[Discussion] Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... |
19/08/2010 21:52:21 (+0700) | #1 | 218682 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
Đường link của các mô hình của một trang web sau đây,
http://liveclub.vn/blogs/windowsserver/archive/2008/10/17/top-10-mo-hinh-lab-quan-tri-mang-danh-cho-doanh-nghiep.aspx
Mục tiêu thảo luận của topic là phân tích kỹ thuật mạng được áp dụng trong mô hình thứ 6,7,8,9 trong topic đăng ở đường link trên. Phân tích kỹ thuật HDH/phần mềm là mục tiêu phụ.
Mô hình 6 : Xây dựng và cấu hình ISA Server 2006
liveclub wrote:
B- GIỚI THIỆU
Khi kết nối hệ thống mạng nội bộ để giao dịch với Internet ,các Công ty thường có yêu cầu như :
- Kiểm soát các giao dịch thực hiện giữa mạng nội bộ và Internet
- Ngăn chặn các tấn công, thâm nhập trái phép từ Internet
Giải pháp thích hợp cho các nhu cầu trên là sử dụng các Firewall (bức tường lửa). Bài Lab này giới thiệu việc cài đặt và triển khai phần mềm Firewall của Microsoft : Internet Security and Acceleration 2006 (ISA-2K6)
Mô hình 7 : Server Publishing thông qua ISA Server 2006
liveclub wrote:
II- GIỚI THIỆU
Mô hình tương tự bài Lab 6, phát sinh thêm yêu cầu sau :
- Công ty cần Publish một Web Server trong mạng nội ra ngoài Internet để các Client dù trong mạng nội bộ hay từ ngoài Internet đuề có thể truy cập cập
- Thiết lập cơ chế điều khiển từ xa với Remote Desktop sao cho Administrator có thể khiển Web Server từ một máy bất kỳ trong mạng nội bộ hoặc từ ngoài Internet
Mô hình 8 : Hệ thống mở rộng & Kết nối WAN
liveclub wrote:
II. Giới thiệu:
Doanh nghiệp mở rộng hoạt động kinh doanh và mở thêm chi nhánh ở Hà Nội. Từ đó, phát sinh một số nhu cầu:
- Nhân viên làm việc ngoài công ty cần kết nối an toàn đến hệ mạng Sài Gòn.
- Trao đổi dữ liệu an toàn giữa 02 hệ mạng Sài Gòn & Hà Nội khi doanh nghiệp không có đường thuê bao riêng.
- Khách hàng đến doanh nghiệp có thể dùng laptop kết nối không dây để truy cập internet.
- Nhân viên có thể dùng laptop kết nối không dây để truy cập internet và truy cập tài nguyên mạng nội bộ.
Mô hình 9 : Chia Site logic cho Domain Network
liveclub wrote:
II. Giới thiệu:
Trong bài Lab 8, chi nhánh Hà Nội sử dụng mô hình Workgroup, nhưng do số lượng nhân viên tại site Hà Nội tăng lên , nên phát sinh nhu cầu
- Tại site Hanoi sử dụng cùng Domain Network với Site Saigon để quản lý tập trung
- Xây dựng thêm Domain Controller tại site Saigon để duy trì quá trình đăng nhập khi Domain Controller hiện tại có sự cố
- Mỗi site duy trì quá trình đăng nhập độc lập khi kết nối VPN bị lỗi
|
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Discussion] Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... |
19/08/2010 22:03:27 (+0700) | #2 | 218683 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
Khi vừa nhìn vào các mô hình này, câu nói cửa miệng đầu tiên của tui là "cái isa" chết thì mình làm lại hết. Vì mô hình chẳng có cái đường dự phòng nào. Phương pháp dự phòng là nối "dây trực tiếp" và cấu hình lại router đầu ra internet phục vụ hệ thống hoạt động ở mức tối thiểu.
Tui mời mọi người tiếp tục.
PS: Mục đích của loạt lab này đặt nặng vai trò thần thánh của ISA Server nên có thể gây nhiều bức xúc ở nhiều người.
PS: Lý do tạo topic, vì tui từng bức xúc một trường hợp tương tự. Một hệ thống có isa server với cách thức phòng hờ trường hợp ISA server rớt là nối dây trực tiếp bỏ qua ISA Server. |
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Discussion] Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... |
19/08/2010 22:28:14 (+0700) | #3 | 218690 |
|
nhanth87
Member
|
0 |
|
|
Joined: 12/08/2009 08:54:00
Messages: 168
Offline
|
|
Theo em thì tốt nhất là nên cấu hình high available thay vì thoả thuận để giảm mức an toàn của hệ thống. |
|
Aricent - Software Engineer |
|
|
|
[Discussion] Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... |
19/08/2010 23:30:05 (+0700) | #4 | 218693 |
|
Bướm Đêm
Member
|
0 |
|
|
Joined: 25/03/2008 18:30:01
Messages: 223
Location: Phố Hoa
Offline
|
|
thaidn wrote:
... Tôi nghĩ vấn đề ở đây chủ yếu là tâm lý. Mọi người đều chỉ nhớ đến các mối nguy của con web-server chạy các web-application bởi vì đó là môi trường họ làm việc hàng ngày, chúng quen thuộc và gần gũi, còn firewall thường là dạng thiết bị "setup once, run forever", người ta thường chẳng nhớ đến sự tồn tại của nó...
_http://vnhacker.blogspot.com/2008/06/firewall-c-tht-s-bo-v-thng-tin-tuyt-i.html |
|
GZ tqf zìeq ˘ऐ xखc sड़e cav xন qrqr |
|
|
|
[Discussion] Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... |
20/08/2010 07:45:27 (+0700) | #5 | 218704 |
Mình vừa đọc được bài 10 mô hình này, bài chỉ trích của bác myquartz trên diễn đàn vnpro và Nhất Nghệ
tmd wrote:
Khi vừa nhìn vào các mô hình này, câu nói cửa miệng đầu tiên của tui là "cái isa" chết thì mình làm lại hết. Vì mô hình chẳng có cái đường dự phòng nào.
Theo mình 10 mô hình này dành cho doanh nghiệp vừa và nhỏ nên nó hoàn toàn không chú trọng đến HA, với lại Nhất Nghệ chuyên về server hơn là network device, mà HA lại cần làm trên device hơn là server. Vì vậy mình không quan tâm tới dự phòng trong các mô hình này mà phân tích về khía cạnh "stupid" mà bác myquartz có nói.
Tập trung vào mô hình 6 nhé
Thứ nhất : con ISA đặt cùng subnet với modem adsl bằng kết nối layer3 (đặt IP), làm vậy firewall chẳng có tác dụng gì hết. Ở ngoài internet không thế tạo connection trực tiếp vào LAN do modem đã NAT nên firewall không thể filter inbound, chẳng lẽ dùng firewall này để bảo vệ ... server ngoài internet chống lại tấn công từ trong nhà ?
