Quản Trị Mạng - Đã bao giờ bạn tự đặt cho mình những câu hỏi như: mạng LAN ảo (hay VLAN) là gì? Khi nào và tại sao bạn cần có một VLAN? Bài viết sau đây sẽ chia sẻ với các bạn những kiến thức cơ bản về VLAN, giúp bạn có khái niệm về VLAN và sự hữu ích của nó.
Chắc hẳn phần lớn các bạn đều hiểu thế nào là một mạng LAN. Tuy nhiên chúng ta vẫn nên nhắc lại một chút, bởi lẽ nếu bạn không nắm được mạng LAN là gì, bạn sẽ không thể có khái niệm về VLAN. LAN là một mạng cục bộ (viết tắt của Local Area Network), được định nghĩa là tất cả các máy tính trong cùng một miền quảng bá (broadcast domain). Cần nhớ rằng các router (bộ định tuyến) chặn bản tin quảng bá, trong khi switch (bộ chuyển mạch) chỉ chuyển tiếp chúng.
VLAN là viết tắt của Virtual Local Area Network hay còn gọi là mạng LAN ảo. Mạng LAN ảo (VLAN) là một nhóm các máy tính được kết nối với cùng một mạng nhưng không ở gần nhau. Sử dụng VLAN cho phép sử dụng tài nguyên mạng hiệu quả hơn và có thể hữu ích khi có quá nhiều thiết bị cho một mạng.
Một VLAN được định nghĩa là một nhóm logic các thiết bị mạng và được thiết lập dựa trên các yếu tố như chức năng, bộ phận, ứng dụng… của công ty. Về mặt kỹ thuật, VLAN là một miền quảng bá được tạo bởi các switch. Bình thường thì router đóng vai trò tạo ra miền quảng bá. Đối với VLAN, switch có thể tạo ra miền quảng bá.
Ảnh minh họa: thebryantadvantage.com
Việc này được thực hiện khi bạn - quản trị viên - đặt một số cổng switch trong VLAN ngoại trừ VLAN 1 - VLAN mặc định. Tất cả các cổng trong một mạng VLAN đơn đều thuộc một miền quảng bá duy nhất.
Vì các switch có thể giao tiếp với nhau nên một số cổng trên switch A có thể nằm trong VLAN 10 và một số cổng trên switch B cũng có thể trong VLAN 10. Các bản tin quảng bá giữa những máy tính này sẽ không bị lộ trên các cổng thuộc bất kỳ VLAN nào ngoại trừ VLAN 10. Tuy nhiên, tất cả các máy tính này đều có thể giao tiếp với nhau vì chúng thuộc cùng một VLAN. Nếu không được cấu hình bổ sung, chúng sẽ không thể giao tiếp với các máy tính khác nằm ngoài VLAN này.
VLAN được tạo bằng cách thêm tag hoặc header vào mỗi frame Ethernet. Tag này cho mạng biết frame sẽ được gửi đến VLAN nào. Các thiết bị trong những VLAN khác nhau không thể nhìn thấy lưu lượng của nhau trừ khi chúng đều kết nối với router được cấu hình cho phép việc này.
Hiện nay, VLAN đóng một vai trò rất quan trọng trong công nghệ mạng LAN. Để thấy rõ được lợi ích của VLAN, chúng ta hãy xét trường hợp sau :
Giả sử một công ty có 3 bộ phận là: Engineering, Marketing, Accounting, mỗi bộ phận trên lại trải ra trên 3 tầng. Để kết nối các máy tính trong một bộ phận với nhau thì ta có thể lắp cho mỗi tầng một switch. Điều đó có nghĩa là mỗi tầng phải dùng 3 switch cho 3 bộ phận, nên để kết nối 3 tầng trong công ty cần phải dùng tới 9 switch. Rõ ràng cách làm trên là rất tốn kém mà lại không thể tận dụng được hết số cổng (port) vốn có của một switch. Chính vì lẽ đó, giải pháp VLAN ra đời nhằm giải quyết vấn đề trên một cách đơn giản mà vẫn tiết kiệm được tài nguyên.
