[Funland] Nhờ các cụ giúp xây dựng lại mạng nội bộ công ty

nhutinhco

Xe điện
Biển số
OF-51680
Ngày cấp bằng
27/11/09
Số km
2,444
Động cơ
22,073 Mã lực
Kính các cụ! Chả là em muốn xây dựng lại hệ thống mạng mẹo của công ty lại chút cho nó pro hơn. Mong các cụ giúp đỡ
Hiện trạng
khoảng 40 user
Firewall mềm: ISA 2006 cài trên Windows 2003
Firewall cứng: Cisco Pix 515E
Đường Internet 01 FTTH của FTP, 01 của FTTH của CMC
Một số máy chủ: File server (đồng thời là máy cấp DHCP) , Mailserver (dùng Hmailserver), Webserver
...
Với hiện trạng cũ, em thấy Internet ra theo con PIX515 chậm đáng kể so với ra qua con ISA (em kô rõ tại sao???!!!!)
Bây giờ em muốn đập đi, xây lại toàn bộ, và quan trọng là sau đó mình dễ sử dụng, quản trị nó! Mong các cụ tư vấn, gợi ý giúp em
Em nhờ Mod để ở quán cho có nhiều cụ hay lượn qua, ngõ hầu cho em được gợi ý tốt!
Em rót rượu chờ các cụ!
 

catpv

Xe điện
Biển số
OF-37459
Ngày cấp bằng
7/6/09
Số km
3,016
Động cơ
497,132 Mã lực
Voi hien trang cua cu gio toi van k hieu la cu dat hai duong Internet chay doc Lap a.
Voi 30 use ma can toi bang do firewall thi chac cu yeh cau bao mat cap lam. Vi chi can 1 trong cac thiet bi cu neu la lam duoc hau het cac yeh cau.
Cu pm cho toi chi tiet thiet ke hien tai. Cong viec dap ung hien tai va ky vong he thong tuong lai lam duoc nhung gi toi se tu van cho cu.
 

nhutinhco

Xe điện
Biển số
OF-51680
Ngày cấp bằng
27/11/09
Số km
2,444
Động cơ
22,073 Mã lực
Voi hien trang cua cu gio toi van k hieu la cu dat hai duong Internet chay doc Lap a.
Voi 30 use ma can toi bang do firewall thi chac cu yeh cau bao mat cap lam. Vi chi can 1 trong cac thiet bi cu neu la lam duoc hau het cac yeh cau.
Cu pm cho toi chi tiet thiet ke hien tai. Cong viec dap ung hien tai va ky vong he thong tuong lai lam duoc nhung gi toi se tu van cho cu.
Vâng, hệ thống cũ không phải em xây dựng mà của người quản trị trước! Em pm cụ, nếu cụ đi qua thì cho em cái địa chỉ mail để em gửi thông tin thiết kế hệ thống hiện tại, nhờ cụ tư vấn các bước tiếp theo để em xây dựng được 1 hệ thống mạng phù hợp.
Cảm ơn cụ.
 

firefox4

Xe điện
Biển số
OF-81645
Ngày cấp bằng
1/1/11
Số km
2,761
Động cơ
422,291 Mã lực
Nếu có điều kiện thì cụ thay ISA 2006 bằng Forefront TMG 2010 nhé. TMG 2010 hỗ trợ 2 đường Internet để share tải. Theo em thì bỏ xừ con firewall cứng đi cũng được, firewall mềm chậm hơn chút nhưng mà mềm dẻo hơn nhiều.
 

catpv

Xe điện
Biển số
OF-37459
Ngày cấp bằng
7/6/09
Số km
3,016
Động cơ
497,132 Mã lực
Nếu có điều kiện thì cụ thay ISA 2006 bằng Forefront TMG 2010 nhé. TMG 2010 hỗ trợ 2 đường Internet để share tải. Theo em thì bỏ xừ con firewall cứng đi cũng được, firewall mềm chậm hơn chút nhưng mà mềm dẻo hơn nhiều.
Firewall mềm muốn chặn Chát chít là hơi khó! đặc biệt là khi các Clients dùng các phần mềm vượt tường lửa. Con Firewall của cụ là không hỗ trợ cân bằng tải hai đường nét nên cũng mệt.
Giải pháp là bỏ luôn 2 con đó mà sắm lấy một con Draytek 2920 mà dùng. Vừa hỗ trợ Firewall tốt, vừa có cân bằng tải, lại quản lý được băng thông, cái này thì tôi chắc doanh nghiệp cụ cần lắm đấy. Cấu hình cũng đơn giản.
 

