Chao ban,
Minh dang lam cho Fujitsu Asia Pte Ltd :)
Than!

Cảm ơn anh nhiều. Bài viết hay quá.
hồi hộp chờ bài tiếp của anh.

Con đường mạng của MR Bình như thế nào nhỉ?

Bài viết anh Bình hay quá ! Rất nóng lòng đợi bài tiếp của anh =D>

Thiết kế hạ tầng mạng lan dự phòng đầy đủ sử dụng virtual switch, loại bỏ stp

Chào các bạn, hôm nay chúng ta cùng thảo luận về chủ đề : “THIẾT KẾ HẠ TẦNG MẠNG LAN DỰ PHÒNG ĐẦY ĐỦ SỬ DỤNG VIRTUAL SWITCH, LOẠI BỎ STP”.
Về nguyên tắc thiết kế dự phòng trong bài này, tương tự như bài trước “thiết kế hạ tầng mạng LAN dự phòng đầy đủ sử dụng STP”. Tuy nhiên điểm khác biết duy nhất trong thiết kế này là sử dụng Virtual Switch (sử dụng StackWise hoặc FlexStack) thay vì sử dụng STP để đảm bảo tính HA của hệ thống mạng. với việc ứng dụng Virtual Switch, mang lại rất nhiều ưu điểm vượt trội mà không thể tìm thấy trong bài trước, chi tiết sẽ được đề cập trong nội dung dưới đây.




Sơ Đồ Mạng (Network Diagram)
Sơ đồ kết nối tổng quan


Về nguyên tắc tổng quan khi thiết kế hệ thống mạng LAN dự phòng đầy đủ sử dụng Cisco StackWise/StackWise+ (gọi chung là StackWise) cũng tương bao gồm các module như trong phần thiết kế hệ thống mạng LAN dự phòng đầy đủ sử dụng STP. Tuy nhiên, điểm khác biệt là, thay vì sử dụng STP để đạt khả năng dự phòng, trong thiết kế này sử dụng Multichassis EtherChannel (MEC - xem lại phần thuật ngữ ở phần trước) để kết nối các module nhằm đảm bảo khả năng High Availability (HA) của hệ thống mạng. Tính năng chính được sử dụng trong mô hình thiết kế này là MEC ở Layer 2 và Dynamic Routing ở Layer 3. Chi tiết được đề cập như bên dưới:
- Hệ thống mạng được thiết kế dựa trên nguyên tắc module hóa các thành phần.
- Việc module hóa khi thiết kế có những đặc điểm nổi bật sau:
o Sử dụng MEC ở Layer 2 và Dynamic Routing ở Layer 3 để cung cấp HA.
o Đơn giản, rõ ràng.
o Có thể mở rộng hệ thống mạng dễ dàng.
o Tách biệt rõ ràng chứng năng của từng module, từ đó có đầy đủ thông tin để chọn lựa đúng thiết bị mạng cho từng module:
Core/Distribution Block: là module trung tâm của hệ thống mạng, chịu trách nhiệm kết nối các module còn lại với nhau. Từ đây có thể thấy ưu tiên chọn thiết bị ở lớp này là “càng nhanh càng tốt”.
Access Layer Block: là module cung cấp kết nối cho người dùng cuối. Ưu tiên khi chọn thiết bị thuộc module này là “cung cấp nhiều cổng kết nối downlink cho người dùng, đồng thời phải có kết nối Uplink tốc độ cao để kết nối lên module Core/Distribution”, và tối ưu hóa chỉ số “giá thành / cổng downlink”. Thông thường thiết bị sử dụng tại module này chỉ cần hỗ trợ các tính năng ở lớp 2.
Server Farm Block: đây là module cung cấp kết nối cho các máy chủ (Servers) cung cấp dịch vụ trong mạng nội bộ, ví dụ: AD, DNS, DHCP, File, Application, Database. Thiết bị chọn ở lớp này cần có cổng kết nối downlink tốc độ tối thiểu là 1Gbps và hoạt động ở lớp 2.
WAN Block: là module cung cấp kết nối đến các chi nhánh khác. Thông thường, thiết bị trong module này cần hỗ trợ:
Các cổng giao tiếp WAN: Serial, FTTH, ADSL, …
Các tính năng: định tuyến động, mã hóa VPN ở phần cứng (VPN supported in hardward).
Internet Access Block: là module nằm ở ngoài cùng của hệ thống mạng, cung cấp kết nối Internet cho người dùng nội bộ. Thông thường thiết bị được chọn ở module này cần hỗ trợ các tính năng:
Định tuyến.
NAT/PAT.
Firewall.
Remote Access VPN.
DMZ Block: là module kết nối trực tiếp với module “Internet Access Block”. Chức năng của module này:
Cung cấp các dịch vụ ra ngoài Internet: Mail, Web.

