CÔNG TY CÔNG NGHỆ HT BẮC NINH
TÀI LIỆU TRIỂN KHAI HỆ THỐNG
DỰ ÁN: Cung cấp và triển khai thiết bị mạng và thoại cho
công ty Georim Tech Vina
CHỦ ĐẦU TƯ: CƠNG TY TNHH GEORIM TECH VINA
Số hiệu HSTK:
Trụ sở chính: Thôn Dương Húc, Xã Đại Đồng, Huyện Tiên Du, Tỉnh Bắc Ninh; Điện thoại: +843 726 283 82
Năm 2021
Page 1/101
Page 2/101
3
MỤ C L Ụ C
I.
TỔNG QUAN ........................................................................................................... 7
II.
I.1.
Mục đích tài liệu ......................................................................... 7
I.2.
Nội dung tài liệu .......................................................................... 7
I.3.
Đối tượng tài liệu ......................................................................... 7
I.4.
Thuật ngữ và định nghĩa ................................................................. 7
I.5.
Tài liệu tham khảo ....................................................................... 7
I.6.
Yêu cầu thiết kế .......................................................................... 7
NỘI DUNG 9
II.1.
II.2.
II.3.
II.4.
II.5.
II.6.
II.7.
Danh mục thiết bị của dự án ............................................................. 9
Mơ hình kết nối..........................................................................11
Quy hoạch hệ thống .....................................................................14
II.3.1.
II.3.2.
II.3.3.
II.3.4.
II.3.5.
II.3.6.
Quy hoạch IP VLAN - .................................................................14
Quy hoạch IP quản trị .................................................................16
Quy hoạch định tuyến .................................................................18
Bảng quy hoạch Access Control List và CLASS Core Switch ......................19
Quy hoạch Spaning Tree ..............................................................20
Quy hoạch link aggregation (LACP) .................................................22
II.4.1.
II.4.2.
Quy hoạch vai trị WLC ...............................................................23
Chính sách xác thực và mã hóa bảo mật ..............................................23
II.6.1.
II.6.2.
Mô tả chung ............................................................................24
Mô tả luồng dữ liệu từ các phân vùng mạngError! Bookmark not defined.
WiFi Controller..........................................................................23
Chính sách truy cập mạng ..............................................................23
Luồng dữ liệu luân chuyển trong hệ thống .............................................24
Thiết kế chi tiết hệ thống................................................................37
II.7.1.
Phòng máy chủ......................................................................... 37
II.7.1.1.
Sơ đồ tủ rack ..................................................................37
II.7.1.2.
Bảng mapping port ...........................................................40
II.7.2.
Trung tâm Tầng ........................................................................44
II.7.2.1.
Sơ đồ tủ rack Tầng Hầm ......................................................44
II.7.2.2.
Sơ đồ tủ rack Tầng 1..........................................................44
II.7.2.3.
Sơ đồ tủ rack Tầng 2..........................................................45
II.7.2.4.
Sơ đồ tủ rack Tầng 3 - 8 .....................................................46
II.7.2.5.
Sơ đồ kết nối ..................................................................47
II.7.2.6.
Bảng mapping port ...........................................................48
III. CẤU HÌNH HỆ THỐNG .......................................................................................... 50
III.1. Core Switch HPE 4500 .................................................................50
III.1.1. Cấu hình VSF ..........................................................................50
III.1.2. Cấu hình cơ bản .............................. Error! Bookmark not defined.
III.1.3. Cấu hình LACP ........................................................................ 52
III.1.4. Cấu hình định tuyến ................................................................... 54
III.1.5. Cấu hình Policy Based Routing PBR .................................................55
III.1.5.1 Cấu hình Access-list extended và CLASS ........................................55
III.1.5.2 Cấu hình Policy Based Routing ...................................................56
III.1.5.3 Cấu hình Interface .................................................................57
III.1.6. Cấu hình DHCP Relay ................................................................57
III.1.7. Cấu hình DHCP ........................................................................58
III.1.8. Cấu hình Spanning Tree Protocol (STP) .............................................58
III.2. Cấu hình Access switch 1820 và 1920S ...............................................59
1.1. Cấu hình Switch Access cơ bản ........................................................59
1.2. Cấu hình VLAN .........................................................................60
4
1.3.
1.4.
1.5.
III.3.
Cấu hình IP cho Vlan MGMT .........................................................63
Cấu hình Spanning Tree ................................................................63
Cấu hình LACP (link-aggregation) .....................................................64
Cấu hình Router Internet ................................................................64
III.3.1.
III.3.2.
Cấu hình cơ bản ........................................................................64
Cấu hình IP các cổng: .................................................................65
III.4.1.
III.4.2.
Cấu hình cơ bản ........................................................................67
Cấu hình IP các cổng: .................................................................67
III.4. Cấu hình Router Wan ...................................................................67
III.5. Cấu hinh Firewall .......................................................................69
III.5.1.
