Hướng dẫn thiết kế và triển khai mạng chuyển mạch doanh nghiệp trên thiết bị Cisco

MỤC LỤC

Thiết kế theo mô hình mạng phân lớp .a Tổng quan

Với một hệ thống mạng được thiết kế có cấu trúc phân lớp nhằm tránh sự phức tạp hóa trong mạng, việc chia ra các lớp nhỏ giúp nhóm những thiết bị, các giao thức kết nối và tính năng cụ thể cho từng lớp một, giải quyết các sự cố một cách nhanh nhất liên quan trực tiếp tới một lớp nào đó. Theo cấu trúc trên thì việc phân bố các thiết bị chuyển mạch đa lớp ở ba phân lớp mạng khác nhau bao gồm các thiết bị chuyển mạch lớp 2 tại lớp truy cập mạng (access network) và các thiết bị chuyển mạch lớp 2 và 3 tại lớp mạng trục và phân bố (distribution, core network) cung cấp được khả năng hoạt động cao và độ tin cậy trong việc cung cấp dịch vụ trên mạng.

Hình 1.6: Enrterprise Campus
Hình 1.6: Enrterprise Campus

Thiết kế theo mô đun

Phương thức thiết kế bảo mật cho hệ thống mạng được sử dụng là Kiến trúc an ninh cho các Doanh nghiệp – SAFE (Security Architecture for Enterprise Networks), được xây dựng dựa trên nền tảng các công nghệ an ninh mạng tiên tiến nhất để bảo vệ các cuộc tấn công từ bên ngoài và bên trong của hệ thống mạng các doanh nghiệp. Với sự phân cấp bảo vệ trong Campus Module giúp cho việc thiết lập hệ thống an ninh mạng được linh động và độc lập giữa các Module, nhờ vậy công việc tổ chức và quản trị trở nên dễ dàng hơn và giúp cho doanh nghiệp có thể mở rộng, gia cố và khắc phục các vấn đề an toàn cho hệ thống mạng khi có sự cố xảy ra.

Hình 1.8: Kiến trúc theo kiểu modular
Hình 1.8: Kiến trúc theo kiểu modular

Quy trình triển khai PPDIOO .1 Tổng quan

Đồng thời sử dụng nhiều cộng nghệ và giải pháp bảo mật kết hợp để tăng cường sức mạnh hệ thống phòng vệ như phối hợp Firewall làm công cụ ngăn chặn trực tiếp, IDS làm công cụ "đánh hơi", phản ứng phòng vệ chủ động, Anti-virus để lọc virus..v.v. • Design: Trong giai đoạn thiết kế, các chuyên gia thiết kế mạng sẽ phát triển và trình bày các thiết kế ở mức độ chi tiết mà họ sẽ thực hiện để đáp ứng yêu cầu cho các nhu cầu sử dụng hiện tại cũng như tính sẵn sàng, bảo mật, khả năng mở rộng và hiệu suất của hệ thống mạng.

CÁC CÔNG NGHỆ SỬ DỤNG TRONG HẠ TẦNG MẠNG CHUYỂN MẠCH CỦA DOANH NGHIỆP

Công nghệ VLAN .1 Khái niệm

  • Phân loại VLAN
    • Chuẩn trung kế VLAN: ISL và 802.1Q .1 ISL ( Inter – Switch Link )

      Cisco giới thiệu một sự tương thích 1-1 giữa VLAN và các mạng con, nghĩa là nếu một mạng con với một mask 24 bit được sử dụng cho một VLAN, như vậy có nhiều nhất 254 thiết bị trong VLAN và các VLAN không mở rộng miền lớp 2 đến Distribution Switch. Giao thức Trunking được phát triển để nâng cao hiệu quả quản lý việc lưu chuyển các Frame từ các Vlan khác nhau trên một đường truyền vật lý.Thiết lập các thỏa thuận cho việc sắp xếp các Frame vào các cổng được liên kết ở hai đầu đường trunk.

