2. Enterprise Edge Area Gồm các module phụ sau:
• E-commerce networks and servers
• Internet connectivity and demilitarized zone (DMZ)
• VPN and remote access
• Enterprise WAN
Enterprise Edge Area
2.1. E-Commerce Module
Submodule thương mại điện tử ở phần biên doanh nghiệp cung cấp mạng tính sẵn sàng cao cho dịch vụ kinh doanh. Nó sử dụng thiết kế thích nghi cao của các server farm module với đặc tính kết nối Internet của các module Internet. Các thiết bị nằm trong submodule thương mại điện tử bao gồm:
• Máy chủ Web và ứng dụng
• Các máy chủ cơ sở dữ liệu: lưu trữ thông tin ứng dụng và thông tin giao dịch.
• Firewall and firewall routers: quản lí thông tin liên lạc giữa các user trong hệ thống.
• Hệ thống phòng chống xâm nhập mạng (IPS): cung cấp chức năng giám sát các phân đoạn quan trọng trong các module mạng để phát hiện và ứng phó với các cuộc tấn công mạng.
• Multilayer switch with IPS modules: cung cấp chức năng vận chuyển lưu lượng và tích hợp giám sát bảo mật.
2.2. Internet Connectivity Module
Internet Submodule ở vùng biên doanh nghiệp cung cấp các dịch vụ như máy chủ công cộng, email, và DNS. Kết nối với một hoặc một số nhà cung cấp dịch vụ Internet (ISP). Các thành phần của submodule này bao gồm:
• Firewall and firewall routers: Cung cấp chức năng bảo vệ tài nguyên mạng, lọc lưu lượng, và VPN đầu cuối cho người sử dụng và các điểm đầu xa
• Internet edge routers: Cung cấp chức năng lọc cơ bản và kết nối đa lớp
• FTP và HTTP severs: Cung cấp các ứng dụng web giúp doanh nghiệp giao tiếp với thế giới bên ngoài thông qua Internet công cộng
• Máy chủ chuyển tiếp SMTP: Hoạt động chuyển tiếp giữa Internet và máy chủ mail nội bộ.
• Máy chủ DNS: phân giải tên miền và yêu cầu chuyển tiếp đi Internet
Hình thức kết nối đơn giản nhất là một đường kết nối trực tiếp duy nhất giữa doanh nghiệp và SP, như trong hình dưới đây. Nhược điểm của kết nối này là không có tính dự phòng khi có sự cố mạng.
Có thể sử dụng các giải pháp đa đường để dự phòng, hoặc chuyển đổi dự phòng cho dịch vụ Internet. Hình sau cho thấy bốn tùy chọn multihoming Internet:
• Lựa chọn 1: Một bộ định tuyến đơn, hai liên kết đến một ISP
• Lựa chọn 2: Một bộ định tuyến đơn, hai liên kết đến hai ISP
• Lựa chọn 3: Hai thiết bị định tuyến, hai liên kết đến một ISP
• Lựa chọn 4: Hai thiết bị định tuyến, liên kết kép đến hai ISP
Các tùy chọn multihoming Internet
• Lựa chọn 1: dự phòng đường kết nối, nhưng không dự phòng ISP và router nội vùng.
• Lựa chọn 2: dự phòng đường kết nối và ISP nhưng không dự phòng router nội vùng khi xãy ra lỗi.
• Lựa chọn 3: dự phòng các đường kết nối và router nội vùng, nhưng không dự phòng ISP khi ISP xãy ra sự cố.
• Lựa chọn 4: cung cấp khả năng dự phòng đầy đủ các bộ định tuyến nội vùng, đường liên kết, và các ISP.
2.3. VPN/Remote Access
Module truy cập từ xa hay VPN của các enterprise edge cung cấp dịch vụ chống truy cập từ xa, bao gồm xác thực người dùng từ xa. Các thành phần của submodule này bao gồm:
• Firewalls: Cung cấp lệnh lọc lưu lượng, xác thực đáng tin cậy các điểm ở xa, và cung cấp kết nối bằng cách sử dụng đường hầm IPsec.
• Cisco Adaptive Security Appliances (ASA): xác thực người dùng từ xa, cung cấp các dịch vụ tường lửa và phòng chống xâm nhập.
• Thiết bị phòng chống xâm nhập mạng (IPS): Nếu sử dụng một máy chủ đầu cuối truy cập từ xa, modul này kết nối với mạng PSTN.
Hệ thống mạng hiện nay thường triển khai VPN trên các máy chủ đầu cuối truy cập từ xa và được dành riêng cho các liên kết WAN. Mạng VPN giảm chi phí thông tin liên lạc bằng cách tận dụng cơ sở hạ tầng của SP. Văn phòng ở xa, người sử dụng điện thoại di động, và văn phòng gia đình truy cập Internet bằng cách sử dụng các local SP với đường hầm IPsec đến VPN /remote acces submodule thông qua Internet submodule.
Hình 1.10 cho thấy một thiết kế VPN. Văn phòng chi nhánh truy cập Internet nội tại từ một ISP.
Thiết kế VPN
2.4. Enterprise WAN Công nghệ WAN bao gồm :
• Multiprotocol Label Switching (MPLS)
• Metro Ethernet
• Leased lines
• Synchronous Optical Network (SONET) and Synchronous Digital
• Hierarchy (SDH)
• PPP
• Frame Relay
• ATM
• Cable
• Digital subscriber line (DSL)
• Wireless
Khi thiết kế enterprise edge cần xem xét:
• Xác định các kết nối cần thiết để kết nối mạng công ty đi Internet. Module kết nối Internet thực hiện nhiệm vụ kết nối này.
• Tạo các e-commerce module cho khách hàng và đối tác truy cập Internet phục vụ kinh doanh và các ứng dụng cơ sở dữ liệu.
• Thiết kế module truy cập từ xa hay VPN cho truy cập VPN vào mạng nội bộ từ Internet. Thực hiện chính sách bảo mật và cấu hình xác thực.
Dương Văn Thông – VnPro
