Hơn nữa, mạng này không thể tận dụng tối ưu các nguồn kết nối khác nhau như Internet và các dịch vụ điện toán đám mây, dẫn đến sử dụng không hiệu quả băng thông và tài nguyên mạng, với c
Trang 1ĐẠI HỌC DUY TÂNTRƯỜNG KHOA HỌC MÁY TÍNH
KHOA KỸ THUẬT MẠNG MÁY TÍNH & TRUYỀN THÔNG Thành viên 2 : Lê Hoà Bình-5925
Thành viên 3 : Trương Thế Việt Cường-2917
Đà nẵng,19/12/2023
i
Trang 2II Thiết kế hệ thống mạng sử dụng công nghệ SD-WAN 5
2.1 Sơ đồ hiện tại 5
2.2 Sơ đồ đề xuất 7
2.3 Đánh giá lại 7
2.4 Bảng kê chi tiết 9
III Các bước triển khai và vận hành 11
Trang 3BẢNG PHÂN CHIA CÔNG VIỆC
STT Họ Và Tên Nội Dung Thực Hiện Đóng góp(%)
-Lên ý tưởng đề tài -Tìm hiểu các lý thuyết liên
quan đến công nghệ SD-WAN -Tổng word
-Kết luận
3 Trương Thế Việt Cường
-Tìm hiểu các lý thuyết liên quan đến công nghệ SD-WAN
-Tìm hiểu các lý thuyết liên quan đến công nghệ SD-WAN
Trang 4MỤC LỤC HÌNH ẢNH
Hình 1 Sơ đồ hiện tại 10 Hình 2 Sơ đồ đề xuất 12
Trang 5DANH MỤC BẢNG
Bảng 1 Bảng quy hoạch địa chỉ IP mạng hiện tại 10 Bảng 2 Bảng quy hoạch địa chỉ IP mạng đề xuất 12 Bảng 3 Bảng kê chi tiết 16
v
Trang 6A PHẦN MỞ ĐẦU1 Ý tưởng :
Trong bối cảnh công nghệ không ngừng phát triển, mạng WAN truyền thống đang đối mặt với những thách thức lớn Việc triển khai và quản lý mạng WAN truyền thống đòi hỏi đầu tư đắt đỏ, là bài toán nan giải đối với hầu hết các doanh nghiệp Điều này tạo ra một rào cản tài chính đáng kể và làm tăng áp lực đối với nguồn lực doanh nghiệp.Mạng WAN truyền thống thường không linh hoạt và không phản ánh sự phát triển nhanh chóng của công nghệ Khi doanh nghiệp cần mở rộng mạng, cập nhật hoặc thay đổi cơ sở hạ tầng, họ gặp khó khăn và đối mặt với sự cứng nhắc của cơ sở hạ tầng truyền thống Hơn nữa, mạng này không thể tận dụng tối ưu các nguồn kết nối khác nhau như Internet và các dịch vụ điện toán đám mây, dẫn đến sử dụng không hiệu quả băng thông và tài nguyên mạng, với chi phí cao và hiệu suất thấp.
Chính vì thế công nghệ SD-WAN ra đời nhằm khắc phục những hạn chế của mạng WAN truyền thống SD-WAN tự động tận dụng nhiều nguồn kết nối mạng, cải thiện hiệu suất và tính khả dụng Nó cũng giảm chi phí đáng kể bằng cách sử dụng kết nối Internet thay vì MPLS đắt đỏ Hơn nữa, SD-WAN cung cấp khả năng quản lý mạng tốt hơn thông qua giao diện trực quan và tự động hóa, giúp giảm công việc quản lý và tối ưu hóa tài nguyên mạng Do đó, nghiên cứu và triển khai SD-WAN là lựa chọn tối ưu để đối mặt với thách thức của mạng SD-WAN truyền thống và thúc đẩy tích hợp và tối ưu hóa hệ thống mạng trong thời đại kĩ thuật số.
2 Mục tiêu :
- Hiểu được những kiến thức liên quan đến kiến trúc WAN truyền thống - Hiểu được kiến thức cơ bản công nghệ SD WAN.
- Thiết kế được sơ đồ mạng cho doanh nghiệp sử dụng công nghệ SD-WAN - Triển khai được công nghệ SD WAN cho hệ thống mạng, đảm bảo tính sẵn sàng, bảo mật, giảm chi phí, tăng hiệu suất
- Ứng dụng được công nghệ SD-WAN vào trong môi trường thực tế.
