Mô hình mạng cho các doanh nghiệp vừa và nhỏ

Thứ hai - 12/10/2015 08:53




Ngày nay, Internet là một phần không thể tách rời với hoạt động kinh doanh của hầu hết các
doanh nghiệp. Xây dựng một hệ thống mạng tiêu chuẩn, ổn định, bảo mật là nền tảng ban đầu
cho sự phát triển vững vàng của doanh nghiệp. Sau đây chúng tôi đề xuất giải pháp mạng cho
doanh nghiệp với tên giả định là công ty Sao Thiên Vương với số lượng nhân viên trong tương lại
không vượt quá 260 người. Giải pháp được xây dựng trên nền tảng, tài liệu thiết kế tham khảo
của hãng Cisco, thiết bị mạng Cisco, được tinh chỉnh lại cho phù hợp với điều kiện về tài chính
của doanh nghiệp Việt Nam.

I)  Hiện trạng và nhu cầu xây dựng hệ thống mạng của công ty Sao Thiên Vương
1) Hiện Trạng
 Xây mới hoàn toàn (hoặc đã có hệ thống mạng nhưng chưa được chuẩn hóa).
 Số lượng nhân viên nhỏ hơn 260 người.
 Chỉ có 1 site với yêu cầu truy cập Internet.
2) Nhu cầu
 Không yêu cầu tính dư thừa và độ sẵn sàng cao khi thiết kế mạng (redundancy and High
Availability)
 Chi phí đầu tư ban đầu hạn chế
 Cung cấp khả năng dễ dàng trong việc quản trị và khắc phục nhanh khi có sự cố xảy ra

II) Giải pháp xây dựng hệ thống mạng cho công ty Sao Thiên Vương diagram bên dưới
1) Các đặc điểm của mô hình này
 Chỉ có một site và có nhu cầu kết nối Internet bằng các loại kết nối như: ADSL, Leaseline
Internet, FTTH, …
 Không yêu cầu tính sẵng sàng cao.
 Số lượng nhân viên dưới 260 người.
 Chi phí đầu tư ban đầu hạn chế.
 Vẫn cung cấp khả năng mở rộng mạng sau này.
2) Số lượng tối đa và loại thiết bị dùng cho mô hình này
 1 x core Switch Catalyst 3560 24 port 10/100/1000, IOS IP Base.
 1 x Firewall ASA5510 của Cisco hoặc dòng Firewall tương đương của các hãng khác: lớp lá
chắn bên ngoài
 12 x Access Switch Cisco Catalyst 2960 hoặc dòng Switch tương đương của các hãng khác:
cung cấp kết nối cho người dùng cuối
 1 x Access Switch Cisco Catalyst 2960 24 port 10/100/1000 hoặc dòng switch tương đương của
các hãng khác: cung cấp kết nối cho Internal Server Block
 1 x Access Switch Cisco Catalyst 2960 24 port 10/100/1000 hoặc dòng switch tương đương của
các hãng khác: cung cấp kết nối cho DMZ Block
 Tùy chọn 1 x Internal Firewall ASA5550 của Cisco hoặc dòng Firewall tương đương của các
hãng khác: bảo vệ các server bên trong trước nguy cơ tấn công của người dùng nội bộ
 1 x Internet Router 1841 hoặc 2801 hoặc 2811 kết nối ra Internet
3) Chi phí đầu tư tham khảo (tối đa cho 260 users)
 Liên hệ với chúng tôi để được tư vấn lựa chọn thiết bị phù hợp với điều kiện thực tế của doanh
nghiệp.
4) Mô hình kết nối tổng thể
a)Diagram

1|Page
b) Giải pháp
 Core Switch Cisco Catalyst 3560 với 24 port GigEthernet và backlane 32Gbps là trung tâm trong
kết nối mạng
 Các Access Switch Catalyst 2960 kết nối với CoreSwitch bằng 2 cổng uplink GigEthernet với
công nghệ Etherchannel gộp 2 link này chạy song song để tạo thành 1 link tốc độ 2Gbps nhằm
tránh nghẽn cổ chai từ Access Switch lên Core Switch đồng thời cung cấp khả năng redundancy
giữa 2 kết nối này, nếu 1 kết nối có vấn đề dữ liệu được tự động chuyển sang kết nối còn lại, quá
trình này là trong suốt với người dùng cuối
 Từ Core Switch kết nối sang khối Internal Server Block với tùy chọn dùng Firewall Internal (bắt
buộc throughput của Firewall này phải >= 1Gbps nhằm tránh tình trạng nghẽn cổ chai dữ liệu đến
các Server) hoặc không dùng Internal Firewall (có thể đầu tư ở phase 2, vì Firewall này có giá khá
cao (tham khảo bảng giá thiết bị dự kiến ở trên))
 Từ Core Switch kết nối sang vùng DMZ và đi ra Internet qua một External Firewall, nhiệm vụ của
Firewall này nhằm bảo vệ người dùng trong mạng trước các nguy cơ từ Internet, đồng thời gới hạn
các truy xuất từ Internet vào vùng DMZ nhằm hạn chế tối đa các truy xuất trái phép từ Internet vào
sâu trong mạng

2|Page
  Kết nối ra ngoài Internet là 1 gateway Cisco Router, Router này cung cấp các giao diện
(Interface) tương ứng để kết nối với các kiểu đường truyền ra Internet, ví dụ: ADSL, FTTH,
Leaseline, …
5) Phân tích các ưu và khuyết điểm trong mô hình trên:
a) Ưu điểm
 Các Switch có hiệu suất chuyển mạch (Forwarding rate, backplane) phù hợp đáp ứng yêu cầu
của hệ thống. Đặc biệt Core Switch có hiệu suất cao đáp ứng cho tất cả các kết nối từ người dùng
cuối và máy chủ
 Được thiết kế theo cấu trúc mở, tuân thủ các tiêu chuẩn quốc tế về thiết kế, thi công và lắp đặt
 Chi phí đầu tư ban đầu thấp, thích hợp cho các doanh nghiệp vừa và nhỏ với số lượng không
quá 260 người và yêu cầu về công nghệ không quá phức tạp
 Hệ thống dùng đồng bộ thiết bị của 1 hãng Cisco duy nhất giúp cho sự phối hợp vận hành giữa
các thiết bị đạt hiệu quả cao nhất đồng thời cung cấp khả năng quản trị dễ dàng, uyển chuyển trong
vấn đề phát hiện và khắc phục khi có sự có xảy ra trong thời gian nhanh nhất
 Người quản trị mạng chỉ cần tiếp cận 1 công nghệ từ một hãng duy nhất là Cisco để có thể quản
trị tốt hệ thống mạng, bên cạnh đó hệ thống đào tạo của Cisco tại ViệtNam là mạnh nhất với rất
nhiều trung tâm và hệ thống chứng chỉ của Cisco đã trở thành chuẩn và được công nhận trên toàn
thế giới, có thể kể đến đó là:
 CCNA/CCDA cho cấp độ sơ cấp
 CCNP/CCDP/CCIP/CCSP/CCVP: cấp độ chuyên nghiệp
 CCIE/CCDE: cấp độ chuyên gia
Để quản lý tốt trong mô hình mạng này, quản trị mạng cần có trình độ tương đương mức “CCxP”
(recommand: CCNP, CCSP). Để tối ưu chi phí, Khách hàng có thể sử dụng dịch vụ Hỗ trợ nhân lực
CNTT - cho thuê IT của chúng tôi.
b) Khuyết điểm
 Chỉ có thể mở rộng tối đa đến 260 người, nếu muốn mở rộng lớn hơn phải thay thế lại mô hình
lại mạng và thiết bị
 Không có tính redundancy, trong trường hợp các thiết bị quan trọng gặp sự cố sẽ ảnh hưởng
đến sự hoạt động của mạng, có thể kể đến như sau:
 Core Switch gặp sự cố: toàn bộ mạng sẽ gặp sự cố, các user không thể truy cập
Internet, Internet Server, Internet, …
 External Firewall gặp sự cố: tất cả người dùng nội bộ vẫn có thể truy xuất đến nhau, truy
xuất đến Internet Server Block nhưng không thể truy xuất ra ngoài Internet cũng như ở ngoài
Internet không thể truy xuất các dịch vụ (Mail Server, Web Server, …) đặt tại vùng DMZ
 Internet Router gặp sự cố: tất cả người dùng nội bộ vẫn có thể truy xuất đến nhau, truy
xuất đến Internet Server Block, truy xuất đến các dịch vụ đặt trong vùng DMZ nhưng không
thể truy xuất ra ngoài Internet cũng như ở ngoài Internet không thể truy xuất các dịch vụ (Mail
Server, Web Server, …) đặt tại vùng DMZ

3|Page
 Ệ THỐNG MẠNG LAN NỘI BỘ MÔ HÌNH 3 LỚP
Mạng LAN được thiết kế tuân theo mô hình 3 lớp của mạng LAN campus. Mô hình này hiện
naycũng được rất nhiều hãng sản xuất áp dụng phổ biến vì những lợi ích mà nó mang lại.Theo
Cisco, mạng LAN campus có thể được phân thành 3 lớp cơ bản như sau: lớp Lõi (core layer), lớp
Phân Phối (Distribution Layer) và lớp Truy Cập (Access Layer). Tuy nhiên, tùy theo quy mô của
mạng LAN mà có thể có hay không có lớp Lõi. Dưới đây chúng tôi sẽ trình bày sơ lược về cả ba lớp
của mô hình LAN Campus của Cisco.

