*User thuộc loại VLAN nào là tuỳ thuộc vào địa chỉ MAC của user đó *Linh hoạt hơn nhưng tăng độ tải lên giao thông mạng và công việc quản trị mạng.. Switch nhận frame vào từ VLAN nào thì
Trang 1Hình 8.1.5.1 3 loại thành viên VLAN
*User thuộc loại VLAN nào là tuỳ thuộc vào port kết nối của user đó
*Không cần tìm trong cơ sở dữ liệu khi xác định thành viên VLAN
*Dễ dàng quản lý bằng giao diện đồ hoạ(GUIs) Quản lý thành viên của
VLAN theo port cũng dễ dàng và đơn giản
*Bảo mật tối đa giữa các VLAN
*Gói dữ liệu không bị “rò rỉ” sang các miền khác
*Dễ dàng kiểm soát qua mạng
Trang 2Hình 8.1.5.b.Xác định thành viên VLAN theo port
*User thuộc loại VLAN nào là tuỳ thuộc vào địa chỉ MAC của user đó
*Linh hoạt hơn nhưng tăng độ tải lên giao thông mạng và công việc quản trị
mạng
*ảnh hưởng đến hiệu suất hoạt động, khả năng mở rộng và khả năng quản trị
vì quản lý thành viên của VLAN theo địa chỉ MAC là một việc phức tạp
*Tiến trình xử lý gần giống như các lớp trên
Hình 8.1.5.c Xác định thành viên VLAN theo địa chỉ MAC
Số lượng VLAN trên một switch phụ thuộc vào các yếu tố sau:
Trang 3+Dòng giao thông
+Loại ứng dụng
+Sự quản lý mạng
+Sự phân nhóm
Ngoài ra một yếu tố quan trọng mà chúng ta cần quan tâm là kích thước của switch
và sơ đồ chia địa chỉ IP
Ví dụ: Một mạng sử dụng địa chỉ mạng có 24 bít subnet mask, như vậy mỗi subnet
có tổng cộng 254 địa chỉ host Chúng ta nên sử dụng mối tương quan một- một
giữa VLAN và IP subnet Do đó, mỗi VLAN tương ứng với một IP subnet, có tối
đa 254 thiết bị
Thieu hinh ve ko co hinh
Phần header của frame sẽ được đóng gói lại và điều chỉnh để có thêm thông
tin về VLAN ID trước khi frame được truyền lên đường truyền kết nối giữa các
switch Công việc này gọi là dán nhãn cho frame Sau đó, phần header của frame
được trả lại như cũ trước khi truyền xuống cho thiết bị đích
Có hai phương pháp chủ yếu để dán nhãn frame là Intr – Switch Link(ISL) và
802.1Q.ISL từng được sử dụng phổ biến nhưng bây giờ đang thay thế bởi 802.1Q
Xét ví dụ trên hình 8.1.5.d: Switch lưu riêng từng bảng chuyển mạch tương
ứng với mỗi VLAN Switch nhận frame vào từ VLAN nào thì chỉ học địa chỉ nguồn
và tìm địa chỉ đích trong bảng chuyển mạch của VLAN đó Nhờ đó switch bảo đảm
chỉ thực hiện chuyển mạch trong cùng một VLAN Bây giờ giả sử máy trạm trong
VLAN1 của switch A gửi gói dữ liệu cho máy trạm trong VLAN 1 của switch B
Switch A nhận được gói dữ liệu này vào từ port nằm trong VLAN1, do đó nó tìm
địa chỉ đích trong bảng chuyển mạch của VLAN1 Sau đó switch xác định là phải
chuyển frame này lên đường backbone Trước khi chuyển frame lên đường
Trang 4backbone thì Switch A sẽ đóng gói lại cho frame, trong đó phần header của frame
có thêm thông tin về VLAN ID cho biết gói dữ liệu này thuộc VLAN1 Công việc
này gọi là dán nhãn frame Sau đó Switch B nhận được gói dữ liệu từ đường
backbone xuống, dựa vào VLAN ID trong gói, Switch xác định gói dữ liệu này từ
VLAN1 nên nó tìm địa chỉ đích trong bảng chuyển mạch của VLAN1 Switch B
tìm được port đích của gói dữ liệu Trước khi chuyển gói xuống máy đích, Switch
tìm được port đích của gói dữ liệu Trước khi chuyển gói xuống máy đích, Switch
B trả lại định dạng ban đầu của phần header trong gói dữ liệu, hay còn gọi là gỡ
nhãn frame
Mô phỏng LAN (LANE – LAN Emulation) làm cho mạng ATM(Asynchronous
Transfer Mode) bắt chước giống mạng Ethernet Trong LANE, không có dán nhãn
frame mà sử dụng kết nối ảo để biểu thị choVLAN ID
8.2 Cấu hình VLAN
8.2.1 Cấu hình VLAN cơ bản
Trong môi trường chuyển mạch, một máy trạm chỉ nhận được giao thông nào
gửi đến nó Nhờ đó, mỗi máy trạm được dành riêng và trọn vẹn băng thông cho
đường truyền và nhận Không giống như hệ thống hus chia sẻ chỉ có một máy trạm
được phép truyền tại một thời điểm, mạng chuyển mạch có thể cho phép nhiều
phiên giao dịch cùng một lúc trong một miền quảng bá mà không làm ảnh hưởng
đến các máy trạm khác bên trong cũng như bên ngoài miền quảng bá Ví dụ như
trên hình 8.2.1.a, cặp A/B, C/D, E/F có thể đồng thời liên lạc với nhau mà không
ảnh hưởng đến các cặp máy khác
Trang 5Hình 8.2.1.a
Mỗi VLAN có một địa chỉ mạng Lớp 3 riêng: Nhờ đó router có thể chuyển
gói giữa các VLAN với nhau
Chúng ta có thể xây dựng VLAN cho mạng từ đầu cuối - đến - đầu cuối hoặc theo
giới hạn địa lý
Hình 8.2.1.b VLAN từ đầu cuối- đến - đầu cuối
Một mạng VLAN từ đầu cuối - đến - đầu cuối có các đặc điểm như sau:
*User được phân nhóm vào VLAN hoàn toàn không phụ thuộc vào vị trí vật
lý, chỉ phụ thuộc vào chức năng công việc của nhóm
*Mọi user trong cùng một VLAN đều có chung tỉ lệ giao thông 80/20(80%
giao thông trong VLAN, 20% giao thông ra ngoài VLAN)
*Khi user di chuyển trong hệ thống mạng vẫn không thay đổi VLAN của
user đó
*Mỗi VLAN có những yêu cầu bảo mật riêng cho mọi thành viên của VLAN
đó
Bắt đầu từ tầng truy cập, port trên switch được cấp xuống cho mỗi user Người sử
dụng di chuyển trong toàn bộ hệ thống mạng ở mọi thời điểm nên mỗi switch đều
Trang 6là thành viên của mọi VLAN Switch phải dán nhãn frame khi chuyển frame giữa
các switch tầng truy cập với switch phân phối
ISL là giao thức độc quyền của Cisco để dán nhãn cho frame khi truyền frame giữa
các switch với nhau và với router CònIEEE802.1Q là một chuẩn để dán nhãn
frame Catalyst 2950 không hỗ trợ ISL trunking
Các server hoạt động theo chế độ client/server Do đó các server theo nhóm nên đặt
trong cùng VLAN với nhóm user mà server đó phục vụ, như vậy sẽ giữ cho dòng
lưu lượng tập trung trong VLAN, giúp tối ưu hoá hoạt động chuyển mạch lớp 2
Router ở tầng trục chính được sử dụng để định tuyến giữa các subnet Toàn bộ hệ
thống này có tỉ lệ lưu lượng là 80% lưu lượng trong nội bộ mỗi VLAN, 20% giao
thông đi qua router đến các server toàn bộ hệ thống và đi ra internet, WAN
8.2.2 Vlan theo địa lý
VLAN từ đầu cuối - đến - đầu cuối cho phép phân nhóm nguồn tài nguyên
sử dụng, ví dụ như phân nhóm user theo server sử dụng, nhóm dự án và theo phòng
ban Mục tiêu của VLAN từ đầu đến cuối - đến - đầu cuối là giữ 80% giao thông
trong nội bộ của VLAN
Khi các hệ thống mạng tập đoàn thực hiện tập trung tài nguyên mạng thì
VLAN từ đầu cuối - đến - đầu cuối rất khó thực hiện mục tiêu của mình Khi đó
user cần phải sử dụng nhiều nguồn tài nguyên khác nhau không nằm trong cùng
VLAN với user Chính vì xu hướng sử dụng và phân bố tài nguyên mạng khác đi
