THIẾT KẾ HẠ TẦNG MẠNG LAN DỰ PHÒNG ĐẦY ĐỦ SỬ DỤNG VIRTUAL SWITCH, LOẠI BỎ STP

Về nguyên tắc thiết kế dự phòng trong bài này, tương tự như bài trước “thiết kế hạ tầng mạng LAN dự phòng đầy đủ sử dụng STP”. Tuy nhiên điểm khác biết duy nhất trong thiết kế này là sử dụng Virtual Switch (sử dụng StackWise hoặc FlexStack) thay vì sử dụng STP để đảm bảo tính HA của hệ thống mạng. với việc ứng dụng Virtual Switch, mang lại rất nhiều ưu điểm vượt trội mà không thể tìm thấy trong bài trước, chi tiết sẽ được đề cập trong nội dung dưới đây.

Sơ Đồ Mạng (Network Diagram) Sơ đồ kết nối tổng quan

Về nguyên tắc tổng quan khi thiết kế hệ thống mạng LAN dự phòng đầy đủ sử dụng Cisco StackWise/StackWise+ (gọi chung là StackWise) cũng tương bao gồm các module như trong phần thiết kế hệ thống mạng LAN dự phòng đầy đủ sử dụng STP. Tuy nhiên, điểm khác biệt là, thay vì sử dụng STP để đạt khả năng dự phòng, trong thiết kế này sử dụng Multichassis EtherChannel (MEC - xem lại phần thuật ngữ ở phần trước) để kết nối các module nhằm đảm bảo khả năng High Availability (HA) của hệ thống mạng. Tính năng chính được sử dụng trong mô hình thiết kế này là MEC ở Layer 2 và Dynamic Routing ở Layer 3.

Chi tiết được đề cập như bên dưới:

- Hệ thống mạng được thiết kế dựa trên nguyên tắc module hóa các thành phần.

- Việc module hóa khi thiết kế có những đặc điểm nổi bật sau:

o Sử dụng MEC ở Layer 2 và Dynamic Routing ở Layer 3 để cung cấp HA.

o Đơn giản, rõ ràng.

o Có thể mở rộng hệ thống mạng dễ dàng.

o Tách biệt rõ ràng chứng năng của từng module, từ đó có đầy đủ thông tin để chọn lựa đúng thiết bị mạng cho từng module:

Core/Distribution Block: là module trung tâm của hệ thống mạng, chịu trách nhiệm kết nối các module còn lại với nhau. Từ đây có thể thấy ưu tiên chọn thiết bị ở lớp này là “càng nhanh càng tốt”.

Access Layer Block: là module cung cấp kết nối cho người dùng cuối. Ưu tiên khi chọn thiết bị thuộc module này là “cung cấp nhiều cổng kết nối downlink cho người dùng, đồng thời phải có kết nối Uplink tốc độ cao để kết nối lên module Core/Distribution”, và tối ưu hóa chỉ số “giá thành / cổng downlink”. Thông thường thiết bị sử dụng tại module này chỉ cần hỗ trợ các tính năng ở lớp 2.

Server Farm Block: đây là module cung cấp kết nối cho các máy chủ (Servers) cung cấp dịch vụ trong mạng nội bộ, ví dụ: AD, DNS, DHCP, File, Application, Database. Thiết bị chọn ở lớp này cần có cổng kết nối downlink tốc độ tối thiểu là 1Gbps và hoạt động ở lớp 2.

WAN Block: là module cung cấp kết nối đến các chi nhánh khác. Thông thường, thiết bị trong module này cần hỗ trợ:

Các cổng giao tiếp WAN: Serial, FTTH, ADSL, …

Các tính năng: định tuyến động, mã hóa VPN ở phần cứng (VPN supported in hardward).

Internet Access Block: là module nằm ở ngoài cùng của hệ thống mạng, cung cấp kết nối Internet cho người dùng nội bộ. Thông thường thiết bị được chọn ở module này cần hỗ trợ các tính năng:

Định tuyến.

NAT/PAT.

Firewall.

Remote Access VPN.

DMZ Block: là module kết nối trực tiếp với module “Internet Access Block”. Chức năng của module này:

Cung cấp các dịch vụ ra ngoài Internet: Mail, Web.

Sơ đồ mạng kết nối vật lý

Sơ đồ mạng virtual switch

Nhằm đạt được tiêu chí xây dựng hệ thống mạng mô hình SMB đảm bảo tính HA, do đó chi tiết thiết bị đề xuất cho các module như sau:

Core/Distribution Block: 2 x Cisco Catalyst 3750-X (có hỗ trợ công nghệ StackWise+) với cổng kết nối tốc độ tối thiểu 1Gbps và hoạt động ở lớp 3. Đây là khối trung tâm vận chuyển traffic giữa các khối còn lại, giữa 2 Core/Dist Switch được kết nối với nhau thông qua cable đặc biệt gọi là Stack Cable (kèm theo khi mua Switch) với tốc độ kết nối là 64Gbps (Full Duplex), cụ thể sẽ được đề cập trong phần Logical Diagram.

