Trong kỷ nguyên công nghệ mạng hiện đại đòi hỏi tốc độ và hiệu quả cao, cấu hình mạng vòng tròn (#Ring Topo) là một cải tiến quan trọng trong quản lý mạng. Quá trình này cho phép, bất kỳ phân đoạn cáp quang nào bị đứt gãy, lưu lượng mạng vẫn tự động và tập trung truyền tải cấu hình từ mạng trung tâm (điểm truy cập Internet chính) đến vùng được kết nối. Đó là dự phòng mạng.
Tóm tắt
THIẾT KẾ HỆ THỐNG MẠNG VÒNG RING KHU RESORT/CỤM CÔNG NGHIỆP
Công nghệ chuyển đổi dự phòng cho phép hệ thống mạng tiếp tục hoạt động ngay cả khi một thành phần quan trọng, chẳng hạn như phần cứng, kết nối hoặc các thành phần khác, bị lỗi. Trong môi trường kỹ thuật số phụ thuộc nhiều vào mạng lưới, những sự gián đoạn như vậy có thể gây ra thời gian ngừng hoạt động, gây thiệt hại cả về tài chính và hoạt động. Với chuyển đổi dự phòng, hệ thống sẽ tự động chuyển sang đường dẫn hoặc thiết bị dự phòng, đảm bảo các dịch vụ tiếp tục hoạt động mà không bị gián đoạn lớn. Giải pháp này rất quan trọng để duy trì tính khả dụng, độ tin cậy và tính liên tục của dịch vụ trong kỷ nguyên kỹ thuật số, vốn đòi hỏi thời gian hoạt động cao, đặc biệt là trong các lĩnh vực như ngân hàng, thương mại điện tử và viễn thông.
Bài viết này sẽ đề cập đến một mô hình phổ biến trong thiết kế mạng dự phòng dạng hình tròn trên các thiết bị mạng MikroTik, chẳng hạn như loại thiết bị phần Core, chế độ hoạt động và sử dụng bộ định tuyến #MikroTik làm cổng chính của mạng. .
Không có quá nhiều thời gian cho hôm nay, hãy bắt đầu!
𝟏) 𝐓𝐡𝐚̀𝐧𝐡 𝐭𝐨̂́ 𝐱𝐚̂𝐲 𝐝𝐮̛̣𝐧𝐠 𝐦𝐨̣̂𝐭 𝐦𝐚̣𝐧𝐠 𝐯𝐨̀𝐧𝐠 𝐭𝐫𝐨̀𝐧.
𝐀. 𝐓𝐫𝐮𝐧𝐠 𝐭𝐚̂𝐦 (𝐂𝐨𝐫𝐞 / 𝐈𝐧𝐭𝐞𝐫𝐧𝐞𝐭 𝐄𝐝𝐠𝐞)
FortiGate FG200F: đóng vai trò tường lửa trung tâm / policy / #NAT / phân tách luồng (trong ảnh còn vẽ biểu tượng “shield”). Tác dụng chính, đó là:
– Chặn truy cập trái phép giữa Staff Guest
Guest– #NAT ra Internet (hoặc chỉ policy còn NAT do MikroTik tuỳ thiết kế)
IPS/AV/WebFilter (nếu bật)
– 2 x MikroTik CCR2116 (trung tâm): #CCR2116 “PPPoE + Internet GW”: router “đi Internet” (kết thúc PPPoE, default-route, NAT nếu cấu hình).
– CCR2116 “#Gateway + DHCP”: router “điều phối LAN” (làm gateway nội bộ, DHCP cho #VLAN/Zone, chạy định tuyến nội bộ).
→ Cách tách 2 CCR trong thiết kế này nhằm lợi dụng “chia tải & chia vai”: một bộ xử lý WAN/PPPoE, một bộ xử lý giảm tải cho LAN/DHCP/routing; tuy nhiên phải thiết kế rõ chỗ NAT, firewall, và default-route để tránh vòng định tuyến (yêu cầu năng lực kỹ thuật tại phân đoạn này một cách có kinh nghiệm).
