- Lắp đặt với đường dây thuê bao có sẵn và đủ điều kiện
2.3. Phương pháp triển kha
Vấn đề quy hoạch toàn mạng, điểm này rất quan trọng. Quy hoạch địa chỉ IP: Tức là khi tập đoàn cấp cho mỗi tỉnh một class B cho cả Viễn thông và Bưu chính (vì hồi xưa là 1). không biết là các tỉnh phân phối thế nào, theo chúng ta thì lấy ít nhất một block 64 class C, chẳng hạn 10.x.192.x/20, nhiều hơn càng tốt, có mấy lý do sau:
o Mỗi sở giao dịch nên cấp cho một block 64 địa chỉ (/26) hoặc 128 địa chỉ (/25). Nên là 64 địa chỉ vì như vậy không quá phí, cũng không chi nhỏ hơn vì không cần thiết mà sau này mở rộng lại rất khó khăn. Chẳng hạn sở giao dịch lớn và muốn chia đôi cái mạng của họ, có thể tách thành hai block 32 địa chỉ mà không ảnh hưởng tới định tuyến chung trên trung tâm.
o Nếu một tỉnh có 200 sở giao dịch (chắc không đến đâu nhỉ) thì sẽ dành 50 class C ra để quy hoạch cho các sở giao dịch, 14 lớp còn lại cho các mục đích khác như đấu nối, Trung tâm THDT, các sở giao dịch to có thể cấp cả 1 class C, ... o Như vậy bảng routing của tỉnh sẽ chỉ là các subnet /26 thống nhất, bảng routing bên MegaWAN làm cho mình cũng thống nhất, bảng routing sẽ clear và dễ làm hơn. Sai đâu biết ngay.
o Bảng routing của Post*Net cũng clear hơn nhiều, định tuyến cho mỗi tỉnh một block 10.x.192.x/20. Chẳng hạn mạng của mấy bác Viễn thông có lên mạng Post*Net chơi thì còn biết lối mà về không lại đi một đường, về một đường gặp firewall nó lại drop đi thì toi.
o Điều này càng có ý nghĩa khi làm IPSec Site-to-Site VPN, vì nó yêu cầu phải xác định rõ "source network" và "destination network". Đặc biệt khi dùng VPN làm dự phòng, cần làm floating route.
Về mạng của từng tỉnh, quy hoạch IP trên cần thực hiện nghiêm túc vì mạng phức tạp hơn. Nhất là khi dùng VPN làm dự phòng, dự phòng này trước mắt có thể chưa chú trọng nhưng tương lai thế nào cũng phải làm, vì mấy lý do:
o MegaWAN thực ra cũng là mạng truy nhập thế nào chẳng có lúc đứt o ADSL truy nhập Internet thì có sẵn
o Dự phòng dùng IPSec trên nền Internet ADSL không phải trả thêm chi phí o MegaWAN cũng phải trả tiền, nếu VPN chạy tốt có thể chuyển ngược lại MegaWAN thành dự phòng cho đỡ tốn chi phí. Về định tuyến, nếu dùng MegaWAN hay IPSec VPN ở các sở giao dịch thì vẫn nên đặt mấy entry cơ bản: o 10.0.0.0/8 --> Trung tâm THDT
o 0.0.0.0/0-->Internet
Nên đặt thế vì sau nó có thể đi lên Post*Net hay đi đâu cũng được, phụ thuộc vào Trung tâm THDT tại Văn phòng Cty cho đâu thì đi, nếu ta mà định tuyến theo các lớp nhỏ thì sau này bảng định tuyến lớn, nhầm lẫn, mở rộng mạng phải làm lại định tuyến là chết dở
Về kết nối, nên dùng G.SHDSL ở trung tâm, ADSL ở các sở giao dịch
o G.SHDSL downlink/uplink đối xứng, cần thiết cho trung tâm
o ADSL thiết bị rẻ, phổ biến, chi phí thuê cũng rẻ thích hợp cho làm các sở giao dịch
o Tính phổ biến của thiết bị rất quan trọng vì modem kết nối với cáp thuê bao nguy cơ bị sét, nguồn điện, ... rất lớn. Nếu dùng modem ADSL thì sẽ nhanh chóng
Về thiết bị, nên dùng firewall tại các sở giao dịch lớn > 10 máy tính, cũng có mấy lý do:
o Nếu có nối Internet ADSL thì nhất thiết nên có firewall
o MegaWAN thực sự là MPLS trên nền NGN, thiết lập kiểu hub-to-spoke nếu xét trên phương diện mạng Bưu chình thì hub là Trung tâm, Văn phòng Cty nhưng cái hub thực sự chính là NGN, khi một note mạng (sở giao dịch) attack ra ngoài (virus chẳng hạn) thì ko chỉ trung tâm mạng bị nghẽn mà cả các sở giao dịch khác cũng chịu chung số phận. Nghĩa là chẵng có ai đi đâu được. Firewall có thể giúp nhanh chóng phát hiện và cách ly nguồn tấn công (IPS)
o Firewall có thể kết nối IPSec VPN
o Firewall có thể dùng định tuyến: hướng đi Internet, hướng đi Văn phòng cty, Post*Net, ... Không nên dùng Router như kiểu Cisco vì tính năng định tuyến thì tốt nhưng tính năng bảo mật thì kém, chi phí lại cao.
o Trên thế giới hiện nay chỉ có 4-5 thằng là chipset ADSL, tất cả các hãng làm modem đều mua của bọn này về, chế biến thêm tí, viết cái firmware nhét vào nên modem dù tốt nhất thì cũng rất hạn chế và khả năng quản lý connection nhất là khi dùng NAT, nếu dùng thêm IPSec thì càng hạn chế. Firewall có thể quản lý connection thay cho modem (hoạt động mode bridging)
o Firewall nhỏ hiện nay chi phí rất hợp lý