*User thuộc loại VLAN nào là tuỳ thuộc vào địa chỉ MAC của user đó *Linh hoạt hơn nhưng tăng độ tải lên giao thông mạng và công việc quản trị mạng.. +Dòng giao thông +Loại ứng dụng +Sự q
Trang 1*Kiểm soát giao thông mạng dễ dàng
*Gia tăng khả năng bảo mật
Tất cả các user đ−ợc gắn vào cùng port là cùng một VLAN
Hình 8.1.4
8.1.5 Các loại VLAN
Có 3 loại thành viên VLAN để xác định và kiểm soát việc sử lý các gói dữ liệu: *VLAN theo port
*VLAN theo địa chỉ MAC
*VLAN theo giao thức
Trang 2Hình 8.1.5.1 3 loại thành viên VLAN
*User thuộc loại VLAN nào là tuỳ thuộc vào port kết nối của user đó
*Không cần tìm trong cơ sở dữ liệu khi xác định thành viên VLAN
*Dễ dàng quản lý bằng giao diện đồ hoạ(GUIs) Quản lý thành viên của VLAN theo port cũng dễ dàng và đơn giản
*Bảo mật tối đa giữa các VLAN
*Gói dữ liệu không bị “rò rỉ” sang các miền khác
*Dễ dàng kiểm soát qua mạng
Trang 3Hình 8.1.5.b.Xác định thành viên VLAN theo port
*User thuộc loại VLAN nào là tuỳ thuộc vào địa chỉ MAC của user đó
*Linh hoạt hơn nhưng tăng độ tải lên giao thông mạng và công việc quản trị mạng
*ảnh hưởng đến hiệu suất hoạt động, khả năng mở rộng và khả năng quản trị vì quản lý thành viên của VLAN theo địa chỉ MAC là một việc phức tạp
*Tiến trình xử lý gần giống như các lớp trên
Hình 8.1.5.c Xác định thành viên VLAN theo địa chỉ MAC
Số lượng VLAN trên một switch phụ thuộc vào các yếu tố sau:
Trang 4+Dòng giao thông
+Loại ứng dụng
+Sự quản lý mạng
+Sự phân nhóm
Ngoài ra một yếu tố quan trọng mà chúng ta cần quan tâm là kích thước của switch
và sơ đồ chia địa chỉ IP
Ví dụ: Một mạng sử dụng địa chỉ mạng có 24 bít subnet mask, như vậy mỗi subnet
có tổng cộng 254 địa chỉ host Chúng ta nên sử dụng mối tương quan một- một giữa VLAN và IP subnet Do đó, mỗi VLAN tương ứng với một IP subnet, có tối
đa 254 thiết bị
Thieu hinh ve ko co hinh
Phần header của frame sẽ được đóng gói lại và điều chỉnh để có thêm thông tin về VLAN ID trước khi frame được truyền lên đường truyền kết nối giữa các switch Công việc này gọi là dán nhãn cho frame Sau đó, phần header của frame
được trả lại như cũ trước khi truyền xuống cho thiết bị đích
Có hai phương pháp chủ yếu để dán nhãn frame là Intr – Switch Link(ISL) và 802.1Q.ISL từng được sử dụng phổ biến nhưng bây giờ đang thay thế bởi 802.1Q
Xét ví dụ trên hình 8.1.5.d: Switch lưu riêng từng bảng chuyển mạch tương ứng với mỗi VLAN Switch nhận frame vào từ VLAN nào thì chỉ học địa chỉ nguồn
và tìm địa chỉ đích trong bảng chuyển mạch của VLAN đó Nhờ đó switch bảo đảm chỉ thực hiện chuyển mạch trong cùng một VLAN Bây giờ giả sử máy trạm trong VLAN1 của switch A gửi gói dữ liệu cho máy trạm trong VLAN 1 của switch B Switch A nhận được gói dữ liệu này vào từ port nằm trong VLAN1, do đó nó tìm
địa chỉ đích trong bảng chuyển mạch của VLAN1 Sau đó switch xác định là phải chuyển frame này lên đường backbone Trước khi chuyển frame lên đường
Trang 5backbone thì Switch A sẽ đóng gói lại cho frame, trong đó phần header của frame
có thêm thông tin về VLAN ID cho biết gói dữ liệu này thuộc VLAN1 Công việc này gọi là dán nhãn frame Sau đó Switch B nhận được gói dữ liệu từ đường backbone xuống, dựa vào VLAN ID trong gói, Switch xác định gói dữ liệu này từ VLAN1 nên nó tìm địa chỉ đích trong bảng chuyển mạch của VLAN1 Switch B tìm được port đích của gói dữ liệu Trước khi chuyển gói xuống máy đích, Switch tìm được port đích của gói dữ liệu Trước khi chuyển gói xuống máy đích, Switch
B trả lại định dạng ban đầu của phần header trong gói dữ liệu, hay còn gọi là gỡ nhãn frame
Mô phỏng LAN (LANE – LAN Emulation) làm cho mạng ATM(Asynchronous Transfer Mode) bắt chước giống mạng Ethernet Trong LANE, không có dán nhãn frame mà sử dụng kết nối ảo để biểu thị choVLAN ID
8.2 Cấu hình VLAN
8.2.1 Cấu hình VLAN cơ bản
Trong môi trường chuyển mạch, một máy trạm chỉ nhận được giao thông nào gửi đến nó Nhờ đó, mỗi máy trạm được dành riêng và trọn vẹn băng thông cho
đường truyền và nhận Không giống như hệ thống hus chia sẻ chỉ có một máy trạm
được phép truyền tại một thời điểm, mạng chuyển mạch có thể cho phép nhiều phiên giao dịch cùng một lúc trong một miền quảng bá mà không làm ảnh hưởng
đến các máy trạm khác bên trong cũng như bên ngoài miền quảng bá Ví dụ như trên hình 8.2.1.a, cặp A/B, C/D, E/F có thể đồng thời liên lạc với nhau mà không
ảnh hưởng đến các cặp máy khác
Trang 6Hình 8.2.1.a
Mỗi VLAN có một địa chỉ mạng Lớp 3 riêng: Nhờ đó router có thể chuyển gói giữa các VLAN với nhau
Chúng ta có thể xây dựng VLAN cho mạng từ đầu cuối - đến - đầu cuối hoặc theo giới hạn địa lý
Hình 8.2.1.b VLAN từ đầu cuối- đến - đầu cuối
Một mạng VLAN từ đầu cuối - đến - đầu cuối có các đặc điểm như sau:
*User được phân nhóm vào VLAN hoàn toàn không phụ thuộc vào vị trí vật
lý, chỉ phụ thuộc vào chức năng công việc của nhóm
*Mọi user trong cùng một VLAN đều có chung tỉ lệ giao thông 80/20(80% giao thông trong VLAN, 20% giao thông ra ngoài VLAN)
*Khi user di chuyển trong hệ thống mạng vẫn không thay đổi VLAN của user đó
*Mỗi VLAN có những yêu cầu bảo mật riêng cho mọi thành viên của VLAN
đó
Bắt đầu từ tầng truy cập, port trên switch được cấp xuống cho mỗi user Người sử dụng di chuyển trong toàn bộ hệ thống mạng ở mọi thời điểm nên mỗi switch đều
Trang 7là thành viên của mọi VLAN Switch phải dán nhãn frame khi chuyển frame giữa các switch tầng truy cập với switch phân phối
ISL là giao thức độc quyền của Cisco để dán nhãn cho frame khi truyền frame giữa các switch với nhau và với router CònIEEE802.1Q là một chuẩn để dán nhãn frame Catalyst 2950 không hỗ trợ ISL trunking
Các server hoạt động theo chế độ client/server Do đó các server theo nhóm nên đặt trong cùng VLAN với nhóm user mà server đó phục vụ, như vậy sẽ giữ cho dòng lưu lượng tập trung trong VLAN, giúp tối ưu hoá hoạt động chuyển mạch lớp 2 Router ở tầng trục chính được sử dụng để định tuyến giữa các subnet Toàn bộ hệ thống này có tỉ lệ lưu lượng là 80% lưu lượng trong nội bộ mỗi VLAN, 20% giao thông đi qua router đến các server toàn bộ hệ thống và đi ra internet, WAN
8.2.2 Vlan theo địa lý
VLAN từ đầu cuối - đến - đầu cuối cho phép phân nhóm nguồn tài nguyên
sử dụng, ví dụ như phân nhóm user theo server sử dụng, nhóm dự án và theo phòng ban Mục tiêu của VLAN từ đầu đến cuối - đến - đầu cuối là giữ 80% giao thông trong nội bộ của VLAN
Khi các hệ thống mạng tập đoàn thực hiện tập trung tài nguyên mạng thì VLAN từ đầu cuối - đến - đầu cuối rất khó thực hiện mục tiêu của mình Khi đó user cần phải sử dụng nhiều nguồn tài nguyên khác nhau không nằm trong cùng VLAN với user Chính vì xu hướng sử dụng và phân bố tài nguyên mạng khác đi nên hiện nay VLAN thường được tạo ra theo giới hạn của địa lý
Phạm vi địa lý có thể lớn bằng cả một toà nhà hoặc cũng có thể chỉ nhỏ với một switch Trong cấu trúc VLAN này Tỷ lệ lưu lượng sẽ là 20/80, 20% giao thông trong nội bộ VLAN và 80% giao thông đi ra ngoài VLAN
Điểm này có nghĩa là lưu lượng phải đi qua thiết bị lớp 3 mới đến được 80% nguồn tài nguyên Kiểu thiết kế này cho phép việc truy cập nguồn tài nguyên được thống nhất
