Đồ án tốt nghiệp đai học xây dựng mạng dựa trên công nghệ VLAN

Do đó, em chọn đề tài thực tập tốt nghiệp với đề tài “CÔNG NGHỆ VLAN” Sau đây là bài báo cáo với cấu trúc như sau: Chương 1: Tổng quan về kiến trúc hạ tầng mạng chuyển mạch của doanh ngh

KHOA VIỄN THÔNG _

ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC

CHUYÊN NGÀNH: ĐIỆN TỬ - VIỄN THÔNG

HỆ LIÊN THÔNG NIÊN KHÓA: 2009-2011

Đề tài :

CÁC CÔNG NGHỆ SỬ DỤNG TRONG HẠ TẦNG MẠNG CHUYỂN MẠCH CỦA DOANH NGHIỆP

CHƯƠNG I: TỔNG QUAN VỀ KIẾN TRÚC HẠ TẦNG MẠNG CHUYỂN

MẠCH CỦA DOANH NGHIỆP 2

1.1 Giới thiệu tổng quan 2

1.2 Phân tích thiết kế hệ thống mạng Cisco 2

1.2.1 Kiến trúc mạng Cisco Enterprise 2

1.2.1.1 SONA 2

1.2.1.2 Thiết kế theo mô hình mạng phân lớp 5

1.2.1.3 Thiết kế theo mô đun 8

1.2.1.4 Thiết kế bảo mật cho hệ thống mạng 9

1.2.2 Quy trình triển khai PPDIOO 11

1.2.2.1 Tổng quan 11

1.2.2.2 Các giai đoạn cụ thể 12

CHƯƠNG II: CÁC CÔNG NGHỆ SỬ DỤNG TRONG HẠ TẦNG MẠNG CHUYỂN MẠCH CỦA DOANH NGHIỆP 13

2.1 Công nghệ VLAN 13

2.1.1 Khái niệm 13

2.1.2 Phân loại VLAN 13

2.1.2.1 VLAN tĩnh (Static VLAN) 14

2.1.2.2 VLAN động (Dynamic VLAN) 14

2.1.2.3 VLAN thoại 15

2.1.3 Triển khai VLAN 15

2.1.4.1 End – to – end VLAN 15

2.1.4.2 Local VLAN 16

2.1.2.4 Private VLAN 16

2.2 Trunking 17

2.2.1 Khái niệm 17

2.2.2 Hoạt động của trunking 17

2.2.3 Chuẩn trung kế VLAN: ISL và 802.1Q 18

2.2.4 So sánh ISL với IEEE 802.1Q 19

2.3 Giao thức trung kế VLAN (VLAN trunking protocol – VTP) 20

2.3.1 Giới thiệu 20

2.3.2 Miền VTP 20

2.3.3 Các tiến trình VTP và chỉ số revision 22

2.3.5 VTP prunning 25

2.4 Inter VLAN Routing 26

2.4.1 Dùng nhiều kết nối vật lý 26

2.4.2 Router-On a Stick 27

2.4.3 Dùng SVI (Routing on Switch Layer 3) 27

2.4.4 So sánh giữa việc sử dụng Interface và Subinterface 28

2.5 Giao thức cây mở rộng ( Spanning tree protocol – STP ) 28

2.5.1 Giao thức cây mở rộng 802.1D – STP 28

2.5.1.1 Khái niệm 28

2.5.1.2 Lí do sử dụng STP 28

2.5.1.3 Hoạt động của STP 31

2.5.1.4 Trạng thái của interface trong spanning – tree 36

2.5.1.5 Tính toán lại cây spanning – tree 38

2.5.1.6 Tinh chỉnh cây spanning – tree 39

2.5.1.7 Spanning – tree và các kết nối dự phòng 40

2.5.1.8 Quản lý spanning – tree address 40

2.5.2 Giao thức cây mở rộng nhanh – RSTP 41

2.5.3 Giao thức nhiều cây mở rộng – MSTP 42

2.6 Công nghệ Ether channel 44

2.6.1 Giới thiệu 44

2.6.2 Kết hợp cổng và phân phối lưu lượng trong Etherchannel 44

2.6.3 Các giao thức bắt tay trong Etherchannel 44

2.6.3.1 PagP (Port Aggregation Protocol) 44

CHƯƠNG III: XÂY DỰNG MÔ HÌNH MẠNG CHUYỂN MẠCH CỦA DOANH NGHIỆP TRÊN THIẾT BỊ CỦA CISCO 46

3.1 Mô hình LAP theo mô hình mạng phân lớp 46

3.2 Yêu cầu 46

3.2.1 Access Switch 46

3.2.2 Distribute switch 47

3.2.3 Core switch 47

3.2.4 Router 47

3.3 Quy hoạch IP 47

3.4 Một số command cấu hình cơ bản 47

3.4.1 Access Switch 47

3.4.3 Core switch 51

3.4.4 Router 52

3.5 Kết quả 53

3.5.1 Show VLAN brief 53

3.5.2 Show VTP status 56

3.5.3 Show interface trunk 58

3.5.4 Show Etherchannel 60

3.5.5 Show spanning tree 65

3.5.6 Show ip route 75

3.5.7 Show ping 82

3.5.8 Show CDP 85

CHƯƠNG I: TỔNG QUAN VỀ KIẾN TRÚC HẠ TẦNG MẠNG CHUYỂN MẠCH CỦA DOANH NGHIỆP

Hình 1.1: Kiến trúc SONA 2

Hình 1.2: Lớp cơ sở hạ tầng mạng 4

Hình 1.3: Lớp tích hợp dịch vụ 4

Hình 1.4: Lớp ứng dụng 5

Hình 1.5: Mô hình phân lớp 6

Hình 1.6: Enrterprise Campus 7

Hình 1.7: Chức năng các lớp 7

Hình 1.8: Kiến trúc theo kiểu modular 9

Hình 1.9: Quy trình thiết kế PPDIOO 12

CHƯƠNG II: CÁC CÔNG NGHỆ SỬ DỤNG TRONG HẠ TẦNG MẠNG CHUYỂN MẠCH CỦA DOANH NGHIỆP Hình 2.1 Mô hình VLAN 13

Hình 2.2: Static VLAN (VLAN tĩnh) 14

Hình 2.3: Dynamic VLAN 15

Hình 2.4: VLAN thoại 15

Hình 2.5: Hoạt động của trunking 18

Hình 2.6: Chuẩn trung kế ISL 19

Hình 2.7: Chuẩn trung kế Dot 1q 19

Hình 2.8: Quá trình hoạt động của VTP 22

Hình 2.9: Routing VLAN dùng nhiều liên kết vật lý 26

Hình 2.10: Routing VLAN dùng Router – on a Stick 27

Hình 2.11: So sánh việc sử dụng interface và subinterface 28

Hình 2.12: Bridging loop trong mạng 29

Hình 2.13: Không có STP, broadcast tạo Feedback loop 29

Hình 2.14: Định dạng của một DIXv2 Ethernet frame 30

bảng bridge 31

Hình 2.16 : Hai trường của BID 31

Hình 2.17: Bầu chọn Root Bridge 34

Hình 2.18 : Bầu chọn Root Port 34

Hình 2.19: Bầu chọn Designated Port 36

Hình 2.20: Sự thay đổi cây spanning tree 39

Hình 2.21: Mô tả hoạt động của MST 43

Bảng 2.1: Bảng tóm tắt một số tính năng ở các mode của VTP Error:

Reference source not found

Bảng 2.2: Bảng thông báo tổng kết broadcast VTP Error: Reference source

not found

Bảng 2.3: Thông báo tập hợp con VTP Error: Reference source not found

Bảng 2.4: Error: Reference source not found

Bảng 2.5:Danh sách chi phí mới 32

Bảng 2.6:Bảng giá trị path cost 35

Bảng 2.7:Các trạng thái của STP 37

Bảng 2.8:Mô tả các mô hình kết nối của RSTP 41

Bảng 2.9:So sánh trạng thái của 802.1D và 802.1w 42

Bảng 2.10:Vai trò các cổng trong RSTP 42

Cùng với sự phát triển của đất nước, những năm gần đây các ngành kinh tế quốc dânđều phát triển mạnh mẽ, và ngành công nghiệp viễn thông cũng không là ngoại lệ Số người

sử dụng các dịch vụ mạng tăng đáng kế, theo dự đoán con số này đang tăng theo hàm mũ.Ngày càng có nhiều các dịch vụ mới và chất lượng dịch vụ cũng được yêu cầu cao hơn

Nhiều công nghệ mạng đã được ra đời và phát triển trong đó có “CÔNG NGHỆ VLAN”.

Với những ưu thế vượt trội của mình về tính kinh tế, hiện nay công nghệ VLAN được sửdụng rất phổ biến ở hầu hết các doanh nghiệp vừa và nhỏ tại Việt Nam

Để hiểu rõ hơn về công nghệ VLAN và ứng dụng của VLAN trong các doanh nghiệp hiện

nay Do đó, em chọn đề tài thực tập tốt nghiệp với đề tài “CÔNG NGHỆ VLAN”

Sau đây là bài báo cáo với cấu trúc như sau:

Chương 1: Tổng quan về kiến trúc hạ tầng mạng chuyển mạch của doanh nghiệp

Chương 2: Các công nghệ sử dụng trong hạ tầng mạng chuyển của doanh nghiệp

Chương 3: Xây dựng mô hình mạng chuyển mạch của doanh nghiệp trên thiết bị CiscoTrên cơ sở những kiến thức được tích luỹ được trong thời gian học tập chuyên ngành Điện

Tử – Viễn Thông tại trường Học Viện Công Nghệ Bưu Chính Viễn Thông và gần một thángthực tập tại Trung Tâm Tin Học Vnpro - Công ty TNHH Tư Vấn và Dịch Vụ Chuyên ViệtVnpro, em đã hoàn thành bản báo cáo thực tập tốt nghiệp này

Hoàn thành bản báo cáo thực tập này em xin chân thành cảm ơn thầy í đã tận tình hướngdẫn em trong suốt quá trình thực tập tốt nghiệp

Em xin chân thành cảm ơn các cán bộ tại Trung Tâm đã tạo điều kiện và giúp đỡ em trongsuốt quá trình thực tập tại Trung Tâm

Do kiến thức còn hạn chế nên trong quá trình thực tập và hoàn thành bài báo cáo khôngtránh khỏi những mặt hạn chế Rất mong Thầy bỏ qua và góp ý để báo cáo này được hoànthiện hơn Một lần nữa em xin chân thành cảm ơn!

