triển khai hệ thống mạng sử dụng công nghệ sd wan để quản lý mạng

Hơn nữa, mạng này không thể tận dụng tối ưu các nguồn kết nối khác nhau như Internet và các dịch vụ điện toán đám mây, dẫn đến sử dụng không hiệu quả băng thông và tài nguyên mạng, với c

ĐẠI HỌC DUY TÂN TRƯỜNG KHOA HỌC MÁY TÍNH

KHOA KỸ THUẬT MẠNG MÁY TÍNH & TRUYỀN THÔNG

-

-ĐỒ ÁN NHÓM Môn học:

ĐỒ ÁN CDIO 2 Tên đề tài:

TRIỂN KHAI HỆ THỐNG MẠNG SỬ DỤNG CÔNG NGHỆ

Thành viên 2 : Lê Hoà Bình-5925

Thành viên 3 : Trương Thế Việt Cường-2917

Đà nẵng,19/12/2023

i

MỤC LỤC

MỤC LỤC HÌNH ẢNH iv

DANH MỤC BẢNG v

A PHẦN MỞ ĐẦU 1

B NỘI DUNG 4

I Ý tưởng thiết kế 4

II Thiết kế hệ thống mạng sử dụng công nghệ SD-WAN 5

2.1 Sơ đồ hiện tại 5

2.2 Sơ đồ đề xuất 7

2.3 Đánh giá lại 7

2.4 Bảng kê chi tiết 9

III Các bước triển khai và vận hành 11

3.1 Công cụ được sử dụng 11

3.2 Các bước triển khai 14

3.3 Vận hành 15

3.4 Bảo trì 16

IV Kết luận / đánh giá lại 16

C KẾT LUẬN 18

1 Kết luận 18

2 Kết quả đạt được 18

3 Công việc tiếp theo 18

PHỤ LỤC 20

TÀI LIỆU THAM KHẢO 24

BẢNG PHÂN CHIA CÔNG VIỆC

STT Họ Và Tên Nội Dung Thực Hiện Đóng góp(%)

1 Võ Thanh Bình

-Phần mở đầu-Thiết kế sơ đồ mạng sử dụng công nghệ SD-WAN-Các bước triển khai và vận hành

25%

2 Lê Hoà Bình

-Lên ý tưởng đề tài-Tìm hiểu các lý thuyết liên quan đến công nghệ SD-WAN-Tổng word

-Kết luận

25%

3 Trương Thế Việt Cường

-Tìm hiểu các lý thuyết liên quan đến công nghệ SD-WAN-Các bước vận hành và triển khai

-Tổng word

25%

iii

MỤC LỤC HÌNH ẢNH

Hình 1 Sơ đồ hiện tại 10Hình 2 Sơ đồ đề xuất 12

DANH MỤC BẢNG

Bảng 1 Bảng quy hoạch địa chỉ IP mạng hiện tại 10Bảng 2 Bảng quy hoạch địa chỉ IP mạng đề xuất 12Bảng 3 Bảng kê chi tiết 16

v

A PHẦN MỞ ĐẦU

1 Ý tưởng :

Trong bối cảnh công nghệ không ngừng phát triển, mạng WAN truyềnthống đang đối mặt với những thách thức lớn Việc triển khai và quản lý mạngWAN truyền thống đòi hỏi đầu tư đắt đỏ, là bài toán nan giải đối với hầu hết cácdoanh nghiệp Điều này tạo ra một rào cản tài chính đáng kể và làm tăng áp lựcđối với nguồn lực doanh nghiệp.Mạng WAN truyền thống thường không linhhoạt và không phản ánh sự phát triển nhanh chóng của công nghệ Khi doanhnghiệp cần mở rộng mạng, cập nhật hoặc thay đổi cơ sở hạ tầng, họ gặp khókhăn và đối mặt với sự cứng nhắc của cơ sở hạ tầng truyền thống Hơn nữa,mạng này không thể tận dụng tối ưu các nguồn kết nối khác nhau như Internet

và các dịch vụ điện toán đám mây, dẫn đến sử dụng không hiệu quả băng thông

và tài nguyên mạng, với chi phí cao và hiệu suất thấp

Chính vì thế công nghệ SD-WAN ra đời nhằm khắc phục những hạn chế củamạng WAN truyền thống SD-WAN tự động tận dụng nhiều nguồn kết nối mạng,cải thiện hiệu suất và tính khả dụng Nó cũng giảm chi phí đáng kể bằng cách sửdụng kết nối Internet thay vì MPLS đắt đỏ Hơn nữa, SD-WAN cung cấp khả năngquản lý mạng tốt hơn thông qua giao diện trực quan và tự động hóa, giúp giảm côngviệc quản lý và tối ưu hóa tài nguyên mạng Do đó, nghiên cứu và triển khai SD-WAN là lựa chọn tối ưu để đối mặt với thách thức của mạng WAN truyền thống vàthúc đẩy tích hợp và tối ưu hóa hệ thống mạng trong thời đại kĩ thuật số

2 Mục tiêu :

- Hiểu được những kiến thức liên quan đến kiến trúc WAN truyền thống

- Hiểu được kiến thức cơ bản công nghệ SD WAN

- Thiết kế được sơ đồ mạng cho doanh nghiệp sử dụng công nghệ SD-WAN

- Triển khai được công nghệ SD WAN cho hệ thống mạng, đảm bảo tính sẵnsàng, bảo mật, giảm chi phí, tăng hiệu suất

- Ứng dụng được công nghệ SD-WAN vào trong môi trường thực tế

+Mạng WAN hoạt động như thế nào

- Tìm hiểu tổng quan về SD-Wan

+Định nghĩa,nguyên lý hoạt động ,Các lợi ích SD-Wan

+So Sánh SD-Wan so với Wan truyền thống

+Các giải pháp SD-Wan

+IWAN

+Meraki SD-WAN

+Cisco SD-WAN ( Viptela)

- Tìm hiểu về kiến trúc và các thành phần của SD-Wan

- Các vấn đề về bảo mật trong công nghệ SD-WAN

+Khái niệm đặc điểm

+Các dạng tối ưu trong vManage

- Bộ điểu khiển vSmart

+Giới thiệu chung về vSmart

+Giao thức OMP

- Bộ điều phối vEdge

+Giới thiệu chung về vEdge

+Cloud onRamp SaaS

+Cloud onRamp laas

- Sơ đồ hiện tại

+Đánh giá nhược điểm sơ đồ

- Vẽ sơ đồ đề xuất

+Đánh giá sơ đồ

4 Công việc cần thực hiện :

2

- Tìm hiểu tổng quan về SD WAN

- Lợi ích khi sử dụng công nghệ SD-WAN

- Giảm tải công việc người quản trị mạng

- Cải thiện hiệu suất mạng

- Tăng tính sẵn sàng cho mạng

- Giảm chi phí sử dụng mạng

B NỘI DUNG

I Ý tưởng thiết kế

Ngày nay, sự mở rộng nhanh chóng của mạng lưới và sự xuất hiện củacác ứng dụng ảo hóa, IoT (Internet vạn vật), các yêu cầu hoạt động dựa trên đámmây cần đáp ứng nhanh chóng, thuận tiện làm gia tăng thêm các đòi hỏi ngàycàng lớn đối với mạng WAN Nhưng do chi phí xây dựng, quản lý và xử lý lỗitrên mạng WAN rất cao và mạng diện rộng truyền thống gặp khó trong việcnâng cấp mạng nên việc xây dựng mạng diện rộng với thiết kế mới là cần thiết Mặc dù, công nghệ chuyển mạch nhãn đa giao thức (MPLS - MultiprotocolLabel Switching) trong mạng WAN vẫn đảm bảo chất lượng dịch vụ (QoS –Quality of Service), nhưng nó cũng đưa ra một số thách thức, chẳng hạn như chiphí băng thông cao, không thể triển khai cấu hình tập trung, thời gian cần thiết

để chuyển đổi/nâng cấp mạng hiện hữu

Chính vì thế SD-WAN (Software-Defined Wide Area Network) ra đờikhắc phục được những hạn chế của MPLS, được thiết kế để thay thế cho mạngWAN dựa trên MPLS truyền thống Với SD-WAN, các doanh nghiệp có thể sửdụng dịch vụ linh hoạt hơn, dễ dự đoán hơn với chi phí thấp hơn trong thời gianngắn hơn so với các dịch vụ MPLS Thiết lập mạng trở nên nhanh chóng hơn;tận dụng bất kỳ dịch vụ đường truyền dữ liệu có sẵn như MPLS, truy cậpInternet chuyên dụng (DIA - Dedicated Internet Access), băng thông rộng FTTH(Fiber To The Home) hoặc không dây 4G/5G; Và có thể cấu hình tự động cáckhu vực từ xa ngay lập tức SD-WAN có thể cung cấp các cải tiến về tính dựphòng và tính khả dụng vượt trội so với MPLS Doanh nghiệp có thể chuyển đổinhà cung cấp dịch vụ Internet, dùng chung hay kết hợp các nhà cung cấp dịch vụkhác và tạo mạng SD-WAN/ MPLS kết hợp để có thể định tuyến lưu lượng quamột cơ chế truyền tải khác trong trường hợp có kết nối kém hoặc ngừng hoạtđộng SD-WAN được hình thành bằng cách thiết lập các đường hầm được mãhóa (“lớp phủ”) giữa các khu vực Mỗi khu vực đều được trang bị thiết bị SD-WAN Mỗi thiết bị SD-WAN được kết nối với một tập hợp các dịch vụ mạng(thường là MPLS và một số dịch vụ Internet) và giám sát tính khả dụng và hiệusuất hiện tại của từng dịch vụ này Lưu lượng đi ra ngoài được định tuyến theođường dẫn tối ưu dựa trên các chính sách ứng dụng và điều kiện mạng theo thờigian thực

4

II Thiết kế hệ thống mạng sử dụng công nghệ SD-WAN

II.1 Sơ đồ hiện tại

Hình 1 Sơ đồ hiện tạiSTT Thiết bị Địa chỉ mạng Địa chỉ host Subnet Mask

1 Router 1 192.168.1.0/30 192.168.1.1 255.255.255.252

2 Firewall 1

192.168.1.0/30192.168.2.0/28192.168.3.0/28192.168.4.0/24

192.168.1.2192.168.2.1192.168.3.1192.168.4.1

255.255.255.252255.255.255.240255.255.255.240255.255.255.0

Bảng 1 Bảng quy hoạch địa chỉ IP mạng hiện tại

Mô tả Sơ đồ Mạng Hiện Tại:

Sơ đồ mạng hiện tại của công ty bao gồm tổng cộng 4 đơn vị: Trụ sởchính, Trung tâm Dữ liệu, Chi nhánh 1 và Chi nhánh 2 Việc kết nối giữa các chi

nhánh được thực hiện thông qua công nghệ Viettel MPLS (Mutil protocol LabelSwitching) Để đảm bảo an toàn cho hệ thống, mỗi chi nhánh sử dụng Firewall.Tại Trụ sở chính, các dịch vụ như Mail, Web, và DNS được đặt tại vùngDMZ (Demilitarized Zone) để người dùng từ bên ngoài internet có thể truy cập

và sử dụng những dịch vụ mà công ty cung cấp ra bên ngoài Quan trọng là, mức

độ bảo mật của công ty vẫn được duy trì Chi nhánh Trung tâm Dữ liệu đượcthiết kế để phục vụ việc truy cập từ các chi nhánh khác, giúp người dùng trongnội bộ công ty sử dụng các tài nguyên từ đơn vị này

Đánh Giá Sơ đồ:

Sơ đồ hiện tại có thể đáp ứng tốt nhu cầu của công ty, nhưng có một sốthách thức đối với người quản trị mạng Quản lý, cấu hình, kiểm soát, và theodõi toàn bộ các hoạt động trên các đường WAN (Wide Area Network) kết nốicác chi nhánh đòi hỏi nhiều công sức và có thể tăng đáng kể khối lượng côngviệc Cũng đối mặt với khó khăn trong việc phát hiện và sửa chữa lỗi trên đườngWAN

Việc sử dụng công nghệ MPLS mang lại hiệu suất cao, nhưng đồng thờicũng đi kèm với chi phí đáng kể Điều này đặt ra một thách thức lớn về chi phícho doanh nghiệp Vì vậy, có nhu cầu triển khai giải pháp và công nghệ mớinhằm giảm tải công việc cho người quản trị mạng, giảm thiểu sai sót trong cấuhình và sửa lỗi, cũng như giảm chi phí cho doanh nghiệp

6

II.2 Sơ đồ đề xuất

Hình 2 Sơ đồ đề xuấtSTT Thiết bị Địa chỉ mạng Host Subnet Mask

1 vEdge 1 192.168.1.0/30 192.168.1.1 255.255.255.252

2 Firewall 1

192.168.1.0/30192.168.2.0/28192.168.3.0/28192.168.4.0/24

192.168.1.2192.168.2.1192.168.3.1192.168.4.1

255.255.255.252255.255.255.240255.255.255.240255.255.255.0

Bảng 2 Bảng quy hoạch địa chỉ IP mạng đề xuất

II.3 Đánh giá lại

Chúng tôi đề xuất triển khai công nghệ SD-WAN của Cisco để giải quyếtnhững thách thức hiện tại trong sơ đồ mạng SD-WAN, hay Software-Defined

Wide Area Network, là một lời giải mạng độc lập, sử dụng phần mềm để quản lý

và kiểm soát mạng WAN, loại bỏ sự phụ thuộc vào các thiết bị phần cứng truyềnthống

SD-WAN mang lại một loạt các ưu điểm quan trọng Trước hết, nó giúpgiảm gánh nặng công việc cho người quản trị mạng trên đường WAN thông qua

tự động hóa nhiều nhiệm vụ và cấu hình Điều này giúp tăng hiệu suất công việc

và giảm nguy cơ sai sót

Quản lý router tại các chi nhánh trở nên dễ dàng hơn với giao diện quản

lý trực quan của SD-WAN Người quản trị có khả năng theo dõi và giải quyết lỗimột cách hiệu quả, giúp nhanh chóng đưa ra các biện pháp sửa chữa

SD-WAN cung cấp linh hoạt cao trong việc chuyển đổi giữa các đườngmạng, bao gồm cả MPLS truyền thống và kết nối Internet Điều này đồng nghĩavới việc cải thiện hiệu suất mạng và giảm độ trễ, tạo ra trải nghiệm mạng tốt hơncho người dùng

Cuối cùng, SD-WAN giúp quản lý và tối ưu hóa băng thông một cáchhiệu quả, dẫn đến giảm chi phí cho doanh nghiệp Bằng cách này, sự triển khaicủa SD-WAN không chỉ là một nâng cấp về công nghệ mạng mà còn là một đầu

tư thông minh với nhiều lợi ích kinh tế và hiệu suất

8

II.4 Bảng kê chi tiết

STT Tên thiết bị Mục đích sử

dụng Thông số kỹ thuật

Sốlượng

Giá(USD)

Thànhtiền(USD)

Total onboard WAN or LAN 10/100/1000 ports2

RJ-45-based ports2

SFP-based ports 1Memory 4 GB (default) / 8 GB (maximum)

GE RJ45 LAN Interfaces 40

GE SFP DMZ Interfaces 2Local Storage 64 GB

USB (Client / Server) 1/1Console (RJ45) 1

Giao diện kết nối:

- 48 cổng 10/100/1000

- 2 cổng kết nối Gigabit đồng /

3 1,100 3,300

SFPDòng sản phẩm:

250PCấp nguồn PoE+:

PoE+ 375W / 48 Port RJ45Dung lượng tronghàng triệu gói trên giây (mpps) (gói 64 byte) 74,41Chuyển đổi dung lượng trong Gigabit mỗi giây (Gbps) 100,0

or IP serviceLayer 2 switchingwith static routingand SVI supporting64MB flash and

256 memory (DRAM)

1 1,657 1,657

Bảng 3 Bảng kê chi tiết

10

III Các bước triển khai và vận hành

III.1 Công cụ được sử dụng

EVE-NG là viết tắt của "Emulated Virtual Environment - NextGeneration" (Môi trường ảo ảo hóa - Thế hệ tiếp theo) Đây là một nền tảng ảohóa được thiết kế để tạo và quản lý môi trường mạng ảo để thực hiện các thửnghiệm, triển khai, và kiểm thử các môi trường mạng

- Môi trường ảo hóa mạng: EVE-NG cung cấp một môi trường ảo hóa mạng,giúp người dùng tạo ra các mạng phức tạp với nhiều thiết bị mạng ảo như router,switch, firewall, và các thiết bị khác

- Hỗ trợ nhiều loại thiết bị: EVE-NG hỗ trợ nhiều loại thiết bị mạng từ nhiềunhà sản xuất khác nhau, bao gồm Cisco, Juniper, Palo Alto, và nhiều thiết bị khác

- Kiểm thử và thử nghiệm: Người dùng có thể sử dụng EVE-NG để kiểm tra

và thử nghiệm cấu hình mạng, gỡ lỗi, và triển khai các giải pháp mạng mà khôngcần phải có các thiết bị vật lý

- Tích hợp với học trực tuyến: EVE-NG thường được sử dụng trong các khoáhọc học trực tuyến và đào tạo về mạng, nơi người học có thể trải nghiệm và thựchành với các môi trường mạng ảo

- Quản lý và chia sẻ topologies: EVE-NG cho phép người dùng quản lý vàchia sẻ các topology mạng của họ, giúp trong việc hợp tác và truy cập các môitrường mạng ảo từ xa

Server (Server EVE-NG):

- EVE-NG yêu cầu một máy chủ để chạy Bạn có thể cài đặt EVE-NG trênmột máy chủ vật lý hoặc máy ảo

- Máy chủ cung cấp tài nguyên để chạy các thiết bị ảo và quản lý các môitrường mạng

Web Interface:

- Giao diện web là nơi bạn quản lý và tạo các thiết bị ảo, kết nối chúng vớinhau, và giám sát mạng

Nodes (Thiết bị ảo):

- Nodes là các thiết bị mạng ảo được sử dụng để mô phỏng các router, switch,firewall, hay các thiết bị khác

- EVE-NG hỗ trợ nhiều loại nodes, bao gồm Cisco, Juniper, VyOS, Linux,Windows, và nhiều loại khác.

Công nghệ SD-WAN của Cisco là một giải pháp mạng do phần mềm xáclập, giúp kết nối mọi người dùng, mọi ứng dụng, mọi nơi bằng sức mạnh củađám mây

- Separate Orchestration hỗ trợ tự động đưa các bộ định tuyến SD-WAN vàokiến trúc SD-WAN

- Management Plane chịu trách nhiệm cho cấu hình và giám sát hệ thống

- Control Plane xây dựng và duy trì cấu trúc liên kết mạng và định tuyến

- Data Plane chịu trách nhiệm chuyển tiếp các gói tin dựa trên các thông tinđịnh tuyến từ Control Plane

vManage (management)

- vManage là Hệ thống quản lý mạng (NMS) để định cấu hình và quản lý toàn

bộ giải pháp SD-WAN Bạn có thể sử dụng GUI hoặc REST API để truy cập nó.Đây là nơi bạn tạo cấu hình thiết bị và chính sách mạng vManage cũng cảnh báobạn khi có sự kiện hoặc mất điện

vSmart (controller)

- vSmart là mặt phẳng điều khiển của kiến trúc Bộ điều khiển vSmart quảngcáo các tuyến đường, bảo mật và thông tin chính sách Cisco SD-WAN sử dụngGiao thức quản lý lớp phủ (OMP) độc quyền cho việc này vSmart thực hiện cácchính sách mà bạn định cấu hình thông qua vManage

vEdge (routers)

12

- vEdge là bộ định tuyến phần mềm hoặc phần cứng tại các sites của bạn vàchịu trách nhiệm về mặt phẳng dữ liệu Bộ định tuyến vEdge kết nối với bộ điềukhiển vSmart thông qua kết nối Datagram Transport Layer Security (DTLS).