+Mạng WAN hoạt động như thế nào
- Tìm hiểu tổng quan về SD-Wan
Trang 7+Định nghĩa,nguyên lý hoạt động ,Các lợi ích SD-Wan+So Sánh SD-Wan so với Wan truyền thống +Các giải pháp SD-Wan
+Meraki SD-WAN+Cisco SD-WAN ( Viptela)
- Tìm hiểu về kiến trúc và các thành phần của SD-Wan - Các vấn đề về bảo mật trong công nghệ SD-WAN
+Khái niệm đặc điểm
+Các dạng tối ưu trong vManage
- Bộ điểu khiển vSmart
+Giới thiệu chung về vSmart+Giao thức OMP
- Bộ điều phối vEdge
+Giới thiệu chung về vEdge
+Cloud onRamp SaaS+Cloud onRamp laas
- Sơ đồ hiện tại
+Đánh giá nhược điểm sơ đồ
- Vẽ sơ đồ đề xuất
+Đánh giá sơ đồ4 Công việc cần thực hiện :
2
Trang 8- Tìm hiểu tổng quan về SD WAN - Lợi ích khi sử dụng công nghệ SD-WAN - Giảm tải công việc người quản trị mạng - Cải thiện hiệu suất mạng
- Tăng tính sẵn sàng cho mạng - Giảm chi phí sử dụng mạng
Trang 9B NỘI DUNGI Ý tưởng thiết kế
Ngày nay, sự mở rộng nhanh chóng của mạng lưới và sự xuất hiện của các ứng dụng ảo hóa, IoT (Internet vạn vật), các yêu cầu hoạt động dựa trên đám mây cần đáp ứng nhanh chóng, thuận tiện làm gia tăng thêm các đòi hỏi ngày càng lớn đối với mạng WAN Nhưng do chi phí xây dựng, quản lý và xử lý lỗi trên mạng WAN rất cao và mạng diện rộng truyền thống gặp khó trong việc nâng cấp mạng nên việc xây dựng mạng diện rộng với thiết kế mới là cần thiết Mặc dù, công nghệ chuyển mạch nhãn đa giao thức (MPLS - Multiprotocol Label Switching) trong mạng WAN vẫn đảm bảo chất lượng dịch vụ (QoS – Quality of Service), nhưng nó cũng đưa ra một số thách thức, chẳng hạn như chi phí băng thông cao, không thể triển khai cấu hình tập trung, thời gian cần thiết để chuyển đổi/nâng cấp mạng hiện hữu
Chính vì thế SD-WAN (Software-Defined Wide Area Network) ra đời khắc phục được những hạn chế của MPLS, được thiết kế để thay thế cho mạng WAN dựa trên MPLS truyền thống Với SD-WAN, các doanh nghiệp có thể sử dụng dịch vụ linh hoạt hơn, dễ dự đoán hơn với chi phí thấp hơn trong thời gian ngắn hơn so với các dịch vụ MPLS Thiết lập mạng trở nên nhanh chóng hơn; tận dụng bất kỳ dịch vụ đường truyền dữ liệu có sẵn như MPLS, truy cập Internet chuyên dụng (DIA - Dedicated Internet Access), băng thông rộng FTTH (Fiber To The Home) hoặc không dây 4G/5G; Và có thể cấu hình tự động các khu vực từ xa ngay lập tức SD-WAN có thể cung cấp các cải tiến về tính dự phòng và tính khả dụng vượt trội so với MPLS Doanh nghiệp có thể chuyển đổi nhà cung cấp dịch vụ Internet, dùng chung hay kết hợp các nhà cung cấp dịch vụ khác và tạo mạng SD-WAN/ MPLS kết hợp để có thể định tuyến lưu lượng qua một cơ chế truyền tải khác trong trường hợp có kết nối kém hoặc ngừng hoạt động SD-WAN được hình thành bằng cách thiết lập các đường hầm được mã hóa (“lớp phủ”) giữa các khu vực Mỗi khu vực đều được trang bị thiết bị SD-WAN Mỗi thiết bị SD-WAN được kết nối với một tập hợp các dịch vụ mạng (thường là MPLS và một số dịch vụ Internet) và giám sát tính khả dụng và hiệu suất hiện tại của từng dịch vụ này Lưu lượng đi ra ngoài được định tuyến theo đường dẫn tối ưu dựa trên các chính sách ứng dụng và điều kiện mạng theo thời gian thực.
4
Trang 10II Thiết kế hệ thống mạng sử dụng công nghệ SD-WANII.1 Sơ đồ hiện tại
Hình 1 Sơ đồ hiện tại
STT Thiết bị Địa chỉ mạng Địa chỉ host Subnet Mask
Bảng 1 Bảng quy hoạch địa chỉ IP mạng hiện tại
Mô tả Sơ đồ Mạng Hiện Tại:
Sơ đồ mạng hiện tại của công ty bao gồm tổng cộng 4 đơn vị: Trụ sở chính, Trung tâm Dữ liệu, Chi nhánh 1 và Chi nhánh 2 Việc kết nối giữa các chi
Trang 11nhánh được thực hiện thông qua công nghệ Viettel MPLS (Mutil protocol Label Switching) Để đảm bảo an toàn cho hệ thống, mỗi chi nhánh sử dụng Firewall.
Tại Trụ sở chính, các dịch vụ như Mail, Web, và DNS được đặt tại vùng DMZ (Demilitarized Zone) để người dùng từ bên ngoài internet có thể truy cập và sử dụng những dịch vụ mà công ty cung cấp ra bên ngoài Quan trọng là, mức độ bảo mật của công ty vẫn được duy trì Chi nhánh Trung tâm Dữ liệu được thiết kế để phục vụ việc truy cập từ các chi nhánh khác, giúp người dùng trong nội bộ công ty sử dụng các tài nguyên từ đơn vị này.
Đánh Giá Sơ đồ:
Sơ đồ hiện tại có thể đáp ứng tốt nhu cầu của công ty, nhưng có một số thách thức đối với người quản trị mạng Quản lý, cấu hình, kiểm soát, và theo dõi toàn bộ các hoạt động trên các đường WAN (Wide Area Network) kết nối các chi nhánh đòi hỏi nhiều công sức và có thể tăng đáng kể khối lượng công việc Cũng đối mặt với khó khăn trong việc phát hiện và sửa chữa lỗi trên đường WAN.
Việc sử dụng công nghệ MPLS mang lại hiệu suất cao, nhưng đồng thời cũng đi kèm với chi phí đáng kể Điều này đặt ra một thách thức lớn về chi phí cho doanh nghiệp Vì vậy, có nhu cầu triển khai giải pháp và công nghệ mới nhằm giảm tải công việc cho người quản trị mạng, giảm thiểu sai sót trong cấu hình và sửa lỗi, cũng như giảm chi phí cho doanh nghiệp.
6
Trang 12II.2 Sơ đồ đề xuất
Bảng 2 Bảng quy hoạch địa chỉ IP mạng đề xuất.
II.3 Đánh giá lại
Chúng tôi đề xuất triển khai công nghệ SD-WAN của Cisco để giải quyết những thách thức hiện tại trong sơ đồ mạng SD-WAN, hay Software-Defined
Trang 13Wide Area Network, là một lời giải mạng độc lập, sử dụng phần mềm để quản lý và kiểm soát mạng WAN, loại bỏ sự phụ thuộc vào các thiết bị phần cứng truyền thống.
SD-WAN mang lại một loạt các ưu điểm quan trọng Trước hết, nó giúp giảm gánh nặng công việc cho người quản trị mạng trên đường WAN thông qua tự động hóa nhiều nhiệm vụ và cấu hình Điều này giúp tăng hiệu suất công việc và giảm nguy cơ sai sót.
Quản lý router tại các chi nhánh trở nên dễ dàng hơn với giao diện quản lý trực quan của SD-WAN Người quản trị có khả năng theo dõi và giải quyết lỗi một cách hiệu quả, giúp nhanh chóng đưa ra các biện pháp sửa chữa.
SD-WAN cung cấp linh hoạt cao trong việc chuyển đổi giữa các đường mạng, bao gồm cả MPLS truyền thống và kết nối Internet Điều này đồng nghĩa với việc cải thiện hiệu suất mạng và giảm độ trễ, tạo ra trải nghiệm mạng tốt hơn cho người dùng.
Cuối cùng, SD-WAN giúp quản lý và tối ưu hóa băng thông một cách hiệu quả, dẫn đến giảm chi phí cho doanh nghiệp Bằng cách này, sự triển khai của SD-WAN không chỉ là một nâng cấp về công nghệ mạng mà còn là một đầu tư thông minh với nhiều lợi ích kinh tế và hiệu suất.
8
Trang 14II.4 Bảng kê chi tiết
Trang 15supplies and fans LAN base feature set with upgrade
Trang 16III Các bước triển khai và vận hànhIII.1 Công cụ được sử dụng
EVE-NG là viết tắt của "Emulated Virtual Environment - Next Generation" (Môi trường ảo ảo hóa - Thế hệ tiếp theo) Đây là một nền tảng ảo hóa được thiết kế để tạo và quản lý môi trường mạng ảo để thực hiện các thử nghiệm, triển khai, và kiểm thử các môi trường mạng.
- Môi trường ảo hóa mạng: EVE-NG cung cấp một môi trường ảo hóa mạng, giúp người dùng tạo ra các mạng phức tạp với nhiều thiết bị mạng ảo như router, switch, firewall, và các thiết bị khác.
- Hỗ trợ nhiều loại thiết bị: EVE-NG hỗ trợ nhiều loại thiết bị mạng từ nhiều nhà sản xuất khác nhau, bao gồm Cisco, Juniper, Palo Alto, và nhiều thiết bị khác.
- Kiểm thử và thử nghiệm: Người dùng có thể sử dụng EVE-NG để kiểm tra và thử nghiệm cấu hình mạng, gỡ lỗi, và triển khai các giải pháp mạng mà không cần phải có các thiết bị vật lý.
- Tích hợp với học trực tuyến: EVE-NG thường được sử dụng trong các khoá học học trực tuyến và đào tạo về mạng, nơi người học có thể trải nghiệm và thực hành với các môi trường mạng ảo.
- Quản lý và chia sẻ topologies: EVE-NG cho phép người dùng quản lý và chia sẻ các topology mạng của họ, giúp trong việc hợp tác và truy cập các môi trường mạng ảo từ xa.
Server (Server EVE-NG):
- EVE-NG yêu cầu một máy chủ để chạy Bạn có thể cài đặt EVE-NG trên một máy chủ vật lý hoặc máy ảo.
- Máy chủ cung cấp tài nguyên để chạy các thiết bị ảo và quản lý các môi trường mạng.
Web Interface:
- Giao diện web là nơi bạn quản lý và tạo các thiết bị ảo, kết nối chúng với nhau, và giám sát mạng.
Nodes (Thiết bị ảo):
- Nodes là các thiết bị mạng ảo được sử dụng để mô phỏng các router, switch, firewall, hay các thiết bị khác.
Trang 17- EVE-NG hỗ trợ nhiều loại nodes, bao gồm Cisco, Juniper, VyOS, Linux, Windows, và nhiều loại khác.
Images (Hình ảnh thiết bị):
- EVE-NG yêu cầu các hình ảnh thiết bị (images) để chạy các nodes Đây là các file hình ảnh của hệ điều hành mà bạn muốn cài đặt trên các thiết bị ảo.
- Đối với Cisco, chẳng hạn, bạn có thể sử dụng các hình ảnh như Cisco IOS, IOS-XE, IOS-XR, NX-OS, và nhiều loại khác.
Công nghệ SD-WAN của Cisco là một giải pháp mạng do phần mềm xác lập, giúp kết nối mọi người dùng, mọi ứng dụng, mọi nơi bằng sức mạnh của đám mây.
- Separate Orchestration hỗ trợ tự động đưa các bộ định tuyến SD-WAN vào kiến trúc SD-WAN.
- Management Plane chịu trách nhiệm cho cấu hình và giám sát hệ thống - Control Plane xây dựng và duy trì cấu trúc liên kết mạng và định tuyến - Data Plane chịu trách nhiệm chuyển tiếp các gói tin dựa trên các thông tin định tuyến từ Control Plane.
vManage (management)
- vManage là Hệ thống quản lý mạng (NMS) để định cấu hình và quản lý toàn bộ giải pháp SD-WAN Bạn có thể sử dụng GUI hoặc REST API để truy cập nó Đây là nơi bạn tạo cấu hình thiết bị và chính sách mạng vManage cũng cảnh báo bạn khi có sự kiện hoặc mất điện.
vSmart (controller)
- vSmart là mặt phẳng điều khiển của kiến trúc Bộ điều khiển vSmart quảng cáo các tuyến đường, bảo mật và thông tin chính sách Cisco SD-WAN sử dụng Giao thức quản lý lớp phủ (OMP) độc quyền cho việc này vSmart thực hiện các chính sách mà bạn định cấu hình thông qua vManage.
vEdge (routers)
12
Trang 18- vEdge là bộ định tuyến phần mềm hoặc phần cứng tại các sites của bạn và chịu trách nhiệm về mặt phẳng dữ liệu Bộ định tuyến vEdge kết nối với bộ điều khiển vSmart thông qua kết nối Datagram Transport Layer Security (DTLS).
vBond (orchestrator)
- vBond là người điều phối Nó xác thực bộ điều khiển vSmart và bộ định tuyến vEdge và điều phối kết nối giữa chúng Nó cho các bộ định tuyến vEdge biết vị trí và cách kết nối với bộ điều khiển vManage và vSmart vBond yêu cầu một địa chỉ IP công cộng để tất cả các thiết bị có thể kết nối với nó Khi một bộ định tuyến vEdge kết nối với SD-WAN,điều đầu tiên nó giao tiếp là bộ điều phối vBond.
vAnalytics (analytics)
- vAnalytics là một dịch vụ phân tích tùy chọn Nó cung cấp cho bạn khả năng hiển thị các ứng dụng và cơ sở hạ tầng của bạn trong toàn bộ SD-WAN Bạn có thể sử dụng nó để dự báo và nó cung cấp cho bạn các đề xuất về lưu lượng truy cập và kết nối WAN Điều này có thể hữu ích để biết liệu bạn có cần nâng cấp hoặc hạ cấp một số kết nối WAN nhất định hay không
Cloud or on-premises
- Bạn có thể triển khai Cisco SD-WAN với sự kết hợp của các tùy chọn đám mây và tại chỗ:
+Bộ định tuyến vEdge và bộ điều phối vBond có sẵn dưới dạng phần
cứng hoặc máy ảo.
+Bộ điều khiển vManage và vSmart chỉ khả dụng dưới dạng máy ảo.
- Bạn có thể chạy máy ảo tại chỗ trên ESXi hoặc KVM hoặc lưu trữ chúng tại các nhà cung cấp đám mây như Amazon AWS hoặc Microsoft Azure.
Cloud onRamp
Cloud OnRamp là một khái niệm trong lĩnh vực SD-WAN (Software-Defined Wide Area Network), được sử dụng để mô tả khả năng kết nối mạng với các dịch vụ đám mây một cách linh hoạt và hiệu quả Nó giúp tự động hóa quá trình triển khai và quản lý kết nối giữa chi nhánh và các dịch vụ đám mây như IaaS (Infrastructure as a Service), PaaS (Platform as a Service), hoặc SaaS (Software as a Service).
Có hai lựa chọn: - Cloud onRamp SaaS
Cloud onRamp SaaS giám sát hiệu suất của tất cả các kết nối WAN từ văn phòng chi nhánh đến ứng dụng SaaS Mỗi đường dẫn nhận được điểm hiệu suất
Trang 19“chất lượng trải nghiệm” từ 0-10, 10 là điểm cao nhất, nó đưa ra quyết định theo thời gian thực để chọn đường dẫn hoạt động tốt nhất giữa người dùng cuối tại văn phòng chi nhánh và ứng dụng SaaS trên đám mây Bạn có thể theo dõi điều này trong vManage GUI.
- Cloud onRamp laas
Cloud onRamp laaS mở rộng mạng SD-WAN vào đám mây công cộng Thông qua vManage, bạn có thể tự động tạo bộ định tuyến đám mây vEdge trong cơ sở hạ tầng của nhà cung cấp cloud công cộng Điều này cho phép bạn kết nối trực tiếp từ bộ định tuyến vEdge tại chỗ của mình với bộ định tuyến đám mây vEdge tại nhà cung cấp đám mây công cộng.
Giao thức OMP
Các router chi nhánh và SDWAN controller sẽ thiết lập quan hệ láng giềng trong giao thức OMP (Overlay Management Protocol OMP) OMP là một giao thức tựa như BGP, có thể quảng bá các routes, các giá trị next-hop, các khóa và các thông tin chính sách cần thiết để duy trì mạng SDWAN SDWAN controller sẽ xử lý các OMP route được học từ các router SDWAN ở các chi nhánh khác hoặc từ SDWAN controller để xác định các sơ đồ mạng và tính được đường đi tốt nhất đến mạng đích Sau đó nó sẽ quảng bá các thông tin học được từ các router này đến các router khác.
Bảo mật trong SD-WAN
Các SDWAN controller thường sẽ được cài đặt trước các thông tin để các router chi nhánh muốn kết nối vào phải thực hiện xác thực Các thông tin xác thực này sẽ đảm bảo là chỉ có những thiết bị đã xác thực mới có được quyền truy cập vào mạng trục SDWAN fabric Thông tin dùng để xác thực có thể dựa vào mã số serial no hoăc dựa vào các chứng thực điện tử Sau mỗi lần xác thực thành công, các SDWAN controller sẽ thiết lập một đường hầm bảo mật dTLS đến từng router router Ngoài ra, dữ liệu truyền giữa các mạng chi nhánh về văn phòng chính HO cũng được mã hóa Một số hiện thực SDWAN còn trang bị thêm tính năng tường lửa cho các router ở chi nhánh.
III.2 Các bước triển khai
Bước 1: Cài đặt EVE-NG
- Thực hiện việc cài đặt nền tảng giả lập hệ thống mạng EVE-NG trên ảo hoá VMware.
Bước 2: Import node
14