Việc sử dụng switch trong lớp Core làm giảm số lượng các kết nối giữa các switch Building Distribution Layer và đơn giản hóa việc tích hợp các mô-đun Server Farm và Enterprise Edge. Các switch Core tập trung chính vào việc tốc độ dây chuyển mạch trên tất cả các cổng. Trong thực tế, triển khai một lớp Core chuyên dụng để kết nối 3 hoặc nhiều hơn các tòa nhà với nhau trong mạng doanh nghiệp, hoặc nhiều hơn một cặp switch lớp Distribution trong một cơ sở rất lớn. switch Core thường là các switch lớp 3.
Việc sử dụng lớp Core làm nhân rộng mạng dễ dàng hơn, ví dụ: lớp Distribution lắp thêm các switch mới chỉ cần kết nối đến các switch Core thay vì kết nối full-mesh với tất cả các switch có trong lớp Distribution. Một số vấn đề các xem xét khi thiết kế lớp Core:
- Hiệu suất cần thiết trong lớp Core.
- Số lượng cổng đáp ứng cao để tập hợp các switch Distribution và kết nối với các mô-đun Server Farm và Enterprise Edge.
- Tính sẵn sàng cao và sự dự phòng cần thiết. Để cung cấp dư thích đáng, ít nhất hai switch riêng biệt nên được triển khai.
Vấn đề khác là Enterprise Edge và kết nối WAN, đối với nhiều công ty, lớp Core cung cấp Enterprise Edge và kết nối WAN qua các switch trong Edge Distribution kết nối tới lớp Core. Tuy nhiên, đối với các doanh nghiệp lớp có trung tâm dữ liệu thì Enterprise Edge và kết nối WAN được tập hợp lại tại mô-đun trung tâm dữ liệu.
a. Thiết kế mạng doanh nghiệp lớn:
Đối với mạng doanh nghiệp lớn, lớp Core phức tạp nhất và khả năng phát triển bao gồm 2 switch lớp 3.
Với thiết kế như thế có một vài tính năng thực tế tốt nhất:
- Giảm định tuyến giữa các switch lớp 3: Mỗi switch lớp 3 chỉ kết nối với 2 switch Core, sử dụng một cấu hình dự phòng hình tam giác. Sự thực thi này làm đơn giản kết nối any-to-any giữa các switch Distribution và các switch Core, được khả năng mở rộng đến một kích thước lớn tùy ý, nó cũng hỗ trợ sự dự phòng và cân bằng tải.
- Cấu trúc không tồn tại lặp vòng: không có STP tồn tại trong lớp Core và trên đường liên kết lớp Distribution và lớp Core, bởi vì tất cả đường dây là lớp 3 (được định tuyến).
- Cải thiện hỗ trợ dịch vụ hạ tầng mạng: Các switch lớp Core cung cấp hổ trợ tốt hơn dịch vụ mạng thông minh hơn là các switch lớp 2 có thể hổ trợ.
Thiết kế này duy trì các đường đi chi phí bằng nhau đến mỗi đích đến. Do đó, sự khôi phục từ các sự cố liên kết nhanh và có thể thực hiện cân bằng tải. Một trong những cân nhắc chính khi sử dụng switch lớp 3 trong Core là hiệu suất chuyển mạch. Chuyển mạch lớp 3 đòi hỏi các thiết bị tinh vi hơn để định tuyến gói tin (Packet) tốc độ cao. Các switch 3 hổ trợ định tuyến trong phần cứng, mặc dù phần cứng có thể không hổ trợ hết tất cả các tính năng. Nếu phần cứng không hổ trợ một tính năng được chọn, thì nó phải được thực hiện trong phần mềm; điều này có thể làm giảm sự đáng kể truyền dữ liệu. Ví dụ, access list không được thực hiện trong phần cứng, nếu nó có nhiều access list, thì kết quả hiệu suất làm việc của switch giảm sút.
b. Các tùy chọn danh cho thiết kế mạng doanh nghiệp vừa và nhỏ:
Một mạng doanh nghiệp nhỏ (hoặc chi nhánh) có lẽ ít hơn 200 thiết bị đầu cuối, các server và các trạm người dùng có thể được kết nối đến cùng một phòng dây cáp. Bởi vì các switch trong thiết kế mạng nhỏ không đòi hỏi hiệu suất đầu cuối cao và khả năng mở rộng. lớp Core và lớp Distribution có thể kết hợp thành một lớp duy nhất.
