|
|
FreeNAS từ phiên bản 9.2.1.5, hộp thoại @Add Windows (CIFS) share@ (bước 9.1) có thêm một mục là @Inherit ACL's@. Bước 9.1 cần phải bổ sung như sau:
* Mục @Inherit ACL's@ không check. (Lý do: tưong tự như @Inherit Owner@ và @Inherit Permissions@, đã giải thích ở trên).
Điểm trên là quan trọng bởi vì mặc định mục này được check và giá trị mặc định đó có thể xem như một lỗ thủng về phân quyền, cho phép @Domain Users@ truy nhập được các file và thư mục ngoài mong muốn của quản trị viên. (Xem chi tiết ở https://bugs.freenas.org/issues/4606.)
|
|
|
Thiết lập thiết bị NAS với FreeNAS trong môi trường Windows domain (Active Directory)
1. FreeNAS là gì
FreeNAS là một SAN/NAS firmware nguồn mở, miễn phí dựa trên hệ điều hành FreeBSD.
FreeNAS hỗ trợ hệ thống file ZFS tối tân chuyển đặt từ hệ điều hành Solaris, và, tất nhiên, hệ thống file truyền thống UFS của FreeBSD.
Giống như mọi thiết bị SAN/NAS khác, trên FreeNAS, sức chứa của các đĩa cứng (vật lý) không được sử dụng trực tiếp mà thông qua một vật thể lưu trữ logic gọi là một _volume_. Một volume hình thành từ một hay nhiều đĩa cứng. Trong quá trình hoạt động, có thể mở rộng (tăng dung lượng) một volume bằng cách kết nạp thêm các đĩa cứng mới vào volume.
Hệ thống file ZFS hỗ trợ ở mức volume các cơ chế _encryption_ (mật mã hóa), _compression_ (nén) và _deduplication_ (khử trùng lắp). Encryption bảo mật dữ liệu chống lại sự thâm nhập vật lý. Compression và Deduplication giúp tiết kiệm dung lượng. Compression phát hiện và khử sự trùng lắp cục bộ còn Deduplication thì phát hiện và khử sự trùng lắp toàn cục. (Như vậy, thực chất, Deduplication cũng là một hình thức nén dữ liệu.) Cả 3 cơ chế này đều _trong suốt_ đối với người dùng.
Hệ thống file ZFS có một dạng RAID đặc thù gọi là RAID Zk. (Mỗi volume tương ứng 1 - 1 với một mảng RAID Zk.) Một mảng n RAIDZk là một mảng gồm n + k đĩa cứng cùng dung lượng, với dung lượng hữu ích bằng n đĩa, còn độ dư thì bằng k đĩa. Dữ liệu hữu ích được bảo toàn kể cả khi bị hỏng k đĩa bất kỳ.
Ở đây giả sử người đọc quen với khái niệm _mảng đĩa có độ dư_, tức RAID, trước hết là các kiểu RAID chuẩn như RAID5 và RAID6. Như vậy, nhìn chung thì RAID Z1 tương đương với RAID5, còn RAID Z2 tương đương với RAID6. Nhưng nhìn đúng thì RAIDZ tốt hơn: khi bị mất điện đột ngột, RAID5/RAID6 có thể bị mất dữ liệu (do một hiệu ứng không đáng mong muốn gọi là _lỗ thủng RAID_), còn RAIDZ không bao giờ làm mất dữ liệu.
Hệ thống file ZFS còn hỗ trợ một khái niệm đặc thù gọi là _dataset_. Có thể xem nó như là một khái niệm lai tạp giữa volume và thư mục. Như thư mục, một dataset hình thành từ một phần hay toàn bộ một volume, và nó có chủ sở hữu (owner) riêng, nhóm sở hữu (group) riêng và các phân quyền (permissions) riêng. Như volume, một dataset có thuộc tính compression (nén) riêng, deduplication (khử trùng lắp) riêng và dung lượng (quota) riêng.
Cần phân biệt ZFS dataset với _zvol_. Một zvol về bản chất cũng là một ZFS dataset, nhưng chuyên dùng để cung cấp tài nguyên cho các client trong mạng SAN. Bài này không đề cập đến cấu hình FreeNAS như một thiết bị SAN, chỉ tập trung vào việc cấu hình thành thiết bị NAS.
Là một thiết bị NAS đa hệ, FreeNAS hỗ trợ nhiều giao thức chia sẻ file, trong đó, việc chia sẻ cho các Windows client dùng giao thức CIFS.
2. Vì sao, khi nào dùng FreeNAS
FreeNAS miễn phí, sử dụng đơn giản (cài đặt và cấu hình đều nhanh chóng) và rất đáng tin cậy.
Với các ưu điểm đó, có thể dùng FreeNAS mọi lúc, mọi nơi.
3. Môi trường
Bài này trình bày việc cấu hình FreeNAS trong mạng với _một_ domain (Windows domain, a.k.a. Active Directory), cụ thể
* Mọi DC đều dùng Windows.
* Mọi máy trạm đều dùng Windows.
Bài này không trình bày việc cấu hình cho một mạng với mô hình phức tạp hơn, như là domain tree, domain forest, hay có các máy trạm hay DC dùng hệ điều hành khác.
Để định ý, dưới đây, ta sẽ giả sử domain là @congty.com@ với NetBIOS name là @CONGTY@. Thiết bị FreeNAS sẽ được đặt tên là @fs0@. Trên thiết bị đó, ta sẽ tạo volume @v@. Trên volume này sẽ tạo các (ZFS) dataset @z0@, @z1@, @z2@,... và sẽ share chúng dưới các tên tương ứng @a0@, @a1@, @a2@,...
