Powered by Blogger.

Thiết kế hạ tầng mạng lan dự phòng đầy đủ dùng stp

Hôm nay, xin giới thiệu đến các bạn phương thức thiết kế hệ thống mạng LAN cho SMB với dự phòng đầy đủ dựa trên STP. Tuy nhiên, thiết kế dựa trên STP đã có từ rất lâu, cùng với những hạn chế vốn có, thiết kế này không đáp ứng được các yêu cầu khắt khe ngày nay và sẽ được thay thế bằng các công nghệ mới hơn (sẽ được đề cập trong bài "Dự phòng đẩy đủ sử dụng Virtualize Switch, loại bỏ STP").

Sơ Đồ Mạng (Network Diagram)

Sơ đồ kết nối tổng quan

Về nguyên tắc tổng quan khi thiết kế hệ thống mạng LAN dự phòng đầy đủ cũng tương bao gồm các module như trong phần thiết kế hệ thống mạng LAN không dự phòng. Tuy nhiên, điểm khác biệt là, các module được thiết kế dự phòng, kết nối giữa các module cũng được thiết kế dự phòng nhằm đảm bảo khả năng High Availability (HA) của hệ thống mạng. Tính năng chính được sử dụng trong mô hình thiết kế này là Spanning Tree Protocol (STP) ở Layer 2 và Dynamic Routing ở Layer 3. Chi tiết được đề cập như bên dưới:

Hệ thống mạng được thiết kế dựa trên nguyên tắc module hóa các thành phần.
Việc module hóa khi thiết kế có những đặc điểm nổi bật sau:
Sử dụng STP ở Layer 2 và Dynamic Routing ở Layer 3 để cung cấp HA.
Đơn giản, rõ ràng.
Có thể mở rộng hệ thống mạng dễ dàng.
Tách biệt rõ ràng chứng năng của từng module, từ đó có đầy đủ thông tin để chọn lựa đúng thiết bị mạng cho từng module:

Core/Distribution Block: là module trung tâm của hệ thống mạng, chịu trách nhiệm kết nối các module còn lại với nhau. Từ đây có thể thấy ưu tiên chọn thiết bị ở lớp này là “càng nhanh càng tốt”.
Access Layer Block: là module cung cấp kết nối cho người dùng cuối. Ưu tiên khi chọn thiết bị thuộc module này là “cung cấp nhiều cổng kết nối downlink cho người dùng, đồng thời phải có kết nối Uplink tốc độ cao để kết nối lên module Core/Distribution”, và tối ưu hóa chỉ số “giá thành / cổng downlink”. Thông thường thiết bị sử dụng tại module này chỉ cần hỗ trợ các tính năng ở lớp 2.
Server Farm Block: đây là module cung cấp kết nối cho các máy chủ (Servers) cung cấp dịch vụ trong mạng nội bộ, ví dụ: AD, DNS, DHCP, File, Application, Database. Thiết bị chọn ở lớp này cần có cổng kết nối downlink tốc độ tối thiểu là 1Gbps và hoạt động ở lớp 2.
WAN Block: là module cung cấp kết nối đến các chi nhánh khác. Thông thường, thiết bị trong module này cần hỗ trợ:
Các cổng giao tiếp WAN: Serial, FTTH, ADSL, …
Các tính năng: định tuyến động, mã hóa VPN ở phần cứng (VPN supported in hardward).
Internet Access Block: là module nằm ở ngoài cùng của hệ thống mạng, cung cấp kết nối Internet cho người dùng nội bộ. Thông thường thiết bị được chọn ở module này cần hỗ trợ các tính năng:
Định tuyến.
NAT/PAT.
Firewall.
Remote Access VPN.
DMZ Block: là module kết nối trực tiếp với module “Internet Access Block”. Chức năng của module này:
Cung cấp các dịch vụ ra ngoài Internet: Mail, Web.


Sơ đồ mạng kết nối vật lý


Nhằm đạt được tiêu chí xây dựng hệ thống mạng mô hình SMB đảm bảo tính HA, do đó chi tiết thiết bị đề xuất cho các module như sau:
Core/Distribution Block: 2 x Switch có cổng kết nối tốc độ tối thiểu 1Gbps và hoạt động ở lớp 3. Đây là khối trung tâm vận chuyển traffic giữa các khối còn lại, giữa 2 Core/Dist Switch được kết nối với nhau từ 6-8 links, và được chia thành 2 EtherChannel khác nhau: 1 group là Layer 2 EtherChannel và 1 group là Layer 3 Ether Channel, cụ thể sẽ được đề cập trong phần Logical Diagram.
Access Layer Block: n x Switch có cổng kết nối downlink tốc độ tối thiểu 100Mbps và tối thiểu 2 Uplink 1Gbps, hoạt động ở lớp 2. Các Access Switch được kết nối tối thiểu 2 Uplink lên mỗi Core/Dist như mô hình. Đảm bảo nếu 1 Core/Dist gặp sự cố, traffic tự động được chuyển sang Core/Dist còn lại.
Server Farm Block:
2 x Firewall: có tối thiểu 3 cổng kết nối tốc độ tối thiểu 1Gbps và có Firewall Throughput tối thiểu 1Gbps. FW được cấu hình để hoạt động ở Mode Cluster, đảm bảo nếu 1 FW gặp sự cố, FW còn lại sẽ tự động được active. FW được kết nối vào Core/Dist Switch và Server Switch như mô hình, đây là mô hình FW được kết nối vật lý giữa Core/Dist và Server Farm, nhằm sử dụng tối đa throughput cao của Internal FW.
2 x Switch có cổng kết nối downlink/uplink tốc độ 1Gbps và hoạt động ở lớp 2. Các Server với 2 NIC Port được kết nối vật lý vào 2 Server Switch như mô hình và được cấu hình NIC Teaming nhằm đảm bảo nếu 1 Server Switch gặp sự cố, traffic sẽ được tự động chuyển sang Server Switch còn lại.
WAN Block: 
2 x Router có cổng kết nối LAN/WAN tương ứng. Nhằm đảm bảo tính HA, 2 Router nên được kết nối vào 2 ISP khác nhau và 1 điều quan trọng là nên yêu cầu 2 ISP này sử dụng 2 đường kết nối vật lý riêng biệt (ví dụ: không đi chung trụ điện, đấu chung ODF, … mà thông thường điều này rất khó được đáp ứng).
2 x WAN Switch tốc độ tối thiểu 100Mbps và hoạt động ở lớp 2. 2 WAN Switch này cung cấp kết nối ở lớp 2 thuần túy và được kết nối như mô hình, (có thể dùng chung với DMZ Switch bằng cách chia 1 VLAN riêng biệt trên DMZ Switch và được chỉ định dùng riêng cho WAN Router)
DMZ Block, Internet Access Block:
2 x Switch có tốc độ tối thiểu 100Mbps và hoạt động ở lớp 2.
2 x Firewall: hỗ trợ IPSEC VPN hoặc SSL VPN (nếu yêu cầu). Tương tự như Internal FW, 2 External FW cũng được cấu hình để chạy ở Mode Cluster, nhằm đơn giản trong thiết kế, và thông thường kết nối Internet tốc độ không lớn, do đó 2 External FW sẽ được thiết kế ở dạng “Firewall on a Stick”. Trong đó 1 cổng được kết nối giữa 2 FW được sử dụng làm Heartbeat traffic, 2 cổng còn lại được kết nối vào mỗi Core/Dist Switching như mô hình trên, nếu sử dụng Cisco ASA5500, 2 cổng này sẽ được cấu hình ở Mode Interface Redundant (tức là 1 cổng sẽ hoạt động ở Mode Active, cổng còn lại hoạt động ở Mode Standby trong Interface Redundant). Và Interface Redundant này được cấu hình 3 SubInterface bao gồm: TRUSTED (facing to LAN), UNTRUSTED (facing to Internet) và DMZ.
2 x Router: có cổng kết nối LAN/WAN tương ứng. Chi tiết được đề cập trong mô hình kết nối luận lý bên dưới.


Sơ đồ mạng kết nối luận lý


Chi tiết hoạt động:
Core/Distribution Switch: 1 Switch được cấu hình là STP Root Bridge và HSRP active, Switch còn lại sẽ được cấu hình là STP Backup Root Bridge và HSRP standby. Cấu hình 2 EtherChannel Group giữa 2 Switch: 1 Group Ether Channel Layer 2 Trunking Dot1Q hoạt động ở Layer 2 và 1 group EtherChannel Layer 3 Routed Port được cấu hình để thiết lập OSPF neighbor giữa 2 Core/Dist Switch.
Access Switch: Cấu hình 2 Uplink Port là Layer 2 Trunking Dot1Q. Như vậy tại 1 thời điểm, sẽ có 1 Uplink Port kết nối trực tiếp với Core/Dist Switch STP Root Bridge là ở trạng thái Forwarding, Uplink Port còn lại sẽ ở trạng thái Blocking.( lưu ý, ở bài sau đề cập đến VSS/Stack-Wise/Flex-Stack, Access Switch có thể cấu hình EtherChannel cho cả 2 Uplink Port lên 2 Core/Dist, và như vậy, tốc độ của Uplink sẽ là 2Gbps và không cần dùng STP thay vì 1Gbps khi dùng STP)
Internal Firewall: FW được cấu hình FW Cluster và có 2 Zone: TRUSTED (facing to Servers Farm) và UNTRUSTED (facing to LAN). FW có nhiệm vụ filter traffic từ người dùng nội bộ truy cập vào các ứng dụng được triển khai trong Server Farm.
Server Switch: chỉ hoạt động ở Layer 2 và được cấu hình các tính năng ở Layer 2 (VLAN, Trunking, …)
DMZ Switch: chỉ cấu hình các tính năng ở Layer 2 tương tự với Server Switching. 
Internet Firewall: được thiết cấu hình với 3 zone: UNTRUSTED (facing to Internet), DMZ và TRUSTED (facing to LAN). FW có nhiệm vụ filter các yêu cầu truy cập từ Internet vào DMZ, từ DMZ vào Internal, … cung cấp chức năng NAT từ Internet và DMZ (NAT/PAT 1-1), Internal Users to Internet (Dynamic NAT/PAT n-1). Và được cấu hình như VPN Server (IPSEC VPN hoặc SSL VPN) giúp người có thể truy cập tài nguyên nội bộ an toàn từ Internet.
Internet Router: cung cấp WAN port và định tuyến giúp Internet FW có thể forward traffic ra/vào Internet, trong 1 vài trường hợp, nếu Internet connection là RJ45 (FTTH,…), có bỏ qua Internet Router để kết nối Internet link trực tiếp vào External Switch.
WAN Router: cung cấp các kết nối WAN (Serial, T3, …), Dynamic Routing (OSPF, EIGRP) và Site-to-Site IPSEC VPN (hoặc DMVPN, GetVPN) nhằm kết nối đến các site khác của doanh nghiệp.


Spanning Tree Diagram


Đối với các dòng thiết bị từ Access Layer (Catalyst 3560, 2960,…) đến Core/Distribution Layer (6500, 4500, 3750-X) đều đã hỗ trợ Rapid STP với 2 phiên bản là: Rapid-PVST và MST. Thông thường Traditional STP (802.1D) có thời gian hội tụ là 30->50 giây, là quá chậm so với Rapid STP với thời gian hội tụ thông thường < 2 giây. Do đó trong bài này Rapid-PVST sẽ được sử dụng, cụ thể thiết kế được đề cập như bên dưới.
Root Bridge / HSRP Active: 1 Switch sẽ được cấu hình là Root Bridge 1 dãy các VLAN và đồng thời cũng là HSRP Active cho các Interface VLAN này. Có thể cấu hình LoadSharing bằng cách cấu hình Core/Dist Switch thứ 1 là Root STp/HSRP Active cho 1 dãy VLAN thứ 1, Core/Dist Switch thứ 2 là Root STP/HSRP Active cho dãy VLAN thứ 2. Phương thức LoadSharing này có 2 điểm lợi là: chia sẽ tải giữa 2 Core/Dist Switch và chia sẽ tải cho 2 Uplink trên các Access Switch.
Backup Root Bridge / HSRP Standby: đây là Switch sẽ không đảm nhận forward traffic trong điều kiện binh thường (Root Bridge/HSRP Active Switch vẫn còn hoạt động) và sẽ được tự động chuyển vào trạng thái Root Bridge/HSRP Active khi Switch kia gặp sự cố.
STP BPDU Guard: được cấu hình trên các cổng downlink của Access Switch.
STP Root Guard: được cấu hình trên các cổng downlink của Core/Dist Switch.
STP Loop Guard: được cấu hình trên các STP Blocking Port và Root Port.
STP Portfast: được cấu hình trên các cổng downlink của Access Switch.