CHƯƠNG I: TỔNG QUAN VỀ KIẾN TRÚC HẠ TẦNG MẠNG

CHUYỂN MẠCH CỦA DOANH NGHIỆP

1.1 Giới thiệu tổng quan

Hiện nay, hầu hết các ứng dụng mới đều yêu cầu rất nhiều tài nguyên của hệ thống vàbăng thông mạng, cũng như các yêu cầu về điều khiển, giám sát mạng Để một doanhnghiệp vừa và nhỏ, với một số vốn đầu tư ban đầu hạn chế, có thể tiếp cận được với cáccông nghệ hiện đại, bắt kịp sự phát triển của thế giới thì cần các giải pháp mang tính độtphá Hệ thống mạng mới phải đạt được các yếu tố:

 Chi phí đầu tư hợp lý bao gồm các thiết bị trong hệ thống, có thể tái sử dụng các thiết

bị đã có đồng thời đảm bảo giá trị sử dụng của các thiết bị trong mộtthời gian dài, tối ưu hóachi phí đầu tư ban đầu

 Hệ thống phải đạt được các tiêu chuẩn mở, khả năng nâng cấp hệ thống dễ dàng theo

sự phát triển của công ty và khả năng bảo toàn vốn

 Hệ thống sử dụng phù hợp với các quy chuẩn quốc tế tránh sử dụng những công nghệmang tính cục bộ

 Hệ thống sử dụng những công nghệ phổ biến có nhiều công ty hổ trợ kỹ thuật tránhphụ thuộc vào sự hổ trợ của một công ty duy nhất

 Hệ thống phải có tính linh hoạt và tính sẵn sàng cao, sử dụng vật tư thiết bị của cácnhà sản xuất có uy tín và có đối tác tại thị trường Việt Nam

 Đáp ứng được nhu cầu phục vụ người dùng, đối tác và khách hàng khác nhau

1.2 Phân tích thiết kế hệ thống mạng Cisco

Trong suốt 50 năm qua, công việc kinh doanh doanh tiến một bước dài về năng suất và

có lợi thế trong việc cạnh tranh thông qua việc sử dụng truyền thông và công nghệ thông tin Mạng Campus phát triển trong 20 năm qua đã trở thành chìa khóa trong lĩnhvực tin học và cơ sở hạ tầng thông tin Mối tương quan về sự phát triển của doanh nghiệp vàtruyền thông ngày càng đi lên, và môi trường mạng cũng đang trải qua một giai đoạn kháccủa sự phát triển Sự phức tạp của mạng lưới kinh doanh ngày càng tăng, vì vậy đòi hỏi phảitạo ra môi trường mà trong đó phải hoàn thiện hơn mô hình cũ bao gồm các tính năng vàdịch vụ để tạo thành mạng Campus ngày nay

1.2.1 Kiến trúc mạng Cisco Enterprise

1.2.1.1 SONA

a Khái niệm

Kiến trúc mạng định hướng dịch vụ (SONA-Service OrientedNetwork Architecture) của Cisco đã đưa ra nền tảng định hướng cho các doanh nghiệpnhằm phát triển một hệ thống mạng thông tin thông minh(IIN – Intelligent InformationNetwork), cho phép tối ưu hóa các ứng dụng, các nguồn lực và các quy trình kinh doanh

Kiến trúc mạng định hướng dịch vụ của Cisco dựa trên một nguyên tắc cơ bản đó là việcđầu tư một cách đúng đắn vào hệ thống mạng, một hệ thống mạng có thể tăng năng suất,hiệu quả hoạt động, đảm bảo sự vững vàng ổn định trong kinh doanh, giảm thiểu chi phí vàcải thiện mối liên kết, hiệu chỉnh giữa hệ thống công nghệ thông tin với mức độ ưu tiên củacông việc kinh doanh

b Ứng dụng SONA vào thiết kế

Trong SONA, các ứng dụng ở tầng Application được tích hợp trong hạtầng mạng và được đưa vào phần cứng chạy trực tiếp trên cơ sở hạ tầng mạng Các ứngdụng được đẩy xuống hạ tầng tạo thành tầng dịch vụ nằm trên hệ thống mạng, phục vụ trựctiếp cho các ứng dụng mới trên tầng Application như chặn thư rác, CSDL, thư di động, nhậndạng bằng tần số vô tuyến…Những ứng dụng này được chia thành ứng dụng nghiệp vụchuyên ngành và ứng dụng làm việc tương tác

hạ tần cho dịch vụ đã được phát triển tương ứng

c Mô hình kiến trúc SONA

SONA gồm có 3 lớp:

Lớp cơ sở hạ tầng mạng: Lớp này chứa các thành phần chuyển

mạch, định tuyến và các yếu tố để nâng cao hiệu suất bao gồm khả năng bảo mật và độ tincậy Lớp này có nhiệm vụ liên kết các khối chức năng theo kiến trúc phân tầng có trật tự.Bao gồm nền tảng thiết kế mạng (foudational network designs) và các dịch vụ liên quan(related essential services) mà từ đó tạo nên các khối cấu trúc trong cơ sở hạ tầng mạng

Mục đích của tầng này là cung cấp những công nghệ cho việc thiết kế các module mạnghoặc xây dựng theo từng khối cấu trúc để có thể để có thể chuyển giao nhau linh động, bảomật, chất lượng vận hành, có khả năng mở rộng và có khả năng chịu đựng rủi ro.

Hình 1.2: Lớp cơ sở hạ tầng mạng

Lớp dịch vụ tương tác: Lớp này hổ trợ các ứng dụng thiết yếu và các

lớp cơ sở hạ tầng mạng Tiêu chuẩn hóa mạng lưới cơ sở và ảo hóa được sử dụng để chophép bảo mật các dịch vụ thoại với quy mô tốt hơn Một kiến trúc mạng chuẩn có thể đượcnhân đôi và tiếp tục sao chép vào quy mô mạng lưới Bao gồm 2 phần: Transparent Service(dịch vụ trong suốt) và Exposed service (dịch vụ gia tăng)

Transparent services: có thể được dùng trong việc tăng tốc và cải tiến những phương thứccủa các ứng dụng chạy trên mạng Và đây cũng là đặc điểm của loại dịch vụ này.Transparent services hoạt động trên một phương thức là trong suốt (transparent) với cấp ứngdụng và dịch vụ Một số loại transparent services: Dynamic routing, Switching and VLANs,Server load balancing, MPLS và MPLS VPNs, Network Firewalls, Intrusion DetectionSystem (IDS) và Intrusion Prevention System (IPS), Wide Area Application Services(WAAS), XML Firewall,…

Exposed services: đươc thiết kế cho viêc tương tác với mức ứng dụng hệ thống bằng việccung cấp các giao diện có thể truy nhập dưới dạng các API và các giao thức chung Exposedservice có thể cho phép các kỹ sư mạng và các người phát triển hệ thống phần mềm trongdoanh nghiệp được phân chia vào trong các thông tin, trạng thái hoạt động và tình trạng củamạng cho các dịch vụ và các data chưa sẵn sàng hoạt động Những dịch vụ này có thể trả vềthông tin hay dc khởi động và thực thi trong hệ thống mạng này Ngoài ra, còn có thể truycập thẳng tới hệ thống bên ngoài thông qua các public interface Một số dịch vụ sử dụngexposed services: Wireless/mobility location services, Intergrated services router IVRscripting,…

Mục đích lớp này là đưa ra những nguyên tắc để có thể triển khai các ứng dụng Bên cạnh

đó còn có thể tăng tốc và cải tiến các ứng dụng đó

Hình 1.3: Lớp tích hợp dịch vụ

Lớp ứng dụng: Lớp này cho phép các ứng dụng của hệ thống được

thực thi; kết nối 2 mô hình vật lý và mô hình logic để tạo nên một cơ sở hạ tầng mạng.Những ứng dụng này hoạt động như là một “khách hàng” của các dịch vụ mạng (gồmtransparent và exposed) Một vài lớp ứng dụng của hệ thống mà ngày nay sử dụng: UnifiedCommunications Directory Access (with AXL/XML/SOAP); Unified Communication Click– to – Dial; IP Phone Web Services (using XML/HTTP)

Hình 1.4: Lớp ứng dụng

d Lợi ích của SONA

Kiến trúc SONA cung cấp nền tảng, mạng lưới dịch vụ đáp ứng tốtnhu cầu của doanh nghiệp Các tiêu chí:

Khả năng mở rộng: SONA tách chức năng thành các lớp cho phép sự phát triển và mở rộngnhiệm vụ tổ chức Mô đun và các hệ thống phân cấp cho các tài nguyên mạng được thêmvào cho phép tăng cường tối đa

Tình trạng sẵn có: SONA cung cấp các dịch vụ cần thiết từ bất kỳ vị trí trong doanh nghiệp

và vào bất kỳ thời gian nào Hệ thống được xây dựng có tính dự phòng và khả năng phụchồi cao để tránh thời gian down của mạng

Hiệu suất: SONA cung cấp thời gian phản ứng nhanh chóng đáp ứng thông lượng đảm bảochất lượng dịch vụ trên mỗi ứng dụng Hệ thống được cấu hình để tối đa hóa thông lượngcủa ứng dụng(QoS)