nên hiện nay VLAN thường được tạo ra theo giới hạn của địa lý
Phạm vi địa lý có thể lớn bằng cả một toà nhà hoặc cũng có thể chỉ nhỏ với
một switch Trong cấu trúc VLAN này Tỷ lệ lưu lượng sẽ là 20/80, 20% giao
thông trong nội bộ VLAN và 80% giao thông đi ra ngoài VLAN
Điểm này có nghĩa là lưu lượng phải đi qua thiết bị lớp 3 mới đến được 80%
nguồn tài nguyên Kiểu thiết kế này cho phép việc truy cập nguồn tài nguyên được
thống nhất
Trang 7Hình 8.2.2
8.2.3 Cấu hinh VLAN cố định
VLAN cố định là VLAN được cấu hình theo port trên switch bằng các phần
mềm quản lý hoặc cấu hình trực tiếp trên switch Các port đã được gán vào VLAN
nào thì nó sẽ giữ nguyên cấu hình VLAN đó cho đến khi được thay đổi bằng lệnh
Đây là cấu trúc VLAN theo địa lý, các user phải đi qua thiết bị lớp 3 mới truy cập
80% tài nguyên mạng Loại VLAN cố định hoạt động tốt trong những mạng có đặc
điểm như sau:
• Sự di chuyển trong mạng được quản lý và kiểm soát
• Có phần mềm quản lý VLAN mạnh để cấu hình port trên switch
• Không dành nhiều tải cho hoạt động duy tri địa chỉ MAC của thiết bị đầu
cuối và điều chỉnh bảng địa chỉ
VLAN động thì không phụ thuộc vào port trên switch
Sau đây là các hướng dẫn khi bạn cấu hình VLAN trên Cisco 29xx switch:
• Số lượng VLAN tối đa phụ thuộc vào switch
• VLAN 1 là VLAN mặc định của nhà sản xuất
Trang 8• VLAN 1 là VLAN Ethernet mặc định
• Giao thức phát hiện thiết bị Cisco (Cisco Discovery Protocol – CDP) và
giao thức VLAN Trunking (VTP) đều giử gói quảng bá của mình trong VLAN 1
• Địa chỉ IP của Catalyst 29xx mặc định nằm trong miền quảng bá VLAN 1
• Switch phải ở chế độ VTP server để tạo, thêm hoặc xoá VLAN
Việc tạo VLAN trên switch rất đơn giản và rõ ràng Nếu bạn sử dụng switch
với cisco IOS, bạn vào chế độ cấu hình VLAN bằng lệnh vlan database ở chế độ
EXEC đặc quyền, sau đó bạn tạo VLAN:
Switch # vlan database
Switch (vlan) # vlan vlan_number
Switch (vlan) # exit
Sau khi đã có VLAN trên switch, bước tiếp theo là các bạn gán port vào
VLAN:
Switch (config) # interfase fastethernet 0/9
Switch (config-if)#switchport access vlan vlan_number
8.2.4 Kiểm tra cấu hình VLAN
Bạn dùng các lệnh sau để kiểm tra cấu hình VLAN: show vlan, show vlan
brief, show vlan id id_number
Bạn nên nhớ 2 điều kiện sau:
• Tất cả các VLAN được tạo ra chỉ bắt đầu được sử dụng khi đã có port được
phân cho nó
• Mặc định, tất cả các port ethernet đều nằm trong VLAN 1
Trang 9Hình 8.2.4.a
Hình 8.2.4.b
8.2.5 Lưu cấu hình VLAN
Bạn nên lưu cấu hình VLAN thành một tập tin văn bản để có thể biên tập lại
hoặc để dự phòng
Trang 10479
Bạn có thể lưu cấu hình switch bằng lệnh copy running-config tftp hoặc bằng chức năng ghi lại văn bản (capture text) của HyperTerminal
Hình 8.2.5
8.2.6 Xoá VLAN
Xoá một VLAN trên switch cũng giống như một dòng lệnh xoá trong cấu hình router vậy Đơn giản là bạn tạo VLAN bằng lệnh nào thì bạn dùng dạng đó của câu lệnh đó để xoá VLAN
Khi một VLAN đã bị xoá đi thì tất cả các port của VLAN đó sẽ ở trạng thái không hoạt động nhưng vẫn thuộc về VLAN đã bị xoá cho đến khi nào các port này
được cấu hình sang VLAN khác
Hình 8.2.6 Xoá port 0/9 khỏi VLAN 300
