English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận mạng và thiết bị mạng Xin tư vấn giúp giải pháp cho hệ thống mạng  XML
  [Question]   Xin tư vấn giúp giải pháp cho hệ thống mạng 08/09/2011 17:21:05 (+0700) | #1 | 246685
nguyenquangduy
Member
[Minus]    0    [Plus]
Joined: 08/09/2011 03:51:55
Messages: 2
Offline
[Profile] [PM]
Xin chào các thầy và các anh chị. Bên em hiện đang muốn làm lại hệ thống bảo mật cho mạng của công ty như sau. Yêu cầu sử dụng thiết bị của CISCO và phải đảm bảo được các yêu cầu như bên dưới, mong các anh chị tư vấn dùm xem phải sử dụng những thiết bị gì ạ.

Em đang dự định sử dụng Firewall Cisco ASA5510-BUN-K9 cho đầu Hà Nội và ASA5505-50-BUN-K9 cho đầu HCM nhưng không biết các 2 thiết bị này có đảm bảo được các yêu cầu như bên dưới không?. Hệ thống có phải sử dụng thêm router hay Switch không? và sử dụng loại nào ạ?.

Chi nhánh HN 60 User, HCM 40 User




* Yêu cầu đối với hệ thống
- VLAN WIFI không thể truy cập được các VLAN khác, nếu muốn truy cập bắt buộc phải kết nối VPN vào nội bộ
- VLAN office có thể truy cập được VLAN server để truy xuất dữ liệu, sử dụng phần mềm kế toán
- VLAN Ban Giám Đốc có thể truy cập được các VLAN còn lại
- Hệ thống xây dựng phải đảm bảo quản lý được việc sử dụng đường truyền internet trong toàn hệ thống. Có chính sách và phân chia băng thông truy cập internet cho từng vùng, Có chính sách ưu tiên cho các dịch vụ quan trọng truy cập internet
- Khả năng cân bằng tải, nâng cao tính sẵn sàng của hệ thống
- Hệ thống cho phép quản lý tập trung các kết nối, dịch vụ và các đơn vị tham gia hệ thống một cách dễ dàng và thuận tiện. Đưa ra được các chính sách bảo mật chung cho một nhóm người sử dụng, nhóm dịch vụ. Cho phép khắc phục và khoanh vùng xử lý một cách nhanh nhất khi có sự cố xảy ra.
- Khả năng báo cáo tình trạng hệ thống, tình trạng sử dụng băng thông theo User hoặc IP
- Hệ thống mạng tại chi nhánh bắt buộc phải đi qua hệ thống tại Hà Nội để kết nối internet.
[Up] [Print Copy]
  [Question]   Xin tư vấn giúp giải pháp cho hệ thống mạng 08/09/2011 21:30:42 (+0700) | #2 | 246700
facialz
Elite Member
[Minus]    0    [Plus]
Joined: 20/07/2004 03:48:17
Messages: 197
Location: HoChiMinh city
Offline
[Profile] [PM]
Trong yêu cầu có 3 điểm mà tui nghĩ là không hợp lí.

nguyenquangduy wrote:

- VLAN WIFI không thể truy cập được các VLAN khác, nếu muốn truy cập bắt buộc phải VPAN vào nội bộ
- VLAN office có thể truy cập được VLAN server để truy xuất dữ liệu, sử dụng phần mềm kế toán
- VLAN Ban Giám Đốc có thể truy cập được các VLAN còn lại 


1. Trong sơ đồ, đặt ở giữa mạng LAN chỉ là 1 router (thiết bị L3). Trong khi để đáp ứng những yêu cầu như thế này thì nên kiểm soát truy nhập ở L7 hay ít ra ở L4. Lẽ ra phải là firewall mới đúng.

2. Tức là cần 1 firewall với throughput chừng 5-10 gbps. Với yêu cầu bắt buộc dùng nhãn hiệu Cisco, chỉ có thể thu được cùng lắm là 1 thiết bị với giao diện đồ hoạ nghèo nàn và chậm như rùa, với giá cắt cổ.

nguyenquangduy wrote:
- Hệ thống mạng tại chi nhánh bắt buộc phải đi qua hệ thống tại Hà Nội để kết nối internet. 


3. Nghĩa là thêm độ trễ vài chục ms, tốn thêm vài chục mbps băng thông liên tỉnh, thêm gánh nặng mà chẳng thu được lợi ích gì ngoài false sense of security.
[Up] [Print Copy]
  [Question]   Xin tư vấn giúp giải pháp cho hệ thống mạng 09/09/2011 07:36:04 (+0700) | #3 | 246714
phuongnvt
Member
[Minus]    0    [Plus]
Joined: 09/02/2011 03:35:39
Messages: 332
Offline
[Profile] [PM]
- Bên Cty bạn đầu tư bao nhiêu chi phí cho chuyện này ?


- VLAN WIFI không thể truy cập được các VLAN khác, nếu muốn truy cập bắt buộc phải VPAN vào nội bộ
- VLAN office có thể truy cập được VLAN server để truy xuất dữ liệu, sử dụng phần mềm kế toán
- VLAN Ban Giám Đốc có thể truy cập được các VLAN còn lại
 


- Mình nghĩ cái này hoàn toàn có thể thực hiện được với dòng Switch Layer 3 (dòng Cisco Catalyst 3560 Series) nhưng chi phí nó khá cao ah nha! nên cân nhắc chuyện này


Em đang dự định sử dụng Firewall Cisco ASA5510-BUN-K9 cho đầu Hà Nội và ASA5505-50-BUN-K9 cho đầu HCM nhưng không biết các 2 thiết bị này có đảm bảo được các yêu cầu như bên dưới không?. Hệ thống có phải sử dụng thêm router hay Switch không? và sử dụng loại nào ạ?.

Hệ thống mạng tại chi nhánh bắt buộc phải đi qua hệ thống tại Hà Nội để kết nối internet.

 


- Theo như yêu cầu của bạn, nếu đầu tư firewall bạn nên quan tâm đến các thông số về Firewall Throughput, VPN Throughput
bạn cũng không nhất thiết phải dùng Firewall của Cisco ,có thể dùng dòng Astaro security gateway cũng được.

- Đối với phía bên Tphcm bạn gắn thêm cái Switch Linksys (LINKSYS SRW248G4 hoặc Linksys SRW2048 48-port 10/100/1000M)cũng được chứ không nhất thiết phải dùng Switch Cisco

Nhiều người nhận được lời khuyên, song chỉ có những người khôn mới sử dụng lời khuyên đó


[Up] [Print Copy]
  [Question]   Xin tư vấn giúp giải pháp cho hệ thống mạng 09/09/2011 09:37:06 (+0700) | #4 | 246721
[Avatar]
 _KjlL_
Member
[Minus]    0    [Plus]
Joined: 04/11/2009 21:21:46
Messages: 137
Offline
[Profile] [PM]

nguyenquangduy wrote:

* Yêu cầu đối với hệ thống
- VLAN WIFI không thể truy cập được các VLAN khác, nếu muốn truy cập bắt buộc phải VPAN vào nội bộ
 

Mọi người giải thích hộ mình chút về Vpan được ko ??
...
[Up] [Print Copy]
  [Question]   Xin tư vấn giúp giải pháp cho hệ thống mạng 09/09/2011 10:50:09 (+0700) | #5 | 246730
phuongnvt
Member
[Minus]    0    [Plus]
Joined: 09/02/2011 03:35:39
Messages: 332
Offline
[Profile] [PM]

_KjlL_ wrote:

nguyenquangduy wrote:

* Yêu cầu đối với hệ thống
- VLAN WIFI không thể truy cập được các VLAN khác, nếu muốn truy cập bắt buộc phải VPAN vào nội bộ
 

Mọi người giải thích hộ mình chút về Vpan được ko ??
 


tui nghĩ nó là VPN
Nhiều người nhận được lời khuyên, song chỉ có những người khôn mới sử dụng lời khuyên đó


[Up] [Print Copy]
  [Question]   Xin tư vấn giúp giải pháp cho hệ thống mạng 14/09/2011 19:40:03 (+0700) | #6 | 247137
nguyenquangduy
Member
[Minus]    0    [Plus]
Joined: 08/09/2011 03:51:55
Messages: 2
Offline
[Profile] [PM]

phuongnvt wrote:
- Bên Cty bạn đầu tư bao nhiêu chi phí cho chuyện này ?

- Theo như yêu cầu của bạn, nếu đầu tư firewall bạn nên quan tâm đến các thông số về Firewall Throughput, VPN Throughput
bạn cũng không nhất thiết phải dùng Firewall của Cisco ,có thể dùng dòng Astaro security gateway cũng được.

- Đối với phía bên Tphcm bạn gắn thêm cái Switch Linksys (LINKSYS SRW248G4 hoặc Linksys SRW2048 48-port 10/100/1000M)cũng được chứ không nhất thiết phải dùng Switch Cisco

 


Chào anh!
Rất cảm ơn sự góp ý của anh, cty em đầu tư khoảng 6-7K cho việc này. em xin hỏi thêm một chút ạ.
Em đã tìm hiểu một số thiết bị như anh giới thiệu và có một số ý kiến sau, mong mọi người chỉ giáo thêm

- Em không cần đặt switch L3 tại HCM, ở HCM chỉ cần đặt Access Switch thôi ạ
- Đối với firewall Astaro 220 tại HN + Astaro 120 tại HCM + Zyxel Switch L3 tại HN để chia VLAN giá thành tương đương với sử dụng 2 con Cisco ASA 5510 Full option web, antivirus, antispam, content filter đặt tại 2 đầu HN và HCM + Cisco Catalyst 3560 (~7K).
- Về Firewall Throughput và VPN Throughput

Astaro Security Gateway 220---------------------------------Cisco ASA 5510 Base
Firewall Throughput: 3 Gbit/s---------------------------------300 Mbps
VPN Throughput: 480 Mbit/s-----------------------------------170 Mbps
Không hiểu sao cái Astaro mấy thông số này cao thế (Gần bằng thiết bị cho Datacenter của Cisco), Cisco ASA 5550 (dòng cao nhất dành cho mạng vừa) mới được có 1.2 Gbps Firewall Throughput và 425 Mbps 3DES/AES VPN Throughput

Code:
http://www.astaro.com/products/hardware-appliances/astaro-security-gateway-220

Code:
http://www.cisco.com/en/US/products/ps6120/prod_models_comparison.html#~mid-range
[Up] [Print Copy]
  [Question]   Xin tư vấn giúp giải pháp cho hệ thống mạng 19/09/2011 12:41:45 (+0700) | #7 | 247362
[Avatar]
 dabu
Elite Member
[Minus]    0    [Plus]
Joined: 03/03/2003 03:31:20
Messages: 226
Offline
[Profile] [PM]
Cùng với tính năng như vậy. Mình giới thiệu bạn thiết bị Firewall Juniper SRX 240:

Firewall performance (max)
1.5 Gbps

AES256+SHA-1 / 3DES+SHA-1 VPN performance
300 Mbps

Bạn tham khảo thêm: http://www.juniper.net/us/en/products-services/security/srx-series/srx240/
It's time to build a new network.
[Up] [Print Copy]
  [Question]   Xin tư vấn giúp giải pháp cho hệ thống mạng 19/09/2011 16:12:11 (+0700) | #8 | 247379
[Avatar]
 sonngh
Member
[Minus]    0    [Plus]
Joined: 04/11/2010 01:10:40
Messages: 37
Location: Thiên đường
Offline
[Profile] [PM]

nguyenquangduy wrote:
Xin chào các thầy và các anh chị. Bên em hiện đang muốn làm lại hệ thống bảo mật cho mạng của công ty như sau. Yêu cầu sử dụng thiết bị của CISCO và phải đảm bảo được các yêu cầu như bên dưới, mong các anh chị tư vấn dùm xem phải sử dụng những thiết bị gì ạ.

Em đang dự định sử dụng Firewall Cisco ASA5510-BUN-K9 cho đầu Hà Nội và ASA5505-50-BUN-K9 cho đầu HCM nhưng không biết các 2 thiết bị này có đảm bảo được các yêu cầu như bên dưới không?. Hệ thống có phải sử dụng thêm router hay Switch không? và sử dụng loại nào ạ?.

Chi nhánh HN 60 User, HCM 40 User

* Yêu cầu đối với hệ thống
- VLAN WIFI không thể truy cập được các VLAN khác, nếu muốn truy cập bắt buộc phải kết nối VPN vào nội bộ
- VLAN office có thể truy cập được VLAN server để truy xuất dữ liệu, sử dụng phần mềm kế toán
- VLAN Ban Giám Đốc có thể truy cập được các VLAN còn lại
- Hệ thống xây dựng phải đảm bảo quản lý được việc sử dụng đường truyền internet trong toàn hệ thống. Có chính sách và phân chia băng thông truy cập internet cho từng vùng, Có chính sách ưu tiên cho các dịch vụ quan trọng truy cập internet
- Khả năng cân bằng tải, nâng cao tính sẵn sàng của hệ thống
- Hệ thống cho phép quản lý tập trung các kết nối, dịch vụ và các đơn vị tham gia hệ thống một cách dễ dàng và thuận tiện. Đưa ra được các chính sách bảo mật chung cho một nhóm người sử dụng, nhóm dịch vụ. Cho phép khắc phục và khoanh vùng xử lý một cách nhanh nhất khi có sự cố xảy ra.
- Khả năng báo cáo tình trạng hệ thống, tình trạng sử dụng băng thông theo User hoặc IP
 



Mình nghĩ bạn có thể dùng Draytek Vigor 3300 có thể đáp ứng yêu cầu của bạn (Load balancing,Vlan,Firewall,VPN).

Hệ thống mạng tại chi nhánh bắt buộc phải đi qua hệ thống tại Hà Nội để kết nối internet. 

Chưa kể tốn băng thông liên tỉnh như bạn facialz đề cập,còn gặp các trường hợp xấu như ( mất điện,rớt mạng ...),hệ thống mạng ở HCM sẽ bị ảnh hưởng.ở các chi nhánh chắc cũng có nhân viên phụ trách đúng không ? với lại mình thấy mô hình bạn vẽ với yêu cầu hệ thống thấy có vẻ không ổn.
Ordeal but No Failure !
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|