Quản lý: SONA cung cấp quản lý cấu hình,giám sát thực hiện và phát hiện lỗi Công cụquản lý mạng được sử dụng để phát hiện và sửa lỗi mạng trước khi ứng dụng bị ảnh hưởng Hiệu quả: SONA cung cấp các dịch vụ mạng với chi phí hợp lý, sử dụng tối đa nguồn lựchiện có làm giảm chi phí đầu tư

1.2.1.2 Thiết kế theo mô hình mạng phân lớp

a Tổng quan

Phương thức thiết kế phân lớp (Hierarchical) ra đời và trở thành mộtkiến trúc phổ biến trong gần chục năm trở lại đây, được áp dụng để thiết kế các hệ thốngmạng với quy mô trung bình cho đến qui mô lớn Phương thức thiết kế này sử dụng các lớp

để đơn giản hóa công việc thiết kế hệ thống mạng Mỗi lớp có thể tập trung vào các chứcnăng cụ thể, cho phép người thiết kế lựa chọn đúng các hệ thống và các tính năng cho mỗilớp

Với một hệ thống mạng được thiết kế có cấu trúc phân lớp nhằm tránh sự phức tạp hóatrong mạng, việc chia ra các lớp nhỏ giúp nhóm những thiết bị, các giao thức kết nối và tínhnăng cụ thể cho từng lớp một, giải quyết các sự cố một cách nhanh nhất liên quan trực tiếptới một lớp nào đó

Cấu trúc hệ thống mạng được thiết kế theo mô hình kiến trúc thiết kế hiện đại với 3 lớpmạng chức năng bao gồm : lớp mạng trục xương sống (Core Network), lớp mạng phân bố(Distribution Network) và lớp mạng truy cập (Access Network).

Hình 1.5: Mô hình phân lớp

Với hệ thống Enrterprise Campus thì cũng được chia ra làm 3 lớp bao gồm: Building Core, Building Distribution, Building Access

Hình 1.6: Enrterprise Campus

Theo cấu trúc trên thì việc phân bố các thiết bị chuyển mạch đa lớp ở ba phân lớp mạngkhác nhau bao gồm các thiết bị chuyển mạch lớp 2 tại lớp truy cập mạng (access network)

và các thiết bị chuyển mạch lớp 2 và 3 tại lớp mạng trục và phân bố (distribution, corenetwork) cung cấp được khả năng hoạt động cao và độ tin cậy trong việc cung cấp dịch vụtrên mạng

Khái niệm mô hình mạng ba lớp dựa trên vai trò của từng lớp đó trong hệ thống mạng , nócũng tương tự khái niệm mô hình mạng OSI chia ra dựa trên vai trò của từng lớp trong việctruyền dữ liệu

b Chức năng của từng lớp

Lớp Core: Có nhiệm vụ chuyển tiếp lưu thông với tốc độ cao nhất, là

một đường trục tốc độ cao và được thiết kế để chuyển các gói tin càng nhanh càng tốt Điềunày rất quan trọng với khả năng kết nối vì cung cấp một mức độ cao sẵn sàng và thích ứngvới những thay đổi rất nhanh chóng

Lớp Distribution: Cung cấp các chính sách liên quan đến các hoạt

động kết nối, là tập hợp các closet dây và sử dụng các thiết bị chuyển mạch để phân nhómcác công việc theo phân đoạn và cô lập các vấn đề trong mạng khu vực

Lớp Access: Cung cấp truy cập cho các User/Workgroup vào mạng

Hình 1.7: Chức năng các lớp

c Các quan điểm

Sử dụng mô hình mạng với cấu trúc phân lớp mang lại sự thuận tiệntrong thiết kế, cụ thể trong triển khai, dể dàng để quản lý và giải quyết sự cố Và cũng đápứng được các yêu cầu về tính mềm dẻo trong hệ thống mạng

Hầu như tất cả các hệ thống mạng được thiết kế theo mô hình mạng 3 lớp Mô hình này đặcbiệt có giá trị khi sử dụng phân cấp giao thức định tuyến và tổng hợp, đặc trưng là OSPF,nhưng nó cũng hữu ích trong việc làm giảm tác động thất bại và những thay đổi trong hệthống mạng

Thiết kế này cũng đơn giản hoá việc triển khai thực hiện và xử lý sự cố, ngoài việc gópphần dự báo và quản lý Những lợi ích này làm tăng thêm rất nhiều chức năng của hệ thống

mạng và sự phù hợp của mô hình này để giải quyết mục tiêu thiết kế mạng Sau đây là mộtcái nhìn sâu hơn về các lợi ích được đề cập đến của mô hình:

 Scalability (khả năng mở rộng) : Được hiển thị trong các mô hình trước đây , khả

năng mở rộng thường bị hạn chế trong thiết kế mạng mà không sử dụng mô hình 3 lớp.Trong khi có thể còn những hạn chế trong mô hình phân cấp, việc tách chức năng trong hệthống cung cấp điểm mở rộng mà không kể các tác độngđến các phần khác của hệ thốngmạng

 Easier implementation (Dễ dàng thực hiện): Bởi vì các mô hình phân chia mạng

thành luận lý và vật lý, nhà thiết kế thấy rằng các mô hình có thể sử dụng để bổ sung Một

sự cố trong hệ thống mạng gây ra cũng không tác động đáng kể đến phần còn lại của hệthống Ngoài ra, các lớp Distribution và Access có thể được càiđặt độc lập Khi các lớpCore và Distribution được hoàn thành, nhà thiết kế có thể di chuyển các mạch được sử dụngcho các kết nối tạm thời, đưa mạng nhỏ vào mạng lớn hơn

 Easier troubleshooting (Dễ dàng xử lý sự cố): Với cách bố trí hợp lý của mô hình,

phân cấp các mạng thường được dễ dàng để khắc phục sự cố hơn các hệ thống mạng khácbằng kích thước và phạm vi Tránh tình trạng những vòng lặp định tuyến để xử lý sự cố vàthiết kế phân cấp thường làm việc để giảm số vòng lặp

 Predictability (Khả năng dự báo): Năng lực lập kế hoạch thường dễ dàng hơn trong

phân cấp mô hình, vì sự cần thiết của năng lực thường tăng lên khi di chuyển dữ liệu tới lớpCore Giống như một cái cây, nơi mà các thân phải thực hiện thêm các chất dinh dưỡng đểnuôi các cành, các lá, lõi liên kết tất cả các phần khác của mạng và do đó phải có đủ nănglực để di chuyển dữ liệu

Ngoài ra, phần core thường kết nối với các trung tâm dữ liệu doanh nghiệp thông qua kết nối tốc độ cao để cung cấp số liệu cho các ngành, các địa điểm từ xa

Manageability (Khả năng quản lý): Phân cấp mạng lưới thiết kế này thường dễ dàng hơn quản

lý vì những lợi ích khác Dự đoán các luồng dữ liệu, khả năng mở rộng, triển khai thực hiện độc lập, và đơn giản xử lý sự cố tất cả các đơn giản hóa việc quản lý mạng

1.2.1.3 Thiết kế theo mô đun

Phương thức thiết kế theo mô đun (Modular) được xem như là phươngthức bổ sung cho phương thức thiết kế Hierarchical Trong một hệ thống mạng qui mô lớn,nói chung sẽ bao gồm nhiều vùng mạng phục vụ các hoạt động và chức năng khác nhau.Việc thiết kế theo mô đun cho một hạ tầng mạng lớn bằng việc tách biệt các vùng mạng vớichức năng khác nhau, cũng đang là một phương pháp thiết kế được sử dụng rộng rãi trongthiết kế hạ tầng mạng cho các doanh nghiệp, các công ty, và các tổ chức lớn (gọi tắt làEnterprise) Phương thức thiết kế Modular có thể được chia làm ba vùng chính, mỗi vùngđược tạo bởi các mô đun mạng nhỏ hơn:

 Enterprise campus: Bao gồm các module được yêu cầu để xây dựngmột mạng

campus đỏi hỏi tính sẵn sàng cao, tính mềm dẻo và linhhoạt

 Enterprise edge: Hội tụ các kết nối từ các thành phần khác nhau tạiphía rìa mạng của

Enterprise Vùng chức năng này sẽ lọc lưu thông từcác module trong Enterprise edge

và gửi chúng vào trong vùngEnterprise campus Enterprise edge bao gồm tất cả cácthành phầnthiết bị để đảm bảo truyền thông hiệu quả và bảo mật giữa Enterprisecampus với các hệ thống bên ngoài, các đối tác, mobile users, và mạngInternet

 Service provider edge: Các module trong vùng này được triển khai bởicác nhà cung

cấp dịch vụ, chứ không thuộc về Enterprise Các moduletrong Service provider edgecho phép truyền thông với các mạng khác sử dụng các công nghệ WAN và các ISPskhác nhau

Hình 1.8: Kiến trúc theo kiểu modular

1.2.1.4 Thiết kế bảo mật cho hệ thống mạng

Phương thức thiết kế bảo mật cho hệ thống mạng được sử dụng là Kiếntrúc an ninh cho các Doanh nghiệp – SAFE (Security Architecture for Enterprise Networks),được xây dựng dựa trên nền tảng các công nghệ an ninh mạng tiên tiến nhất để bảo vệ cáccuộc tấn công từ bên ngoài và bên trong của hệ thống mạng các doanh nghiệp SAFE đemlại sự linh hoạt và khả năng mở rộng cao bao gồm khả năng dự phòng vật lý và cấu hìnhthiết bị khi có sự cố hay bị kẻ xấu tấn công vào hệ thống mạng Khái niệm Module được sửdụng trong SAFE giúp cho việc tổ chức hệ thống an ninh được chặt chẽ và cho phép côngviệc thiết kế triển khai hệ thống an ninh mạng một cách linh hoạt theo từng Module một(Module by Module), trong khi vẫn đảm bảo được yêu cầu theo chính sách an ninh đặt racho từng giai đoạn

Kiến trúc SAFE bao gồm các module sau:

