Cấu trúc hệ thống mạng Cisco Meraki tham khảo cho doanh nghiêp vừa và nhỏ (SMB)

Thảo luận trong 'Firewall Cisco Meraki' bắt đầu bởi hainguyen, 8/10/21.

Tags:
  1. hainguyen

    hainguyen Member

    I/. TỔNG QUAN:
    - Bài viết này sẽ giới thiệu các chi tiết một cấu trúc mẫu dành triển khai cho mạng Doanh nghiệp vừa và nhỏ (SMB) của Cisco Meraki sẽ như thế nào. Đây được xem như cấu trúc tham chiếu mà các doanh nghiệp nhỏ có thể dựa theo. Trong bài viết doanh nghiệp sẽ thiết lập mạng văn phòng mới với toàn bộ thiết bị & công nghệ Meraki. Chúng ta sẽ đi tìm hiểu về các yêu cầu, thiết kế một mạng để đáp ứng các yêu cầu đó và kiểm tra cấu hình hoàn thiện. Các cấu hình ở đây phục vụ đầy đủ các nhu cầu của mạng đề ra này, do đó tùy vào mô hình và đòi hỏi khác nhau ở mỗi mạng mà bạn đang áp dụng có thể thay đổi cho phù hợp.

    II/. NHỮNG YÊU CẦU VỀ MẠNG:
    - Doanh nghiệp nhỏ (gọi tắt là X) trong trường hợp này có 10 nhân viên và khoảng 3 vị khách đến văn phòng cùng lúc. Các nhân viên có thể đang thực hiện các dịch vụ cho khách hàng tại văn phòng, làm việc với khách hàng hiện tại đang ở khu vực khác hoặc các dự án mới ở xa. X có một số thiết bị cung cấp nội dụng bằng âm thanh và hình ảnh để đưa đến các địa điểm của khách hàng. Ngoài ra chúng được lưu trữ tại địa điểm an toàn ở văn phòng.

    - X dựa trên sự kết hợp của các dịch vụ cloud và local host. Một máy chủ Web đặt tại văn phòng chứa các danh mục dịch vụ và dự án với khách hàng trước đó. Dữ liệu về dự án được lưu trữ trong một máy chủ riêng tại văn phòng được được truy cập an toàn để các nhân viên truy cập tại cả trong nội bộ và từ xa.

    - Laptop của nhân viên có thể chọn giữa kết nối với mạng dây thông qua một kết nối của điện thoại bàn hoặc có thể mạng không dây tại văn phòng. Những khách đến văn phòng có thể kết nối với mạng WiFi tại đây nhưng chỉ được kết nối ra Internet.

    - Một VPN Site-to-Site để kết nói tới trung tâm dữ liệu ở xa và văn phòng khác. Doanh nghiệp X có các yêu cầu mẫu như sau:
    • Dịch vụ Client VPN cho các nhân viên làm việc từ xa truy cập vào tài nguyên bảo mật lưu ở văn phòng.
    • Quét IPS và Malware mạng để bảo vệ cho client và server.
    • Tách biệt các mạng giữa khách và người dùng nội bộ.
    • Cấu hình cơ bản cho mạng không dây. Khảo sát địa điểm để xác định số lượng và vị trí của 4 APs để đảm bảo độ phủ sóng cho toàn bộ văn phòng.
    • Camera giám sát đối với tài sản trong phòng thiết bị. 2 camera giám sát sẽ được đặt ở điểm ra vào phòng.
    • Hỗ trợ cấp nguồn PoE+ cho điện thoại bàn, camera thông mình, và các Access Point.
    • Thiết bị hoạt động đồng thời tới 41 thiết bị:
      • 10 Nhân viên, mỗi người một điện thoại bàn, laptop và smartphone (30 thiết bị)
      • 3 Khách hàng với 2 thiết bị mỗi người (6 thiết bị)
      • 2 Máy chủ.
      • 2 Smart Camera giám sát.
      • 1 Máy in.
    III/. CẤU TRÚC CỦA LIÊN KẾT MẠNG:
    - Để đáp ứng các yêu cầu, cấu trúc mạng mô tả mỗi phần của giải pháp phù hợp với đơn vị.
    - Mạng được chia thành các VLAN riêng biệt cho mỗi trường hợp sử dụng mạng:
    • Dữ liệu nội bộ.
    • Voice.
    • Server.
    • Khách hàng.
    - Việc phân chia mạng cho phép kiểm soát tốt hơn lưu lượng truy cập đế và đi từ mỗi subnet. Cũng như cho phép các cấu hình riêng biệt, vd: luồng ưu tiên cho uplink, giới hạn tốc độ, và cấu hình quy tắc tường lửa cho mỗi subnet.