4. Yêu cầu phần cứng
Một máy vi tính PC loại tốt (khuyên dùng mainboard hỗ trợ AHCI, và nên kiểm tra BIOS để khẳng định đã bật chế độ AHCI), với
* 1 ổ cứng (CF, DOM, SSD hay HDD) khoảng 10 - 20 GB cho hệ điều hành;
* 3 - 5 ổ cứng lớn, giống nhau, cho dữ liệu;
* tối thiểu 8 GB RAM.
Chú ý
* Thiết kế cẩn thận nguồn điện và luồng gió. Nguồn điện và luồng gió không tốt sẽ làm ổ cứng chết rất mau.
* Nhu cầu RAM được khuyến cáo chính thức là 5 GB cho mỗi TB dữ liệu được khử trùng lắp, hoặc 1 GB cho mỗi TB dữ liệu không khử trùng lắp, cộng thêm 2 GB nếu sử dụng Active Directory, nhưng tổng lượng RAM không được nhỏ hơn 8 GB trong bất cứ trường hợp nào.
5. Yêu cầu phần mềm
FreeNAS bản x86_64, ver. 9.2.1. Có thể tải xuống từ địa chỉ http://www.freenas.org.
Chú ý
* ver. 9.2.1 dùng giao thức CIFS ở chế độ SMB3 (tương đương với Windows 2012). Còn 9.2.0 chỉ SMB2 (tương đương Windows 2000).
6. Cài đặt và cấu hình cơ bản
6.1. Bỏ CD vào ổ và bật máy.
6.2. Chọn ổ cứng để cài đặt hệ điều hành (ổ 10 - 20 GB đã kể trên).
6.3. Mọi câu hỏi khác đều trả lời mặc định.
6.4. Sau khi cài đặt xong, khởi động lại thì đặt địa chỉ IP, subnet mask, default gateway.
6.5. Từ một máy tính bất kỳ trong mạng LAN, dùng trình duyệt Web bất kỳ, truy nhập trang web điều khiển theo địa chỉ IP vừa đặt.
6.6. Vào @Network -> Global@ cài đặt các thông số mạng như hostname, domain, các nameserver (DNS server).
6.7. Vào @System -> Settings@, trang @General@. Mục @Timezone@ (múi giờ) chọn @Asia/HoChiMinh@. Vào @System -> NTP server -> Add NTP server@, thiết đặt 1 NTP server thực tế cho hệ thống, xóa mọi NTP server mặc định hiện hữu.
6.8. Vào @System -> Settings@, trang @General@. Mục @Directory Service@, chọn @Active Directory@.
6.9. vào @Services -> Directory Services -> Active Directory@ khai báo các thông số liên quan đến domain như @domain name@, @NetBIOS name@,...) rồi ấn @OK@ để join domain.
Lưu ý
Nếu ở các bước sau gặp rắc rối khi hiển thị danh sách các account/group của domain, hãy dùng quyền domain admin vào một DC kiểm tra xem máy FreeNAS (@fs0@) đã được đăng ký (tự động) trong DNS hay chưa. Nếu chưa, hãy đăng ký (bằng tay) với một record kiểu A (host).
7. Tạo volume
7.1. Tạo 1 RAIDZ1 volume duy nhất, dùng tất cả các ổ cứng. Từ cây bên trái, vào @Storage -> ZFS Volume Manager@.
* Mục @Volume Name@, đặt tên volume (ta sẽ đặt là @v@).
* Mục @Encryption@, check vào để mật mã hóa.
* Mục @Initialize Safely@, không check. (Lựa chọn này chỉ có nghĩa nếu đi cùng với @Encryption@. Nếu check, quá trình khởi tạo volume sẽ format tất cả các ổ đĩa và ghi đè bằng dữ liệu ngẫu nhiên. Nhờ đó bảo mật được khối lượng dữ liệu. Tuy nhiên, quá trình này sẽ rất lâu, có thể nhiều giờ đến nhiều ngày với volume lớn.)
* Trong khung @Available Disks@, click vào nút dấu cộng (+).
* Trong khung @Volume Layout@ sẽ hiện ra cấu trúc của volume. Mặc định là lựa chọn tối ưu. (Khi phần cứng nhàn rỗi còn 3-5 ổ cứng, mặc định là RAIDZ1 dùng tất cả các ổ.) Hãy giữ nguyên mặc định đừng thay đổi gì cả.
* Ấn nút @Add volume@. Mọi dữ liệu trên các ổ cứng đã chọn sẽ bị hủy. Sau khi volume được tạo thành công, ở cây phía bên trái sẽ hiện ra một nhánh mới với tên là tên đầy đủ của volume (@/mnt/v@), với 3 nhánh con: @Change Permissions@, @Create ZFS Dataset@, @Create zvol@.
7.2. Chỉnh thuộc tính volume. Từ cây bên trái, vào @Storage -> Volumes -> View Volumes@. Ở danh sách bên phải, chọn @v@. Ở hàng nút bên dưới, bấm nút @Edit ZFS option@.
* Mục @Compression@ chọn @lz4 (recommended)@.
* Mục @Deduplication@ chọn @On@.
* Bấm nút @Edit ZFS Volume@ để khẳng định.
7.3. Phân quyền tối thiểu volume. Từ cây bên trái mở @Storage -> Volumes -> View Volumes@. Ở danh sách bên phải chọn @v@. Ở hàng nút phía dưới danh sách, bấm nút @Change Permissions@.
* Mục @Owner@ và @Group@, chọn một tài khoản làm owner và một nhóm làm group của volume. Đó là (những) tài khoản dự định sẽ dùng thường xuyên để quản trị (phân quyền) dữ liệu tương lai. Mặc định là @root@ và @wheel@, nhưng có thể chọn domain account nào đó và domain group nào đó, chẳng hạn @CONGTY\Administrator@ và @CONGTY\Domain Admins@.
* Mục @Type of ACL@ có 2 lựa chọn là @Unix@ và @Windows/Mac@. Hãy chọn @Windows/Mac@. (Khi đó, mục @Mode@ trở thành vô nghĩa, bị mờ đi.)
* Bấm nút @Change@.
8. Tạo (ZFS) dataset
8.1. Tạo 1 hay nhiều dataset. Từ cây mở nhánh @Storage -> Volumes -> /mnt/v -> Create ZFS Dataset@. Sẽ thấy mở hộp thoại @Create ZFS Dataset@.
* Mục @Dataset name@, đặt tên dataset. (Ta sẽ đặt tên là @z0@.)
* Các tính chất còn lại (@atime@, @compression@, @deduplication@) đều giữ giá trị mặc định (@Inherit@).
* Có thể bấm @Advanced Mode@ để mở rộng hộp thoại, nếu muốn chỉnh các tính chất khác như hạn ngạch (quota).
* Bấm nút @Add Dataset@ để khẳng định. Sau khi dataset được tạo thành công, ở cây bên trái dưới nhánh /mnt/v sẽ thấy mọc ra nhánh mới @/mnt/v/z0@, với 3 nhánh con có tên giống như 3 nhánh con tương ứng của volume (@Change Permissions@, @Create ZFS Dataset@, @Create zvol@).
* Tương tự, tiếp tục tạo thêm các dataset @z1@, @z2@,...
8.2. Phân quyền tối thiểu dataset. Từ cây mở nhánh @Storage -> Volumes -> /mnt/v/z0 -> Change Permissions@.
* Tương tự như phân quyền volume, có thể chọn @Owner@ là @CONGTY\Administrator@ và @Group@ là @CONGTY\Domain Admins@.
* Các giá trị khác, giữ nguyên mặc định (nói riêng, @Type of ACL@ là @Windows/Mac@.)
9. Tạo (CIFS) share
9.1. Tạo 1 hay nhiều share. Từ cây bên trái, mở nhánh @Sharing -> Windows (CIFS) shares -> Add Windows (CIFS) shares@.
* Mục @Name@ điền tên share định tạo. (Ta sẽ đặt tên là @a0@).
* Mục @Path@ điền đường dẫn đến share. Để hệ thống tự điền, hãy bấm vào nút @Browse@ duyệt cây thư mục và chọn thư mục share, ở đây là @/mnt/v/z0@.
* Mục @Inherit Owner@ và @Inherit Permissions@ không check. (Nếu check, các folder và file mới sẽ tạo ra theo một ngữ nghĩa thừa kế chủ nhân và phân quyền khác với ngữ nghĩa quen thuộc của hệ thống NTFS/NFS4 và do đó sẽ gây bối rối cho người quản trị.)
* Mọi mục khác, giữ nguyên mặc định.
* Bấm nút @OK@ để khẳng định. Nếu share được tạo thành công, ở cây bên trái sẽ mọc thêm một nhánh mới mang tên @Sharing -> Windows (CIFS) Share -> a0@.
* Tương tự, tiếp tục tạo thêm các share @a1@, @a2@,...
9.2. Phân quyền thư mục share. Từ một máy Windows đã join domain, truy nhập @\\fs0\a0@ bằng tên owner (@CONGTY\Administrator@ hoặc @fs0\root@, mở hộp thoại @Properties -> Security@ quen thuộc của Windows:
* Phân quyền @Full Control@ cho bản thân, để phân quyền.
* Phân quyền @Full Control@ hoặc @Modify@ cho @CONGTY\Administrator@ hoặc @CONGTY\Domain Admins@, để quản trị.
* Phân quyền bổ sung cho các nhóm người dùng khác, chẳng hạn @CONGTY\Domain Users@, các quyền như @Modify@ hoặc @Read@, để sử dụng.
|
|
|
20 triệu đủ mua 1 VLAN switch 48P (hơi thiếu một chút, hoặc vừa đủ). Có thể thêm 1 wifi AP rẻ tiền nữa.
Còn router không có, nên tạm thời chỉ làm 1 VLAN tất cả chung vào đó. Và chờ sếp cấp kinh phí... đợt 2. Theo tui đây là phương án đầu tư bền chắc nhất.
|
|
|
Đồng ý với bác tmd, nên dùng hàng hiệu cho key components.
Tui cũng đã từng build một mạng tương tự như thế theo thiết kế của 1 đơn vị cung cấp danh tiếng, với ~300 users:
-- Core switch là Cisco 3xxx.
-- Firewall + Router là Fortinet FG-3xx. Con này có băng thông lớn (~10 gbps), nên tui đặt luôn ở giữa mạng LAN, để ngăn cách giữa các VLAN.
Theo sơ đồ của bác thì có khoảng ~50 users, vậy chắc FG-2xx và Cisco 2xxx là ổn.
|
|
|
monday1010 wrote:
Hi các anh,
Em đang tập tành cấu hình VPN với mode IPsec trên fw Pfsense mới cài xong. Ngặt nỗi con Pfsense này đặt sau một modem kết nối đến internet.
Để thông kết nối VPN này thì mình cần cấu hình gì trên con modem này ạ ?
Anh em nào cấu hình rồi hoặc chưa nhưng có kiến thức về phần này thì chia sẻ, chỉ em với.
Cám ơn rất nhiều !
Hi bác,
Cần phải NAT cổng 500 và 4500 UDP từ thiết bị NAT ("modem") đến thiết bị VPN (pfsense).
