Tweet
Mô hình phân cấp 3 lớp (Three-Tier Hierarchical Model) là một kiến trúc thiết kế mạng tiêu chuẩn (do Cisco phát triển) nhằm tổ chức hạ tầng mạng của doanh nghiệp thành các tầng riêng biệt. Thay vì kết nối tất cả các thiết bị vào một mạng phẳng (Flat Network) gây hỗn loạn và khó quản lý, mô hình này chia mạng thành 3 lớp vật lý/logic với các chức năng chuyên biệt.
Chức năng chi tiết của từng lớp
1. Lớp Truy cập (Access Layer)
Đây là "cửa ngõ" đầu tiên nơi các thiết bị của người dùng cuối tiếp xúc với hệ thống mạng của doanh nghiệp.
Lớp này nằm ở giữa, làm cầu nối để gom toàn bộ dữ liệu từ các Switch ở lớp Access lại và chuyển tiếp lên lớp Core. Đây được coi là "bộ não hành chính" của mạng nội bộ vì hầu hết các chính sách điều hướng đều nằm ở đây.
Lớp Core là xương sống (Backbone) của toàn bộ hệ thống mạng doanh nghiệp. Nhiệm vụ duy nhất của nó là vận chuyển dữ liệu đi càng nhanh càng tốt.
3. Tác động lên từng lớp của mô hình
Core layer — bị ảnh hưởng nặng nhất
Vai trò chính của core layer là routing tốc độ cao giữa server farm và phần còn lại của mạng. Khi server farm chuyển lên cloud, core layer mất đi lý do tồn tại chủ yếu. Traffic không còn chạy nội bộ giữa server và người dùng trong văn phòng nữa — thay vào đó nó phải đi ra ngoài internet. Kết quả là phần lớn SMB loại bỏ core layer hoặc thay thế bằng một thiết bị firewall/router duy nhất đảm nhiệm cả chức năng gateway lẫn bảo mật.
Distribution layer — thu gọn đáng kể
Trước đây distribution layer cần 2 switch để đảm bảo redundancy và tải nặng từ nhiều server. Khi không còn server nội bộ, lưu lượng qua distribution layer giảm mạnh. Nhiều SMB gộp core và distribution thành một switch L3 duy nhất, mô hình gọi là "collapsed core." Một số doanh nghiệp tiến xa hơn, thay toàn bộ bằng SD-WAN appliance vừa làm router vừa làm policy enforcement. Ví dụ như trong mô hình dùng stack switch để hạn chế loop và tăng tốc độ.
Access layer — ít thay đổi nhất nhưng vẫn tiến hóa
Đây là lớp duy nhất gần như không mất đi vai trò vì vẫn cần kết nối thiết bị vật lý. Tuy nhiên cơ cấu thay đổi: tỷ lệ WiFi so với có dây tăng mạnh do xu hướng laptop và thiết bị di động. WiFi controller vật lý truyền thống nhường chỗ cho cloud-managed access point như Cisco Meraki, Ubiquiti UniFi Cloud, hay Fortinet FortiAP — quản lý tập trung qua internet mà không cần controller tại văn phòng.
Internet uplink — từ đường phụ thành huyết mạch
Đây là thay đổi có lẽ quan trọng nhất về mặt vận hành. Trong mô hình cũ, internet chỉ là đường phụ để nhân viên duyệt web hay gửi email ngoài. Toàn bộ ứng dụng quan trọng chạy nội bộ nên dù mất internet, công ty vẫn làm việc được. Trong mô hình cloud-first, mất internet đồng nghĩa với tê liệt hoàn toàn. SMB buộc phải đầu tư băng thông lớn hơn (từ 50–100 Mbps lên 500 Mbps đến 1 Gbps), ký hợp đồng hai nhà mạng khác nhau (dual ISP), và triển khai SD-WAN để tự động failover khi một đường truyền gặp sự cố
4. Những vấn đề mới phát sinh sau khi chuyển cloud
Vấn đề hairpinning traffic
Đây là bài toán phổ biến nhất khi SMB chuyển cloud nhưng giữ nguyên kiến trúc mạng cũ. Người dùng trong văn phòng truy cập Microsoft 365, nhưng vì chính sách bảo mật cũ quy định mọi traffic phải đi qua firewall trung tâm, luồng dữ liệu phải đi: máy tính → access switch → distribution → core → firewall → internet → Microsoft datacenter → rồi quay ngược lại. Đoạn đường vòng không cần thiết này gây trễ đáng kể và làm tắc nghẽn firewall. Giải pháp là local internet breakout — cho phép traffic cloud tin cậy (Microsoft 365, Google Workspace) đi thẳng ra internet tại điểm gần nhất thay vì tập trung về trung tâm.
Vấn đề mất "vành đai" bảo mật
Mô hình bảo mật truyền thống dựa trên khái niệm "vành đai": firewall bảo vệ ranh giới giữa bên trong (tin tưởng) và bên ngoài (không tin tưởng). Trong mô hình on-premise, khái niệm này rõ ràng và hiệu quả. Khi dữ liệu nằm ở Microsoft 365, ứng dụng chạy trên AWS, và nhân viên làm việc từ nhà qua VPN, ranh giới "bên trong bên ngoài" tan biến hoàn toàn. Kẻ tấn công chiếm được tài khoản VPN của một nhân viên có thể vào thẳng mạng nội bộ mà không bị cản. SMB buộc phải chuyển sang tư duy Zero Trust: không tin tưởng bất kỳ kết nối nào mặc định, kể cả từ trong văn phòng, mà phải xác thực từng phiên làm việc dựa trên danh tính, thiết bị và ngữ cảnh.
Vấn đề quản lý danh tính trở thành trung tâm
Trước đây Active Directory nội bộ là hệ thống kiểm soát truy cập duy nhất. Nay với cloud, danh tính người dùng phải được quản lý đồng bộ giữa on-premise và cloud. Azure Active Directory (nay là Microsoft Entra ID) hoặc Google Workspace trở thành "cổng vào" chính cho mọi ứng dụng. Xác thực đa yếu tố (MFA) không còn là tùy chọn mà là yêu cầu tối thiểu. Single Sign-On (SSO) cho phép nhân viên đăng nhập một lần để truy cập tất cả ứng dụng SaaS, vừa tiện lợi vừa giảm rủi ro mật khẩu yếu.
Vấn đề chi phí và mô hình đầu tư
Chuyển từ CapEx (mua server, switch, license một lần) sang OpEx (trả phí SaaS hàng tháng) giúp SMB dễ quản lý dòng tiền hơn và không cần vốn lớn ban đầu. Tuy nhiên tổng chi phí dài hạn cần tính kỹ. Phí Microsoft 365 Business Premium khoảng 22 USD/người/tháng — với 100 nhân viên là 26.400 USD mỗi năm, năm này qua năm khác không dừng. Trong khi đó server Exchange nội bộ trả một lần có thể dùng 5–7 năm. SMB cần so sánh tổng chi phí sở hữu (TCO) thực tế thay vì chỉ nhìn vào chi phí ban đầu.
Vấn đề tuân thủ và chủ quyền dữ liệu
Một số ngành như tài chính, y tế, pháp lý có quy định về nơi lưu trữ dữ liệu. Khi đưa dữ liệu lên cloud nước ngoài, doanh nghiệp phải đảm bảo tuân thủ các quy định về bảo vệ dữ liệu cá nhân (GDPR ở châu Âu, Nghị định 13/2023 ở Việt Nam). Điều này đôi khi buộc SMB phải chọn cloud region trong nước hoặc giữ một số dữ liệu nhạy cảm on-premise.
5. Các mô hình kiến trúc thay thế đang nổi lên
Collapsed core (lõi thu gọn) là mô hình phổ biến nhất cho SMB dưới 200 người, gộp core và distribution vào một switch L3 duy nhất. Đơn giản, chi phí thấp, dễ quản lý.
SD-WAN (Software-Defined WAN) thay thế router và MPLS truyền thống bằng phần mềm quản lý nhiều đường WAN thông minh. Tự động chọn đường tốt nhất cho từng loại traffic, hỗ trợ failover tức thì, tối ưu truy cập cloud. Cisco Meraki, Fortinet, VMware Velocloud là các tên tuổi phổ biến.
SASE (Secure Access Service Edge) là kiến trúc gộp networking và security vào một dịch vụ cloud duy nhất, do Gartner đề xuất năm 2019. Thay vì firewall vật lý tại mỗi chi nhánh, traffic đi qua cloud security của nhà cung cấp SASE (Zscaler, Cloudflare, Palo Alto Prisma). Không cần thiết bị phức tạp tại chi nhánh, chỉ cần một router đơn giản kết nối internet.
6. Kết luận thực tế
Mô hình 3 lớp không "chết" mà đang tiến hóa. Với SMB dưới 50 người chuyển cloud hoàn toàn, mô hình 3 lớp không còn phù hợp và nên thay bằng kiến trúc đơn giản hơn. Với doanh nghiệp vừa từ 200 đến 500 người có môi trường hybrid, mô hình 3 lớp vẫn cần nhưng được hiện đại hóa bằng SD-WAN và SASE. Với doanh nghiệp lớn nhiều chi nhánh, mô hình 3 lớp vẫn là nền tảng nhưng kết hợp thêm các lớp bảo mật và quản lý cloud phía trên.
Điều quan trọng nhất là kỹ sư mạng ngày nay không thể chỉ biết switching và routing — phải hiểu thêm cloud architecture, identity management, và security framework mới có thể thiết kế hạ tầng phù hợp với thực tế doanh nghiệp hiện đại.
Zero Trust Network Access (ZTNA) thay thế VPN truyền thống. Thay vì cho người dùng vào toàn bộ mạng nội bộ sau khi xác thực VPN, ZTNA chỉ cấp quyền truy cập đúng ứng dụng cụ thể mà người dùng được phép, không hơn không kém.
Chức năng chi tiết của từng lớp
1. Lớp Truy cập (Access Layer)
Đây là "cửa ngõ" đầu tiên nơi các thiết bị của người dùng cuối tiếp xúc với hệ thống mạng của doanh nghiệp.
- Chức năng: Kết nối trực tiếp các thiết bị đầu cuối vào mạng và cấp quyền truy cập cho chúng.
- Thiết bị sử dụng: Switch Layer 2, Bộ phát Wi-Fi (Access Points), Hub.
- Nhiệm vụ cụ thể:
- Cung cấp cổng kết nối cho máy tính, laptop, điện thoại, máy in, IP Phone.
- Phân chia các phòng ban vào các mạng ảo khác nhau (VLAN - như VLAN Kế toán, VLAN Nhân sự).
- Cấp nguồn qua dây mạng (PoE) cho camera hoặc điện thoại IP.
Lớp này nằm ở giữa, làm cầu nối để gom toàn bộ dữ liệu từ các Switch ở lớp Access lại và chuyển tiếp lên lớp Core. Đây được coi là "bộ não hành chính" của mạng nội bộ vì hầu hết các chính sách điều hướng đều nằm ở đây.
- Chức năng: Thực hiện định tuyến (routing), lọc dữ liệu và áp đặt các chính sách bảo mật.
- Thiết bị sử dụng: Switch Layer 3 (Multilayer Switch), Router, Firewall (Tường lửa).
- Nhiệm vụ cụ thể:
- Định tuyến giữa các VLAN (Inter-VLAN Routing): Cho phép phòng Kế toán giao tiếp với phòng Giám đốc nếu được phép.
- Bảo mật: Sử dụng danh sách kiểm soát truy cập (ACL) để chặn hoặc cho phép các luồng dữ liệu.
- Quản lý lưu lượng: Định tuyến gói tin đi đường nào ngắn nhất, tối ưu nhất.
Lớp Core là xương sống (Backbone) của toàn bộ hệ thống mạng doanh nghiệp. Nhiệm vụ duy nhất của nó là vận chuyển dữ liệu đi càng nhanh càng tốt.
- Chức năng: Chuyển mạch gói tin với tốc độ cực cao giữa các phân vùng mạng khác nhau (ví dụ: giữa các tòa nhà hoặc giữa văn phòng với Trung tâm dữ liệu).
- Thiết bị sử dụng: Các dòng Switch Core cao cấp, Router doanh nghiệp lớn có băng thông khủng và độ trễ cực thấp.
- Nhiệm vụ cụ thể:
- Tập trung xử lý lưu lượng lớn từ các Switch lớp Distribution đổ về.
- Tuyệt đối không thực hiện các tác vụ tính toán phức tạp như lọc gói tin (ACL), kiểm tra bảo mật, hay chia VLAN ở đây để tránh làm giảm tốc độ đường truyền.
- Đảm bảo tính sẵn sàng cao (High Availability): Luôn chạy song song (Redundancy) để nếu một thiết bị Core bị hỏng, thiết bị kia sẽ thay thế ngay lập tức trong vài phần nghìn giây.
3. Tác động lên từng lớp của mô hình
Core layer — bị ảnh hưởng nặng nhất
Vai trò chính của core layer là routing tốc độ cao giữa server farm và phần còn lại của mạng. Khi server farm chuyển lên cloud, core layer mất đi lý do tồn tại chủ yếu. Traffic không còn chạy nội bộ giữa server và người dùng trong văn phòng nữa — thay vào đó nó phải đi ra ngoài internet. Kết quả là phần lớn SMB loại bỏ core layer hoặc thay thế bằng một thiết bị firewall/router duy nhất đảm nhiệm cả chức năng gateway lẫn bảo mật.
Distribution layer — thu gọn đáng kể
Trước đây distribution layer cần 2 switch để đảm bảo redundancy và tải nặng từ nhiều server. Khi không còn server nội bộ, lưu lượng qua distribution layer giảm mạnh. Nhiều SMB gộp core và distribution thành một switch L3 duy nhất, mô hình gọi là "collapsed core." Một số doanh nghiệp tiến xa hơn, thay toàn bộ bằng SD-WAN appliance vừa làm router vừa làm policy enforcement. Ví dụ như trong mô hình dùng stack switch để hạn chế loop và tăng tốc độ.
Access layer — ít thay đổi nhất nhưng vẫn tiến hóa
Đây là lớp duy nhất gần như không mất đi vai trò vì vẫn cần kết nối thiết bị vật lý. Tuy nhiên cơ cấu thay đổi: tỷ lệ WiFi so với có dây tăng mạnh do xu hướng laptop và thiết bị di động. WiFi controller vật lý truyền thống nhường chỗ cho cloud-managed access point như Cisco Meraki, Ubiquiti UniFi Cloud, hay Fortinet FortiAP — quản lý tập trung qua internet mà không cần controller tại văn phòng.
Internet uplink — từ đường phụ thành huyết mạch
Đây là thay đổi có lẽ quan trọng nhất về mặt vận hành. Trong mô hình cũ, internet chỉ là đường phụ để nhân viên duyệt web hay gửi email ngoài. Toàn bộ ứng dụng quan trọng chạy nội bộ nên dù mất internet, công ty vẫn làm việc được. Trong mô hình cloud-first, mất internet đồng nghĩa với tê liệt hoàn toàn. SMB buộc phải đầu tư băng thông lớn hơn (từ 50–100 Mbps lên 500 Mbps đến 1 Gbps), ký hợp đồng hai nhà mạng khác nhau (dual ISP), và triển khai SD-WAN để tự động failover khi một đường truyền gặp sự cố
4. Những vấn đề mới phát sinh sau khi chuyển cloud
Vấn đề hairpinning traffic
Đây là bài toán phổ biến nhất khi SMB chuyển cloud nhưng giữ nguyên kiến trúc mạng cũ. Người dùng trong văn phòng truy cập Microsoft 365, nhưng vì chính sách bảo mật cũ quy định mọi traffic phải đi qua firewall trung tâm, luồng dữ liệu phải đi: máy tính → access switch → distribution → core → firewall → internet → Microsoft datacenter → rồi quay ngược lại. Đoạn đường vòng không cần thiết này gây trễ đáng kể và làm tắc nghẽn firewall. Giải pháp là local internet breakout — cho phép traffic cloud tin cậy (Microsoft 365, Google Workspace) đi thẳng ra internet tại điểm gần nhất thay vì tập trung về trung tâm.
Vấn đề mất "vành đai" bảo mật
Mô hình bảo mật truyền thống dựa trên khái niệm "vành đai": firewall bảo vệ ranh giới giữa bên trong (tin tưởng) và bên ngoài (không tin tưởng). Trong mô hình on-premise, khái niệm này rõ ràng và hiệu quả. Khi dữ liệu nằm ở Microsoft 365, ứng dụng chạy trên AWS, và nhân viên làm việc từ nhà qua VPN, ranh giới "bên trong bên ngoài" tan biến hoàn toàn. Kẻ tấn công chiếm được tài khoản VPN của một nhân viên có thể vào thẳng mạng nội bộ mà không bị cản. SMB buộc phải chuyển sang tư duy Zero Trust: không tin tưởng bất kỳ kết nối nào mặc định, kể cả từ trong văn phòng, mà phải xác thực từng phiên làm việc dựa trên danh tính, thiết bị và ngữ cảnh.
Vấn đề quản lý danh tính trở thành trung tâm
Trước đây Active Directory nội bộ là hệ thống kiểm soát truy cập duy nhất. Nay với cloud, danh tính người dùng phải được quản lý đồng bộ giữa on-premise và cloud. Azure Active Directory (nay là Microsoft Entra ID) hoặc Google Workspace trở thành "cổng vào" chính cho mọi ứng dụng. Xác thực đa yếu tố (MFA) không còn là tùy chọn mà là yêu cầu tối thiểu. Single Sign-On (SSO) cho phép nhân viên đăng nhập một lần để truy cập tất cả ứng dụng SaaS, vừa tiện lợi vừa giảm rủi ro mật khẩu yếu.
Vấn đề chi phí và mô hình đầu tư
Chuyển từ CapEx (mua server, switch, license một lần) sang OpEx (trả phí SaaS hàng tháng) giúp SMB dễ quản lý dòng tiền hơn và không cần vốn lớn ban đầu. Tuy nhiên tổng chi phí dài hạn cần tính kỹ. Phí Microsoft 365 Business Premium khoảng 22 USD/người/tháng — với 100 nhân viên là 26.400 USD mỗi năm, năm này qua năm khác không dừng. Trong khi đó server Exchange nội bộ trả một lần có thể dùng 5–7 năm. SMB cần so sánh tổng chi phí sở hữu (TCO) thực tế thay vì chỉ nhìn vào chi phí ban đầu.
Vấn đề tuân thủ và chủ quyền dữ liệu
Một số ngành như tài chính, y tế, pháp lý có quy định về nơi lưu trữ dữ liệu. Khi đưa dữ liệu lên cloud nước ngoài, doanh nghiệp phải đảm bảo tuân thủ các quy định về bảo vệ dữ liệu cá nhân (GDPR ở châu Âu, Nghị định 13/2023 ở Việt Nam). Điều này đôi khi buộc SMB phải chọn cloud region trong nước hoặc giữ một số dữ liệu nhạy cảm on-premise.
5. Các mô hình kiến trúc thay thế đang nổi lên
Collapsed core (lõi thu gọn) là mô hình phổ biến nhất cho SMB dưới 200 người, gộp core và distribution vào một switch L3 duy nhất. Đơn giản, chi phí thấp, dễ quản lý.
SD-WAN (Software-Defined WAN) thay thế router và MPLS truyền thống bằng phần mềm quản lý nhiều đường WAN thông minh. Tự động chọn đường tốt nhất cho từng loại traffic, hỗ trợ failover tức thì, tối ưu truy cập cloud. Cisco Meraki, Fortinet, VMware Velocloud là các tên tuổi phổ biến.
SASE (Secure Access Service Edge) là kiến trúc gộp networking và security vào một dịch vụ cloud duy nhất, do Gartner đề xuất năm 2019. Thay vì firewall vật lý tại mỗi chi nhánh, traffic đi qua cloud security của nhà cung cấp SASE (Zscaler, Cloudflare, Palo Alto Prisma). Không cần thiết bị phức tạp tại chi nhánh, chỉ cần một router đơn giản kết nối internet.
6. Kết luận thực tế
Mô hình 3 lớp không "chết" mà đang tiến hóa. Với SMB dưới 50 người chuyển cloud hoàn toàn, mô hình 3 lớp không còn phù hợp và nên thay bằng kiến trúc đơn giản hơn. Với doanh nghiệp vừa từ 200 đến 500 người có môi trường hybrid, mô hình 3 lớp vẫn cần nhưng được hiện đại hóa bằng SD-WAN và SASE. Với doanh nghiệp lớn nhiều chi nhánh, mô hình 3 lớp vẫn là nền tảng nhưng kết hợp thêm các lớp bảo mật và quản lý cloud phía trên.
Điều quan trọng nhất là kỹ sư mạng ngày nay không thể chỉ biết switching và routing — phải hiểu thêm cloud architecture, identity management, và security framework mới có thể thiết kế hạ tầng phù hợp với thực tế doanh nghiệp hiện đại.
Zero Trust Network Access (ZTNA) thay thế VPN truyền thống. Thay vì cho người dùng vào toàn bộ mạng nội bộ sau khi xác thực VPN, ZTNA chỉ cấp quyền truy cập đúng ứng dụng cụ thể mà người dùng được phép, không hơn không kém.