WAN vào mô hình mạng doanh nghiệp
Đề cương viết luận văn:
MỤC LỤC PHẦN MỞ ĐẦU
1 TÍNH CẤP THIẾT CỦA ĐỀ TÀI
2 MỤC TIÊU ĐỀ TÀI
3 ĐỐI TƯỢNG VÀ PHẠM VI NGHIÊN CỨU
4 KẾT QUẢ DỰ KIẾN ĐẠT ĐƯỢC
Trang 81.2 MÔ HÌNH MẠNG BẢO MẬT VÀ PHÂN LỚP
CHƯƠNG 2: SOFTWARE-DEFINED NETWORKING
2.1 TỔNG QUAN
2.2 KIẾN TRÚC CỦA SDN
2.3 CÁCH HOẠT ĐỘNG CỦA SDN
2.4 ƯU ĐIỂM CỦA SDN
2.5 NHƯỢC ĐIỂM CỦA SDN
CHƯƠNG 3: SD-WAN VÀ GIẢI PHÁP SECURE SD-WAN CỦA FORTINET
3.1 KHÁI NIỆM
3.2 TỔNG QUAN
3.3 GIẢI PHÁP SECURE SD-WAN CỦA FORTINET
CHƯƠNG 4: ỨNG DỤNG SD-WAN TRONG MÔ HÌNH MẠNG DOANH NGHIỆP
4.1 PHÂN TÍCH VÀ THIẾT KẾ HỆ THỐNG MẠNG DOANH NGHIỆP 4.2 TRIỂN KHAI TÍNH NĂNG
Trang 9– 14/03 - Tìm hiểu về mô hình mạng doanh nghiệp
Cách tổ chức, yêu cầu và quy mô của mạng doanh nghiệp
- Tìm hiểu về Software-Defined Network
hiện
- Hiểu về hệ thống mạng doanh nghiệp
- Kiến thức cơ bản về Software-Defined Network
3 – 4
-5
15/03 –
04/04
- Tìm hiểu về môi trường EVE-NG
- Cài đặt, cấu hình máy ảo EVE-NG
- Import Fortigate, Cisco IOL, WindowPC, Window server vào môi trường EVE
- Môi trường EVE-NG hoàn thiện
- Hoàn thiện ảo hóa các thiết
bị fortigate, Cisco IOL, Window server-pc trên EVE-NG
11/04
- Thiết kế mô hình mạng doanh nghiệp
- Quy hoạch IP và định tuyến mạng nội bộ của doanh nghiệp đã thiết kế
- Bản thiết kế của mạng doanh nghiệp
- Tìm hiểu về Firewall Fortigate
- Tìm hiểu tổng quan về SD-WAN
- Tìm hiểu, thực hành kiểm thử FireWall fortigate trên môi trường EVE
- Cấu hình cơ bản cho Firewall Fortigate
- Cài đặt, kiểm tra, thử nghiệm các chức năng của Firewall fortigate
Trang 10- Sử dụng SD-WAN để cân bằng tải dữ liệu truy cập internet cho mạng doanh nghiệp
- Thực hiện điều hướng gói tin khi người dùng của mạng nội bộ truy cập vào các tài nguyên trên internet với SD-WAN rules
- Thực hiện kiểm soát băng thông (QoS) khi người dùng của mạng nội bộ truy cập vào các tài nguyên trên Internet
của người dùng trong mạng nội bộ của doanh nghiệp
- Demo kiểm soát băng thông của người dùng trong mạng nội bộ của doanh nghiệp
- Kiểm soát được traffic trong
hệ thống VPN
15 02/06 –
09/07
toàn bộ quá trình thực hiện
- Chương trình hoàn thiện
Tp Hồ Chí Minh, ngày tháng năm 2022
Ý kiến của giảng viên hướng dẫn Người viết đề cương
(Ký ghi rõ họ tên) Võ Thành Đạt
Đoàn Nhật Hào
Trang 111 TÍNH CẤP THIẾT CỦA ĐỀ TÀI 1
2 MỤC TIÊU ĐỀ TÀI 3
3 ĐỐI TƯỢNG VÀ PHẠM VI NGHIÊN CỨU: 3
3.1 Đối tượng 3
3.2 Phạm vi nghiên cứu 3
4 KẾT QUẢ DỰ KIẾN ĐẠT ĐƯỢC 3
PHẦN NỘI DUNG 5
CHƯƠNG 1 MÔ HÌNH MẠNG DOANH NGHIỆP 5
1.1 GIỚI THIỆU 5
1.2 MÔ HÌNH MẠNG BẢO MẬT VÀ PHÂN LỚP 6
CHƯƠNG 2 SOFTWARE-DEFINED NETWORKING (SDN) 10
2.1 TỔNG QUAN 10
2.2 KIẾN TRÚC CỦA SDN 11
2.3 CÁCH HOẠT ĐỘNG CỦA SDN 12
2.4 ƯU ĐIỂM CỦA SDN 13
2.5 NHƯỢC ĐIỂM CỦA SDN 14
CHƯƠNG 3 SD-WAN VÀ GIẢI PHÁP SECURE SD-WAN CỦA FORTINET 16
3.1 KHÁI NIỆM 16
3.2 TỔNG QUAN 17
3.3 GIẢI PHÁP SECURE SD-WAN CỦA FORTINET 18
CHƯƠNG 4 ỨNG DỤNG SD-WAN trong mô hình mạng doanh nghiệp 36
4.1 PHÂN TÍCH VÀ THIẾT KẾ HỆ THỐNG MẠNG DOANH NGHIỆP 36
4.2 TRIỂN KHAI TÍNH NĂNG 39
PHẦN KẾT LUẬN 75
1 KẾT QUẢ ĐẠT ĐƯỢC 75
1.1 Kiến thức đã tìm hiểu được 75
1.2 Về hệ thống đã xây dựng 75
2 ƯU ĐIỂM: 76
Trang 12TÀI LIỆU THAM KHẢO 77
Trang 13Bảng 1: Các thành phần của SD-WAN 18