 Corporate Internet Module: Corporate Internet Module tập trung chủ yếu các kết

nối của người dùng bên trong hệ thống mạng (Internal user) truy cập Internet và cáckết nối từ người dùng bên ngoài (Internet user) truy cập vào hệ thống các máy chủPublic Servers của doanh nghiệp như HTTP, FTP, SMTP và DNS Ngoài ra trongModule này còn cung cấp dịch vụ truy cập từ xa bằng công nghệ VPN hay quay sốtruyền thống dial-up

 Campus Module: Campus Module chủ yếu tập trung các máy trạm làm việc, hệ

thống máy chủ và kiến trúc chuyển mạch lớp 2 và lớp 3 Campus Module bao gồmnhiều thành phần hợp nhất thành một Module thống nhất được mô tả bằng mô hình kếtnối tổng quát sau:

Campus Module có cấu trúc thiết kế tương tự mô hình mạng Campus truyền thống vàcũng được chia theo 3 lớp là Core, Distribution và Access Layer Tuy nhiên ở lớp Access

thì Campus Module được phân làm 3 Module bảo vệ gồm Building Module (users),Management Module và Server Module Với sự phân cấp bảo vệ trong Campus Modulegiúp cho việc thiết lập hệ thống an ninh mạng được linh động và độc lập giữa các Module,nhờ vậy công việc tổ chức và quản trị trở nên dễ dàng hơn và giúp cho doanh nghiệp có thể

mở rộng, gia cố và khắc phục các vấn đề an toàn cho hệ thống mạng khi có sự cố xảy ra

 WAN Module: WAN Module chỉ có một kết nối duy nhất đến các mạng khác cách xa

nhau về mặt địa lý thông qua các đường truyền thuê bao riêng Các khả năng có thể bảo vệcác cuộc tấn công vào WAN Module gồm:

o IP spoofing-IP spoofing có  thể được ngăn chặn thông qua Layer 3 filtering

o Unauthorized access - Tránh các truy cập trái phép bằng việc giới hạn và

kiểm soát các kiểu giao thức sử dụng từ chi nhánh kết nối về Trung tâm thôngqua Router

Nguyên lý thiết kế hệ thống mạng bảo mật: An ninh mạng phải được thiết lập dựa trên các

nguyên tắc sau:

 Bảo vệ có chiều sâu (defense in depth): Hệ thống phải được bảo vệ theo chiều sâu,phân thành nhiều tầng và tách thành nhiều lớp khác nhau Mỗi tầng và lớp đó sẽ được thựchiện các chính sách bảo mật hay ngăn chặn khác nhau Mặt khác cũng là để phòng ngừa khimột tầng hay một lớp nào đó bị xâm nhập thì xâm nhập trái phép đó chỉ bó hẹp trong tầnghoặc lớp đó thôi và không thể ảnh hưởng sang các tầng hay lớp khác

 Sử dụng nhiều công nghệ khác nhau: Không nên tin cậy vào chỉ một công nghệ haysản phẩm công nghệ bảo đảm an ninh cho mạng của một hãng nào đó Bởi nếu như sảnphẩm của hãng đó bị hacker tìm ra lỗ hổng thì dễ dàng các sản phẩm tương tự của hãng đótrong mạng cũng sẽ bị xuyên qua và việc phân tầng, phân lớp trong chính sách phòng vệ là

vô nghĩa Vì vậy khi tiến hành phân tầng, tách lớp, nên sử dụng nhiều sản phẩm công nghệcủa nhiều hãng khác nhau để hạn chế nhược điểm trên Đồng thời sử dụng nhiều cộng nghệ

và giải pháp bảo mật kết hợp để tăng cường sức mạnh hệ thống phòng vệ như phối hợpFirewall làm công cụ ngăn chặn trực tiếp, IDS làm công cụ "đánh hơi", phản ứng phòng vệchủ động, Anti-virus để lọc virus v.v

 Các tiêu chuẩn đáp ứng: Các sản phẩm bảo mật phải đáp ứng một số chứng nhận tiêuchuẩn như Common Criteria, ISO/IEC 15408:2005 và ISO/IEC 18405:2005 EAL4, ICSAFirewall và VPN, FIPS-140

1.2.2 Quy trình triển khai PPDIOO

1.2.2.1 Tổng quan

Để thiết kế một hệ thống mạng đáp ứng nhu cầu của khách hàng hay một

tổ chức nào đó thì mục tiêu kỹ thuật và các ràng buộc kỹ thuật phải được xác định.Cisco đã chính thức hoá chu trình sống của một mạng thành 6 giai đoạn: Prepare (chuẩn bị ), Plan (kế hoạch), Design (thiết kế) , Implement (thực hiện) , (Operate) hoạt động và (Optimize) tối ưu hoá

Hình 1.9: Quy trình thiết kế PPDIOO

1.2.2.2 Các giai đoạn cụ thể

 Prepare: giai đoạn này bao gồm việc thiết lập các yêu cầu của cá nhân,

tổ chức , phát triễn một chiến lược mạng, và đề xuất một kiến trúc mạng mới cao cấp hơn,xác định các công nghệ tốt nhất có thể hỗ trợ kiến trúc

 Plan: giai đoạn này liên quan đến việc xác định các yêu cầu mạng

dựatrên các mục tiêu, cơ sở vật chất, nhu cầu của người dùng, từ đó đưara kế hoạch pháttriễn mạng đang có hay làm một mạng mới Việc lên kế hoạch là cần thiết để giúp quản lýcác nhiệm vụ, trách nhiệm, các cột mốc quan trọng và nguồn lực cần thiết để thực hiện thayđổi cho hệthống mạng Các kế hoạch dự án phải phù hợp với phạm vi, chi phí, thông số tàinguyên được thành lập trong các yêu cầu ban đầu

 Design: Trong giai đoạn thiết kế, các chuyên gia thiết kế mạng sẽ phát

triển và trình bày các thiết kế ở mức độ chi tiết mà họ sẽ thực hiện để đáp ứng yêu cầu chocác nhu cầu sử dụng hiện tại cũng như tính sẵn sàng, bảo mật, khả năng mở rộng và hiệusuất của hệ thống mạng

 Implement: Sau khi giai đoạn thiết kế hoàn thành, việc thực hiện

sẽđược triễn khai và tiến hành theo đúng bản thiết kế

 Operate: giai đoạn này là đưa hệ thống vào sử dụng để giám sát

vàkiểm tra tính sẵn sàng, ổn định của hệ thống, có thể thêm hay bớt thiết bị nếu không cầnthiết trong giai đoạn này để giảm chi phí và tối ưu hoá hệ thống

 Optimize: Ở giai đoạn này, hệ thống mạng sẽ được hoàn tất Tuy

nhiên, Cisco tiếp tục làm việc với bạn để xác định và thiết lập các ưu tiên cải tiến hệ thống

Xử lý sự cố, tối ưu hóa hệ thống Trong quátrình PPDIOO, giai đoạn tối ưu hóa có thể đềxuất thiết kế lại mạng mới nếu trong quá trình sử dụng có vấn đề về hệ thống hay phát sinhlỗi hoặc không đáp ứng được nhu cầu

CHƯƠNG II: CÁC CÔNG NGHỆ SỬ DỤNG TRONG HẠ TẦNG MẠNG CHUYỂN MẠCH CỦA DOANH NGHIỆP

trên là rất tốn kém mà lại không thể tận dụng được hết số cổng (port) vốn có của một switch Chính vì lẽ đó, giải pháp VLAN ra đời nhằm giải quyết vấn đề trên một cách đơn giản mà vẫn tiết kiệm được tài nguyên

Hình 2.1 Mô hình VLAN

Như hình vẽ trên ta thấy mỗi tầng của công ty chỉ cần dùng một switch, và switch này

được chia VLAN Các máy tính ở bộ phận kỹ sư (Engineering) thì sẽ được gán vào

VLAN Engineering, các PC ở các bộ phận khác cũng được gán vào các VLAN tương

ứng là Marketing và kế toán (Accounting) Cách làm trên giúp ta có thể tiết kiệm tối đa

số switch phải sử dụng đồng thời tận dụng được hết số cổng (port) sẵn có của switch

2.1.2 Phân loại VLAN

Khi VLAN được cung cấp ở switch lớp Access, thì các đầu cuối người dùng phải

có một vài phương pháp để lấy các thành viên đến nó Có 2 kiểu tồn tại trên Cisco CatalystSwitch đó là:

 VLAN tĩnh (Static VLAN )

 VLAN động (Dynamic VLAN)

 VLAN thoại

2.1.2.1 VLAN tĩnh (Static VLAN)

VLAN này được tạo ra nhờ việc phân chia theo cổng Việc gán các cổngswitch vào một VLAN là đã tạo một VLAN tĩnh Khi các thiết bị khi được kết nối vào mạngthì nó sẽ được kết nối vào VLAN trên cổng mà nó kết nối, nếu người dùng thay đổi cổngkết nối và cần truy cập vào một VLAN nào đó thì người quản trị cần phải khai báo cổng vàoVLAN phù hợp

Hình 2.2: Static VLAN (VLAN tĩnh)

2.1.2.2 VLAN động (Dynamic VLAN)

Đây là dạng VLAN hiếm gặp ngoài thực tế và chúng được tạo nên dựavào việc xác định địa chỉ MAC Với VLAN dạng này thì cần một máy chủ VMPS (VLANManagement Policy Server) để có thể đăng ký các cổng của switch vào các VLAN dựa vàođịa chỉ MAC nguồn của thiết bị gắn vào Tính năng VLAN động sẽ thiết lập VLAN và cácthành viên kết nối vào dựa vào MAC của thiết bị, để xác định thiết bị đó thuộc VLAN nàothì nó sẽ truy vấn cơ sở dữ liệu trên máy chủ VMPS và ấn định cấu hình cổng của node đóvào đúng VLAN