Mô hình 3 lớp của mạng LAN

1.  Lớp Lõi (Core Layer)

Tốc độ vận chuyển dữ liệu rất nhanh, liên kết với các lớp mạng truy cập và lớp mạng phân bố khác.
Lớp này còn được coi là đại lộ liên kết các đường nhỏ với nhau.

Nếu có một sự hư hỏng xảy ra ở lớp lõi, hầu hết các người dùng trong mạng LAN đều bị ảnh
hưởng. Vì vậy, sự dự phòng là rất cần thiết tại lớp này. Do lớp lõi vận chuyển một số lượng lớn dữ
liệu, nên độ trễ tại lớp lõi phải là cực nhỏ.Tại lớp lõi, ta không nên làm bất cứ một điều gì có thể ảnh
hưởng đến tốc độ chuyển mạch tại lớp lõi như là tạo các access list, routing giữa các VLAN với
nhau hay packet filtering.

Các đặc điểm Lớp lõi bao gồm :

• Vận chuyển nhanh

4|Page
 • Độ tin cậy cao

• Có tính dự phòng

• Khả năng chịu lỗi

• Độ trễ thấp, quản lý tốt

• Hạn chế và nhất quán đường kính

• Chất lượng dịch vụ (QoS)

2. Lớp Phân Phối (Distribution Layer)
Lớp Phân Phối cung cấp kết nối giữa lớp Truy Cập và lớp Lõi của mạng. Chức năng chính của lớp
Phân

Phối là xử lý dữ liệu như là: định tuyến (routing), lọc gói (filtering), truy cập mạng WAN, tạo access
list... Lớp Phân Phối phải xác định cho được con đường nhanh nhất mà các yêu cầu của user được
đáp ứng. Sau khi xác định được con đường nhanh nhất, nó gởi các yêu cầu đến lớp Lõi. Lớp Lõi
chịu trách nhiệm chuyển mạch các yêu cầu đến đúng dịch vụ cần thiết.Lớp Phân Phối là nơi thực
hiện các chính sách (policies) cho mạng. Có một số điều nên thực hiện khi thiết kế lớp Phân Phối:

•           Thực hiện các access list, packet filtering, và queueing tại lớp này

•           Thực hiện bảo mật và các chính sách mạng bao gồm address translation (như NAT, PAT)
và firewall.

•           Redistribution (phối hợp lẫn nhau) giữa các giao thức định tuyến, bao gồm cả định tuyến
tĩnh.

•           Định tuyến giữa các VLAN với nhau.

•           Định nghĩa các broadcast và multicast domain.

Lớp Phân Phối thường có một switch trung tâm có nhiệm vụ chuyển mạch chính, routing giữa các
VLAN và thực hiện các access list để cho phép hay không cho phép dữ liệu vào ra các VLAN. Ngoài
ra, do tầm quan trọng của thiết bị hoạt động tại lớp này (nếu thiết bị có sự cố sẽ ảnh hưởng đến
toàn bộ hệ thống) nên cần có thêm một switch hoạt động ở chế độ dự phòng để đảm bảo cho hệ
thống mạng hoạt động liên tục
3. Lớp Truy Cập (Access Layer)
Lớp truy cập chủ yếu được thiết kế cung cấp các cổng kết nối đến từng máy trạm trên cùng một
mạng,

5|Page
nên thỉnh thoảng nó còn được gọi là Desktop Layer. Bất cứ các dữ liệu nào của các dịch vụ từ xa (ở
các VLAN khác, ở ngoài vào) đều được xử lý ở lớp Phân Phối.

 Lớp Truy Cập phải có các chức năng sau:

•           Tiếp tục thực hiện các access control và policy từ lớp Phân Phối.

•           Tạo ra các collision domain riêng biệt nhờ dùng các switch chứ không dùng hub/bridge.

•           Lớp truy cập phải chọn các bộ chuyển mạch có mật độ cổng cao đồng thời phải có giá thành
thấp, kết nối đến các máy trạm hoặc kết nối tốc độ Gigabit (1000 Mbps) đến thiết bị chuyển mạch ở
lớp phân phối.

Như đã nói ở trên, tùy theo quy mô của mạng mà ta có thể thực hiện đầy đủ luôn cả 3 lớp hoặc chỉ
thực hiện mô hình kết hợp 2 lớp. Đối với hệ thống mạng LAN Campus của các hệ thống có quy mô
và số lượng người sử dụng cuối khá nhỏ nên sẽ áp dụng mô hình 2 lớp gồm có lớp Phân Phối và
lớp Access. Lớp Phân Phối chính là thiết bị chuyển mạch trung tâm đặt tại Trung tâm hệ thống
mạng, lớp Access là các thiết bị chuyển mạch lớp 2 đặt tại các chi nhánh nằm dải rác quanh đó.
4. Nguyên tắc phân chia VLAN
Virtual LANs cho phép các nhà quản trị hạn chế lưu lượng qua mạng chuyển mạch bằng  cách
nhớm một số người sử dụng dựa trên các giao tiếp của họ trên mạng mà không cần  quan tâm tới vị
trí vật lý của họ trên mạng. Các VLAN sẽ được phân vào các subnets và các khung chuyển mạch
khác nhau, mặc dù có thể hai máy trạm có thể cùng nằm trên một đoạn LAN vật lý nhưng sẽ không
giao tiếp được với nhau vì nó nằm trong hai VLAN khác nhau. Các VLAN hoạt động ở tầng 2 của
mô hình phân cấp OSI. Lưu lượng giữa các thiết bị phụ thuộc vào giao tiếp bên trong mỗi VLAN.
Nếu như các VLAN muốn giao tiếp với nhau, một máy trạm thuộc VLAN này muốn giao tiếp với một
máy trạm thuộc VLAN khác thì cần phải có thiết bị hỗ trợ định tuyến hoạt động tại tầng mạng tầng 3
trong mô hình phân cấp OSI. Khi xây dựng các VLAN điểm lợi đầu tiên đạt được là tăng hiệu suất
đường truyền mạng, giảm tối thiểu broadcast (quảng bá dữ liệu trên mạng, gây tắc nghẽn mạng,
giảm hiệu suất đường truyền). Đồng thời các VLAN cũng làm tăng cao mức độ an ninh trên mạng
tạo ra khả năng bảo vệ cao đối với những Server có tính chất quan trọng trong mạng bằng cách
tách biệt các Server này vào các VLAN khác nhau, hoặc riêng trong một VLAN.

6|Page
5. Phương thức phân chia VLAN
Các VLAN có thể được phân chia theo phương pháp tĩnh được ấn định trên từng port hoặc  theo
phương pháp động, sử dụng cơ sở dữ liệu trên server kết hợp với tất cả các địa chỉ MAC kết nối tới
một cổng đơn trên cùng một VLAN.

Phương pháp tĩnh – Đây là phương pháp phân chia VLAN khá thông dụng. Ta có thể thiết lập các
VLAN này bằng cách ấn định mỗi cổng trên thiết bị Switch với chỉ một VLAN. Các cổng trong một
VLAN sẽ chia sẻ Broadcast với nhau. Hầu hết các Catalyst Switch của Cisco đều hỗ trợ tới 1,024
VLAN với 250 VLAN trong số đó có thể hoạt động cùng một lúc.

7|Page
Phương pháp động – Các port trên các Catalyst Switch sẽ tự động xác định việc ấn định các VLAN
theo địa chỉ MAC tại mỗi end-user. Catalyst 1900 hỗ trợ các VLAN động sử dụng VMPS (VLAN
Membership Policy Server). VMPS sử dụng cơ sở dữ liệu về địa chỉ MAC để phân chia VLAN dựa
trên các địa chỉ MAC.

8|Page
6. Lợi ích của VLAN

Việc phân chia các VLAN đem lại một số lợi ích chính sau:

Giúp cho việc chuyển rời, thêm vào và thay đổi dễ dàng hơn

Giảm giá thành quản trị bao gồm cả việc di dời, thêm vào, và thay đổi các máy trạm đầu cuối

Cải tiến khả năng điều khiển broadcasts bằng cách giới hạn broadcast tới các cổng bên trong mỗi
VLAN.

Khả năng phân chia các đoạn VLAN với số lượng PC khá nhỏ, với khả năng mở rộng mở rộng
mạng cao hơn khi số lượng máy trạm tăng mà vẫn bảo đảm được tốc độ đường truyền.

Phân phối lưu lượng tải bằng cách sử dụng Spanning Tree (đây là phương pháp mở rộng các
phương thức truy nhập đường truyền theo cây thư mục nhằm mục đích cân bằng tải lưu lượng
VLAN qua các đường liên kết dự phòng.