Thứ hai : Đặt con firewall nằm ngoài router như vậy không thể lọc các tấn công lẫn nhau từ trong nội bộ mà chỉ để lọc truy cập internet.
Thứ ba: con modem adsl chỉ nat được khi Ip cùng dãy LAN với nó (192.168.1.0/24). Như vậy toàn bộ mạng LAN phía trong khác dãy 192.168.1.0/24 sẽ không thể truy cập internet được. Nếu phải nat thêm lần nữa thì kỳ quá.
Thứ tư : router cho doanh nghiệp nhỏ thường có ít số card và port ethernet, vd 1 card chỉ có 2 port, nên thiết kế router dùng tới 4 cổng ethernet như vậy có thể khiến doanh nghiệp phải mua thêm 1 cái card, mà tiền mua card sẽ đắt hơn tiền mua con switch nhỏ thế vào đó tốt hơn là dùng subinterface sẽ chỉ tốn 2 port thôi.
Mấy mô hình này được đưa ra cho đủ 10 để thành top, mình thấy không có sự phân biệt nhau rõ ràng |
|
Spam thêm một bài là góp một viên gạch xây diễn đàn lớn mạnh |
|
|
|
[Discussion] Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... |
20/08/2010 09:11:06 (+0700) | #6 | 218712 |
myquartz
Member
|
0 |
|
|
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
|
|
Tớ chỉ xoáy vào 1 cái stupid duy nhất, đó là người làm ra cái mô hình này, không hiểu hoặc cố tình không hiểu con router (layer 3) đó nó có chạy cả layer 3/4 (NAT port, NAT ip). Do đó, Firewall để trong thì vô tác dụng với inbound traffic, còn việc demo inbound NAT các giảng viên thường làm ... 2 lần để chứng minh khả năng của ... fw NAT được (1 trên con router, 1 trên con NAT). Giảng viên cũng ko biết là làm 2 lần nghĩa là hệ thống sẽ phải xử lý 2 lần, performance sẽ giảm tương ứng...
Còn cái khác, ví dụ demo IPSec VPN, thì đó là việc chính, không phải quan tâm đến cái việc phụ là router NAT hay không NAT (nó vẫn stupid giống bên trên)
Có thể tìm thấy vô số các lỗi NAT tương tự trên các diễn đàn mạng và CNTT, tìm trên hva này cũng có bạn hỏi về NAT với iptables chẳng hạn (bài này: /hvaonline/posts/list/35547.html ), với cái mô hình không khác gì cái đem ra mổ xẻ ở đây. Do không hiểu bản chất hoạt động, nên các bạn không biết source IP, dest IP trong các rule này sẽ phải set thế nào cho đúng. Các bạn đó là sản phẩm đào tạo của nhiều trung tâm kiểu như NN, dĩ nhiên, lỗi không phải do các bạn học viên ấy, các bạn ấy muốn bỏ tiền ra để mua kiến thức, tiếc là ...
----------------------------------------------------------------------
Có bạn nói tớ nói người khác dốt chắc gì mình đã biết, tớ có chú giải thêm đây:
- Trên thực tế, với doanh nghiệp nhỏ xài đường ADSL IP động hoặc FTTH 1 IP tĩnh (hoặc 4, 5 IP tĩnh), thì không cần router, ADSL router chuyển làm thiết bị kết nối layer 2 (brigde), còn FTTH thì cắm thẳng optical converter vào fw. FW kết nối lên ISP BRAS trực tiếp qua PPPoE (rất phổ biến ở VN). Lúc này firewall mới có tác dụng cản lọc, IP là public, NAT chỉ làm 1 lần, DMZ nếu có mới đúng nghĩa. Không cần router vì cơ chế routing là static, đơn giản bất kỳ FW nào cũng làm tốt được.
- Có trường hợp nào có router đứng trước fw không? có, router này chạy layer 3 và chỉ chạy layer 3, không NAT, và IP mà fw được gán vẫn là IP public. inbound traffic sẽ đến được với fw không qua NAT, không cản lọc gì trên router (và không nên làm điều này, router không tốt lắm cái việc đó). Cái này thường chỉ áp dụng khi kết nối nhiều kênh LL Internet, peering với các ISP, cần đến khả năng dynamic routing của router (thường là BGP, router cho SOHO không bao giờ có khả năng này). Mục đích là để đảm bảo tính sẵn sàng, bất kỳ 1 kênh LL nào bị gián đoạn hoặc ISP có trục trặc thì khách hàng vẫn truy cập vào web site công ty được. Doanh nghiệp lớn mới làm việc đó và chịu nổi chi phí các kênh LL Internet (ví dụ Ngân hàng Đông Á, có AS Number riêng và peering với 2 ISP nào đó chẳng hạn). Ngày nay FW của các hãng đều support BGP cả, lại nhiều interface WAN (V35 chẳng hạn), nên rồi cũng dẹp luôn được cái router, FW làm 2 trong 1 (vừa tiết kiệm tiền, vừa bảo mật hơn vì hệ thống ít thành phần => rủi ro ít đi). |
|
|
|
|
[Discussion] Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... |
20/08/2010 15:11:09 (+0700) | #7 | 218740 |
|
vikjava
Elite Member
|
0 |
|
|
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
|
|
myquartz wrote:
Do đó, Firewall để trong thì vô tác dụng với inbound traffic.
Hi myquartz.
Nếu ISA server có 3 card mạng: 1 kết nối LAN, 1 kết nối DMZ, 1 kết nối Modem ADSL . Trên Modem ADSL mình vẫn NAT, trên ISA thực hiện NAT và routing ... với mô hình này thì theo myquartz thấy thế nào ? Có vô tác dụng với inbound traffic không ?
Thân |
|
|
|
|
[Discussion] Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... |
20/08/2010 16:03:19 (+0700) | #8 | 218746 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Nếu muốn biết mùi đau khổ, hãy thử firewall đứng bên ngoài, router đứng bên trong. Muốn biết mùi đau khổ hơn nữa, hãy thử double NAT.
Nên nhớ: mô hình chạy được không phải là mô hình tốt nhất. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Discussion] Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... |
20/08/2010 16:25:46 (+0700) | #9 | 218751 |
myquartz
Member
|
0 |
|
|
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
|
|
vikjava wrote:
Hi myquartz.
Nếu ISA server có 3 card mạng: 1 kết nối LAN, 1 kết nối DMZ, 1 kết nối Modem ADSL . Trên Modem ADSL mình vẫn NAT, trên ISA thực hiện NAT và routing ... với mô hình này thì theo myquartz thấy thế nào ? Có vô tác dụng với inbound traffic không ?
Thân
Có và không. Thường phần nhiều mọi người làm là có vô tác dụng.