Cloud or on-premises

- Bạn có thể triển khai Cisco SD-WAN với sự kết hợp của các tùy chọn đámmây và tại chỗ:

+Bộ định tuyến vEdge và bộ điều phối vBond có sẵn dưới dạng phần

cứng hoặc máy ảo

+Bộ điều khiển vManage và vSmart chỉ khả dụng dưới dạng máy ảo.

- Bạn có thể chạy máy ảo tại chỗ trên ESXi hoặc KVM hoặc lưu trữ chúng tạicác nhà cung cấp đám mây như Amazon AWS hoặc Microsoft Azure

Cloud onRamp

Cloud OnRamp là một khái niệm trong lĩnh vực SD-WAN Defined Wide Area Network), được sử dụng để mô tả khả năng kết nối mạng vớicác dịch vụ đám mây một cách linh hoạt và hiệu quả Nó giúp tự động hóa quátrình triển khai và quản lý kết nối giữa chi nhánh và các dịch vụ đám mây nhưIaaS (Infrastructure as a Service), PaaS (Platform as a Service), hoặc SaaS(Software as a Service)

(Software-Có hai lựa chọn:

- Cloud onRamp SaaS

Cloud onRamp SaaS giám sát hiệu suất của tất cả các kết nối WAN từ vănphòng chi nhánh đến ứng dụng SaaS Mỗi đường dẫn nhận được điểm hiệu suất

“chất lượng trải nghiệm” từ 0-10, 10 là điểm cao nhất, nó đưa ra quyết định theothời gian thực để chọn đường dẫn hoạt động tốt nhất giữa người dùng cuối tạivăn phòng chi nhánh và ứng dụng SaaS trên đám mây Bạn có thể theo dõi điềunày trong vManage GUI.

- Cloud onRamp laas

Cloud onRamp laaS mở rộng mạng SD-WAN vào đám mây công cộng.Thông qua vManage, bạn có thể tự động tạo bộ định tuyến đám mây vEdgetrong cơ sở hạ tầng của nhà cung cấp cloud công cộng Điều này cho phép bạnkết nối trực tiếp từ bộ định tuyến vEdge tại chỗ của mình với bộ định tuyến đámmây vEdge tại nhà cung cấp đám mây công cộng

Giao thức OMP

Các router chi nhánh và SDWAN controller sẽ thiết lập quan hệ lánggiềng trong giao thức OMP (Overlay Management Protocol OMP) OMP là mộtgiao thức tựa như BGP, có thể quảng bá các routes, các giá trị next-hop, cáckhóa và các thông tin chính sách cần thiết để duy trì mạng SDWAN SDWANcontroller sẽ xử lý các OMP route được học từ các router SDWAN ở các chinhánh khác hoặc từ SDWAN controller để xác định các sơ đồ mạng và tính đượcđường đi tốt nhất đến mạng đích Sau đó nó sẽ quảng bá các thông tin học được

từ các router này đến các router khác

Bảo mật trong SD-WAN

Các SDWAN controller thường sẽ được cài đặt trước các thông tin để cácrouter chi nhánh muốn kết nối vào phải thực hiện xác thực Các thông tin xácthực này sẽ đảm bảo là chỉ có những thiết bị đã xác thực mới có được quyền truycập vào mạng trục SDWAN fabric Thông tin dùng để xác thực có thể dựa vào

mã số serial no hoăc dựa vào các chứng thực điện tử Sau mỗi lần xác thực thànhcông, các SDWAN controller sẽ thiết lập một đường hầm bảo mật dTLS đếntừng router router Ngoài ra, dữ liệu truyền giữa các mạng chi nhánh về vănphòng chính HO cũng được mã hóa Một số hiện thực SDWAN còn trang bịthêm tính năng tường lửa cho các router ở chi nhánh

III.2 Các bước triển khai

Bước 1: Cài đặt EVE-NG

- Thực hiện việc cài đặt nền tảng giả lập hệ thống mạng EVE-NG trên

ảo hoá VMware

Bước 2: Import node

14