<![CDATA[Latest posts for the topic "Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau..."]]> /hvaonline/posts/list/31.html JForum - http://www.jforum.net Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... http://liveclub.vn/blogs/windowsserver/archive/2008/10/17/top-10-mo-hinh-lab-quan-tri-mang-danh-cho-doanh-nghiep.aspx Mục tiêu thảo luận của topic là phân tích kỹ thuật mạng được áp dụng trong mô hình thứ 6,7,8,9 trong topic đăng ở đường link trên. Phân tích kỹ thuật HDH/phần mềm là mục tiêu phụ. Mô hình 6 : Xây dựng và cấu hình ISA Server 2006

liveclub wrote:
B- GIỚI THIỆU Khi kết nối hệ thống mạng nội bộ để giao dịch với Internet ,các Công ty thường có yêu cầu như : - Kiểm soát các giao dịch thực hiện giữa mạng nội bộ và Internet - Ngăn chặn các tấn công, thâm nhập trái phép từ Internet Giải pháp thích hợp cho các nhu cầu trên là sử dụng các Firewall (bức tường lửa). Bài Lab này giới thiệu việc cài đặt và triển khai phần mềm Firewall của Microsoft : Internet Security and Acceleration 2006 (ISA-2K6)  
Mô hình 7 : Server Publishing thông qua ISA Server 2006

liveclub wrote:
II- GIỚI THIỆU Mô hình tương tự bài Lab 6, phát sinh thêm yêu cầu sau : - Công ty cần Publish một Web Server trong mạng nội ra ngoài Internet để các Client dù trong mạng nội bộ hay từ ngoài Internet đuề có thể truy cập cập - Thiết lập cơ chế điều khiển từ xa với Remote Desktop sao cho Administrator có thể khiển Web Server từ một máy bất kỳ trong mạng nội bộ hoặc từ ngoài Internet 
Mô hình 8 : Hệ thống mở rộng & Kết nối WAN

liveclub wrote:
II. Giới thiệu: Doanh nghiệp mở rộng hoạt động kinh doanh và mở thêm chi nhánh ở Hà Nội. Từ đó, phát sinh một số nhu cầu: - Nhân viên làm việc ngoài công ty cần kết nối an toàn đến hệ mạng Sài Gòn. - Trao đổi dữ liệu an toàn giữa 02 hệ mạng Sài Gòn & Hà Nội khi doanh nghiệp không có đường thuê bao riêng. - Khách hàng đến doanh nghiệp có thể dùng laptop kết nối không dây để truy cập internet. - Nhân viên có thể dùng laptop kết nối không dây để truy cập internet và truy cập tài nguyên mạng nội bộ.  
Mô hình 9 : Chia Site logic cho Domain Network

liveclub wrote:
II. Giới thiệu: Trong bài Lab 8, chi nhánh Hà Nội sử dụng mô hình Workgroup, nhưng do số lượng nhân viên tại site Hà Nội tăng lên , nên phát sinh nhu cầu - Tại site Hanoi sử dụng cùng Domain Network với Site Saigon để quản lý tập trung - Xây dựng thêm Domain Controller tại site Saigon để duy trì quá trình đăng nhập khi Domain Controller hiện tại có sự cố - Mỗi site duy trì quá trình đăng nhập độc lập khi kết nối VPN bị lỗi  
]]>
/hvaonline/posts/list/35554.html#218682 /hvaonline/posts/list/35554.html#218682 GMT
Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... /hvaonline/posts/list/35554.html#218683 /hvaonline/posts/list/35554.html#218683 GMT Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... /hvaonline/posts/list/35554.html#218690 /hvaonline/posts/list/35554.html#218690 GMT Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau...

thaidn wrote:
... Tôi nghĩ vấn đề ở đây chủ yếu là tâm lý. Mọi người đều chỉ nhớ đến các mối nguy của con web-server chạy các web-application bởi vì đó là môi trường họ làm việc hàng ngày, chúng quen thuộc và gần gũi, còn firewall thường là dạng thiết bị "setup once, run forever", người ta thường chẳng nhớ đến sự tồn tại của nó... 
_http://vnhacker.blogspot.com/2008/06/firewall-c-tht-s-bo-v-thng-tin-tuyt-i.html]]>
/hvaonline/posts/list/35554.html#218693 /hvaonline/posts/list/35554.html#218693 GMT
Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau...

tmd wrote:
Khi vừa nhìn vào các mô hình này, câu nói cửa miệng đầu tiên của tui là "cái isa" chết thì mình làm lại hết. Vì mô hình chẳng có cái đường dự phòng nào.  
Theo mình 10 mô hình này dành cho doanh nghiệp vừa và nhỏ nên nó hoàn toàn không chú trọng đến HA, với lại Nhất Nghệ chuyên về server hơn là network device, mà HA lại cần làm trên device hơn là server. Vì vậy mình không quan tâm tới dự phòng trong các mô hình này mà phân tích về khía cạnh "stupid" mà bác myquartz có nói. Tập trung vào mô hình 6 nhé Thứ nhất : con ISA đặt cùng subnet với modem adsl bằng kết nối layer3 (đặt IP), làm vậy firewall chẳng có tác dụng gì hết. Ở ngoài internet không thế tạo connection trực tiếp vào LAN do modem đã NAT nên firewall không thể filter inbound, chẳng lẽ dùng firewall này để bảo vệ ... server ngoài internet chống lại tấn công từ trong nhà ? Thứ hai : Đặt con firewall nằm ngoài router như vậy không thể lọc các tấn công lẫn nhau từ trong nội bộ mà chỉ để lọc truy cập internet. Thứ ba: con modem adsl chỉ nat được khi Ip cùng dãy LAN với nó (192.168.1.0/24). Như vậy toàn bộ mạng LAN phía trong khác dãy 192.168.1.0/24 sẽ không thể truy cập internet được. Nếu phải nat thêm lần nữa thì kỳ quá. Thứ tư : router cho doanh nghiệp nhỏ thường có ít số card và port ethernet, vd 1 card chỉ có 2 port, nên thiết kế router dùng tới 4 cổng ethernet như vậy có thể khiến doanh nghiệp phải mua thêm 1 cái card, mà tiền mua card sẽ đắt hơn tiền mua con switch nhỏ thế vào đó :-) tốt hơn là dùng subinterface sẽ chỉ tốn 2 port thôi. Mấy mô hình này được đưa ra cho đủ 10 để thành top, mình thấy không có sự phân biệt nhau rõ ràng]]>
/hvaonline/posts/list/35554.html#218704 /hvaonline/posts/list/35554.html#218704 GMT
Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... /hvaonline/posts/list/35547.html ), với cái mô hình không khác gì cái đem ra mổ xẻ ở đây. Do không hiểu bản chất hoạt động, nên các bạn không biết source IP, dest IP trong các rule này sẽ phải set thế nào cho đúng. Các bạn đó là sản phẩm đào tạo của nhiều trung tâm kiểu như NN, dĩ nhiên, lỗi không phải do các bạn học viên ấy, các bạn ấy muốn bỏ tiền ra để mua kiến thức, tiếc là ... ---------------------------------------------------------------------- Có bạn nói tớ nói người khác dốt chắc gì mình đã biết, tớ có chú giải thêm đây: - Trên thực tế, với doanh nghiệp nhỏ xài đường ADSL IP động hoặc FTTH 1 IP tĩnh (hoặc 4, 5 IP tĩnh), thì không cần router, ADSL router chuyển làm thiết bị kết nối layer 2 (brigde), còn FTTH thì cắm thẳng optical converter vào fw. FW kết nối lên ISP BRAS trực tiếp qua PPPoE (rất phổ biến ở VN). Lúc này firewall mới có tác dụng cản lọc, IP là public, NAT chỉ làm 1 lần, DMZ nếu có mới đúng nghĩa. Không cần router vì cơ chế routing là static, đơn giản bất kỳ FW nào cũng làm tốt được. - Có trường hợp nào có router đứng trước fw không? có, router này chạy layer 3 và chỉ chạy layer 3, không NAT, và IP mà fw được gán vẫn là IP public. inbound traffic sẽ đến được với fw không qua NAT, không cản lọc gì trên router (và không nên làm điều này, router không tốt lắm cái việc đó). Cái này thường chỉ áp dụng khi kết nối nhiều kênh LL Internet, peering với các ISP, cần đến khả năng dynamic routing của router (thường là BGP, router cho SOHO không bao giờ có khả năng này). Mục đích là để đảm bảo tính sẵn sàng, bất kỳ 1 kênh LL nào bị gián đoạn hoặc ISP có trục trặc thì khách hàng vẫn truy cập vào web site công ty được. Doanh nghiệp lớn mới làm việc đó và chịu nổi chi phí các kênh LL Internet (ví dụ Ngân hàng Đông Á, có AS Number riêng và peering với 2 ISP nào đó chẳng hạn). Ngày nay FW của các hãng đều support BGP cả, lại nhiều interface WAN (V35 chẳng hạn), nên rồi cũng dẹp luôn được cái router, FW làm 2 trong 1 (vừa tiết kiệm tiền, vừa bảo mật hơn vì hệ thống ít thành phần => rủi ro ít đi).]]> /hvaonline/posts/list/35554.html#218712 /hvaonline/posts/list/35554.html#218712 GMT Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau...

myquartz wrote:
Do đó, Firewall để trong thì vô tác dụng với inbound traffic. 
Hi myquartz. Nếu ISA server có 3 card mạng: 1 kết nối LAN, 1 kết nối DMZ, 1 kết nối Modem ADSL . Trên Modem ADSL mình vẫn NAT, trên ISA thực hiện NAT và routing ... với mô hình này thì theo myquartz thấy thế nào ? Có vô tác dụng với inbound traffic không ? Thân ]]>
/hvaonline/posts/list/35554.html#218740 /hvaonline/posts/list/35554.html#218740 GMT
Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... /hvaonline/posts/list/35554.html#218746 /hvaonline/posts/list/35554.html#218746 GMT Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau...

vikjava wrote:
Hi myquartz. Nếu ISA server có 3 card mạng: 1 kết nối LAN, 1 kết nối DMZ, 1 kết nối Modem ADSL . Trên Modem ADSL mình vẫn NAT, trên ISA thực hiện NAT và routing ... với mô hình này thì theo myquartz thấy thế nào ? Có vô tác dụng với inbound traffic không ? Thân  
Có và không. Thường phần nhiều mọi người làm là có vô tác dụng. Lý do: khi modem ADSL (kiêm router), nó NAT vào trong, thì bạn setup cho nó forward port cụ thể nào vào 1 IP bên trong, chỉ có inbound traffic port đó (nghĩa là connection initial được bắt đầu từ bên ngoài vào bên trong) mới match cái rule đó, và được gửi vào trong. Vào đến firewall, lại 1 động tác tương tự. Các rule khác sẽ không có tác dụng vì ADSL router nó đã drop hết các gói không match rule nào setup trên nó rồi. Ví dụ: trên ADSL router chỉ forward 1 cái port 80 từ ngoài vào 1 IP/port 80 bên trong để làm web server. bên trong fw mở ra chạy ok, dĩ nhiên. FW bên trong lại làm thêm việc là DROP các gói tin inbound có dest port là 25 để bảo vệ mail server chẳng hạn. Rule này sẽ chả bao giờ phảo làm việc, vì có gói tin port 25 nào đi từ Internet vào qua được ADSL router đâu mà đến chỗ FW để DROP. Không vô tác dụng khi: ADSL Router bên ngoài tạo 1 cái rule forward tất cả vào trong (rule for all port, 0-65535), bất kể protocol. Lúc đó FW bên trong mới nhận hết mọi inbound traffic và rule sẽ không vô tác dụng. Hiếm ai làm việc này, nên ít khi xảy ra. Bác conmale nói rồi đó, sẽ work khi NAT 2 lần, cơ mà, trừ khi có lý do chính đáng cho việc này, không thì nó chả mang lại lợi ích gì hơn mà còn có hại.]]>
/hvaonline/posts/list/35554.html#218751 /hvaonline/posts/list/35554.html#218751 GMT
Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau...

invalid-password wrote:
Thứ nhất : con ISA đặt cùng subnet với modem adsl bằng kết nối layer3 (đặt IP), làm vậy firewall chẳng có tác dụng gì hết. Ở ngoài internet không thế tạo connection trực tiếp vào LAN do modem đã NAT nên firewall không thể filter inbound, chẳng lẽ dùng firewall này để bảo vệ ... server ngoài internet chống lại tấn công từ trong nhà ? Thứ hai : Đặt con firewall nằm ngoài router như vậy không thể lọc các tấn công lẫn nhau từ trong nội bộ mà chỉ để lọc truy cập internet.  
Câu thứ 2 trả lời cho câu thứ nhất rồi đó. Nhiều người dùng ISA chỉ để kiểm soát truy cập ra ngoài và làm cache thôi. Không phải firewall không thể filter inbound, mà là chẳng có inbound traffic để mà filter cả (nếu như router ADSL không cấu hình port forwarding) :D

invalid-password wrote:
Thứ ba: con modem adsl chỉ nat được khi Ip cùng dãy LAN với nó (192.168.1.0/24). Như vậy toàn bộ mạng LAN phía trong khác dãy 192.168.1.0/24 sẽ không thể truy cập internet được. Nếu phải nat thêm lần nữa thì kỳ quá.  
Bạn chắc chứ ;-) . Tất nhiên nếu publish các service bên trong thì phải NAT cái nữa rồi. Nhưng riêng trong trường hợp của Web service thì ISA không NAT mà làm reverse proxy thì đúng hơn.

invalid-password wrote:
Thứ tư : router cho doanh nghiệp nhỏ thường có ít số card và port ethernet, vd 1 card chỉ có 2 port, nên thiết kế router dùng tới 4 cổng ethernet như vậy có thể khiến doanh nghiệp phải mua thêm 1 cái card, mà tiền mua card sẽ đắt hơn tiền mua con switch nhỏ thế vào đó :-) tốt hơn là dùng subinterface sẽ chỉ tốn 2 port thôi.  
Có lẽ tác giả để con router đứng đó mà không "vẽ" thêm mấy cái network thì phí :D. ISA từ bản 2004 (nhớ không lầm) thì đã hỗ trợ multi-home rồi. Mua thêm mấy cái card mạng gắn vô con ISA, cắm mấy cái network vào mấy cái card này. Khi này ISA có thể filter traffic giữa các internal network. Còn con router thì bán lấy tiền bia bọt. Một công đôi việc -:-) Trên Micro$oft còn có một mô hình ISA Back-to-Back muôn phần hoành tráng, không thấy các bác đưa ra nhỉ?]]>
/hvaonline/posts/list/35554.html#218767 /hvaonline/posts/list/35554.html#218767 GMT
Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... /hvaonline/posts/list/35554.html#218774 /hvaonline/posts/list/35554.html#218774 GMT Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau...

