Giải pháp triển khai hạ tầng mạng với Vyatta tại BigC

Những ai đã từng hoạt động trong lĩnh vực quản trị mạng có lẽ không ít lần phải đối đầu với bài toán: chọn lựa router/firewall nào để trang bị có hiệu quả cho doanh nghiệp? Với các doanh nghiệp lớn, câu trả lời cực kỳ đơn giản: Cisco và Juniper là các lựa chọn đầu tiên. Các doanh nghiệp nhỏ hơn có lẽ sẽ lựa chọn 3Com, LinkSys, Draytek, Planet, DLink,… Các fan của mã nguồn mở có thể yêu mến IPCop, EDIAN hoặc thâm chí Linux với Iptables. Bên cạnh các lựa chọn vừa nêu, chúng tôi, đội ngũ IT cua BigC Việt nam cũng mong muốn chia sẻ cùng cộng đồng IT Việt nam một giải pháp mà chúng tôi rất tâm đắc: đó là Vyatta.
Chúng tôi bắt đầu biết đến Vyatta vào khoảng giữa năm 2008. Lúc đó, IPCop với một số customization scripts để tăng cường security của firewall đã được sử dụng phổ biến trong BigC từ năm 2003 như một chuẩn mực router/firewall. Đây là giải pháp được công ty mẹ mang đến cho chúng tôi. Tuy được thiết kế tốt, hoạt động ổn định nhưng IPCop cũng chỉ là sản phẩm định hướng vào doanh nghiệp vừa và nhỏ. IPCop đươc thiết kế cho phép hỗ trợ tối đa 4 interfaces với các tính năng định sẵn:
–    RED: interface dùng để kết nối Internet
–    GREEN: interface dùng để kết nối vào mạng LAN của doanh nghiệp.
–    BLUE: Dành riêng cho vùng thiết bi WIFI.
–    ORANGE: vùng DMZ, là nơi chứa các hosting server.

Mô hình đầy đủ của 1 IPCop trong doanh nghiệp:

 

Hình 1: Một mô hình áp dụng IPCop với đầy đủ tính năng

Với mô hình nhỏ bé này, chúng tôi gặp một số số giới hạn:
–    Với số lượng internet users hơn 200 người đồng thời truy cập internet qua 1 đường ADSL, tốc độ truy cập tại một số thời điểm trở nên chậm đến không chấp nhận được. Chúng tôi đã tìm cách mở rộng băng thông bằng cách dặt trước IPCop 1 thiết bị cân bằng tải (network load balancer) Draytek Vigor 3300V. Lúc ấy, tuy tốc độ truy cập được cải thiện nhưng các VPN connection của chúng tôi không còn hoạt động được nữa. Có lẽ nhiều người trong các bạn đã gặp phải tình trang tương tự chúng tôi khi đặt VPN server sau một thiết bị cân bằng tải.
–    Chỉ có 1 interface GREEN cho LAN và 1 BLUE cho wifi nên chúng tôi không thoải mái lắm trong môi trường doanh nghiệp multi-VLAN

–    IPCop được thiết kế không có tính redundant nên chúng tôi tự đặt mình vào tình huống rủi ro cao: truy cập internet của toàn doanh nghiệp sẽ bị ngưng trệ khi thiết bị này bị hỏng.
Vì những hạn chế này, chúng tôi đã phải tìm kiếm một giải pháp khác thay thế IPCop. Trong quá trình tìm kiếm thông tin trên internet, chúng tôi rất ấn tượng về Vyatta. Các bạn hãy tự search trên internet với từ khóa “Vyatta”, các bạn sẽ tìm thấy hàng loạt thông tin thú vị như chúng tôi đã từng tìm thấy
Vyatta là một sản phẩm open-source kết hợp được nhiều chức năng thiết yếu của một thiết bị mạng: route, firewall, network-load-balancer, IDS, QOS…
Thực tế, Vyatta cung cấp cho thế giới networking nhiều cấp độ sản phẩm và dịch vụ như sau:
1.    Vyatta Core (VC): là bản open-source hoàn toàn miễn phí. Các bạn có thể download về và cài đặt trên phần cứng X86. Với bản VC này các bạn hoàn toàn chịu trách nhiệm về việc sử dụng Vyatta của mình. Bạn không nhận dược hỗ trợ có tính ràng buộc nào từ Vyatta. Tuy nhiên ban cũng không nên e ngai lắm về vấn đề này: các forum của Vyatta đầy các cao thủ sẵn sàng chia sẻ kiến thức cùng bạn.
2.    Vyatta Subscription Edition (SE): Ngược lại với bản VC, bản SE là thương phẩm của Vyatta. Vyatta fix tất cả các bug do cộng đồng phát hiện trong quá trình dùng VC. Họ đóng gói phiên bản đã được test kỹ này kèm với một số tính năng có giá trị gia tăng để tạo nên phiên bản SE. Nếu các bạn mua phiên bản này, các bạn sẽ có được sự support từ Vyatta.