Lưu ý: – Cấu trúc vòng này, thông lượng tối thiểu đạt được 20Gb/s có sử dụng L3Hw.
𝐁. 𝐂𝐚́𝐜 𝐙𝐨𝐧𝐞 (𝐊𝐡𝐮 𝐀 / 𝐁 / 𝐂), 𝐭𝐮̛𝐨̛𝐧𝐠 𝐮̛́𝐧𝐠 𝐥𝐚̀ 𝐦𝐨̂̃𝐢 𝐊𝐡𝐮 𝐭𝐫𝐨𝐧𝐠 𝐑𝐞𝐬𝐨𝐫𝐭 – 𝐂𝐮̣𝐦 𝐂𝐨̂𝐧𝐠 𝐍𝐠𝐡𝐢𝐞̣̂𝐩.
Mỗi khu/cụm có:
– 1 x CCR2116 “Gateway + DHCP”: làm gateway cục bộ cho khu đó, cấp DHCP (theo VLAN Staff/Guest) và tham gia định tuyến trong “ROUTING AREA”.
– PoE switch: cấp nguồn và uplink cho #AP.
– AP Aruba + thiết bị người dùng: Nhân viên (khung đỏ); Khách (khung xanh).
𝟐) 𝐏𝐡𝐚̂𝐧 𝐭𝐚́𝐜𝐡 𝐥𝐮𝐨̂̀𝐧𝐠 𝐥𝐮̛𝐮 𝐥𝐮̛𝐨̛̣𝐧𝐠 𝐒𝐭𝐚𝐟𝐟 𝐯𝐬 𝐆𝐮𝐞𝐬𝐭.
Trong ảnh có 2 luồng:
– #Traffic nhân viên (mũi tên xanh nét đứt)
– Traffic khách (mũi tên xanh dương nét đứt)
Điểm quan trọng nhất khi triển khai trong mô hình này, bắt buộc phải:
→ Mạng Staff và Guest phải tách #VLAN/VRF hoặc ít nhất tách subnet + rule firewall.
→ Guest nên: Chỉ được ra Internet; Không được vào Server/nhân viên/thiết bị quản trị; Có Captive Portal/Hotspot (nếu cần) đặt ở core hoặc zone tuỳ mô hình.
𝟑) “𝐕𝐨̀𝐧𝐠 𝐫𝐢𝐧𝐠” 𝐜𝐨̂́𝐭 𝐥𝐨̃𝐢 𝐭𝐫𝐨𝐧𝐠 𝐡𝐞̣̂ 𝐭𝐡𝐨̂́𝐧𝐠 𝐥𝐚̀ 𝐑𝐢𝐧𝐠 𝐋𝟑 (𝐑𝐨𝐮𝐭𝐢𝐧𝐠 𝐫𝐢𝐧𝐠)
→ Bằng cách xây dựng mạng Layer3, thay thế hoàn toàn cho mạng Layer2 với giao thức truyền thống “#ROUTING AREA (RIPv2 + Static)” thể hiện sự cải tiến về quản lý và phương thức quản trị hệ thống sau này.
– Link chính chạy RIPv2 (các đường “Link chính (RIPv2)” đi từ core xuống các zone và vòng qua nhau).
– Link dự phòng là static route + high metric (đường đỏ “Link dự phòng…”): nghĩa là có tuyến tĩnh dự phòng, ưu tiên thấp hơn (metric cao hơn) để chỉ dùng khi link chính/rip mất.
→ Cơ chế hoạt động điển hình
– Bình thường: các route học bằng RIPv2 sẽ được chọn (metric thấp hơn / distance ưu tiên hơn).
→ Khi 1 đoạn ring đứt (mất 1 link giữa 2 điểm): RIPv2 cập nhật lại bảng định tuyến, traffic sẽ đi vòng hướng còn lại của ring.
– Khi RIPv2 “không còn đường” hoặc không hội tụ đúng: Static high-metric có thể “đỡ” một số hướng (tuỳ bạn đặt static ở đâu).
𝟒) 𝐔̛𝐮 đ𝐢𝐞̂̉𝐦 𝐜𝐮̉𝐚 𝐦𝐨̂ 𝐡𝐢̀𝐧𝐡 𝐧𝐚̀𝐲.
Cải tiến, cải tiến và cải tiến là xu hướng mà các kỹ sư của chúng tôi theo đuổi, trong đó hướng tới sự quản trị tập trung nhờ đơn giản, dễ dàng bảo trì và sữa chữa sau này. Tất nhiên, mô hình ring trong thiết kế này lại lại lợi ích rõ ràng:
– Chịu lỗi đường truyền liên khu: đứt 1 nhánh vẫn còn đường vòng.
– Mỗi khu tự trị #DHCP/gateway cục bộ: nếu core vẫn reachable thì khu vẫn hoạt động nội bộ tốt; nếu core “chập chờn”, ít nhất trong khu vẫn có LAN.
– Tách miền sự cố: lỗi broadcast/loop ở access (PoE/AP) ít ảnh hưởng core nếu trunk & #STP/rule được cấu hình một cách cẩn thận.
Chú ý & thận trọng:
– “#Gateway + DHCP” đặt ở từng zone: ưu nhưng phải quản trị IP/VLAN rất rõ ràng và kỷ luật (không phải muốn đặt thì đặt tùy tiện); Nếu Staff/Guest có mặt ở cả A/B/C, người dùng cuối cần thống nhất: VLAN ID / subnet per zone (VD: Staff-A, Staff-B…) hay VLAN thống nhất toàn resort và trunk xuyên ring (khi đó lại quay về rủi ro L2 loop/broadcast).
– Với ring L3: thường chọn mỗi zone một subnet riêng, rồi routing về core (ghi nhớ kỹ điều này)
– Nếu yêu cầu cần #HA: bắt buộc chúng tôi phải làm 2 core router (#VRRP) + #FortiGate HA + uplink dự phòng.
– Dùng subnet mask /31 hoặc /30 cho từng link inter-zone/core (tránh lạm dụng).
– Chúng tôi khuyến nghị: chuyển sang #OSPF (hoặc iBGP nếu hệ lớn), bật #BFD để failover nhanh, độ hội tụ cao hơn so với RIP.
– Trên thực tế, rất nhiều hạ tầng đang triển khai một cách sơ sài, tùy tiện. Thì thôi, bài viết này cho chúng ta thấy phần khung của mô hình mạng vòng tròn, ý tưởng cho thiết kế, các tính năng phải triển khai và hơn hết, chúng ta cần biết được, mạng vòng tròn sẽ trông như thế nào.
– Đừng đùa! Thời gian là tất cả, hãy dành thời gian để nâng cao kinh nghiệm hệ thống, và các cống hiến. Thời gian là vàng.
Nguồn: 𝐊𝐲̃ 𝐬𝐮̛ 𝐭𝐡𝐢𝐞̂́𝐭 𝐤𝐞̂́ 𝐡𝐞̣̂ 𝐭𝐡𝐨̂́𝐧𝐠 𝐯𝐨̀𝐧𝐠 𝐑𝐢𝐧𝐠: 𝐊𝐲̃ 𝐬𝐮̛/𝐂𝐡𝐮𝐲𝐞̂𝐧 𝐠𝐢𝐚 𝐡𝐞̣̂ 𝐭𝐡𝐨̂́𝐧𝐠 𝐍𝐠𝐮𝐲𝐞̂̃𝐧 𝐃𝐮𝐲 𝐓𝐫𝐮̛𝐨̛̀𝐧𝐠 𝐓𝐡𝐢̣𝐧𝐡 ( Mikrotik VN )