No.13 wrote:
Có lẽ tác giả để con router đứng đó mà không "vẽ" thêm mấy cái network thì phí smilie. ISA từ bản 2004 (nhớ không lầm) thì đã hỗ trợ multi-home rồi. Mua thêm mấy cái card mạng gắn vô con ISA, cắm mấy cái network vào mấy cái card này. Khi này ISA có thể filter traffic giữa các internal network. 
Ngoài ra với kỹ thuật này,mình tiến tới Network Load Balancing Integration Concepts for Microsoft Internet Security and Acceleration (ISA) Server 2006 , cho nó hoành tráng bội phần. Nhưng đây đang là lý thuyết. http://technet.microsoft.com/en-us/library/bb794741.aspx Internet Security and Acceleration (ISA) Server 2006 http://technet.microsoft.com/en-us/library/ff630950.aspx]]>
/hvaonline/posts/list/35554.html#218776 /hvaonline/posts/list/35554.html#218776 GMT
Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau...

mr conmale wrote:
hãy thử firewall đứng bên ngoài, router đứng bên trong 
và router ADSL ngoài cùng. Lúc đó mình sẽ làm như thế nào đây, để cho hệ thống không bị công kích bởi hva' members. PS: mô hình này là tui suy diễn theo tâm lý thường, sau gì cũng sẽ có người nghĩ tới mô hình này. Hình sẽ được vẽ và upload sau.]]>
/hvaonline/posts/list/35554.html#218777 /hvaonline/posts/list/35554.html#218777 GMT
Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... 1. Về nguyên nhân sinh ra cái chủ đề này, có lẽ là xuất phát từ đây: /hvaonline/posts/list/20/27089.html#218680. 2. Qua phân tích kỹ thuật của bác myquartz và chủ yếu theo mô hình này:
- Lỗi hay sự "stupid" nằm ở con router (chắc là con DSL modem) đặt giữa Internet và ISA. Theo bác myquartz thì khi traffic từ ngoài vào trong mạng sẽ bị con DSL modem chặn hết và con ISA trong trường hợp này sẽ "làm cảnh". ==> giải pháp là sử dụng kết nối PPoE từ ISA đến DSL, chỉ cho DSL làm chức năng chuyên môn là modem. Các chức năng liên quan đến router, fw thì cho ISA xử lý (đúng không bác). Như vậy, lỗi này do việc cấu hình giao thức giao tiếp sai. - Xét luồng traffic đi từ trong ra ngoài thì sẽ có 2 lần NAT (1 trên con ISA và 1 trên DSL), do đó làm giảm performance của mạng - nếm mùi đau khổ :). Và giải pháp khắc phục cũng tương tự. Như vậy, lỗi ở đây là do việc cấu hình sai chứ không phải việc đặt thiết bị sai. Và em xin đồng ý là bên NN nên sửa theo góp ý của bác - sửa rồi chắc chắn sẽ gây khó khăn cho mấy ông học viên khi làm lab mới bởi vì phải cấu hình thêm PPoE và cấu hình cả modem DSL (cái này chắc NN không muốn HV đụng vào). Còn việc chất lượng các học viện (trung tâm) mạng hiện giờ em cũng có cảm nhận như bác, họ hơi chạy theo lợi nhuận và yêu cầu bằng cấp của HV mà không quan tâm lắm tới chất lượng. Có lần em có xem cái video của bên NETPRO ở Hà nội, giảng việc họ giảng theo slides của MS soạn, slides thì nói một đường, họ giải thích một nẻo, cảm giác chính họ cũng chưa hiểu cái mục tiêu của slides là nhấn mạnh đến vấn đề nào. 3. Về con router trong mạng - Bác No.13 nói là bán nó đi lấy tiền bia bọt thì em chỉ đồng ý một phần (trong trường hợp mạng doanh nghiệp nhỏ, lượng trao đổi thông tin giữa các LAN là ít). Tuy đã có giải pháp multi-home của ISA, nhưng nếu sử dụng nó trong mô hình mạng lớn, khi đó ISA sẽ phải chịu trách nhiệm định tuyến khá nặng, chưa kể đến việc định tuyến của các thiết bị mềm như ISA thường có hiệu năng thấp do phải thực hiện nhiều dịch vụ khác cùng lúc. Nếu có con router, nó sẽ đảm nhiệm việc này một cách hiệu quả, và chỉ có traffic đi ra ngoài mạng thì ISA mới phải xử lý, do đó làm giảm bớt gánh nặng cho ISA. - Một lý do thực tế nữa mà em suy đoán :) , do có con router này vì đây là mô hình lab của các phòng lab của họ, trong lab đã có sẵn thiết bị router và ISA lại chỉ có 2 network interfaces nên họ chọn cách này. Sau này không ngờ cái mô hình lab lại được "làm tham khảo cho doanh nghiệp" nên nó lòi ra nhưng điểm không phù hợp thực tế doanh nghiệp. ]]>
/hvaonline/posts/list/35554.html#218785 /hvaonline/posts/list/35554.html#218785 GMT
Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... /hvaonline/posts/list/35554.html#218821 /hvaonline/posts/list/35554.html#218821 GMT Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau...

myquartz wrote:
Nếu học về mạng, thì ắt hẳn phải dạy các lớp đóng gói gói tin từ trên xuống. Rồi NAT là cái gì, why NAT..., rồi các giao thức layer 2 như PPPoE hay những cái liên quan ắt phải dạy. 
Chết chết, dạy vậy kéo dài từ năm này qua năm khác, biết chừng nào đi làm, tiền đâu đóng học phí ?!

myquartz wrote:
Hay họ dạy ... cài ISA?  
Nấu mì ăn liền dễ hơn nấu cơm

myquartz wrote:
Học xong, học viên tự tin apply vào công ty, "em biết bảo mật", "em biết firewall"... Được nhận, setup hệ thống theo mô hình đã học và kiến thức xyz. 
Mục tiêu khoá học là nói ra phải biết đủ thứ, vài tháng có thể đi làm ngay, chạy trước đã tối ưu tính sau, đáp ứng cho doanh nghiệp vừa và nhỏ vì mạng nhỏ quá không sợ gặp những vấn đề về performance và ít bị attacker để ý :-) ]]>
/hvaonline/posts/list/35554.html#218900 /hvaonline/posts/list/35554.html#218900 GMT
Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau...