Trang 8Hình 8.2.2
8.2.3 Cấu hinh VLAN cố định
VLAN cố định là VLAN được cấu hình theo port trên switch bằng các phần mềm quản lý hoặc cấu hình trực tiếp trên switch Các port đã được gán vào VLAN nào thì nó sẽ giữ nguyên cấu hình VLAN đó cho đến khi được thay đổi bằng lệnh
Đây là cấu trúc VLAN theo địa lý, các user phải đi qua thiết bị lớp 3 mới truy cập 80% tài nguyên mạng Loại VLAN cố định hoạt động tốt trong những mạng có đặc
điểm như sau:
• Sự di chuyển trong mạng được quản lý và kiểm soát
• Có phần mềm quản lý VLAN mạnh để cấu hình port trên switch
• Không dành nhiều tải cho hoạt động duy tri địa chỉ MAC của thiết bị đầu cuối và điều chỉnh bảng địa chỉ
VLAN động thì không phụ thuộc vào port trên switch
Sau đây là các hướng dẫn khi bạn cấu hình VLAN trên Cisco 29xx switch:
• Số lượng VLAN tối đa phụ thuộc vào switch
• VLAN 1 là VLAN mặc định của nhà sản xuất
Trang 9• VLAN 1 là VLAN Ethernet mặc định
• Giao thức phát hiện thiết bị Cisco (Cisco Discovery Protocol – CDP) và giao thức VLAN Trunking (VTP) đều giử gói quảng bá của mình trong VLAN 1
• Địa chỉ IP của Catalyst 29xx mặc định nằm trong miền quảng bá VLAN 1
• Switch phải ở chế độ VTP server để tạo, thêm hoặc xoá VLAN
Việc tạo VLAN trên switch rất đơn giản và rõ ràng Nếu bạn sử dụng switch với cisco IOS, bạn vào chế độ cấu hình VLAN bằng lệnh vlan database ở chế độ EXEC đặc quyền, sau đó bạn tạo VLAN:
Switch # vlan database
Switch (vlan) # vlan vlan_number
Switch (vlan) # exit
Sau khi đã có VLAN trên switch, bước tiếp theo là các bạn gán port vào VLAN:
Switch (config) # interfase fastethernet 0/9
Switch (config-if)#switchport access vlan vlan_number
8.2.4 Kiểm tra cấu hình VLAN
Bạn dùng các lệnh sau để kiểm tra cấu hình VLAN: show vlan, show vlan brief, show vlan id id_number
Bạn nên nhớ 2 điều kiện sau:
• Tất cả các VLAN được tạo ra chỉ bắt đầu được sử dụng khi đã có port được phân cho nó
• Mặc định, tất cả các port ethernet đều nằm trong VLAN 1
Trang 10Hình 8.2.4.a
Hình 8.2.4.b
8.2.5 Lưu cấu hình VLAN
Bạn nên lưu cấu hình VLAN thành một tập tin văn bản để có thể biên tập lại hoặc để dự phòng
Trang 11Bạn có thể lưu cấu hình switch bằng lệnh copy running-config tftp hoặc bằng chức năng ghi lại văn bản (capture text) của HyperTerminal
Hình 8.2.5
8.2.6 Xoá VLAN
Xoá một VLAN trên switch cũng giống như một dòng lệnh xoá trong cấu hình router vậy Đơn giản là bạn tạo VLAN bằng lệnh nào thì bạn dùng dạng đó của câu lệnh đó để xoá VLAN
Khi một VLAN đã bị xoá đi thì tất cả các port của VLAN đó sẽ ở trạng thái không hoạt động nhưng vẫn thuộc về VLAN đã bị xoá cho đến khi nào các port này
được cấu hình sang VLAN khác
Hình 8.2.6 Xoá port 0/9 khỏi VLAN 300
Trang 128.3 Xử lý sự cố VLAN
8.3.1 Giới thiệu chung
Hiện nay VLAN được sử dụng phổ biến Với VLAN, người kỹ sư mạng có thể linh hoạt hơn trong thiết kế và triển khai hệ thống mạng VLAN giúp giới hạn miền quảng bá, gia tăng khả năng bảo mật và phân nhóm theo logic Tuy nhiên, với cơ bản chuyển mạch LAN, sự cố có thể xay ra khi chúng ta triển khai VLAN Trong bài này sẽ cho thấy một vài sự cố có thể xảy ra với VLAN và cung cấp cho các bạn một số công cụ và kỹ thuật sử lý sự cố
Sau khi hoàn tất bài này các bạn có thể thực hiện các việc sau:
• Phân tích hệ thống để tiếp xúc với sự cố của VLAN
• Giải thích các bước xử lý sự cố nói chung trong mạng chuyển mạch
• Mô tả sự cố Spanning – Tree dẫn đến trận bão quảng bá như thế nào