9|Page
 Các server sẽ được nhóm theo các nhóm khác nhau tuỳ theo các mức độ an ninh cần thiết vào các
VLAN. Điều này làm tăng khả năng an toàn dữ liệu cho các Server trong  hệ thống mạng chống lại
việc truy cập bất hợp pháp của cả người sử dụng bên trong cũng như những tấn công từ bên ngoài.
7. Bảo mật hệ thống với VLAN
Khi thiết kế một hệ thống mạng, bảo mật luôn là một vấn đề chiếm được sự quan tâm hàng  đầu.
Mạng LAN là hệ thống mạng chia sẻ (shared). Một số chương trình cài trên PC có thể bắt các gói tin
truyền đi trên mạng. Do đó các thông tin nhạy cảm như: password, email,  tiền lương hay các thông
tin không được mã hóa khác hoàn toàn có thể bị mất. Đối với một phòng ban, điều này có thể không
là vấn đề lớn. Tuy nhiên, trong một hệ thống mà nhiều phòng ban kết nối vào chung segment, việc
mất mát thông tin như vậy sẽ gây hậu quả hết sức nghiêm trọng.

Thực tế, vấn đề này không chỉ giới hạn trong một segment. Nó có thể xảy ra trong môi trường nhiều
segment kết nối với nhau qua routers. Nếu một phòng ban (Giả sử là Kế toán) đặt tại hai vị trí khác
nhau, mỗi vị trí tương ứng với một segment. Thông tin truyền giữa hai segment phải đi qua một
segment trung gian. Với mô hình này, các thông tin truyền đi trong phòng kế toán rất có thể bị mất.
Có một cách đơn giản để giải quyết vấn đề này, đó là gộp cả phòng kế toán vào một segment. Tuy
nhiên, điều này đôi khi không thực hiện được trong thực tế do giới hạn về kích thước không gian
làm việc.

Với việc áp dụng VLAN trong hệ thống, người quản trị đã đặt thêm một lớp ngăn cách giữa các
người dùng với nhau và do đó giảm được nguy cơ mất mát thông tin. Mỗi VLAN là một  broadcast
domain, do đó người dùng ở VLAN này sẽ được tách biệt với người dùng ở VLAN  khác. Để có thể
kết nối người dùng ở hai VLAN khác nhau, chúng ta phải sử dụng một thiết bị lớp 3. Đó có thể là L3
Switch hoặc router. Khi đó, người quản trị có thể đặt ACL (Danh  sách điều khiển truy nhập) để đặt
quyền truy cập hệ thống đến từng người dùng, từng giao thức... Cho phép giảm lưu lượng thông tin
trên mạng, nâng cao hiệu quả hoạt động của mạng.

10 | P a g e
 GIẢI PHÁP WIFI
Kết nối mạng không dây Wifi (Wireless Fidelity) đã trở thành một trong những cách thức truy cập Internet
và chia sẻ dữ liệu thông dụng nhất hiện nay. Đối với nhiều công ty, thậm chí nó còn đóng vai trò sống
còn trong phương thức kinh doanh của họ. Với người dùng gia đình, nó giải quyết vấn đề chia sẻ kết nối
băng thông rộng với chi phí hợp lý nhất. Hiện tại wifi được chia làm 3 chuẩn chính thông dụng bao gồm:
- 802.11a: Đây là chuẩn 54Mbps hoạt động ở tần số 5Ghz. Nó sử dụng thiết bị riêng rất đắt tiền. Một số
món đồ chơi mạng trên thị trường hiện nay được đóng dấu tương thích chuẩn này nhưng thực tế chỉ có
khả năng kết nối hòa mạng chứ không phát huy được những đặc điểm thế mạnh riêng.
- 802.11b: Chuẩn B với số lượng người dùng đông đảo nhất hiện nay do khả năng tương thích rộng và
giá thành thấp. Tần số hoạt động ở mức 2.4Ghz và băng thống 11Mbps. 
- 802.11g: Đây là phiên bản mới nhất của dòng 802.11x hiện nay, so với chuẩn B, khoảng cách sử dụng
của G không bằng nhưng lại có băng thông lớn hơn nhiều do có khả năng áp dụng công nghệ đa kênh
(đạt mức 108Mbps hoặc hơn tùy thiết bị). Các linh kiện mạng không dây chuẩn G thế hệ mới đều tương
thích ngược với chuẩn B. 
Khoảng cách sử dụng của các thiết bị Wifi hiện tại có thể lên tới 150m trong điều kiện lý tưởng nhưng
trong thực tế chỉ dưới 50m mà thôi. Những yếu tố có thể gây ảnh hưởng đối với khoảng cách phát sóng
có rất nhiều ví dụ như tường, từ trường, vật liệu kim loại, anten … Bài viết này sẽ đưa ra một vài chi tiết
giúp bạn cải thiện kết nối không dây của mình.

I. Chọn lựa và sắp xếp thiết bị wifi hợp lý:

1. . Sử dụng một thiết bị wifi mới
Dĩ nhiên đây là cách thức đơn giản nhất để nâng cấp chất lượng sóng không dây. Bạn nên làm điều này
nếu như thiết bị đang sử dụng đã có tuổi thọ trên 2 năm. Trong những trường hợp như vậy, thiết bị mới
đôi khi tăng cường diện tích sử dụng lên gần gấp đôi.
- Ưu điểm của việc thay thế wifi mới:
+ Việc thay đổi khá dễ dàng, đa số các thiết bị mới đều hỗ trợ Wizard dạng HTML cho phép người dùng
thiết lập thông số rất nhanh chóng để tương thích với mạng hiện hành.
+ Giá cả thiết bị mới không đắt so với hiệu năng chúng mang lại.

11 | P a g e
+ Một số thiết bị có những công nghệ cao cấp ví dụ như NetGear WPN824 với RangeMax có thể tự động
gia tăng diện tích phủ sóng hoàn toàn tự động.
- Nhược điểm của việc thay thế wifi mới: 
+ Đôi khi bạn phải nâng cấp toàn bộ các thiết bị thành phần trong mạng như Adapter, Accesspoint,
Router… để tận dụng được những công nghệ mới. 
+ Không phù hợp cho môi trường với nhiều vật cản ví dụ như các tòa nhà cao tầng.
2. Sử dụng thêm một Router nữa với chức năng Access Point
Với giải pháp này, bạn sẽ tắt chức năng Router của thiết bị và chỉ sử dụng tính năng phát sóng không
dây của nó. Mô hình trong hình dưới đây là một ví dụ.
- Ưu điểm:
+ Chi phí thấp, bạn có thể sử dụng bất cứ Router nào còn dư hoặc mua một chiếc mới rẻ tiền để sử
dụng.
- Nhược điểm:
+ Các nhà sản xuất không chính thức hỗ trợ cho kiểu hình mạng này.
+ Những thiết bị Router không được thiết kế phục vụ cho chức năng này nên đôi khi hiệu năng làm việc
có thể không tối ưu.
+ Chỉ thích hợp cho những mạng đơn giản, tải nhẹ. Không phù hợp với máy chủ game hay cơ sở dữ liệu
lớn.
+ Khá rắc rối để cài đặt. Người dùng phải có kiến thức cơ bản về mạng.
3. Thay thế Anten
Đây là giải pháp đơn giản nhất và đôi khi lại hiệu quả nhất. Những loại Anten cao cấp có thể cải thiện
chất lượng tín hiệu rất nhiều. Một số loại đặc biệt có thể tăng cường phủ sóng tới vài KM. Tất nhiên
những giải pháp gia đình hoặc văn phòng không cần thiết phải mạnh như vậy nhưng vẫn đủ sức đảm
đương diện tích cả tòa nhà.
- Ưu điểm: 
+ Anten sử dụng tốt cho những khoảng diện tích rộng lớn nối tiếp nhau.
+ Hiệu quả cho cả môi trường trong nhà lẫn ngoài trời.
+ Giải pháp tối ưu cho mạng giữa nhiều tòa nhà gần nhau.
- Nhược điểm:
+ Hầu hết các loại Anten chỉ sử dụng được với những thiết bị thiết kế riêng cho nó.
+ Để lắp đặt Anten hiệu quả, bạn phải nghiên cứu kĩ môi trường và đôi khi phải nhờ cậy tới các chuyên
gia.
+ Khi mưa hoặc có sét, tín hiệu có thể bị ngắt hoặc tốc độ chậm đi. Nếu kết nối mang tính sống còn, bạn
nên chuẩn bị các giải pháp phòng bị.

