ผมเขียน Diagram นี้ขึ้นมา ตามข้อมูลที่เจ้าของกระทู้ให้ไว้ คือ มีทรัพยากรได้แก่
1.Fortigate : ผมไม่รู้ว่าเป็น fortigate รุ่นไหน จุดประสงค์การใช้งานเป็นอย่างไร แต่ผมเดาว่าน่าจะรุ่นไม่ใหญ่มาก ผมมองว่ามันคือ UTM ซึ่งน่าจะเอาไปวางขวางหน้า Server เพื่อช่วย protect server ครับ
2.Endian : เข้าใจว่าคงเป็น Endian Server ซึ่งทำหน้าที่เป็น Internet Gateway Server; IG ผมจะเลือกจะเอาไว้ที่หน้าบ้านนะครับ เพื่อควบคุมการจราจรทั้งหมด
3.DMZ : เข้าใจว่าเจ้าของกระทู้คงอยากทำ DMZ Zone เพื่อวาง Web Server หรือ Server อื่น ๆ ที่เอาไว้ติดต่อ Internet
4.WAN1/2 : เข้าใจว่าที่รพ.เสิงสาง คงเช่า Internet มา 2 วงจร ซึ่งผมไม่ขอพูดถึงนะครับ ผมจะขอพูดถึงเฉพาะเรื่องในบ้านเท่านั้น
การแบ่ง IP / Subnet ผมแบ่งออกเป็นกลุ่มต่าง ๆ ตามชนิดและหน้าที่ของอุปกรณ์โดยแยกจาก Subnet นะครับ
1.กลุ่มของอุปกรณ์ Network ผมหมายถึงอุปกรณ์ Network ทุกตัวที่มีใช้ในโรงพยาบาล เช่น switch ,accesss point เป็นต้น ผมไม่รู้ว่าที่รพ.เสิงสางมีอุปกรณ์กลุ่มนี้ทั้งหมดกี่ชิ้น แต่ผมเดาก่อนนะครับว่าคงไม่น่าเกิน 30 ชิ้น ผมขออนุญาตตั้งตัวเลขไว้ที่ไม่เกิน 30 ชิ้นนะครับ ผมเลือกใช้ ip 192.168.0.1/27 (255.255.255.224)
2.จาก Diagram จะเห็นว่าผมวาง Core Switch ไว้สองตัว เพื่อทำ HA อันนี้เป็น Optional นะครับ แล้วแต่ทางเจ้าของกระทู้ว่าสนใจอยากทำ HA ไหม
3.Endian Server โดยประสบการณ์ส่วนตัว ผมมักใช้เลข IP คนละชุดกับ Internal Network โดยส่วนใหญ่ผมจะใช้ 172.16.0.0 ซึ่งตรงจุดนี้ผมเข้าใจว่าในส่วนของ IG คิดว่าที่รพ.เสิงสางคงมีแค่ Endian แค่ตัวเดียวเป็นแบบ AIO Server ผมจึงเลือกใช้ 172.16.0.1/30 (255.255.255.252) เพื่อจำกัด Host ไว้ที่ 2 เครื่อง หรือถ้าเจ้าของกระทู้แน่ใจว่า Network Group นี้จะมีแค่ Endian แค่ตัวเดียวจะใช้ 172.16.0.1/32 เลยก็ได้นะครับ จะได้ไม่ต้อง Broadcast เยอะแต่ก็ค่อนข้างจะแน่นมากๆๆ
4.DMZ Server Zone จากข้อ 2 ผมแนะนำให้ใช้ IG เป็นคนแยก Zone ระหว่าง DMZ Zone, Internet Zone, และ Internal Zone เพื่อความปลอดภัย ในกรณีที่มีการ Attack จากข้างนอกเข้ามา ก็จะไม่เข้าถึง Internal Zone โดยทันที แต่จาก Diagram จะดูเหมือนว่าผมเชื่อมต่อจาก IG เข้ามาสู่ Core Switch แล้วจึงวิ่งไปที่ DMZ Server Zone ตรงนี้ผมใช้ความสามารถของ Core Switch ในการแยก VLAN และทำ route ครับ ผมลืมบอกไป แนวทางที่ผมวางอยู่บนพื้นฐาน Core Switch ต้องเป็น L3 Managed และ Access Switch ต้องเป็น L2 Managed เท่านั้นนะครับ
5.DMZ Server Zone ผมเลือกใช้ IP 172.16.1.1/28 (255.255.255.240) ซึ่งจะทำให้เจ้าของกระทู้สามารถรองรับ Server DMZ ได้ถึง 14 เครื่อง ซึ่งคงพอกับการใช้งาน ตรงจุดนี้ผมขอออกตัวก่อนว่า ผมเป็นคนหนึ่งซึ่งไม่ชอบการวาง IP Group ให้กว้างเข้าไว้ แม้ว่า Switch ในปัจจุบันอาจจะมีประสิทธิภาพสูงมาก แต่ผมยังคงชอบที่จะเซ็ต IP Group ให้เหมาะสมกับการใช้งานจริงมากกว่า
6.Internal Server Zone ผมแยกไปเป็น VLAN ใหม่ครับ สำหรับ Internal Server โดยเอา IP Gateway ไปวางไว้ที่ Fortigate ซึ่งจะเห็นว่าผมแยก IP ของ Fortigate เป็น 2 เลข คือ 192.168.0.2/27 เป็น IP สำหรับ Manage ตัว Fortigate และ 192.168.1.1/28 เป็น IP Gateway สำหรับ Internal Server Zone เพื่อให้ทุก Connection ที่จะวิ่งเช้าหา Internal Server จะต้องผ่านการกรองที่ Fortigate ก่อน ซึ่งจะเป็นการเพิ่มความปลอดภัยให้กับ Server แต่อย่าลืมนะครับ การทำวิธีนี้สิ่งสำคัญ คือ เจ้าของกระทู้ต้องเช็คดูเรื่องของ Through-put ของ Fortigate เมื่อเปิดทุกฟังก์ชั่นเต็มที่แล้วจะเหลือประมาณเท่าไร เพราะจะมีผลมากนะครับ ซึ่งถ้าได้ประมาณสัก 1 – 2 Gbps ผมคิดว่าไม่น่าจะมีปัญหา เพราะที่รพ.เอา IPS ขนาด 2 Gbps มาวางขวาง Server ทั้งหมดก็ไม่มีผลต่อประสิทธิภาพมากเท่าไร
7.Client Zone เราก็แบ่ง VLAN ต่าง ๆ อาจจะแบ่งจากหน่วยงานหรือแบ่งเป็น Zone ก็ได้นะครับ ก็แล้วแต่ว่าที่รพ.เสิงสางจะมีนโยบายอย่างไร อย่างที่รพ.ของผม เรามีนโยบายที่ต้องการแยกโซนระหว่าง HIS กะ Office ออกจากกัน เพื่อความปลอดภัยในระบบของ HIS และแยกโซน Wifi ออกไปเพื่อให้บริการเจ้าหน้าที่ในรพ.โดยไม่ให้มายุ่งเกี่ยวกับระบบต่าง ๆ ในรพ. (ประมาณว่าเข้ามาแล้วเข้าสู่ระบบ Authenticate เพื่อออกสู่ Internet ออกไปไม่ต้องมายุ่งเกี่ยวอะไรในรพ.) หลักการแบ่ง VLAN ก็จะคล้าย ๆ กับระดับของ Server ที่ผมพูดมาข้างต้น คือ
a. แบ่ง IP ออกเป็นกลุ่มต่าง ๆ มีการกำหนด Subnet ตามความเหมาะสมของขนาด Network
b.สร้าง Interface IP บน Core Switch เพื่อให้ IP Gateway ของทุก VLAN ซึ่งหาก resource ของ Fortigate พอมีเหลือ เราอาจเอามาขวางการ route ข้าม VLAN ต่าง ๆ น่าสนใจครับ แต่ถ้าคิดว่าไม่มีเหลือ เราก็ใช้ ACL ของ Core Switch เป็นตัวควบคุมครับ (แต่อาจจะสู้ Firewall ไม่ได้)
8.จากที่อธิบายมาทั้งหมดการเขียนกฎการ route เป็นสิ่งที่สำคัญมากครับ เพราะจะเห็นว่าผมมีการแยก
Network Group ต่าง ๆ ออกโดยแยกตาม IP และ Subnet ดังนั้นเจ้าของกระทู้ต้องทำความเช้าใจในการเขียนเส้นทางการ route ให้ถูกต้องนะครับเพราะไม่นั้นมันจะเกิดปัญหา เช่น client มองไม่เห็น Internal Server หรือมองไม่เห็น IG เป็นต้น
9.หลักการออกแบบดังกล่าวก็ไม่จบนะครับ ยังคงต้องมีเรื่องของ Policy ของระบบโดเมนมาเกี่ยวข้องด้วย แต่ก็คิดว่าคงพอจะเป็นหลักให้เจ้าของกระทู้ไปใช้ออกแบบได้ครับ
หัวข้อ: ขอคำแนะนำในการออกแบบ Network ครับ (อ่าน 14222 ครั้ง)