Hình 2.3: Dynamic VLAN

2.1.2.3 VLAN thoại

Như chúng ta đã biết, dữ liệu thoại là loại dữ liệu rất nhạy cảm với độtrễ thế nên ta phải thiết lập một VLAN dành riêng cho thoại để khắc phục vấn đề trên TrênVLAN cho phép chúng ta thiết lập QoS để có thể phân luồng dữ liệu data và voice datastream một cách hiệu quả Nhờ vậy mà chỉ một cổng Ethernet duy nhất được thiết lập chongười dùng có thể có 1 kết nối dành cho thoại và 1 dành cho dữ liệu Kết nối dữ liệu từ PCđến IP-Phone luôn hoạt động ở kiểu truy xuất (mode access), còn từ IP-Phone đến switch sẽ

là một kết nối trung kế (trunk) để dữ liệu thoại có thể tách ra khỏi các dữ liệu khác

Hình 2.4: VLAN thoại

2.1.3 Triển khai VLAN

Để thực thi VLAN, ta phải xem xét số thành viên của VLAN, thông thường sốVLAN sẽ phụ thuộc vào kiểu lưu lượng, kiểu ứng dụng, phân đoạn các nhóm làm việc phổbiến và các yêu cầu quản trị mạng Môt nhân tố quan trong cần xem xét là mối quan hệ giữacác VLAN và kế hoạch sử dụng địa chỉ IP Cisco giới thiệu một sự tương thích 1-1 giữa

VLAN và các mạng con, nghĩa là nếu một mạng con với một mask 24 bit được sử dụng chomột VLAN, như vậy có nhiều nhất 254 thiết bị trong VLAN và các VLAN không mở rộngmiền lớp 2 đến Distribution Switch Trong trường hợp khác, VLAN không đi đến Core củamạng, và khối Switch khác Ý tưởng này giữ cho miền broadcast và lưu lượng không cầnthiết ra khỏi khối Core.

Các VLAN được chia trong khối Switch bằng hai cách cơ bản sau:

 End-to-end VLAN

 Local VLAN

2.1.4.1 End – to – end VLAN

Các End-to-end VLAN cho phép các thiết bị trong một nhóm sử dụngchung tài nguyên Bao gồm các thông số như server lưu trữ, nhóm dự án và các phòng ban.Mục đích của các End-to-end VLAN là duy trì 80% thông lượng trên VLAN hiện thời MộtEnd-to-end VLAN có các đặc điểm sau:

 Các user được nhóm vào các VLAN độc lập về vị trí vật lý nhưng lại phụ thuộc vàonhóm chức năng hoặc nhóm đặc thù công việc

 Tất cả các user trong một VLAN nên có cùng kiểu truyền dữ liệu 80/20 (80% băngthông cho VLAN hiên thời/ 20% băng thông cho các truy cập từ xa)

 Như một user di chuyển trong một khuôn viên mạng, VLAN dành cho user đó khôngnên thay đổi

 Mỗi VLAN có những bảo mật riêng cho từng thành viên

 Như vậy, trong End-to-end VLAN, các user sẽ được nhóm vào thành những nhóm dựatheo chức năng, theo nhóm dự án hoặc theo cách mà những người dùng đó sử dụng tàinguyên mạng

2.1.4.2 Local VLAN

Nhiều hệ thống mạng mà cần có sự di chuyển tới những nơi tập trung tàinguyên, End-to-end VLAn trở nên khó duy trì Những user yêu cầu sử dụng nhiều nguồn tàinguyên khác nhau, nhiều trong số đó không còn ở trong VLAN của chúng nữa Bởi sự thayđổi về địa điểm và cách sử dụng tài nguyên Các VLAN được tạo ra xung quanh các giớihạn địa lý hơn là giới hạn thông thường

Vị trí địa lý có thể rộng như toàn bộ một toà nhà, hoặc cũng có thể nhỏ như một switchtrong một wiring closet Trong một cấu trúc VLAN cục bộ, đó là một cách để tìm ra nguyêntắc 20/80 trong hiệu quả với 80% của thông luợng truy cập từ xa và 20% thông lượng hiệnthời tới user Điều này trái ngược với End-to-end VLAN mặc dù hình thái mạng này userphải đi qua thiết bị lớp 3 để đạt được 80% tài nguyên khai thác Thiết kế này cho phép cungcấp cho một dự định, một phương thức chắc chắn của việc xác nhận tài nguyên

2.1.2.4 Private VLAN

Các kỹ sư có thể thiết kế VLAN với nhiều mục đích Trong nhiềutrường hợp ngày nay, các thiết bị có thể nằm trong cùng một VLAN do cùng chung một vịtrí đặt máy Vấn đề bảo mật là một trong nhưng yếu tố khác trong thiết kế VLAN: các thiết

bị khác nhau trong các VLAN khác nhau không “nghe” broadcast Thêm vào đó, việc chiacác host ra các VLAN khác nhau sẽ dẫn đến yêu cầu dùng routers hoặc các multilayerswitch giữa các subnets và các kiểu thiết bị này thường có thêm nhiều chức năng bảo mật

Trong một vài trường hợp, nhu cầu tăng tính bảo mật bằng cách tách các thiết bị bên trongmột VLAN nhỏ sẽ xung đột với mục đích thiết kế sử dụng các địa chỉ IP sẵn có.

Tính năng private VLAN của Cisco giúp giải quyết vấn đề này Private VLAN cho phépmột switch tách biệt các host như thể các host này trên các VLAN khác nhau trong khi vẫndùng duy nhất một IP subnet Một tình huống phổ biến để triển khai private VLAN là trongphòng data center của các nhà cung cấp dịch vụ Nhà cung cấp dịch vụ có thể cài đặt mộtrouter và một switch Sau đó, SP sẽ gắn các thiết bị từ các khách hàng khác nhau vào cùngmột switch Private VLAN cho phép SP (service provider) dùng một subnet duy nhất cho cảtoà nhà, cho các cổng khác nhau của khách hàng sao cho nó không thể giao tiếp trực tiếptrong khi vẫn hỗ trợ tất cả các khách hàng trong một switch duy nhất

Về mặt ý niệm, một private VLAN bao gồm các đặc điểm sau:

 Các cổng cần giao tiếp với tất cả các thiết bị khác

 Các cổng cần giao tiếp với nhau và với các thiết bị khác, thường là routers

 Các công giao tiếp chỉ với những thiết bị dùng chung

Để hỗ trợ những nhóm port trên, một private VLAN bao gồm primary VLAN và một hoặcnhiều secondary VLAN Các port trong primary VLAN được gọi là promicuous có nghĩa là

nó có thể gửi và nhận frame với bất kỳ port nào khác, kể cả với những port được gán vàosecondary VLAN Các thiết bị được truy cập chung, chẳng hạn như routers hay serverthường được đặt vào trong primary VLAN Các port khác, chẳng hạn như các port củakhách hàng sẽ gắn vào một trong những secondary VLAN Secondary VLAN thường cómột trong hai dạng là community VLAN và isolated VLANs Các kỹ sư sẽ chọn lựa kiểutùy thuộc vào thiết bị có là một phần của tập hợp các cổng cho phép gửi frame vào và ra(community VLAN) Còn kiểu isolated port sẽ không thể truyền đến các port khác ngoàiVLAN

Sự giao tiếp giữa các port:

 Community port : Port này chỉ giao tiếp với chính nó và Promiscuous port

 Promiscuous port: Port này có thể giao tiếp được với 2 loại port kia

 Isolated port : Port này chỉ giao tiếp được với Promiscuous port

2.2 Trunking

2.2.1 Khái niệm

Thuật ngữ Trunking bắt nguồn từ công nghệ Radio và công nghệ điện thoại.Trong công nghệ radio, một đường Trunk là một đường dây truyền thông mà trên đó truyềntải nhiều kênh tín hiệu radio Trong công nghiệp điện thoại, khái niệm thuật ngữ Trunking làkết hợp giữa đường truyền thông điện thoại hoặc các kênh điện thoại giữa hai điểm Mộttrong các điểm có thể là một tổng đài Ngày nay, nguyên lý trunking được chấp nhận sửdụng trong công nghệ mạng chuyển mạch Một đường Trunk là kết nối vật lý và logic giữa

2 switch Trong khuôn khổ môi trường chuyển mạch VLAN, một đường Trunk là một kếtnối point-to-point để hỗ trợ các VLAN trên các switch liên kết với nhau Một đường đượccấu hình Trunk sẽ gộp nhiều liên kết ảo trên một liên kết vật lý để chuyển tín hiệu từ cácVLAN trên các switch với nhau dựa trên một đường cáp vật lý

2.2.2 Hoạt động của trunking

Giao thức Trunking được phát triển để nâng cao hiệu quả quản lý việc lưuchuyển các Frame từ các Vlan khác nhau trên một đường truyền vật lý.Thiết lập các thỏathuận cho việc sắp xếp các Frame vào các cổng được liên kết ở hai đầu đường trunk.

Có 2 kỹ thuật trunking là: Frame Filtering và Frame Tagging:

 Frame Filtering (cơ chế lọc khung): là một kỹ thuật khảo sát các thông tin đặc biệt trênmỗi khung.Cung cấp một cơ chế điều khiển quản trị ở mức cao

 Frame Tagging: phân biệt các Frame và dễ dàng quản lý cũng như phân phát cácFrame nhanh hơn.Các tag được thêm vào trên đường gói tin đi ra vào đường trunk và đượcloại bỏ khi ra khỏi đường trunk Các gói tin có gắng tag không phải là gói tin Broadcast.VLAN trunking hoạt động dựa vào quá trình gọi là VLAN tagging Đây là quá trình màswitch gửi sẽ add một header vào frame trước khi gửi qua đường trunk Header này sẽ mangmột thông tin gọi là VLAN ID Dựa vào VLAN ID, bên switch gửi sẽ cho biết frame đóthuộc VLAN nào và bên nhận sẽ từ đó mà đưa đến đúng vlan là frame cần đến

Hình 2.5: Hoạt động của trunking

Hình trên cho ta một cái nhìn sơ qua về VLAN trunking Như ta thấy, 2 switch có cùng cácvlans, được nối với nhau qua một đường vật lý gọi là đường trunk Ta cũng có thể thấy rằngcác ethernet frame khi đi qua đường trunk sẽ thêm vào một header chứa VLAN ID

2.2.3 Chuẩn trung kế VLAN: ISL và 802.1Q

2.2.3.1 ISL ( Inter – Switch Link )

ISL là giao thức đóng gói frame đặc trưng của Cisco cho kết nối nhiềuswitch Nó được dùng chính trong môi trường Ethernet, chỉ hỗ trợ trên các router và switchcủa Cisco Khi một frame muốn đi qua đường trunk đến switch hay router khác thì ISL sẽthêm 26 byte header và 4 byte trailer vào frame Trong đó VLAN ID chiếm 10 bit, còn phầntrailer là CRC để đảm bảo tính chính xác của dữ liệu

Thông tin thẻ được thêm vào đầu và cuối mỗi frame, nên ISL còn được gọi là đánh thẻ kép.ISL có thể chạy trong môi trường point-to-point, và có thể hỗ trợ tối đa 1024 VLAN (doVLAN ID chiếm 10 bit).

