🏢 1. Tổng quan hệ thống

Quy mô 1000 người → thường gồm:

• 1 trụ sở chính (9–12 tầng)
• Có thể có chi nhánh / VPN
• Nhiều phòng ban: IT, kế toán, HR, sản xuất…

👉 Mục tiêu:

• Mạng ổn định – dễ mở rộng
• Bảo mật nhiều lớp
• Quản lý tập trung
• Phân tách rõ ràng (VLAN)

---

🌐 2. Kiến trúc mạng (3 Layer chuẩn)

🔹 Core Layer (Lõi)

• Thiết bị: 2 Core Switch chạy stack/HA
• Gợi ý: Cisco / Aruba / Mikrotik CCR

Chức năng:

• Routing giữa các VLAN
• Kết nối Firewall
• Xử lý lưu lượng lớn

---

🔹 Distribution Layer (Phân phối)

• Mỗi tầng 2 switch (redundant)
• Kết nối về Core bằng uplink 10G/25G

Chức năng:

• Chia VLAN
• Áp ACL nội bộ
• Load balancing

---

🔹 Access Layer (Truy cập)

• Switch PoE cấp nguồn:
  • WiFi
  • Camera
  • IP Phone

👉 Với 1000 user:

• ~50–70 switch access (24/48 port)

---

📡 3. Hệ thống WiFi

• 50–100 Access Point (tùy diện tích)
• Controller tập trung (Cloud hoặc on-premise)

Chia SSID:

• Staff (VLAN riêng)
• Guest (internet only)
• IoT (camera, thiết bị)

👉 Gợi ý:

• WiFi 6 (802.11ax)
• Roaming mượt

---

🎥 4. Hệ thống camera giám sát (CCTV)

Quy mô:

• 80–150 camera IP

Thành phần:

• Camera IP PoE
• NVR (2–4 máy)
• Server lưu trữ (NAS/SAN)

Phân vùng:

• VLAN riêng cho camera
• Không cho truy cập internet trực tiếp

---

🔐 5. Hệ thống Firewall & Security

🔥 Firewall (bắt buộc)

• HA (2 thiết bị chạy active-passive)

👉 Gợi ý:

• Fortigate / Palo Alto / Sophos

Chức năng:

• NAT
• VPN (site-to-site + remote)
• IPS/IDS
• Web filtering
• Application control

---

🧠 6. Hệ thống máy chủ (Server)

Nên dùng:

• Virtualization (VMware / Proxmox / Hyper-V)

Các server chính:

• Active Directory (Domain Controller)
• File Server
• Mail Server (hoặc Microsoft 365)
• Camera Server
• Monitoring (Zabbix / PRTG)

---

🧩 7. Thiết kế VLAN (cực kỳ quan trọng)

Ví dụ:

VLAN	Mục đích
VLAN 10	Ban giám đốc
VLAN 20	Nhân viên
VLAN 30	IT
VLAN 40	Camera
VLAN 50	WiFi Guest
VLAN 60	Server
VLAN 70	VoIP

👉 Nguyên tắc:

• Không cho VLAN truy cập chéo tùy ý
• Tất cả đi qua firewall hoặc ACL

---

📞 8. Hệ thống VoIP (điện thoại IP)

• Tổng đài IP (Asterisk / 3CX)
• Điện thoại IP hoặc softphone

---

🛡️ 9. Các lớp bảo mật (Defense in Depth)

Lớp 1: Network

• VLAN
• ACL
• Port Security

Lớp 2: Perimeter

• Firewall
• VPN
• IPS

Lớp 3: Endpoint

• Antivirus
• EDR

Lớp 4: User

• AD + phân quyền
• MFA (2FA)

---

🔄 10. Backup & dự phòng

• Internet 2 nhà mạng (Viettel + VNPT)
• Core switch chạy HA
• Firewall HA
• Backup dữ liệu:
  • Onsite + Cloud

---

📊 11. Monitoring & quản lý

• Giám sát:
  • Network (Zabbix)
  • Camera
  • Server
• Log:
  • Syslog server
  • SIEM (nếu lớn)

---

🖥️ 12. Sơ đồ tổng thể (mô tả)

---

💡 13. Gợi ý thiết bị thực tế (chuẩn bạn đang làm 👍)

• Core:
  • Mikrotik CCR2116 hoặc Cisco Catalyst
• Access:
  • Cisco / Ruijie / Aruba
• Firewall:
  • Fortigate 100F (chuẩn luôn cho 1000 user)
• WiFi:
  • UniFi / Aruba / Ruijie
• Camera:
  • Hikvision / Dahua

---

🚀 14. Lời khuyên thực chiến

• Đừng để tất cả chung 1 VLAN → rất nguy hiểm
• Camera + WiFi Guest luôn tách riêng
• Luôn có HA (Firewall + Core)
• Thiết kế dư 30% port để mở rộng
• Log + giám sát cực kỳ quan trọng