3.    Vyatta Appliances: Dựa trên Subscription Edition, Vyatta đã sản xuất ra các appliances rất ổn định, đáng tin cậy. Tolly, một công ty chuyên về benmarking của Phần lan đã tiến hành những cuộc test thú vị để so sánh Vyatta 2500 với Cico 2821, cũng như so sánh Vyatta 3500 với Cisco 7200. Phần thắng nghiên về phía Vyatta  trên phương diện performance lẫn chi phí.
Dẫu bạn sử dụng phiên bản nào của Vyatta, các chức năng chính của Vyatta vẫn như bảng sau:

 

Hình 2: Liệt kê các chức năng của 1 Vyatta box

Với một list các tính năng độc đáo như vậy, chúng tôi chỉ khai thác được một phần nhỏ các tính năng trong danh sách trên:

1.    Firewall: chúng tôi đã tiến hành thay thế một số IPCop firewall bằng Vyatta.
2.    VPN: Trên nền tảng OpenVPN và IP-in-IP encapsulation chúng tôi thiết lập các VTUN từ các chi nhánh về head quarter của chúng tôi. Các VTUN này là các đường truyền backup của chúng tôi. Tuy là đường truyền backup nhưng từ thời điểm chúng tôi thay hoàn toàn các đường truyền ADSL của chúng tôi bằng FTTH của FPT, tốc độ truyền trên các VTUN cùa chúng tôi vượt trội cả đường truyền chính giữa các cửa hàng.
3.    Routing: Chúng tôi triển khai OSPF trên các VTUN đã thiết lập kết hợp với OSPF trên các thiết bị Cisco tạo ra một môi trường dynamic routing đảm bảo inter-connection failover.
4.    802.1Q VLAN: chúng tôi dự kiến dùng Vyatta để quản lý VLAN trong những site có qui mô nhỏ
5.    High Availability: chúng tôi khai thác tối đa tính năng HA của Vyatta như:

a.    Tao RAID để bảo vê thiết bi Vyatta trước nguy cơ hư hỏng đĩa cứng.
b.    Sử dung WAN load balancing trên nhiều đường truyền cung cấp từ nhiều ISP để mở rộng băng thông và chống lại nguy cơ nghẽn thông tin khi ha tầng của 1 ISP nào đó bị sự cố.
c.    Chúng tôi cũng đang thử nghiệm tính năng clustering của Vyatta để tạo các backup cho những thiết bị quan trọng đang được sử dụng dựa trên nền tảng Vyatta.
6.    WebProxy: Đây là điểm tự hào nho nhỏ của đội ngũ IT BigC Việt nam. Từ trước đến nay, cộng đồng IT Việt nam khai thác rất nhiều từ mã nguồn mở nhưng chúng ta chưa thực sự đóng góp nhiều cho nguồn tài ngyên này. Từ những kinh nghiệm trong IPCop, chúng tôi “liều mình” đóng góp tí đỉnh code để xây dựng module webproxy. Các bạn có thể tham khảo đóng góp của chúng tôi tai
http://www.vyatta.org/forum/viewtopic.php?t=3470&postdays=0&postorder=asc&start=15.

 
Hình 3: Screenshoot thread của chúng tôi trong forum

Hoặc tại https://bugzilla.vyatta.com/attachment.cgi?id=433&action=diff
 

Hình 4: screenshot về code mà chúng tôi đã đóng góp

Vì những ràng buộc về chính sách và quyền lợi thương mại, code của chúng tôi bị từ chối tích hợp vào project Vyatta. Tuy vậy chúng tôi vẫn kiên trì xây dưng và không ngừng cải thiện module này của chúng tôi. Module này của chúng tôi đã được xây dựng như một Debian package. Các bạn dễ dàng install module này với lệnh dpkg –i. Nếu các bạn sau khi test webproxy chuẩn của Vyatta mà vẫn cảm thấy chưa hài lòng với nó, hãy liên hệ với chúng tôi. Chúng tôi rất vui mừng được chia sẻ cùng các bạn. Dẫu sao đây cũng là thành quả của cộng đồng IT Việt nam chúng ta.

Mô hình sử dụng Vyatta hiện tại của BigC Việt nam:

 
Hình 5: Mô hình sử dụng Vyatta + Cisco tại BigC

Chúng tôi xin tạm dừng bài giới thiệu về Vyatta tại đây. Hẹn gặp các bạn trong loạt bài tới với những chia sẻ kinh nghiệm áp dụng Vyatta trong doanh nghiệp. Rất mong nhận được sự cổ vũ của các bạn.

Để có thêm thông tin chi tiết, các bạn có thể liên hệ:

1.    Nguyễn Như An – 09 08 32 23 81 – nguyen-nhu.an@bigc-vietnam.com
2.    Đào Nguyễn Đại Nguyện – 09 03 04 10 06 – dao-nguyen-dai.nguyen@bigc-vietnam.com      

About Tony Nguyễn
Tôi tên Tony tự Tèo trú tại thôn Tám, Trảng Thanh tỉnh Thừa Thiên. Thưở thiếu thời trí tuệ tôi thường thường, tuy thế tính tình thật thà thẳng thắng, thích thi thơ ...

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: