• Kiếm tiền với Hostinger

    Kiếm Tiền Cùng Hostinger

    Bạn đang tìm kiếm cách kiếm thêm thu nhập online? Hãy tham gia ngay chương trình Affiliate của Hostinger! Với mỗi khách hàng đăng ký thông qua liên kết của bạn, bạn sẽ nhận được khoản hoa hồng hấp dẫn.

    Hostinger cung cấp các dịch vụ lưu trữ web (hosting) chất lượng cao với mức giá cạnh tranh, giúp bạn dễ dàng giới thiệu và thu hút người dùng.

    Đừng bỏ lỡ cơ hội tuyệt vời này để tăng thêm thu nhập thụ động.

    Tham Gia Ngay

Tìm hiểu các kiểu VLAN khác nhau trong mạng TCP / IP

TigerDao

Administrator
Thành viên BQT
VLAN (Virtual Local Area Network) là một khái niệm cơ bản trong mạng máy tính TCP / IP và mọi chuyên gia trong lĩnh vực này đều phải có hiểu biết sâu sắc về công nghệ này.
Trong mạng, các VLAN được triển khai và cấu hình trên Bộ chuyển mạch Ethernet và chúng hoạt động ở Lớp 2 OSI.
Chúng là một phương pháp để tách các Khung Ethernet Lớp 2 một cách hợp lý được tạo bởi các thiết bị khác nhau trong mạng để chỉ các khung có cùng ID VLAN mới có thể giao tiếp trong Lớp 2.
Các khung có ID VLAN khác nhau phải đi qua thiết bị Lớp 3 (ví dụ: bộ định tuyến) để giao tiếp.
Do đó, bằng cách sử dụng Bộ định tuyến (hoặc Bộ chuyển mạch lớp 3) chúng ta có thể kiểm soát lưu lượng giữa các VLAN khác nhau (ví dụ: bằng cách sử dụng Danh sách điều khiển truy cập ACL).

(IMG)

Sự tách biệt giữa các khung (và do đó là các thiết bị) bổ sung thêm tính bảo mật của mạng bằng cách tách riêng lưu lượng từ các thiết bị khác nhau để chúng chỉ có thể giao tiếp ở lớp 2 với các thiết bị đã được gán cùng một số Vlan.

Phạm vi VLAN (VLAN Range)

Vlans được xác định bằng các số trong phạm vi từ 1 đến 4094. Có một số dành riêng trong phạm vi này, và những số này như sau:
– 1003 đến 1005 – dành riêng cho Token Ring
– 1 đến 1005 Phạm vi bình thường
– 1006 đến 4094 – Phạm vi mở rộng

Cấu trúc khung Ethernet

Các VLAN khác nhau được xác định bằng một thẻ được đặt trong khung ethernet. Thẻ này được gọi là thẻ 802.1Q và đôi khi được gọi là thẻ Dot1Q.
Bố cục của khung ethernet tiêu chuẩn chưa được gán thẻ Vlan được hiển thị bên dưới:

(IMG)

Bố cục của Khung Ethernet có VLAN được gán với thẻ 802.1Q được hiển thị bên dưới:

(IMG)

Tầm quan trọng của VLAN đối với phân đoạn mạng

Bảo mật (Security)


Ví dụ: tất cả các thiết bị thuộc bộ phận Tài chính (Finance) có thể được gán VLAN 10 và tất cả các thiết bị thuộc bộ phận Nghiên cứu (Research) có thể được gán VLAN 20.
Vì lý do bảo mật, vì đây là các phòng ban khác nhau, máy tính trong phòng Nghiên cứu thông thường không thể giao tiếp với máy tính trong phòng Tài chính và ngược lại.
Việc gán VLAN được cấu hình trên các giao diện của bộ chuyển mạch mà các máy tính được kết nối. Do đó, bộ chuyển mạch sẽ chèn thẻ ID VLAN vào mỗi khung Ethernet đến từ máy tính.
Bộ Switch thông thường chỉ cho phép giao tiếp Lớp 2 lưu thông giữa các giao diện có cùng Phân đoạn VLAN.
Điều này có nghĩa là không có giao tiếp Lớp 2 nào xảy ra giữa máy tính trong bộ phận Tài chính và máy tính trong bộ phận Nghiên cứu do các nhiệm vụ VLAN khác nhau của chúng.

Miền phát sóng nhỏ hơn (Smaller Broadcast Domains)

Các VLAN thường trải dài trên nhiều bộ chuyển mạch mạng, nếu một VLAN đơn lẻ được gán cho tất cả các giao diện bộ chuyển mạch thì điều này sẽ tạo ra một miền quảng bá lớn duy nhất.
Bằng cách tách biệt các giao diện chuyển mạch thành các VLANS khác nhau, miền quảng bá lớn này được chia thành nhiều miền quảng bá nhỏ hơn.

Quản lý mạng tốt hơn (Better Network Management)

VLANS là một cách tốt để tổ chức các thiết bị có vai trò tương tự thành các nhóm logic và bởi vì VLANS có thể trải dài qua nhiều thiết bị chuyển mạch trong một mạng nên các thiết bị tương tự này có thể tách biệt về mặt vật lý nhưng nằm trong cùng một nhóm logic.
Tổ chức hợp lý này có thể giúp đơn giản hóa việc cấu hình và quản lý các thiết bị trong một mạng lớn.

VLAN trên Switch Cisco (VLAN Database)

Khi một VLAN mới được tạo trên một switch, VLAN mới sẽ được ghi lại trong cơ sở dữ liệu. Cơ sở dữ liệu này được lưu trữ trong NVRAM hoặc bộ nhớ flash trong một tệp được gọi là tệp vlan.dat.
Để xem nội dung của cơ sở dữ liệu Vlan trên switch Cisco, lệnh show vlan được sử dụng.
Nếu tệp Vlan.dat bị xóa khỏi switch thì tất cả các VLANS đã cấu hình sẽ bị mất và cơ sở dữ liệu sẽ được đặt thành cấu hình mặc định của nó.
Để xóa tệp vlan.dat, bạn có thể sử dụng lệnh delete flash:vlan.dat. Để bảo mật, bạn nên tạo một bản sao lưu của tệp vlan.dat để cơ sở dữ liệu VLAN có thể được phục hồi nếu cần.
Có một giao thức được gọi là VLAN Trunking Protocol (VTP) có thể được sử dụng để đảm bảo rằng mọi bộ chuyển mạch trên mạng đều có cùng một cơ sở dữ liệu VLAN.
Giao thức này yêu cầu một bộ chuyển mạch được định cấu hình làm máy chủ VTP và tất cả các bộ chuyển mạch khác được định cấu hình là Bộ chuyển mạch trong suốt-Transparent mode (không có VTP) hoặc Bộ chuyển mạch Client- Client mode.
Khi một thay đổi đối với cơ sở dữ liệu Vlan được thực hiện trên chuyển mạch máy chủ VTP, nó sẽ gửi một thông báo VTP cập nhật Cơ sở dữ liệu VLAN của tất cả các chuyển mạch máy khách.
Đối với các VLAN mở rộng được sử dụng từ phạm vi 1006 đến 4094, bộ chuyển mạch phải được định cấu hình với chế độ VTP trong suốt.
VTP nên được sử dụng một cách thận trọng vì có thể xóa tất cả các VLANS được cấu hình trên mạng nếu một máy chủ VTP mới được thêm vào do nhầm lẫn.
Bây giờ chúng ta hãy mô tả và thảo luận về các loại VLAN khác nhau trong mạng:

VLAN mặc định (Default VLAN)

Khi một thiết bị chuyển mạch Cisco mới được bật nguồn lần đầu tiên, tất cả các giao diện được đặt trong VLAN 1, là VLAN mặc định trên Thiết bị chuyển mạch Cisco và đối với hầu hết các nhà cung cấp thiết bị chuyển mạch khác.
Các giao diện được gán trong VLAN mặc định không gắn thẻ các khung Ethernet khi chúng rời khỏi Giao diện, vì vậy tất cả các thiết bị được kết nối được gán VLAN mặc định sẽ có thể giao tiếp với nhau.
VLAN 1 luôn hoạt động trên bộ chuyển mạch của Cisco và nó không thể bị xóa. VLAN 1 chủ yếu được sử dụng cho lưu lượng điều khiển lớp 2 bên trong bên trong switch, chẳng hạn như thông điệp Spanning Tree hoặc CDP và điều này không thể thay đổi được.
Bằng cách đặt các giao diện không sử dụng vào các VLAN riêng biệt trên Switch, điều này ngăn chặn truy cập trái phép vào VLAN dữ liệu nếu ai đó cắm máy tính xách tay vào một giao diện trống.

VLAN gốc (Native VLAN)

Nhiều Switch được kết nối bằng cách sử dụng giao diện Trunk. Không giống như giao diện Access tiêu chuẩn chỉ có khả năng truyền lưu lượng truy cập cho một VLAN đã được gán cho nó, giao diện trung kế có thể truyền các khung Ethernet từ nhiều VLAN được gắn thẻ.
Điều này được gọi là 802.1q Trunking. Đường trục không chỉ chuyển các khung được gắn thẻ qua liên kết của nó mà còn cả các khung không được gắn thẻ như lưu lượng điều khiển hoặc lưu lượng từ các thiết bị cũ không thể gắn thẻ các khung Ethernet của chúng.
Tất cả lưu lượng không được gắn thẻ này theo mặc định được đưa vào VLAN 1 là VLAN gốc. Có sự khác biệt giữa VLAN gốc và Vlan mặc định vì VLAN gốc có thể được và thường được gán một số khác.
Điều quan trọng cần nhớ là VLAN gốc có thể là bất kỳ số nào bạn muốn sử dụng trong phạm vi 1 và 4094 nhưng số VLAN gốc phải khớp trên cả hai giao diện kết nối đường trục.
Bạn không thể có một VLAN gốc là 2 ở một bên rồi đến một VLAN 3 riêng ở bên kia vì điều này sẽ gây ra sự không khớp và giao tiếp qua đường trục sẽ không thành công.
Lệnh thay đổi VLAN gốc được chỉ định của đường trục trên thiết bị chuyển mạch Cisco như sau:

switchport mode trunk
switchport encapsulation dot1q
switchport trunk native vlan <vlan number>.


Để kiểm tra VLAN gốc mà một cổng trung kế đã được gán, lệnh sau phải được chạy trên cả hai mặt của liên kết trung kế:

show interface GigabitEthernet 0/1 trunk

Quản lý VLAN (Management VLAN)

Một VLAN quản lý được tạo ra với mục đích chỉ quản lý các thiết bị cơ sở hạ tầng sử dụng SSH, HTTPS, SMTP hoặc SYSLOG, v.v.
Số VLAN có thể là bất kỳ số nào mà Quản trị viên muốn sử dụng. Để có thể truy cập các thiết bị trong VLAN này để quản lý từ một máy tính từ xa, Giao diện ảo Switch (SVI) cần được tạo trên thiết bị Lớp 3 như Bộ định tuyến hoặc Switch Layer 3 và được gán một Địa chỉ IP.
Tất cả các thiết bị cần được quản lý cũng cần có địa chỉ IP được gán trong cùng một mạng con IP với SVI.
Để giữ cho mọi thứ đơn giản và dễ nhớ, Octet thứ ba trong dải IP thường khớp với số được cung cấp cho VLAN.
Ví dụ: nếu VLAN quản lý là VLAN 10 thì địa chỉ IP được gán sẽ là 192.168.10.1 / 24 cho SVI.
Tất cả các thiết bị cần được quản lý sau đó sẽ được gán một địa chỉ IP từ cùng một dải địa chỉ IP này, chẳng hạn như 192.168.10.10 / 24 hoặc 192.168.10.11 / 24.
Cách tốt nhất là tách lưu lượng quản lý khỏi lưu lượng dữ liệu người dùng và VLAN quản lý được sử dụng cho mục đích này.

VLAN dữ liệu (Data VLAN)

VLAN dữ liệu là nơi thiết bị của người dùng cuối được chỉ định. Có thể có nhiều VLANS dữ liệu có thể được đánh số hoặc đặt tên để đại diện cho các phòng ban hoặc nhóm thiết bị khác nhau.
Có thể có một VLAN được gọi là Tài chính, sau đó là một VLAN được gọi là Bán hàng và sau đó là một VLAN khác được gọi là Nghiên cứu.
Một VLAN có thể được tạo cho các thiết bị khác nhau như VLAN cho Điện thoại hoặc VLAN được gọi là AV chỉ chứa các thiết bị Âm thanh và Video.

VLAN thoại (Voice VLAN)

Thông thường trong môi trường văn phòng mỗi bàn làm việc sẽ có một máy tính và một điện thoại IP. Để kết nối riêng cả điện thoại IP và máy tính với bộ chuyển mạch sẽ yêu cầu 2 dây cáp được chạy từ mỗi thiết bị đến bộ chuyển mạch.

(IMG)

Trong một văn phòng lớn, số lượng giao diện trên bộ chuyển mạch sẽ nhanh chóng cạn kiệt, vì vậy Cisco đã tạo ra các điện thoại IP có bộ chuyển mạch mini được tích hợp vào bộ phận cơ sở của điện thoại.
Bộ chuyển mạch mini này cho phép PC kết nối với điện thoại và sau đó lưu lượng truy cập từ PC được chuyển tiếp bởi điện thoại thông qua một kết nối Ethernet duy nhất đến bộ chuyển mạch Cisco (xem sơ đồ ở trên).
Vấn đề là thông thường một giao diện chuyển mạch được cấu hình với quyền truy cập chế độ switchport mode access chỉ có thể chấp nhận một VLAN duy nhất trên giao diện.
Để khắc phục sự cố này, thiết bị chuyển mạch của Cisco cho phép gán một VLAN dữ liệu tiêu chuẩn cho cổng chuyển mạch sẽ hỗ trợ máy tính và sau đó một VLAN thoại cũng có thể được thêm vào để hỗ trợ điện thoại IP của Cisco.
Khi các gói IP rời khỏi điện thoại, chúng sẽ được gắn thẻ vlan thoại cho điện thoại IP hoặc VLAN dữ liệu cho các gói có nguồn gốc từ máy tính.
Các lệnh để cấu hình cả vlan thoại và vlan dữ liệu như sau:

switchport mode access
switchport access vlan 10 (DATA)
switchport access voice vlan 101 (VOIP)


Được gắn thẻ và chưa được gắn thẻ VLAN (Tagged and Untagged VLAN/port)

Các gói có thể được gắn thẻ bằng thẻ dot1q hoặc hoàn toàn không được gắn thẻ.

Tóm tắt:
– Cổng được gắn thẻ(Tagged Port): Còn được gọi là cổng “Trunk”. Các gói phải có thẻ VLAN. Cổng này chấp nhận lưu lượng từ nhiều VLAN. Thường dùng để kết nối các Switch với nhau.
– Cổng không được gắn thẻ(Untagged Port): Còn được gọi là cổng “Truy cập”. Cổng này chỉ chấp nhận lưu lượng truy cập cho một VLAN duy nhất. Thường được sử dụng để kết nối thiết bị đầu cuối với thiết bị chuyển mạch.

(IMG)

Một số thiết bị cuối có thể gắn thẻ các gói rời khỏi thiết bị bằng thẻ dot1q trong khi hầu hết các thiết bị khác không có khả năng này.
Vì vậy, khi gói đến bộ chuyển mạch, tùy thuộc vào loại giao diện mà thiết bị được kết nối, bộ chuyển mạch sẽ có ảnh hưởng đến những gì xảy ra với việc gắn thẻ bên trong gói.
Nếu một gói được gắn thẻ rời khỏi một thiết bị và đến giao diện được kết nối của một Switch đã được định cấu hình làm giao diện Access, Switch sẽ kiểm tra xem thẻ đó có giống với VLAN được phép gán cho Giao diện đó không. Nếu phù hợp nó được phép vượt qua, nếu nó không phù hợp thì nó sẽ bị loại bỏ.
Nếu gói được gửi từ thiết bị không được gắn thẻ, khi đến cùng một giao diện, nó được coi là Chưa được gắn thẻ và được cấp một thẻ mới phù hợp với thẻ của VLAN được gán cho giao diện.
Giao diện truy cập là giao diện UNTAGGED chỉ cho phép một VLAN duy nhất đi qua. Giao diện Trunk là giao diện TAGGED cho phép các gói được gắn thẻ với nhiều Vlans đi qua và các gói không được gắn thẻ được gán thẻ VLAN ID của Native VLAN cho Liên kết Trunk đó.

Private Vlans

VLANS riêng (Private Vlan) là một cách cô lập các thiết bị trong cùng một VLAN bằng cách gán cho chúng một vlan phụ được chỉ định là Vlan cộng đồng (Community) hoặc Vlan cô lập (Isolated).

(IMG)

Một switch được cấu hình cho các VLAN riêng (private VLANs) sẽ có các giao diện được gán cho một Vlan chính (primary Vlan).
Trong nhóm giao diện này, một giao diện sẽ được định cấu hình như một cổng riêng lẻ. Giao diện này có thể giao tiếp với bất kỳ giao diện nào khác và bất kỳ giao diện nào khác cũng có thể giao tiếp ngược lại.
Các Giao diện đã được cấu hình như một giao diện cộng đồng có thể giao tiếp với tất cả các giao diện khác đã được cấu hình trong cùng một VLAN cộng đồng và chúng cũng có thể giao tiếp với giao diện chung.
Các giao diện đã được chỉ định là một VLAN biệt lập chỉ có thể nói chuyện với giao diện chung.
Nếu một máy chủ được kết nối với giao diện chung, nó sẽ có thể nói chuyện với tất cả các thiết bị trong cùng một VLAN riêng tư cả giao diện được chỉ định Isolated và Community.
Máy chủ được kết nối với giao diện cộng đồng có thể nói chuyện với máy chủ chung và bất kỳ máy chủ nào được kết nối với giao diện cộng đồng khác (với cùng một VLAN cộng đồng), nhưng nó không thể nói chuyện với bất kỳ máy chủ nào được kết nối với một giao diện riêng biệt.

Chúc các bạn thành công!

Bài viết liên quan:


– Hướng dẫn cách tạo và cấu hình VLAN trên thiết bị chuyển mạch Cisco Switch
– Tìm hiểu Private VLAN (PVLAN), cấu hình Private VLAN trên thiết bị chuyển mạch Cisco Switch

Xem tiếp...
 

Similar threads

Top