12 | P a g e
II. Đặt thiết bị ở vị trí tốt nhất:
Khi tiến hành đặt thiết bị phát sóng không dây cũng như các thành phần liên quan, bạn phải luôn chú ý
ba điểm sau:
+ Đặt Anten ở vị trí tốt với góc phù hợp.
+ Tránh các vật cản vật lý có thể chặn sóng.
+ Tránh xa các thiết bị gây nhiễu khác.
Nếu mạng nội bộ của bạn có nhiều thiết bị không dây, trước khi bạn di chuyển bất cứ thứ gì hãy xác định
thứ nào sẽ chịu tải nhiều nhất. Điều này rất quan trọng đối với việc tối ưu hóa. Hầu hết các nhà sản xuất
đều có những công nghệ riêng để tăng cường khoảng cách phủ sóng của thiết bị nhưng trên thực tế
những thiết bị nằm càng xa điểm phát sóng sẽ có tốc độ kết nối càng chậm đi. Chính vì thế hãy đặt
những chiếc router, accesspoint hay bất kì thiết bị nào chịu tải lớn ở vị trí gần trung tâm mạng nhất. 
1. Chọn vị trí cho Anten:
Router Wifi, AccessPoint, Adapter Wifi gửi và nhận tín hiệu thông qua anten, có những sản phẩm (chủ
yếu phục vụ môi trường di động) sử dụng anten ngầm. Tuy nhiên đại đa số các thiết bị Wifi đều có anten
ngoài. Do đó vị trí Anten đóng vai trò quyết định đối với hiệu năng làm việc của một thiết bị wifi. Khi thiết
lập vị trí Anten, bạn phải tuân theo những nguyên tắc sau đây:
+ Hạn chế tối thiểu những vật cản giữa các anten của thiết bị wifi. Từ anten này hãy cố gắng tìm vị trí để
bạn có thể nhìn thấy các anten thiết bị khác khác là lý tưởng nhất.
+ Đặt ở vị trí cao hơn hẳn các vật cản.
+ Đặt cách xa các bề mặt kim loại như ống nước, tủ… tối thiểu 60cm. 
+ Tránh xa các khối nước lớn như bể cá, tủ lạnh hay bộ tản nhiệt nước.
+ Anten thường có điểm mù ở dưới chân nó, chính vì thế bạn không nên đặt nó ngay trên các thiết bị
nhận tín hiệu.
+ Nếu bạn sử dụng các thiết bị wifi từ cả tầng trên dưới lẫn xung quanh, hãy chỉnh anten thành góc 45 độ
so với phương ngang. 
Một số Router Wifi có nhiều anten để tăng cường sóng ví dụ như dòng RangeMAx của Netgear với 3
anten. Trong trường hợp này, bạn hãy đặt anten chính vuông góc 90 độ với mặt đất, mỗi anten bên nằm
ở góc 45 độ và 135 độ tương ứng. Với những tòa nhà hẹp, anten có thể đặt ở vị trí nằm ngang 180 độ.
Nhớ chú ý không để các đầu anten quá gần nhau.

13 | P a g e
2. Chống nhiễu cho thiết bị wifi:
Vật liệu - Khả năng chặn sóng
Tường khô ráo, gỗ dán <20%
Thủy tinh, cửa trong nhà 30-60%
Gốm sứ, bê tông, gạch 90-95%
Khối lượng nước/kim loại lớn. 100%
- Không đặt gần cửa sổ nếu bạn không có nhu cầu liên lạc với tòa nhà bên cạnh. Cửa số là đường vào
cho rất nhiều các loại sóng không cần thiết từ bên ngoài.
- Đặt cách xa anten của thiết bị khỏi các nguồn phát sóng khác đặc biệt là những thiết bị sử dụng tần số
từ 2.4Ghz tới 2.5Ghz. Những nguồn nhiễu thông thường bao gồm:
+ Máy vi tính và máy fax.
+ Máy photocopy, điện thoại di động.
+ Lò vi sóng.

III. Tối ưu hóa thiết bị

Một trong những thông số ít được chú ý liên quan trực tiếp đến hiệu năng làm việc của các thiết bị wifi
chính là số kênh tần. Mục đích chính của bạn là tìm ra được kênh tín hiệu tốt nhất để tránh các sóng gây
nhiễu từ mạng khác hoặc các thiết bị có tính chất phát sóng radio. (Với thiết bị chuẩn 802.11a hay a/g thì
việc chọn kênh không chiếm vai trò quan trọng). 
Nếu bạn chỉ sử dụng mạng gia đình đơn giản và hàng xóm không có ai sử dụng Wifi, bạn có thể sử dụng
bất cứ kênh nào cũng được. Tuy nhiên những rắc rối sẽ xảy ra khi bạn rơi vào một trong những trường
hợp sau đây:
+ Bạn muốn tăng cường khả năng phủ sóng của mạng.
+ Bạn có nhiều Router hoặc AccessPoint phát sóng không dây buộc phải dùng nhiều kênh tần khác
nhau.
+ Bạn không phải là người duy nhất trong khu vực sử dụng mạng Wifi.
Việc tăng cường tín hiệu mạng không dây hoàn toàn khác với việc bạn cho thêm bóng đèn vào một căn
phòng để làm nó sáng lên. Những thiết bị phát sóng mạnh như Router, AccessPoint sẽ trực tiếp gây ảnh

14 | P a g e
hưởng lẫn nhau trong khoảng cách gần. Bạn cần phải đặt chúng xa nhau và đặc biệt là thiết lập để mỗi
mạng lưới sử dụng một kênh tần khác biệt.
Đối với mạng thuộc chuẩn 802.11b/g, có tất cả 11 kênh cho những thiết bị không dây. Những thiết bị sản
xuất cho thị trường Châu Âu sẽ hỗ trợ 13 kênh. Khi xảy ra tranh chấp tín hiệu khiến cho mạng bị chập
chờn, bạn có thể chọn một trong các kênh chính không bị chồng chéo tin hiệu lên nhau là 1,6,11 (1,7,13
cho Châu Âu) hoặc số kênh càng cách xa nhau càng tốt. Như vậy bạn sẽ có thể sử dụng tới 3 mạng
không dây độc lập trong cùng một không gian diện tích. 
Nếu như ở gần bạn có một mạng không dây nào đó, chẳng có gì ngạc nhiên nếu nó đã sử dụng kênh 1
và 11 vì đó là thiết lập mặc định của phần lớn các thiết bị phát sóng Wifi. Tuy nhiên thật đáng buồn là bạn
không thể tránh được việc bị xung đột tín hiệu một cách triệt để vì giao thức không giây B/G chỉ có 3
kênh chính không chồng chéo như đã nói ở trên. Chính vì thế nếu trong cùng một khu vực có từ 4 mạng
không dây khác nhau trở lên, vấn đề “va chạm” sẽ trở nên càng trầm trọng hơn. Đặc biệt khi bạn và
người hàng xóm của mình mỗi người đều vừa có một Router và một Accesspoint Wifi thì chắc chắn cả
hai sẽ phải chịu những tác động không tốt đẹp gì. Giải pháp tối ưu nhất cho vấn đề này đó là bạn hãy chủ
động bàn bạc với chủ nhân của mạng “hàng xóm” để cùng tìm ra những tùy chọn thích hợp nhất ví dụ
như kênh tần 1 và 8 cho bạn, 5 và 11 cho người kia. Bạn cũng có thể đặt Router và Access Point của
mình về phía xa để giảm thiếu những tín hiệu mà hàng xóm của bạn không muốn “nhìn thấy”. Ngoài ra,
anten phát sóng có hướng cũng là một trong những giải pháp bạn có thể xem xét. 
Khi có nhiễu, tốc độ mạng sẽ bị giảm đi đáng kể chính vì vậy, đôi khi nếu việc giảm nhiễu không thực sự
hiệu quả, bạn có thể giảm tải cho mạng không dây và hạn chế khối lượng dữ liệu được phát đi. Trong
những môi trường có nhiều thiết bị với khả năng sinh sóng radio, bạn nên sử dụng dây cáp mạng cho
những kết nối truyền tải nhiều thông tin nhất. Ngoài ra bạn cũng có thể xem xét phương án nối mạng
thông qua đường dây điện bằng một số thiết bị chuyên dụng ví dụ như dòng Powerline của Netgear. Việc
bật tùy chọn SSID Broadcast cũng là một trong những yếu tố tăng tải. Mặc dù nó giúp cho các thiết bị
nhanh chóng nhận ra luồng tín hiệu mạnh nhất nhưng điều đó cũng đồng nghĩa cho phép những thiết bị
không mong muốn ở gần khu vực bạn kết nối ké hoặc tự động “xin phép” kết nối vài lần trong một giây dù
được hay không được phép. Chính vì thế nếu bạn chỉ có nhu cầu sử dụng cá nhân, hãy tắt SSID
Broadcast và đổi tên SSID mặc định thành giá trị khác.
Cuối cùng, hai tính năng bảo mật WEP và WPA mặc dù giữ cho thông tin trong mạng không bị mất trộm
nhưng thực tế đôi khi chúng cũng góp phần “rùa bò” cho tốc độ mạng không dây. Tắt chúng đi sẽ tăng
băng thông cho mạng nhưng cũng để lộ sơ hở cho những tay hacker. Bạn không nên làm điều này trừ
khi có những biện pháp an ninh riêng hoặc lý do đặc biệt nào đó.
IV. Kiểm tra hiệu quả thiết bị wifi:
Bạn có thể tiến hành kiểm tra sơ lược hoặc kĩ càng tùy ý, tuy nhiên rõ ràng sau khi thực hiện bất cứ thay
đổi nào, bạn sẽ muốn kiểm tra xem hiệu năng có khác biệt gì hay không. Hãy chú ý rằng khi thử nghiệm,
bạn nên tạo ra một môi trường giống với thực tế ví dụ như bật lò vi sóng, nhờ ai đó nói chuyện điện thoại
di động… trong khu vực phủ sóng wifi.
Sau đây là một vài phương thức thử nghiệm thông dụng:
1. Thử xem wifi có làm việc không:
Đây là cách rẻ tiền và nhanh chóng nhất. Tất cả những gì bạn cần làm chỉ là bật thiết bị lên, xem xem nó
có hoạt động không và hiệu năng có vừa ý bạn hay không mà thôi. Nếu có, bạn chẳng cần làm gì thêm
cả.
2. Kiểm tra sức sóng bằng công cụ phần mềm:
Mỗi thiết bị wifi đều được cài đặt kèm một tiện ích phần mềm theo dõi độ mạnh của tín hiệu và luồng dữ
liệu. Thường thì chúng là một thanh ngang với các màu xanh, vàng, đỏ. Khi mức trạng thái ở màu xanh
chứng tỏ thiết bị đang nhận được luồng tín hiệu rất mạnh và băng thông tốt, khi bạn di chuyển xa khỏi
Router hay Access Point, tín hiệu sẽ dần giảm xuống và chỉ còn mức vàng. Khi tín hiệu mạng yếu đi,
băng thông sẽ tự động giảm xuống nhưng kết nối vẫn được duy trì. Khi mức trạng thái chỉ còn ở vạch đỏ,
bạn sẽ bắt đầu gặp trục trặc như rớt mạng, tín hiệu không ổn định, dữ liệu truyền chập chờn. 
Bạn có thể nhận rõ hiệu quả mạng wifi của mình theo cách này thông qua việc đi loanh quanh trong khu
vực phát sóng với một thiết bị wifi di động trong tay như điện thoại, pocketPC hay laptop. 
3. Kiểm tra khoảng cách giữa hai nguồn phát:
Hai Router hoặc AccessPoint có cùng kênh tần khi đặt càng gần nhau sẽ càng dễ bị nhiễu. Bạn hãy sử
dụng một món đồ chơi wifi di động và thiết lập kết nối với một trong hai thiết bị phát rồi di chuyển trong

15 | P a g e
khoảng 2m tính từ anten. Kích hoạt chế độ dò để tìm các luồng tín hiệu mạng. Nếu bạn nhìn thấy thiết bị
khác xuất hiện chung kênh tần, bạn hãy thực hiện 1 trong 3 cách sau:
+ Di chuyển một trong hai thiết bị phát ra xa.
+ Tắt một trong hai thứ.
+ Thay đổi kênh tần của Router hoặc AccessPoint.
4. Kiểm tra tính ổn định dữ liệu:
Thanh trạng thái cho phép bạn đo khối lượng dữ liệu truyền qua mạng không dây nhưng nó không thể
báo cáo với bạn có bao nhiêu dữ liệu bị thất lạc trong quá trình vận chuyển và bị buộc phải gửi lại. Khi
những gói dữ liệu nhỏ thường xuyên bị mất (ví dụ trong môi trường nhiễu) thì tốc độ mạng sẽ chậm, đôi
khi hỏng hóc các file và độ trễ sẽ tăng lên cao. Thông thường tỉ lệ dữ liệu bị đi lạc trong một mạng nội bổ
chỉ được phép nằm trong khoảng 1% đến 2% mà thôi. Để kiểm tra thông số này (Packet Loss), bạn làm
như sau:
+ Từ màn hình Desktop của Windows, bạn mở Start > Run > nhập vào “cmd” (không có dấu ngoặc kép)
rồi nhấn Enter. Cửa sổ dòng lệnh Command sẽ xuất hiện.
+ Bạn gõ vào “ping x.x.x.x –t” trong đó x.x.x.x là địa chỉ IP của Router, AccessPoint hoặc một thiết bị
thành viên mạng mà bạn muốn kiểm tra (Ví dụ: ping 192.168.1.133 –t”). Nhấn Enter.
+ Sau thao tác này, máy tính sẽ gửi liên tục tín hiệu kiểm tra tới thiết bị mỗi giây. Khi có gói dữ liệu đi lạc,
dòng thông báo “Request Time Out” sẽ hiện ra. 
+ Khi cần dừng phép thử lại, bạn nhấn Ctrl+C và đóng cửa sổ Command.
5. Xem xét băng thông: 
Đây là một bước khá quan trọng để xác định hiệu quả mạng không dây vì mục đích cuối cùng của bạn
vẫn là gửi nhận dữ liệu. Bạn có thể sử dụng nhiều công cụ để thực hiện công việc này ví dụ như module
Network/Lan Bandwidth trong bộ tiện ích Sandra của Sisoftware. 
Nhìn chung với sức phát triển mạnh mẽ như hiện nay của mạng không dây, việc một ngày nào đó mọi
đoạn dây lằng nhằng biến mất khỏi văn phòng cũng như căn nhà của bạn không có gì đáng ngạc nhiên.
Những nhược điểm cố hữu của Wifi như tốc độ chậm hay độ trễ cao đã và đang được giải quyết khá triệt
để. Nhiều công nghệ mới ra đời điển hình như MIMO của Airgo Network đã nâng tốc độ kết nối vượt mức
200Mbps và trong tương lai sẽ còn cao hơn nữa. Giá thành của các thiết bị mạng không dây hiện nay đã
giảm xuống mức chấp nhận được. Chỉ chưa tới 100 USD, bạn đã sở hữu một router Wifi loại tốt với đầy
đủ các tính năng mới nhất cho công việc của mình. Hãy mạnh dạn đến với công nghệ mới và cảm nhận
sự khác biệt

16 | P a g e
 VLAN là gì? Làm thế nào để cấu hình một VLAN trên Switch ?
Đã bao giờ bạn tự đặt cho mình những câu hỏi như: mạng LAN ảo (hay

VLAN) là gì? Khi nào và tại sao bạn cần có một VLAN? Bài viết sau đây sẽ

chia sẻ với các bạn những kiến thức cơ bản về VLAN, giúp bạn có khái niệm

về VLAN và sự hữu ích của nó.

1. LAN là gì?

Chắc hẳn phần lớn các bạn đều hiểu thế nào là một mạng LAN. Tuy nhiên

chúng ta vẫn nên nhắc lại một chút, bởi lẽ nếu bạn không nắm được mạng

LAN là gì, bạn sẽ không thể có khái niệm về VLAN.

LAN là một mạng cục bộ (viết tắt của Local Area Network), được định

nghĩa là tất cả các máy tính trong cùng một miền quảng bá (broadcast

domain). Cần nhớ rằng các router (bộ định tuyến) chặn bản tin quảng bá,

trong khi switch (bộ chuyển mạch) chỉ chuyển tiếp chúng.

2. VLAN là gì?

17 | P a g e
 Như đã giới thiệu phía trên, VLAN là một mạng LAN ảo. Về mặt kỹ thuật,

VLAN là một miền quảng bá được tạo bởi các switch. Bình thường thì

router đóng vai trò tạo ra miền quảng bá. Đối với VLAN, switch có thể tạo

ra miền quảng bá.

Việc này được thực hiện khi bạn - quản trị viên - đặt một số cổng switch

trong VLAN ngoại trừ VLAN 1 - VLAN mặc định. Tất cả các cổng trong

một mạng VLAN đơn đều thuộc một miền quảng bá duy nhất.

Vì các switch có thể giao tiếp với nhau nên một số cổng trên switch A có thể

nằm trong VLAN 10 và một số cổng trên switch B cũng có thể trong VLAN

10. Các bản tin quảng bá giữa những máy tính này sẽ không bị lộ trên các

cổng thuộc bất kỳ VLAN nào ngoại trừ VLAN 10. Tuy nhiên, tất cả các máy

tính này đều có thể giao tiếp với nhau vì chúng thuộc cùng một VLAN. Nếu

18 | P a g e
không được cấu hình bổ sung, chúng sẽ không thể giao tiếp với các máy tính

khác nằm ngoài VLAN này.

3-    VLAN có cần thiết không?

Có một điều quan trọng mà tôi cần nhấn mạnh, đó là bạn không cần cấu hình

một mạng LAN ảo trừ khi mạng máy tính của bạn quá lớn và có lưu lượng

truy cập quá nhiều. Nhiều khi người ta dùng VLAN chỉ đơn giản vì lý do

mạng máy tính mà họ đang làm việc đã sử dụng chúng rồi.

Thêm một vấn đề quan trọng nữa, đó là trên switch Cisco, VLAN được kích

hoạt mặc định và tất cả các máy tính đã nằm trong một VLAN. VLAN đó

chính là VLAN 1. Bởi thế mà theo mặc định, bạn có thể sử dụng tất cả các

cổng trên switch và tất cả các máy tính đều có khả năng giao tiếp với nhau.

4-    Khi nào bạn cần một VLAN?

Bạn cần cân nhắc việc sử dụng VLAN trong các trường hợp sau:

Bạn có hơn 200 máy tính trong mạng LAN

Lưu lượng quảng bá (broadcast traffic) trong mạng LAN của bạn quá

lớn

Các nhóm làm việc cần gia tăng bảo mật hoặc bị làm chậm vì quá

nhiều bản tin quảng bá.

Các nhóm làm việc cần nằm trên cùng một miền quảng bá vì họ đang

dùng chung các ứng dụng. Ví dụ như một công ty sử dụng điện thoại

VoIP. Một số người muốn sử dụng điện thoại có thể thuộc một mạng

VLAN khác, không cùng với người dùng thường xuyên·

Hoặc chỉ để chuyển đổi một switch đơn thành nhiều switch ảo.

5-    Tại sao không chia subnet?

Một câu hỏi thường gặp đó là tại sao không chia subnet (mạng con) thay vì

sử dụng VLAN? Mỗi VLAN nên ở subnet của riêng mình. VLAN có ưu

19 | P a g e
điểm hơn subnet ở chỗ các máy tính tại những vị trí vật lý khác nhau (không

quay lại cùng một router) có thể nằm trong cùng một mạng. Hạn chế của

việc chia subnet với một router đó là tất cả máy tính trên subnet đó phải

được kết nối tới cùng một switch và switch đó phải được kết nối tới một

cổng trên router.

Với VLAN, một máy tính có thể được kết nối tới switch này trong khi máy

tính khác có thể kết nối tới switch kia mà tất cả các máy tính vẫn nằm trên

VLAN chung (miền quảng bá).

6-    Làm thế nào các máy tính trên VLAN khác nhau có thể giao tiếp với
nhau?
Các máy tính trên VLAN khác nhau có thể giao tiếp với một router hoặc một

switch Layer 3. Do mỗi VLAN là subnet của riêng nó, router hoặc switch

Layer 3 phải được dùng để định tuyến giữa các subnet.

7-    Cổng trunk là gì?

Khi một liên kết giữa hai switch hoặc giữa một router và một switch truyền

tải lưu lượng của nhiều VLAN thì cổng đó gọi là cổng trunk.

Cổng trunk phải chạy giao thức đường truyền đặc biệt. Giao thức được sử

dụng có thể là giao thức độc quyền ISL của Cisco hoặc IEEE chuẩn 802.1q.

8-    Làm thế nào để tạo VLAN?

Cách cấu hình một mạng VLAN có thể thay đổi tùy từng mẫu switch Cisco

khác nhau. Mục tiêu của bạn là:·

Tạo VLAN mới

Đặt mỗi cổng vào VLAN thích hợp

Giả dụ chúng ta muốn tạo VLAN 5 và 10. Chúng ta muốn đặt cổng 2 và 3

vào VLAN 5 (Marketing) và cổng 4 và 5 vào VLAN 10 (Nhân sự). Sau đây

là cách thực hiện trên switch Cisco 2950:

20 | P a g e
Tại thời điểm này, chỉ có cổng 2 và 3 là có thể giao tiếp với nhau cũng như

chỉ có cổng 4 và 5 có thể giao tiếp với nhau. Lý do là vì chúng nằm trên

cùng VLAN. Để máy tính ở cổng 2 có thể giao tiếp với máy tính ở cổng 4,

bạn cần phải cấu hình cổng trunk tới router nhằm giúp nó có thể tháo gỡ

thông tin VLAN, định tuyến gói dữ liệu và bổ sung lại thông tin VLAN.

9-    VLAN cung cấp những gì?

VLAN giúp tăng hiệu suất mạng LAN cỡ trung bình và lớn vì nó hạn chế

bản tin quảng bá. Khi số lượng máy tính và lưu lượng truyền tải tăng cao, số

lượng gói tin quảng bá cũng gia tăng. Bằng cách sử dụng VLAN, bạn sẽ hạn

chế được bản tin quảng bá.

VLAN cũng tăng cường tính bảo mật bởi vì thực chất bạn đặt một nhóm

máy tính trong một VLAN vào mạng riêng của chúng.

10-    Tổng kết
Dưới đây là tổng kết những ý chính trong bài:

VLAN là một miền quảng bá tạo bởi các switch.

Quản trị viên phải tạo VLAN sau đó chỉ định cổng nào vào VLAN

nào một cách thủ công.

VLAN giúp tăng hiệu suất cho mạng LAN cỡ vừa và lớn.

Tất cả các máy tính đều nằm trong VLAN 1 theo mặc định.

Cổng trunk là cổng đặc biệt sử dụng giao thức ISL hoặc 802.1q, nhờ

thế nó có thể truyền tải lưu lượng của nhiều VLAN.

Để các máy tính thuộc các VLAN khác nhau giao tiếp với nhau, bạn

cần dùng một router hoặc switch Layer 3

21 | P a g e
 I.Nội dung thiết kế
I.1. Mục tiêu thiết kế
Thiết kế, xây dựng hạ tầng truyền thông cho các đơn vị, tổ chức tạo điều kiện triển khai các ứng
dụng nghiệp vụ và các dịch vụ gia tăng của đơn vị, tổ chức đó.

Mục tiêu chung được thể hiện qua các điểm cụ thể sau:
 Xây dựng hạ tầng truyền thông thống nhất, tốc độ cao đồng bộ.
 Quản trị hệ thống tập trung.
 Phát triển các dịch vụ gia tăng trên mạng như Video conferencing, VoIP.
 Xây dựng hạ tầng cơ sở đảm bảo môi trường tiêu chuẩn cho trung tâm dữ liệu.
I.2.Nội dung thiết kế
 Xây dựng thiết kế mạng LAN, WAN cho các đơn vị, tổ chức.
 Xây dựng mạng trục WAN backbone.
 Xây dựng hệ thống an ninh mạng theo chiều sâu, nhiều lớp và sử dụng nhiều công nghệ
khác nhau.
 Xây dựng hệ thống quản trị cấu hình trang thiết bị và giám sát kênh truyền thông.
 Xây dựng hạ tầng cơ sở trung tâm dữ liệu chính.
 Xây dựng thiết kế mạng cho trung tâm dữ liệu dự phòng.
 Xây dựng các dịch vụ mạng gia tăng như IP Telephony và Video Conferencing

II.Tổng quan về thiết kế

II.1.Định hướng kiến trúc
Trong phần này, chúng tôi xin giới thiệu sơ lược về một định hướng kiến trúc tiêu biểu được áp
dụng trong việc xây dựng hạ tầng Công nghệ Thông tin cho các tổ chức và doanh nghiệp lớn. Đó là
Định hướng Kiến trúc Dịch vụ (Service-Oriented Architecture - SOA).

Đây là kiến trúc khung (architectural framework) mang tính định hướng sự phát triển, mở rộng có
mục đích đối với các hệ thống mạng lớn và là một cuộc cách mạng trong nhận thức về nền tảng
mạng truyền thông hướng tới môi trường mạng thông tin thông minh (Intelligent information
network) giúp cho việc tăng nhanh các khả năng ứng dụng, dịch vụ, mở rộng tiến trình kinh doanh
và tất nhiên, kèm theo đó là lợi nhuận.

·         Lớp cơ sở hạ tầng mạng (networked infrasstructure layer): là lớp mạng liên kết các khối
chức năng theo kiến trúc phân tầng, có trật tự.
 Lớp dịch vụ tương tác (Interactive services layer): bao gồm sự kết hợp một số kiến trúc
mạng đầy đủ với nhau tạo thành các chức năng cho  phép nhiều ứng dụng có thể sử dụng trên
mạng.
 Lớp ứng dụng (Application layer): Bao gồm các loại ứng dụng cộng tác và nghiệp vụ. Các
ứng dụng này kết hợp với các dịch vụ tương tác cung cấp ở lớp dưới sẽ giúp triển khai nhanh và
hiệu quả

22 | P a g e
 II.2.Các phương thức thiết kế
Trong phần này, chúng tôi xin giới thiệu sơ lược về các phương thức thiết kế mạng và bảo mật
được sử dụng trong việc thiết kế các hệ thống mạng lớn và hiện đại của các tổ chức và doanh
nghiệp lớn. Tương ứng với kiến trúc SOA là thuộc lớp Cơ sở hạ tầng mạng.

II.2.1.PHƯƠNG THỨC THIẾT KẾ PHÂN LỚP - HIERARCHICAL

Phương thức thiết kế phân lớp (Hierarchical) ra đời và trở thành một kiến trúc phổ biến trong gần
chục năm gần đây, được áp dụng để thiết kế các hệ thống mạng với qui mô trung bình cho đến qui
mô lớn. Phương thức thiết kế này sử dụng các lớp (layer) để đơn giản hóa các công việc trong thiết
kế mạng. Mỗi lớp có thể tập trung vào các chức năng cụ thể, cho phép người thiết kế lựa chọn đúng
các hệ thống và các tính năng cho mỗi lớp.