Lý do: khi modem ADSL (kiêm router), nó NAT vào trong, thì bạn setup cho nó forward port cụ thể nào vào 1 IP bên trong, chỉ có inbound traffic port đó (nghĩa là connection initial được bắt đầu từ bên ngoài vào bên trong) mới match cái rule đó, và được gửi vào trong. Vào đến firewall, lại 1 động tác tương tự. Các rule khác sẽ không có tác dụng vì ADSL router nó đã drop hết các gói không match rule nào setup trên nó rồi.
Ví dụ: trên ADSL router chỉ forward 1 cái port 80 từ ngoài vào 1 IP/port 80 bên trong để làm web server. bên trong fw mở ra chạy ok, dĩ nhiên.
FW bên trong lại làm thêm việc là DROP các gói tin inbound có dest port là 25 để bảo vệ mail server chẳng hạn. Rule này sẽ chả bao giờ phảo làm việc, vì có gói tin port 25 nào đi từ Internet vào qua được ADSL router đâu mà đến chỗ FW để DROP.
Không vô tác dụng khi: ADSL Router bên ngoài tạo 1 cái rule forward tất cả vào trong (rule for all port, 0-65535), bất kể protocol. Lúc đó FW bên trong mới nhận hết mọi inbound traffic và rule sẽ không vô tác dụng. Hiếm ai làm việc này, nên ít khi xảy ra.
Bác conmale nói rồi đó, sẽ work khi NAT 2 lần, cơ mà, trừ khi có lý do chính đáng cho việc này, không thì nó chả mang lại lợi ích gì hơn mà còn có hại. |
|
|
|
|
[Discussion] Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... |
20/08/2010 21:17:41 (+0700) | #10 | 218767 |
No.13
Moderator
|
Joined: 25/08/2003 22:07:38
Messages: 500
Offline
|
|
|
|
[Discussion] Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... |
20/08/2010 22:48:01 (+0700) | #11 | 218774 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
Mô hình back to back từ trang isaserver.org
http://www.isaserver.org/search.asp?s=back+to+back
Designing a Back-to-Back Perimeter Network
http://technet.microsoft.com/en-us/library/cc786644%28WS.10%29.aspx
Nói cái mô hình hoành tráng vì mô hình đó chuyên về isa server, trong mô hình không đề cập tới các kỹ thuật thiết bị router như trong mô hình mạng đang đề cập tới trong topic này.
PS: Có lẻ chuyện gom router và isa vào chung một mô hình không được diễn giải chính xác. Dẫn tới nó bị tiếp nhận soi mói kỹ thuật. Cá nhân tui đã nhấn mạnh là mấy mô hình đó là "lý thuyết" cho nên mình đừng nghĩ là nó sẽ bị ai đó đưa y nguyên ra ngoài thực tế. Có thể lúc nào đó tui xin phép bản quyền rồi chạy test mô hình, để học hỏi rồi áp dụng (sau khi thêm bớt) vào công việc để lảnh lương . |
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Discussion] Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... |
20/08/2010 23:01:10 (+0700) | #12 | 218776 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
No.13 wrote:
Có lẽ tác giả để con router đứng đó mà không "vẽ" thêm mấy cái network thì phí smilie. ISA từ bản 2004 (nhớ không lầm) thì đã hỗ trợ multi-home rồi. Mua thêm mấy cái card mạng gắn vô con ISA, cắm mấy cái network vào mấy cái card này. Khi này ISA có thể filter traffic giữa các internal network.
Ngoài ra với kỹ thuật này,mình tiến tới
Network Load Balancing Integration Concepts for Microsoft Internet Security and Acceleration (ISA) Server 2006 , cho nó hoành tráng bội phần. Nhưng đây đang là lý thuyết.
http://technet.microsoft.com/en-us/library/bb794741.aspx
Internet Security and Acceleration (ISA) Server 2006
http://technet.microsoft.com/en-us/library/ff630950.aspx |
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Discussion] Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... |
20/08/2010 23:08:01 (+0700) | #13 | 218777 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
Sau khi quan sát qua mô hình số 8, mô hình số 6, mô hình VPN trong mô hình 8, ý kiến của mr conmale, tui thấy nếu mình áp dụng hỗn hợp mô hình 6 cho từng chi nhánh. Sau đó mô hình 8 để kết nối các chi nhánh với nhau. Sau đó mình ráp lại các chi nhánh, ta có được
mr conmale wrote:
hãy thử firewall đứng bên ngoài, router đứng bên trong
và router ADSL ngoài cùng. Lúc đó mình sẽ làm như thế nào đây, để cho hệ thống không bị công kích bởi hva' members.
PS: mô hình này là tui suy diễn theo tâm lý thường, sau gì cũng sẽ có người nghĩ tới mô hình này.
Hình sẽ được vẽ và upload sau. |
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Discussion] Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... |
21/08/2010 09:44:48 (+0700) | #14 | 218785 |
hvthang
Member
|
0 |
|
|
Joined: 20/07/2005 03:26:58
Messages: 187
Offline
|
|
Em xin có một số ý kiến sau:
1. Về nguyên nhân sinh ra cái chủ đề này, có lẽ là xuất phát từ đây: /hvaonline/posts/list/20/27089.html#218680.
2. Qua phân tích kỹ thuật của bác myquartz và chủ yếu theo mô hình này:
- Lỗi hay sự "stupid" nằm ở con router (chắc là con DSL modem) đặt giữa Internet và ISA. Theo bác myquartz thì khi traffic từ ngoài vào trong mạng sẽ bị con DSL modem chặn hết và con ISA trong trường hợp này sẽ "làm cảnh".
==> giải pháp là sử dụng kết nối PPoE từ ISA đến DSL, chỉ cho DSL làm chức năng chuyên môn là modem. Các chức năng liên quan đến router, fw thì cho ISA xử lý (đúng không bác). Như vậy, lỗi này do việc cấu hình giao thức giao tiếp sai.
- Xét luồng traffic đi từ trong ra ngoài thì sẽ có 2 lần NAT (1 trên con ISA và 1 trên DSL), do đó làm giảm performance của mạng - nếm mùi đau khổ . Và giải pháp khắc phục cũng tương tự.
Như vậy, lỗi ở đây là do việc cấu hình sai chứ không phải việc đặt thiết bị sai.
Và em xin đồng ý là bên NN nên sửa theo góp ý của bác - sửa rồi chắc chắn sẽ gây khó khăn cho mấy ông học viên khi làm lab mới bởi vì phải cấu hình thêm PPoE và cấu hình cả modem DSL (cái này chắc NN không muốn HV đụng vào).
Còn việc chất lượng các học viện (trung tâm) mạng hiện giờ em cũng có cảm nhận như bác, họ hơi chạy theo lợi nhuận và yêu cầu bằng cấp của HV mà không quan tâm lắm tới chất lượng.
Có lần em có xem cái video của bên NETPRO ở Hà nội, giảng việc họ giảng theo slides của MS soạn, slides thì nói một đường, họ giải thích một nẻo, cảm giác chính họ cũng chưa hiểu cái mục tiêu của slides là nhấn mạnh đến vấn đề nào.
3. Về con router trong mạng
- Bác No.13 nói là bán nó đi lấy tiền bia bọt thì em chỉ đồng ý một phần (trong trường hợp mạng doanh nghiệp nhỏ, lượng trao đổi thông tin giữa các LAN là ít). Tuy đã có giải pháp multi-home của ISA, nhưng nếu sử dụng nó trong mô hình mạng lớn, khi đó ISA sẽ phải chịu trách nhiệm định tuyến khá nặng, chưa kể đến việc định tuyến của các thiết bị mềm như ISA thường có hiệu năng thấp do phải thực hiện nhiều dịch vụ khác cùng lúc.
Nếu có con router, nó sẽ đảm nhiệm việc này một cách hiệu quả, và chỉ có traffic đi ra ngoài mạng thì ISA mới phải xử lý, do đó làm giảm bớt gánh nặng cho ISA.
- Một lý do thực tế nữa mà em suy đoán , do có con router này vì đây là mô hình lab của các phòng lab của họ, trong lab đã có sẵn thiết bị router và ISA lại chỉ có 2 network interfaces nên họ chọn cách này. Sau này không ngờ cái mô hình lab lại được "làm tham khảo cho doanh nghiệp" nên nó lòi ra nhưng điểm không phù hợp thực tế doanh nghiệp. |
|
|
|
|
[Discussion] Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... |
21/08/2010 20:51:46 (+0700) | #15 | 218821 |
myquartz
Member
|
0 |
|
|
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
|
|
Nhìn cái mô hình họ dạy cho học viên, tớ thắc mắc là khoá đào tạo đó dạy cái gì?
Nếu học về mạng, thì ắt hẳn phải dạy các lớp đóng gói gói tin từ trên xuống. Rồi NAT là cái gì, why NAT..., rồi các giao thức layer 2 như PPPoE hay những cái liên quan ắt phải dạy.
Cơ mà, cái lab này chứng tỏ kiến thức mạng ko có nhiều. Học về Firewall mà mù mờ cách hoạt động của nó, thì chắc chắn không hiểu những câu nói sau: layer-3 filter, packet filter, layer-4 filter, application-layer filter... NAT sẽ nằm ở những layer nào? Không hiểu những cái như vậy làm sao họ lại có thể set cho cái FW đúng theo ý muốn bảo mật?
Hay họ dạy ... cài ISA? cái này học thì đúng là giá tiền các khoá học như vậy thật là ... chát.
Học xong, học viên tự tin apply vào công ty, "em biết bảo mật", "em biết firewall"... Được nhận, setup hệ thống theo mô hình đã học và kiến thức xyz.
Ôi, hàng ngày, lãnh đạo cứ thắc mắc là "anh cho các em mua hết ISA đến server rồi, sao mạng vẫn cứ chậm chậm thế nào ấy", "dạ, thưa anh, do nhà mạng ạ".
Chả may apply vào ... cơ quan mình, may mắn vào, cái hay sau 1 hồi làm việc được hiểu ra là mình fí tiền đi học ở NN. Cơ mà, trước khi đạt được điều đó, thì bị chửi cho ... như xxx. |
|
|
|
|
[Discussion] Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... |
22/08/2010 20:27:05 (+0700) | #16 | 218900 |
myquartz wrote:
Nếu học về mạng, thì ắt hẳn phải dạy các lớp đóng gói gói tin từ trên xuống. Rồi NAT là cái gì, why NAT..., rồi các giao thức layer 2 như PPPoE hay những cái liên quan ắt phải dạy.
Chết chết, dạy vậy kéo dài từ năm này qua năm khác, biết chừng nào đi làm, tiền đâu đóng học phí ?!
myquartz wrote:
Hay họ dạy ... cài ISA?
Nấu mì ăn liền dễ hơn nấu cơm
myquartz wrote:
Học xong, học viên tự tin apply vào công ty, "em biết bảo mật", "em biết firewall"... Được nhận, setup hệ thống theo mô hình đã học và kiến thức xyz.
Mục tiêu khoá học là nói ra phải biết đủ thứ, vài tháng có thể đi làm ngay, chạy trước đã tối ưu tính sau, đáp ứng cho doanh nghiệp vừa và nhỏ vì mạng nhỏ quá không sợ gặp những vấn đề về performance và ít bị attacker để ý
|
|
Spam thêm một bài là góp một viên gạch xây diễn đàn lớn mạnh |
|
|
|
[Discussion] Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... |
22/08/2010 20:33:44 (+0700) | #17 | 218902 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
Lộn rồi, học để có thứ để nói khi đi phỏng vấn. Vì VN mình quan niệm, học viên phải biết đọc tài liệu trước khi tới lớp. Các vấn đề thuộc dạng nền tảng như TCP/IP hay ISO, học viên phải tự trang bị. Vào trung tâm chỉ được học theo giáo trình mà giảng viên "tự soạn" dựa trên giáo trình "hàn lâm" do bộ phận training của hảng sản xuất phần mềm/phần cứng đưa ra. Giáo trình đúng chính hảng thì học viên có thể tham khảo trên "mạng", trung tâm không làm y chang giáo trình đó. Trung tâm có thể "thêm bớt" để phù hợp với môi trường kinh tế Việt Nam.
Thực tế mình tự học là chính, trung tâm là phụ, thực hành trên thiết bị trung tâm là mười.
PS: cái hình để thứ 2 vào cty vẽ visio.
Quay lại chủ đề chính, học ISA các version nhưng khó mà áp dụng được nó vào mô hình công ty.
hvthang wrote:
Lỗi hay sự "stupid" nằm ở con router (chắc là con DSL modem) đặt giữa Internet và ISA. Theo bác myquartz thì khi traffic từ ngoài vào trong mạng sẽ bị con DSL modem chặn hết và con ISA trong trường hợp này sẽ "làm cảnh".
Không phải, vấn đề nằm ở cái Router nằm bên trong.
==> giải pháp là sử dụng kết nối PPoE từ ISA đến DSL, chỉ cho DSL làm chức năng chuyên môn là modem. Các chức năng liên quan đến router, fw thì cho ISA xử lý (đúng không bác). Như vậy, lỗi này do việc cấu hình giao thức giao tiếp sai.
Cẩn thận, kết luận vậy là có vấn đề đó. ISA sao mà thay cái modem/router ADSL đó làm nhiệm vụ router được. Giải pháp này càng làm cho vụ việc tới 1 chân trời sai mới. Hiểu sai chức năng của ISA server và router cứng.