    - Trong cấu trúc này, các thiết bị Cisco Meraki như Switch, AP, và MV Smart camera nhận địa chỉ IP trên data VLAN nội bộ cùng với các client có dây khác. Những IP này được dùng để quản lý giao tiếp với Meraki dashboard. Quản lý lưu lượng mạng và Dữ liệu nội bộ trên cùng VLAN không phải là vấn đề quá lớn trong các mạng nhỏ, như ví dụ này. Tuy nhiên, khi doanh nghiệp mở rộng và mạng trở nên phúc tạp hơn, công ty X này có thể chọn phân chia VLAN chi tiết hơn để tăng khả năng kiểm soát luồng lưu lượng.
    [​IMG]

    IV/. NỘI DUNG CÁC SUBNET VÀ ĐỊA CHỈ IP:
    - Một VLAN riêng biệt được tạo ra cho mỗi trường hợp mạng chung. Dưới đây là các VLAN ID được chia ra và Subnet phục vụ từng trường hợp sử dụng - (Use-case – VLAN ID – Subnet):
    ● Internal Data – 1 – 192.168.1.0/24
    ● Voice – 2 – 192.168.2.0/24
    ● Server – 3 – 192.168.3.0/24
    ● Guest – 4 – 192.168.4.0/24
    ● Client VPN – N/A – 192.168.5.0/24

    !Lưu ý VPN client không thuộc về VLAN cụ thể nào. Mà các VPN client này được cấu hình riêng với các VLAN cục bộ khác. Tùy nhiên, một subnet duy nhất vẫn được yêu cầu để MX có thể gán địa chỉ IP cho các VPN client từ xa và định tuyến lưu lượng nà dến và đi từ subnet ở văn phòng.

    - Chi tiết các VLAN và địa chỉ IP cho mỗi thiết bị trong mạng (Thiết bị: VLAN _ [IP]):
    ● Thiết bị Firewall Meraki MX67: 1, 2, 3, 4 _ WAN (1 + 2): ISP, LAN: 192.168.1.1, 192.168.2.1, 192.168.3.1, 192.168.4.1
    Switch MS120-48LP: 1-Internal _ DHCP
    ● 4 x AP MR20: 1-Internal _ DHCP
    ● 2 x MV12N smart camera: 1 _ DHCP
    ● Storage server: 3-Server _ 191.168.3.2
    ● Web server: 3-Server _ 191.168.3.3
    ● Máy in: 1-Internal _ IP cố định trên DHCP
    ● Điện thoại bàn: 2-Voice_ DHCP
    ● Thiết bị của khách hàng Guest: 4-Guest _ DHCP
    ● Thiết bị VPN Client: N/A _ DHCP.

    - Thiết bị bảo mật MX có 2 cổng WAN để cung cấp kết nối dự phòng. Các địa chỉ IP đặt trên cổng LAN để MX hoạt động như Default gateway cho thiết bị tương ứng với VLAN đó.

    V/. CẤU HÌNH:
    - Bây giờ chúng ta đã nắm khái quát về các yêu cầu mạng và các bộ phận liên quan đến giải pháp, chúng ta sẽ chi tiết các cấu hình để xem mục đích của nó.

    5.1 Các cổng Uplinks.
    - Web server phải có khả năng truy cập từ địa chỉ IP public nhất định. MX có một cổng WAN (Internet 1) nhận được một IP tĩnh từ nhà mạng ISP
    - DNS server đầu tiên của WAN 1 thuộc về ISP, DNS server thứ hai nên là một dịch vụ DNS của bên thứ ba như Google Public DNS. Nếu DNS server của nhà mạng gặp lỗi, WAN1 vẫn có thể sử dụng DNS thứ cấp này.
    - ISP khác cung cấp kết nối dự phòng ra Internet cho cổng Uplink thứ cấp của MX. ISP này cấp một IP pubic động cho cổng WAN2.
    [​IMG]

    5.2 Các VLAN và Subnet.
    - Thiết bị MX67 trong chế độ Routed để hoạt động như một Layer 3 Gateway tới các thiết bị mạng trong LAN, cấp các địa chỉ IP DHCP, NAT ra internet, và kiếm soát lưu lượng mạng giữa các VLAN.
    [​IMG]

    - MX sử dụng các VLAN riêng cho mỗi trường hợp sử dụng chung trong mạng.
    [​IMG]

    5.3 DHCP Server.
    - MX được cấu hình cấp dịch vụ DHCP cho mỗi VLAN để các thiết bị tự động nhận được địa chỉ IP khi kết nối vào cả hữu tuyến và vô tuyến.
    [​IMG]

    - Phạm vi cấp IP của DHCP cho mỗi subnet còn dự trữ khoảng 10 địa chỉ để có thể đặt tĩnh cho các thiết bị mạng (như thiết bị cứng Meraki, hoặc máy in).
    - Phạm vi DHCP của VLAN Internal Data cố định một IP với địa chỉ MAC của máy in qua mạng. Máy in này không cần phải cấu hình IP tĩnh nhưng vẫn luôn nhận một IP nhất định từ DHCP trên Meraki MX khi nó yêu cầu một địa chỉ trên VLAN 1.

    5.4 Firewall.
    - Thiết bị MX mặc định sẽ cho phép lưu lượng đi ra. Lưu lượng mạng đi ra này bao gồm lưu lượng của client khách truy cập internet hoặc các subnet khác trong LAN. Trong trường hợp này, lưu lượng mạng giữa các subnet nhất định bị hạn chế chỉ những gì cần thiết để đáp ứng nhu cầu kinh doanh.

    - Các quy tắc về firewall ở Layer 3 được xử lý từ trên xuống và hành động phù hợp với quy tắc đầu tiên. Và dưới đây sẽ là phân tích từng quy tắc Firewall ở Layer 3:
    #1. Cho phép lưu lượng mạng lưu trữ từ VLAN 1 tới Server.
    #2. Cho phép lưu lượng web từ VLAN tới Web server.
    #3. Chặn bắt kỳ lưu lượng nào được tạo trong cùng subnet với server. Chỉ cần lưu lượng được khởi tạo từ client tới server như cấu hình #1 + #2.
    #4. Quy tắc này hoạt động giống với #1 và #2. Cấm bất kỳ lưu lượng nào tới subnet server nếu không được cho phép ở #1 + #2
    #5. Cấm toàn bộ lưu lượng được tạo tới subnet của khách hàng.
    [​IMG]

    - Mặc định, MX cấm lưu lượng đi vào. Các kết nối vào từ internet được yêu cầu phải chuyển tiếp hoặc có cấu hình NAT. Port TCP 80 và 433 được phép đi vào và được chuyển tiếp tới web server ở nội bộ để hỗ trợ cho truy cập bên ngoài vào.
    [​IMG]

    5.5 Client VPN.
    - Client VPN được bật lên và lắng nghe các yêu cầu kết nối vào từ các client ở bên ngoài cần truy cập vào các file lưu trữ tại máy chủ đặt tại văn phòng.
    [​IMG]

    - Một subnet riêng biệt được cấu hình cho các thiết bị client VPN. Meraki MX gán một địa chỉ IP từ subnet này tới các thiết bị xác thực thành công tới client VPN.
    - Các User yêu cầu truy cập tới client VPn được thêm vào danh sách user xác thực trên Meraki cloud.

    5.6 SD-WAN & Traffic Shaping.
    - Mỗi cổng uplink của MX được cấu hình ứng với thông lượng đến ISP. Các cài đặt thông lượng Uplink được đưa vào xem xét cho mức ưu tiên lưu lượng và Load Balancing giữa các cổng uplink.
    [​IMG]

    - Đường Uplink phù hợp nhất cho nhu cầu của người dùng trong nội bộ (ở đây là uplink có băng thông lớn nhất, WAN1) được chọn làm Uplink chính. Toàn bộ lưu lượng client dành cho internet sẽ sử dụng cổng uplink này trừ khi được chỉ định riêng lẻ trong Flow preferences. Lưu lượng Internet từ subnet của Guest-VLAN được yêu cầu chuyển qua cổng WAN 2 để giảm xung đột về băng thông giữa luồng lưu lượng mạng của Guest và Internal Data VLAN. Ngoài ra, khi WAN 1 bị mất kết nối hoàn toàn, Internet của công ty X sẽ vẫn có thể truy cập qua cổng WAN2.
    [​IMG]

    5.7 Bảo vệ khỏi các nguy cơ trong mạng - Threat Protection. (Tinh năng yêu cấu có thêm license Advanced Security)
    - Advanced Malware Protection (AMP) - Bảo vệ nâng cao chống Malware được bật trên toàn mạng cho việc quét các bản tải xuống HTTP để xem liệu chúng có chứa nội dung độc hại hay không.
    [​IMG]

    - Intrusion detection and prevention – Phát hiện và ngăn chặn xâm nhập được kích hoạt trong Prevention Mode cùng với Ruleset : Balanced để xác định và chặn các mẫu lưu lượng độc hại.
    [​IMG]

    5.8 Content Filtering. (Tinh năng yêu cấu có thêm license Advanced Security)
    - Lọc nội dung bật lên và cấu hình để khóa các trang web có trong danh mục không thích hợp với văn hóa công ty hoặc không an toàn để ghé thăm.
    [​IMG]
    VI/. Cấu hình Switch Meraki MS:
    - Phần triển khai mẫu này được thực hiên trên thiết bị Swtich Meraki MS120-48LP.