Hình 2.6 biểu diễn frame Ethernet được đóng gói và chuyển tiếp ra liên kết trunk Vì thôngtin thẻ được thêm vào ở đầu và cuối frame nên đôi khi ISL được đề cập như là thẻ đôi Nếumột frame được định trước cho một liên kết truy cập, thì việc đóng gói ISL (cả phần headerlẫn trailer) không được ghi lại vào trong frame trước khi truyền Nó chỉ giữ thông tin ISLcho liên kết trunk và thiết bị có thể hiểu giao thức

Hình 2.6: Chuẩn trung kế ISL

Chú ý: nhận dạng VLAN bằng ISL hoặc đóng gói trunk không còn hỗ trợ tất cả CiscoCatalyst Switch Vì vậy ta nên biết rõ nó và so sánh với phương pháp IEEE 802.1Q

2.2.3.2 IEEE 802.1q (Dot 1q)

Rất lâu sau khi Cisco định nghĩa ISL thì IEEE đã đưa ra chuẩn của mình

để quy định về cách trunking Và hiện nay thì chuẩn 802.1q của IEEE đang được sử dụngrộng rãi, thậm chí một số switch của Cisco đã bỏ việc hỗ trợ ISL 802.1Q không bao quanhframe bằng một header mới mà nó sẽ thêm trực tiếp 4bytes vào frame cũ Như vậy, source -add và dest-add của frame được giữ nguyên không bị thay đổi Và bởi vì đã thêm 4bytesvào frame ban đầu nên sẽ phải tính toán lại FCS Ta có thể hình dung việc chèn thêm 4bytesvào frame cũ như sau:

Hình 2.7: Chuẩn trung kế Dot 1q

2.2.4 So sánh ISL với IEEE 802.1Q

Với phần trình bày trên, ta đã phần nào hình dung ra việc giống và khác nhaugiữa 2 giao thức trunking này Chúng đều dùng để định danh các VLAN nhờ vào VLAN ID.Khác nhau lớn nhất chính là tiêu chuẩn của mỗi giao thức, một là giao thức dành riêng choCisco, một là tiêu chuẩn dùng chung cho mọi thiết bị Phần này sẽ nói thêm về một số điểmgiống và khác nhau của 2 giao thức này:

Cả 2 giao thức đều dùng 12bits để định danh VLAN ID cho nên hỗ trợ cùng một số lượngVLAN như nhau: 4096 VLAN ID được chia thành 2 phần, từ 1-1005 gọi là normal rangeVLANs, còn các giá trị cao hơn 1005 gọi là extended range

Cả 2 đều hỗ trợ STP-Spanning Tree Protocol cho mỗi VLAN STP được sử dụng khi thiết

2.3 Giao thức trung kế VLAN (VLAN trunking protocol – VTP)

2.3.1 Giới thiệu

Trong môi trường mạng Campus thường gồm có nhiều switch kết nối bên trong,nên việc cấu hình và quản lý một số lượng lớn switch, VLAN và VLAN trunk phải đượcđiều khiển ra ngoài nhanh Cisco đã triển khai một phương pháp quản lý VLAN qua mạngCampus đó là VLAN Trunking Protocol – VTP

VTP là một giao thức quảng bá cho phép duy trì cấu hình thống nhất trên một miền quảntrị Sử dụng gói trunk lớp 2 để quản lý sự thêm xóa và đặt tên cho VLAN trong một miềnquản tri nhất định Thông điệp VTP được đóng gói trong frame của ISL hay 802.1Q vàđược truyền trên các đường trunk

Đồng thời, VTP cho phép tập trung thông tin về sự thay đổi từ tất cả các switch trong một

hệ thống mạng Bất kỳ switch nào tham gia vào sự trao đổi VTP đều có thể nhận biết và

sử dụng bất cứ VLAN nào mà VTP quản lý Sau đây ta sẽ nói đến hoạt động của giao thứcVTP

Bảng 2.1: Bảng tóm tắt một số tính năng ở các mode của VTP

2.3.2 Miền VTP

VTP được sắp sếp trong miền quản lý, hoặc khu vực với các nhu cầu thôngthường của VLAN Một switch có thể chỉ thuộc một miền VTP, và chia sẻ thông tin VLANvới các switch khác trong miền Tuy nhiên các switch trong các miền VTP khác nhau khôngchia sẻ thông tin VTP

Các switch trong một miền VTP quảng bá một vài thuộc tính đến các miền lân cận nhưmiền quản lý VTP, số VTP, VLAN, và các tham số đặc trưng của VLAN Khi một VLANđược thêm vào một switch trong một miền quản lý, thì các switch khác được cho biết vềVLAN mới này qua việc quảng bá VTP

Tất cả switch trong một miền đều có thể sẵn sàng nhận lưu lượng trên cổng trunk sử dụngVLAN mới Các chế độ (mode) VTP Để tham gia vào miền quản lý VTP, mỗi switch phảiđược cấu hình để hoạt động ở chế độ nào Chế độ VTP sẽ xác định quá trình chuyển mạch

và quảng bá thông tin VTP như thế nào Ta có các chế độ sau:

 Chế độ Server (Server Mode): các server VTP sẽ điều khiển việc tạo VLAN và thay

đổi miền của nó Tất cả thông tin VTP đều được quảng bá đến các switch trong miền, và cácswitch khác sẽ nhậnđồng thời Mặc định là một switch hoạt động ở chế độ server Chú ý làmiền VTP phải có ít nhất một server để tạo, thay đổi hoặc xóa và truyền thông tin VLAN

Trong chế độ VTP server, có thể tạo (Create) , chỉnh sửa (Modify), và xóa (Delete)VLAN và chỉ định cấu hình khác các thông số, chẳng hạn như VTP sersion và VTP pruning(cắt tỉa), cho toàn bộ miền VTP VTP server quảng bá(broadcast) cấu hình VLAN của họ đểchuyển mạch khác trong cùng một miền VTP và đồng bộ hóa cấu hình VLAN của họ vớicác thiết bị chuyển mạch khác dựa trên các quảng bá đã nhận được trên liên kết trunk VTPserver là chế độ mặc định

 Chế độ Client (Client Mode): chế độ VTP không cho phép người quản trị tạo, thay

đổi hoặc xóa bất cứ VLAN nào thay vì lắng nghe các quảng bá VTP từ các switch khác vàthay đổi cấu hình VLANmột cách thích hợp Đây là chế độ lắng nghe thụ động Các thôngtin VTP được chuyển tiếp ra liên kết trunk đến các switch lân cận trong miền, vì vậy switchcũng hoạt động như là một rờ le VTP (relay)

VTP Client cũng tương tự các VTP server, nhưng không thể tạo, thay đổi, hoặc xóaVLAN trên một Client VTP

 Chế độ transparent (trong suốt): các switch VTP trong suốt không tham gia trong

VTP Ở chế độ trong suốt, một switch không quảng bá cấu hình VLAN của chính nó, vàmột switch không đồng bộ cơ sở dữ liệu VLAN của nó với thông tin quảng bá nhận được.Trong VTP phiên bản 1, switch hoạt động ở chế độ trong suốt không chuyển tiếp thông tinquảng bá VTP nhận được đến các switch khác, trừ khi tên miền và số phiên bản VTP của nókhớp với các switch khác Còn trong phiên bản 2, switch trong suốt chuyển tiếp thông tinquảng bá VTP nhận được ra cổng trunk của nó, và hoạt động như rờ le VTP

VTP transparent chuyển mạch không tham gia vào VTP Một VTP transparent chuyển mạchkhông quảng bá cấu hình VLAN của nó và không đồng bộ hóa cấu hình VLAN của nó dựa

trên các quảng bá nhận được Nhưng transparent chuyển mạch thì chuyển (forward) VTPquảng bá mà nó nhận được ra cổng trunk của nó trong VTP phiên bản 2

Chú ý: switch hoạt động ở chế độ trong suốt có thể tạo và xóa VLAN cục bộ của nó

Tuy nhiên các thay đổi của VLAN không được truyền đến bất cứ switch nào.