PS: Vấn đề tại sao lại có cái topic này. Do dân mình còn dốt.
|
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Discussion] Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... |
22/08/2010 22:23:17 (+0700) | #18 | 218921 |
hvthang
Member
|
0 |
|
|
Joined: 20/07/2005 03:26:58
Messages: 187
Offline
|
|
tmd wrote:
Lộn rồi, học để có thứ để nói khi đi phỏng vấn.
Bạn nói thể khác gì vả vào mặt bác myquartz. Bạn đã thử làm vậy chưa? có hiệu quả không? . Cái bạn đang đề cập, thiên hạ họ gọi nôm na là... chém gió đấy.
tmd wrote:
Vì VN mình quan niệm, học viên phải biết đọc tài liệu trước khi tới lớp. Các vấn đề thuộc dạng nền tảng như TCP/IP hay ISO, học viên phải tự trang bị. Vào trung tâm chỉ được học theo giáo trình mà giảng viên "tự soạn" dựa trên giáo trình "hàn lâm" do bộ phận training của hảng sản xuất phần mềm/phần cứng đưa ra. Giáo trình đúng chính hảng thì học viên có thể tham khảo trên "mạng", trung tâm không làm y chang giáo trình đó. Trung tâm có thể "thêm bớt" để phù hợp với môi trường kinh tế Việt Nam.
Cái này chắc chỉ là quan điểm chủ quan của bạn thôi. Vẫn có một số trung tâm làm tốt việc giảng dạy (theo chuẩn đề ra). Bạn có thể tham khảo ở BKACAD ở HN.
Trong trường hợp giả định của bạn có thực, thì mình nghĩ lỗi phần nhiều là do học viên (họ đã bỏ một số tiền không nhỏ để theo học, nếu họ không quan tâm mình đang được học chương trình nào, nội dung gì, giảng viên như thế nào, thì lỗi là ở họ - và khi đó đừng kêu than học viện - trung tâm này nọ).
thêm nữa, OSI chứ không phải ISO nhé.
tmd wrote:
Thực tế mình tự học là chính, trung tâm là phụ, thực hành trên thiết bị trung tâm là mười.
Nói vậy chứng tỏ bạn vẫn đến các TrT để học, vì vậy bạn đừng chê trách chất lượng các TrT làm gì. Mình đoán một số không nhỏ các bác khác đã chọn cách tự học.
tmd wrote:
PS: cái hình để thứ 2 vào cty vẽ visio.
tmd wrote:
Quay lại chủ đề chính, học ISA các version nhưng khó mà áp dụng được nó vào mô hình công ty.
Khó là khó như thế nào vậy bạn?
tmd wrote:
hvthang wrote:
Lỗi hay sự "stupid" nằm ở con router (chắc là con DSL modem) đặt giữa Internet và ISA. Theo bác myquartz thì khi traffic từ ngoài vào trong mạng sẽ bị con DSL modem chặn hết và con ISA trong trường hợp này sẽ "làm cảnh".
Không phải, vấn đề nằm ở cái Router nằm bên trong.
Cái này đơn thuần là quan điểm của bạn. Mình quan tâm quan điểm của bác myquartz hơn (vì chủ đề này liên quan trực tiếp đến các quan điểm bác ấy đưa ra về mô hình lab của NN).
tmd wrote:
==> giải pháp là sử dụng kết nối PPoE từ ISA đến DSL, chỉ cho DSL làm chức năng chuyên môn là modem. Các chức năng liên quan đến router, fw thì cho ISA xử lý (đúng không bác). Như vậy, lỗi này do việc cấu hình giao thức giao tiếp sai.
Cẩn thận, kết luận vậy là có vấn đề đó. ISA sao mà thay cái modem/router ADSL đó làm nhiệm vụ router được. Giải pháp này càng làm cho vụ việc tới 1 chân trời sai mới. Hiểu sai chức năng của ISA server và router cứng.
Cảm ơn bạn đã nhắc nhở, mình vẫn đang rất "cẩn thận" khi phát ngôn trên HVA forum
tmd wrote:
PS: Vấn đề tại sao lại có cái topic này. Do dân mình còn dốt.
|
|
|
|
|
[Discussion] Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... |
22/08/2010 23:44:31 (+0700) | #19 | 218926 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
Đông người học chỉ để biết và qua phỏng vấn. Còn người khác nghĩ sao về chuyện học trung tâm tui không biết. Còn chuyện tự học để rồi testking/pass4sure/.... đi thi là chuyện khác nữa. Còn chuyện chuyên gia tự học mấy cái chương trình MCXX,hay CCXX thì tui không thể áp đặt tư tưởng. Nhưng tui biết có vô số người tự ôm testking để MCXX để rồi có bằng. Trung tâm nào dạy MOC theo đúng chuẩn vậy bạn, dạy theo kiểu Hàn lâm ấy hay Academic...Trường hợp tui nói ra là không giả định. Chắc bạn đi quanh quẩn đâu đó và không hiểu rõ vấn đề rồi. Bạn nên phân biệt chương trình đầy đủ và chương trình tự soạn của trung tâm. Có thể bạn chỉ học ở 1 chổ duy nhất. Cho nên bạn không biết tất cả các chổ còn lại. Tui có thể thông cảm cho tầm nhìn này của bạn. Bạn cứ thử đi dạo một vòng sẽ thấy vô số chuyện mà bạn chưa bao giờ tưởng tượng ra.
Bạn nên xem kỹ các trình bày từ link góc của các mô hình, nội dung trong từng link. Và tìm hiểu kỹ người phàn nàn(myquartz) nói về vấn đề nó đang nằm ở đâu.
Bạn có đủ tiền để mua thiết bị CISCO không, bạn càng nói tui càng thấy bạn có vấn đề đó.Bạn nghĩ ai tạo cái topic này. Cho nên là đọc kỹ đi rồi suy diễn.
Bạn có nghĩ ra rằng có cần phải ISA vào tất cả các công ty không. Chắc bạn chưa bao giờ nghĩ rằng vấn đề tài chính cũng có độ khó.
PS: Cần xem kỹ khi trung tâm họ để cái bảng hiệu và cái nội dung chương trình học. Học theo chương trình gốc của Microsoft,Cisco hay chương trình của trung tâm dựa trên ... của Microsoft, Cisco. Tui đang nói tới cái thứ hai, reply trước đã nói rất kỹ như vậy. . Đọc kỹ đi. Còn chuyện làm ăn được không thì tự hiểu.
|
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Discussion] Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... |
23/08/2010 00:36:11 (+0700) | #20 | 218930 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
myquartz wrote:
Trên thực tế, với doanh nghiệp nhỏ xài đường ADSL IP động hoặc FTTH 1 IP tĩnh (hoặc 4, 5 IP tĩnh), thì không cần router, ADSL router chuyển làm thiết bị kết nối layer 2 (brigde), còn FTTH thì cắm thẳng optical converter vào fw. FW kết nối lên ISP BRAS trực tiếp qua PPPoE (rất phổ biến ở VN). Lúc này firewall mới có tác dụng cản lọc, IP là public, NAT chỉ làm 1 lần, DMZ nếu có mới đúng nghĩa. Không cần router vì cơ chế routing là static, đơn giản bất kỳ FW nào cũng làm tốt được.