III.5.2.
III.5.3.
Cấu hình cơ bản] .......................................................................69
Cấu hình Chassis Cluster ..............................................................69
Cấu hình Policy giữa các vùng ........................................................71
III.6. CẤU HÌNH WIRELESS LAN CONTROLER ........................................72
III.6.1.
III.6.2.
III.6.3.
III.6.4.
III.6.5.
Cấu hình cơ bản ........................................................................72
Cấu hình interface .....................................................................73
Cấu hình Wireless controller ..........................................................75
SSID CONFIG .........................................................................77
Access Point ...........................................................................81
III.7. Cấu hình tổng đài........................................................................83
III.7.1. Mơ tả chung ............................................................................83
III.7.2. Lắp đặt – kết nối .......................................................................83
III.7.3. Cấu hình hệ thống .....................................................................84
III.7.3.1.
Thơng tin hệ thống ............................................................84
III.7.3.2.
Cấu hình địa chỉ IP ...........................................................85
III.7.3.3.
Cấu hình thuê bao .............................................................85
III.7.3.4.
Cấu hình trung kế E1 - ISDN ................................................89
5
Thông tin chung về tài liệu
Quản trị dự án:
Người lập:
Mã tài liệu:
Quản lý phiên bản
Ngày
Phiên
bản
Tác giả
Mô tả
6
Trang ký
Người lập:
Ngày:
Chức danh:
Cán bộ xem xét :
Ngày:
Chức danh:Quản trị dự án
Cán bộ xem xét Ban CNTT:
Ngày:
Chức danh:
Ngày
tháng
năm 2017
ĐẠI DIỆN BAN CNTT
Ngày
tháng
năm 2017
ĐẠI DIỆN CÔNG TY HT
Nguyễn Đăng Hanh
7
I. TỔNG QUAN
I.1.
Mục đích tài liệu
Tài liệu này trình bày nội dung thiết kế các thiết bị mạng.
Bao gồm các router, firewall core switch, access switch, và thiết bị wifi
I.2.
Nội dung tài liệu
Nội dung tài liệu bao gồm:
I.3.
-
Danh mục thiết bị
-
Thiết kế hệ thống mạng
Đối tượng tài liệu
Đối tượng của tài liệu bao gồm:
I.4.
-
Các kỹ sư trong nhóm triển khai của nhà thầu
-
Các kỹ sư vận hành khai thác của khách hàng
Thuật ngữ và định nghĩa
STT/
No
Thuật ngữ/
Terminology
1
HT
2
CNTT
Định nghĩa /
Description
Công ty công nghệ HT Bắc Ninh
Công nghệ thông tin
3
4
5
6
I.5.
Tài liệu tham khảo
I.6.
Yêu cầu thiết kế
Thiết kế yêu cầu đảm bảo
-
Thể hiện được các yêu cầu trong thiết kế mức cao
-
Đủ các thông tin cần thiết cho việc triển khai
-
Đảm bảo giảm thiểu thời gian cần làm rõ, trao đổi giữa đơn vị triển khai
8
và khách hàng trong quá trình triển khai
-
Thuận tiện cho quá trình vận hành hệ thống sau khi đưa vào sử dụng
-
Đảm bảo tính sẵn sàng cao của hệ thống khi có 1 thành phần lỗi
9
II. NỘI DUNG
II.1. Danh mục thiết bị của dự án
STT
A
1
Mã Hiệu
Miêu tả thiết bị
Thiết bị phòng
máy chủ - Tầng
hầm 1
HPE 5400R Modular Core Switch - 6-I/O Slots, Support Dual
Management Module,2 x PSUs, Full Layer 3, Stackable, Lifetime
Warranty
J9821A
Aruba 5406R zl2 Switch
SL
2
1
J9828A
Aruba 5400R 700W PoE+ zl2 PSU
1
J9852A
HPE X450 4U/7U Univ 4-post Rackmount Kit
1
H7J32A3
HPE 3Y Foundation Care NBD Service