2.3.3 Các tiến trình VTP và chỉ số revision

Tiến trình cập nhật của VTP bắt đầu khi người quản trị thêm vào hoặc xóa cấuhình của VLAN trên VTP server Khi cấu hình mới xuất hiện, VTP sẽ tăng giá trị revisionnumber mới Khái niệm chỉ số VTP cho phép các switch biết khi nào có sự thay đổi trong

cơ sở dữ liệu VLAN Khi nhận được một cập nhật VTP, nếu chỉ số VTP trong cập nhậtVTP là cao hơn chỉ số revision number hiện hành, switch sẽ cho rằng có một phiên bản mớicủa cơ sở dữ liệu VLAN

Hình 2.8: Quá trình hoạt động của VTP

Mặc định switch Cisco dùng chế độ server VTP nhưng switch sẽ không gửi các cập nhậtVTP cho đến khi nào nó được cấu hình thông tin về tên miền VTP Ở thời điểm này, serverbắt đầu gửi các cập nhật VTP với các phiên bản cơ sở dữ liệu khác nhau và các chỉ sốrevision number khác nhau khi có thông tin cấu hình cơ sở dữ liệu VLAN thay đổi Tuynhiên, các switch hoạt động chế độ client VTP thật sự không cần phải được cấu hình tênmiền VTP Nếu không được cấu hình, client sẽ giả sử nó sẽ dùng tên miền VTP trong góitin cập nhật VTP đầu tiên mà nó nhận được Tuy nhiên, client vẫn cần phải cấu hình cácchế độ hoạt động VTP Khi cấu hình VTP, để tăng tính dự phòng, các hệ thống mạng dùngtối thiểu hai switch hoạt động chế độ server VTP Trong điều kiện bình thường một sự thayđổi về VLAN có thể chỉ thực hiện trên switch ở chế độ server và các server khác sẽ cập nhật

sự thay đổi này Sau khi cập nhật xong, server VTP sẽ lưu các thông tin các thông tin cấu

hình VLAN thường trực ( ví dụ như trong NVRAM ) trong khi client không lưu thông tinnày.

Việc hỗ trợ nhiều server VTP gây ra một khả năng khác là việc vô tình thay đổi cấu hìnhVLAN của hệ thống mạng Khi một switch hoạt động ở chế độ client VTP hoặc mộttransparent VTP kết nối lần đầu vào một hệ thống mạng thông qua kết nối trung kế, nókhông thể ảnh hưởng đến các cấu hình hiện tại bởi vì các chế độ hoạt động này không thểtạo ra các gói tin cập nhật VTP Tuy nhiên, nếu một switch mới hoạt động ở chế độ VTPserver được gắn vào mạng thông qua một kết nối trung kế, switch đó có khả năng thay đổicấu hình VLAN của các switch khác bằng chính thông tin về VLAN của switch mới Nếuswitch mới có các đặc điểm sau, nó sẽ có thay đổi cấu hình các switch khác:

 Kết nối trung kế

 Switch mới có cùng tên miền VTP

 Chỉ số revision number cao hơn các switch hiện có

 Nếu mật khẩu của miền VTP đã được cấu hình và mật khẩu của switch mới thêm vàogiống với mật khẩu này

Chỉ số revision number và tên miền VTP có thể lấy thông tin qua các phần mềm do thám

Để ngăn ngừa kiểu tấn công DoS dùng VTP, hãy cài đặt mật khẩu cho VTP Mật khẩu nàythường được mã hóa dạng MD5 Ngoài ra, vài nơi triển khai chỉ đơn giản dùng chế độ hoạtđộng của switch là transparent VTP trên tất cả các switch, ngăn ngừa switch khỏi việc lolắng nghe các cập nhật VTP từ các switch khác

2.3.4 Broadcast VTP

Mỗi Cisco switch tham gia vào VTP phải quảng bá số VLAN (chỉ các VLAN từ

1 đến 1005), và các tham số VLAN trên cổng trunk của nó để báo cho các switch khác trongmiền quản lý Quảng bá VTP được gửi theo kiểu muilticast Switch chặn các frame gửi đếnđịa chỉ VTP multicast và xử lý nó Các frame VTP được chuyển tiếp ra ngoài liên kết trunknhư là một trường hợp đặc biệt

Bởi vì tất cả switch trong miền quản lý học sự thay đổi cấu hình VLAN mới, nên mộtVLAN phải được tạo và cấu hình chỉ trên một VTP server trong miền

Mặc định, miền quản lý sử dụng quảng bá không bảo mật (không có mật khẩu) Ta có thểthêm mật khẩu để thiết lập miền ở chế độ bảo mật Mỗi switch trong miền phải được cấuhình với cùng mật khẩu để tất cả switch sử dụng phương pháp mã hóa đúng thông tin thayđổi của VTP

Quá trình quảng bá VTP bắt đầu cấu hình với số lần sửa lại là 0 Khi có sự thay đổi tiếptheo, số này tăng lên trước khi gửi quảng bá ra ngoài Khi swich nhận một quảng bá với sốlần sửa lại lớn hơn số lưu trữ cục bộ thì quảng bá sẽ được ghi đè lên thông tin VLAN, vì vậythêm số 0 này vào rất quan trọng Số lần sửa lại VTP được lưu trữ trong NVRAM và switchkhông được thay đổi Số lần sửa lại này chỉ được khởi tạo là 0 bằng một trong cách sau:

 Thay đổi chế độ VTP của switch thành transparent, và sau đó thay đổi chế độthành server

 Thay đổi miền VTP của switch thành tên không có thực (miền VTP không tồntại) và sau đó thay đổi miền VTP thành tên cũ

 Tắt hay mở chế độ pruning (cắt xén) trên VTP server

Nếu số lần sửa lại VTP không được thiết lập lại 0, thì một server switch mới, phải quảng báVLAN không tồn tại, hoặc đã xóa Nếu số lần sửa lớn hơn lần quảng bá liền trước, thìswitch lắng nghe rồi ghi đè lên toàn bộ sơ sở dữ liệu của VLAN với thông tin trạng tháiVLAN là null hoặc bị xóa Điều này đề cập đến vấn đề đồng bộ VTP

Việc quảng bá có thể bắt đầu khi yêu cầu từ switch (client-mode) muốn học về cơ sở dữ liệuVTP ở thời điểm khởi động, và từ switch (server-mode) khi có sự thay đổi cấu hình VLAN.Việc quảng bá VTP có thể xảy ra trong ba hình thức sau:

 Thông báo tổng kết (Summary Advertisement): các server thuộc miền VTP gửithông báo tổng kết 300s một lần và mỗi khi có sự thay đổi sơ sở dữ liệu của VLAN Thôngtin của thông báo tổng kết gồm có miền quản lý, phiên bản VTP, số lần sửa lại cấu hình,đánh dấu thời gian (timestamp), mã hóa hàm băm MD5, và số tập con của quảng bá đi theo.Đối với sự thay đổi cấu hình VLAN, có một hoặc nhiều tập con quảng bá với nhiều dữ liệucấu hình VLAN riêng biệt trong thông báo tổng kết :

Bảng 2.2: Bảng thông báo tổng kết broadcast VTP

 Thông báo tập hợp con (Subset Advertisement): các server thuộc miền VTPquảng bá tập con sau khi có sự thay đổi cấu hình VLAN Thông báo này gồm có các thayđổi rõ ràng đã được thực thi, như tạo hoặc xóa một VLAN, tạm ngưng hoặc kích hoạt lạimột VLAN, thay đổi tên VLAN, và thay đổi MTU của VLAN (Maximum TransmissionUnit) Thông báo tập con có thể gồm có các thông số VLAN như: trạng thái của VLAN,kiểu VLAN (Ethernet hoặc Token Ring), MTU, chiều dài tên VLAN, số VLAN, giá trị nhậndạng kết hợp với bảo mật SAID (Security Association Identifer), và tên VLAN Các VLANđược ghi vào thông báo tập hợp con một cách tuần tự và riêng lẻ :

Bảng 2.3: Thông báo tập hợp con VTP

 Thông báo yêu cầu từ client: một client VTP yêu cầu thông VLAN như xác lậplại, xóa cở sở dữ liệu của VLAN, và thay đổi thành viên miền VTP, hoặc nghe thông báotổng kết VTP với số lần sửa lại cao hơn số hiện tại Sau thông báo client yêu cầu, thì cácserver đáp ứng bằng thông báo tổng kết và thông báo tập con :

2.3.5 VTP prunning

Như ta đã biết swit ch chuyển tiếp các frame broadcast ra tất cả các port sẵn cótrong miền broadcast, còn các frame multicast thì được chuyển tiếp theo nghĩa thông minhhơn, nhưng cũng cùng một kiểu Khi switch không tìm thấy địa chỉ MAC đích trong bảngchuyển tiếp thì nó phải chuyển frame ra tất cả các port để cố gắng tìm đến đích

Khi chuyển tiếp frame ra tất cả các port trong miền broadcast hoặc VLAN, thì kể cả các portcủa trunk nếu có VLAN Thông thường, trong mạng có một vài switch, các liên kết trunkgiữa các switch và VTP được sử dụng để quản lý việc truyền thông tin VLAN Điều nàylàm cho các liên kết trunk giữa các switch mang lưu lượng từ tất cả VLAN Do đó VTP

pruning sẽ sử dụng hiệu quả băng thông bằng cách giảm bớt việc lưu lương không cần thiết.Các frame broadcast hoặc các frame unicast không xác định trên một VLAN chỉ đượcchuyển tiếp trên liên kết trunk nếu switch nhận trên đầu cuối của trunk có port thuộc VLAN

đó VTP pruning là sự mở rộng trên phiên bản 1 của VTP, sử dụng kiểu message VTP bổsung Khi một Catalyst Switch có một port với một VLAN, thì switch gửi quảng bá đến cácswitch lân cận mà có port hoạt động trên VLAN đó Các lân cận của nó sẽ giữ thông tin này

để giải quyết nếu có lưu lượng tràn từ một VLAN có sử dụng port trunk hay không

2.4 Inter VLAN Routing

VLAN là một trong những công nghệ không thể thiếu trong hệ thống mạng,các ưuđiểm, giá trị mà nó mang lại là rất lớn VLAN ra đời với mục đích chia nhỏ Broadcastdomain thế nhưng lại phát sinh nhu cầu truy xuất dữ liệu giữa các VLAN với nhau thế nênkhái niệm Inter-VLAN Routing ra đời nhằm mục đích định tuyến gói tin giữa các VLANkhác nhau Cisco đưa ra 3 giải pháp định tuyến giữa các VLAN:

 Mỗi VLAN sẽ có một kết nối vật lý đến Router

 Dùng một kết nối vật lý và các kết nối logic đến Router

 Dùng Interface ảo trên Switch Layer 3 để định tuyến gói tin

2.4.1 Dùng nhiều kết nối vật lý

Cách thức định tuyến này thì cần có một Router kết nối đến Switch để có thểđịnh tuyến được các gói tin qua lại giữa các VLAN Mỗi VLAN dùng 1 kết nối vật lý đếnRouter

Hình 2.9: Routing VLAN dùng nhiều liên kết vật lý

Đặc điểm:

 Sử dụng Router để định tuyến

 Mỗi Vlan yêu cầu một cổng trên Router và Switch nên tăng chi phí phần cứng

 Thích hợp với những mạng có ít Vlan

 Băng thông cho mỗi Vlan là lớn nhất vì được dành riêng một đường vật lý

 Tải trên Switch được chia sẻ sang cho Router

 Cấu hình đơn giản, dễ quản trị

2.4.2 Router-On a Stick

Router on a stick là kiến trúc cơ bản nhất trong Inter-vlan-routing.Trong kiếntrúc này Router chỉ đơn giản là kết nối vlan với nhau và chuyển tiếp lưu lượng giữa Intervlan và vlan thích hợp nhằm tạo ra một giao diện vật lý đơn lẻ các tuyến đường giao thônggiữa nhiều vlan trên cùng một mạng.

Hình 2.10: Routing VLAN dùng Router – on a Stick

Đặc điểm:

 Cách này dùng external route processor(bộ xử lý bên ngoài)

 Cần cấu hình Trunk giữa Switch và Router

 Một cổng được chia thành nhiều Interface ảo (subinterface)

 Router không cần có nhiều cổng vật lý, giảm chi phí

 Giảm số cổng trên Switch dùng để kết nối đến Router

 Mở rộng dễ dàng

 Băng thông bị giới hạn vì nhiều Vlan cùng chạy trên một kết nối

 Tăng tải cho Router vì phải xử lý trunking

 Không phải switch nào cũng hỗ trợ trunking(một số switch cũ)

2.4.3 Dùng SVI (Routing on Switch Layer 3)

VLAN chia các broadcast domain trong môi trường mạng LAN Bất cứ khi nàomáy chủ trong một VLAN cần giao tiếp với máy trong một VLAN, thì trafic phải được địnhtuyến giữa chúng Điều này được gọi là inter-VLAN Routing Trên thiết bị chuyển mạchCatalyst, nó được thực hiện bằng cách tạo ra giao diện Layer 3 ( Switch Virtual Interface(SVI))

Những khái niệm được sử dụng cho các switch layer 3 switch chạy Cisco IOS ® ( ví dụ:Catalyst 3560, 3750, Catalyst 4500/4000 Series với Sup II+ hoặc Catalyst 6500/6000 SeriesCisco IOS chạy hệ thống phần mềm) InterVLAN định tuyến trên Catalyst 3550 có yêu cầuphần mềm nhất định để hỗ trợ InterVLAN định tuyến trên Switch Xem bảng dưới đây đểxác định switch có hỗ trợ định tuyến InterVLAN

2.4.4 So sánh giữa việc sử dụng Interface và Subinterface

Hình 2.11: So sánh việc sử dụng interface và subinterface

2.5 Giao thức cây mở rộng ( Spanning tree protocol – STP )

2.5.1 Giao thức cây mở rộng 802.1D – STP

2.5.1.1 Khái niệm

Spanning Tree Protocol (STP) là một giao thức ngăn chặn sự lặp vòng,cho phép các bridge truyền thông với nhau để phát hiện vòng lặp vật lý trong mạng Sau đógiao thức này sẽ định rõ một thuật toán mà bridge có thể tạo ra một topology luận lý chứaloop-free Nói cách khác STP sẽ tạo một cấu trúc cây của free-loop gồm các lá và các nhánhnối toàn bộ mạng lớp 2 đảm bảo mạng có thể hoạt động bình thường

2.5.1.2 Lí do sử dụng STP

Vòng lặp xảy ra trong mạng với nhiều nguyên nhân Hầu hết các nguyênnhân thông thường là kết quả của việc cố gắng tính toán để cung cấp khả năng dự phòng,

trong trường hợp này, một link hoặc switch bị hỏng, các link hoặc switch khác vẫn tiếp

tục hoạt động, tuy nhiên các vòng lặp cũng có thể xảy ra do lỗi Hình 2.12 biểu diễn một

mạng chuyển mạch với các vòng lặp cố ý được dùng để cung cấp khả năng dự phòng nhưthế nào

Hình 2.12: Bridging loop trong mạng

Hai nguyên nhân chính gây ra sự lặp vòng tai hại trong mạng chuyển mạch là do broadcast

và sự sai lệch của bảng bridge.

a Broadcast Loop

Broadcast Loop và vòng lặp lớp 2 là một sự kết hợp nguy hiểm

Hình 2.13 biểu diễn broadcast tạo ra vòng lặp phản hồi (feedback loop).

Hình 2.13: Không có STP, broadcast tạo Feedback loop

Giả sử rằng, không có switch nào chạy STP:

• Bước 1: host A gửi một frame bằng địa chỉ broadcast MAC (FF-FF-FF-FF-FF-FF).

• Bước 2: frame đến cả hai Cat-1 và Cat-2 qua port 1/1

• Bước 3: Cat-1 sẽ đưa frame qua port 1/2.

• Bước 4: frame được truyền đến tất cả các node trên đoạn mạng Ethernet kể cả port 1/2

của Cat-2

• Bước 5: Cat-2 đưa frame này đến port 1/1 của nó.

• Bước 6: một lần nữa, frame xuất hiện port 1/1 của Cat-1.

• Bước 7: Cat-1 sẽ gửi frame này đến port 1/2 lần hai Như vậy tạo thành một vòng lặp ở

đây

Chú ý: frame này cũng tràn qua đoạn mạng Ethernet và tạo thành một vòng lặp theo hướng

ngược lại, feedback loop xảy ra trong cả hai hướng Một kết luận quan trọng nữa trong hình3.2 là bridging loop nguy hiểm hơn nhiều so với routing loop Hình 2.3 mô tả format củamột DIXv2 Ethernet frame

Hình 2.14: Định dạng của một DIXv2 Ethernet frame

DIXv2 Ethernet Frame chỉ chứa 2 địa chỉ MAC, một trường Type và một CRC Trong IPheader chứa trường time-to-live (TTL) được thiết lập tại host gốc và nó sẽ được giảm bớtmỗi khi qua một router Gói sẽ bị loại bỏ nếu TTL = 0, điều này cho phép các router ngănchặn các datagram bị “run-away” Không giống như IP, Ethernet không có trường TTL, vìvậy sau khi một frame bắt đầu bị loop trong mạng thì nó vẫn tiếp tục cho đến khi ai đóngắt một trong các bridge hoặc ngắt một kiên kết

Trong một mạng phức tạp hơn mạng được mô tả trong hình 2.1, 2.2 thì có thể gây rafeedback loop rất nhanh theo tỉ lệ số mũ Vì cứ mỗi frame tràn qua nhiều port của switch,thì tổng số frame tăng nhanh rất nhiều

Ngoài ra cần phải chú ý đến broadcast storm trên các user của host A và B trong hình 2.2.Broadcast được xử lý bởi CPU trong tất cả các thiết bị trên mạng Trong trường hợp này,các PC đều cố xử lý broadcast storm Nếu ta ngắt kết nối một trong số các host từ LAN,thì nó hoạt động trở lại bình thường Tuy nhiên, ngay khi ta kết nối nó trở lại LAN thìbroadcast sẽ sử dụng 100% CPU Nếu ta không xử lý điều này mà vẫn tiếp tục sử dụngmạng, thì sẽ tạo ra vòng lặp vật lý trong VLAN

b Việc sai lệch bảng MAC

Nhiều nhà quản trị switch/bridge đã nhận thức vấn đề cơ bản củabroadcast storm, tuy nhiên ta phải biết rằng thậm chí các unicast frame cũng có thể truyềnmãi trong mạng mà chứa vòng lặp Hình 2.4 mô tả điều này

 Bước 1: host A muốn gửi gói unicast đến host B, tuy nhiên host B đã rời khỏi mạng,

và đúng với bảng bridge của switch không có địa chỉ của host B

 Bước 2: giả sử rằng cả hai switch đều không chạy STP, thì frame đến port 1/1 trên cả

hai switch

 Bước 3: vì host B bị down, nên Cat-1 không có địa chỉ MAC BB-BB-BB-BB-BB-BB

trong bảng bridge, và nó tràn frame qua các port

 Bước 4: Cat-2 nhận được frame trên port 1/2 Có 2 vấn đề xảy ra:

 Bước 5: Cat-2 tràn frame vì nó không học địa chỉ MAC BB-BB-BB-BB-BB-BB, điều

này tạo ra feedback loop và làm down mạng

Cat-2 chú ý rằng, nó chỉ nhận một frame trên port 1/2 với địa chỉ MAC là AA-AA Nó thay đổi địa chỉ MAC của host A trong bảng bridge dẫn đến sai port

AA-AA-AA-AA-Hình 2.15: Frame unicast cũng có thể gây ra Bridging Loop

và làm sai lệnh bảng bridge

Vì frame bị lặp theo hướng ngược lại, nên ta thấy địa chỉ MAC của host A bị lẫn giữa port1/1 và 1/2 Điều này không chỉ làm mạng bị tràn với các gói unicast mà còn sửa sai bảngbridge Như vậy không chỉ có broadcast mới làm hư hại mạng

2.5.1.3 Hoạt động của STP

a Các thông số cơ bản của STP

Việc tính toán Spanning Tree dựa trên hai khái niệm khi tạo ratopology logic chứa free-loop đó là: Bridge ID (B-ID) và chi phí đường đi

 Brigde ID (BID)

BID là một trường có 8 byte, nó gồm có 2 trường con được miêu tả như hình 2.5 sau:

Hình 2.16 : Hai trường của BID

Trong đó: