Các loại thiết bị mạng phổ biến thường thấy trong mạng doanh nghiệp

huongvstar · 31/1/18

Có rất nhiều loại thiết bị mạng khác nhau mà bạn nên biết về nó.

Trong bài viết này, sẽ mô tả ngắn gọn các loại thiết bị mạng phổ biến nhất mà bạn sẽ tìm thấy trong hầu hết các mạng doanh nghiệp hiện đại ngày nay.

Các mạng có thể không có tất cả các thiết bị được liệt kê bên dưới nhưng trong các mạng doanh nghiệp lớn, bạn sẽ tìm thấy hầu hết chúng.

1. Thiết bị chuyển mạch lớp 2 (Layer 2 Switches)

Các loại thiết bị chuyển mạch này thường được tìm thấy ở lớp Truy cập của mạng LAN nơi các thiết bị người dùng cuối như Máy tính, Điện thoại IP và các máy chủ mạng khác được kết nối.

Chúng được gọi là thiết bị chuyển mạch Lớp 2 vì chúng chỉ hoạt động ở Lớp 2 của mô hình OSI, là lớp Liên kết dữ liệu.

Bộ chuyển mạch lớp 2 thực hiện tất cả các quyết định chuyển tiếp gói của chúng dựa trên Địa chỉ MAC được lưu trong bảng Địa chỉ MAC của bộ chuyển mạch.

Bảng địa chỉ MAC trong Switch lớp 2 ánh xạ Địa chỉ MAC duy nhất của các thiết bị với giao diện mà các thiết bị này được kết nối tới.

Thiết bị chuyển mạch Lớp 2 sử dụng VLAN để tách riêng lưu lượng mạng và do không có bảng Định tuyến hoặc các dịch vụ định tuyến IP có sẵn cho Thiết bị chuyển mạch lớp 2, các thiết bị được kết nối với giao diện được gán cho các VLAN khác nhau sẽ không thể giao tiếp với nhau.

Các thiết bị cần giao tiếp với nhau trong các VLAN khác nhau sẽ cần phải định tuyến đến Vlan khác bởi thiết bị Lớp 3 như bộ chuyển mạch Lớp 3 hoặc Bộ định tuyến.

2. Bộ chuyển mạch lớp 3 (Layer 3 Switches)

Thiết bị chuyển mạch lớp 3 vừa là Thiết bị chuyển mạch lớp 2 vừa là Bộ định tuyến được kết hợp thành một thiết bị duy nhất. Switch lớp 2 và Switch lớp 3 thường trông giống hệt nhau từ bên ngoài, nhưng Switch lớp 3 có khả năng định tuyến (giống như một bộ định tuyến thông thường) ngoài việc có nhiều cổng truy cập để kết nối các máy tính với mạng LAN.

Switch Lớp 3 được sử dụng ở lớp Lõi (core) hoặc Lớp phân phối (distribution) của mạng nơi tất cả các thiết bị chuyển mạch và máy chủ Truy cập Lớp 2 thường kết nối trở lại.

Switch Lớp 3 có thể sử dụng bảng địa chỉ MAC để chuyển tiếp lưu lượng đến các thiết bị được kết nối trực tiếp theo cách giống như Switch Lớp 2 hoặc nó có thể chuyển tiếp các gói đến các mạng khác bằng cách kiểm tra các mục nhập trong bảng định tuyến IP của nó với IP đích của gói địa chỉ.

Switch lớp 3 cho phép các thiết bị trong các Vlan khác nhau có thể giao tiếp bằng cách định tuyến lưu lượng giữa các Vlan (còn được gọi là “Định tuyến giữa các Vlan or Inter-Vlan Routing”).

Điều này đạt được bằng cách tạo SVI (giao diện ảo) và bằng cách gán địa chỉ IP từ các mạng con khác nhau cho các SVI này. Sau đó, chúng được xem như các mạng khác nhau trong bảng định tuyến Switch lớp 3 và lưu lượng truy cập có thể được định tuyến giữa chúng.

3. Bộ định tuyến (Routers)

Bộ định tuyến hoàn toàn là thiết bị Lớp 3 và hoạt động ở lớp Mạng của mô hình OSI. Các bộ định tuyến thường được tìm thấy tại điểm kết nối với Mạng diện rộng của nhà cung cấp dịch vụ (WAN) và các thiết bị này định tuyến các gói IP đến các mạng khác nhau dựa trên các mục nhập được tìm thấy trong bảng định tuyến của nó.

Không giống như bộ chuyển mạch lớp 3, không có bảng địa chỉ MAC trong bộ định tuyến vì bộ định tuyến không đưa ra quyết định chuyển tiếp bằng cách đọc Địa chỉ MAC mà chỉ dùng địa chỉ IP.

Một bộ định tuyến sẽ có các kiểu giao diện khác nhau và không chỉ có Ethernet như một bộ chuyển mạch.

Ví dụ: một bộ định tuyến cũng có thể có giao diện RJ11 kết nối với đường dây điện thoại và sử dụng modem nội bộ của bộ định tuyến cho các kết nối ADSL.

Một số bộ định tuyến cũng cung cấp các dịch vụ khác như modem không dây hoặc điện thoại IP. Các loại bộ định tuyến này được gọi là Bộ định tuyến dịch vụ tổng hợp (ASR) hoặc Bộ định tuyến dịch vụ tích hợp (ISR).

4. Thiết bị cân bằng tải mạng (Network Load Balancer Device)

Bộ cân bằng tải mạng là một thiết bị thường được tìm thấy trong các phòng máy chủ hoặc trung tâm dữ liệu. Bộ cân bằng tải mạng hoạt động ở Lớp 4 của mô hình OSI, là lớp truyền tải và chịu trách nhiệm theo dõi các phiên TCP.
Như tên cho thấy một bộ cân bằng tải phân phối đồng đều lưu lượng nhận được trên một giao diện đến cho hai hoặc nhiều thiết bị khác.

Bộ cân bằng tải sẽ giúp ngăn ứng dụng hoặc máy chủ web quá tải bằng cách phân phối lưu lượng truy cập giữa nhiều máy chủ khác nhau lưu trữ cùng một ứng dụng hoặc trang web.

Ví dụ: về các công ty cung cấp bộ cân bằng tải là F5, Peplink, Barracuda và Sonicwall.

5. Thiết bị tường lửa (Network Firewalls)

Tường lửa mạng là một thiết bị vật lý kiểm tra các gói IP khi chúng truyền vào hoặc ra khỏi mạng và cho phép hoặc từ chối quyền truy cập vào các gói đó bằng cách so sánh chúng với một tập hợp các quy tắc được định cấu hình sẵn từ trên xuống dưới (được gọi là “Quy tắc chính sách tường lửa-Firewall Policy Rules”).

Khi một quy tắc được khớp, gói tin sẽ được chuyển tiếp hoặc bị loại bỏ. Có hai loại Tường lửa mạng : Tường lửa không trạng thái và Tường lửa trạng thái.

Tường lửa không trạng thái (Stateless firewall) là rất cơ bản và không thực hiện kiểm tra sâu các luồng lưu lượng truy cập hoặc các gói riêng lẻ.

Tường lửa không trạng thái (Stateless firewall) sẽ đơn giản xem xét tiêu đề gói tin và đưa ra quyết định chuyển tiếp hoặc bỏ gói tin dựa trên địa chỉ IP Nguồn hoặc Đích của gói tin đó.

Tường lửa trạng thái (Stateful firewall) thực hiện kiểm tra sâu hơn cả gói riêng lẻ và toàn bộ luồng lưu lượng hoặc cuộc trò chuyện giữa các thiết bị vì nó theo dõi tất cả các phiên riêng lẻ đi vào và ra khỏi thiết bị.

Một số tường lửa trạng thái (Stateful) tiên tiến hơn những tường lửa khác và có thể thực hiện kiểm tra sâu hơn nhiều lưu lượng hoặc thực hiện các dịch vụ mã hóa như đường hầm VPN hoặc Dịch địa chỉ mạng (NAT).

