thắc mắc [Nhờ giúp] Optimize network hiện tại

SoulEvilX

SoulEvilX

Senior Member
Network.drawio.png


Sao vẽ trên DrawIO nó ok lắm mà insert vô nhìn chán vãi ta.
Thôi kệ.

Cơ bản mình đang chuẩn bị đại tu lại network. 1 số hạng mục cân nhắc
Sử dụng triệt để Draytek 3912s
- Đẩy HAProxy / AdGuard lên đây.
Câu hỏi #1 : Con Linux trong Draytek là 192.168.1.100
  • Nếu làm vậy thì các VLAN khác có thấy không ?
  • Nếu check chọn cho thấy xuyên suốt các VLAN. Thì ... mất giá trị VLAN. Có cách nào trừ VLAN0; còn lại tất cả VLAN khác CHỈ THẤY 192.168.1.100
Câu hỏi #2 : Ae có suggest gì về cách set IP sao cho hợp lý và dễ nhớ không ?

Cân nhắc 1 thiết bị nào đó managed 100% mọi traffic trong LAN
Hiện tại con UDM SE được dùng để manage Wifi - Friendly UI. Và mình cũng muốn tìm 1 thiết bị tương tự nhưng là CHO TOÀN BỘ LAN - VLAN
Cần hay không 1 con dedicated Firewall

Replace NAS
Replace 2 con Synology DS223j & DS220+ thành 1 con Synology DS723+ với storage 16TB x 2
Việc replace này giảm tính complex khi xài quá nhiều NAS lắt nhắt. Gom lại 1 con với CPU ok hơn để move 1 số services sang.
( Đặc thù NAS là online 247 )
Click to expand...
Chạy Docker cho các monitoring services ( trước đây nằm rải rác ở các VMes trong ESXi )
  • Collector
  • Syslog
  • SMNP
  • Grafana
  • Database : DB tập trung các nơi sẽ bắn về. ( DB này không phải PROD )
Trước đây các services này nằm rải rác ở các em VM trong ESXi nhưng giờ move hết về NAS vì các lý do
  • ESXi hiện tại mình không còn muốn cho chạy 247 nữa.
  • AdGuard / HAProxy cần chạy 247. Nhất là AdGuard. Nếu dùng nó mà nó sụm thì coi như toàn bộ LAN mất DNS

Tuy nhiên 1 vài vấn đề cân nhắc
- NAS dù có 2 Ethernet nhưng vẫn quá chậm so với Internet mình có ( 3.6Gbps ). Do đó speedtest trên NAS cho ra các chỉ số không hợp lý. ( speedtest mình sẽ code để bắn notif về Telegram khi có speed dưới ngưỡng cho phép ). Do đó vẫn sẽ cần 1 em VM trong ESXi ( dùng port 10Gbps SFP+ ) chạy speedtest -> bắn data về DB trên NAS -> Grafana render
( Con

Lý do mình đặt các services trên trong NAS thay vì Draytek cũng như đặt HAProxy / AdGuard trong Draytek thay vì NAS
- NAS somehow vẫn có thể ... sụp. ( Dù rất hạn hữu ). Khi đó Draytek vẫn online ! Nếu đặt HAProxy / AdGuard vào trong NAS thì lúc này toàn bộ LAN sụm hoàn toàn. Cũng như traffic từ ngoài không còn có thể vào trong LAN

Thay thế gatekeeper
Bản chất em nó là 1 em VM trong ESXi. Em nó gọi là Gatekeeper vì mọi access muốn vào trong LAN phải đi qua em nó thông qua HAProxy / SSH
Click to expand...
Do đã đẩy HAProxy lên Draytek nên giờ em nó cũng không cần
Câu hỏi #3 : HAProxy setup SSH forward sao ta ? Ví dụ domain xyz.com -> SSH 192.168.1.4:22 ; domain hello.com -> SSH 192.168.1.5:422

( to be continued ) ( Nhiều thứ quá nên hơi rối )
 
SoulEvilX said:
Block Ads . Nhưng tui dùng như private DNS hơn.
Ví dụ có VM 192.168.1.11 chứa MariaDB. Thay vì nhớ IP tui sẽ nhớ mariadb.local :)
Click to expand...
Cái thằng này có con nào hỗ trợ mDNS thì vẫn ngon mà nhỉ. Mình có cục router cùi nhưng cũng hỗ trợ mấy cái này. Trong LAN bấm y chang vào đều được.
 