hvthang wrote:
Lỗi hay sự "stupid" nằm ở con router (chắc là con DSL modem) đặt giữa Internet và ISA. Theo bác myquartz thì khi traffic từ ngoài vào trong mạng sẽ bị con DSL modem chặn hết và con ISA trong trường hợp này sẽ "làm cảnh".  
Không phải, vấn đề nằm ở cái Router nằm bên trong.
==> giải pháp là sử dụng kết nối PPoE từ ISA đến DSL, chỉ cho DSL làm chức năng chuyên môn là modem. Các chức năng liên quan đến router, fw thì cho ISA xử lý (đúng không bác). Như vậy, lỗi này do việc cấu hình giao thức giao tiếp sai.  
Cẩn thận, kết luận vậy là có vấn đề đó. ISA sao mà thay cái modem/router ADSL đó làm nhiệm vụ router được. Giải pháp này càng làm cho vụ việc tới 1 chân trời sai mới. Hiểu sai chức năng của ISA server và router cứng. PS: Vấn đề tại sao lại có cái topic này. Do dân mình còn dốt. ]]>
/hvaonline/posts/list/35554.html#218902 /hvaonline/posts/list/35554.html#218902 GMT
Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau...

tmd wrote:
Lộn rồi, học để có thứ để nói khi đi phỏng vấn. 
Bạn nói thể khác gì vả vào mặt bác myquartz. Bạn đã thử làm vậy chưa? có hiệu quả không? ;). Cái bạn đang đề cập, thiên hạ họ gọi nôm na là... chém gió đấy.

tmd wrote:
Vì VN mình quan niệm, học viên phải biết đọc tài liệu trước khi tới lớp. Các vấn đề thuộc dạng nền tảng như TCP/IP hay ISO, học viên phải tự trang bị. Vào trung tâm chỉ được học theo giáo trình mà giảng viên "tự soạn" dựa trên giáo trình "hàn lâm" do bộ phận training của hảng sản xuất phần mềm/phần cứng đưa ra. Giáo trình đúng chính hảng thì học viên có thể tham khảo trên "mạng", trung tâm không làm y chang giáo trình đó. Trung tâm có thể "thêm bớt" để phù hợp với môi trường kinh tế Việt Nam. 
Cái này chắc chỉ là quan điểm chủ quan của bạn thôi. Vẫn có một số trung tâm làm tốt việc giảng dạy (theo chuẩn đề ra). Bạn có thể tham khảo ở BKACAD ở HN. Trong trường hợp giả định của bạn có thực, thì mình nghĩ lỗi phần nhiều là do học viên (họ đã bỏ một số tiền không nhỏ để theo học, nếu họ không quan tâm mình đang được học chương trình nào, nội dung gì, giảng viên như thế nào, thì lỗi là ở họ - và khi đó đừng kêu than học viện - trung tâm này nọ). thêm nữa, OSI chứ không phải ISO nhé.

tmd wrote:
Thực tế mình tự học là chính, trung tâm là phụ, thực hành trên thiết bị trung tâm là mười. 
Nói vậy chứng tỏ bạn vẫn đến các TrT để học, vì vậy bạn đừng chê trách chất lượng các TrT làm gì. Mình đoán một số không nhỏ các bác khác đã chọn cách tự học. :-*

tmd wrote:
PS: cái hình để thứ 2 vào cty vẽ visio.  
:-/

tmd wrote:
Quay lại chủ đề chính, học ISA các version nhưng khó mà áp dụng được nó vào mô hình công ty. 
Khó là khó như thế nào vậy bạn?

tmd wrote:

hvthang wrote:
Lỗi hay sự "stupid" nằm ở con router (chắc là con DSL modem) đặt giữa Internet và ISA. Theo bác myquartz thì khi traffic từ ngoài vào trong mạng sẽ bị con DSL modem chặn hết và con ISA trong trường hợp này sẽ "làm cảnh".  
Không phải, vấn đề nằm ở cái Router nằm bên trong. 
Cái này đơn thuần là quan điểm của bạn. Mình quan tâm quan điểm của bác myquartz hơn (vì chủ đề này liên quan trực tiếp đến các quan điểm bác ấy đưa ra về mô hình lab của NN).

tmd wrote:
==> giải pháp là sử dụng kết nối PPoE từ ISA đến DSL, chỉ cho DSL làm chức năng chuyên môn là modem. Các chức năng liên quan đến router, fw thì cho ISA xử lý (đúng không bác). Như vậy, lỗi này do việc cấu hình giao thức giao tiếp sai.  
Cẩn thận, kết luận vậy là có vấn đề đó. ISA sao mà thay cái modem/router ADSL đó làm nhiệm vụ router được. Giải pháp này càng làm cho vụ việc tới 1 chân trời sai mới. Hiểu sai chức năng của ISA server và router cứng. 
;) Cảm ơn bạn đã nhắc nhở, mình vẫn đang rất "cẩn thận" khi phát ngôn trên HVA forum

tmd wrote:
PS: Vấn đề tại sao lại có cái topic này. Do dân mình còn dốt. 
B-)     ]]>
/hvaonline/posts/list/35554.html#218921 /hvaonline/posts/list/35554.html#218921 GMT
Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... /hvaonline/posts/list/35554.html#218926 /hvaonline/posts/list/35554.html#218926 GMT Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau...

myquartz wrote:
Trên thực tế, với doanh nghiệp nhỏ xài đường ADSL IP động hoặc FTTH 1 IP tĩnh (hoặc 4, 5 IP tĩnh), thì không cần router, ADSL router chuyển làm thiết bị kết nối layer 2 (brigde), còn FTTH thì cắm thẳng optical converter vào fw. FW kết nối lên ISP BRAS trực tiếp qua PPPoE (rất phổ biến ở VN). Lúc này firewall mới có tác dụng cản lọc, IP là public, NAT chỉ làm 1 lần, DMZ nếu có mới đúng nghĩa. Không cần router vì cơ chế routing là static, đơn giản bất kỳ FW nào cũng làm tốt được.  
Trong cái link cho bài lab 6 đó, không đá động tới cái dsl nó có cấu hình gì bên trong. Cho nên cứ hiểu là mình mới chỉ cấu hình account và các thông số tối thiểu để cho nó chạy. Từ bài lap 1, chỉ cấu hình theo kiểu wizard để cấu hình nhanh cho DSL. Vấn đề gặp phải ngay từ bai lap 5 sang bai lap 6. Đó là nhét cái ISA vào trong mô hình. http://210.245.22.171/tailieu/nnlab/bai%20lab%205.htm Trong cái mô hình này nói dùng 1 cái Server có 4 card mạng làm router mềm. TRong mô hình đó cái interface mà lap nói tới , được cho NAT và enable cái basic firewall http://webcache.googleusercontent.com/search?q=cache:83IYDXt54AwJ:technet.microsoft.com/en-us/library/cc758437%28WS.10%29.aspx+enable+a+basic+firewall+on+this+interface&cd=2&hl=vi&ct=clnk&gl=vn Mô hình để học để hình dung lý thuyết, nhưng nói quá cha là cho doanh nghiệp. Hiểu lầm chết người. Còn nếu người ta có dựa vào cái mô hình này, thay router mềm chơi windows server thành cái router cứng thứ thiệt thì sẽ có vấn đề gì đó mới chổ này.Ngoài ra trong mô hình 6 đó, nếu cái DSL ở ngoài thay bằng một cái router cisco cho small office như cái cisco 18xx(1801,1841...) chẳng hạn, thì có thể có nhiều chuyện khác cần phải chỉnh sửa. Vấn đề của NN ở đây là không rõ ràng về Router,DSL -> bị myquartz nói tới. ]]>
/hvaonline/posts/list/35554.html#218930 /hvaonline/posts/list/35554.html#218930 GMT
Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau...

tmd wrote:
Đông người học chỉ để biết và qua phỏng vấn. Còn người khác nghĩ sao về chuyện học trung tâm tui không biết. Còn chuyện tự học để rồi testking/pass4sure/.... đi thi là chuyện khác nữa. Còn chuyện chuyên gia tự học mấy cái chương trình MCXX,hay CCXX thì tui không thể áp đặt tư tưởng. Nhưng tui biết có vô số người tự ôm testking để MCXX để rồi có bằng. Trung tâm nào dạy MOC theo đúng chuẩn vậy bạn, dạy theo kiểu Hàn lâm ấy hay Academic...Trường hợp tui nói ra là không giả định.  
Chưa hiểu ý bạn chỗ này lắm. Theo bạn thì nên ôm sách luyện ở nhà hay đến trung tâm hơn. Mình nghĩ trung tâm không "biên soạn dựa trên.." mà dạy đúng chuẩn thì chắc phải mời luôn giáo viên bên Cisco hay Microsofts về thì mới ổn.]]>
/hvaonline/posts/list/35554.html#218931 /hvaonline/posts/list/35554.html#218931 GMT
Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau...

hvthang wrote:
==> giải pháp là sử dụng kết nối PPoE từ ISA đến DSL, chỉ cho DSL làm chức năng chuyên môn là modem. Các chức năng liên quan đến router, fw thì cho ISA xử lý (đúng không bác). Như vậy, lỗi này do việc cấu hình giao thức giao tiếp sai. - Xét luồng traffic đi từ trong ra ngoài thì sẽ có 2 lần NAT (1 trên con ISA và 1 trên DSL), do đó làm giảm performance của mạng - nếm mùi đau khổ smilie. Và giải pháp khắc phục cũng tương tự.  
How to configure a PPPoE connection in ISA Server 2006 or in ISA Server 2004 http://support.microsoft.com/kb/837830 How to Configure ISA Server to Use a PPPoE Connection http://support.microsoft.com/kb/296534/en-us Nên tìm hiểu xem Doanh nghiệp nhỏ hiện giờ mình còn PHẢI dùng tới mạng này không nữa. Để ý lap 6, isa được thêm phần cấu hình là static route, tương tự cái máy chạy server 2003 làm router mềm cũng có phần NAT and basic firewall và LAN routing . Giả sử mà DSL có thêm cái NAT nữa thì thấy mẹ tới 3 lần NAT trong một cái mạng nho nhỏ(cái DSL đó ở Việt Nam đa số đều có NAT ở nhà riêng/doanh nghiệp nhỏ). Một câu hỏi cũng khá gần với topic này. http://social.technet.microsoft.com/Forums/en-US/ForefrontedgeVPN/thread/4632e212-cd83-413e-ae16-7ff589b0f24b]]>
/hvaonline/posts/list/35554.html#218932 /hvaonline/posts/list/35554.html#218932 GMT
Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... /hvaonline/posts/list/35554.html#218933 /hvaonline/posts/list/35554.html#218933 GMT Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau...

conmale wrote:
Nếu muốn biết mùi đau khổ, hãy thử firewall đứng bên ngoài, router đứng bên trong. Muốn biết mùi đau khổ hơn nữa, hãy thử double NAT. Nên nhớ: mô hình chạy được không phải là mô hình tốt nhất. 
Theo em mô hình tốt nhất là thiết bị router đứng bên ngoài, sau đó đến firewall,firewall ở đây có nhiệm vụ routing và quản lý dựa vào rule. - Mô hình bên nhất nghệ đưa ra chỉ để cho người học hiều về các tính năng của ISA thôi, có thể người tạo ra cái LAB này không có một cái nhìn tổng quát về mô hình mạng. - Mô hình chuẩn cho doanh nghiệp vừa và nhỏ theo mình thì isa sẽ có 3 card mạng, internal, DZM, external. Router ADSL làm chức năng NAT. Trên ISA tạo các rule và thực hiện routing ... p/s: Theo mình các bạn nên bàn về mô hình thôi, không nên chỉ trích một ai cả, và cũng đừng bảo ai ngu hết. Bên mình cũng có vài người dạy CCNA, MCSA ...tại các trung tâm lớn, hệ thống xảy ra sự cố thấy tụi nó chạy lung tung như vịt...chán. "Thằng nào giàu thằng đó giỏi B-) " ]]>
/hvaonline/posts/list/35554.html#218940 /hvaonline/posts/list/35554.html#218940 GMT
Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau...

vikjava wrote:

conmale wrote:
Nếu muốn biết mùi đau khổ, hãy thử firewall đứng bên ngoài, router đứng bên trong. Muốn biết mùi đau khổ hơn nữa, hãy thử double NAT. Nên nhớ: mô hình chạy được không phải là mô hình tốt nhất. 
Theo em mô hình tốt nhất là thiết bị router đứng bên ngoài, sau đó đến firewall,firewall ở đây có nhiệm vụ routing và quản lý dựa vào rule. - Mô hình bên nhất nghệ đưa ra chỉ để cho người học hiều về các tính năng của ISA thôi, có thể người tạo ra cái LAB này không có một cái nhìn tổng quát về mô hình mạng. - Mô hình chuẩn cho doanh nghiệp vừa và nhỏ theo mình thì isa sẽ có 3 card mạng, internal, DZM, external. Router ADSL làm chức năng NAT. Trên ISA tạo các rule và thực hiện routing ... p/s: Theo mình các bạn nên bàn về mô hình thôi, không nên chỉ trích một ai cả, và cũng đừng bảo ai ngu hết. Bên mình cũng có vài người dạy CCNA, MCSA ...tại các trung tâm lớn, hệ thống xảy ra sự cố thấy tụi nó chạy lung tung như vịt...chán. "Thằng nào giàu thằng đó giỏi B-) "  
Kinh nghiệm bản thân anh thì bất cứ nơi nào tránh được NAT thì nên tránh. Packets chỉ nên route (định tuyến) chớ không nên nat (network address translate) bởi vì route nhanh chóng và không thay đổi (mangle) packet. Trong khi đó, nat lại thay đổi packet. Ngoài khía cạnh hiệu suất giữa route vs nat, nat rất nguy hiểm đặc biệt cho những ứng dụng đụng chạm đến SSL và đụng chạm đến IP's headers. Những thay đổi xảy ra với packets từ cơ chế nat sẽ biến packets ra vào bị vô giá trị hoặc thiếu hụt những thông tin cần thiết (và nguyên thuỷ) cho nên có những sự cố xảy ra do nat sẽ làm kỹ sư mạng cực kỳ điên đầu. Firewall luôn luôn là thiết bị dùng để cản lọc (tuỳ mức độ và quy chế cản lọc) chớ không phải là thiết bị định tuyến (mặc dù firewall có khả năng định tuyến). Càng tách rời các chức phận, càng dễ bảo trì và nâng cao hiệu suất. Càng nhập nhằng các tính năng trên cùng một thiết bị, càng kém hiệu suất và càng nhiều cơ hội đau đầu.]]>
/hvaonline/posts/list/35554.html#218943 /hvaonline/posts/list/35554.html#218943 GMT
Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau...

vikjava wrote:
- Mô hình chuẩn cho doanh nghiệp vừa và nhỏ theo mình thì isa sẽ có 3 card mạng, internal, DZM, external. Router ADSL làm chức năng NAT. Trên ISA tạo các rule và thực hiện routing ...  
Mô hình bạn đề xuất chả khác gì cái mô hình mà bác myquartz nói là "stupid" của NN. Đọc các bài phân tích của một số bác (nhất là bạn tmd) mình thấy các bác đang hiểu lẫn lộn cơ chế của route và NAT. Đây là các thông tin hết sức căn bản. Nếu hiểu đúng rồi thì các bác sẽ không nói là con router "đằng trong" là nguyên nhân chính nữa. Như mình đã nói, con router này nếu cho nó thực hiện chức năng định tuyến trong nội bộ mạng thì chả sao cả (nếu không ISA phải làm chức năng này).]]>
/hvaonline/posts/list/35554.html#218949 /hvaonline/posts/list/35554.html#218949 GMT
Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... /hvaonline/posts/list/35554.html#218950 /hvaonline/posts/list/35554.html#218950 GMT Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau...

tmd wrote:
Bạn này đọc kỹ tí nữa. Đọc cho thật kỹ từ đầu tới cuối vào. Đọc cho kỹ luôn các link trong cái link tổng hợp 10 mô hình. Nên nhớ là đọc cho hết rồi hẳn nói. Nhớ nha bạn.  
Bạn nên viết cụ thể hơn là bạn nào cần đọc và bỏ qua mấy dặn dò thừa đi. Bạn muốn "bạn này" đọc kỹ để lấy thông tin gì? Để chứng minh điều gì?

tmd wrote:
PS: Góp ý cho bạn hvthang. Bạn đọc cho kỹ những reply có các đoạn tô đỏ. Sau đó đọc cái bai lap 1 trong link 10 mô hình. Quan sát cho kỹ cái wizard config cho cái Dsl của mô hình. Và tìm hiểu xem cái DSL đó có tiến hành NAT trong cái mô hình đó hay không. NHớ nha bạn.  
Mình đã đọc đoạn màu đỏ mà bạn tô. Tuy nhiên, minh không hiểu ý của bạn. Phải chăng bạn đang tự "đá" lại chính quan điểm của bạn: - Ở đây /hvaonline/posts/list/0/35554.html#218902 thì bạn cho là vấn đề nằm ở router bên trong. Rồi bạn khuyên mình "cẩn thận". - Ở đây /hvaonline/posts/list/20/35554.html#218932 thì bạn lại tô đỏ và đưa ra các link chứng minh việc ISA có thể làm được. ;-) .

tmd wrote:
TO Bà con: Cái DSL đó mới chạy wizard config thì sẽ chạy ở chế độ nào(có NAT,không NAT, chạy bridge...) ? Nhưng trong thực tế, mình có làm cái mô hình này để rồi lảnh nợ không ? 
Mọi người đang bàn về sự "stupid" của mô hình lab của NN. Cụ thể ở đây lấy ví dụ là mô hình lab 6. Bạn lại nhắc lại những stupid đó mà không tập trung vào việc giải quyết nó như thế nào. ]]>
/hvaonline/posts/list/35554.html#218955 /hvaonline/posts/list/35554.html#218955 GMT
Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau...

hvthang wrote:
Lỗi hay sự "stupid" nằm ở con router (chắc là con DSL modem) đặt giữa Internet và ISA. Theo bác myquartz thì khi traffic từ ngoài vào trong mạng sẽ bị con DSL modem chặn hết và con ISA trong trường hợp này sẽ "làm cảnh".  
Theo myquartz, thực tế trên router sẽ có lúc người ta có rule chặn. Và lab 10 mô hình không nói tới vấn đề này, dẫn tới phát sinh Vấn đề. Còn trong bài lab mô hình đó,từ bai lap 1, DSL chạy Wizard setup, nó chạy ở chế độ nào ? bạn trả lời thử xem.Vấn đề lớn Trong lab là không nói tới vai trò DSL . Tui cũng đã có reply và có nói. Chắc bạn nhìn không thấy. Vấn đề chuyển DSL chạy layer 2, thì tui tô đỏ và cho cái link để chỉ rỏ ra ISA server được cấu hình PPoE để đáp ứng nhu cầu. Chắc bạn hiểu chuyện này chứ. Nếu bạn không hiểu thì tui đã nói bạn đọc rất là kỹ phải không. Không có gì là vấn đề "đá" trừ phi bạn suy nghĩ kỹ.]]>
/hvaonline/posts/list/35554.html#218956 /hvaonline/posts/list/35554.html#218956 GMT
Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... /hvaonline/posts/list/35554.html#218957 /hvaonline/posts/list/35554.html#218957 GMT Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau...

conmale wrote:
Kinh nghiệm bản thân anh thì bất cứ nơi nào tránh được NAT thì nên tránh. Packets chỉ nên route (định tuyến) chớ không nên nat (network address translate) bởi vì route nhanh chóng và không thay đổi (mangle) packet. Trong khi đó, nat lại thay đổi packet. Ngoài khía cạnh hiệu suất giữa route vs nat, nat rất nguy hiểm đặc biệt cho những ứng dụng đụng chạm đến SSL và đụng chạm đến IP's headers. Những thay đổi xảy ra với packets từ cơ chế nat sẽ biến packets ra vào bị vô giá trị hoặc thiếu hụt những thông tin cần thiết (và nguyên thuỷ) cho nên có những sự cố xảy ra do nat sẽ làm kỹ sư mạng cực kỳ điên đầu. Firewall luôn luôn là thiết bị dùng để cản lọc (tuỳ mức độ và quy chế cản lọc) chớ không phải là thiết bị định tuyến (mặc dù firewall có khả năng định tuyến). Càng tách rời các chức phận, càng dễ bảo trì và nâng cao hiệu suất. Càng nhập nhằng các tính năng trên cùng một thiết bị, càng kém hiệu suất và càng nhiều cơ hội đau đầu. 
Hi anh ! Vậy theo anh mô hình tổng thể cho một doanh nghiệp nên được thiết kế và áp dụng như thế nào để đạt hiệu quả cao nhất. Về phần NAT thì theo em biết, nó cũng là một giải pháp bảo mật, đa phần các thiết kế đều để cập đến việc NAT. Có lẽ không có mô hình mạng nào là không thực hiện NAT.]]>
/hvaonline/posts/list/35554.html#218958 /hvaonline/posts/list/35554.html#218958 GMT
Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau...

tmd wrote:
Nếu bạn đã nhìn ra được ở lab 1, DSL được cấu hình wizard setup. Nó có cản hết traffic không? Nếu nó không cản traffic thì nó làm gì để traffic đi qua nó vào tới ISA Server ?. Các loại traffic nào ở giao thức nào , cổng nào được vào tới ISA server như trong mô hình lab ?. Nhìn gì nhìn cho kỹ. Vì vai trò DSL trong lab gây 1 hiểu lầm hay "stupid" gì đó. Bạn trả lời được 3 câu hỏi này của tui thì bạn nên đọc kỹ tiếp cho hết câu chữ thật chậm rãi.  
Bạn đang hiểu lầm cái cấu hình modem ADSL ở lab 1 đấy. PPoE/PPoA trong cấu hình đó là từ đâu đến đâu? Và PPoE đang bàn trong chủ đề này là từ đâu đến đâu. Bài viết đầu tiên mình tham gia trong chủ đề này với lý do và mục đích đã được nói cụ thể ở đây: /hvaonline/posts/list/0/35554.html#218785 Mình chỉ đưa ra cái topo mạng đó và tập trung phân tích lại ý tưởng của bác myquartz với mục đích công nhận những ý kiến của bác ấy là có cơ sở (tuy nhiên vẫn không đồng tình với cách phê phán hơi nặng nề của bác ấy). P/s: từ đầu mình không có đọc mấy cái lab của NN (10 cái). Nên mình không tham gia với mục đích phân tích kỹ thuật tất cả các mô hình như chủ đề bạn đưa ra. ]]>
/hvaonline/posts/list/35554.html#218964 /hvaonline/posts/list/35554.html#218964 GMT
Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau...

vikjava wrote:

conmale wrote:
Kinh nghiệm bản thân anh thì bất cứ nơi nào tránh được NAT thì nên tránh. Packets chỉ nên route (định tuyến) chớ không nên nat (network address translate) bởi vì route nhanh chóng và không thay đổi (mangle) packet. Trong khi đó, nat lại thay đổi packet. Ngoài khía cạnh hiệu suất giữa route vs nat, nat rất nguy hiểm đặc biệt cho những ứng dụng đụng chạm đến SSL và đụng chạm đến IP's headers. Những thay đổi xảy ra với packets từ cơ chế nat sẽ biến packets ra vào bị vô giá trị hoặc thiếu hụt những thông tin cần thiết (và nguyên thuỷ) cho nên có những sự cố xảy ra do nat sẽ làm kỹ sư mạng cực kỳ điên đầu. Firewall luôn luôn là thiết bị dùng để cản lọc (tuỳ mức độ và quy chế cản lọc) chớ không phải là thiết bị định tuyến (mặc dù firewall có khả năng định tuyến). Càng tách rời các chức phận, càng dễ bảo trì và nâng cao hiệu suất. Càng nhập nhằng các tính năng trên cùng một thiết bị, càng kém hiệu suất và càng nhiều cơ hội đau đầu. 
Hi anh ! Vậy theo anh mô hình tổng thể cho một doanh nghiệp nên được thiết kế và áp dụng như thế nào để đạt hiệu quả cao nhất. Về phần NAT thì theo em biết, nó cũng là một giải pháp bảo mật, đa phần các thiết kế đều để cập đến việc NAT. Có lẽ không có mô hình mạng nào là không thực hiện NAT. 
Câu hỏi của em chung chung quá nên không có câu trả lời xác thực. Mô hình mạng cho doanh nghiệp phục vụ cụ thể từng nhu cầu và ưu tiên khác nhau cho nên không thể có loại "one size fits all" được, nhất là xét đến mức độ hiệu quả và bảo mật. Nói một cách tổng quát, router (bìa) luôn luôn nằm ở ngoài cùng và giữ trách nhiệm định tuyến chớ không nên làm bất cứ thứ gì khác bởi vì chức năng của nó là định tuyến. Firewall nên nằm ở trong để bảo vệ cụ thể từng network segment tuỳ theo đòi hỏi. Nếu bên trong router bìa cần có nhiều network tách rời thì ở mỗi giao điểm cần có một router riêng biệt và bên trong đó có firewall riêng biệt. Mặc dù các router / modem / firewall hầu hết có khả năng NAT nhưng nếu mình ghi nhận rằng: chỉ NAT khi không thể làm gì khác thì mới hiệu suất được. Hơn nữa, NAT không phải là biện pháp gia tăng bảo mật mà nó chỉ là một cơ chế "viết lại" các packets ra vào. Bởi vậy, nếu ngộ nhận mà cho rằng NAT dùng để bảo mật (như firewall) thì đó là ngộ nhận rất trầm trọng.]]>
/hvaonline/posts/list/35554.html#218966 /hvaonline/posts/list/35554.html#218966 GMT
Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau...

hvthang wrote:
Bạn đang hiểu lầm cái cấu hình modem ADSL ở lab 1 đấy. PPoE/PPoA trong cấu hình đó là từ đâu đến đâu? Và PPoE đang bàn trong chủ đề này là từ đâu đến đâu. Bài viết đầu tiên mình tham gia trong chủ đề này với lý do và mục đích đã được nói cụ thể ở đây: /hvaonline/posts/list/0/35554.html#218785 Mình chỉ đưa ra cái topo mạng đó và tập trung phân tích lại ý tưởng của bác myquartz với mục đích công nhận những ý kiến của bác ấy là có cơ sở (tuy nhiên vẫn không đồng tình với cách phê phán hơi nặng nề của bác ấy).  
Thiệt không hiểu nổi. Đoạn đỏ đó hình như bạn đang áp đặt rằng tui không biết cấu hình wizard setup đang chạy chế độ nào chăng ? Bạn thảo luận kiểu gì vậy ? Đoạn màu vàng càng tệ hơn. PPoE chỉ dùng khi cái DSL đó chạy chế độ bridge và tui đã có phát biểu về chuyện này. Bạn nên nói rõ lúc đó, DSL chạy chế độ nào, để mà cấu hình PPoE được trên ISA Server. Còn bàn lùi là sao ta ? Chắc bạn này đọc càng ngày càng không kỹ. ]]>
/hvaonline/posts/list/35554.html#218967 /hvaonline/posts/list/35554.html#218967 GMT
Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau...

conmale wrote:
Câu hỏi của em chung chung quá nên không có câu trả lời xác thực. Mô hình mạng cho doanh nghiệp phục vụ cụ thể từng nhu cầu và ưu tiên khác nhau cho nên không thể có loại "one size fits all" được, nhất là xét đến mức độ hiệu quả và bảo mật. Nói một cách tổng quát, router (bìa) luôn luôn nằm ở ngoài cùng và giữ trách nhiệm định tuyến chớ không nên làm bất cứ thứ gì khác bởi vì chức năng của nó là định tuyến. Firewall nên nằm ở trong để bảo vệ cụ thể từng network segment tuỳ theo đòi hỏi. Nếu bên trong router bìa cần có nhiều network tách rời thì ở mỗi giao điểm cần có một router riêng biệt và bên trong đó có firewall riêng biệt. Mặc dù các router / modem / firewall hầu hết có khả năng NAT nhưng nếu mình ghi nhận rằng: chỉ NAT khi không thể làm gì khác thì mới hiệu suất được. Hơn nữa, NAT không phải là biện pháp gia tăng bảo mật mà nó chỉ là một cơ chế "viết lại" các packets ra vào. Bởi vậy, nếu ngộ nhận mà cho rằng NAT dùng để bảo mật (như firewall) thì đó là ngộ nhận rất trầm trọng. 
Bác conmale ạ. Cái ta đang nói là mô hình doanh nghiệp nhỏ, dạng SOHO ấy, với Internet mục đích chính là Outbound, 1 ít là Inbound, thì không cần cái router bìa (chỉ định tuyến) bác ạ. Lý do: khi kéo được truyền ADSL, hoặc lên cáp quang FTTH, bác chỉ có 1 cái Public IP (dynamic hoặc static), xịn hơn 1 tí thì có thêm 1 subnet 4 IP tĩnh (tức là /30). Với ít subnet như thế, dùng thêm 1 cái router để định tuyến là không cần thiết. (có tuyến nào khác default uplink đâu?) Chính vì lý thuyết "router bìa" đó, dành cho hàng khủng, doanh nghiệp có 2 kết nối Internet peering hoặc 1 subnet 32 địa chỉ Public trở lên, có thêm cả dynamic routing. Các bạn học viên được học là mô hình có "router bìa", thế là đem áp dụng vào SOHO nhưng vì không có nhiều Public IP, phải thêm "NAT" nên mới sinh ra cái buồn cười như kia. Sửa bác conmale 1 tẹo: Gói tin đi qua router có bị thay đổi đấy bác ạ, 1 thứ thôi, chính là cái IP TTL bị giảm đi 1 và dẫn đến cả check-sum bị tính lại. Cái này thay đổi không phải làm gì nhiều nên khoẻ re. Bổ sung thêm 1 tí cho bác Conmale: NAT thì bị thay đổi nhiều hơn. Nếu chỉ NAT IP (nguồn hoặc đích), không quan tâm tới layer 4 protocol, thiết bị NAT sẽ hoạt động không tệ lắm vì nó không phải nhớ đến là bao nhiêu session đang NAT. Cứ IPx thì thành IPy, y thành x. CPU càng khoẻ chạy càng lẹ. Nhưng nếu NAT đụng lên tới layer 4, TCP, UDP, ICMP, port nọ port kia, thì cái thiết bị NAT ấy nó sẽ phải làm việc nặng nhọc hơn nhiều lần, nó sẽ phải ghi nhớ là session A đến từ IP nào, port nào và đến IP/port nào, đã translate thành IP nào, port nào rồi, mọi gói tin qua lại đều phải tra cái bảng ghi nhớ này để chuyển đổi qua lại. Do đó nó sẽ chậm hơn và sẽ có hữu hạn session có thể mở ra cùng lúc (vì mỗi session cần 1 vài byte nhớ, lưu trong RAM, mà RAM thì hữu hạn, nhất là các thiết bị SOHO RAM bé tí, có khoảng chục Meg thôi). To tmd: Bạn tmd hơi nhầm 1 chút đấy. Cái router bên trong cần hay không cần thì tuỳ theo cái mạng LAN to hay nhỏ, muốn giảm broadcast domain hay không. Ta xét mô hình này về cái ISA thôi, xét kết nối bên trái (vào LAN) thì không có vấn đề gì, chỉ có cái kết nối bên phải (ra Internet) là có sự stupid nhất định ở đây, chính là 2 lần NAT, và 1 lần NAT lại làm trên con ADSL Router với khả năng xử lý NAT (layer 4) hạn chế, như mình mô tả trên. Với mô hình Lab của NN, đem áp dụng thực tế, chỉ cần số lượng user tăng lên vài chục, số session vài ngàn là hệ thống đơ đơ ra ngay, điểm yếu chính là cái ADSL router ấy nó không gánh nổi vài ngàn session (theo mình biết thiết bị SOHO nào gánh được đến hàng ngàn là xịn lắm rồi). Nếu chuyển đổi chức năng, ADSL chỉ là modem/brigde, không bị hạn chế session, thì khả năng của mô hình sẽ lên đến vài trăm ngàn session, hàng ngàn user.]]>
/hvaonline/posts/list/35554.html#218974 /hvaonline/posts/list/35554.html#218974 GMT
Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau...
Còn nếu mà mình vẫn sử dụng Router đứng ngoài, tuyển cái nào tốt tốt như yêu cầu trên. Mạng nội bộ không có truy suất ra/vào lớn tới đơn vị 1000. Và nối vài cái mạng nho nhỏ lại với nhau theo kiểu site to site. DSL vẫn chạy Bridge, hoặc Router tốt.
Mô hình này sai mất mục tiêu chính, nếu để cái ISA làm luôn nhiệm vụ VPN thì doanh nghiệp thuộc hàng khủng long. Link tham khảo Creating a Site to Site VPN using ISA 2006 Firewalls at the Main and Branch Office http://www.isaserver.org/tutorials/Creating-VPN-ISA-Server-2006-Firewalls-Main-Branch-Office-Part1html.html ]]>
/hvaonline/posts/list/35554.html#218980 /hvaonline/posts/list/35554.html#218980 GMT
Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... Teaching the Boss and the Network Guys About the ISA Firewall (Part 1) How the ISA Firewall Functions as a Front End Firewall on the Internet Edge
How the ISA Firewall Functions as a Departmental or Back End Firewall
How the ISA Firewall Functions as an Inter-network Access Control Solution within the Organization – Multiple Internal Networks or Dedicated Network Services Segments
How the ISA Firewall Functions as a Branch Office Firewall
Mô tả cho từng hình ảnh tham khảo link dưới. Nếu mình đi học ISA, thôi thi mình đi học cái link này cho chắc cú. http://www.isaserver.org/tutorials/Teaching-Boss-Network-ISA-Firewall-Part1.html]]>
/hvaonline/posts/list/35554.html#218983 /hvaonline/posts/list/35554.html#218983 GMT