Trong phần trước, chúng ta đã tìm hiểu mô hình từ nhỏ nhất dành cho hộ gia đình, đến mô hình 1 lớp dành cho các quán ăn, quán cafe. Trong phần này chúng ta sẽ tìm hiểu các mô hình lớn hơn cho doanh nghiệp lớn nhé.
Mô hình hai lớp
Bây giờ chúng ta có một cái mô hình to hơn nữa không phải là nhà, không phải là biệt thự, không phải là khu trọ, không phải là quán ăn bây giờ mình có một cái toà nhà, có thể là tòa nhà của một trường đại học hoặc là một tòa nhà khách sạn, hoặc là một tòa nhà văn phòng. Tòa nhà sẽ có nhiều tầng và mỗi một tầng nó sẽ có rất là nhiều thiết bị, rất là nhiều PC, rất là nhiều laptop, rất là nhiều camera và access point phát wifi.
Chúng ta sẽ thiết kế như sau : chúng ta áp dụng mô hình giống như phần trước, mỗi một tầng của chúng ta, chúng ta sẽ có một con switch và con switch này sẽ kết nối với tất cả các thiết bị trong tầng đó, kết nối với tất cả wifi, camera, máy tính trong tầng đó. Và nhiều tầng thì mỗi tầng sẽ có một cái switch và kết nối sẽ tương tự nhau như vậy.
![\"\"](\"https://kainetworks.blog/wp-content/uploads/2024/06/image.png?w=1024\")
Tiếp theo là để tập trung tất cả những cái switch tầng này với nhau, thường sẽ rất là nhiều và router sẽ không có đủ cổng để kết nối tất cả các switch này, do đó mình sẽ cần một thiết bị trung tâm để tập trung tất cả các switch của tất cả các tầng này. Switch này to hơn và mình gọi đây là Switch trung tâm hay tiếng Anh từ chuyên ngành người ta gọi là Core Switch. Những switch mà mình đặt ở các tầng, người ta gọi là Access Switch. Hiệu năng của switch access sẽ yếu hơn core switch.
Core switch thì thường sẽ là switch layer 3, tại vì nó còn liên quan đến những tính năng như là vlan và routing ở trên này nữa, còn switch access thì thường nó sẽ là switch layer 2.
![\"\"](\"https://kainetworks.blog/wp-content/uploads/2024/06/image-1.png?w=1024\")
Sau core switch thì vẫn là kết nối lên router và ra ngoài internet như bình thường. Thay vì trong phần trước là switch đấu thẳng lên router, thì bây giờ switch đấu lên core switch rồi đấu lên router thôi.
Những doanh nghiệp lớn như vậy thì người ta sẽ có một trung tâm dữ liệu (mình không dùng từ Data Center vì nó dễ ghê hiểu lầm). Mình gọi đây là một cái trung tâm dữ liệu thì đó có thể là server, nó có thể là NAS, nó có thể là controller để điều khiển wi-fi chẳng hạn. Trung tâm dữ liệu này người ta sẽ đấu vào core switch luôn.
![\"\"](\"https://kainetworks.blog/wp-content/uploads/2024/06/image-2.png?w=1024\")
Bảo vệ cho hệ thống với Firewall
Đến đây thì hệ thống này cũng khá là bài bản. Bây giờ hạ tầng là ok rồi và bây giờ mình muốn hơn chút nữa là mình muốn bảo vệ hệ thống của mình để nó an toàn hơn. Trong hạ tầng mạng, thiết bị để bảo vệ hệ thống của chúng ta đó là Firewall. Chúng ta sẽ gắn thêm một firewall vào, nhưng mà bây giờ firewall sẽ đặt ở đâu?
Có 2 cái phương án để cho chúng ta đặt firewall : phương án thứ nhất, tiết kiệm tiền hơn, đó là chúng ta dùng firewall thay cho router luôn.
![\"\"](\"https://kainetworks.blog/wp-content/uploads/2024/06/image-3.png?w=1024\")
Nhưng mà ở một số doanh nghiệp, vì những một số nhu cầu đặc thù, người ta không muốn ảnh hưởng hiệu năng của firewall, mà người ta muốn tách biệt phần routing và phần firewall riêng ra, thì người ta sẽ giữ luôn router và firewall. Lúc này người ta sẽ đặt firewall đứng sau router. Nếu đi từ internet vào thì là đến router trước rồi mới đến firewall sau. Firewall sẽ chịu trách nhiệm các tính năng liên quan đến bảo mật, còn router sẽ chịu trách nhiệm những tính năng liên quan đến routing.
![\"\"](\"https://kainetworks.blog/wp-content/uploads/2024/06/image-4.png?w=1024\")
Một vấn đề nữa là doanh nghiệp sẽ có một số resource, một số tài nguyên mà cho phép truy cập từ bên ngoài vào. Ví dụ như là doanh nghiệp tự host một trang web và doanh nghiệp muốn bất kì ai cũng có thể truy cập vào trang web này. Những resource kiểu như vậy, người ta sẽ đặt vào một cổng trên firewall, người ta gọi là vùng này là vùng DMZ và vùng này là vùng không an toàn nhé, bởi vì người ngoài có thể truy cập tự do vào vùng này.
![\"\"](\"https://kainetworks.blog/wp-content/uploads/2024/06/image-5.png?w=1024\")
Lý do doanh nghiệp cần phải tách các tài nguyên public ra vùng DMZ là vì mọi người đều có thể tự do truy cập vào, tiềm ẩn rất nhiều rủi ro, vì trong những người này, có thể có người xấu. Nếu có hacker, thì hacker chỉ có thể gây ảnh hưởng trong vùng DMZ mà thôi, không xâm nhập vào vùng bên trong của doanh nghiệp được.
Các bạn có thể hình dung cái vùng DMZ này giống như là nhà các bạn có cái khoảng sân vậy đó, khách tới nhà chơi cho đứng ngoài sân thôi không cho vô nhà và trung tâm dữ liệu là ở trong nhà.
Một số dân nghiệp họ còn muốn an toàn hơn nữa họ muốn bảo vệ thêm trong trung tâm dữ liệu nữa. Nguyên tắc của Firewall là nó chỉ bảo vệ được những gì chạy ngang qua nó thôi. Traffic chạy ngang qua nó, ví dụ virus chạy ngang qua nó mới quét được. Nhưng mà một số máy tính đã ở trong mạng LAN của mình, nếu nó vẫn truy cập vào trung tâm dữ liệu nó vẫn gây ảnh hưởng được, vì traffic lúc này không qua firewall. Do đó, một số doanh nghiệp sẽ đặt thêm một firewall ở phía trước trung tâm dữ liệu nữa, ở giữa core switch và trung tâm dữ liệu, và người ta gọi đây là một Internal Firewall
Tóm lại, mô hình 2 lớp đó là ở phía dưới chúng ta có những cái thiết bị đầu cuối ví dụ như là laptop PC, camera, hoặc là những access point wifi thì chúng ta sẽ đấu vào switch access, và nhiều switch access này sẽ tập trung về một con switch to hơn, nhiều tính năng hơn, mạnh mẽ hơn, đó là core switch. Sau đó core switch này sẽ đấu ra router và từ router ra internet. Nếu như trong mạng của chúng ta có nhiều thiết bị như server, NAS, đầu ghi, wireless controller… , chúng ta sẽ kết nối các thành phần này vào core switch luôn, và có thể gọi là một trung tâm dữ liệu.
Còn tiếp…