Hình minh họa bên trái, thiết kế này chỉ có thể mở rộng thêm vài switch lơp Access. Một chuyển mạch lớp 3 cấp thấp cung cấp dịch vụ định tuyến gần hơn với người dùng cuối khi nhiều VLAN tồn tại. Đối với một cơ sở kích thước vừa với 200 đến 1000 thiết bị đầu cuối, hạ tầng mạng thường bao gồm các switch Access với các đường liên kết đến switch lớp 3 Distribution/Core mà có thể hổ trợ các đòi hỏi về hiệu suất của mạng. Nếu thiết kế dự phòng được yêu cầu, thì các switch lớp 3 thừa kết nối với các switch Access, cung cấp đầy đủ các đường liên kết thừa (dự phòng). Ở hình minh họa bên phải.
c. Thiết kế mô-đun Edge Distribution tại lớp Core:
Enterprise Edge (chứa các server công cộng) kết nối trược tiếp với lớp Core hoặc thông qua một mô-đun Edge Distribution:
Các switch lớp 3 trong mô-đun Edge Distribution lọc và định tuyến lưu thông vào lớp Core, tập hợp kết nối Enterprise Edge và cung cấp các dịch vụ cao cấp. Tốc độ chuyển mạch và bảo mật không quan trọng trong mô-đun Edge Distribution, mà nó tách biệt và điểu khiển các truy xuất đến các thiết bị bên trong Enterprise Edge (ví dụ, các server bên trong mô-đun Thương mại điện tử hoặc các server trong mô-đun kết nối Internet).
Các server gần với các người dùng bên ngoài và do đó đưa vào mối nguy hiểm cao hơn đối với bên trong mạng. Để bảo vệ lớp Core khỏi các đe dọa từ bên ngoài, các switch Edge Distribution phải bảo vệ mạng khỏi các tấn công dưới dây:
- Truy cập trái phép (unauthorized access): tất cả các kết nối từ Edge Distribution truyền qua lớp Core phải được xác minh người dùng và quyền của người dùng.
- Giả mạo IP (IP spoofing): là một kỹ thuật hack để giao mạo đặc điểm nhận biết của người dùng khác bằng cách sử dụng địa chỉ IP của người dùng đó. Tấn công từ chối dịch vụ (DoS) sử dụng IP spoofing để tạo yêu cầu đến các server, sử dụng địa chỉ IP giả làm IP nguồn trong địa chỉ IP, một lượng đáng ngại của loại lưu lượng này dẫn đến tấn công server làm nó không hoạt động được.
- Sự thăm dò mạng (Network reconnaissance): thăm dò mạng gửi các gói tin vào trong mạng và chọn ra các hồi đáp từ các thiết bị mạng. Những hồi đáp này cung cấp thông tin cơ bản về cấu trúc mạng bên trong. Những kẻ xâm nhập mạng sử dụng phương pháp này để tìm ra các thiết mạng và các dịch đang chạy bên trong mạng.
- Bắt gói tin (Packet sniffers): là các thiết bị mà nó theo dõi và bắt lưu lượng trong mạng và có thể được sử dụng bởi các hacker. Các gói tin thuộc cùng broadcast domain có điểm yếu (dễ) được bắt lại, đặc biệt nếu các gói tin là broadcast hoặc multicast.
Bởi vì hầu hết các lưu lượng đến và bắt nguồn từ mô-đun Edge Distribution là những thông tin quan trọng, các công ty không đủ khả năng cho sai sót bảo mật bảo này, switch lớp 3 có thể ngăn chặn như một sự cố. Các thiết bị Edge Distribution cung cấp sự chống đỡ cuối cùng trên đường dành cho tất cả các lưu lượng bên ngoài mà được chuyển đến mô-đun hạ tầng mạng. Các switch Edge Distribution tương tự switch lớp Distribution. Cả hai sử dụng điều khiển truy cập để lọc lưu lượng, mặc dù các switch Edge Distribution có thể dựa vào mô-đun Enterprise Edge để cung cấp thêm sự bảo mật, cả hai mô-đun sử dụng switch lớp 3 để đạt được hiệu suất cao, nhưng mô-đun Edge Distribution có thể cung cấp thêm tính năng bảo mật bởi vì các đòi hỏi hiệu suất có thể không cao.
Huỳnh Huy Cường – VnPro