Logical Diagram for External Firewall


Đối với Cisco Firewall ASA5500, khi cấu hình Cluster cho 2 FW, 2 FW sẽ hoạt động Logic như 1 FW, 2 cổng kết nối vật lý từ mỗi FW vào 2 Core/Dist Switch sẽ được cấu hình ở Mode Interface Redundant (1 port sẽ Active, port còn lại Standby). Do chúng ta cần chia 3 Zone (TRUSTED, DMZ và UNTRUSTED), do đó trên Interface Redundant sẽ được cấu hình 3 SubInterface với các VLAN lần lượt thuộc: TRUSTED, DMZ và UNTRUSTED như mô hình trên.
Trên mô hình là 1 ví dụ traffic flow khi Users muốn truy cập Internet:
Example: Traffice flow from USERS to INTERNET:
Users ==(user vlan)==> Access Switch ==(trunking)==> Core Switch ====(trusted vlan)====> External Firewall ==(untrusted vlan) ==> Core Switch ==(untrusted vlan)==> External Switch ==(untrusted vlan)==> Router ====> INTERNET.



Sơ đồ định tuyến



Giả sử đây là Trụ Sở chính của doanh nghiệp. OSPF được sử dụng và thiết kế như mô hình trên:
OSPF Area 0 (Backbone Area): bao gồm các thiết bị: Core/Dist Switch, WAN Router, Internal FW. Cấu hình để OSPF chỉ quảng bá default route hoặc summary route để các Stub Area ở các site khác. Lưu ý về kết nối giữa 2 Core/Dist Switch, chỉ dùng Layer 3 Ether Channel giữa 2 Switch này để tạo OSPF neighbor, các Interface VLAN Routing cho End Users được cấu hình ở Mode Passive.
OSPF Area N (Stub or Totally Stub Area): mỗi Site được thiết kế thuộc về 1 Stub Area, các site này chỉ nhận default route (nếu là totally stub area) hoặc các summary route (nếu là stub area) từ Backbone Area.
Để thiết kế trên thực sự tối ưu, đòi hỏi người thiết kế phải làm thật tốt công việc phân hoạch địa chỉ IP cho từng chi nhánh. Mỗi chi nhánh phải được lên kế hoạch cụ thể sẽ sử dụng range IP nào, nên assign 1 range IP Address liên tục đủ lớn, đáp ứng nhu cầu phát triển / mở rộng số lượng người dùng của chi nhánh trong tương lai, tránh việc assign nhiều Rang IP Address không liên tục, sẽ làm giảm hiệu quả việc việc Route Summary.



Thảo Luận Về Ưu và Khuyết Điểm Trong Thiết Kế

Ưu Điểm: hệ thống mạng hỗ trợ đầy đủ HA.
Khuyết Điểm: 
Sử dụng STP/HSRP làm nền tảng hỗ trợ HA nên hệ thống mạng dễ gặp các sự cố liên quan đến STP (broadcast storm, STP loop, …). Độ rủi ro của các sự cố này càng nhiều nếu hệ thống mạng được mở rộng càng lớn.
Không thể sử dụng Ether Channel cho các kết nối từ Access Switch lên 2 Core/Dist Switch khác nhau.
STP không được recommend trong các thiết kế mới và đang có xu hướng sẽ bị loại bỏ trong các thiết kế về sau, do tính bất ổn của STP có thể gây ra các hậu quả nghiêm trọng cho hệ thống mạng.



Thảo Luận Về Thiết Bị Mạng Sử Dụng Trong Thiết Kế

Core/Distribution Switch: Cisco Catalyst 3560G, 3560-X. 
Access Switch: Cisco Catalyst 2960.
Internal Firewall: Cisco ASA5550 hoặc tương đương. 
Server Switch: Cisco Catalyst 2960G, 2960S.
DMZ Switch: Cisco Catalyst 2960.
Internet Firewall: Cisco ASA5505, ASA5510 hoặc ASA5520.
Internet Router: Cisco Router 1900.
WAN Router: Cisco Router 800, 1900, 2900.


References links:



Cấu Hình Mẫu (Configuration Template)
To be continue ...
    Blogger Comment
    Facebook Comment