Tui không nhớ đã từng làm cấu hình nào như vậy chưa nhưng IP sec đằng sau thiết bị NAT thì làm nhiều rùi. Chắc chắn là như thế.
|
|
|
Trong yêu cầu có 3 điểm mà tui nghĩ là không hợp lí.
nguyenquangduy wrote:
- VLAN WIFI không thể truy cập được các VLAN khác, nếu muốn truy cập bắt buộc phải VPAN vào nội bộ
- VLAN office có thể truy cập được VLAN server để truy xuất dữ liệu, sử dụng phần mềm kế toán
- VLAN Ban Giám Đốc có thể truy cập được các VLAN còn lại
1. Trong sơ đồ, đặt ở giữa mạng LAN chỉ là 1 router (thiết bị L3). Trong khi để đáp ứng những yêu cầu như thế này thì nên kiểm soát truy nhập ở L7 hay ít ra ở L4. Lẽ ra phải là firewall mới đúng.
2. Tức là cần 1 firewall với throughput chừng 5-10 gbps. Với yêu cầu bắt buộc dùng nhãn hiệu Cisco, chỉ có thể thu được cùng lắm là 1 thiết bị với giao diện đồ hoạ nghèo nàn và chậm như rùa, với giá cắt cổ.
nguyenquangduy wrote:
- Hệ thống mạng tại chi nhánh bắt buộc phải đi qua hệ thống tại Hà Nội để kết nối internet.
3. Nghĩa là thêm độ trễ vài chục ms, tốn thêm vài chục mbps băng thông liên tỉnh, thêm gánh nặng mà chẳng thu được lợi ích gì ngoài false sense of security.
|
|
|
Đồng ý với bác trên. Công ty nhỏ bây giờ, tự host mail thì rẻ hơn.
+ 1 đường cáp quang giá bèo, IP tĩnh.
+ 1 máy ảo 1 core chừng 2 GHz + 120 GB HDD + 0.5 GB RAM cho FreeBSD + Postfix hoặc 1 GB RAM cho Win 2K3 + Mdaemon.
Nói chung là 1-2 server khoảng 32 - 64 GB RAM, thêm vài cái switch có hỗ trợ VLAN nữa là đủ 1 giải pháp ảo hoá 100% gồm firewall, DC, database server, mail,... có khi còn thêm được cả 1 website xinh xinh nữa. Vài trăm user có thể đáp ứng được.
|
|
|
Ở box Thảo luận chung, khi topic sang trang mới mà chỉ có 1 bài thì trang (và bài) này không hiện ra. Phải chờ đến khi có thêm 1 bài nữa thì trang này mới hiện ra được.
Mới đầu, tui nghĩ rằng bài bị giữ lại để kiểm duyệt trước khi hiển thị, nhưng bây giờ thì tui nghĩ hình như là bug, bởi bài chỉ bị giữ khi nó là bài đầu tiên của trang 2 trở đi.
|
|
|
tuan_ryan wrote:
facialz wrote:
tuan_ryan wrote:
Thực ra là yêu câu hệ thống là truyền tải file khoảng 1GB/phút tức là mỗi file mình có khoảng 1GB và thời gian truyền 1 file là khoảng 1 phút. Tuy nhiên, ở điều kiện hiện tại mình chỉ có thể thuê được đường cáp quang có tốc độ khoảng 130-150 Mbps. Tất nhiên khi truyền thì mình sẽ cố gắng tận dụng hết được băng thông thuê được.
OK. Như vậy là phần network là tạm ổn. Còn phần NAS yêu cầu 1GB/min đã dễ hơn nhiều so với 133 mbps. Với yêu cầu như vậy tui nghĩ rằng không cần đầu tư vào thiết bị chuyên dụng đắt tiền.
Throughput và responsiveness còn tuỳ thuộc 2 yếu tố nữa:
1. Các file đến một cách tuần tự hay đến song song nhiều file.
2. File đến ghi xong rồi có được đọc lại nữa hay không, bao nhiêu người dùng.
Nhưng tạm bỏ qua yếu tố thứ hai thì bác có thể build thử một NAS dùng một server rẻ tiền với bộ nguồn tương đối mạnh và vài ổ cứng SATA. Có lần tui đã test với workstation 1 ổ cứng cho hệ điều hành + 3 ổ cứng dữ liệu (cấu hình RAIDZ1, tương tự như RAID5) thì thấy khả năng ghi đồng thời 2 hay nhiều file đạt được khoảng 20-40 MB/s hoặc có thể cao hơn nữa trong phần lớn thời gian, chỉ ngoại trừ rất ít khi rớt xuống dưới 20 MB/s. Với số lượng người dùng không lớn tui nghĩ hệ thống của bác chỉ cần không quá 6 ổ cứng.
Về phần network mình cũng đang lo đây. Mình định thuê đường cáp quang FTTH của VNPT hoặc FPT hay Viettel như link sau :
http://www.vnptadsl.com/cap-quang-vnpt
http://www.fpt.vn/index.php?option=com_content&view=category&layout=blog&id=53&Itemid=94
http://www.adslviettel.com/internet-cap-quang-viettel
Để có được tốc độ 150Mbps, thì mình nhiều khả năng thuê 3 đường 50 Mbps sau đó ghép kênh lại qua 1 bộ cân bằng tải. Nhưng mình thắc mắc là với các đường 50Mbps như thông số thuê thì tốc độ truyền của mình lớn nhất liệu có sấp xỉ được thông số đã thuê không ? (giả sử mình truyền qua UDP để đạt đc tốc độ cao nhất ).
Đấy là các dịch vụ truy nhập Internet thông thường. Có 1 điều này chắc bác cũng biết nhưng có thể chưa chú ý: cái mà bác cần là đường truyền với băng thông tối thiểu 50 mbps; trong khi đó, thông số băng thông xx mbps mà các ISP cam kết nói trên là băng thông tối đa.
Theo kinh nghiệm của tui thì việc truyền số liệu trong một khoảng thời gian ngắn (ví dụ vài giờ đồng hồ) trong ngày có thể đạt được đến mức cam kết tối đa ở mọi ISP lớn như VietTel, VNPT,... nhưng nếu hết khoảng thời gian này mà vẫn truyền liên tục thì băng thông sẽ bị giảm xuống rất thê thảm. Lý do tui chỉ có thể phỏng đoán là ngẫu nhiên (bởi 1 băng thông bị chia xẻ giữa nhiều khách hàng) hoặc cũng có thể là 1 kỹ thuật của ISP nhằm ngăn chặn khách hàng lợi dụng kênh truyền chung làm kênh truyền riêng.
Ngoài ra thì việc ghép kênh giữa nhiều ISP khác nhau có ưu điểm là tính độc lập kênh cao nhưng về kỹ thuật là phức tạp và có hạn chế (ví dụ, không thể ghép kênh ở Layer 2). Nên phương án này có khả năng dự phòng tốt hơn nhưng hiệu quả kinh tế thì cần phải xem xét.
Sự đảm bảo băng thông còn tuỳ thuộc theo topology vật lý. Vị trí điểm A và điểm B của bác nếu không cùng thuộc 1 địa bàn (tỉnh thành phố) thì có thể bị suy giảm băng thông nếu không được sự chăm sóc cẩn thận của nhà cung cấp.
Bác nên làm việc kỹ với các nhà cung cấp để có tư vấn giải pháp hoàn chỉnh và cam kết rõ ràng.
|
|
|
tuan_ryan wrote:
Thực ra là yêu câu hệ thống là truyền tải file khoảng 1GB/phút tức là mỗi file mình có khoảng 1GB và thời gian truyền 1 file là khoảng 1 phút. Tuy nhiên, ở điều kiện hiện tại mình chỉ có thể thuê được đường cáp quang có tốc độ khoảng 130-150 Mbps. Tất nhiên khi truyền thì mình sẽ cố gắng tận dụng hết được băng thông thuê được.
OK. Như vậy là phần network là tạm ổn. Còn phần NAS yêu cầu 1GB/min đã dễ hơn nhiều so với 133 mbps. Với yêu cầu như vậy tui nghĩ rằng không cần đầu tư vào thiết bị chuyên dụng đắt tiền.
Throughput và responsiveness còn tuỳ thuộc 2 yếu tố nữa:
1. Các file đến một cách tuần tự hay đến song song nhiều file.
2. File đến ghi xong rồi có được đọc lại nữa hay không, bao nhiêu người dùng.
Nhưng tạm bỏ qua yếu tố thứ hai thì bác có thể build thử một NAS dùng một server rẻ tiền với bộ nguồn tương đối mạnh và vài ổ cứng SATA. Có lần tui đã test với workstation 1 ổ cứng cho hệ điều hành + 3 ổ cứng dữ liệu (cấu hình RAIDZ1, tương tự như RAID5) thì thấy khả năng ghi đồng thời 2 hay nhiều file đạt được khoảng 20-40 MB/s hoặc có thể cao hơn nữa trong phần lớn thời gian, chỉ ngoại trừ rất ít khi rớt xuống dưới 20 MB/s. Với số lượng người dùng không lớn tui nghĩ hệ thống của bác chỉ cần không quá 6 ổ cứng.
|
|
|
tuan_ryan wrote:
facialz wrote:
tuan_ryan wrote:
- Hệ thống của mình có yêu cầu truyền tải file khoảng hơn 135 Mbps (khoảng 1Gbyte/1 min ),
Vậy tóm lại là yêu cầu nào, 135 mbps hay 1 GB/min, hay là cả hai?
Cảm ơn bác đã reply bài của mình
Thì cả 2 cái này tương đương mà bác : (135 Mbps x 60s )/8 bits/byte ~ 1Gbyte / 1min.
Hi vọng có thể nhận được thêm nhiều đóng góp của mọi người.
Không tương đương đâu. Bác nên xem kỹ lại yêu cầu thực tế (GB/ngày, GB/h, hay GB/min), rồi trên cơ sở đó tính toán xây dựng yêu cầu bandwidth (mbps). Phép tính từ GB/min suy ra mbps như trên của bác, chưa chắc đã đúng đâu.
|
|
|
tuan_ryan wrote:
- Hệ thống của mình có yêu cầu truyền tải file khoảng hơn 135 Mbps (khoảng 1Gbyte/1 min ),
Vậy tóm lại là yêu cầu nào, 135 mbps hay 1 GB/min, hay là cả hai?
|
|
|
Phần thực hành có IPsec và SSL/TLS. Phần lý thuyết đã dành hẳn 1 chương để giới thiệu IPsec thì cũng nên dành hẳn 1 chương tương xứng cho SSL/TLS.
Windows Server 2003 -- Microsoft đã ngưng bán phiên bản này từ vài năm nay. Triển khai phiên bản này bây giờ chỉ có 0.001% khả năng là hợp pháp. Nên chăng xem xét đổi từ 2003 thành 2008 nhưng vẫn giới hạn ở các phương tiện và công cụ của bản 2003 nêu trong đề cương trên.
|
|
|
Dùng HTTP thì rất chậm chỉ 10 - 20 % khả năng vào được. Nhưng dùng HTTPS thì ổn. Có lẽ tuỳ theo nhà mạng.
|
|
|
rsync không truyền nguyên cả 1 file mà chỉ truyền sai biệt (giữa file của người gửi và file của người nhận). Tốn nhiều CPU chứ không tốn nhiều network.
|
|
|
Vấn đề này gọi là định tuyến có trạng thái hay là định tuyến layer 4. pfsense v.2 giải quyết được.
Xem:
http://www.google.com/search?q=%C4%91%E1%BB%8Bnh+tuy%E1%BA%BFn+l%C6%B0u+th%C3%B4ng+layer+4+pfsense&sourceid=ie7&rls=com.microsoft:en-us:IE-SearchBox&ie=&oe=
|
|
|
Góp ý với bác:
1. Trên DC bỏ bớt đi 1 NIC, cho đơn giản. Và đặt IP tĩnh. Primary DNS mặc định (127.0.0.1).
2. Trên các máy con để default gateway trỏ tới modem và Primary DNS server trỏ tới DC.
|
|
|
Có thể là lỗi đăng nhập. Ở vài nơi FPT còn kiểm tra MAC khách hàng. Bác nên liên hệ với FPT để được hỗ trợ cụ thể.
|
|
|
Bác đang dùng Windows, hãy thử xuất ra vài giá trị này xem:
getenv("OS")
getenv("ComSpec")
getenv("windir")
|
|
|
phpvirus wrote:
@facialz: Mình dùng SAN cho nên chắc sẽ không cần tính số lượng HDD gì đâu? Vì SAN có khả năng mở rộng tốt. Nếu thiếu thì add thêm disk enclosures cho nó thôi.
Biết yêu cầu số lượng ổ cứng cũng cho 1 cái nhìn về bandwidth chứ bác. Ví dụ
80 ổ cứng * 120 mbps/ổ = 9600 mbps.
Trong đó 120 mbps = 15 MB/s áp dụng cho ổ cứng 15K rpm truy xuất ngẫu nhiên. File server của bác làm việc với file nhỏ nên dự toán theo mô hình truy xuất ngẫu nhiên là hợp lý.
|
|
|
phpvirus wrote:
facialz wrote:
Chào bác. Khi có rất nhiều người cùng truy xuất 1 file thì file ấy hầu như chắc chắn được cache trên tất cả các node của cluster. Nên nghẽn cổ chai có khả năng xảy ra từ Core switch trở đi nhiều hơn là trên SAN.
Mặt khác nếu mạng có 500-1000 người thì khả năng tất cả cùng truy xuất 1 file là rất hiếm. Có lẽ phương pháp tính như thế này thì hợp lý hơn:
1. Dự toán số lượng ổ cứng và số RAID set cho 50-100 người.
2. Lấy con số dự toán nói trên nhân 10 lên.
1./ Có rất nhiều người truy xuất, nhưng không phải cùng 1 file. .....
Ý tôi cũng thế. Mình nên giả sử là họ truy xuất những file khác nhau. Vài người có thể truy xuất đồng thời 1 file. Như thế đồng thời có thể truy xuất hàng chục đến hàng trăm file. Và đó là cơ sở để cho phép tính ngoại suy "scale up" như sau.
phpvirus wrote:
Còn ý cuả mình chỉ đơn giản là với số lượng user như trên truy xuất vào một server FILES và mỗi file có dung lượng 10 -20 MB thì liệu server hay network này có đáp ứng nổi không?
2./ Dự toán số lượng ổ cứng và số RAID, cái này thì chỉ tính dung lượng cho SAN cần tối đa bao nhiêu ổ cứng (size).
Giả sử cho 50-100 người, 2 RAID set mỗi set 4 ổ cứng là đủ phục vụ....
phpvirus wrote:
3./ "Lấy con số này nhân 10 lên" Mình không rõ nhân 10 lên này là ra đơn vị tính nào, size hay một đơn vị khác <= Mình chưa rõ ý này của bạn cho lắm.
... thì với 500-1000 người, để duy trì khả năng phục vụ tương đương, bác sẽ cần 10*2 = 20 RAID set, mỗi set vẫn 4 ổ cứng như trên. Tức cả thảy 80 ổ.
|
|
|
Chào bác. Khi có rất nhiều người cùng truy xuất 1 file thì file ấy hầu như chắc chắn được cache trên tất cả các node của cluster. Nên nghẽn cổ chai có khả năng xảy ra từ Core switch trở đi nhiều hơn là trên SAN.
Mặt khác nếu mạng có 500-1000 người thì khả năng tất cả cùng truy xuất 1 file là rất hiếm. Có lẽ phương pháp tính như thế này thì hợp lý hơn:
1. Dự toán số lượng ổ cứng và số RAID set cho 50-100 người.
2. Lấy con số dự toán nói trên nhân 10 lên.
|
|
|
KenVinHoangThanh wrote:
conmale wrote:
nhkhanh90 wrote:
hiện mình thấy trên HVA vẩn chưa có một bài rõ ràng nào về vấn đề Man in the Middle(MITM)
Thế nào là một bài "rõ ràng" cho "vấn đề" MITM?
.
Một bài "rõ ràng" là những bài không viết theo phong cách của conmale. Tôi chẳng hiểu là tầm hiểu biết của anh rộng như thế nào, nhưng tôi thấy là cái cách reply bài của anh khá là "trịch thượng" anh conmale ạ. Người khác nói 1 câu, anh phải bẻ lại "chính tả, ngữ pháp, câu từ,.." bằng 1 câu. Tôi thấy anh đã có bài viết về "Rookie" và dùng từ này để chỉ những "cậu bé hay nghịch ngợm". Anh lấy tư cách gì để có thể đánh giá người khác như thế? Anh có chắc là nhân vật "cuti" trong bài viết của anh còn là trẻ con không?
Thứ nữa, trong khá nhiều bài viết của anh và một số thành viên của HVA, tôi thấy anh luôn để cao cái gọi là "Hỏi thông minh", "dùng từ chính xác". Cái này tôi không phủ nhận, nhưng mà nên "bắt bẻ" ở một mức độ đừng để người ta đánh giá mình là "đang chứng tỏ mình là thông minh". Tôi tin là anh đã từng qua 1 số diễn đàn UG khác như HKV, HCE, VNF,...và không biết anh có thấy không chứ tôi thì tôi thấy các bạn thành viên ở đó trao đổi với nhau rất nhiệt tình, thoải mái, không có khái niệm "đàn anh".
Thầy dạy CEH cho tôi là anh tocbatdat. (Tôi tin là anh search trên google sẽ thấy thông tin về anh ấy đấy) theo tôi cũng là một người rất am hiểu lĩnh vực hack và security nói chung, nhưng đó quả thực là 1 người tôi thấy đối nghịch lại so với tính cách của anh, một trong những sự đối nghịch lớn nhất đó là SỰ KHIÊM TỐN anh conmale ạ.
Không chỉ tôi mà còn khá nhiều người (đã từng tham gia HVA) trong đó có thầy giáo của tôi (Là giảng viên của Viện công nghệ thông tin và truyền thông - Trường ĐH Bách Khoa và là kỹ thuật viên của BKIS) cũng đánh giá về anh như vậy.
Tôi viết bài này không nhằm đả kích anh (Vì việc đó không mang lại lợi ích gì cho tôi) mà chỉ muốn anh xem lại tư cách Admin của mình để mỗi lần có ai đó vào HVA lại không phải đọc những dòng comment gây khó chịu, "ngứa mắt" của anh nữa. Tôi biết anh là người rất am hiểu về Security, nhưng Tài luôn phải đi với Đức, anh ạ.
P/S: Sau bài viết này, tôi hi vọng những bạn trong HVA sẽ bỏ đi cái cách trả lời bài bằng những câu như "Bạn hãy tìm hiểu kỹ đi rồi hẵng hỏi". Các bạn cứ đặt mình vào vị trí người hỏi xem, tôi tin chắc là người ta đã "tìm hiểu kỹ" rồi, có những điều không biết mới phải hỏi. Diễn đàn là nơi để trao đổi, thảo luận, chia sẻ kiến thức. Vậy mà khi hỏi, lại chỉ nhận được những câu như thế thì e rằng sự tồn tại của HVA là thừa.
Thật ra những từ như là chủ động (active), thụ động (passive), người giữa đường (man-in-the-middle) hay người đầu đường (partner-corruption) không phải là 1 kiểu tấn công cụ thể mà chỉ để phân loại tấn công communication thành hai loại thôi. Tức là rất chung chung, rất rộng lớn. Do đó, hiển nhên là không thể có 1 bài viết nào rõ ràng cho 1 vấn đề như thế. Đó là 1 cách đáp lời.
Còn bác conmale thì chỉ đáp lời ngắn gọn bằng 1 câu như thế thôi. Đối với 1 nhận xét cụt lủn, thiếu phân tích, thiếu dẫn chứng, có nội dung tầm thường, đã chứng tỏ sự thiếu suy nghĩ hay chưa chứng tỏ sự suy nghĩ, và câu trả lời là hiển nhiên, thì hoặc là người ta bỏ qua, hoặc là người ta sẽ chỉ đáp bằng 1 câu. Hỏi theo cách nào thì sẽ được trả lời theo cách đó.
Bác Kevin, đừng vội vàng bức xúc. Bác cứ sinh hoạt trên mạng internet một thời gian nữa (nhất là các forum quốc tế về chuyên môn) bác sẽ hiểu hơn về security và văn hoá ứng xử. Đến lúc đó, bác sẽ thấy cách đáp lời của bác conmale là cách đúng đắn, hợp lý, lịch sự, thể hiện sự quan tâm, và hoàn toàn bình thường. Có thể nói, đó là chuẩn mực ở trong xã hội thôi mà.
|
|
|
youmakemefeel wrote:
Chào mọi người!
Mô hình mạng công ty mình như sau:
Hiên tại với mô hình trên, các máy trong LAN chỉ ra internet theo đường FPT, còn đường ra viettel thì chỉ ping được đến IP LAN của modem, ko ping ra được ip tĩnh viettel cấp và DNS của viettel (203.113.131.1).
Nếu mình dùng 1 pc connect trực tiếp đến port Modem Draytek thì ra net bình thường.
Trên con fortigate để Firewall policy là allow any any .
Trên Draytek cấu hình default của viettel, thêm 1 static route đến LAN.
Mình đã thử bỏ modem Draytek đấu trực tiếp đường net vào cổng WAN 2 của Fortigate, cấu hình policy giống hệt như đường WAN 1 nối ra FPT, nhưng lại bị một hiện tượng là các máy tính có IP lẻ thì ra được cả 2 đường net còn IP chẵn thì chỉ ra được net theo đường FPT.
Rất mong mọi người giúp đỡ.
Thanks!
Có lẽ là lỗi load balancing. Con FG-224B dùng firmware version mấy? Phần load balancing v.4 có vẻ khá hơn v.3 nhiều. Nếu v.3 thì bác upgrade lên v.4 trước thử xem. Và để cho đơn giản sau khi upgrade bác nên bỏ con Draytek đó đi.
(Tôi không nói để con Draytek đó là sai. Nhưng bác nên cấu hình đơn giản trước đã.)
|
|
|
ngocminh34, bác cứ làm theo đúng khuyến cáo của spamhouse, chặn cổng 25 và, tui nghĩ bác nên chặn luôn cổng 53 để các máy con không thể tự ý gửi mail hay truy vấn DNS ra ngoài được. Nếu không chỉ cần 1 máy con bị nhiễm virus thôi trong vòng 1 phút nó có thể gửi đi 1 vạn cái mail, để lại hậu quả giải quyết cả đời không hết đâu.
|
|
|
simivn wrote:
(Ghi chú : AP hiệu Buffalo có 3 nút chuyển nhỏ bên ngoài trên thân : Router ; Bridge ; Auto. Bình thường để chế độ Router hay Auto cũng tình trạng như trên).