Access Layer Block: n x Switch có cổng kết nối downlink tốc độ tối thiểu 100Mbps và tối thiểu 2 Uplink 1Gbps, hoạt động ở lớp 2. Các Access Switch được kết nối tối thiểu 2 Uplink lên mỗi Core/Dist như mô hình. Đảm bảo nếu 1 Core/Dist gặp sự cố, traffic tự động được chuyển sang Core/Dist còn lại.

Server Farm Block:

2 x Firewall: có tối thiểu 3 cổng kết nối tốc độ tối thiểu 1Gbps và có Firewall Throughput tối thiểu 1Gbps. FW được cấu hình để hoạt động ở Mode Cluster, đảm bảo nếu 1 FW gặp sự cố, FW còn lại sẽ tự động được active. FW được kết nối vào Core/Dist Switch và Server Switch như mô hình, đây là mô hình FW được kết nối vật lý giữa Core/Dist và Server Farm, nhằm sử dụng tối đa throughput cao của Internal FW.

2 x Switch hỗ trợ Flex Stack (Catalyst 2960S) hoặc StackWise+ (Catalyst 3750-X) với cổng kết nối downlink/uplink tốc độ 1Gbps và hoạt động ở lớp 2. Các Server với 2 NIC Port được kết nối vật lý vào 2 Server Switch như mô hình và được cấu hình NIC Teaming nhằm đảm bảo nếu 1 Server Switch gặp sự cố, traffic sẽ được tự động chuyển sang Server Switch còn lại.

Lưu ý: Catalyst 2960S chỉ hỗ trợ tối đa 6 EtherChannel Group trong khi Catalyst 3750-X hỗ trợ số lượng EtherChannel Group lên đến 48. Do đó nếu số lượng Server cần kết nối vào Server Switch sử dụng LACP là nhiều thì nên chọn Catalyst 3750-X, ngược lại có thể chọn Catalyst 2960S để giảm chi phí.

WAN Block:

2 x Router có cổng kết nối LAN/WAN tương ứng. Nhằm đảm bảo tính HA, 2 Router nên được kết nối vào 2 ISP khác nhau và 1 điều quan trọng là nên yêu cầu 2 ISP này sử dụng 2 đường kết nối vật lý riêng biệt (ví dụ: không đi chung trụ điện, đấu chung ODF, … mà thông thường điều này rất khó được đáp ứng).

2 x WAN Switch hỗ trợ Flex Stack (Catalyst 2960S) và hoạt động ở lớp 2. 2 WAN Switch này cung cấp kết nối ở lớp 2 thuần túy và được kết nối như mô hình, (có thể dùng chung với DMZ Switch bằng cách chia 1 VLAN riêng biệt trên DMZ Switch và được chỉ định dùng riêng cho WAN Router)

DMZ Block, Internet Access Block:

2 x Switch hỗ trợ Flex Stack (Catalyst 2960S) có tốc độ tối thiểu 100Mbps và hoạt động ở lớp 2.

Lưu ý: có thể sử dụng 2 Switch có hỗ trợ StackWise (Catalyst 3750) để sử dụng chung cho WAN Block và DMZ Block, bằng cách chia VLAN.

2 x Firewall: hỗ trợ IPSEC VPN hoặc SSL VPN (nếu yêu cầu). Tương tự như Internal FW, 2 External FW cũng được cấu hình để chạy ở Mode Cluster, nhằm đơn giản trong thiết kế, và thông thường kết nối Internet tốc độ không lớn, do đó 2 External FW sẽ được thiết kế ở dạng “Firewall on a Stick”. Trong đó 1 cổng được kết nối giữa 2 FW được sử dụng làm Heartbeat traffic, 2 cổng còn lại được kết nối vào mỗi Core/Dist Switching như mô hình trên, nếu sử dụng Cisco ASA5500, 2 cổng này sẽ được cấu hình ở Mode Channel (2 cổng sẽ hoạt động ở Mode Active theo kỹ thuật EtherChannel). Và Interface Channel này được cấu hình 3 SubInterface bao gồm: TRUSTED (facing to LAN), UNTRUSTED (facing to Internet) và DMZ.

2 x Router: có cổng kết nối LAN/WAN tương ứng.

Chi tiết được đề cập trong mô hình kết nối luận lý bên dưới.