      Hình 2.1 Mô hình VLAN
      Hình 2.1 Mô hình VLAN

      Giao thức trung kế VLAN (VLAN trunking protocol – VTP) .1 Giới thiệu

        Khi một switch hoạt động ở chế độ client VTP hoặc một transparent VTP kết nối lần đầu vào một hệ thống mạng thông qua kết nối trung kế, nó không thể ảnh hưởng đến các cấu hình hiện tại bởi vì các chế độ hoạt động này không thể tạo ra các gói tin cập nhật VTP. Thông báo tập con có thể gồm có các thông số VLAN như: trạng thái của VLAN, kiểu VLAN (Ethernet hoặc Token Ring), MTU, chiều dài tên VLAN, số VLAN, giá trị nhận dạng kết hợp với bảo mật SAID (Security Association Identifer), và tên VLAN.

        Hình 2.8: Quá trình hoạt động của VTP
        Hình 2.8: Quá trình hoạt động của VTP

        Inter VLAN Routing

          Các Catalyst switch (server-mode) lưu trữ thông tin VTP không liên quan đến cấu hình switch trong NVRAM VLAN và dữ liệu VTP được lưu trong file vlan.dat trên hệ thống file bộ nhớ Flash của switch. Như ta đã biết swit ch chuyển tiếp các frame broadcast ra tất cả các port sẵn có trong miền broadcast, còn các frame multicast thì được chuyển tiếp theo nghĩa thông minh hơn, nhưng cũng cùng một kiểu. Khi switch không tìm thấy địa chỉ MAC đích trong bảng chuyển tiếp thì nó phải chuyển frame ra tất cả các port để cố gắng tìm đến đích.

          Thông thường, trong mạng có một vài switch, các liên kết trunk giữa các switch và VTP được sử dụng để quản lý việc truyền thông tin VLAN. Các frame broadcast hoặc các frame unicast không xác định trên một VLAN chỉ được chuyển tiếp trên liên kết trunk nếu switch nhận trên đầu cuối của trunk có port thuộc VLAN đó. Router on a stick là kiến trúc cơ bản nhất trong Inter-vlan-routing.Trong kiến trúc này Router chỉ đơn giản là kết nối vlan với nhau và chuyển tiếp lưu lượng giữa Inter vlan và vlan thích hợp nhằm tạo ra một giao diện vật lý đơn lẻ các tuyến đường giao thông giữa nhiều vlan trên cùng một mạng.

          Hình 2.10: Routing VLAN dùng Router – on a Stick
          Hình 2.10: Routing VLAN dùng Router – on a Stick

          Giao thức cây mở rộng ( Spanning tree protocol – STP ) .1 Giao thức cây mở rộng 802.1D – STP

            Khi một con switch nhận được BPDU từ một switch khác trên cùng 1 phân đoạn mạng hoặc từ 1 switch kết nối trực tiếp với nó có giá trị Root Patch Cost thấp hơn giá trị mà nó nhận từ gói BPDU khác thì ngay lập tức switch sẽ cho Port đấu với láng giềng là Designated cho phân đoạn mạng đó. Sau khi bridge phân chia được các cổng như cổng gốc, cổng được chỉ định và cổng không được chỉ định, thì việc tạo ra cấu trúc mạng chứa loop-free không phức tạp lắm, cổng gốc và cổng được chỉ định chuyển tiếp lưu lượng, trong khi cổng không được chỉ định thì khóa lưu lượng. Sau khi hệ thống mạng chuyển mạch đã hội tụ,tất cả các port trên mọi switch và bridge đều ở trạng thái truyền dữ liệu hoặc trạng thái khoá.Port truyền dữ liệu là port có thể truyền,nhận dữ liệu và BPDU.Port khoá là port chỉ nhận gói BPDU mà thôi.

            Trong khi đó Cat-B vẫn nhận được gói BPDU đều đặn trên port 1/2.Cat-B đợi hết thời gian chờ tối đa(max-age) là 20 giây mới xác định kết nối trên port 1/1 đã chết và bắt đầu chuyển sang trạng thỏi cho port 1/2.Port ẵ khụng thể chuyển ngay từ trạng thỏi khoỏ sang trạng thỏi truyền dữ liệu được mà phải trải qua 2 trạng thái trung gian là trạng thái lắng nghe và trạng thái học, mỗi trạng thái này kéo dài 15 giây. Ta có thể tạo một mạng chuyển mạch backbone dự phòng với Spanning tree bằng cách kết nối hai interface của switch với một hoặc hai switch khác, ví dụ trong hình 1, Spanning tree sẽ tự động disable một interface nhưng sẽ lại enable nếu interface khác bị lỗi. Trong RSTP, trạng thái loại bỏ ( discarding ) có nghĩa là cổng sẽ không truyền hay nhận khung tin hoặc học địa chỉ MAC, bất chấp cổng có bị tắt, sự cố,…Khi RSTP đã quyết định chuyển từ trạng thái discarding sang chuyển tiếp, cổng đó sẽ ngay lập tức đi vào trạng thái học.

            Hình 2.14: Định dạng của một DIXv2 Ethernet frame
            Hình 2.14: Định dạng của một DIXv2 Ethernet frame

            Công nghệ Ether channel .1 Giới thiệu

            • Các giao thức bắt tay trong Etherchannel .1 PagP (Port Aggregation Protocol)

              Ví dụ nếu bạn cho phiên bản instance 1 của MST chạy trên VLAN 1 đến VLAN 4 và VLAN 5-8 đến cũng instance 1 trên switch khác, hai switch sẽ không xem như chúng cùng region, mặc dù cả tên region và chỉ số revision là như nhau. Mỗi phiên bản cho một nửa số VLAN Nếu có hai phiên bản, các switch ở lớp truy cập sẽ truyền các khung tin của các VLAN còn lại trên kết nối của nó tập cho tập hợp một số VLAN và truyền các khung tin của các VLAN còn lại trên kết nối kia. Nếu chỉ sử dụng một địa chỉ hay một cổng thì việc truyền tải qua cổng này hay cổng khác được thực hiện dựa vào các bit cuối cùng và phụ thuộc vào số cổng của Etherchannel.

              Nếu sử dụng cả cổng đích, và nguồn thì thuật toán này được thực hiện nhờ phép toán XOR các bit cuối của địa chỉ.Thuật toán hash sẽ tính toán ra giá trị nhị phân, giá trị này sẽ chọn ra một kết nối trong bundle để chọn ra kết nối thành viên nào sẽ mang frame đó. Ví dụ: Cisco switch kết nối với một file server, file server này không hổ trợ PagP nhưng ta vẫn muốn thực hiện một kết nối Etherchannel giữa switch và file server nhằm tăng băng thông. Đối với LACP cho phép chúng ta nhóm nhiều liên kết lại thành 1 bundle nhưng cũng cho phép chúng ta chỉ sử dụng một số liên kết trong bundle đó mà thôi.Các liên kết còn lại trong bundle sẽ ở trạng thái Stanby sẽ Up lên khi các liên kết đang bị down.

              XÂY DỰNG MÔ HÌNH MẠNG CHUYỂN MẠCH CỦA DOANH NGHIỆP TRÊN THIẾT BỊ CỦA CISCO

              Yêu cầu

                • Dùng lệnh sau để cấu hình VTP AS11(config)#vtp domain PTIT AS11(config)#vtp password 123 AS11(config)#vtp mode client. DS11 (config-range-if)#switchport trunk encapsulation dot1q DS11 (config-range-if)#switchport mode trunk. DS11 (config-range-if)#switchport trunk encapsulation dot1q DS11 (config-range-if)#switchport mode trunk.

                • Dùng lệnh sau để đặt IP cho cổng port-channel 3 DS11 (config-if)#interface port-channel 3 DS11 (config-if)#no switchport. DS11 (config)#spanning-tree vlan 3 root primary DS11 (config)#spanning-tree vlan 4 root primary DS11 (config)#spanning-tree vlan 5 root secondary DS11 (config)#spanning-tree vlan 6 root secondary DS11 (config)#spanning-tree vlan 7 root secondary DS11 (config)#spanning-tree vlan 8 root secondary.

                Kết quả