CHUYỂN MẠCH LAN

  15/08/17

Giải pháp kết nối theo kiến trúc 3 lớp truyền thống.

Sơ đồ kết nối hệ thống mạng truyền thống đề xuất thể hiện trong hình sau:

                                               
          Sơ đồ nguyên lý hệ thống theo mô hình 3 lớp

Với định hướng thiết kế theo mô hình 3 lớp, kiến trúc mạng được phân tách thành các khối, các module với chức năng riêng bao gồm:

  • Khối chuyển mạch lõi (Core Switches – Backbone Switches)

Khỗi chuyển mạch lõi sẽ sử dụng các core switch lớn có hiệu năng cao để phục vụ nhu cầu chuyển mạch trong toàn bộ hệ thống. Tất cả lưu lượng mạng trong hệ thống đều đi qua module này nên các yêu cầu tại đây là khả năng xử lý ở tốc độ cao, tính sẵn sàng các trong kết nối và khả năng thực thi các chính sách phân phối lưu lượng cũng như bảo mật giữa các module sẽ kết nối vào lớp core này.

  • Khối chuyển mạch phân phối (Distribution Switches)

Module Distribution với mục đích phân bố lưu lượng và định tuyến giữa các khu vực địa lý khác nhau trong hệ thống mạng nội bộ tòa nhà, ví dụ các tòa nhà hoặc giữa các VLAN. Tại đây sẽ sử dụng các switch có đường uplink quang tốc độ cao, thông thường sử dụng kết nối tốc độ 10 Gigabit hoặc cao hơn để kết nối từ các tòa nhà tới switch trung tâm tại lớp Core. Yếu tố quan trọng nhất tại module này là tính sẵn sàng, kết nối tốc độ cao và tính năng quản lý traffic.

  • Khối chuyển mạch truy cập (Access Switches)

Khối này sẽ bao gồm các switch truy cập, kết nối trực tiếp các máy trạm của người dùng cuối và đến các distribution switch. Các switch tại đây đơn thuần là các thiết bị chuyển mạch cấp thấp và cần hỗ trợ các kiểu kết nối đa dạng phía client như Ethernet LAN, Wireless, Wimax hoặc GPRS….

  • Khối máy chủ dịch vụ (Server Farm)

Khối máy chủ dịch vụ là điểm tập trung của các máy chủ cung cấp dịch vụ trong mạng, có thể coi đây là trái tim của hệ thống. Khi các máy trạm trong hệ thống sử dụng dịch vụ và kết nối đến đây, khối này sẽ phải xử lý rất nhiều yêu cầu của các ứng dụng khác nhau, do đó yêu cầu chung tại module này là khả năng xử lý tốc độ cao, khả năng sẵn sàng, khả năng dự phòng và cân bằng tải.

  • Khối quản trị (Management Module)

Đây là module dành cho vùng quản trị để thực hiện chức năng cấu hình, giám sát toàn mạng. Tại đây, nhà quản trị mạng sẽ có kết nối out-band tới tất cả các thiết bị trên mạng, để có thể dễ dàng truy cập, xử lý, cấu hình thiết bị ngay cả khi các đường kết nối chính, các cấu hình giao diện của thiết bị thay đổi.

Với kiến trúc này, hệ thống mạng truyền thông của Thông tấn xã sẽ đáp ứng được các yêu cầu:

  • Mạng có khả năng nâng cấp, mở rộng: Để phù hợp với việc đầu tư cho mạng tại các giai đoạn khác nhau, mạng phải có khả năng nâng cấp/mở rộng, tránh việc phải xây dựng lại từ đầu, đảm bảo tiết kiệm chi phí đầu tư.

  • Mạng được thiết kế phân lớp: Mạng LAN cho tòa nhà của Thông tấn xã sẽ được thiết kế phân lớp. Về mặt logic mạng này sẽ có 3 lớp, chức năng và nhiệm vụ của các lớp như sau:

    • Lớp Trung tâm (Core): phục vụ cho việc kết nối liên vùng giữa các vùng mạng khác nhau trong hệ thống của TTX Đà Nẵng như vùng máy chủ, vùng mạng IPTV, vùng mạng dịch vụ VoIP, vùng mạng Internet, vùng mạng iBMS, vùng mạng người sử dụng… các kết nối liên vùng này sẽ coi như là kết nối backbone trong hệ thống.

    • Lớp Phân phối (Distribution): được sử dụng cho những vùng mạng có phân chia thành nhiều phân đoạn mạng (như vùng mạng người sử dụng và vùng mạng iBMS). Lớp này phục vụ cho việc kết nối trong nội bộ một vùng mạng, giữa các phân đoạn mạng với nhau ở mức định tuyến (Routing).

    • Lớp Truy cập (Access): dành cho kết nối tới người sử dụng và các thiết bị đầu cuối vật lý. Lớp access có mật độ cổng cao tương ứng với số lượng thiết bị và người sử dụng trong Tòa nhà và kết nối trực tiếp với các thiết bị đó.

  • Mục đích của việc thiết kế phân lớp:

    • Tối ưu việc sử dụng băng thông trên mạng: Thông qua việc phân lớp mạng, các gói dữ liệu thừa broadcast trên mạng sẽ không lưu chuyển tự do trên mạng mà chỉ lưu chuyển nội bộ trong phân đoạn mà nó được gửi đi. Ngoài ra việc sử dụng Switch sẽ giảm đi khả năng xung đột (collision) xảy ra ở mức truyền dẫn lớp 1. Việc lưu chuyển thông tin nội bộ trong một phân đoạn mạng (lớp 2) sẽ được xử lý bởi Switch lớp 2, việc định tuyến giữa các phân đoạn mạng (lớp 3) sẽ được xử lý bởi các Switch Distribution lớp 3, việc lưu chuyển thông tin giữa các vùng mạng và kiểm soát hoạt động của các dịch vụ mạng được thực hiện bởi các Core Switch.

    • Đảm bảo an ninh mạng: Các lớp mạng phân tách hệ thống các đầu cuối khác nhau theo mức độ an ninh mạng như vùng mạng cho người sử dụng, vùng mạng cho máy chủ, vùng mạng công cộng, vùng mạng cho khách…, các vùng mạng này có thể tiếp tục được phân nhỏ hơn nếu cần thiết. Nhà quản trị hoàn toàn có thể áp đặt các chính sách kiểm soát truy cập giữa các phân đoạn mạng với nhau và qua đó hạn chế được nguy cơ về bảo mật trong hệ thống, hạn chế được lây lan bùng nổ virus trên toàn hệ thống.

    • Thuận tiện cho việc quản lý và xử lý sự cố: thông qua việc phân lớp, mạng được định nghĩa theo nhiều vùng khác nhau và thiết bị cũng như tình trạng hoạt động của từng vùng được quản lý tốt hơn, việc phát hiện sự cố xảy ra trong vùng mạng đó sẽ nhanh hơn giúp cho việc xử lý lỗi một cách hiệu quả.

  • Mạng có tính sẵn sàng cao: LAN Thông tấn xã được thiết kế để đạt độ an toàn rất cao, đặc biệt là các lớp Core Layer, Distribution Layer (High Available Network):

    • Dự phòng về Switch, dự phòng nguồn cấp, dự phòng module quản trị

    • Dự phòng về cổng giao diện, dự phòng module kết nối quang, dự phòng kết nối giữa các lớp.

    • Các giao thức mạng dự phòng: ESRP, EAPS, MSTP, OSPF

  • Mạng có hiệu năng lớn: đáp ứng yêu cầu của các ứng dụng nghiệp vụ và yêu cầu quản lý về tốc độ truyền dữ liệu trong mạng. Hệ thống LAN của Trung tâm được thiết kế có thể đáp ứng:

    • Kết nối backbone: Kết nối backbone giữa các thiết bị Core Switch, Distribution Switch, server switch có thể nâng cấp, hỗ trợ tốc độ truyền dẫn 40 Gb/s.

    • Kết nối phân phối: Kết nối phân phối giữa Distribution switch với Acces Switch có thể nâng cấp hỗ trợ tốc độ truyền dẫn 10 Gb/s.

    • Kết nối truy cập: Kết nối của các thiết bị đầu cuối vào hệ thống sử cáp đồng xoắn đôi UTP Cat6 cho băng thông kết nối lên tới 1Gbps.

  • Giải pháp kết nối theo kiến trúc vòng Ring

Với thế mạnh của các công nghệ của ExtremeXOS, chúng tôi xin đề xuất thêm một phương án kết nối hệ thống mạng tối ưu hơn so với mô hình đấu nối 3 lớp trước đây.

Sơ đồ logic

Dưới đây là sơ đồ logic của hệ thống đề xuất.

 extr8

Sơ đồ nguyên lý hệ thống theo kiến trúc vòng Ring

Mô tả giải pháp

Thay cho kiến trúc hệ thống 3 lớp với sự kết nối phân tầng, trong giải pháp này chúng tôi đề xuất phương án sử dụng kết nối vòng Ring cho phần mạng lõi.

  • Các thiết bị Core switch và Distribution Switch được kết nối với nhau thành một vòng Ring với kết nối backbone sử dụng kết nối 10GE/40GE (trong tương lai) hoặc sử dụng công nghệ LAG cho phép gộp 2 kết nối 10GE để có kết nối Ring với backbone 20Gbps (tối đa lên tới 80Gbps cho một kết nối)

  • Các switch Core cũng kết nối với Server switch theo kiến trúc vòng Ring sử dụng kết nối 10GE hoặc sử dụng LAG cho phép gộp kết nối để tăng băng thông (tối đa lên tới 80Gbps cho một kết nối)

  • Các swictch truy cập kết nối về hệ thống Distribution switch bởi hai kết nối quang tốc độ 1GE/10GE đồng thời sử dụng công nghệ MLAG cho phép tăng cường băng thông, tăng dự phòng kết nối về hệ thống Core/Distribution.

  • Triển khai EAPS cho 2 domain là Core – Distribution và Core – Server để đảm bảo tốc độ hội tụ mạng có thời gian nhỏ hơn 50 mili giây.

  • Từ Core switch, kết nối đến các site khác bằng các kết nối quang single mode, tốc độ 1GE hoặc có thể cấu hình MLAG cho core switch để tăng băng thông kết nối tới mỗi site lên thành 2Gbps đồng thời đảm bảo dự phòng.

  • Các máy chủ kết nối vào hệ thống Server switch sẽ sử dụng 2 cổng mạng có khả năng teaming, cho phép cấu hình 2 cổng mạng thành một cổng logic, tăng băng thông và dự phòng kết nối. Trên hệ thống Server switch sẽ cấu hình MLAG để gộp thành một Server Switch logic.

  • Triển khai Universal port cho các Access switch kết nối vào phân vùng người sử dụng, cho phép tự động hóa việc phân chia VLAN cho người truy cập, thiết bị đầu cuối IP Phone, Camera giám sát.

  • Cấu hình Network Login để xác thực người dùng truy cập.