Bác đặt chế độ Bridge là tiện nhất. Vì khi đó AP sẽ giống như một switch, nghĩa là máy ở sau AP cũng giống như trước AP, đều có IP cùng lớp mạng cả.
|
|
|
alex96 wrote:
Mọi người có thể trả lời giúp em 1 vài câu hỏi sau được không ?
1, Sự khác biệt giữa *nix và linux
2, Distro # hệ điều hành như thế nào ?
3, Các Distro như Ubuntu, CentOS, SuSE, RedHat,... cái nào thuộc họ *nix, cái nào thuộc họ linux.
4, Theo bài của anh facialz, anh ấy nói "Linux và OpenSolaris", theo em hiểu thì OpenSolaris chỉ là distro thôi chứ nhỉ?
5, FreeBSD được coi là một distro (hay 1 hệ điều hành?) thuộc họ *nix hay linux, hoặc không họ nào cả, đơn giản chỉ là phần mềm mã nguồn mở ?
- Thân!
1. *nix nguyên thủy chỉ tất cả các hệ điều hành có tên tận cùng bằng nix (UNIX, XENIX,...), sau đó mở rộng ra để chỉ những hệ điều hành có tên tận cùng bằng IX (IRIX, AIX,...) và UX (HP-UX, Linux,...) và cuối cùng, như bác quanta đã nói đó, mở rộng ra để chỉ tất cả những hệ điều hành giống UNIX. Linux là một hệ điều hành dựa trên Linux kernel.
2. Bản thân danh từ "hệ điều hành" chỉ có một ranh giới chính xác trong mô hình phân phối truyền thống, khi mọi hệ điều hành đều do 1 công ty hay 1 tổ chức chặt chẽ nào đó phát hành. Bởi vì chính công ty hay tổ chức đó sẽ định nghĩa cái gì thuộc về hệ điều hành, mọi phần mềm khác sẽ nằm ngoài hệ điều hành. Có lẽ bắt đầu từ Linux mới xuất hiện một mô hình phân phối khác: hệ điều hành được đóng gói và phân phối cùng với rất, rất nhiều phần mềm ứng dụng, từ rất nhiều nguồn gốc khác nhau, và rất nhiều khi không được phân phối bởi 1 công ty hay tổ chức chính quy, nghĩa là giữa hệ điều hành và phần mềm ứng dụng không còn một ranh giới rõ rệt nữa. Danh từ "distro" từ đó mà xuất hiện để chỉ gói phân phối không có ranh giới rõ rệt này.
3. Xem câu 1.
4. OpenSolaris là 1 hệ điều hành và cũng có vài "distro". Bắt nguồn từ Solaris nhưng với mô hình phát triển cộng đồng hiện nay thì có thể nói xu thế du nhập mã nguồn đang và sẽ có chiều hướng ngược lại: tất cả những gì mới nhất sẽ được phát triển trên OpenSolaris trước, sau đó mới được port sang Solaris. (Tôi chưa dùng Solaris bao giờ nên không dám nói nhiều. Nhưng những thứ quan trọng tôi cần dùng và đã dùng chỉ có ở OpenSolaris, không có trong Solaris.)
5. FreeBSD là một hệ điều hành. Không như các Linux distro, giữa nó với các anh chị em khác của nó như OpenBSD, NetBSD,... có sự khác biệt đáng kể ở trong kernel khiến cho không thể gọi FreeBSD, OpenBSD, NetBSD,... là những "distro" của cùng một hệ điều hành được. FreeBSD giống UNIX (thuộc họ *nix). Và hơn thế nữa, ai đã từng dùng UNIX, đã biết lịch sử phát triển của UNIX thì đều có thể khẳng định rằng nếu bỏ qua mặt thương hiệu (vì lý do pháp lý mà phải mang tên khác), chỉ xét trên mặt thực tế thì FreeBSD chính là UNIX. Và cuối cùng, không một hệ điều hành đương đại nào xứng đáng được gọi là UNIX hơn FreeBSD.
Tóm lại, "hệ điều hành" là một từ phổ quát của thế giới. "distro" là một từ riêng của địa hạt Linux. Khi đã ra khỏi địa hạt đó thì không nên dùng từ "distro".
|
|
|
win0611 wrote:
Bác facialz có thể tính cụ thể địa chỉ subnet mask ra đc ko? chứ qui định mặt nạ mạng con (Subnet mask) tất cả các bit trong Host ID là 0,còn lại (Netword ID) là 1 thì là tất nhiên rồi mà !
Vì ko tính đc subnet mask thì các ý sau cũng ko làm đc mà !!!
Tui không biết cách nào khác để giải thích. Tui tóm tắt lại các ý tôi đã viết nhé:
Đối với địa chỉ mạng x.y.z.0 (z là số lẻ):
+ Subnet mask không thể là /23, /22, /21... vì những subnet mask này cho mạng quá lớn, đến nỗi địa chỉ x.y.z.0 không còn là địa chỉ mạng mà trở thành địa chỉ host (xem lại bài #7)
+ Subnet mask không thể là /27, /28, /29,... vì những subnet mask này cho mạng quá nhỏ, đến nỗi không đủ để chứa 60 máy (xem lại bài #4).
Vậy chỉ còn lại 3 subnet mask khả dĩ là /24, /25, /26.
Tương tự, đối với địa chỉ mạng x.y.z.128 có hai subnet mask khả dĩ là /25, /26, đối với địa chỉ mạng x.y.z.64 và x.y.z.192 có subnet mask khả dĩ duy nhất là /26.
Thế thôi. Còn bác muốn thêm cái gì nữa thì tùy.
|
|
|
|
|
|
|