Như hình vẽ trên ta thấy mỗi tầng của công ty chỉ cần dùng một switch, và switch này được chia VLAN. Các máy tính ở bộ phận kỹ sư (Engineering) thì sẽ được gán vào VLAN Engineering, các PC ở các bộ phận khác cũng được gán vào các VLAN tương ứng là Marketing và kế toán (Accounting). Cách làm trên giúp ta có thể tiết kiệm tối đa số switch phải sử dụng đồng thời tận dụng được hết số cổng (port) sẵn có của switch.
Có một điều quan trọng mà tôi cần nhấn mạnh, đó là bạn không cần cấu hình một mạng LAN ảo trừ khi mạng máy tính của bạn quá lớn và có lưu lượng truy cập quá nhiều. Nhiều khi người ta dùng VLAN chỉ đơn giản vì lý do mạng máy tính mà họ đang làm việc đã sử dụng chúng rồi.
Thêm một vấn đề quan trọng nữa, đó là trên switch Cisco, VLAN được kích hoạt mặc định và tất cả các máy tính đã nằm trong một VLAN. VLAN đó chính là VLAN 1. Bởi thế mà theo mặc định, bạn có thể sử dụng tất cả các cổng trên switch và tất cả các máy tính đều có khả năng giao tiếp với nhau.
Bạn cần cân nhắc việc sử dụng VLAN trong các trường hợp sau:
Tại sao không chia subnet?
Một câu hỏi thường gặp đó là tại sao không chia subnet (mạng con) thay vì sử dụng VLAN? Mỗi VLAN nên ở subnet của riêng mình. VLAN có ưu điểm hơn subnet ở chỗ các máy tính tại những vị trí vật lý khác nhau (không quay lại cùng một router) có thể nằm trong cùng một mạng. Hạn chế của việc chia subnet với một router đó là tất cả máy tính trên subnet đó phải được kết nối tới cùng một switch và switch đó phải được kết nối tới một cổng trên router.
Với VLAN, một máy tính có thể được kết nối tới switch này trong khi máy tính khác có thể kết nối tới switch kia mà tất cả các máy tính vẫn nằm trên VLAN chung (miền quảng bá).
Các máy tính trên VLAN khác nhau có thể giao tiếp với một router hoặc một switch Layer 3. Do mỗi VLAN là subnet của riêng nó, router hoặc switch Layer 3 phải được dùng để định tuyến giữa các subnet.
Khi một liên kết giữa hai switch hoặc giữa một router và một switch truyền tải lưu lượng của nhiều VLAN thì cổng đó gọi là cổng trunk.
Cổng trunk phải chạy giao thức đường truyền đặc biệt. Giao thức được sử dụng có thể là giao thức độc quyền ISL của Cisco hoặc IEEE chuẩn 802.1q.
Bước 1. Đăng nhập vào tiện ích dựa trên web và chọn VLAN Management > VLAN Settings.
Bước 2. Trong khu vực VLAN Table, bấm vào Add để tạo một VLAN mới. Một cửa sổ sẽ xuất hiện.
Bước 3. VLAN có thể được thêm vào theo hai phương thức khác nhau như được hiển thị bởi các tùy chọn bên dưới. Chọn phương thức mong muốn:
Bước 4. Nếu bạn đã chọn VLAN ở bước 3, hãy nhập VLAN ID vào trường VLAN ID. Phạm vi phải nằm trong khoảng từ 2 đến 4094. Trong ví dụ này, VLAN ID sẽ là 4.
Bước 5. Trong trường VLAN Name, nhập tên cho VLAN. Trong ví dụ này, VLAN Name sẽ là Accounting. Tối đa 32 ký tự có thể được sử dụng.
Bước 6. Chọn hộp kiểm VLAN Interface State để kích hoạt trạng thái interface VLAN. Nó đã được chọn theo mặc định. Nếu không, VLAN sẽ bị tắt và không có gì có thể được truyền hoặc nhận thông qua VLAN.