Bảng 2: Các lớp mạng ở trụ sở chính 37
Bảng 3: Các lớp mạng ở chi nhánh 1 38
Bảng 4: Các lớp mạng ở chi nhánh 2 38
Bảng 5: Các lớp mạng Internet 39
Trang 14Hình 0.1: SD-WAN Architecture 1
Hình 0.2: SD-WAN Self-Service Portal 2
Hình 1.1: Mô hình mạng doanh nghiệp bảo mật 6
Hình 1.2: Mô hình mạng phân lớp 8
Hình 2.1: Software-Define Networking 10
Hình 2.2: Ưu điểm của SDN 13
Hình 2.3: Nhược điểm của SDN 14
Hình 3.1: Triển khai SD-WAN ở mức độ cơ bản 20
Hình 3.2: Triển khai SD-WAN ở mức độ cao hơn 20
Hình 3.3: SD-WAN ở cấp độ doanh nghiệp 21
Hình 3.4: DIY và SaaS 34
Hình 4.1 Hệ thống mạng doanh nghiệp theo mô hình 3 lớp bảo mật 36
Hình 4.2: Gateway của mạng nội bộ trong trụ sở chính (HQ) 39
Hình 4.3: Kiểm tra đường đi của traffic ra internet 40
Hình 4.4: Gateway của mạng nội bộ chi nhánh 1 (Branch1) 41
Hình 4.5: Kiểm tra đường đi của traffic từ mạng nội bộ (Branch1) ra Internet 41
Hình 4.6: Gateway của mạng nội bộ chi nhánh 2 (Branch2) 42
Hình 4.7: Kiểm tra đường đi của traffic từ mạng nội bộ(Branch2) ra Internet 42
Hình 4.8: Cấu hình cân bằng tải ở trụ sở chính với thuật toán chia Volume 43
Hình 4.9: Cấu hình cân bằng tải ở trụ chi nhánh 1 với thuật toán chia Volume 44
Hình 4.10 Cấu hình cân bằng tải ở trụ chi nhánh 2 với thuật toán chia Volume 45
Hình 4.11: Lưu lượng traffic sau khi thực hiện cấu hình cân bằng tải ở trụ sở chính 46
Hình 4.12: Lưu lượng traffic sau khi thực hiện cấu hình cân bằng tải ở chi nhánh 1 47
Hình 4.13: Lưu lượng traffic sau khi thực hiện cấu hình cân bằng tải ở chi nhánh 2 48
Hình 4.14: Cấu hình SD-WAN rules định hướng traffic đi qua ISP1 ở chi nhánh 1 49
Hình 4.15: Cấu hình SD-WAN rules định hướng traffic đi qua ISP1 ở chi nhánh 2 50
Hình 4.16: Đường đi của traffic sau khi cấu hình 51
Hình 4.17: Disable ISP1 52
Hình 4.18: Đường đi của traffic sau khi ngắt ISP1 53
Hình 4.19: Cấu hình giới hạn băng thông 54
Hình 4.20: Cấu hình traffic shaping policy 55
Hình 4.21: Tracert từ Branch1 tới Youtube sau khi đã kiểm soát băng thông 56
Hình 4.22 Tracert từ Branch2 tới Youtube 56
Hình 4.23: Kiểm tra lưu lượng truy cập vào youtube 57
Hình 4.24: Cấu hình VPN-Hub1 58
Hình 4.25: Cấu hình VPN-Hub2 59
Hình 4.26: Cấu hình policy trên hub 60
Trang 15Hình 4.29: Cấu hình policy trên branch1 63
Hình 4.30: Cấu hình spoke1 trên branch2 64
Hình 4.31: Cấu hình spoke2 trên branch2 65
Hình 4.32: Cấu hình policy trên branch2 66
Hình 4.33: VPN Tunnels ở HQ 66
Hình 4.34: VPN tunnels ở Branch1 67
Hình 4.35: VPN tunnels ở Branch2 67
Hình 4.36: Kiểm tra đường đi của traffic từ spoke (branch1) tới hub 67
Hình 4.37: Kiểm tra đường đi của traffic từ spoke (branch2) tới hub 68
Hình 4.38: SD-WAN zones với VPN 69
Hình 4.39: Cấu hình SD-WAN rules điều hướng traffic 69
Hình 4.40: Kiểm tra đường đi của traffic sau khi cấu hình 70
Hình 4.41: Disable ISP1 71
Hình 4.42: Tracert tới LAN HQ 72
Hình 4.43: Shortcut paths được tạo tự động từ ISP1 73
Hình 4.44: Traffic đi từ Branch1 đến Branch2 74
Trang 161
PHẦN MỞ ĐẦU
1 TÍNH CẤP THIẾT CỦA ĐỀ TÀI
Ngày nay với sự phát triển không ngừng của công nghệ, thông tin dần đã trở thành một tài nguyên, một tài sản quan trọng của các doanh nghiệp Hệ thống mạng trở thành mạch máu không thể thiếu của mỗi doanh nghiệp Tuy nhiên, một thách thức không nhỏ về tối ưu hóa hiệu suất của mạng WAN khi các ứng dụng đang hoạt động, không còn được thiết lập chỉ tại một địa điểm cố định như trung tâm dữ liệu hay trụ sở chính của công ty,
mà được thiết kế dạng “hub-and-spoke” hay mô hình dạng sao (Star Topology) Do vậy, các ứng dụng đang có xu hướng dựa trên công nghệ điện toán đám mây, chuyển sang cung cấp dịch vụ trên nền web Việc này dẫn đến sự xung đột với nguyên tắc bảo mật truyền thống, khi mà mọi kết nối của người dùng đều được giám sát qua cổng bảo mật trung tâm trước khi kết nối đến ứng dụng trên web
Hình 0.1: SD-WAN Architecture
Trang 172
Rõ ràng đây không phải là cách sử dụng băng thông tối ưu Các công ty phải trả một khoản phí hàng tháng khá lớn cho đường truyền kết nối MPLS dành riêng cho công ty với yêu cầu cao về tốc độ, tính ổn định, chất lượng dịch vụ… nhưng chỉ phục vụ kết nối Internet đơn giản Phương án thực tế hơn là đảm bảo kết nối vào Internet hay dịch vụ trên web tại các chi nhánh với băng thông theo yêu cầu người dùng, hỗ trợ nhiều phương án kết nối WAN theo thực tế, trong khi vẫn duy trì chính sách bảo mật là giải pháp cần được cân nhắc Giải pháp lai (WAN Hybrid), tương thích nhiều phương án kết nối WAN vật lý kết hợp sử dụng phần mềm để tối ưu kết nối logic mạng WAN (SD WAN: Software-Defined WAN) cho doanh nghiệp/công ty được phát triển nhằm mục đích này
Hình 0.2: SD-WAN Self-Service Portal
Khi đại dịch Covid-19 bùng phát từ đầu 2020, tất cả hoạt động kinh tế, đời sống, giáo dục,… phụ thuộc lớn vào môi trường Internet Điều này đã tác động lớn đến các nhà lãnh đạo và quản trị CNTT, giúp họ nhanh chóng nhận ra những mặt hạn chế của mạng WAN truyền thống Thay vào đó, SD-WAN là giải pháp thay thế với khả năng hỗ trợ đa dạng tính năng quản trị mạng WAN, thân thiện với mô hình đa đám mây và đảm bảo được
Trang 183
an ninh mạng trong các môi trường khác nhau Tất cả được kiểm soát trong một giao diện quản trị tập trung thông minh, phù hợp với nhu cầu của doanh nghiệp có nhiều chi nhánh, doanh nghiệp đa quốc gia
Đối tượng nghiên cứu của đề tài là công nghệ SD-WAN Cách sử dụng các tính năng
và lợi ích của SD-WAN để ứng dụng vào mô hình mạng doanh nghiệp
3.2 Phạm vi nghiên cứu
Với đề tài “Ứng dụng công nghệ SD-WAN trong mô hình mạng doanh nghiệp” nhóm sẽ tập trung nghiên cứu về công nghệ SD-WAN bao gồm tìm hiểu kiến thức về công nghệ này, lợi ích, ưu điểm và cách sử dụng để ứng dụng công nghệ SD-WAN vào mô hình mạng doanh nghiệp Song song đó nhóm cũng tập trung tìm hiểu và củng cố kiến thức về
mô hình mạng doanh nghiệp
4 KẾT QUẢ DỰ KIẾN ĐẠT ĐƯỢC
Trang 194
o Mỗi site sẽ có 2 đường internet (ISP1 và ISP2) kết nối vào hệ thống
• Tính năng
o Quy hoạch các lớp mạng cho từng site
o Thực hiện cấu hình FortiGate làm gateway internet cho từng site
o Ứng dụng Secure SD-WAN
▪ Sử dụng SD-WAN để cân bằng tải các dữ liệu truy cập Internet ở từng site qua
cả 2 đường ISP1 và ISP2
▪ Ở các chi nhánh, ưu tiên ứng dụng Facebook được đi đường ISP1, nếu đường ISP1 gặp sự cố (giả sử đường truyền liên tục rớt gói) thì sẽ đi đường ISP2
▪ Kiểm soát băng thông (QoS) của người dùng khi truy cập ứng dụng Youtube ở một site nào đó
o Cấu hình ADVPN kết hợp SD-WAN
▪ Cấu hình Tunnel VPN giữa các chi nhánh về trụ sở chính trên cả 2 ISP
▪ Cấu hình ADVPN kết hợp với SD-WAN sao cho:
- Dữ liệu từ chi nhánh về trụ sở chính sẽ ưu tiên đi qua các VPN được tạo thành trên đường ISP1
- Dữ liệu truy cập giữa các chi nhánh với nhau sẽ đi qua đường shortcut paths khi cấu hình ADVPN
Trang 205
PHẦN NỘI DUNG CHƯƠNG 1 MÔ HÌNH MẠNG DOANH NGHIỆP 1.1 GIỚI THIỆU
Ngày nay, Internet là một phần không thể tách rời với hoạt động kinh doanh của hết hết các doanh nghiệp Xây dựng một hệ thống mạng tiêu chuẩn, ổn định và bảo mật là nền tảng ban đầu cho sự phát triển vững vàng của doanh nghiệp
Mô hình mạng doanh nghiệp là hệ thống kết hợp rất nhiều yếu tố để kết nối các máy tính, thực hiện nhiệm vụ như thu thập, xử lý, phân phối, lưu trữ dữ liệu Đối với doanh nghiệp, việc thiết lập hệ thống mạng vô cùng quan trọng, giúp hoạt động thường ngày diễn
ra trôi chảy và hỗ trợ công việc kinh doanh Nhằm đáp ứng những nhu cầu ngày một tăng cao về băng thông, hiệu suất, kiến trúc mạng đã có sự thay đổi đáng kể so với những mô hình thời kỳ đầu
Mô hình mạng doanh nghiệp là “xương sống” của toàn bộ hoạt động của công ty, giúp hệ thống wifi, Internet hoạt động trơn tru, đảm bảo sự bảo mật và dễ dàng bảo trì, nâng cấp Mô hình mạng doanh nghiệp nắm giữ vai trò quan trọng trong hoạt động của các tổ chức Bởi vì bất cứ doanh nghiệp nào cũng cần một hệ thống mạng để kết nối và chia sẻ thông tin Hệ thống mạng doanh nghiệp bao gồm các thiết bị như: Server, các thiết bị vật
lý, phần mềm, phần cứng… để có thể trao đổi dữ liệu Các thao tác, thông tin, dữ liệu, tập tin, máy in,… sẽ được đưa lên Server để có thể chia sẻ tất cả dữ liệu đó cho các máy tính trong cùng một hệ thống
Hệ thống mạng doanh nghiệp có thể là mạng LAN (Local Area Network – mạng máy tính cục bộ) hoặc là mạng WAN (Wide Area Network – mạng diện rộng) tùy thuộc vào quy mô của doanh nghiệp
Trang 216
1.2 MÔ HÌNH MẠNG BẢO MẬT VÀ PHÂN LỚP
1.2.1 Mô hình mạng bảo mật
Hình 1.1: Mô hình mạng doanh nghiệp bảo mật
Mô hình mạng doanh nghiệp bảo mật bao gồm các thành phần:
• Vùng mạng nội bộ: Còn gọi là mạng LAN (Local area network), là nơi đặt các thiết
bị mạng, máy trạm và máy chủ thuộc mạng nội bộ của đơn vị
• Vùng mạng DMZ: Là một vùng mạng trung lập giữa mạng nội bộ và mạng Internet,
là nơi chứa các thông tin cho phép người dùng từ Internet truy xuất vào và chấp nhận các rủi ro tấn công từ Internet Các dịch vụ thường được triển khai trong vùng DMZ là: Web Server, Mail Server, FTP Server,…
Trang 227
• Vùng mạng Server hay Server Farm: là nơi đạt các máy chủ không trực tiếp cung cấp dịch vụ cho mạng Internet Các máy chủ triển khai ở vùng mạng này thường là Database Server, LDAP Server, DHCP Server, DNS Server,…
• Vùng mạng Internet: Còn gọi là mạng ngoài, kết nối với mạng Internet toàn cầu Việc tổ chức mô hình mạng doanh nghiệp bảo mật có ảnh hưởng lớn đến sự an toàn cho các hệ thống mạng và các công thông tin điện tử Đây là cơ sở đầu tiên cho việc xây dựng văn hóa doanh nghiệp đảm bảo bí mật thông tin, tạo ra hệ thống phòng thủ và bảo vệ
Ngoài ra, việc tổ chức mô hình mạng bảo mật có thể hạn chế được các tấn công từ bên trong và bên ngoài một cách hiệu quả
Vùng mạng Internet, vùng mạng nội bộ và vùng mạng DMZ được thiết kế tách biệt nhau Giữa các vùng mạng được đặt một Firewall nhằm kiểm soát luồng thông tin giữa các vùng mạng với nhau và bảo vệ các vùng mạng khỏi các tấn công trái phép Mỗi sự truy cập giữa các vùng với nhau đều được kiểm soát bởi một Firewall
Trang 23• Access Layer: Sử dụng để kết nối thiết bị người dùng, đầu cuối (máy tính, máy in, wifi router) Đối với Datacenter, các Switch ở Core Layer kết nối Server và thiết bị lưu trữ được gọi là Switch TOR (hay Top of Rack)
Trang 249
• Distribution Layer: Còn gọi là Aggression, dùng để trung chuyển lưu lượng giữa Switch của Core Layer và Access Layer Distribution Layer có tốc độ cao hơn Access Layer và không kết nối đến thiết bị người dùng
• Core Layer: Chuyển lưu lượng ra mạng WAN Các Switch ở Core Layer có tốc độ rất cao, đóng vai trò như Default Gateway cho thiết bị người dùng, đầu cuối hoặc Server
Mô hình này có ưu điểm là tính sẵn sàng cao, bảo mật, hiệu suất cao và khả năng
mở rộng tốt, tuy nhiên vẫn còn hạn chế ở Datacenter Trong trường hợp doanh nghiệp có nhu cầu về băng thông cao hơn thì mô hình này khó đáp ứng được Với một số công ty sử dụng mô hình mạng phần lớp, khi số lượng máy tính và thiết bị kết nối tăng lên, mô hình không đảm bảo được hiệu suất
Trang 26bị chuyên dụng, chẳng hạn như firewall hay bộ cân bằng tải, một SDN sẽ thay thế thiết bị bằng một ứng dụng sử dụng controller để quản lý hành vi của data plane
Kiến trúc mạng SDN chia thành ba lớp riêng biệt, được kết nối thông qua các API
Lớp điều khiển (control layer) đại diện cho phần mềm điều khiển SDN tập trung, hoạt động như một bộ não của SDN Bộ điều khiển này nằm trên một server và quản lý các chính sách cũng như luồng lưu lượng trên toàn mạng
Lớp cơ sở hạ tầng được tạo từ các switch vật lý ở trong mạng
Ba lớp này giao tiếp với nhau bằng cách sử dụng các API (Application Programming Interface) southbound và northbound
Ví dụ: Các ứng dụng giao tiếp với bộ điều khiển thông qua northbound interface, còn bộ điều khiển và switch giao tiếp với nhau bằng southbound interface, như OpenFlow
Trang 2712
2.3 CÁCH HOẠT ĐỘNG CỦA SDN
Tiếp theo hãy cũng tìm hiểu cách hoạt động của SDN là gì SDN bao gồm nhiều loại công nghệ, gồm có phân tách chức năng, ảo hóa mạng và tự động hóa thông qua khả năng lập trình
Ban đầu, công nghệ Software-defined networking chỉ tập trung phân tách network control plane từ data plane Trong đó control plan quyết định cách các packet sẽ truyền qua mạng, còn data plane thì di chuyển các packet từ nơi này sang nơi khác
Cách hoạt động điển hình là: một packet đến một switch mạng, và các quy tắc được tích hợp trong firmware cho biết nơi mà switch cần chuyển tiếp packet đó Các quy tắc xử
lý packet này được gửi đến switch từ một bộ điều khiển tập trung
Switch – hay còn gọi là thiết bị data plane – truy vấn controller để được hướng dẫn nếu cần, đồng thời cung cấp cho controller thông tin về lưu lượng mà nó xử lý Switch sẽ gửi mọi packet đến cùng một điểm đến, theo cùng một đường dẫn và xử lý theo một cách duy nhất
SDN sử dụng một cơ chế hoạt động gọi là adaptive hay dynamic Trong đó, một switch đưa ra một route request cho controller đối với một packet không có route cụ thể Quá trình này tách biệt với adaptive routing – đưa ra các route request thông qua router với các thuật toán dựa trên cấu trúc liên kết mạng, chứ không phải thông qua một controller
Trang 2813
2.4 ƯU ĐIỂM CỦA SDN
Hình 2.2: Ưu điểm của SDN
Với SDN, các quản trị viên có thể thay đổi bất kỳ quy tắc nào của switch khi cần –
ưu tiên, loại bỏ hay thậm chí chặn các packet cụ thể với mức độ kiểm soát và bảo mật có
độ chi tiết cao Việc này đặc biệt hữu ích trong kiến trúc điện toán đám mây có nhiều người
sử dụng, vì nó cho phép người quản trị quản lý lưu lượng một cách hiệu quả, linh hoạt Về
cơ bản, nó cho phép người quản trị sử dụng các switch có chi phí thấp hơn, có nhiều quyền kiểm soát hơn với các luồng lưu lượng mạng
Một số lợi ích khác nữa là quản lý mạng và hiển thị end-to-end Người quản trị chỉ cần xử lý một controller tập trung để phân phối policy đến các switch được kết nối với nhau Điều này trái ngược với việc cấu hình nhiều thiết bị riêng lẻ Nó cũng là một lợi thế bảo mật, vì controller có thể giám sát lưu lượng và triển khai các chính sách bảo mật khác
Ví dụ: nếu controller cho rằng có lưu lượng truy cập đáng ngờ, nó có thể dễ dàng định tuyến lại, hoặc drop các packet đó
Trang 29(Software-2.5 NHƯỢC ĐIỂM CỦA SDN
Hình 2.3: Nhược điểm của SDN
Đối tượng chính sử dụng SDN là những nhà cung cấp dịch vụ, nhà khai thác mạng, viễn thông, cùng một số công ty lớn như Facebook hay Google Tất cả đều có nguồn lực to lớn để giải quyết và đóng góp vào một công nghệ mới nổi như SDN Tuy nhiên, vẫn còn một số thách thức như:
Trang 3015
Khả năng bảo mật của SDN là một con dao hai lưỡi Vì nếu bộ điều khiển tập trung
có lỗi, kẻ tấn công có thể tấn công vào toàn mạng
Trớ thêu thay, một khó khăn khác nữa cho SDN là: trong ngành công nghiệp mạng không hề có định nghĩa về “Software-defined networking” Các nhà cung cấp khác nhau cung cấp các cách tiếp cận khác nhau cho SDN, từ mô hình tập trung phần cứng và nền tảng ảo hóa cho đến các thiết kế mạng siêu hội tụ hay những phương pháp không cần controller
Một số sáng kiến mạng thường bị nhầm lần với SDN, gồm kết nối mạng white box, phân tách mạng, tự động hóa mạng hay mạng có khả năng lập trình Mặc dù Software-defined networking có thể tận dụng ưu điểm của những công nghệ vừa kể đến, chúng vẫn
là những công nghệ hoàn toàn khác biệt SDN nổi lên vào năm 2011 khi nó được giới thiệu cùng với giao thức OpenFlow Kể từ đó, việc ứng dụng Software-defined networking lại diễn ra tương đối chậm, đặc biệt là ở các doanh nghiệp có mạng nhỏ hoặc ít tài nguyên Ngoài ra, nhiều doanh nghiệp cũng cho rằng chi phí triển khai SDN là một thách thức lớn
Trang 31Nếu các cấu hình và thiết lập đường hầm tiêu chuẩn được tất cả các nhà cung cấp phần cứng mạng hỗ trợ thì SD-WAN sẽ đơn giản hóa việc quản lý và vận hành mạng WAN bằng cách tách phần cứng mạng khỏi cơ chế điều khiển của nó SD-WAN thực hiện công nghệ ảo hóa để cải thiện việc quản lý và vận hành tập trung dữ liệu Trên thực tế, các giao thức độc quyền được sử dụng để thiết lập và quản lý SD-WAN, nghĩa là không sự tách rời phần cứng và cơ chế điều khiển của nó
Ứng dụng chính của SD-WAN là cho phép các công ty xây dựng các mạng WAN hiệu suất cao hơn bằng cách sử dụng truy cập Internet thương mại và chi phí thấp hơn, cho phép các doanh nghiệp thay thế một phần hoặc toàn bộ các công nghệ kết nối WAN riêng đắt tiền hơn như MPLS
Khi lưu lượng SD-WAN được truyền qua Internet, không có đảm bảo hiệu suất đầu cuối Các dịch vụ WAN MPLS VPN của nhà cung cấp dịch vụ không được thực hiện dưới dạng lưu lượng truy cập Internet, mà là vượt quá dung lượng của nhà cung cấp dịch vụ được kiểm soát cẩn thận và đi kèm với đảm bảo hiệu quả đầu cuối
Trang 32Tính thông minh và bảo mật của WAN có thể được mở rộng vào mạng LAN bằng cách kết hợp các mạng có dây và không dây trong cùng một miền
Một số lợi ích chính của SD-WAN:
• Giảm chi phí với sự độc lập về truyền tải thông qua MPLS, 4G/5G LTE và những công nghệ khác
• Giảm độ phức tạp với một nhà cung cấp duy nhất và quản lý từng mảng
• Cải thiện hiệu suất ứng dụng kinh doanh nhờ vào việc được tăng tính khả dụng và nhanh nhẹn
• Tối ưu hóa trải nghiệm người dùng và hiệu quả với SaaS và các ứng dụng đám mây công cộng
Trang 3318
3.3 GIẢI PHÁP SECURE SD-WAN CỦA FORTINET
3.3.1 Các thành phần của SD-WAN
SD-WAN có thể được chia thành 3 lớp:
• Quản lý và điều phối
• Kiểm soát, bình diện dữ liệu và bảo mật
• Truy cập mạng
Lớp kiểm soát, bình diện dữ liệu và bảo mật chỉ có thể được triển khai trên
FortiGate Hai lớp còn lại có thể giúp mở rộng quy mô và nâng cao giải pháp Đối với các triển khai lớn, FortiManager và FortiAnalyzer cung cấp khả năng quản lý và điều phối FortiSwitch và FortiAP cung cấp các thành phần để triển khai SD-Branch
• Fortigate
Trang 3419
• Các giải pháp VPN có thể mở rộng nhờ sử dụng ADVPN
• Định nghĩa định tuyến tĩnh và động
• Kiểm tra và giám sát sức khỏe SD-WAN
• Chỉ đạo nhận biết ứng dụng và trí thông minh
• Tường lửa NGFW Truy cập mạng • Phân đoạn mạng có dây và
Trang 3520
3.3.2 Thiết kế và cấu trúc của SD-WAN
Các chức năng cốt lõi của giải pháp Fortinet’s SD-WAN được tích hợp vào FortiGate Cho dù môi trường chứa đựng một FortiGate hay một trăm FortiGate, bạn đều
có thể sử dụng SD-WAN bằng cách bật nó trên từng FortiGate
Ở cấp độ cơ bản, SD-WAN có thể được triển khai trên một thiết bị trong một môi trường trang web:
Hình 3.1: Triển khai SD-WAN ở mức độ cơ bản
Ở cấp độ nâng cao hơn, SD-WAN có thể được triển khai trong môi trường đa địa điểm, môi trường Hub và môi trường Spoke:
Hình 3.2: Triển khai SD-WAN ở mức độ cao hơn
Trang 3722
3.3.3 Các nguyên tắc thiết kế của SD-WAN
Cách tiếp cận Five-pillar được khuyến nghị khi thiết kế một giải pháp SD-WAN an toàn
Pillar Overview
Underlay Chọn các liên kết WAN để sử dụng
Overlay Chọn cấu trúc liên kết để kết nối các địa điểm của bạn với nhau
Routing Chọn cách lan truyền các tuyến đường giữa các địa điểm của bạn
Security Chọn cách bảo vệ từng đường dẫn có sẵn
SD-WAN Chọn chiến lược được sử dụng để chọn một trong những đường dẫn có sẵn
3.3.3.1 Underlay
Xác định các liên kết WAN sẽ được sử dụng cho mạng underlay, chẳng hạn như liên kết băng thông rộng, MPLS, kết nối 4G/5G LTE của bạn và các liên kết khác
Đối với mỗi liên kết, hãy xác định băng thông, chất lượng và độ tin cậy (mất gói tin,