• Sử dụng lệnh show và debug để xử lý sự cố VLAN
8.3.2 Tiến trình xử lý sự cố VLAN
Điều quan trọng là bạn phải phát triển các bước xử lý sự cố trên switch một cách có hệ thống Sau đây là các bước có thể giúp cho bạn xác định sự cố trong mạng chuyển mạch:
1 Kiểm tra các biểu hiện vật lý, như trạng thái LED
2 Bắt đầu từ một cấu hình trên một switch và kiêm tra dần ra
3 Kiểm tra kết nối lớp 1
4 Kiểm tra kết nối lớp 2
5 Xử lý sự cố VLAN xảy ra trên nhiều switch
Khi xay ra sự cố, bạn nên kiểm tra xem đây là một sự cố lặp đi lặp lại hay là
sự cố biệt lập Một số sự cố lặp đi lặp lại có thể là do sự gia tăng của các dịch vụ phục vụ cho máy trạm, làm vượt qua khả năng cấu hình, khả năng đường trunking
và khả năng truy cập tài nguyên trên server
Trang 13Ví dụ: Việc sử dụng các công nghệ web và các ứng dụng truyền thống như truyền tải file, email sẽ làm gia tăng mật độ giao thông làm cho toàn bộ hệ thống
bị trì trệ
Hình 8.3.1
Hiện nay rất nhiều mạng LAN phải đối mặt với mô hình giao thông chưa
được tính trước, là kết quả của sự gia tăng giao thông trong intranet, ít phân nhóm server hơn và tăng sử dụng multicast Nguyên tắc 80/20 với chỉ có 20% giao thông
đi lên các đường trục chính đã trở lên lạc hậu Ngày nay, các trình duyệt web nội
bộ có thể cho phép user xác định và truy cập thông tin ở bất kỳ đâu trong mạng nội
bộ của tập đoàn
Nếu mạng thường xuyên bị nghẽn mạch, quá tải, rớt gói và truyền lại nhiều lần thì nghĩa là có quá nhiều port cho một đương trunk hoặc có quá nhiều yêu cầu truy suất vào các nguồn tài nguyên của toàn hệ thông và các server intranet
Nghẽn mạch cũng có thể do phần lớn giao thông đều được truyền lên đường trục chính, hoặc là do user mở ra nhiều tài nguyên và nhiêu ứng dụng đa phương tiện Trong trường hợp này thị hệ thống mạng nên nâng cấp để đáp ứng nhu cầu phát triển
8.3.3 Ngăn trặn cơn bão quảng bá
Trang 14Trận bão quảng bá xảy ra khi có quá nhiều gói quảng bá được nhận vào trên một port Việc sử lý chuyển mạch các gói này cho hệ thống mạng châm đi Chúng
ta có thể cấu hình cho switch kiểm soát bão trên từng port Mặc định, chế độ kiểm soát bão trên switch bị tắt đi
Để ngăn chặn bão quảng bá, chúng ta đặt một giá trị ngưỡng cho port để huỷ gói dữ liệu và đóng port khi giá trị ngưỡng này bị vướt qua
STP (Spanning - Tree Protocol) có một số sự cố bao gồm trận bão quảng bá, lặp vòng, rớt gói BPDU va gói dữ liệu Chức năng của STP là bảo đảm không có vòng lặp tồn tại trong mạng bằng cách chọn ra một bridge gốc Bridge gốc này là
điểm gốc của cấu trúc hình cây và nơi kiểm soát hoạt động của giao thức STP
Nếu cần phải giảm lượng giao thông BPDU thì bạn sẽ cài đặt giá trị tối đa cho các khoảng thời gian hoạt động của bridge gốc Đặc biệt là bạn nên đặt giá trị tối đa 30 giây cho khoảng thời gian chuyển trạng thái (Forward delay) và thời gian chờ tối đa (max - age) là 40 giây
Một port vật lý trên router hoặc switch có thể là thành viên của một hoặc nhiều cấu trúc hình cây nếu port này kết nối vào đường trunk
Lưu ý: VTP chỉ chạy trên Catalyst switch chứ không chạy trên router
Trên switch kết nối vào router, bạn nên cấu hình cho switch đó chạy ở chế độ VTP transparent cho đến khi nào Cisco hỗ trợ VTP trên router của họ
Giao thức Spanning - Tree được xem là một trong những giao thức lớp 2 quan trọng nhất trên Catalyst switch bằng cách ngăn chặn các vòng luận lý trong mạng chuyển mạch, STP cho phép cấu trúc lớp 2 vẫn có các đường dư để dự phòng
mà không gây ra trân bão quảng bá