Bước 7. Tích vào hộp kiểm Link Status SNMP Traps nếu bạn muốn kích hoạt việc tạo SNMP trap. Điều này được kích hoạt theo mặc định.
Bước 8. Nếu bạn chọn Range trong bước 3, hãy nhập phạm vi cho các VLAN trong trường VLAN Range. Phạm vi có sẵn là 2 - 4094. Trong ví dụ này, VLAN Range là từ 3 đến 52.
Lưu ý: Có thể tạo tối đa 100 VLAN cùng một lúc.
Bước 9. Nhấn vào Apply.
Bước 1. Đăng nhập vào tiện ích dựa trên web và chọn VLAN Management > VLAN. Trang VLAN Settings sẽ mở ra.
Bước 2. Chọn hộp kiểm bên cạnh VLAN bạn muốn chỉnh sửa.
Bước 3. Nhấn Edit để chỉnh sửa VLAN đã chọn. Cửa sổ Edit VLAN sẽ xuất hiện.
Bước 4. Có thể thay đổi VLAN hiện tại bằng cách sử dụng danh sách drop-down VLAN ID. Điều này được sử dụng để nhanh chóng chuyển đổi giữa các VLAN bạn muốn cấu hình, mà không phải quay lại trang VLAN Settings.
Bước 5. Chỉnh sửa tên của VLAN trong trường VLAN Name. Tên này không ảnh hưởng đến hiệu suất của VLAN và được sử dụng để nhận dạng dễ dàng.
Bước 6. Đánh dấu vào hộp kiểm VLAN Interface State để kích hoạt trạng thái interface của VLAN. Nếu không, VLAN sẽ bị tắt và không có gì có thể được truyền hoặc nhận thông qua VLAN.
Bước 7. Tích vào hộp kiểm Enable Link Status SNMP Traps để cho phép tạo SNMP trap với thông tin trạng thái liên kết. Hộp này được chọn theo mặc định.
Bước 8. Nhấn vào Apply.
Bước 1. Đăng nhập vào tiện ích dựa trên web và chọn VLAN Management > VLAN Settings.
Bước 2. Chọn hộp kiểm bên cạnh VLAN bạn muốn xóa.
Bước 3. Nhấn Delete để xóa VLAN đã chọn.
Bây giờ bạn đã xóa thành công VLAN.
VLAN giúp tăng hiệu suất mạng LAN cỡ trung bình và lớn vì nó hạn chế bản tin quảng bá. Khi số lượng máy tính và lưu lượng truyền tải tăng cao, số lượng gói tin quảng bá cũng gia tăng. Bằng cách sử dụng VLAN, bạn sẽ hạn chế được bản tin quảng bá.
VLAN cũng tăng cường tính bảo mật bởi vì thực chất bạn đặt một nhóm máy tính trong một VLAN vào mạng riêng của chúng.
Mặc dù VLAN mang lại nhiều lợi ích, nhưng có một rủi ro bảo mật tiềm ẩn cần lưu ý. Nếu người dùng độc hại bằng cách nào đó có được quyền truy cập vào một thiết bị được kết nối với router, họ có thể hình dung ra lưu lượng truy cập đến các VLAN khác mà họ không nên có quyền truy cập trong một quá trình được gọi là tấn công VLAN hopping. Để ngăn chặn điều này, hãy đảm bảo rằng bạn bảo mật đúng cách cho tất cả các thiết bị trên mạng của mình và chỉ cho phép những người dùng đáng tin cậy truy cập chúng.
VLAN có thể là một công cụ hữu ích trong việc quản lý và bảo mật các mạng lớn. Tuy nhiên, như với bất kỳ công nghệ nào, có những rủi ro tiềm ẩn cần lưu ý. Hãy chắc chắn xem xét những điều này khi quyết định có sử dụng VLAN trên mạng của bạn hay không.
Tổng kết
Dưới đây là tổng kết những ý chính trong bài:
Nguồn tin: quantrimang.com
Ý kiến bạn đọc
Những tin mới hơn
Những tin cũ hơn