 
Sơ đồ mạng kết nối vật lý


Sơ đồ mạng virtual switch


Nhằm đạt được tiêu chí xây dựng hệ thống mạng mô hình SMB đảm bảo tính HA, do đó chi tiết thiết bị đề xuất cho các module như sau:
Core/Distribution Block: 2 x Cisco Catalyst 3750-X (có hỗ trợ công nghệ StackWise+) với cổng kết nối tốc độ tối thiểu 1Gbps và hoạt động ở lớp 3. Đây là khối trung tâm vận chuyển traffic giữa các khối còn lại, giữa 2 Core/Dist Switch được kết nối với nhau thông qua cable đặc biệt gọi là Stack Cable (kèm theo khi mua Switch) với tốc độ kết nối là 64Gbps (Full Duplex), cụ thể sẽ được đề cập trong phần Logical Diagram.
Access Layer Block: n x Switch có cổng kết nối downlink tốc độ tối thiểu 100Mbps và tối thiểu 2 Uplink 1Gbps, hoạt động ở lớp 2. Các Access Switch được kết nối tối thiểu 2 Uplink lên mỗi Core/Dist như mô hình. Đảm bảo nếu 1 Core/Dist gặp sự cố, traffic tự động được chuyển sang Core/Dist còn lại.
Server Farm Block:
2 x Firewall: có tối thiểu 3 cổng kết nối tốc độ tối thiểu 1Gbps và có Firewall Throughput tối thiểu 1Gbps. FW được cấu hình để hoạt động ở Mode Cluster, đảm bảo nếu 1 FW gặp sự cố, FW còn lại sẽ tự động được active. FW được kết nối vào Core/Dist Switch và Server Switch như mô hình, đây là mô hình FW được kết nối vật lý giữa Core/Dist và Server Farm, nhằm sử dụng tối đa throughput cao của Internal FW.
2 x Switch hỗ trợ Flex Stack (Catalyst 2960S) hoặc StackWise+ (Catalyst 3750-X) với cổng kết nối downlink/uplink tốc độ 1Gbps và hoạt động ở lớp 2. Các Server với 2 NIC Port được kết nối vật lý vào 2 Server Switch như mô hình và được cấu hình NIC Teaming nhằm đảm bảo nếu 1 Server Switch gặp sự cố, traffic sẽ được tự động chuyển sang Server Switch còn lại.
Lưu ý: Catalyst 2960S chỉ hỗ trợ tối đa 6 EtherChannel Group trong khi Catalyst 3750-X hỗ trợ số lượng EtherChannel Group lên đến 48. Do đó nếu số lượng Server cần kết nối vào Server Switch sử dụng LACP là nhiều thì nên chọn Catalyst 3750-X, ngược lại có thể chọn Catalyst 2960S để giảm chi phí.
WAN Block:
2 x Router có cổng kết nối LAN/WAN tương ứng. Nhằm đảm bảo tính HA, 2 Router nên được kết nối vào 2 ISP khác nhau và 1 điều quan trọng là nên yêu cầu 2 ISP này sử dụng 2 đường kết nối vật lý riêng biệt (ví dụ: không đi chung trụ điện, đấu chung ODF, … mà thông thường điều này rất khó được đáp ứng).
2 x WAN Switch hỗ trợ Flex Stack (Catalyst 2960S) và hoạt động ở lớp 2. 2 WAN Switch này cung cấp kết nối ở lớp 2 thuần túy và được kết nối như mô hình, (có thể dùng chung với DMZ Switch bằng cách chia 1 VLAN riêng biệt trên DMZ Switch và được chỉ định dùng riêng cho WAN Router)
DMZ Block, Internet Access Block:
2 x Switch hỗ trợ Flex Stack (Catalyst 2960S) có tốc độ tối thiểu 100Mbps và hoạt động ở lớp 2.
Lưu ý: có thể sử dụng 2 Switch có hỗ trợ StackWise (Catalyst 3750) để sử dụng chung cho WAN Block và DMZ Block, bằng cách chia VLAN.
2 x Firewall: hỗ trợ IPSEC VPN hoặc SSL VPN (nếu yêu cầu). Tương tự như Internal FW, 2 External FW cũng được cấu hình để chạy ở Mode Cluster, nhằm đơn giản trong thiết kế, và thông thường kết nối Internet tốc độ không lớn, do đó 2 External FW sẽ được thiết kế ở dạng “Firewall on a Stick”. Trong đó 1 cổng được kết nối giữa 2 FW được sử dụng làm Heartbeat traffic, 2 cổng còn lại được kết nối vào mỗi Core/Dist Switching như mô hình trên, nếu sử dụng Cisco ASA5500, 2 cổng này sẽ được cấu hình ở Mode Channel (2 cổng sẽ hoạt động ở Mode Active theo kỹ thuật EtherChannel). Và Interface Channel này được cấu hình 3 SubInterface bao gồm: TRUSTED (facing to LAN), UNTRUSTED (facing to Internet) và DMZ.
2 x Router: có cổng kết nối LAN/WAN tương ứng.
Chi tiết được đề cập trong mô hình kết nối luận lý bên dưới.
 



Sơ đồ mạng kết nối luận lý



Core/Distribution Switch: Do 2 Switch được kết nối Stack với nhau, do đó về mặt hoạt động, sẽ giống như 1 Switch (ví dụ: 2 Switch 3750-X có 48 port 1G, khi kết nối với nhau qua kết nối Stack, khi login vào Switch sẽ thấy 1 Switch với 96 port 1G). Switch được cấu hình là STP Root Bridge (lưu ý, mặc dù thiết kế này không cần STP nhưng recommend là vẫn enable STP). Cấu hình Interface VLAN để InterVLAN Routing và chạy OSPF Routing. Cấu hình EtherChannel với FW và các Access Switch.
Access Switch: Cấu hình 2 Uplink Port là Layer 2 Trunking Dot1Q EtherChannel. Như vậy tại 1 thời điểm, cả 2 Uplink Port kết nối trực tiếp với 2 Core/Dist Switch sẽ được active, giúp tốc độ của Uplink sẽ là 2Gbps.
Internal Firewall: Mỗi FW được cấu hình Interface Channel LACP với 2 Core/Dist Switch và Interface Channel LACP với 2 Server Switch. 2 FW được cấu hình FW Cluster và có 2 Zone: TRUSTED (facing to Servers Farm), UNTRUSTED (facing to LAN). FW có nhiệm vụ filter traffic từ người dùng nội bộ truy cập vào các ứng dụng được triển khai trong Server Farm.
Server Switch: hoạt động như 1 Switch (do sử dụng FlexStack trong 2960S hoặc StackWise+ trong 3750-X) chỉ hoạt động ở Layer 2, được cấu hình các tính năng ở Layer 2 (EtherChannel, VLAN, Trunking, …)
DMZ Switch: hoạt động như 1 Switch (do sử dụng FlexStack trong 2960S) chỉ cấu hình các tính năng ở Layer 2 tương tự với Server Switching.
Internet Firewall: được thiết cấu hình với 3 zone: UNTRUSTED (facing to Internet), DMZ và TRUSTED (facing to LAN). FW có nhiệm vụ filter các yêu cầu truy cập từ Internet vào DMZ, từ DMZ vào Internal, … cung cấp chức năng NAT từ Internet và DMZ (NAT/PAT 1-1), Internal Users to Internet (Dynamic NAT/PAT n-1). Và được cấu hình như VPN Server (IPSEC VPN hoặc SSL VPN) giúp người có thể truy cập tài nguyên nội bộ an toàn từ Internet.
Internet Router: cung cấp WAN port và định tuyến giúp Internet FW có thể forward traffic ra/vào Internet, trong 1 vài trường hợp, nếu Internet connection là RJ45 (FTTH,…), có bỏ qua Internet Router để kết nối Internet link trực tiếp vào External Switch.
WAN Router: cung cấp các kết nối WAN (Serial, T3, …), Dynamic Routing (OSPF, EIGRP) và Site-to-Site IPSEC VPN (hoặc DMVPN, GetVPN) nhằm kết nối đến các site khác của doanh nghiệp.
 



Spanning Tree Diagram


Không có loop trong mô hình thiết kế sử dụng Stack, tuy nhiên cần thực hiện cấu hình tối ưu hóa cho STP như sau: sử dụng Rapid-PVST trên tất cả các Switch, cấu hình Core/Dist là STP Root Bridge, cấu hình STP Portfast, BPDU Guard, BPDU Filter trên các cổng downlink của Access Switch.




Logical Diagram for External Firewall


Về traffic flow khi User truy cập Internet hoàn toàn giống như trong mô hình “thiết kế hệ thống mạng dự phòng đầy đủ sử dụng STP”, tuy nhiên điều khác biệt ở đây là băng thông trên kết nối giữa FW và Core/Dist được nâng lên gấp 2 lần và hệ thống mạng sẽ “phục hồi” nhanh hơn (đơn vị tính là ms).
Đối với Cisco Firewall ASA5500, khi cấu hình Cluster cho 2 FW, 2 FW sẽ hoạt động Logic như 1 FW, 2 cổng kết nối vật lý từ mỗi FW vào 2 Core/Dist Switch sẽ được cấu hình ở Mode Channel sử dụng LACP (cả 2 port đều hoạt động ở mode Active). Do chúng ta cần chia 3 Zone (TRUSTED, DMZ và UNTRUSTED), do đó trên Interface Channel sẽ được cấu hình 3 SubInterface với các VLAN lần lượt thuộc: TRUSTED, DMZ và UNTRUSTED như mô hình trên.
Trên mô hình là 1 ví dụ traffic flow khi Users muốn truy cập Internet:
Example: Traffice flow from USERS to INTERNET:
Users ==(user vlan)==> Access Switch ==(trunking)==> Core Switch ====(trusted vlan)====> External Firewall ==(untrusted vlan) ==> Core Switch ==(untrusted vlan)==> External Switch ==(untrusted vlan)==> Router ====> INTERNET.

 



Sơ đồ định tuyến


Về hoạt động định tuyến trong thiết kế này, điểm khác biệt duy nhất so với thiết kế trước là không còn sử dụng OSPF trên 2 Core/Dist Switch nữa, mà thay vào đó OSPF được cấu hình trên “1 Switch Stack”, giúp đơn giản hóa hơn rất nhiều trong việc cấu hình, tối ưu cũng như troubleshoot lỗi.
Giả sử đây là Trụ Sở chính của doanh nghiệp. OSPF được sử dụng và thiết kế như mô hình trên:
OSPF Area 0 (Backbone Area): bao gồm các thiết bị: Core/Dist Switch, WAN Router, Internal FW. Cấu hình để OSPF chỉ quảng bá default route hoặc summary route để các Stub Area ở các site khác. Lưu ý về kết nối giữa 2 Core/Dist Switch, chỉ dùng Layer 3 Ether Channel giữa 2 Switch này để tạo OSPF neighbor, các Interface VLAN Routing cho End Users được cấu hình ở Mode Passive.
OSPF Area N (Stub or Totally Stub Area): mỗi Site được thiết kế thuộc về 1 Stub Area, các site này chỉ nhận default route (nếu là totally stub area) hoặc các summary route (nếu là stub area) từ Backbone Area.
Để thiết kế trên thực sự tối ưu, đòi hỏi người thiết kế phải làm thật tốt công việc phân hoạch địa chỉ IP cho từng chi nhánh. Mỗi chi nhánh phải được lên kế hoạch cụ thể sẽ sử dụng range IP nào, nên assign 1 range IP Address liên tục đủ lớn, đáp ứng nhu cầu phát triển / mở rộng số lượng người dùng của chi nhánh trong tương lai, tránh việc assign nhiều Rang IP Address không liên tục, sẽ làm giảm hiệu quả việc việc Route Summary.





Thảo Luận Về Ưu và Khuyết Điểm Trong Thiết Kế
Ưu Điểm:
- Hệ thống mạng hỗ trợ đầy đủ HA.
- Không sử dụng STP như một giao thức phòng tránh loop ở Layer 2, do đó loại bỏ hoàn toàn những vấn đề nghiêm trọng có thể gặp phải khi sử dụng STP, như: broadcast storm do STP hoạt động không đúng, …
- 2 cổng Uplink được sử dụng đồng thời do được cấu hình EtherChannel và MEC.
- Hệ thống mạng hội tụ nhanh hơn (đơn vị tính là milisecond) khi 1 thiết bị hoặc uplink port gặp sự cố.
- Core/Dist Catalyst 3750-X (StackWise+), hoặc các Server/WAN/DMZ Switch Catalyst 2960S (FlexStack) được kết nối với nhau thông qua Stack Port với tốc độ rất cao (64Gbps trong StackWIse+ và 20Gbps trong FlexStack). Hoàn toàn Unified Control Plane (các giao thức: STP, VTP, OSPF Routing, EtherChannel, … được cấu hình, quản lý như trên 1 Switch).

Khuyết Điểm:
- Chi phí cao hơn giải pháp sử dụng dự phòng với STP do các Switch hỗ trợ StackWise+ (Catalyst 3750-X) hoặc FlexStack (Catalyst 2960S) có chi phí cao hơn (từ 1.5 đến 2 lần) so với các Switch cùng loại không hỗ trợ Stack.
Tuy nhiên với những lợi thế mang lại của Switch hỗ trợ Stack, việc ứng dụng uyển chuyển để có thể đạt được hiệu năng / chi phí đầu tư ở mức hợp lý.
(ví dụ: chỉ sử dụng 2 Switch 3750-X làm Core, các Switch khác chỉ sử dụng Switch bình thường không hỗ trợ Stack, …)




Thảo Luận Về Thiết Bị Mạng Sử Dụng Trong Thiết Kế
Core/Distribution Switch: Cisco Catalyst 3750-X.
Access Switch: Cisco Catalyst 2960.
Internal Firewall: Cisco ASA5550 hoặc tương đương.
Server Switch: Cisco Catalyst 3750-X hoặc 2960S.
DMZ/WAN Switch: Cisco Catalyst 2960S.
Internet Firewall: Cisco ASA5505, ASA5510 hoặc ASA5520.
Internet Router: Cisco Router 1900.
WAN Router: Cisco Router 800, 1900, 2900.


References links:
- Cisco 3750-X: http://www.cisco.com/en/US/products/ps10745/index.html
- Cisco 2960: http://www.cisco.com/en/US/products/ps6406/index.html
- Cisco 2960S: http://www.cisco.com/en/US/products/ps12200/index.html
- Cisco ASA5500: http://www.cisco.com/en/US/products/ps6120/index.html
- Cisco Router 800: http://www.cisco.com/en/US/products/...380/index.html
- Cisco Router 1900: http://www.cisco.com/en/US/products/ps10538/index.html
- Cisco Router 2900: http://www.cisco.com/en/US/products/ps10537/index.html




Cấu Hình Mẫu (Configuration Template) To be continue ...

Hi binhhd,
Nếu bài viết của bồ được soạn trong file word hay pdf thì sẽ tốt hơn cho mọi người, quả thật nó khó cho mình trong việc theo dõi bài viết +_+.
Mình có vài input trước:

• Về phần Core/Distribution switch, bạn thiết kế hoàn toàn không tốt. Nên tách phần Core và Distribution ra, mình 2 phần này có chức năng khác nhau. Distribution nhiệm vụ chình là routing, packet manipulating (ACLs, routes filter...)... ứng với từng building, campus.... Core thì nhiệm cụ chính là "fast-switching", đồng thời cho default route ra ngoài WAN router, và cũng quan trọng không kém là điểm tập trung cho các Distribution switch; từ đó sẽ giúp cho việc mở rộng network uyển chuyển hơn.
• Thiết bị của bồ đúng là tiết kiệm chi phí thật, nhưng đã là những dòng cũ và lâu rồi.

Mỉnh sẽ input tiếp khi đọc hết qua bài của bồ.

Chào bạn,

Cám ơn những comments của bạn. Mình xin trả lời như sau:

Trong từng chủ đề sau, mình sẽ post 1 thread mới để mọi người tiện theo dõi.


Những bài viết của mình được post từ từ theo tiêu chí:
- Từ đơn giản đến phức tạp: không hỗ trợ HA đến hỗ trợ HA.
- Từ nhỏ đến lớn: thích hợp cho mạng của SMB, Branch trong các thiết kế cho đến bây giờ, các bài viết tiếp theo sẽ đề cập đến thiết kế 3 lớp như bạn góp ý ở trên, và thiết kế 3 lớp đó sẽ được dùng nhiều cho mô hình mạng của Enterprise (large scale network design).
- Cho đến bài viết trên, thiết kế trên vẫn đang theo mô hình "collapse core network design", thích hợp cho mạng SMB (khoảng 250 Users, có thể support đến 500 Users, tuy vào từng khách hàng cụ thể).



- Bạn có thể cho mình biết cụ thể, dòng thiết bị nào mình recommend ở trên đã cũ và lâu đời không?


Xin nhận được thêm nhiều comments :)!

Theo mình bạn nên đọc hết các bài từ đầu đến giờ của MR.Binh và hãy comment bạn ạ, không phải cái gì cũng cứ theo lý thuyết là Core và distribution vì đôi khi nó sẽ là lãng phí.

Bài viết của Mr. Bình khá hay! chúc anh ngày càng thành công!

Hello, good jobs, Mr Bình !!!

Khi nào rãnh rỗi sẽ cố gắng đọc hết & post câu hỏi sau.

Bài viết của bạn khá chi tiết về vấn đề thiết lập mạng, thanks đã chia sẻ

Hi Bình,

Đầu năm chúc bác B may mắn phát tài :-)

Còn phần Configuration Template cho Thiết kế hạ tầng mạng LAN - HA (Vitural Switch và Non STP) vẫn chưa thấy bác post tiếp

Ae đang theo dõi topic chờ bác hihi

Có thực sự hay như các bạn nói hay không? Bài viết là đi về hướng thực tiển nhưng mình thấy có gì đó không thoả đáng cho lắm. Ví dụ bài cuối HA + No STP,
1/ nhìn vào physical topology thấy có 2 WAN switches + 2 External Switches và 2 switches trong server farm. Liệu thực tế có cần 2 WAN switch không? một SMB có bao nhiêu branch offices, giả sử 5 remote offices đi thì mình cần 2x5 (to WAN router links) + 2 uplink to cores = 12 ports. Nếu dùng 2 x24 ports switches cho WAN switches thì minh còn dư 36 ports. hơi phí. Tại sao không kết nối vào core switches hoặc external ones.
2/ Với SMB, liệu dùng 4 con firewall có overkill không? nếu dùng virtual context có tốt hơn không?
3/ Sau khi dùng staking(virtual switch) tất cả các kết nối giữa các "Block" đều là single link (etherchannel) , không có alternative link, vậy chạy OSPF có thật sự là tốt nhất không?
4/ Với SMB, khả năng dùng VOIP là lớn. Những access switch có nên support PoE không?
5/nhin vao physical diagram, can co ( vi du 5 remote offices cho SMB)
12 ports for remote offices + 8 ports for 2 ASA (dung virtual context) + 10 ports for 5 access switces + 4 ports for internet routers = 34 ports như vậy còn 14 ports cho servers. Với công nghệ VM, bạn có thể có 100+ servers tre6n 14 ports nay. Vậy chỉ dung 2 x 3750 có phải là thoa không?( Với staking, bạn luon có thể thêm switch thứ 3 va stack vào core. Như vậy tính scalability vẫn bảo đảm.)

Liệu mô hình 3 layers Core/Dist/Access có còn thích hợp không khi mà VM/ cloud đang phát triên mạnh? HP có mô hình 2 layers và một số vendor khac có mô hình 1 layer. Cũng đáng để tham khảo.
Chỉ suy nghỉ chut thôi, môi ngưới mỗi ý :)

Taolao

Để Thread thêm sôi động, cuốn hút. Chúng ta cần có những nhân tài như pác này để có sự tranh luận đúng sai, từ đó anh em sẽ hiểu thêm được nhiều vấn đề.

Đọc 1 chiều thì giống lên lớp nghe thầy dạy giống thời học sinh quá.

CCIE không phải lúc nào cũng đúng, vì vậy chúng ta cứ mạnh dạng nói lên ý kiến của mình.

Vài lời trước lúc đi ngủ. :)

Hôm trước hỏi về phần thiết kế, nay xin nêu thêm 1 số vấn đề chưa được thông về technology dùng trong thiết kế này.
Bắt đầu từ Internet vào nhé. Trong thiết kế dùng 2 internet links + 2 con routers để bảo đảm HA, nhưng lại dùng static default route tren 2 con routers này. Mình nghỉ đi nghỉ lại nghỉ dại nghỉ khờ cũng không hiểu sao có thể đạt được "zì đứng đừng đi" (redanduncy).

Thông thường thì người ta dùng static route + object tracking hoặc dynamic routingđể đạt mục đích này. Còn chỉ dùng static route không thôi thì chưa thấy. Dynamic routing thì thuo7ng2 là RIP hoặc BGP.

Rùi chạy active/active hay chay active/standby links? dùng 1 ISP hay 2 ISP cho 2 links? dùng static + tracking hay dùng RIP hay dùng BGP?

Nói về phần config template. không biết khi config internet edge router tác giả có tham khảo cac best practice không mà hơi bị unsecure. Vi dụ BGP có RFC 3682 (best practice), edge router ACL co RFC 2827 (best practice). IP services có "Cisco Guide to Harden Cisco IOS Devices".
Có nên dùng FHRP giua hai internet edge routers? Đó cũng là 1 yếu tố để đảm bảo hệ thống resilience

Lan sau hoi ve firewall :)

Thêm một chút suy nghỉ, mỗi người mỗi ý :)

Taolao