Trong cái link cho bài lab 6 đó, không đá động tới cái dsl nó có cấu hình gì bên trong. Cho nên cứ hiểu là mình mới chỉ cấu hình account và các thông số tối thiểu để cho nó chạy.
Từ bài lap 1, chỉ cấu hình theo kiểu wizard để cấu hình nhanh cho DSL. Vấn đề gặp phải ngay từ bai lap 5 sang bai lap 6. Đó là nhét cái ISA vào trong mô hình.
http://210.245.22.171/tailieu/nnlab/bai%20lab%205.htm
Trong cái mô hình này nói dùng 1 cái Server có 4 card mạng làm router mềm.
TRong mô hình đó cái interface mà lap nói tới , được cho NAT và enable cái basic firewall
http://webcache.googleusercontent.com/search?q=cache:83IYDXt54AwJ:technet.microsoft.com/en-us/library/cc758437%28WS.10%29.aspx+enable+a+basic+firewall+on+this+interface&cd=2&hl=vi&ct=clnk&gl=vn
Mô hình để học để hình dung lý thuyết, nhưng nói quá cha là cho doanh nghiệp. Hiểu lầm chết người. Còn nếu người ta có dựa vào cái mô hình này, thay router mềm chơi windows server thành cái router cứng thứ thiệt thì sẽ có vấn đề gì đó mới chổ này.Ngoài ra trong mô hình 6 đó, nếu cái DSL ở ngoài thay bằng một cái router cisco cho small office như cái cisco 18xx(1801,1841...) chẳng hạn, thì có thể có nhiều chuyện khác cần phải chỉnh sửa.
Vấn đề của NN ở đây là không rõ ràng về Router,DSL -> bị myquartz nói tới.
|
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Discussion] Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... |
23/08/2010 00:41:45 (+0700) | #21 | 218931 |
|
stylish_man
Member
|
0 |
|
|
Joined: 26/10/2007 11:05:48
Messages: 17
Offline
|
|
tmd wrote:
Đông người học chỉ để biết và qua phỏng vấn. Còn người khác nghĩ sao về chuyện học trung tâm tui không biết. Còn chuyện tự học để rồi testking/pass4sure/.... đi thi là chuyện khác nữa. Còn chuyện chuyên gia tự học mấy cái chương trình MCXX,hay CCXX thì tui không thể áp đặt tư tưởng. Nhưng tui biết có vô số người tự ôm testking để MCXX để rồi có bằng. Trung tâm nào dạy MOC theo đúng chuẩn vậy bạn, dạy theo kiểu Hàn lâm ấy hay Academic...Trường hợp tui nói ra là không giả định.
Chưa hiểu ý bạn chỗ này lắm. Theo bạn thì nên ôm sách luyện ở nhà hay đến trung tâm hơn. Mình nghĩ trung tâm không "biên soạn dựa trên.." mà dạy đúng chuẩn thì chắc phải mời luôn giáo viên bên Cisco hay Microsofts về thì mới ổn. |
|
|
|
|
[Discussion] Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... |
23/08/2010 00:51:01 (+0700) | #22 | 218932 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
hvthang wrote:
==> giải pháp là sử dụng kết nối PPoE từ ISA đến DSL, chỉ cho DSL làm chức năng chuyên môn là modem. Các chức năng liên quan đến router, fw thì cho ISA xử lý (đúng không bác). Như vậy, lỗi này do việc cấu hình giao thức giao tiếp sai.
- Xét luồng traffic đi từ trong ra ngoài thì sẽ có 2 lần NAT (1 trên con ISA và 1 trên DSL), do đó làm giảm performance của mạng - nếm mùi đau khổ smilie. Và giải pháp khắc phục cũng tương tự.
How to configure a PPPoE connection in ISA Server 2006 or in ISA Server 2004
http://support.microsoft.com/kb/837830
How to Configure ISA Server to Use a PPPoE Connection
http://support.microsoft.com/kb/296534/en-us
Nên tìm hiểu xem Doanh nghiệp nhỏ hiện giờ mình còn PHẢI dùng tới mạng này không nữa.
Để ý lap 6, isa được thêm phần cấu hình là static route, tương tự cái máy chạy server 2003 làm router mềm cũng có phần NAT and basic firewall và LAN routing . Giả sử mà DSL có thêm cái NAT nữa thì thấy mẹ tới 3 lần NAT trong một cái mạng nho nhỏ(cái DSL đó ở Việt Nam đa số đều có NAT ở nhà riêng/doanh nghiệp nhỏ).
Một câu hỏi cũng khá gần với topic này.
http://social.technet.microsoft.com/Forums/en-US/ForefrontedgeVPN/thread/4632e212-cd83-413e-ae16-7ff589b0f24b |
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Discussion] Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... |
23/08/2010 01:14:18 (+0700) | #23 | 218933 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
Microsoft nó có cái chứng chỉ cho người dạy bằng gọi là MCT, Microsoft Certified Trainer.
Microsoft Certified Trainers (MCTs) are qualified instructors who are certified by Microsoft to deliver Microsoft Official Curriculum (MOC) instructor-led courses to Information Technology (IT) professionals and developers.
Cisco có Certified Cisco Systems Instructor (CCSI)Certification Summary:
This certification is for individuals who want to teach authorized Cisco courses. You must be employed or sponsored by a Cisco Learning Partner.
Initial requirements:
You must be sponsored or employed by a Cisco Learning Partner (CLP) and pass the associated course and exam(s) for your chosen technology. You must then pass the Instructor Certification Process (two-day evaluation) and acknowledge the Cisco Certified Systems Instructor Agreement. After passing the Instructor certification process, your sponsor will submit and request certification on your behalf.
Continuing requirements:
You must be an active CCSI. This requires maintaining affiliation with a Learning Partner in order to maintain your CCSI certification. If you are inactive for one year or longer, you will be required to recertify.
Tui xin liệt kê các hình thức để có được MCP,MCSA đối với các trình độ
Đối với người không có điều kiện vật chất, nhưng về khả năng học thì cao
1.Tự đọc sách và tự chơi được testking,pass4sure,..., internet(google) và thêm 1 chút tự tin -> đóng tiền thi không cần tới trung tâm học từ a-z. Chuyện này thực tế là có. Ai từng xem qua trang sadikhov.com chắc hiểu chuyện tui đang nói tới.
2. Thiếu chút tự tin, và không có cơ sở kiến thức để tự đọc sách, nên tới trung tâm học. Trường hợp này chiếm đa số các trường hợp tới trung tâm học.
3. Cao nhân như các bác mà bạn hvthang cho là tự học, và
a. Học giỏi tới mức không cần ôn và thi vẫn đậu. Tui chưa thấy vì tui không đi hỏi .
b. Học cũng giỏi nhưng cần ôn và thi đậu. Theo lời kể lại là có, chưa xác thực.
Đối với người có đủ điều kiện vật chất và khả năng là cao -> tự mua máy móc, tự mua tài liệu quốc tế, tự mua đủ thứ để tự học và thi đậu.
Đối với người có đủ điều kiện vật chất nhưng khả năng thì như đa số mọi người -> tới học trung tâm và mua hàng hóa về nhà để tự thí nghiệm rồi
a. tự học không cần ôn vẫn đậu.
b. cần ôn và đậu.
Tui liệt kê ra hết các trường hợp mà tui biết dựa trên khảo sát , dòm ngó và nhìn thấy.
Trung tâm dạy MOC hay dạy mấy cái khóa bài bản của cisco thì mình nôm na gọi nó là học viện hay Academic(tiếng Anh) cho nó hoành tráng. Và xin phân biệt với trung tâm "dựa trên giáo trình" chiếm số lượng khá lớn vào giai đoạn nở rộ trung tâm và giai đoạn hiện tại.
Đừng bảo tui đi tham khảo lần nữa nghe bạn hvthang. Hà Nội hay HCM city thì cũng na ná nhau.
PS: Còn với CCXX, mình có giàu tới mức mua được hết các thiết bị tối thiểu của CISCO để học không đây. Cho dù có thì vẫn có nhiều người vẫn ra học trung tâm để không phải bỏ bạc triệu ra mua sw,router Cisco.
PS: Có trung tâm nào dạy được đúng theo giáo trình hàn lâm của chính hảng thì bạn cũng phải nói học ký cái giấy cam đoan nha. Kẻo đóng tiền theo học rồi thấy không giống như trên internet nói thì bút sa gà chết rồi. |
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Discussion] Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... |
23/08/2010 07:59:43 (+0700) | #24 | 218940 |
|
vikjava
Elite Member
|
0 |
|
|
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
|
|
conmale wrote:
Nếu muốn biết mùi đau khổ, hãy thử firewall đứng bên ngoài, router đứng bên trong. Muốn biết mùi đau khổ hơn nữa, hãy thử double NAT.
Nên nhớ: mô hình chạy được không phải là mô hình tốt nhất.
Theo em mô hình tốt nhất là thiết bị router đứng bên ngoài, sau đó đến firewall,firewall ở đây có nhiệm vụ routing và quản lý dựa vào rule.
- Mô hình bên nhất nghệ đưa ra chỉ để cho người học hiều về các tính năng của ISA thôi, có thể người tạo ra cái LAB này không có một cái nhìn tổng quát về mô hình mạng.
- Mô hình chuẩn cho doanh nghiệp vừa và nhỏ theo mình thì isa sẽ có 3 card mạng, internal, DZM, external. Router ADSL làm chức năng NAT. Trên ISA tạo các rule và thực hiện routing ...
p/s: Theo mình các bạn nên bàn về mô hình thôi, không nên chỉ trích một ai cả, và cũng đừng bảo ai ngu hết. Bên mình cũng có vài người dạy CCNA, MCSA ...tại các trung tâm lớn, hệ thống xảy ra sự cố thấy tụi nó chạy lung tung như vịt...chán. "Thằng nào giàu thằng đó giỏi "
|
|
|
|
|
[Discussion] Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... |
23/08/2010 08:21:54 (+0700) | #25 | 218943 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
vikjava wrote:
conmale wrote:
Nếu muốn biết mùi đau khổ, hãy thử firewall đứng bên ngoài, router đứng bên trong. Muốn biết mùi đau khổ hơn nữa, hãy thử double NAT.
Nên nhớ: mô hình chạy được không phải là mô hình tốt nhất.
Theo em mô hình tốt nhất là thiết bị router đứng bên ngoài, sau đó đến firewall,firewall ở đây có nhiệm vụ routing và quản lý dựa vào rule.
- Mô hình bên nhất nghệ đưa ra chỉ để cho người học hiều về các tính năng của ISA thôi, có thể người tạo ra cái LAB này không có một cái nhìn tổng quát về mô hình mạng.
- Mô hình chuẩn cho doanh nghiệp vừa và nhỏ theo mình thì isa sẽ có 3 card mạng, internal, DZM, external. Router ADSL làm chức năng NAT. Trên ISA tạo các rule và thực hiện routing ...
p/s: Theo mình các bạn nên bàn về mô hình thôi, không nên chỉ trích một ai cả, và cũng đừng bảo ai ngu hết. Bên mình cũng có vài người dạy CCNA, MCSA ...tại các trung tâm lớn, hệ thống xảy ra sự cố thấy tụi nó chạy lung tung như vịt...chán. "Thằng nào giàu thằng đó giỏi "
Kinh nghiệm bản thân anh thì bất cứ nơi nào tránh được NAT thì nên tránh. Packets chỉ nên route (định tuyến) chớ không nên nat (network address translate) bởi vì route nhanh chóng và không thay đổi (mangle) packet. Trong khi đó, nat lại thay đổi packet.
Ngoài khía cạnh hiệu suất giữa route vs nat, nat rất nguy hiểm đặc biệt cho những ứng dụng đụng chạm đến SSL và đụng chạm đến IP's headers. Những thay đổi xảy ra với packets từ cơ chế nat sẽ biến packets ra vào bị vô giá trị hoặc thiếu hụt những thông tin cần thiết (và nguyên thuỷ) cho nên có những sự cố xảy ra do nat sẽ làm kỹ sư mạng cực kỳ điên đầu.
Firewall luôn luôn là thiết bị dùng để cản lọc (tuỳ mức độ và quy chế cản lọc) chớ không phải là thiết bị định tuyến (mặc dù firewall có khả năng định tuyến). Càng tách rời các chức phận, càng dễ bảo trì và nâng cao hiệu suất. Càng nhập nhằng các tính năng trên cùng một thiết bị, càng kém hiệu suất và càng nhiều cơ hội đau đầu. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Discussion] Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... |
23/08/2010 08:39:49 (+0700) | #26 | 218949 |
hvthang
Member
|
0 |
|
|
Joined: 20/07/2005 03:26:58
Messages: 187
Offline
|
|
vikjava wrote:
- Mô hình chuẩn cho doanh nghiệp vừa và nhỏ theo mình thì isa sẽ có 3 card mạng, internal, DZM, external. Router ADSL làm chức năng NAT. Trên ISA tạo các rule và thực hiện routing ...
Mô hình bạn đề xuất chả khác gì cái mô hình mà bác myquartz nói là "stupid" của NN.
Đọc các bài phân tích của một số bác (nhất là bạn tmd) mình thấy các bác đang hiểu lẫn lộn cơ chế của route và NAT. Đây là các thông tin hết sức căn bản.
Nếu hiểu đúng rồi thì các bác sẽ không nói là con router "đằng trong" là nguyên nhân chính nữa.
Như mình đã nói, con router này nếu cho nó thực hiện chức năng định tuyến trong nội bộ mạng thì chả sao cả (nếu không ISA phải làm chức năng này). |
|
|
|
|
[Discussion] Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... |
23/08/2010 08:42:02 (+0700) | #27 | 218950 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
Bạn này đọc kỹ tí nữa. Đọc cho thật kỹ từ đầu tới cuối vào. Đọc cho kỹ luôn các link trong cái link tổng hợp 10 mô hình. Nên nhớ là đọc cho hết rồi hẳn nói. Nhớ nha bạn.
PS: Góp ý cho bạn hvthang. Bạn đọc cho kỹ những reply có các đoạn tô đỏ. Sau đó đọc cái bai lap 1 trong link 10 mô hình. Quan sát cho kỹ cái wizard config cho cái Dsl của mô hình. Và tìm hiểu xem cái DSL đó có tiến hành NAT trong cái mô hình đó hay không. NHớ nha bạn.
Nên nhớ cái góp ý của bạn về PPoE trên ISA thì cái đó tui có reply và bạn cần nên hiểu là cái Interface ngoài của ISA lúc đó mang IP WAN public và nó được cấu hình PPoE trên đó. Theo đúng tinh thần DSL chỉ làm việc ở layer 2 như reply của myquatrz.
TO Bà con: Cái DSL đó mới chạy wizard config thì sẽ chạy ở chế độ nào(có NAT,không NAT, chạy bridge...) ? Nhưng trong thực tế, mình có làm cái mô hình này để rồi lảnh nợ không ?
Trong thực tế , mình có làm theo cái mô hình 6, 8 đó không ?
Nếu có bạn sẽ dùng router cứng hay router mềm ?
Nếu không sài mô hình đó, bạn có sửa cái mô hình đó thành mô hình khác với ý tưởng giữ lại ISA Server và thay đổi thiết bị/cấu hình thiết bị router ?
|
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Discussion] Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... |
23/08/2010 09:16:39 (+0700) | #28 | 218955 |
hvthang
Member
|
0 |
|
|
Joined: 20/07/2005 03:26:58
Messages: 187
Offline
|
|
tmd wrote:
Bạn này đọc kỹ tí nữa. Đọc cho thật kỹ từ đầu tới cuối vào. Đọc cho kỹ luôn các link trong cái link tổng hợp 10 mô hình. Nên nhớ là đọc cho hết rồi hẳn nói. Nhớ nha bạn.
Bạn nên viết cụ thể hơn là bạn nào cần đọc và bỏ qua mấy dặn dò thừa đi. Bạn muốn "bạn này" đọc kỹ để lấy thông tin gì? Để chứng minh điều gì?
tmd wrote:
PS: Góp ý cho bạn hvthang. Bạn đọc cho kỹ những reply có các đoạn tô đỏ. Sau đó đọc cái bai lap 1 trong link 10 mô
hình. Quan sát cho kỹ cái wizard config cho cái Dsl của mô hình. Và tìm hiểu xem cái DSL đó có tiến hành NAT trong cái mô hình đó hay không. NHớ nha bạn.
Mình đã đọc đoạn màu đỏ mà bạn tô. Tuy nhiên, minh không hiểu ý của bạn. Phải chăng bạn đang tự "đá" lại chính quan điểm của bạn:
- Ở đây /hvaonline/posts/list/0/35554.html#218902 thì bạn cho là vấn đề nằm ở router bên trong. Rồi bạn khuyên mình "cẩn thận".
- Ở đây /hvaonline/posts/list/20/35554.html#218932 thì bạn lại tô đỏ và đưa ra các link chứng minh việc ISA có thể làm được. .
tmd wrote:
TO Bà con: Cái DSL đó mới chạy wizard config thì sẽ chạy ở chế độ nào(có NAT,không NAT, chạy bridge...) ? Nhưng trong thực tế, mình có làm cái mô hình này để rồi lảnh nợ không ?
Mọi người đang bàn về sự "stupid" của mô hình lab của NN. Cụ thể ở đây lấy ví dụ là mô hình lab 6.
Bạn lại nhắc lại những stupid đó mà không tập trung vào việc giải quyết nó như thế nào.
|
|
|
|
|
[Discussion] Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... |
23/08/2010 09:27:02 (+0700) | #29 | 218956 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
hvthang wrote:
Lỗi hay sự "stupid" nằm ở con router (chắc là con DSL modem) đặt giữa Internet và ISA. Theo bác myquartz thì khi traffic từ ngoài vào trong mạng sẽ bị con DSL modem chặn hết và con ISA trong trường hợp này sẽ "làm cảnh".
Theo myquartz, thực tế trên router sẽ có lúc người ta có rule chặn. Và lab 10 mô hình không nói tới vấn đề này, dẫn tới phát sinh Vấn đề. Còn trong bài lab mô hình đó,từ bai lap 1, DSL chạy Wizard setup, nó chạy ở chế độ nào ? bạn trả lời thử xem.Vấn đề lớn Trong lab là không nói tới vai trò DSL . Tui cũng đã có reply và có nói. Chắc bạn nhìn không thấy.
Vấn đề chuyển DSL chạy layer 2, thì tui tô đỏ và cho cái link để chỉ rỏ ra ISA server được cấu hình PPoE để đáp ứng nhu cầu. Chắc bạn hiểu chuyện này chứ. Nếu bạn không hiểu thì tui đã nói bạn đọc rất là kỹ phải không.
Không có gì là vấn đề "đá" trừ phi bạn suy nghĩ kỹ. |
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Discussion] Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... |
23/08/2010 09:32:52 (+0700) | #30 | 218957 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
Nếu bạn đã nhìn ra được ở lab 1, DSL được cấu hình wizard setup. Nó có cản hết traffic không? Nếu nó không cản traffic thì nó làm gì để traffic đi qua nó vào tới ISA Server ?. Các loại traffic nào ở giao thức nào , cổng nào được vào tới ISA server như trong mô hình lab ?.
Nhìn gì nhìn cho kỹ. Vì vai trò DSL trong lab gây 1 hiểu lầm hay "stupid" gì đó. Bạn trả lời được 3 câu hỏi này của tui thì bạn nên đọc kỹ tiếp cho hết câu chữ thật chậm rãi.
|
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|