l372un said:
Cái thằng này có con nào hỗ trợ mDNS thì vẫn ngon mà nhỉ. Mình có cục router cùi nhưng cũng hỗ trợ mấy cái này. Trong LAN bấm y chang vào đều được.
Click to expand...
Khúc này tui k dám ý kiến. K đủ chuyên môn
 
SoulEvilX said:
Khúc này tui k dám ý kiến. K đủ chuyên môn
Click to expand...
Bác nên chú thích VLAN vô từng cái xem VLAN nào là của cái nào để dễ ý kiến, chứ anh em đọc không rõ vlan của thằng nào chia cho client khu nào ấy
 
l372un said:
Bác nên chú thích VLAN vô từng cái xem VLAN nào là của cái nào để dễ ý kiến, chứ anh em đọc không rõ vlan của thằng nào chia cho client khu nào ấy
Click to expand...
Hiện tại mình có 4 VLAN
  • VLAN0 : Chỉ dành cho mình 192.168.1.0/24
  • VLAN1 : Dành cho nhà xài
  • VLAN2 : Dành cho IoT devices
  • VLAN3 : Dành cho khách tới nhà chơi

Về cơ bản
  • Các thiết bị trong hình hoàn toàn nằm trong VLAN0 ( hiểu đơn giản thiết bị CỦA MÌNH thì nằm trong VLAN0 )
  • Chỉ sau UDM SE - Access Point(s) mới chia ra 4 Wifi ứng với 4 VLAN(s) trên. :)
 
SoulEvilX said:
Hiện tại mình có 4 VLAN
  • VLAN0 : Chỉ dành cho mình 192.168.1.0/24
  • VLAN1 : Dành cho nhà xài
  • VLAN2 : Dành cho IoT devices
  • VLAN3 : Dành cho khách tới nhà chơi

Về cơ bản
  • Các thiết bị trong hình hoàn toàn nằm trong VLAN0 ( hiểu đơn giản thiết bị CỦA MÌNH thì nằm trong VLAN0 )
  • Chỉ sau UDM SE - Access Point(s) mới chia ra 4 Wifi ứng với 4 VLAN(s) trên. :)
Click to expand...
Vậy thằng UDM SE đó được chia vlan từ thằng 192.168.1.2 thì nó tách biệt so với Vlan 0 mà.
 
SoulEvilX said:
Tuy nhiên 1 vài vấn đề cân nhắc
- NAS dù có 2 Ethernet nhưng vẫn quá chậm so với Internet mình có ( 3.6Gbps )
Click to expand...
cnMatrix EX2028-P này thấy thông tin max là 1Gbps thôi mà bác, đòi đâu ra mượt hơn cho nas
 
l372un said:
Vậy thằng UDM SE đó được chia vlan từ thằng 192.168.1.2 thì nó tách biệt so với Vlan 0 mà.
Click to expand...
UDM SE bản thân nó IP là 192.168.1.3 - Connect qua SFP+ 10Gbps với Draytek 3912s

l372un said:
cnMatrix EX2028-P này thấy thông tin max là 1Gbps thôi mà bác, đòi đâu ra mượt hơn cho nas
Click to expand...
Còn vụ NAS
- Đang nghía DS723+ . Sau đó attach thêm card 10Gbps
Đồng ý các máy trong LAN. Trừ các PC / Server có card SFP+ 10Gbps còn lại đa phần vẫn còn bị limited 1Gbps thôi.
Nhưng "thiết nghĩ" cho NAS vẫn muốn nó lên 10Gbps

Còn trong bài nói là vì Internet mình tổng bw là 3.6Gbps ( 5 đường WANs ). Do đó khi speedtest phải là 10Gbps mới test đúng được
 
SoulEvilX said:
Internet mình tổng bw là 3.6Gbps ( 5 đường WANs )
Click to expand...
Vụ này thì còn phụ thuộc thiết bị Loadbalance nữa. Nó có được trang bị Link aggregation (WAN aggregation) và từ ISP không nữa. Đôi khi speedtest chỉ nhận từ 1 WAN thì sao bác?
 
Mình có mấy góp ý như này:
  • Draytek thì làm Router/LB thuần, không cài mấy cái service gì khác. Cái này là quan điểm thôi, nó chỉ làm gateway internet.
  • Sau Draytek đấu 10G+ về con switch, cổng 10G+ còn lại đấu trunk về con firewall, còn dư cổng 10G có thể đấu về NAS.
  • Firewall có thể dùng mấy con mini pc có card pcie (hoặc tận dụng con esxi) để lắp sfp 10G từ switch về. Firewall có thể dùng sophos xg home, opnsense (nếu cần IPS) hoặc mik tuỳ nhu cầu.
  • SW chia vlan như bthg (làm L2 switch). Thêm 1 vlan cho WAN (Draytek - Firewall).
  • Trong tương lai có thể nghiên cứu bỏ luôn draytek, quay pppoe trên thẳng firewall sẽ làm được nhiều trò hơn.
  • Còn đám server/nas service đằng sau thì tuỳ nhu cầu cá nhân thôi. Sợ mất dns có thể mua mấy em Pi3 có 400-500k mà thêm node. Cứ nhiều node DNS rồi làm giải pháp high-availability thôi.
 
SoulEvilX said:
UDM SE bản thân nó IP là 192.168.1.3 - Connect qua SFP+ 10Gbps với Draytek 3912s


Còn vụ NAS
- Đang nghía DS723+ . Sau đó attach thêm card 10Gbps
Đồng ý các máy trong LAN. Trừ các PC / Server có card SFP+ 10Gbps còn lại đa phần vẫn còn bị limited 1Gbps thôi.
Nhưng "thiết nghĩ" cho NAS vẫn muốn nó lên 10Gbps

Còn trong bài nói là vì Internet mình tổng bw là 3.6Gbps ( 5 đường WANs ). Do đó khi speedtest phải là 10Gbps mới test đúng được
Click to expand...
Chỗ UDMSE này chỉ là LINK tốc độ cao giữa nó và Draytek thôi. Còn ra internet vẫn phụ thuộc cổng WAN tốc độ cao/thấp. Bị thắt cổ chai chỗ WAN đấy bác. Nên khó mà speedtest lên max 3.6 được đâu.
 
l372un said:
Chỗ UDMSE này chỉ là LINK tốc độ cao giữa nó và Draytek thôi. Còn ra internet vẫn phụ thuộc cổng WAN tốc độ cao/thấp. Bị thắt cổ chai chỗ WAN đấy bác. Nên khó mà speedtest lên max 3.6 được đâu.
Click to expand...
Sorry nếu mình sai. Nhưng mình không nghĩ vậy. Why
  • UDM SE speedtest vẫn lên 3.6 ( thật ra có xê xích tầm 2.8Gbps - 3.1Gbps )
  • 10Gbps là connection giữa UDM SE -> Draytek : Agree

Nhưng ra Internet ( out ) thì Draytek handle LB ( thật ra dùng từ LB có vẻ k đúng lắm ) nên tổng speed = tổng WAN .
- Test trong 1 con VM ( trong ESXi server connect SFP+ tới Draytek ) -> speed cũng same test trên UDM SE
 
chacuavip10 said:
  • Sau Draytek đấu 10G+ về con switch, cổng 10G+ còn lại đấu trunk về con firewall, còn dư cổng 10G có thể đấu về NAS.
Click to expand...
Cái này đồng ý, tuy nhiên đây là nút thắt cổ chai của đường WAN.
Trong LAN 10G thì quá ngon như giải pháp bạn đưa ra nếu bạn chủ thớt chỉ thuần xài LAN thì ổn, nhưng cần đi ra internet thì nên sắm đường WAN nào 10G mà xài chứ gộp wan chưa thấy phổ biến và có thể ko hỗ trợ.
Nó chỉ hỗ trợ chuyển internet khi 1 wan mất kết nối
 
câu 1 thì draytek có nhưng mình quên nó nằm ở đâu
câu 2 thì theo mình dưới 254 thiết bị thì cứ 1 dãy ip mà táng
 
You must log in or register to reply here.

Similar threads

SoulEvilX
khoe [DS925+] Đã trên tay... chiều nay replace :v
8 9 10
Replies
196
Views
8K
devilvn
devilvn
Kuang2
thắc mắc Tư vấn build homeserver tại gia
2
Replies
28
Views
2K
iamlordvoldemort
I
SoulEvilX
khoe Draytek 3912s
Replies
0
Views
498
SoulEvilX
SoulEvilX
Steveng2406
thảo luận lần đầu mua xe cũ, nhờ các bác giúp em quy trình sang tên
Replies
2
Views
677
yb123123
yb123123
AMD3000+
thắc mắc Nhờ tư vấn build Home Server Proxmox
2
Replies
39
Views
9K
DangQuoc
DangQuoc

Thread statistics

Created
SoulEvilX,
Last reply from
d3adc3II,
Replies
450
Views
9,921

Share this page

Back
Top