Mạng Doanh Nghiệp

Với xu thế ứng dụng hệ thống thông tin vào tất cả các hoạt động sản xuất của các doanh nghiệp, vấn đề triển khai một hệ thống mạng khi xây dựng một doanh nghiệp là điều tất yếu.

Vậy mạng doanh nghiệp là gì?

Một mạng doanh nghiệp được coi là xương sống trong việc giao tiếp giữa các kết nối máy tính và các thiết bị mạng liên quan (ngay cả: điện thoại thông minh) qua các phòng ban trong một tổ chức. Một mạng doanh nghiệp có thể giúp giảm thiểu sự phức tạp thông qua việc đơn giản hóa các giao thức truyền thông khác nhau.

Mô hình cấu trúc mạng doanh nghiệp

Khi mạng trở nên tinh vi hơn, dùng phương pháp tiếp cận nhiều module để thiết kế lớp truy nhập, lớp phân phối và lớp lõi mạng WAN và LAN.

Phương thức thiết kế theo module (Modular) được xem như là phương thức bổ sung cho phương thức thiết kế Hierarchical. Trong một hệ thống mạng qui mô lớn, nói chung sẽ bao gồm nhiều vùng mạng phục vụ các hoạt động và chức năng khác nhau. Việc thiết kế theo module cho một hạ tầng mạng lớn bằng việc tách biệt các vùng mạng với chức năng khác nhau, cũng đang là một phương pháp thiết kế được sử dụng rộng rãi trong thiết kế hạ tầng mạng cho các doanh nghiệp, các công ty, và các tổ chức lớn (gọi tắt là Enterprise).

Phương thức thiết kế Modular có thể được chia làm ba vùng chính, mỗi vùng được tạo bởi các module mạng nhỏ hơn:

– Enterprise campus: Bao gồm các module được yêu cầu để xây dựng một mạng campus đòi hỏi tính sẵn sàng cao, tính mềm dẻo và linh hoạt.

– Enterprise edge: Hội tụ các kết nối từ các thành phần khác nhau tại phía rìa mạng của Enterprise. Vùng chức năng này sẽ lọc lưu lượng từ các module trong Enterprise edge và gửi chúng vào trong vùng Enterprise campus. Enterprise edge bao gồm tất cả các thành phần thiết bị để đảm bảo truyền thông hiệu quả và bảo mật giữa Enterprise campus với các hệ thống bên ngoài, các đối tác, mobile users, và mạng Internet.

– Service provider edge: Các module trong vùng này được triển khai bởi các nhà cung cấp dịch vụ, chứ không thuộc về Enterprise. Các module trong Service provider edge cho phép truyền thông với các mạng khác sử dụng các công nghệ WAN và các ISPs khác nhau.

Các thành phần mạng và chức năng trong kiến trúc chuyên biệt của Cisco:

• Enterprise campus area
• Enterprise data center module
• Enterprise branch module
• Enterprise teleworker module

Mô hình cấu trúc mạng doanh nghiệp Cisco

Mô hình kiến trúc mạng doanh nghiệp đặc trưng của Cisco giữ nguyên các khái niệm phân phối, truy cập, các thành phần kết nối người sử dụng, dịch vụ WAN, và trạm máy chủ thông qua mạng trục tốc độ cao. Trong các mạng nhỏ hơn, các lớp có thể được tích hợp vào một lớp duy nhất, thậm chí là một thiết bị duy nhất, nhưng các chức năng vẫn không đổi.

Trong phạm vi cơ sở hạ tầng doanh nghiệp bao gồm trường lõi, xây dựng lớp phân phối và lớp truy cập, với một module trung tâm dữ liệu. Vùng biên kết nối với nhà cung cấp dịch vụ bao gồm đi Internet, thương mại điện tử, VPN, và các module WAN. Vùng biên của nhà cung cấp dịch vụ cung cấp dịch vụ đường đi Internet, mạng chuyển mạch thoại công cộng (PSTN), và dịch vụ WAN cho doanh nghiệp.

1. Enterprise Campus Module

Có các module phụ sau:

• Campus core
• Building Ditribution
• Building Access
• Server farm/data center

Mô hình Enterprise Campus

Trường Core cung cấp một đường trục chuyển mạch tốc độ cao giữa các tòa nhà, các hệ thống máy chủ và các kết nối giữa các doanh nghiệp. Phân khúc này bao gồm kết nối dự phòng và hội tụ nhanh. Lớp phân phối chịu trách nhiệm chuyển mạch truy cập và kiểm soát truy cập, QoS, tuyến đường dự phòng, và cân bằng tải. Building access switches cho phép truy cập VLAN, PoE cho điện thoại IP và các điểm truy cập không dây, ngăn Broadcast và Spanning Tree.

Server farm/data center cho phép truy cập tốc độ cao và tính sẵn sàng cao (redundancy) đến các máy chủ. Các máy chủ doanh nghiệp như file and Print servers, Application servers, Email servers, Dynamic Host Configuration Protocol (DHCP) servers, và Domain Name System (DNS) servers được đặt trong Server farm. Cisco Unified Call Manager servers được đặt trong Server farm cho các mạng điện thoại IP. Máy chủ quản lý mạng được đặt tại server farm, nhưng liên kết từ máy chủ đến mỗi module trong một phạm vi doanh nghiệp phải cung cấp khả năng giám sát mạng, đăng nhập và quản lý cấu hình.

Cơ sở hạ tầng trong phạm vi doanh nghiệp có thể áp dụng cho các địa điểm nhỏ, vừa và lớn. Trong hầu hết các trường hợp, phạm vi rộng lớn có thiết kế ba lớp với một hệ thống đấu nối (lớp triển khai truy cập), lớp triển khai phân phối, và một lớp lõi. Phạm vi nhỏ hơn có thiết kế hai tầng với một thành phần hệ thống đấu nối (lớp truy cập Ethernet) và một lõi chính (lớp lõi tích hợp và các lớp phân phối). Nó cũng cho phép cấu hình các chức năng phân phối trong một thiết bị đa truy cập để duy trì khả năng truyền tin nhanh trên trục chính. Mạng có kích thước vừa đôi khi thực hiện thiết kế ba lớp hoặc hai lớp tuỳ thuộc vào số lượng port, yêu cầu dịch vụ, quản lý, hiệu suất, và yêu cầu thích ứng.

2. Enterprise Edge Area

Gồm các module phụ sau:

• E-commerce networks and servers
• Internet connectivity and demilitarized zone (DMZ)
• VPN and remote access
• Enterprise WAN

Enterprise Edge Area

2.1. E-Commerce Module

Submodule thương mại điện tử ở phần biên doanh nghiệp cung cấp mạng tính sẵn sàng cao cho dịch vụ kinh doanh. Nó sử dụng thiết kế thích nghi cao của các Server farm module với đặc tính kết nối Internet của các module Internet. Các thiết bị nằm trong submodule thương mại điện tử bao gồm:

• Máy chủ Web và ứng dụng
• Các máy chủ cơ sở dữ liệu: lưu trữ thông tin ứng dụng và thông tin giao dịch.
• Firewall and firewall routers: quản lí thông tin liên lạc giữa các user trong hệ thống.
• Hệ thống phòng chống xâm nhập mạng (IPS): Cung cấp chức năng giám sát các phân đoạn quan trọng trong các module mạng để phát hiện và ứng phó với các cuộc tấn công mạng.
• Multilayer switch with IPS modules: Cung cấp chức năng vận chuyển lưu lượng và tích hợp giám sát bảo mật.

2.2. Internet Connectivity Module

Internet Submodule ở vùng biên doanh nghiệp cung cấp các dịch vụ như máy chủ công cộng, email, và DNS. Kết nối với một hoặc một số nhà cung cấp dịch vụ Internet (ISP). Các thành phần của submodule này bao gồm:

• Firewall and firewall routers: Cung cấp chức năng bảo vệ tài nguyên mạng, lọc lưu lượng, và VPN đầu cuối cho người sử dụng và các điểm đầu xa.
• Internet edge routers: Cung cấp chức năng lọc cơ bản và kết nối đa lớp
• FTP và HTTP severs: Cung cấp các ứng dụng web giúp doanh nghiệp giao tiếp với thế giới bên ngoài thông qua Internet công cộng
• Máy chủ chuyển tiếp SMTP: Hoạt động chuyển tiếp giữa Internet và máy chủ mail nội bộ.
• Máy chủ DNS: Phân giải tên miền và yêu cầu chuyển tiếp đi Internet

Hình thức kết nối đơn giản nhất là một đường kết nối trực tiếp duy nhất giữa doanh nghiệp và SP, như trong hình dưới đây. Nhược điểm của kết nối này là không có tính dự phòng khi có sự cố mạng.

Kết nối trực tiếp từ doanh nghiệp tới nhà cung cấp

Có thể sử dụng các giải pháp đa đường để dự phòng, hoặc chuyển đổi dự phòng cho dịch vụ internet.

Hình sau cho thấy 4 tùy chọn multihoming Internet:

Các tùy chọn multihoming Internet

Các tùy chọn multihoming Internet:

• Lựa chọn 1: Dự phòng đường kết nối, nhưng không dự phòng ISP và router nội vùng.
• Lựa chọn 2: Dự phòng đường kết nối và ISP nhưng không dự phòng router nội vùng khi xảy ra lỗi.
• Lựa chọn 3: Dự phòng các đường kết nối và router nội vùng, nhưng không dự phòng ISP khi ISP xảy ra sự cố.
• Lựa chọn 4: Cung cấp khả năng dự phòng đầy đủ các bộ định tuyến nội vùng, đường liên kết, và các ISP.

2.3. VPN/Remote Access

Module truy cập từ xa hay VPN của các enterprise edge cung cấp dịch vụ chống truy cập từ xa, bao gồm xác thực người dùng từ xa. Các thành phần của submodule này bao gồm:

• Firewalls: Cung cấp lệnh lọc lưu lượnng, xác thực đáng tin cậy các điểm ở xa, và cung cấp kết nối bằng cách sử dụng đường hầm IPsec.
• Cisco Adaptive Security Appliances (ASA): xác thực ngừoi dùng từ xa, cung cấp các dịch vụ tường lửa và phòng chống xâm nhập.
• Thiết bị phòng chống xâm nhập mạng(IPS): Nếu sử dụng một máy chủ đầu cuối truy cập từ xa, modul này kết nối với mạng PSTN. Hệ thống mạng hiện nay thường triển khai VPN trên các máy chủ đầu cuối truy cập từ xa và được dành riêng cho các liên kết WAN. Mạng VPN giảm chi phí thông tin liên lạc bằng cách tận dụng cơ sở hạ tầng của SP. Văn phòng ở xa, người sử dụng điện thọai di động, và văn phòng gia đình truy cập Internet bằng cách sử dụng các local SP với đường hầm IPsec đến VPN /remote acces submodule thông qua Internet submodule.

Thiết kế VPN

2.4. Enterprise WAN

Công nghệ WAN bao gồm:

• Multiprotocol Label Switching (MPLS)
• Metro Ethernet
• Leased lines
• Synchronous Optical Network (SONET) and Synchronous Digital
• Hierarchy (SDH)
• PPP
• Frame Relay
• ATM
• Cable
• Digital subscriber line (DSL)
• Wireless

Khi thiết kế enterprise edge cần xem xét:

• Xác định các kết nối cần thiết để kết nối mạng công ty đi Internet. Module kết nối Internet thực hiện nhiệm vụ kết nối này.
• Tạo các e-commerce module cho khách hàng và đối tác truy cập Internet phục vụ kinh doanh và các ứng dụng cơ sở dữ liệu.
• Thiết kế module truy cập từ xa hay VPN cho truy cập VPN vào mạng nội bộ từ Internet. Thực hiện chính sách bảo mật và cấu hình xác thực.

Đáp ứng những thách thức của một mạng lưới tương lai

Để xây sựng một mạng lưới doanh nghiệp định hướng tương lai, các công ty cần phải giải quyết một số thách thức quan trọng. hộ càn tích hợp và quản lý các công nghệ và nguồn lực riêng lẻ thành một mạng lưới hợp nhất và hiệu quả, cung cấp khả năng đáp ứng nhu cầu mở rộng dữ liệu của người dùng. Ngoài việc cung cấp hiệu suất cao và giảm chi phí, các mạng doanh nghiệp thế hệ tiếp theo cần linh hoạt, có khả năng mở rộng cao, đơn giản trong quản lý và bảo mật để hỗ trợ các doanh nghiệp trong tương lai.

1. Tính linh hoạt là chìa khóa của các thế hệ mạng tiếp theo

Mạng truyền thống được thiết kế cho tốc độ thay vì sự linh hoạt, nhưng sẽ không còn phù hợp nữa khi các dịch vụ trên đám mây đang dần trở thành tiêu chuẩn. Để đạt được độ linh hoạt và tính linh hoạt cao hơn các công ty cần chuyển đổi từ quy hoạch, triển khai và quản lý mạng truyền thống, tĩnh, thiết bị trung tâm sang mô hình động, theo nhu cầu giúp họ nhanh chóng mở rộng hoặc thay đổi các dịch vụ để đáp ứng nhu cầu kinh doanh.

2. Khả năng mở rộng để đáp ứng nhu cầu kinh doanh mới

Một mạng trong tương lai cần đặt trải nghiệm người dùng vào trung tâm của mạng bằng cách xây dựng và thực hiện các chính sách quản lý mạng người dùng và ứng dụng để khắc phục các vấn đề về tắc nghẽn và hiệu năng.

Mạng doanh nghiệp đã sẵn sàng trong tương lai cần phải mở rộng để triển khai nhanh chóng các dịch vụ và ứng dụng CNTT để hỗ trợ nhu cầu kinh doanh. Đồng thời, người dùng muốn kết nối với các tài nguyên mạng từ cả hai thiết bị có dây và không dây.

Để đáp ứng các nhu cầu này, mạng doanh nghiệp phải có khả năng mở rộng quy mô để đáp ứng nhu cầu năng lực trong các trung tâm dữ liệu, mạng diện rộng, mạng lưới trường, Internet di động, IoT, và các mạng khác.

3. Đơn giản hóa việc quản lý

Với sự hội tụ ngày càng tăng giữa các mạng doanh nghiệp, mạng Internet di động và các mạng IoT, các công ty cần tăng cường khả năng thông minh ở biên mạng để tối ưu hóa lưu lượng truy cập dữ liệu và thực thi chính sách mà không ảnh hưởng đến an ninh hoặc chất lượng dịch vụ.

4. Nâng cao an ninh mạng

Với sự tiến triển nhanh chóng của các cuộc tấn công tấn công hiện đại (APT) và sự thay đổi trong các kiến trúc an ninh mạng, quản lý an ninh mạng ngày càng trở nên phức tạp và quan trọng để bảo vệ doanh nghiệp, không có chỗ cho thỏa hiệp.

Doanh nghiệp ngày nay cần xây dựng một hệ thống có thể giám sát và đáp ứng các mối đe dọa an ninh mạng trong thời gian thực để bảo vệ mạng khỏi các cuộc tấn công xâm nhập ngày càng phức tạp.

Để khắc phục tình hình đe dọa đang phát triển, các phương pháp tiếp cận / công nghệ bảo mật mạng tiên tiến và toàn diện sẽ được thông qua như phát hiện APT dựa trên sandbox, phân tích mối đe dọa chưa biết, và phân chia chế độ tấn công DDoS.