Sơ đồ mạng kết nối luận lý

Core/Distribution Switch: Do 2 Switch được kết nối Stack với nhau, do đó về mặt hoạt động, sẽ giống như 1 Switch (ví dụ: 2 Switch 3750-X có 48 port 1G, khi kết nối với nhau qua kết nối Stack, khi login vào Switch sẽ thấy 1 Switch với 96 port 1G). Switch được cấu hình là STP Root Bridge (lưu ý, mặc dù thiết kế này không cần STP nhưng recommend là vẫn enable STP). Cấu hình Interface VLAN để InterVLAN Routing và chạy OSPF Routing. Cấu hình EtherChannel với FW và các Access Switch.

Access Switch: Cấu hình 2 Uplink Port là Layer 2 Trunking Dot1Q EtherChannel. Như vậy tại 1 thời điểm, cả 2 Uplink Port kết nối trực tiếp với 2 Core/Dist Switch sẽ được active, giúp tốc độ của Uplink sẽ là 2Gbps.

Internal Firewall: Mỗi FW được cấu hình Interface Channel LACP với 2 Core/Dist Switch và Interface Channel LACP với 2 Server Switch. 2 FW được cấu hình FW Cluster và có 2 Zone: TRUSTED (facing to Servers Farm), UNTRUSTED (facing to LAN). FW có nhiệm vụ filter traffic từ người dùng nội bộ truy cập vào các ứng dụng được triển khai trong Server Farm.

Server Switch: hoạt động như 1 Switch (do sử dụng FlexStack trong 2960S hoặc StackWise+ trong 3750-X) chỉ hoạt động ở Layer 2, được cấu hình các tính năng ở Layer 2 (EtherChannel, VLAN, Trunking, …)

DMZ Switch: hoạt động như 1 Switch (do sử dụng FlexStack trong 2960S) chỉ cấu hình các tính năng ở Layer 2 tương tự với Server Switching.

Internet Firewall: được thiết cấu hình với 3 zone: UNTRUSTED (facing to Internet), DMZ và TRUSTED (facing to LAN). FW có nhiệm vụ filter các yêu cầu truy cập từ Internet vào DMZ, từ DMZ vào Internal, … cung cấp chức năng NAT từ Internet và DMZ (NAT/PAT 1-1), Internal Users to Internet (Dynamic NAT/PAT n-1). Và được cấu hình như VPN Server (IPSEC VPN hoặc SSL VPN) giúp người có thể truy cập tài nguyên nội bộ an toàn từ Internet.

Internet Router: cung cấp WAN port và định tuyến giúp Internet FW có thể forward traffic ra/vào Internet, trong 1 vài trường hợp, nếu Internet connection là RJ45 (FTTH,…), có bỏ qua Internet Router để kết nối Internet link trực tiếp vào External Switch.

WAN Router: cung cấp các kết nối WAN (Serial, T3, …), Dynamic Routing (OSPF, EIGRP) và Site-to-Site IPSEC VPN (hoặc DMVPN, GetVPN) nhằm kết nối đến các site khác của doanh nghiệp.

Spanning Tree Diagram

Không có loop trong mô hình thiết kế sử dụng Stack, tuy nhiên cần thực hiện cấu hình tối ưu hóa cho STP như sau: sử dụng Rapid-PVST trên tất cả các Switch, cấu hình Core/Dist là STP Root Bridge, cấu hình STP Portfast, BPDU Guard, BPDU Filter trên các cổng downlink của Access Switch.

Logical Diagram for External Firewall

Về traffic flow khi User truy cập Internet hoàn toàn giống như trong mô hình “thiết kế hệ thống mạng dự phòng đầy đủ sử dụng STP”, tuy nhiên điều khác biệt ở đây là băng thông trên kết nối giữa FW và Core/Dist được nâng lên gấp 2 lần và hệ thống mạng sẽ “phục hồi” nhanh hơn (đơn vị tính là ms).

Đối với Cisco Firewall ASA5500, khi cấu hình Cluster cho 2 FW, 2 FW sẽ hoạt động Logic như 1 FW, 2 cổng kết nối vật lý từ mỗi FW vào 2 Core/Dist Switch sẽ được cấu hình ở Mode Channel sử dụng LACP (cả 2 port đều hoạt động ở mode Active). Do chúng ta cần chia 3 Zone (TRUSTED, DMZ và UNTRUSTED), do đó trên Interface Channel sẽ được cấu hình 3 SubInterface với các VLAN lần lượt thuộc: TRUSTED, DMZ và UNTRUSTED như mô hình trên.

Trên mô hình là 1 ví dụ traffic flow khi Users muốn truy cập Internet:

Example: Traffice flow from USERS to INTERNET:

Users ==(user vlan)==> Access Switch ==(trunking)==> Core Switch ====(trusted vlan)====> External Firewall ==(untrusted vlan) ==> Core Switch ==(untrusted vlan)==> External Switch ==(untrusted vlan)==> Router ====> INTERNET.

Sơ đồ định tuyến

Về hoạt động định tuyến trong thiết kế này, điểm khác biệt duy nhất so với thiết kế trước là không còn sử dụng OSPF trên 2 Core/Dist Switch nữa, mà thay vào đó OSPF được cấu hình trên “1 Switch Stack”, giúp đơn giản hóa hơn rất nhiều trong việc cấu hình, tối ưu cũng như troubleshoot lỗi.

Giả sử đây là Trụ Sở chính của doanh nghiệp. OSPF được sử dụng và thiết kế như mô hình trên:

OSPF Area 0 (Backbone Area): bao gồm các thiết bị: Core/Dist Switch, WAN Router, Internal FW.

Cấu hình để OSPF chỉ quảng bá default route hoặc summary route để các Stub Area ở các site khác. Lưu ý về kết nối giữa 2 Core/Dist Switch, chỉ dùng Layer 3 Ether Channel giữa 2 Switch này để tạo OSPF neighbor, các Interface VLAN Routing cho End Users được cấu hình ở Mode Passive.

OSPF Area N (Stub or Totally Stub Area): mỗi Site được thiết kế thuộc về 1 Stub Area, các site này chỉ nhận default route (nếu là totally stub area) hoặc các summary route (nếu là stub area) từ Backbone Area.

Để thiết kế trên thực sự tối ưu, đòi hỏi người thiết kế phải làm thật tốt công việc phân hoạch địa chỉ IP cho từng chi nhánh. Mỗi chi nhánh phải được lên kế hoạch cụ thể sẽ sử dụng range IP nào, nên assign 1 range IP Address liên tục đủ lớn, đáp ứng nhu cầu phát triển / mở rộng số lượng người dùng của chi nhánh trong tương lai, tránh việc assign nhiều Rang IP Address không liên tục, sẽ làm giảm hiệu quả việc việc Route Summary.

Thảo Luận Về Ưu và Khuyết Điểm Trong Thiết Kế

Ưu Điểm:

- Hệ thống mạng hỗ trợ đầy đủ HA.

- Không sử dụng STP như một giao thức phòng tránh loop ở Layer 2, do đó loại bỏ hoàn toàn những vấn đề nghiêm trọng có thể gặp phải khi sử dụng STP, như: broadcast storm do STP hoạt động không đúng, …

- 2 cổng Uplink được sử dụng đồng thời do được cấu hình EtherChannel và MEC.

- Hệ thống mạng hội tụ nhanh hơn (đơn vị tính là milisecond) khi 1 thiết bị hoặc uplink port gặp sự cố.

- Core/Dist Catalyst 3750-X (StackWise+), hoặc các Server/WAN/DMZ Switch Catalyst 2960S (FlexStack) được kết nối với nhau thông qua Stack Port với tốc độ rất cao (64Gbps trong StackWIse+ và 20Gbps trong FlexStack). Hoàn toàn Unified Control Plane (các giao thức: STP, VTP, OSPF Routing, EtherChannel, … được cấu hình, quản lý như trên 1 Switch).

Khuyết Điểm:

- Chi phí cao hơn giải pháp sử dụng dự phòng với STP do các Switch hỗ trợ StackWise+ (Catalyst 3750-X) hoặc FlexStack (Catalyst 2960S) có chi phí cao hơn (từ 1.5 đến 2 lần) so với các Switch cùng loại không hỗ trợ Stack.

Tuy nhiên với những lợi thế mang lại của Switch hỗ trợ Stack, việc ứng dụng uyển chuyển để có thể đạt được hiệu năng / chi phí đầu tư ở mức hợp lý.

(ví dụ: chỉ sử dụng 2 Switch 3750-X làm Core, các Switch khác chỉ sử dụng Switch bình thường không hỗ trợ Stack, …)

Thảo Luận Về Thiết Bị Mạng Sử Dụng Trong Thiết Kế

Core/Distribution Switch: Cisco Catalyst 3750-X.

Access Switch: Cisco Catalyst 2960.

Internal Firewall: Cisco ASA5550 hoặc tương đương.

Server Switch: Cisco Catalyst 3750-X hoặc 2960S.

DMZ/WAN Switch: Cisco Catalyst 2960S.

Internet Firewall: Cisco ASA5505, ASA5510 hoặc ASA5520.

Internet Router: Cisco Router 1900.

WAN Router: Cisco Router 800, 1900, 2900.

References links: