vấn đề của mình là mình có một câu hỏi về vẽ hình sơ đồ mạng của 1 công ty.câu hỏi đó như sau:
Vẽ thiết kế mô hình mạng của một cơ quan có những mô tả như sau:
- có kết nối ra ngoài internet
- có firewall giữa mạng trong và mạng ngoài và vùng DMZ (theo mình biết vùng DMZ là vùng bị loại bỏ, nhưng ko hiều rõ lắm, bạn nào biết xin nói rõ hơn giúp)
- có các server mạng như sau: DHCP,WINS,DNS,DC
- có các server chức năng như sau: Oracle, SQL, Mail
- có 200 máy tính cho người dùng
- 02 máy In mạng.
(Lưu ý mô hình chỉ cần 1 Router)
câu hỏi như vậy và mình vẽ mô hình như sau, ko bít có đúng ko nữa, mong các bạn góp ý!
nguyên gốc của hình là file .doc các bạn có thể lấy về và chỉnh sửa http://a1.nupload.net/v/qSh/d/

 

vấn đề của mình là mình có một câu hỏi về vẽ hình sơ đồ mạng của 1 công ty.câu hỏi đó như sau:
Vẽ thiết kế mô hình mạng của một cơ quan có những mô tả như sau:
- có kết nối ra ngoài internet
- có firewall giữa mạng trong và mạng ngoài và vùng DMZ (theo mình biết vùng DMZ là vùng bị loại bỏ, nhưng ko hiều rõ lắm, bạn nào biết xin nói rõ hơn giúp)
- có các server mạng như sau: DHCP,WINS,DNS,DC
- có các server chức năng như sau: Oracle, SQL, Mail
- có 200 máy tính cho người dùng
- 02 máy In mạng.
(Lưu ý mô hình chỉ cần 1 Router)
câu hỏi như vậy và mình vẽ mô hình như sau, ko bít có đúng ko nữa, mong các bạn góp ý!
nguyên gốc của hình là file .doc các bạn có thể lấy về và chỉnh sửa http://a1.nupload.net/v/qSh/d/

 

Router là gì? Đơn giản bạn cứ nghĩ rằng ta dùng Router để "bắt tay" 2 nhánh mạng với nhau. Ví dụ như bạn có 2 nhánh mạng: 10.0.0.200/8 và 172.16.1.200/16, để 2 nhánh mạng này thông được với nhau thì sống hay chết gì bạn cũng phải có một em router đứng giữa (nghĩ đơn giản thôi nha). Vì lẽ đó, không có lý do gì để mà bạn triển khai DNS, DHCP, WINS và DC khác nhánh mạng để rồi tốn thêm một em router để "bắt tay" 4 cái này.

Thân 

DLKC wrote:

Router là gì? Đơn giản bạn cứ nghĩ rằng ta dùng Router để "bắt tay" 2 nhánh mạng với nhau. Ví dụ như bạn có 2 nhánh mạng: 10.0.0.200/8 và 172.16.1.200/16, để 2 nhánh mạng này thông được với nhau thì sống hay chết gì bạn cũng phải có một em router đứng giữa (nghĩ đơn giản thôi nha). Vì lẽ đó, không có lý do gì để mà bạn triển khai DNS, DHCP, WINS và DC khác nhánh mạng để rồi tốn thêm một em router để "bắt tay" 4 cái này.

Thân 

Chả hiểu cái câu "Vì lẽ đó" của bồ là sao nữa. DHCP server thì bắt buộc phải cùng trong một cổng đối với các PC thì mới hoạt động được, thế nên không cần vì lẽ nào hết. Còn các local services như DNS, WINS hoặc private web server thì tôi cũng thường đặt khác subnet với PC, để bảo đảm an toàn cho các dịch vụ này từ chính các PC.

Tất nhiên cái này còn tùy thuộc vào kinh phí và đặc điểm cụ thể của business mới quyết định được. 

DHCP server ko nhất thiết nằm trong cùng mạng với các máy clients. Tui biết Cisco router có lệnh "ip helper-address" để forward các packet DHCP đến chính server. Nhưng ISA thì tui ko rõ . 

Chà chà... tôi đã bảo rằng nên nghĩ đơn giản thôi. Với trường hợp của bạn chicken_IT ở trên thì DNS, DHCP, WINS và DC không nhất thiết phải dùng Router để "nối" chúng lại, ta dùng Switch cũng được vậy (nghĩ đơn giản là vậy đó - đụng chi tới đao to, búa bự như router chi).

Chào nha  

- Sơ đồ của beo_beo37 tôi thấy cũng được đấy. Có vẻ lão này rất "mê" ISA server, nên lúc nào cũng nhắc đến nó.
 

Vậy ta có 3 dải IP vậy thì làm sao để các PC ở khác dải IP có thể nói chuyện với nhau và tìm đường đi đúng đắn==> Vậy đó là nhiệm vụ của NAT và Router. Phần này hơi rối nhưng nếu cẩn thận phân tích thì nó cũng không quá khó. Trên ISA phải có những Rule qua lại.

Thân 

- Tại sao bạn cần lắp một DNS server trong khi hình như công ty bạn chỉ có 200 máy của users tập trung vào một khu vực. Công ty bạn có cần tạo các subdomain lắm không? Công ty bạn có một static IP không? (Có thể lắp một DNS server với một private IP được cung cấp từ một router, modem chỉ có một Dynamic IP, như tôi đang lắp ở nhà hiện nay khi khảo sát, nghiên cứu về quá trình "poisoning cache DNS server". Máy chạy, nhưng config. rất khó và rất trục trặc. Nó chỉ có tác dụng "ngâm cứu" mạng thôi, chứ không thể sử dụng trong thưc tế một cách trơn tru, hiệu quả được).
Nhưng DNS servers phải có hai cái chứ: Primary và Secondary, nếu muốn quá trình resolution ngon lành.
Ngoài ra đã có DNS server thì dùng WINS để làm việc gì?
 

Một webserver thì không nên bao giờ đặt trong một vùng DMZ. Máy chơi game thì được. 

PXMMRF wrote:

Một webserver thì không nên bao giờ đặt trong một vùng DMZ. Máy chơi game thì được. 

Chào anh Mai!
Vấn đề này anh đặt ra rất lý thú, tiếc rằng em chưa hiểu rõ lắm. Anh có thể nói qua một chút. 

Theo tớ nghĩ dí do anh PXMMRF muốn đặt webserver phía trong LAN, sau đó trên router sẽ PAT cổng 80 vào WEB SErver đó.

Như vậy WEB Server này sẽ ít bị ảnh hưởng của những cuộc tấn công trực tiếp từ ngoài Internet.

Nhưng như vậy cũng có nhược điểm là WEB SERVER này sẽ bị phụ thuộc vào bẳng PAT trên Router.

Nếu như webserver phục vụ 1 lượng lớn các request từ Client sẽ sẽ làm tốc độ bị giảm đi đáng kể. 

beo_beo37 wrote:

Vậy ta có 3 dải IP vậy thì làm sao để các PC ở khác dải IP có thể nói chuyện với nhau và tìm đường đi đúng đắn==> Vậy đó là nhiệm vụ của NAT và Router. Phần này hơi rối nhưng nếu cẩn thận phân tích thì nó cũng không quá khó. Trên ISA phải có những Rule qua lại.

Thân 

Hi beo_beo37

Nói cho chính xác đó là nhiệm vụ routing của Router chứ không phải NAT.

Thật ra việc có thêm ISA vào hay không còn tùy thuộc vào mục đích của công ty.

Nếu không cần kiểm soát nội dung traffic đi ra, đi vào, cache lại content của web..hay 1 số tính năng khá đặc trưng của ISA để can thiệp sâu vào mức application thì chỉ cần 1 Router là đủ.

Trên con Router Cisco đó cũng chỉ cần 1 cổng FastEthernet cấu hình subinternetface + VLan trunking
Thêm 1 con Switch có chia VLAN là hoàn toàn có thể đáp ứng được nhu cầu

DMZ

LAN ( Internal )

WAN ( External )

Trên con Router này có thể triển khai ACLs, firewall tích hợp sẵn. Và tất nhiên việc routing trên con Router này là hoàn toàn dễ dàng.

PXMMRF wrote:

- Tại sao bạn cần lắp một DNS server trong khi hình như công ty bạn chỉ có 200 máy của users tập trung vào một khu vực. Công ty bạn có cần tạo các subdomain lắm không? Công ty bạn có một static IP không? (Có thể lắp một DNS server với một private IP được cung cấp từ một router, modem chỉ có một Dynamic IP, như tôi đang lắp ở nhà hiện nay khi khảo sát, nghiên cứu về quá trình "poisoning cache DNS server". Máy chạy, nhưng config. rất khó và rất trục trặc. Nó chỉ có tác dụng "ngâm cứu" mạng thôi, chứ không thể sử dụng trong thưc tế một cách trơn tru, hiệu quả được).
Nhưng DNS servers phải có hai cái chứ: Primary và Secondary, nếu muốn quá trình resolution ngon lành.
Ngoài ra đã có DNS server thì dùng WINS để làm việc gì?
 

Hi anh Mai,

Nếu như trong công ty có triển khai AD thì việc có DNS nội bộ ( Internal DNS ) là hoàn toàn cần thiết để nó có thể reslove các tên miền thuộc forest

Còn DNS như anh nói phía trên là hoàn toàn chính xác, nhưng nó thuộc dạng public DNS để phục vụ cho việc phân giải tên miền <--> IP của những WEB SERVER, Mail SERVER..etc nếu như 1 công ty có.

Còn việc tại sao vẫn triển khai thêm WINS thì em đoán là chắc trong công ty có 1 số thiết bị thuộc dòng.. đời cổ nên không support phân giải tên bằng DNS.


 

Khá nhiều tài liệu đã trình bầy các mẫu thiết kế mạng phù hợp với từng loại hình công ty và quy mô của công ty. Cisco cũng đã cung cấp một "tập" thiết kế mẫu như vậy. Trong các tài liệu khác, thí dụ tài liệu "Làm chủ Windows 2003 server" cũng có đưa ra nhiều mô hình mạng, có cả DNS server (Primary, Secondary), DHCP server, Mail server, Webserver.... Tốt nhất ta nên dựa vào một trong các sơ đồ mẫu này, mà ta thấy phù hợp với hoàn cảnh công ty nhất, để thiết kế mạng cho công ty mình, rồi nếu muốn thì có thể bổ sung, cải tiến chút ít. Không nên tự nghĩ ra một sơ đồ có vẻ "không giống ai" cả.
 

Hi Thắng Đi A Bờ Lô
Nếu tớ có Router và Switch của Cisco thì tớ không phải nghĩ . Và thay vào 1 con Router là 1 con Modem ADSL vì vậy ở đây có cả vấn đề routing và NAT
 

Hi anh Pnco
Em đồng ý quan điểm của anh. Nếu Webserver hoặc Mail Server mà đặt trong Internal(LAN) thì việc gì cần đến vùng DMZ. Và em nghĩ vùng DMZ mà quản trị tốt thì việc xâm nhập cũng không phải là đơn giản.  

PXMMRF wrote:

Một webserver thì không nên bao giờ đặt trong một vùng DMZ. Máy chơi game thì được. 

Chào anh Mai!
Vấn đề này anh đặt ra rất lý thú, tiếc rằng em chưa hiểu rõ lắm. Anh có thể nói qua một chút. 

Theo tớ nghĩ dí do anh PXMMRF muốn đặt webserver phía trong LAN, sau đó trên router sẽ PAT cổng 80 vào WEB SErver đó.
Như vậy WEB Server này sẽ ít bị ảnh hưởng của những cuộc tấn công trực tiếp từ ngoài Internet.
Nhưng như vậy cũng có nhược điểm là WEB SERVER này sẽ bị phụ thuộc vào bẳng PAT trên Router.
Nếu như webserver phục vụ 1 lượng lớn các request từ Client sẽ sẽ làm tốc độ bị giảm đi đáng kể. 

beobeo wrote:

Hi Thắng Đi A Bờ Lô
Nếu tớ có Router và Switch của Cisco thì tớ không phải nghĩ . Và thay vào 1 con Router là 1 con Modem ADSL vì vậy ở đây có cả vấn đề routing và NAT
 

Hi`, đáng lẽ vấn đề này nên tạo 1 topic khác để bị tránh loãng.

Việc thiết bị Cisco hay ADSL thì đều có chức năng NAT/PAT và Routing cả.

Có khác thì nó chỉ khác như sau: Trên Cisco beo có thể triển khai DMZ, LAN, External ngay trên đó.

Còn với Modem/Router ADSL hầu như không cho triển khai DMZ mà nếu có cũng rất nhiều điểm hạn chế.  

Và như vậy đứng ở giữa mạng của công ty và Modem ADSL sẽ phải có 1 thiết bị or 1 server làm nhiệm vụ đó như ISA chẳng hạn.
Nhưng thiết nghĩ việc đầu tư cho Server ISA đủ mạnh và lisence cho nó còn đắt đỏ hơn nhiều với việc trang bị 1 Router chuyên dụng.