Phương thức thiết kế Hierarchical gồm 3 lớp:

 Lớp Core: Có nhiệm vụ chuyển tiếp lưu thông với tốc độ cao nhất
 Lớp Distribution: Cung cấp các chính sách liên quan đến các hoạt động kết nối
 Lớp Access: Cung cấp truy cập cho các User/Workgroup vào mạng
Ví dụ về một hệ thống mạng thiết kế theo phương thức thiết kế Hierarchical:

II.2.2.PHƯƠNG THỨC THIẾT KẾ THEO MÔ ĐUN - MODULAR

Phương thức thiết kế theo mô đun (Modular) được xem như là phương thức bổ xung cho phương
thức thiết kế Hierarchical. Trong một hệ thống mạng qui mô lớn, nói chung sẽ bao gồm nhiều vùng
mạng phục vụ các hoạt động và chức năng khác nhau. Việc thiết kế theo mô đun cho một hạ tầng
mạng lớn bằng việc tách biệt các vùng mạng với chức năng khác nhau, cũng đang là một phương
pháp thiết kế được sử dụng rộng rãi trong thiết kế hạ tầng mạng cho các doanh nghiệp, các công ty,
và các tổ chức lớn (gọi tắt là Enterprise).

Phương thức thiết kế Modular có thể được chia làm ba vùng chính, mỗi vùng được tạo bởi các mô
đun mạng nhỏ hơn:
 Enterprise campus: Bao gồm các module được yêu cầu để xây dựng một mạng campus
đỏi hỏi tính sẵn sàng cao, tính mềm dẻo và linh hoạt.
 Enterprise edge: Hội tụ các kết nối từ các thành phần khác nhau tại phía rìa mạng của
Enterprise. Vùng chức năng này sẽ lọc lưu thông từ các module trong Enterprise edge và gửi chúng
vào trong vùng Enterprise campus. Enterprise edge bao gồm tất cả các thành phần thiết bị để đảm
bảo truyền thông hiệu quả và bảo mật giữa Enterprise campus với các hệ thống bên ngoài, các đối
tác, mobile users, và mạng Internet.
 Service provider edge: Các module trong vùng này được triển khai bởi các nhà cung cấp
dịch vụ, chứ không thuộc về Enterprise. Các module trong Service provider edge cho phép truyền
thông với các mạng khác sử dụng các công nghệ WAN và các ISPs khác nhau.

23 | P a g e
 Ví dụ về một hệ thống mạng thiết kế theo phương thức thiết kế Modular:

II.2.3.PHƯƠNG THỨC THIẾT KẾ BẢO MẬT CHO HỆ THỐNG MẠNG

Phương thức thiết kế bảo mật cho hệ thống mạng được sử dụng là Kiến trúc an ninh cho các
Doanh nghiệp – SAFE (Security Architecture for Enterprise Networks), được xây dựng dựa trên nền
tảng các công nghệ an ninh mạng tiên tiến nhất để bảo vệ các cuộc tấn công từ bên ngoài và bên
trong của hệ thống mạng các doanh nghiệp. SAFE đem lại sự linh hoạt và khả năng mở rộng cao
bao gồm khả năng dự phòng vật lý và cấu hình thiết bị khi có sự cố hay bị kẻ xấu tấn công vào hệ
thống mạng. Khái niệm Module được sử dụng trong SAFE giúp cho việc tổ chức hệ thống an ninh
được chặt chẽ và cho phép công việc thiết kế triển khai hệ thống an ninh mạng một cách linh hoạt
theo từng Module một (Module by Module), trong khi vẫn đảm bảo được yêu cầu theo chính sách an
ninh đặt ra cho từng giai đoạn.

Kiến trúc SAFE bao gồm các module sau:

·         Corporate Internet Module: Corporate Internet Module tập trung chủ yếu các kết nối của
người dùng bên trong hệ thống mạng (Internal user) truy cập Internet và các kết nối từ người dùng
bên ngoài (Internet user) truy cập vào hệ thống các máy chủ Public Servers của doanh nghiệp như
HTTP, FTP, SMTP và DNS. Ngoài ra trong Module này còn cung cấp dịch vụ truy cập từ xa bằng
công nghệ VPN hay quay số truyền thống dial-up.
 Campus Module: Campus Module chủ yếu tập trung các máy trạm làm việc, hệ thống máy
chủ và kiến trúc chuyển mạch lớp 2 và lớp 3. Campus Module bao gồm nhiều thành phần hợp nhất
thành một Module thống nhất được mô tả bằng mô hình kết nối tổng quát sau:
Campus Module có cấu trúc thiết kế tương tự mô hình mạng Campus truyền thống và cũng được
chia theo 3 lớp là Core, Distribution và Access Layer. Tuy nhiên ở lớp Access thì Campus Module
được phân làm 3 Module bảo vệ gồm Building Module (users), Management Module và Server
Module. Với sự phân cấp bảo vệ trong Campus Module giúp cho việc thiết lập hệ thống an ninh
mạng được linh động và độc lập giữa các Module, nhờ vậy công việc tổ chức và quản trị trở nên dễ
dàng hơn và giúp cho doanh nghiệp có thể mở rộng, gia cố và khắc phục các vấn đề an toàn cho hệ
thống mạng khi có sự cố xảy ra.
 WAN Module: WAN Module chỉ có một kết nối duy nhất đến các mạng khác cách xa nhau
về mặt địa lý thông qua các đường truyền thuê bao riêng. Các khả năng có thể bảo vệ các cuộc tấn
công vào WAN Module gồm:
o IP spoofing-IP spoofing có  thể được ngăn chặn thông qua Layer 3 filtering
o Unauthorized access—Tránh các truy cập trái phép bằng việc giới hạn và kiểm soát
các kiểu giao thức sử dụng từ chi nhánh kết nối về Trung tâm thông qua Router

II.2.4.NGUYÊN LÝ THIẾT KẾ HỆ THỐNG BẢO MẬT

An ninh mạng phải được thiết lập dựa trên các nguyên tắc sau:

24 | P a g e
 Bảo vệ có chiều sâu (defense in depth): Hệ thống phải được bảo vệ theo chiều sâu, phân
thành nhiều tầng và tách thành nhiều lớp khác nhau. Mỗi tầng và lớp đó sẽ được thực hiện các
chính sách bảo mật hay ngăn chặn khác nhau. Mặt khác cũng là để phòng ngừa khi một tầng hay
một lớp nào đó bị xâm nhập thì xâm nhập trái phép đó chỉ bó hẹp trong tầng hoặc lớp đó thôi và
không thể ảnh hưởng sang các tầng hay lớp khác.
 Sử dụng nhiều công nghệ khác nhau: Không nên tin cậy vào chỉ một công nghệ hay sản
phẩm công nghệ bảo đảm an ninh cho mạng của một hãng nào đó. Bởi nếu như sản phẩm của
hãng đó bị hacker tìm ra lỗ hổng thì dễ dàng các sản phẩm tương tự của hãng đó trong mạng cũng
sẽ bị xuyên qua và việc phân tầng, phân lớp trong chính sách phòng vệ là vô nghĩa. Vì vậy khi tiến
hành phân tầng, tách lớp, nên sử dụng nhiều sản phẩm công nghệ của nhiều hãng khác nhau để
hạn chế nhược điểm trên. Đồng thời sử dụng nhiều cộng nghệ và giải pháp bảo mật kết hợp để
tăng cường sức mạnh hệ thống phòng vệ như phối hợp Firewall làm công cụ ngăn chặn trực tiếp,
IDS làm công cụ "đánh hơi", phản ứng phòng vệ chủ động, Anti-virus để lọc virus...v.v
 Các tiêu chuẩn đáp ứng: Các sản phẩm bảo mật phải đáp ứng một số chứng nhận tiêu
chuẩn như Common Criteria, ISO/IEC 15408:2005 và ISO/IEC 18405:2005 EAL4, ICSA Firewall và
VPN, FIPS-140

Giải pháp mạng lan cho doanh nghiệp

12/12/2017 09:01:PM

Ngày nay, Internet là một phần không thể tách rời với hoạt động kinh doanh của hầu hết các
doanh nghiệp. Xây dựng một hệ thống mạng tiêu chuẩn, ổn định, bảo mật là nền tảng ban
đầu cho sự phát triển vững vàng của doanh nghiệp. Sau đây chúng tôi đề xuất giải pháp
mạng cho doanh nghiệp với số lượng nhân viên trong tương lại không vượt quá 250 người

I)  Hiện trạng và nhu cầu xây dựng hệ thống mạng Lan Doanh Nghiệp.
1) Hiện Trạng
 Xây mới hoàn toàn (hoặc đã có hệ thống mạng nhưng chưa được chuẩn hóa).
 Số lượng nhân viên nhỏ hơn 250 người.
 Chỉ có 1 site với yêu cầu truy cập Internet.
2) Nhu cầu
 Không yêu cầu tính dư thừa và độ sẵn sàng cao khi thiết kế mạng (redundancy and High
Availability)
 Chi phí đầu tư ban đầu hạn chế
 Cung cấp khả năng dễ dàng trong việc quản trị và khắc phục nhanh khi có sự cố xảy ra
 
II) Giải pháp xây dựng hệ thống mạng Lan
1) Các đặc điểm của mô hình này
 Chỉ có một site và có nhu cầu kết nối Internet bằng các loại kết nối như: ADSL, Leaseline
Internet, FTTH, …
 Không yêu cầu tính sẵng sàng cao.
 Số lượng nhân viên dưới 250 người.
 Chi phí đầu tư ban đầu hạn chế.
 Vẫn cung cấp khả năng mở rộng mạng sau này.
2) Số lượng tối đa và loại thiết bị dùng cho mô hình này

25 | P a g e
 1 x core Switch Catalyst 3560 24 port 10/100/1000, IOS IP Base.
 1 x Firewall ASA5510 của Cisco hoặc dòng Firewall tương đương của các hãng khác: lớp lá
chắn bên ngoài
 12 x Access Switch Cisco Catalyst 2960 hoặc dòng Switch tương đương của các hãng khác:
cung cấp kết nối cho người dùng cuối
 1 x Access Switch Cisco Catalyst 2960 24 port 10/100/1000 hoặc dòng switch tương đương
của các hãng khác: cung cấp kết nối cho Internal Server Block
 1 x Access Switch Cisco Catalyst 2960 24 port 10/100/1000 hoặc dòng switch tương đương
của các hãng khác: cung cấp kết nối cho DMZ Block
 Tùy chọn 1 x Internal Firewall ASA5550 của Cisco hoặc dòng Firewall tương đương của các
hãng khác: bảo vệ các server bên trong trước nguy cơ tấn công của người dùng nội bộ
 1 x Internet Router 1841 hoặc 2801 hoặc 2811 kết nối ra Internet
3) Chi phí đầu tư tham khảo (tối đa cho 260 users)
 Liên hệ với chúng tôi để được tư vấn lựa chọn thiết bị phù hợp với điều kiện thực tế của
doanh nghiệp.
4) Mô hình kết nối tổng thể
a)Diagram

b) Giải pháp
 Core Switch Cisco Catalyst 3560 với 24 port GigEthernet và backlane 32Gbps là trung tâm
trong kết nối mạng
 Các Access Switch Catalyst 2960 kết nối với CoreSwitch bằng 2 cổng uplink GigEthernet với
công nghệ Etherchannel gộp 2 link này chạy song song để tạo thành 1 link tốc độ 2Gbps nhằm
tránh nghẽn cổ chai từ Access Switch lên Core Switch đồng thời cung cấp khả năng redundancy
giữa 2 kết nối này, nếu 1 kết nối có vấn đề dữ liệu được tự động chuyển sang kết nối còn lại, quá
trình này là trong suốt với người dùng cuối
 Từ Core Switch kết nối sang khối Internal Server Block với tùy chọn dùng Firewall Internal
(bắt buộc throughput của Firewall này phải >= 1Gbps nhằm tránh tình trạng nghẽn cổ chai dữ liệu

26 | P a g e
 đến các Server) hoặc không dùng Internal Firewall (có thể đầu tư ở phase 2, vì Firewall này có giá
khá cao (tham khảo bảng giá thiết bị dự kiến ở trên))
 Từ Core Switch kết nối sang vùng DMZ và đi ra Internet qua một External Firewall, nhiệm vụ
của Firewall này nhằm bảo vệ người dùng trong mạng trước các nguy cơ từ Internet, đồng thời gới
hạn các truy xuất từ Internet vào vùng DMZ nhằm hạn chế tối đa các truy xuất trái phép từ Internet
vào sâu trong mạng
 Kết nối ra ngoài Internet là 1 gateway Cisco Router, Router này cung cấp các giao diện
(Interface) tương ứng để kết nối với các kiểu đường truyền ra Internet, ví dụ: ADSL, FTTH,
Leaseline, …
5) Phân tích các ưu và khuyết điểm trong mô hình trên:
a) Ưu điểm
 Các Switch có hiệu suất chuyển mạch (Forwarding rate, backplane) phù hợp đáp ứng yêu
cầu của hệ thống. Đặc biệt Core Switch có hiệu suất cao đáp ứng cho tất cả các kết nối từ người
dùng cuối và máy chủ
 Được thiết kế theo cấu trúc mở, tuân thủ các tiêu chuẩn quốc tế về thiết kế, thi công và lắp
đặt
 Chi phí đầu tư ban đầu thấp, thích hợp cho các doanh nghiệp vừa và nhỏ với số lượng
không quá 250 người và yêu cầu về công nghệ không quá phức tạp
 Hệ thống dùng đồng bộ thiết bị của 1 hãng Cisco duy nhất giúp cho sự phối hợp vận hành
giữa các thiết bị đạt hiệu quả cao nhất đồng thời cung cấp khả năng quản trị dễ dàng, uyển chuyển
trong vấn đề phát hiện và khắc phục khi có sự có xảy ra trong thời gian nhanh nhất
 Người quản trị mạng chỉ cần tiếp cận 1 công nghệ từ một hãng duy nhất là Cisco để có thể
quản trị tốt hệ thống mạng, bên cạnh đó hệ thống đào tạo của Cisco tại ViệtNam là mạnh nhất với
rất nhiều trung tâm và hệ thống chứng chỉ của Cisco đã trở thành chuẩn và được công nhận trên
toàn thế giới, có thể kể đến đó là:
 CCNA/CCDA cho cấp độ sơ cấp
 CCNP/CCDP/CCIP/CCSP/CCVP: cấp độ chuyên nghiệp
 CCIE/CCDE: cấp độ chuyên gia
Để quản lý tốt trong mô hình mạng này, quản trị mạng cần có trình độ tương đương mức “CCxP”
(recommand: CCNP, CCSP). Để tối ưu chi phí, Khách hàng có thể sử dụng dịch vụ Hỗ trợ nhân
lực CNTT - cho thuê IT của chúng tôi.
b) Khuyết điểm
 Chỉ có thể mở rộng tối đa đến 250 người, nếu muốn mở rộng lớn hơn phải thay thế lại mô
hình lại mạng và thiết bị
 Không có tính redundancy, trong trường hợp các thiết bị quan trọng gặp sự cố sẽ ảnh
hưởng đến sự hoạt động của mạng, có thể kể đến như sau:
 Core Switch gặp sự cố: toàn bộ mạng sẽ gặp sự cố, các user không thể truy cập
Internet, Internet Server, Internet, …
 External Firewall gặp sự cố: tất cả người dùng nội bộ vẫn có thể truy xuất đến nhau,
truy xuất đến Internet Server Block nhưng không thể truy xuất ra ngoài Internet cũng như ở ngoài
Internet không thể truy xuất các dịch vụ (Mail Server, Web Server, …) đặt tại vùng DMZ
 Internet Router gặp sự cố: tất cả người dùng nội bộ vẫn có thể truy xuất đến nhau,
truy xuất đến Internet Server Block, truy xuất đến các dịch vụ đặt trong vùng DMZ nhưng không thể
truy xuất ra ngoài Internet cũng như ở ngoài Internet không thể truy xuất các dịch vụ (Mail Server,
Web Server, …) đặt tại vùng DMZ

27 | P a g e
Giải pháp WiFi diện rộng
12/12/2017 08:53:PM

Giải pháp WiFi diện rộng cho Khách sạn, resort, trường học, nhà máy
 

Bạn đang tim kiếm giải pháp WiFi diện rộng, cung cấp kết nối không dây cho người dùng, thiết bị
di động cho các khu vực rộng lớn: Trường học, ký túc xá, khách sạn, resort, nhà máy, ... với
chi phí hợp lý. Sao Thiên Vương cung cấp giải pháp WiFi diện rộng phù hợp với tất cả các yêu cầu
của khách hàng về hệ thống WiFi phục vụ cho tất cả các mục đích.

Công ty Sao Thiên Vương, đối tác phân phối thiết bị, giải pháp WiFi của các hãng công nghệ khác
nhau, chúng tôi cam kết tư vấn, cung cấp cho khách hàng giải pháp WiFi diện rộng phù hợp nhất
với các yêu cầu khác nhau của khách hàng, với chi phí hợp lý nhất.

Giải pháp WiFi diện rộng, thông thường các vị trí chính - địa điểm kết nối không dây - wireless với
nhau. Với thiết bị Access Point chuyên dụng, trang bị antena sector công suất phát sóng cao, có
góc mở lên đến 120 độ, đặt ở vị trí tung tâm để thu và phát sóng.

Các thiết bị Clients trang bị antena chuyên dụng định hướng (CPE antena) để kết nối về thiêt bị thu

28 | P a g e
phát trung tâm.

Với các kết nối ở trên, có thể gọi là wireless backbone, cung cấp kết nối chính cho hệ thống
WiFi diện rộng, thay cho cáp kết nối các điểm lại với nhau.

Thiết bị di động, người dùng mạng WiFi kết nối đến hệ thống thông qua các thiết bị Access Point kết
nối vào mạng Wireless backbone xây dựng ở trên.

29 | P a g e
Bên dưới là 1 số sản phẩm chuyên dụng dùng cho hệ thống WiFi diện rộng của hãng MikroTik

Quý khách hàng có nhu cầu tư vấn, triển khai hệ thống WiFi diện rộng cho Trường học, ký túc
xá, khách sạn, resort, nhà máy, ... với chi phí hợp lý. Liên hệ với chung tôi để được tư vấn.
 

30 | P a g e
31 | P a g e