firefox4

Xe điện
Biển số
OF-81645
Ngày cấp bằng
1/1/11
Số km
2,761
Động cơ
422,291 Mã lực
Firewall mềm muốn chặn Chát chít là hơi khó! đặc biệt là khi các Clients dùng các phần mềm vượt tường lửa. Con Firewall của cụ là không hỗ trợ cân bằng tải hai đường nét nên cũng mệt.
Giải pháp là bỏ luôn 2 con đó mà sắm lấy một con Draytek 2920 mà dùng. Vừa hỗ trợ Firewall tốt, vừa có cân bằng tải, lại quản lý được băng thông, cái này thì tôi chắc doanh nghiệp cụ cần lắm đấy. Cấu hình cũng đơn giản.
Chặn chat chit thì TMG 2010 làm ngon lắm cụ ạ. Nó cũng hỗ trợ load balancing và failover giữa 2 đường net luôn:

 

catpv

Xe điện
Biển số
OF-37459
Ngày cấp bằng
7/6/09
Số km
3,016
Động cơ
497,132 Mã lực
Cụ Firefox thử chặn Hostport hay Untral đi cụ!
 

catpv

Xe điện
Biển số
OF-37459
Ngày cấp bằng
7/6/09
Số km
3,016
Động cơ
497,132 Mã lực
Cụ Block được mấy cái đó thì thiệt hại phụ là hàng đống các dịch vụ khác cũng theo nó nghỉ chạy. VD Update Win, Update KIS, Các dịch vụ của Google. Cụ cứ thử làm đi cụ.
 

firefox4

Xe điện
Biển số
OF-81645
Ngày cấp bằng
1/1/11
Số km
2,761
Động cơ
422,291 Mã lực
Cụ Block được mấy cái đó thì thiệt hại phụ là hàng đống các dịch vụ khác cũng theo nó nghỉ chạy. VD Update Win, Update KIS, Các dịch vụ của Google. Cụ cứ thử làm đi cụ.
Em nghĩ là cụ đang nghĩ theo hướng block port 443. Mấy cái yahoo, ultrasurf thì phải dùng tính năng HTTP Filter, block header cơ ạ.
 

catpv

Xe điện
Biển số
OF-37459
Ngày cấp bằng
7/6/09
Số km
3,016
Động cơ
497,132 Mã lực
Cụ cứ làm đi cụ nhé. Có thể trình em còi, nhưng các kiểu cụ bảo em đều làm rồi, nhưng chẳng ăn thua cụ à. Chỉ có 1 kiểu duy nhất khóa được nó là Fix theo IP và lọc theo MAC, nhưng kiểu đó thì lại có tác dụng phụ cụ nhé. Chúc cụ khóa đươc nó ngon lành, cụ làm được thì ới một tiếng cho mọi người làm theo nhé!!!
 

catpv

Xe điện
Biển số
OF-37459
Ngày cấp bằng
7/6/09
Số km
3,016
Động cơ
497,132 Mã lực
Chặn hostpost thì theo em nghĩ chặn luôn không cho user được quyền cài phần mềm :D
Ở đây là đề cập đến Firewall chứ dùng thêm các biện pháp nữa thì đương nhiên là OK.
 

nhutinhco

Xe điện
Biển số
OF-51680
Ngày cấp bằng
27/11/09
Số km
2,444
Động cơ
22,073 Mã lực
Vâng, em muốn xây dựng lại mạng của công ty cho nó chuẩn men 1 chút
Cụ tư vấn em dùng các đường Internet như thế nào là phù hợp
Internet phục vụ viêc dùng nội bộ của nhân viên 40-50 user
Internet phục vụ việc email (sếp hay nhận mail, đính kèm file gửi lớn từ nước ngoài) / Nhiều khi phải đưa lên FTP để down/upload
Bên em làm mảng camera: Có showroom lắp đặt 1 loạt IPcamera độ phân giải cao, nếu cần thiết cho 1 đường Internet phục vụ việc cho khách hàng xem online
Hiện tại em dùng con máy 01 làm AD server và mail server (Hmailserver)
Dùng con 05 là ISA server, DHCP server
Trong công ty có 1 vài máy chủ web, chứa các trang web của công ty

Ngoài ra vấn đề dùng wifi, em sẽ xây 03 con Accesspoint
AP1: Ban giám đốc: truy cập mọi thứ
AP2: Dành cho nhân viên, chỉ truy cập Internet, và mạng của công ty, không động vào vùng cấm
AP3: Dành cho Guest: Dùng truy cập Internet
Nhờ các cụ tư vấn giúp.
 

catpv

Xe điện
Biển số
OF-37459
Ngày cấp bằng
7/6/09
Số km
3,016
Động cơ
497,132 Mã lực
tất cả các yêu cầu này của cụ chỉ cần 1 thiết bị Draytek là đáp ứng được hết. Nhưng loại nào thì còn phải cân nhắc. Có điều cụ phải quy hoạch cho rõ ràng các lớp mạng nếu có và vai trò của các máy thì mới tư vấn được. Chứ như cái sơ đồ cụ chuyển thì chẳng hiểu hệ thống của cụ ra sao nữa.
 

ynhi2208

Xe điện
Biển số
OF-80429
Ngày cấp bằng
16/12/10
Số km
2,277
Động cơ
435,741 Mã lực
Nơi ở
Bốn bể là nhà,quê hương chỉ một
Cụ vẽ lại mô hình mạng của công ty bằng Packet Tracer hoặc pm gì trong bộ office ấy nhỉ, thì cụ catpv mới biết đường mà tư vấn chứ
 

nhutinhco

Xe điện
Biển số
OF-51680
Ngày cấp bằng
27/11/09
Số km
2,444
Động cơ
22,073 Mã lực
Cụ vẽ lại mô hình mạng của công ty bằng Packet Tracer hoặc pm gì trong bộ office ấy nhỉ, thì cụ catpv mới biết đường mà tư vấn chứ
Em gửi cụ ấy rồi, hệ thống mạng em ngoài Internet còn có mấy cái kênh trắng nối đến Telco nữa! Em dùng Visio mà :)
 

catpv

Xe điện
Biển số
OF-37459
Ngày cấp bằng
7/6/09
Số km
3,016
Động cơ
497,132 Mã lực
Vâng, em muốn xây dựng lại mạng của công ty cho nó chuẩn men 1 chút
Cụ tư vấn em dùng các đường Internet như thế nào là phù hợp
Internet phục vụ viêc dùng nội bộ của nhân viên 40-50 user
Internet phục vụ việc email (sếp hay nhận mail, đính kèm file gửi lớn từ nước ngoài) / Nhiều khi phải đưa lên FTP để down/upload
Bên em làm mảng camera: Có showroom lắp đặt 1 loạt IPcamera độ phân giải cao, nếu cần thiết cho 1 đường Internet phục vụ việc cho khách hàng xem online
Hiện tại em dùng con máy 01 làm AD server và mail server (Hmailserver)
Dùng con 05 là ISA server, DHCP server
Trong công ty có 1 vài máy chủ web, chứa các trang web của công ty

Ngoài ra vấn đề dùng wifi, em sẽ xây 03 con Accesspoint
AP1: Ban giám đốc: truy cập mọi thứ
AP2: Dành cho nhân viên, chỉ truy cập Internet, và mạng của công ty, không động vào vùng cấm
AP3: Dành cho Guest: Dùng truy cập Internet
Nhờ các cụ tư vấn giúp.
Tôi có thể tư vấn sơ bộ thế này:

Với yêu cầu xây dựng hệ thống tách biệt các nhóm truy cập như vậy thì cụ buộc phải dùng VLAN. Mà nếu dùng ISA để vừa gộp cân bằng tải các WAN và VLAN thì rất phức tạp, chưa tính đến chuyện ổn định, vì ISA nếu muốn ổn định phải đầu tư đồ xịn tốn kém lắm.

Giải pháp tốt nhất là dùng Draytek để làm Firewall và Cân bằng tải gộp các đường WAN, đồng thời làm VLAN luôn. Tuy nhiên chọn loại nào thì cụ phải dự đoán được truy cập từ WAN vào Local thì mới biết được, riêng từ Local ra WAN thì đã có đủ thông tin nhưng chiều ngược lại thì chưa có thông tin. Tốt nhất cụ nên làm việc trực tiếp với Draytek để chọn thiết bị phù hợp.

Về phía Cisco của cụ thì cũng chưa rõ là nó có thêm các phần mở rộng nào nên cũng không đoán ra được là hiện nó đang làm nhiệm vụ cụ thể nào? Và có thể nâng cấp các phần mở rộng để đáp ứng được các việc nào nữa.

Hệ thống của cụ tuy nhỏ về số lượng PC, Users, nhưng lại có thể rất lớn cho chiều WAN tới Local nên tôi cũng không thể chắc chắn thiết bị Draytek có đáp ứng được truy cập không? Chỉ riêng chuyện người tiền nhiệm của cụ chọn dùng Cisco cũng cho thấy có thể lượng truy cập khá lớn.

Nếu có thể cụ nên tách riêng phần Local ra một hệ thống riêng, và truy cập chéo qua lại giữa hai hệ thống bằng một giải pháp nào đó dạng Wireless hay VPN chẳng hạn. Làm thế rất dễ dàng cho việc bảo trì hay bảo mật cho cả 2 hệ thống.
 

anhtuannd

Xe hơi
Biển số
OF-68443
Ngày cấp bằng
15/7/10
Số km
175
Động cơ
432,670 Mã lực
Em nghĩ là cụ đang nghĩ theo hướng block port 443. Mấy cái yahoo, ultrasurf thì phải dùng tính năng HTTP Filter, block header cơ ạ.
Cụ ơi, chỉ can thiệp được vào HTTP Header thôi cụ ạ, nếu qua HTTPS là chịu chết đấy, vì khi dùng https là toàn bộ header và body được gửi qua một SSL Tunnel rồi.
 
Thông tin thớt
Đang tải
Top