độ trễ và chập chờn) và chi phí Sử dụng thông tin này để xác định bạn thích liên kết nào hơn, loại lưu lượng truy cập cần gửi qua mỗi liên kết và để giúp bạn các đường cơ sở để kiểm tra sức khỏe
3.3.3.2 Overlay
Overlays VPN là cần thiết khi lưu lượng truy cập phải di chuyển trên nhiều địa điểm Đây thường là các đường hầm IPsec site-to-site kết nối các chi nhánh, trung tâm dữ liệu và đám mây, tạo thành cấu trúc liên kết hub-and-spoke
Việc quản lý và bảo trì các đường hầm cần được xem xét khi xác định các yêu cầu
về mạng overlay Cấu hình đường hầm thủ công có thể đủ trong một môi trường nhỏ, nhưng
Trang 38Trong cấu hình cơ bản nhất, các gateways tĩnh được cấu hình trên SD-WAN member interface sẽ tự động cung cấp định tuyến cơ bản cần thiết cho FortiGate để cần bằng lưu lượng qua các liên kết Khi số lượng địa điểm và điểm đến tăng lên, việc duy trì các tuyến đường đến từng điểm đến theo cách thủ công trở nên khó khăn Việc sử dụng định tuyến động để quảng cáo các tuyến đường qua các đường hầm overlay nên được xem xét khi bạn
có nhiều địa điểm để kết nối với nhau
3.3.3.4 Security
Bảo mật liên quan đến việc xác định các chính xác để kiểm soát truy cập và áp dụng biện pháp bảo vệ thích hợp bằng cách sử dụng các tính năng NGFW của FortiGate Nhóm SD-WAN members thành SD-WAN zones một cách hiệu quả cũng phải được xem xét Thông thường, underlays cung cấp truy cập internet trực tiếp và overlays cung cấp truy cập internet hoặc mạng từ xa Nhóm các underlays lại với nhau thành một zone và các overlays thành một hoặc nhiều zones có thể là một phương pháp hiệu quả
Trang 39Còn được gọi là interfaces, SD-WAN members là các ports và các interfaces được
sử dụng để chạy lưu lượng Ít nhất một interface phải được cấu hình để SW-WAN
hoạt động
• Performance SLAs
Còn được gọi là kiểm tra tình trạng, performance SLAs được sử dụng để giám sát chất lượng liên kết member interface và để phát hiện lỗi liên kết Khi SLA giảm xuống dưới ngưỡng đã cấu hình, tuyến đường có thể bị xóa và lưu lượng truy cập có thể được điều hướng đến các liên kết khác nhau trong SD-WAN rules Chúng cũng
có thể được sử dụng trong SD-WAN rules để chọn member interface ưu tiên cho lưu lượng chuyển tiếp
Trang 4025
• SD-WAN rules
Còn được gọi là dịch vụ, SD-WAN rules điều khiển lựa chọn đường dẫn Lưu lượng truy cập cụ thể có thể được gửi động đến liên kết tốt nhất hoặc sử dụng một tuyến đường cụ thể
Các quy tắc kiểm soát chiến lược mà FortiGate sử dụng khi chọn interface lưu lượng
đi, SLAs được giám sát khi chọn outgoing interface và tiêu chí để chọn lưu lượng tuân theo quy tắc Khi không có SD-WAN rules nào phù hợp với luu lượng, quy tắc
ngầm sẽ được áp dụng
3.3.4 Những đặc điểm yêu cầu
Công ty nghiên cứu Gartner đã xác định SD-WAN có bốn đặc điểm bắt buộc:
• Khả năng hỗ trợ nhiều loại kết nối, chẳng hạn như MPLS, Last Mile Fiber Optic Network hoặc thông qua mạng di động tốc độ cao, ví dụ: Công nghệ không dây 4G LTE và 5G
• Khả năng thực hiện lựa chọn đường dẫn động, cho các mục đích chia sẻ tải và khả năng phục hồi
• Giao diện đơn giản dễ định cấu hình và quản lý
• Khả năng hỗ trợ VPN và các dịch vụ của bên thứ ba như bộ điều khiển tối ưu hóa WAN, tường lửa và cổng web