1
HPE Aruba 5406R zl2 Switch Supp
1
J9988A
Aruba 24p 1GbE SFP v3 zl2 Mod
1
J9987A
J9993A
Aruba 5400R 24-port 10/100/1000BASE-T with MACsec
v3 zl2 Module
Aruba 8-port 1G/10GbE SFP+ MACsec v3 zl2 Module
J9285B
HPE X242 10G SFP+ to SFP+ 7m DAC Cable
H7J32A3
XP5
1
1
2
2
Router
Router Juniper
SRX 340 / JSB
2
3
Firewall
Juniper SRX 345
/ JSB
2
5
6
Wireless LAN
Controller
HPE Aruba 7205 Mobility Controller (HA)
2
JW735A
Aruba 7205 (RW) 2-port 10GBASE-X (SFP+) Controller
1
H3CW3E
Aruba 1Y FC NBD Exch 7205 Controller SVC [for JW735A]
1
JW127A
PC-AC-UK UK AC Power Cord
Aruba SPR-4RK-MNT 7200 Series / S3500 Spare FourPost 19 Rack-Mount Kit
1
JW108A
Licence Access
point, Include
license AP
JW472AAE
7
57
Aruba LIC-AP Controller per AP Capacity License E-LTU
Module quang
Multi mode 1G (
kết nối Core
Switch về các
distribution
switch tầng)
J4858C
1
1
20
HPE X121 1G SFP LC SX Transceiver
1
8
Server HP DL 380 G9 (2 CPU E5-2630v4, Ram 32GB , 2xSSD 120 GB,
4xHDD 600GB SAS 10k SFF SC)
4
9
ODF 96 FO
2
Mối hàn quang
80
10
10
11
12
13
14
B
1
2
3
4
Dây nhảy quang
duplex MM, SCLC
Patchpanel
48port
3
Tủ Rack Phòng
server 42U
3
UPS online
10kVA
Thiết bị tủ kỹ
thuật tầng hầm
B1 và tầng 1 -8
- Mạng nội bộ
Distribution
Switch 24 Port,
4SFP
APC Smart-UPS On-Line SRT 10000VA 230V
Rackmount
JL259A
Access Switch 24
Port, 2SFP
Aruba 2930F 24G 4SFP Switch
JL381A
Access Switch 24
Port PoE, 2SFP
HPE 1920S 24G 2SFP Switch
JL385A
HPE 1920S 24G 2SFP PoE+ 370W Switch
JW047A
Module quang
MM 1G ( kết nối
Access Switch
tầng lền Core
Switch )
Aruba AP-305 802.11n/ac 2x2:2/3x3:3 MU-MIMO Dual
Radio Integrated Antenna AP
AP-220-MNT-W1W Flat Surface Wall/Ceiling White AP
Basic Flat Surface Mount Kit
UPS APC Smart-UPS RT 3KVA ONLINE, 230V
C
Khu vực thương
mại
10
11
1
1
20
UPS online 3kVA
9
1
57
12
8
1
24
HPE X121 1G SFP LC SX Transceiver
7
1
28
J4858C
Mối hàn quang
Dây nhảy quang
duplex MM, SCLC
Dây nhảy cáp
đồng
ODF MM , SC
24fo
Patchpanel
48port
Tủ Rack tầng
42U
6
2
18
Bộ phát wifi khu
vực sử dụng
chung
JX936A
5
40
1
0
40
Dây nhảy cáp đồng Patch cord Utp Cat6 , 2m
0
10
0
0
9
11
1
2
3
Tổng đài IP
phone
IP phone cho
người dùng
IP Phone Màn
Hình to
4
DP750
5
DP720
6
CRM
II.2. Mơ hình kết nối
Tổng đài IP Grandstream UCM 6510
- Dung lượng 2 đường vào bưu điện, 2 máy lẻ analog, 1
luồng E1, Siptrunk khơng giới hạn, 2000 máy lẻ IP.Có thể
Kết nối 1800xxx, 1900xxx
- 2 cổng mạng Gigabit, 2 nguồn vào
- Chức năng lời chào trả lời tự động
- Chức năng họp hội nghị nhiều bên
- Chức năng video call
- Chức năng thông báo tự động các dịch vụ
- Ghi âm cuộc gọi cho từng máy lẻ
- Call log lưu trên tổng đài không giới hạn
- Sử dụng máy lẻ trên PC và Smartphone
- Bảo hành 2 năm
2
GXP1625
300
GXP2140
10
Trạm thu phát không dây dectphone cầm tay – Cho phép
kết nôi 5 tay
con không dây DP720
DP720 – Máy điện thoại cầm tay không dây
dectphone, màn hình mầu 1.8”, 10 sip account, jack
tai nghe 3.5mm, âm thanh HD,
Phần mềm tra cứu thông tin khách hàng. Hỗ trợ
Hotline:
- Modul call center quản lý thông tin khách hàng không
giới hạn agent.
- Hiển thị POPUP thông tin người gọi đến, gọi đi trên PC
- Log cuộc gọi, ghi chú cuộc gọi, phân loại khách hàng,
chuyển tiếp cuộc gọi
- Quản lý trạng thái các agent, cho phép nghe xen, ngắt
các agent, cảnh báo cuộc gọi dài,
- Click to call hoặc đánh số đế gọi,
- Thống kê báo cáo chi tiết cuộc gọi, thời gian gọi đến, gọi
đi, gọi nhỡ, tổng số cuộc gọi...