    6.1 Cài đặt.
    - Với bất kỳ Switch Meraki MS nào được thêm vào trang Dashboard đều sử dụng VLAN 1 để quản lý lưu lượng ở mặc định. Và doanh nghiệp X ở đây cũng vậy, sử dụng VLAN 1 – Internal Data cho các thiết bị Meraki quản lý bằng IP.
    [​IMG]

    - Tính năng QoS trên các switch nhằm ưu tiên lưu lượng trên voice VLAN (VLAN 2) và thêm vào lưu lượng DSCP để báo hiệu cho các thiết bị khác rằng chúng cũng nên được ưu tiên nó.
    [​IMG]

    6.2 Switch ports.
    - Cấp nguồn qua cáp Ethernet (PoE) mặc định được mở trên tất cả các cổng RJ-45 của Switch MS120-48LP. Switch sẽ tự động cấp nguồn dựa trên loại thiết bị kết nối đến. Ví dụ, chuẩn 802.3af cho smart camera - MV12 và điện thoại bàn IP, hoặc 802.3at (PoE+) cho các Access Point – MR20.

    - Các cổng được cấp cho nhân viên được cấu hình là Access mode với VLAN 1. Các cổng này cũng được cấu hình với một voice VLAN để kết nối điện thoại bàn IP được tự động đặt trong VLAN.
    [​IMG]

    - Các port switch kết nối tới các AP được cấu hình là Trunk với native VLAN 1. Khi AP được đấu nối vào switch port này, nó sẽ nhận được IP trong native VLAN. Còn lưu lượng không dây của từng SSID được gắn thẻ VLAN sẽ được chuyển qua switch port này với Allowed VLANs là 'ALL'.
    [​IMG]

    VI/. Wireless    :
    - Thiết bị WiFi ở đây được sử dụng để cấu hình tham khảo là Cisco Meraki MR20 Access Point.

    7.1 Access Points.
    - Các AP được kết nối tới các switch port được phân bố trước để nhận nguồn PoE+ và đang ở chế độ Trunk với native VLAN 1. Trong ô VLAN được bỏ trống bên trái trong cấu hình IP quản lý của mỗi AP. Khi AP được kết nối vào switch port, nó sẽ có một IP trong native VLAN.
    [​IMG]

    7.2 Access Control – Kiểm soát truy cập    .
    - Hai SSID cùng tồn tại để cung cấp cho hai trường hợp sử dụng mạng không dây khác nhau: Nhân viên sử dụng và Khách hàng truy cập internet. Cả hai SSID này đều sử dụng Bridge mode để các client không dây nhận IP DHCP từ MX phù hợp với VLAN đó.
    [​IMG]

    - Client kết nối tới SSID có tên Ikarem dành cho nhân viên được đặt trong VLAN 1, đây cũng là native VLAN cho switch port của các AP, nên chỉ cần chọn Don't use VLAN tagging cho phần VLAN tagging.
    [​IMG]

    - Những client nào kết nối với SSID 'Ikarem Guest' được đặt vào VLAN 4 thông qua sử dụng gắn thể trên SSID này. Trong VLAN tagging chọn Use VLAN tagging, bên dưới phần VLAN ID bạn có thể thay đổi nội dung ở đây (vd: nhập vào '4 – Guest VLAN'). Tất cả các lưu lượng từ các client thuộc VLAN 4 này sẽ được áp dụng cài đặt cho chính sách uplink trên Meraki MX như đã làm ở phần Security & SD-WAN của bài viết này.
    [​IMG]

    VIII/. Firewall & Traffic Shaping:
    - Trong khi các khách hàng được phép truy cập vào mạng không dây, họ sẽ được giới hạn chỉ chi truy được internet. Những Firewall rule cho SSID này được triển khai trên AP qua Wireless > Firewall & traffic shaping. Và SSID cũng được kích hoạt cách ly các client trong LAN ở Layer 2, chỉ giao tiếp với MAC của default gateway. Với Firewall rulle ở Layer 3 để chặn lưu lượng tới các toàn bộ các LAN khác nhằm chống giao tiếp với các subnet cá nhân đang có của văn phòng này.
    [​IMG]

    - Quy tắc giới hạn băng thông mạng cho Guest SSID này. Băng thông mỗi SSID giới hạn cho SSID đặt tổng công là '30Mbps' (10 Mbps một người dùng). Việc này sẽ làm giảm việc khách hàng sử dụng các dịch vụ chiếm băng thông như Video call, voice hoặc download ảnh hướng tới hiệu suất khai thác toàn mạng và tổ chức của bạn.
    [​IMG]
     
    hainguyen, 8/10/21
    #1

trang này