Tường lửa thế hệ tiếp theo như tường lửa Cisco Firepower hoặc Palo Alto là một ví dụ về tường lửa Nextgen nâng cao và các loại thiết bị này có nhiều tính năng bảo mật được tích hợp sẵn cho phép tạo các quy tắc (rules) chi tiết hơn.

Các quy tắc có thể được tạo để chỉ cho phép truy cập trong và ngoài mạng vào một số ứng dụng nhất định từ một số địa chỉ nguồn nhất định hoặc tính năng lọc URL có thể được sử dụng để ngăn Người dùng cuối duyệt web đến các trang web độc hại đã biết.

6. Hệ thống phát hiện xâm nhập(IDS) / ngăn chặn xâm nhập mạng(IPS)

Hệ thống Xâm nhập Mạng(Network Intrusion System) tìm kiếm các chữ ký độc hại đã biết trong các gói và trong hành vi mạng để xác định xem có hoạt động độc hại nào đang diễn ra hay không.

Hệ thống Phát hiện Xâm nhập Mạng (IDS) được sử dụng để cảnh báo cho Quản trị viên Mạng khi hành vi độc hại tiềm ẩn hoặc hành vi bất thường được phát hiện trong mạng. IDS chỉ tạo cảnh báo nhưng không thực sự chặn lưu lượng mạng độc hại.

Mặt khác, Hệ thống ngăn chặn xâm nhập (IPS) không chỉ cảnh báo cho quản trị viên Mạng về hành vi độc hại mà còn có thể thực hiện hành động để giảm thiểu hành vi độc hại bằng cách hướng dẫn các thiết bị khác trong mạng thực hiện hành động.

Ví dụ: tường lửa có thể được dùng để chặn luồng lưu lượng hoặc bằng cách đóng các giao diện chuyển mạch.

Khi những hệ thống này được triển khai lần đầu tiên, chúng thường tạo ra nhiều cảnh báo cho hành vi mạng bình thường. Những cảnh báo này được gọi là cảnh báo sai, vì vậy phải có một giai đoạn học tập để đào tạo hệ thống về hành vi bình thường hoặc hành vi thực sự có hại.

7. Mạng WAF (Web Application Firewall-Tường lửa ứng dụng web)

Tường lửa ứng dụng Web nằm giữa internet và máy chủ Web và lọc lưu lượng HTTP dành cho Ứng dụng web đang chạy trên máy chủ.

Loại tường lửa này chỉ có một mục đích duy nhất là bảo vệ Ứng dụng Web khỏi các mối đe dọa như SQL injection, cross site scripting và các cuộc tấn công liên quan đến Web khác, và do đó không có nhiều tính năng khác.

Có ba phương pháp triển khai tường lửa ứng dụng web. Phương pháp được lựa chọn chủ yếu phụ thuộc vào khả năng chi trả.

Một thiết bị phần cứng vật lý là phương pháp đắt tiền nhất, tiếp theo là dựa trên phần mềm và nằm trên hệ thống máy chủ và cuối cùng và tiết kiệm nhất là giải pháp dựa trên đám mây như CloudFlare hoặc Akamai, tuy nhiên bạn có ít quyền kiểm soát hơn đối với giải pháp dựa trên đám mây vì nó được quản lý bởi bên thứ 3.

8. Tường lửa cơ sở dữ liệu mạng (Network Database Firewalls)

Tường lửa cơ sở dữ liệu mạng bảo vệ quyền truy cập vào thông tin được lưu trữ trong hệ thống máy chủ cơ sở dữ liệu bằng cách giám sát các yêu cầu cơ sở dữ liệu đáng ngờ hoặc các nỗ lực của hệ thống trái phép nhằm lấy dữ liệu.

Loại tường lửa này ngăn chặn các cuộc tấn công như SQL injection hoặc tấn công tràn bộ đệm bằng cách quét các yêu cầu đến để tìm chữ ký phần mềm độc hại đã biết.

Nói chung, Tường lửa Cơ sở dữ liệu Mạng là các thiết bị vật lý đã được tăng cường bảo mật và được thực hiện trong đường dẫn lưu lượng tới máy chủ Cơ sở dữ liệu hoặc một ứng dụng phần mềm chạy trên cùng một máy chủ với cơ sở dữ liệu.

Thiết bị vật lý được sử dụng trong hầu hết các trường hợp vì nó không gây thêm bất kỳ áp lực nào lên sức mạnh xử lý của máy chủ cơ sở dữ liệu.

9. Thiết bị bảo mật Cổng Email(Secure Email Gateway Devices)

Email thường được sử dụng cho các cuộc tấn công lừa đảo nhằm đánh lừa người nhận nhấp vào các liên kết đến các trang web độc hại, nơi họ có thể vô tình cung cấp thông tin cá nhân hoặc mật khẩu, sau đó có thể được sử dụng để thực hiện các cuộc tấn công trên mạng như triển khai cửa sau hoặc thực hiện các cuộc tấn công khác.

Cổng Email Bảo mật chặn các email được gửi từ các miền không đáng tin cậy hoặc có danh tiếng kém, ngăn hầu hết các email lừa đảo đến được các mục tiêu đã định.

Email cũng được quét để tìm nội dung độc hại được nhúng trong hình ảnh hoặc tệp đính kèm.

10. Thiết bị Sandbox mạng (Network Sandbox devices)

Một thiết bị Sandbox mạng giám sát mạng để tìm các tệp đáng ngờ và tự động cách ly các tệp này vào một môi trường được bảo vệ, nơi mã trong tệp có thể được phân tích thêm mà không có nguy cơ Phần mềm độc hại lây lan sang các thiết bị khác trong mạng.

Sandbox thường là các máy ảo chạy độc lập với hệ điều hành máy chủ lưu trữ bên dưới.

Khi tìm thấy tệp đáng ngờ (ví dụ: tệp đính kèm trong email), tệp có thể được gửi đến thiết bị Sandbox thực thi tệp đáng ngờ trong môi trường “Sandbox” cô lập để xác minh xem tệp có vô hại hay không.

11. Bộ điều khiển mạng LAN không dây (WLC)

Bộ điều khiển mạng LAN không dây (WLC) kết nối Mạng không dây với Mạng có dây và quản lý lưu lượng do máy khách không dây và Điểm truy cập tạo ra.

Các Khách hàng Không dây sử dụng sóng vô tuyến để liên lạc qua mạng với các Điểm Truy cập Không dây (WAP).

Bộ điều khiển mạng LAN không dây có khả năng quản lý hàng trăm Điểm truy cập cùng lúc và chính từ thiết bị này mà mỗi WAP nhận được cấu hình của nó.

Điểm truy cập được gắn vào bộ điều khiển được gọi là Điểm truy cập LightWeight và chỉ được cài đặt hệ điều hành rất cơ bản.

Tất cả các cài đặt, chẳng hạn như SSID sẽ được phát hoặc kênh radio nào sẽ truyền, tất cả đều do Bộ điều khiển mạng LAN không dây xác định.

Bộ điều khiển mạng LAN không dây có thể là một thiết bị vật lý như Cisco 9800L hoặc nó có thể là Máy ảo chạy trên máy chủ VMware.

Ngoài ra còn có các WLC chẳng hạn như Meraki nhận tất cả cấu hình không dây của họ từ các bộ điều khiển dựa trên phần mềm và được lưu trữ trên đám mây.

12. Điểm truy cập WiFi (WiFi Access Points)

Điểm Truy cập Không dây là một thiết bị cung cấp quyền truy cập mạng tới các Thiết bị cuối như điện thoại di động hoặc máy tính xách tay qua mạng bằng cách sử dụng sóng vô tuyến điện từ.

Có những Điểm truy cập yêu cầu kết nối với Bộ điều khiển Lan không dây để hoạt động được gọi là Điểm truy cập Lightweight (LWAPS) hoặc Điểm truy cập có bộ điều khiển được tích hợp sẵn dưới dạng phần mềm và được gọi là Mobility Express hoặc Autonomous Access Point.

Các điểm truy cập yêu cầu Bộ điều khiển thường kết nối với Switch Access và lưu lượng từ Điểm truy cập đến WLC được truyền qua mạng trong một đường hầm được mã hóa gọi là đường hầm CAPWAP.