10
10
1
12
Page 12/101
13
Trong đó về mặt vật lý:
o
02 router Juniper SRX 340 đóng vai trị WAN router và Internet router, kết nối
người dùng về tập đoàn và internet.
o
02 firewall Juniper SRX 345 chạy chế độ Cluster, cung cấp khả năng bảo mật
cho mạng LAN.
o
02 switch HPE 5406z tại phòng máy chủ chạy stack với nhau tạo thành 1 thiết
bị Core Switch logic. Trên Core switch, sử dụng 08 kết nối 1Gb/s đồng LACP
để kết nối với 02 firewall và Trên Core switch, sử dụng 04 kết nối 1Gb/s đồng
LACP để kết nối với 02 router
o
Tại TT mạng từ Tầng hầm đến tầng 8 có 02 switch Aruba 2930F chạy stack
với nhau tạo thành 1 thiết bị Distribution switch. Core switch và distribution
switch kết nối quang với nhau thông qua 2 link tốc độ 1Gb/s, 2 link này được
cấu hình LACP để tăng băng thơng và dự phịng cho nhau.
o
Các Distribution tại mỗi tầng nối với Access switch với nhau tại trung tâm đó
thơng qua cổng đồng link tốc độ 1Gb/s.
o
Các thiết bị Wireless Controller (WLC) đặt tại phòng máy chủ được kết nối
thẳng với Core switch. Mỗi WLC sử dụng kết nối đồng với nhau thông qua 2
link tốc độ 1Gb/s, 2 link này được cấu hình LACP để tăng băng thơng và dự
phòng cho nhau.
o
Các Access Point được cắm vào các switch Access PoE và được quản lý bởi
WLC. Sử dụng các switch PoE để cấp nguồn cho Access Point.
o
Từ các switch Access, sử dụng cổng cooper tốc độc 1Gb/s để kết nối các thiết
bị đầu cuối.
14
II.3. Quy hoạch hệ thống
II.3.1.
Quy hoạch IP VLAN
VLAN SITE PLAN
ID NAME
NETWORK LOCAL:Network: 10.212.168.0/21
INTERNET PUBLIC: Network: 172.16.0.0/16
DESCRIPTION
SUBNET
168
USERTH
Vlan kết nối PC tầng hầm
10.212.168.0/23
170
USERT1
Vlan kết nối PC tầng 1
10.212.170.0/24
171
USERT2
Vlan kết nối PC tầng 2
10.212.171.1/25
172
USERT3
Vlan kết nối PC tầng 3
10.212.171.128/25
173
USERT4
Vlan kết nối PC tầng 4
10.212.172.1/25
174
USERT5
Vlan kết nối PC tầng 5
10.212.172.128/25
175
USERT6
Vlan kết nối PC tầng 6
10.212.173.1/25
176
USERT7
Vlan kết nối PC tầng 7
10.212.173.128/25
177
USERT8
Vlan kết nối PC tầng 8
10.212.174.1/25
178
SERVER
Vlan cho Server
10.212.174.128/25
Interface vlan
Interface vlan 168
10.212.168.1
Interface vlan 170
10.212.170.1
Interface vlan 171
10.212.171.1
Interface vlan 172
10.212.171.129
Interface vlan 173
10.212.172.1
Interface vlan 174
10.212.172.129
Interface vlan 175
10.212.173.1
Interface vlan 176
10.212.173.129
Interface vlan 177
10.212.174.1
Interface vlan 178
10.212.174.129/25
Note
Policy Based Routing:
POLICY_INSIDE
Page 14/101
15
180
INSIDE-FW
Vlan kết nối Core và inside firewall
10.212.175.0/29
181
OUTSITE-FW
Vlan kết nối Core và outside firewall
10.212.175.16/29
182
WAN-ROUTER
Kết nối Core với WAN Router
10.212.175.32/29
183
INET-ROUTER
Kết nối Core với Internet Router
10.212.175.48/29
Vlan kết nối VPN Router02
10.212.175.64/29
Vlan kết nối VPN Router01
10.212.175.72/29
10.212.175.128/25
184
VPN_ROUTER
185
MGMT
Vlan quản trị thiết bị
186
GUEST_WIFI
Vlan cho khách kết nối wifi ở khu vực
172.16.0.0/22
khách sạn
187
AP
Vlan kết nối các AP
172.16.16.0/24
188
IPTV
Vlan kết nôi các IPTV
172.16.17.0/24
Interface vlan 180
10.212.175.1/29
Interface vlan 181
10.212.175.17/29
Interface vlan 182
10.212.175.33/29
Interface vlan 183
10.212.175.49/29
Interface vlan 184
10.212.175.65/29
Interface vlan 184
10.212.175.73/29
Interface vlan 185
10.212.175.129/25
Interface vlan 186
172.16.0.1/22
Interface vlan 187
172.16.16.1/24
Interface vlan 188
172.16.17.1/24
Policy Based Routing:
POLICY_OUTSIDE
Policy Based Routing:
POLICY_INSIDE
Access List: 100
Page 15/101
16
II.3.2.
STT
1
1.1
1.2
1.3
1.4
1.5
1.6
1.7
1.8
1.9
1.10
1.11
2.
2.1
2.2
2.3
2.4
2.5
2.6
2.7
2.8
2.9
3.
3.1
3.2
3.3
3.4
3.5
3.6
3.7
3.8
3.9
4.
4.1
4.2
4.3
4.4
4.5
4.6
4.7
4.8
5.
Quy hoạch IP quản trị
NAME
DEVICE
Thiết bị phòng máy chủ
HPH-HPE5400VSF-COR-01
HPE5406Z
HTI-SRX345CLS-F-COR-01
SRX345
HPH-SRX340-R-INT
SRX340
HPH-SRX340-R-WAN
SRX340
HPH-ARUBA7205-CTL
ARUBA7205
HPH-ARUBA7205-CTL-01
ARUBA7205
HPH-ARUBA7205-CTL-02
ARUBA7205
HPH-APC10kVA-UPS-01
APC 10KVA
HPH-APC10kVA-UPS-01
APC 10KAV
UCM6510
HPH-UCM6510-PABX-01
UCM6510
HPH-UCM6510-PABX-02
Thiết bị distribution switch tại TT các tầng.
HPH-TH-DIS-SW
ARUBA 2930F
HPH-T1-DIS-SW
ARUBA 2930F
HPH-T2-DIS-SW
ARUBA 2930F
HPH-T3-DIS-SW
ARUBA 2930F
HPH-T4-DIS-SW
ARUBA 2930F
HPH-T5-DIS-SW
ARUBA 2930F
HPH-T6-DIS-SW
ARUBA 2930F
HPH-T7-DIS-SW
ARUBA 2930F
HPH-T8-DIS-SW
ARUBA 2930F
Thiết bị switch access tại TT Tầng hầm.
HPH-TH-ACC-01
HPE 1920S
HPH-TH-ACC-02
HPE 1920S
HPH-TH-ACC-03
HPE 1920S
HPH-TH-ACC-04
HPE 1920S
HPH-TH-ACC-05
HPE 1920S-PoE
HPH-TH-ACC-06
HPE 1920S-PoE
HPH-TH-ACC-07
HPE 1920S-PoE
HPH-TH-ACC-08
HPE 1920S-PoE
HPH-TH-ACC-08
HPE 1920S-PoE
Thiết bị switch access tại TT Tầng 1
HPH-T1-ACC-01
HPE 1920S
HPH-T1-ACC-02
HPE 1920S
HPH-T1-ACC-03
HPE 1920S
HPH-T1-ACC-04
HPE 1920S-PoE
HPH-T1-ACC-05
HPE 1920S-PoE
HPH-T1-ACC-06
HPE 1920S-PoE
HPH-T1-ACC-07
HPE 1920S-PoE
HPH-T1-ACC-08
HPE 1920S-PoE
Thiết bị switch access tại TT Tầng 2
MGT IP
ADDRESS
USER/PASS
10.212.175.129/25
10.212.175.130/25
10.212.175.131/25
10.212.175.132/25
10.212.175.133/25
10.212.175.134/25
10.212.175.135/25
10.212.175.136/25
10.212.175.137/25
10.212.175.138/25
10.212.175.139/25
Admin/grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/Vingroup123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
10.212.175.140/25
10.212.175.141/25
10.212.175.142/25
10.212.175.143/25
10.212.175.144/25
10.212.175.145/25
10.212.175.146/25
10.212.175.147/25
10.212.175.148/25
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
10.212.175.150/25
10.212.175.151/25
10.212.175.152/25
10.212.175.153/25
10.212.175.154/25
10.212.175.155/25
10.212.175.156/25
10.212.175.157/25
10.212.175.158/25
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
10.212.175.161/25
10.212.175.162/25
10.212.175.163/25
10.212.175.164/25
10.212.175.165/25
10.212.175.166/25
10.212.175.167/25
10.212.175.168/25
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
17
STT
5.1
5.2
5.3
5.4
5.5
5.6
6.
6.1
6.2
6.3
6.4
6.5
7
7.1
7.2
7.3
7.4
7.5
8.
8.1
8.2
8.3
8.4
8.5
9.
9.1
9.2
9.3
9.4
9.5
10.
10.1
10.2
10.3
10.4
10.5
11.
11.1
11.2
11.3
11.4
11.5
12
NAME
DEVICE
HPH-T2-ACC-01
HPE 1920S
HPH-T2-ACC-02
HPE 1920S
HPH-T2-ACC-03
HPE 1920S
HPH-T2-ACC-04
HPE 1920S
HPH-T2-ACC-05
HPE 1920S-PoE
HPH-T2-ACC-06
HPE 1920S-PoE
Thiết bị switch access tại TT Tầng 3
HPH-T3-ACC-01
HPE 1920S
HPH-T3-ACC-02
HPE 1920S
HPH-T3-ACC-03
HPE 1920S
HPH-T3-ACC-04
HPE 1920S-PoE
HPH-T3-ACC-05
HPE 1920S-PoE
Thiết bị switch access tại TT Tầng 4
HPH-T4-ACC-01
HPE 1920S
HPH-T4-ACC-02
HPE 1920S
HPH-T4-ACC-03
HPE 1920S
HPH-T4-ACC-04
HPE 1920S-PoE
HPH-T4-ACC-04
HPE 1920S-PoE
Thiết bị switch access tại TT Tầng 5
HPH-T5-ACC-01
HPE 1920S
HPH-T5-ACC-02
HPE 1920S
HPH-T5-ACC-03
HPE 1920S
HPH-T5-ACC-04
HPE 1920S-PoE
HPH-T5-ACC-05
HPE 1920S-PoE
Thiết bị switch access tại TT Tầng 6
HPH-T6-ACC-01
HPE 1920S
HPH-T6-ACC-02
HPE 1920S
HPH-T6-ACC-03
HPE 1920S
HPH-T6-ACC-04
HPE 1920S-PoE
HPH-T6-ACC-05
HPE 1920S-PoE
Thiết bị switch access tại TT Tầng 7
HPH-T7-ACC-01
HPE 1920S
HPH-T7-ACC-02
HPE 1920S
HPH-T7-ACC-03
HPE 1920S
HPH-T7-ACC-04
HPE 1920S-PoE
HPH-T7-ACC-05
HPE 1920S-PoE
Thiết bị switch access tại TT Tầng 8
HPH-T8-ACC-01
HPE 1920S
HPH-T8-ACC-02
HPE 1920S
HPH-T8-ACC-03
HPE 1920S
HPH-T8-ACC-04
HPE 1920S-PoE
HPH-T8-ACC-05
HPE 1920S-PoE
AP WIFI
MGT IP
ADDRESS
10.212.175.171/25
10.212.175.172/25
10.212.175.173/25
10.212.175.174/25
10.212.175.175/25
10.212.175.176/25
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
10.212.175.177/25
10.212.175.178/25
10.212.175.179/25
10.212.175.180/25
10.212.175.181/25
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
10.212.175.182/25
10.212.175.183/25
10.212.175.184/25
10.212.175.185/25
10.212.175.186/25
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
10.212.175.187/25
10.212.175.188/25
10.212.175.189/25
10.212.175.190/25
10.212.175.191/25
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
10.212.175.192/25
10.212.175.193/25
10.212.175.194/25
10.212.175.195/25
10.212.175.196/25
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
10.212.175.197/25
10.212.175.198/25
10.212.175.199/25
10.212.175.200/25
10.212.175.201/25
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
10.212.175.202/25
10.212.175.203/25
10.212.175.204/25
10.212.175.205/25
10.212.175.206/25
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
Admin/ grtvn@123
USER/PASS
18
STT
DEVICE
NAME
AP1-AP56
MGT IP
ADDRESS
172.16.16.1254/24
AP305
II.3.3.
USER/PASS
Quy hoạch định tuyến
Trên Core Switch:
- Định tuyến OSPF
DEVICE
AREA
151
HPH- HPE5400VSFCOR-01
INTERFACE
Vlan 182, 183
Mode
Active
Vlan 168, 170, 171,172,
173, 174....
Passive
- Định tuyến theo chính sách PBR
DEVICE
HPHHPE5400VSFCOR-01
ROUTE
NEXT-HOP
Source 0.0.0.0/0
10.212.175.1
Destination 0.0.0.0/0
Source 0.0.0.0/0
Destination
10.0.0.0/8
10.212.175..17
NOTE
- Lái tồn bộ traffic của
người dùng qua firewall
inside để lọc
- Áp dụng cho các
interface vlan nội bộ
- Lái toàn bộ traffic trả về
qua firewall outside để
lọc
- Áp dụng cho các
interface vlan Router,
Server, WAN
Trên Firewall:
- Định tuyến thông thường
DEVICE
ROUTE
NEXT-HOP
0.0.0.0/0
10.212.175.18
10.0.0.0/8
10.212.175.2
HPH-SRX345CLSF-COR-01
NOTE
Default route trên firewall
đẩy trở lại core switch qua
cổng outside
Định tuyến tĩnh cho phép
firewall đẩy return traffic
về core switch qua cổng
inside
Trên Router Internet:
- Định tuyến tĩnh Static Route
DEVICE
ROUTE
NEXT-HOP
NOTE
19
HPH-SRX340-R-INT01
0.0.0.0/0
Internet 1
Route internet 1
0.0.0.0/0
Internet 2
Route internet 2
10.0.0.0/8
WAN
Dự phòng cho
Router WAN
- Định tuyến động OSPF
DEVICE
AREA
151
INTERFACE
Ae0.183
Mode
Active
HPH-SRX340-R-INT-01
- Quảng bá vào OSPF
DEVICE
EXPORT
0.0.0.0/0
HPH-SRX340-R-INT
10.0.0.0/8 if active
HPH-SRX340-R-INT
NOTE
Quảng bá route ra
internet vào OSPF
Dự phòng cho
Router WAN
Trên Router WAN:
- Định tuyến thơng thường
DEVICE
HPH-SRX340-R-WAN
ROUTE
NEXT-HOP
10.0.0.0/8
WAN 1
10.0.0.0/8
WAN 2
0.0.0.0/0
Internet
NOTE
Route về tập
đồn qua WAN 1
Route về tập
đồn qua WAN 2
Dự phịng cho
Router Internet
- Định tuyến động OSPF
DEVICE
AREA
151
INTERFACE
Ae0.182
Mode
Active
HPH-SRX340-R-WAN
- Quảng bá vào OSPF
DEVICE
EXPORT
10.0.0.0/8
HPH-SRX340-R-WAN
0.0.0.0/0 if active
HPH-SRX340-R-WAN
II.3.4.
NOTE
Quảng bá route
sang tập đồn vào
OSPF
Dự phịng cho
Router Internet
Bảng quy hoạch Access Control List và CLASS Core Switch
20
ACL &
Policy
100
CLASS
Rule
From Address
9, 10
172.16.0.0/16
To
Address
10.0.0.0/8
11,12
172.16.0.0/22
0.0.0.0/0
0.0.0.0/0
INSIDE
9,10,1 0.0.0.0/0
1,12
CLASS
9,10
10.0.0.0/8
0.0.0.0/0
OUTSIDE
II.3.5.
Action
Deny
Interface
Interface vlan
wifi Guest,
IPTV
(interface vlan
300,310,329)
Cấm
người
dùng
wifi truy
cập
mạng
nội bộ
Accept interface vlan
Cho
wifi Guest,
phép
IPTV
người
(interface vlan dùng
300,310,329)
wifi truy
cập
mạng
Internet
Accept - Interface vlan Class
User all
này
(interface vlan dùng
170 - 176)
cho
PBR để
set nexthop về
firewall
inside
Accept - Interface vlan Class
Wan-Router
này
(interface vlan dùng
182)
cho
- Interface vlan PBR để
Inet-Router
set next(interface vlan hop về
183 )
firewall
outside
Quy hoạch Spaning Tree
DEVICE
Note
BRIDGE
PRIORITY
ROLE
HPH-HPE5400VSF-COR-01
4k
Root
HPH-TH-DIS-SW
32k
member
HPH-TH-ACC-01
32k
member
HPH-TH-ACC-02
32k
member
21
DEVICE
BRIDGE
PRIORITY
ROLE
HPH-TH-ACC-03
32k
member
HPH-TH-ACC-04
32k
member
HPH-TH-ACC-05
32k
member
HPH-TH-ACC-06
32k
member
HPH-TH-ACC-07
32k
member
HPH-TH-ACC-08
32k
member
HPH-TH-ACC-09
32k
member
HPH-TH-ACC-10
32k
member
HPH-T1-DIS-SW
32k
member
HPH-T1-ACC-01
32k
member
HPH-T1-ACC-02
32k
member
HPH-T1-ACC-03
32k
member
HPH-T1-ACC-04
32k
member
HPH-T1-ACC-05
32k
member
HPH-T1-ACC-06
32k
member
HPH-T1-ACC-07
32k
member
HPH-T2-DIS-SW
32k
member
HPH-T2-ACC-01
32k
member
HPH-T2-ACC-02
32k
member
HPH-T2-ACC-03
32k
member
HPH-T2-ACC-04
32k
member
HPH-T2-ACC-05
32k
member
HPH-T2-ACC-06
32k
member
HPH-T2-ACC-07
32k
member
HPH-T2-ACC-08
32k
member
HPH-T3-DIS-SW
32k
member
HPH-T3-ACC-01
32k
Member
HPH-T3-ACC-02
32k
member
HPH-T3-ACC-03
32k
member
HPH-T3-ACC-04
32k
member
HPH-T3-ACC-05
32k
member
HPH-T4-DIS-SW
32k
member
22
DEVICE
BRIDGE
PRIORITY
ROLE
HPH-T4-ACC-01
32k
member
HPH-T4-ACC-02
32k
member
HPH-T4-ACC-03
32k
member
HPH-T4-ACC-04
32k
member
HPH-T5-DIS-SW
32k
member
HPH-T5-ACC-01
32k
member
HPH-T5-ACC-02
32k
Member
HPH-T5-ACC-03
32k
member
HPH-T5-ACC-04
32k
member
HPH-T6-DIS-SW
32k
Member
HPH-T6-ACC-01
32k
member
HPH-T6-ACC-02
32k
member
HPH-T6-ACC-03
32k
member
HPH-T6-ACC-04
32k
member
HPH-T7-DIS-SW
32k
member
HPH-T7-ACC-01
32k
member
HPH-T7-ACC-02
32k
member
HPH-T7-ACC-03
32k
member
HPH-T7-ACC-04
32k
member
HPH-T8-DIS-SW
32k
Member
HPH-T8-ACC-01
32k
member
HPH-T8-ACC-02
32k
member
HPH-T8-ACC-03
32k
member
HPH-T8-ACC-04
32k
member
II.3.6.
Quy hoạch link aggregation (LACP)
GROUP LACP
INTERFACE
CONNECT TO:
Trk1
Trk2
Trk3
Trk4
Trk5
Trk6
Trk7
1/C1, 2/C1
1/C2, 2/C2
1/C3, 2/C3
1/C4, 2/C4
1/C5, 2/C5
1/C6, 2/C6
1/C7, 2/C7
LACP HPH-T1-DIS-SW
LACP HPH-T2-DIS-SW
LACP HPH-T3-DIS-SW
LACP HPH-T4-DIS-SW
LACP HPH-T5-DIS-SW
LACP HPH-T6-DIS-SW
LACP HPH-T7-DIS-SW
23
GROUP LACP
INTERFACE
CONNECT TO:
Trk8
Trk9
Trk110
Trk101
1/C8, 2/C8
1/C9, 2/C9
1/B10, 2/B10
1/B1, 2/B1
LACP HPH-T8-DIS-SW
LACP HPH-T9-DIS-SW
LACP HPH-TH-DIS-SW
Trk102
1/B2, 2/B2
LACP HPH-SRX340-R-WAN
Trk103
1/B3, 2/B3
LACP HPH-SRX345CLS-F-COR-01
Trk104
1/B4, 2/B4
Trk105
1/B5, 2/B4
Trk106
1/B6, 2/B6
LACP HPH-SRX340-R-INT-01
(INSITE)
LACP HPH-SRX345CLS-F-COR-01
(OUTSIDE)
LACP HPH-SRX345CLS-F-COR-01
(INSITE)
LACP HPH-SRX345CLS-F-COR-01
(OUTSIDE)
II.4. WiFi Controller
II.4.1.
Quy hoạch vai trò WLC
Bảng map vai trò quản lý của 02 Controller đối với các Access Point.
Access Point/Controller
56 Access point lắp đặt tại các
phịng
II.4.2.
HPH-ARUBA7205-01
HPH-ARUBA7205-02
Master
Backup
Chính sách xác thực và mã hóa bảo mật
VLAN
Wififree_Georim
IP
172.16.0.0/22
NOTE
Wifi khách
Wifi_Office
10.208.132.1/24
Người dùng wifi internal
SSID
Wififree_Georim
Authentication method
Khơng mã hóa
Chỉ
Policy
được phép
truy
cập
internet, khơng được phép truy
truy cập nội bộ
Wifi_Office
Preshared Key
Được phép truy cập các t
nguyên như mạng có dây
II.5. Chính sách truy cập mạng
Chú thích:
F: luồng traffic qua firewall để lọc
NF: luồng traffic không qua firewall
FD: luồng traffic qua firewall lọc và bị chặn
24
ACL: Luồng traffic lọc bằng Access-list
Dst
Src
Campus
Internet
Server Farm
WAN
Wifi_Guest
Wifi_User
Campus
Internet
Server Farm
WAN
NF
FD
F
F
ACL
NF
F
F
FD
NF
F
ACL
F
F
FD
F
IPTV+
Wifi_Guest
FD
FD
FD
ACL
F
NF
FD
F
NF
F
Wifi cho người
dùng nội bộ
NF
FD
F
F
ACL
NF
Chính sách trên tường lửa:
Dst
Src
Local User
Local User
Server
WAN
Internet
Cho phép
Cho phép
Cho phép
Cho phép
Server
Cho phép
Cho phép
Cho phép
Cho phép
WAN
Cho phép
Cho phép
Chặn
Chặn
Internet
Chặn
Chặn
Chặn
Chặn
II.6. Luồng dữ liệu luân chuyển trong hệ thống
II.6.1.
Mô tả chung
Hệ thống mạng của công ty Greorim tech vina được thiết kế theo mơ hình One-arm.
Cặp firewall sẽ đóng vai trị lọc tất cả các traffic đến/đi từ các phân vùng mạng bao gồm
phân vùng Internet, phân vùng server farm, phân vùng kết nối WAN, phân vùng wifi. Sử
dụng tính năng ACL (Access List), CLASS kết hợp với PBR (Policy Based Routing)
hoặc tương tự trên thiết bị Core Switch để điều khiển luồng dữ liệu mong muốn.
II.6.2.
Mô tả luồng dữ liệu từ các phân vùng mạng
A. Mơ hình logic các phân vùng
25
o Người dùng nội bộ truy cập các tài nguyên Internet
-
Gateway của người dùng nội bộ đặt trên interface vlan của core switch.
- Core switch sử dụng Policy based Routing để set next-hop cho
traffic là IP của cổng inside firewall