Đồ án tốt nghiệp - Mạng Campus và ứng dụng cho các cơ quan tổ chức, doanh nghiệp

Hạ tầng mạng máy tính là thành phần không thể thiếu trong các tổ chức hay các công ty. Trong điều kiện kinh tế hiện nay hầu hết đa số các tổ chức hay công ty có phạm vi sử dụng bị giới hạn bởi diện tích và mặt bằng đều triển khai xây dựng mạng LAN để phục vụ cho việc quản lý dữ liệu nội bộ cơ quan mình được thuận lợi, đảm bảo tính an toàn dữ liệu cũng như tính bảo mật dữ liệu. Mặt khác mạng LAN còn giúp các nhân viên trong tổ chức hay công ty truy nhập dữ liệu một cách thuận tiện với tốc độ cao. Một điểm thuận lợi nữa là mạng LAN còn giúp cho người quản trị mạng phân quyền sử dụng tài nguyên cho từng đối tượng là người dùng một các rõ rang và thuận tiện giúp cho những người có trách nhiệm lãnh đạo công ty dễ dàng quản lý nhân viên và điều hành công ty. Mạng Campus đáp ứng đầy đủ những yêu cầu trên, vì vậy khi xây dựng và áp dụng cho các cơ quan tổ chức, doanh nghiệp, sẽ giúp người quản trị mạng nội bộ dễ dàng quản lý lỗi và khắc phục sự cố có thể xảy ra trong khi vận hành mạng.

NHIỆM VỤ ĐỒ ÁN TỐT NGHIỆP

Họ và tên sinh viên: Trần Khắc Trung

Khoa: Điện tử - Viễn thông trạm Hiệp hội phân bón

3 Nội dung các phần thuyết minh và tính toán:

4 Các bản vẽ, đồ thị ( ghi rõ các loại và kích thước bản vẽ ):

5 Họ tên giảng viên hướng dẫn: THS Vương Hoàng Nam

6 Ngày giao nhiệm vụ đồ án:

7 Ngày hoàn thành đồ án:

Ngày tháng năm

Sinh viên đã hoàn thành và nộp đồ án tốt nghiệp ngày 19 tháng 10 năm 2011

Cán bộ phản biện

BẢN NHẬN XÉT ĐỒ ÁN TỐT NGHIỆP

Họ và tên sinh viên: Trần Khắc Trung Số hiệu sinh viên: TC066135

Ngành: Điện tử viễn thông Lớp: T5K46

Giảng viên hướng dẫn: THS.Vương Hoàng Nam

Cán bộ phản biện:

1 Nội dung thiết kế tốt nghiệp:

2 Nhận xét của cán bộ phản biện:

Hà Nội, Ngày tháng 10 năm 2011

Cán bộ phản biện

Trước tiên em xin gửi lời cảm ơn chân thành sâu sắc tới các thầy cô giáo trong khoa Điện tử viễn thông trường Đại học Bách khoa Hà Nội đã ruyền đạt cho em nhiều kiến thức, kinh nghiệm quý báu trong quá trình học tập Đặc biệt em xin gửi lời cảm ơn trân thành đến Thầy giáo Vương Hoàng Nam đã tận tình giúp đỡ, trực tiếp chỉ bảo, hướng dẫn em trong suốt quá trình làm đồ án tốt nghiệp Trong thời gian làm việc với cô, em không ngừng tiếp thu thêm nhiều kiến thức bổ ích mà còn học tập được tinh thần làm việc, thái độ nghiên cứu khoa học nghiêm túc, hiệu quả, đây là những điều rất cần thiết cho em trong quá trình công tác sau này.

Sau cùng em xin gửi lời cảm ơn chân thành tới gia đình, bạn bè đồng nghiệp nơi em đang công tác và làm việc đã động viên, đóng góp ý kiến và tạo điều kiện giúp đỡ em trong quá trình học tập, nghiên cứu và hoàn thành

đồ án tốt nghiệp.

Hà Nội, ngày tháng 9 năm 2010

Sinh viên

MỤC LỤC 4

DANH MỤC CÁC HÌNH VẼ 7

DANH MỤC BẢNG BIỂU 7

THÔNG TIN KẾT QUẢ NGHIÊN CỨU 8

TÓM TẮT NỘI DUNG ĐỒ ÁN TỐT NGHIỆP 9

MỞ ĐẦU 10

CHƯƠNG 1: MẠNG CAMPUS 11

1.1 Mạng Campus 11

1.2 Giới thiệu mô hình mạng ba lớp Cisco 12

1.2.1 Lớp Access 13

1.2.2 Lớp Distribution 13

1.2.3 Lớp Core 14

1.3 Mô hình Modular trong thiết kế mạng Campus 14

1.3.1 Khối Switch 16

1.3.2 Khối Core 19

1.3.3 Các khối building khác 23

1.4 Các sản phẩm của Cisco trong mạng Campus 25

CHƯƠNG 2: VLAN, TRUNK, VTP 28

2.1 Mạng LAN ảo (Virtual LAN - VLAN) 28

2.1.1 Các kiểu thành viên của VLAN (VLAN Membership) 29

2.1.2 Triển khai VLAN 30

2.2 VLAN Trunk 32

2.2.1 Nhận dạng các frame VLAN 34

2.2.2 Giao thức trunk động (Dynamic Trunking Protocol - DTP) 37

2.3.2 Các chế độ (mode) VTP 38

2.3.3 Quảng bá VTP 39

2.3.4 Sự lượt bớt (pruning) VTP 42

2.3.5 Gỡ rối (trobleshooting) VTP 44

CHƯƠNG 3: SPANNING TREE PROTOCOL – STP VÀ GIAO THỨC EIGRP 46

3.1 Tổng quan về IEEE 802.1D 46

3.1.1 Spanning Tree là gì và tại sao phải sử dụng nó? 46

3.1.2 Hai khái niệm cơ bản của STP 51

3.1.3 Các bước ra quyết định của STP 53

3.1.4 Sự hội tụ STP ban đầu (Initial STP Convergence) 53

3.1.5 Các trạng thái của STP 60

3.1.6 Bộ định thời gian STP 63

3.1.7 Hai loại BPDU 65

3.1.8 Quá trình thay đổi topology 67

3.2 Các kiểu STP 71

3.2.1 Common Spanning Tree (CSP) 71

3.2.2 Per-VLAN Spanning Tree (PVSP) 71

3.2.3 Per-VLAN Spanning Tree Plus (PVSP+) 72

CHƯƠNG 4: PHẦN MỀM GIẢ LẬP PACKET TRACER 84

CHƯƠNG 5: KIẾN TRÚC MẠNG CHO CÁC CƠ QUAN TỔ CHỨC DOANH NGHIỆP, GIẢI PHÁP CẤU HÌNH VÀ KẾT LUẬN 96

5.1 Kiến trúc mạng 96

5.1.3 Hệ thống bộ chuyển mạch (switch) 97

5.2 Đánh giá hiệu quả của mô hình mạng Campus với mô hình mạng trước đây của các cơ quan tổ chức, doanh nghiệp 97

5.2.1 Mô hình mạng LAN thông thường của các cơ quan tổ chức, doanh nghiệp 98

5.2.2 Mô hình mạng Campus ứng dụng cho các cơ quan tổ chức, doanh nghiệp 98

5.3 Chia IP và chia VLAN cho các cơ quan tổ chức, doanh nghiệp 99

5.3.1 Chia IP 99

5.3.2 Chia VLAN 99

5.4 Mạng Campus ứng dụng cho các cơ quan tổ chức, doanh nghiệp 99

5.4.1 Mô hình mạng ba lớp 99

5.4.1 Vùng DMZ 100

5.5 Các vấn đề gặp phải 100

5.6 Giải pháp đưa ra 101

5.7 Cấu hình thiết bị 101

5.7.1 Cấu hình cơ bản chung cho một Switch 102

5.7.2 Cấu hình về Security và management 102

5.7.3 Thiết lập địa chỉ IP và default gateway cho Switch 102

5.7.4 Thiết lập tốc độ và duplex của cổng 102

5.7.5 Thiết lập dịch vụ HTTP và cổng 102

5.7.6 Thiết lập, quản lý địa chỉ MAC 103

5.7.9 Gán nhiều cổng vào trong vlan cùng một lúc, cấu hình Range 104

5.7.10 Cấu hình Trunk 104

5.7.11 Cấu hình VTP 104

5.7.12 Cấu hình Inter-Vlan trên Router 104

5.7.13 Cấu hình VLAN- Cấu hình VTP 105

5.7.14 Cấu hình bảo mật 109

5.7.15 Định tuyến EIGRP 10 110

5.8 Chạy thử chương trình 111

5.8.1 Kiểm tra VTP- VLAN 111

5.8.2 Ping các PC thuộc các VLAN khác nhau với nhau 112

Sau khi định tuyến xong, cấu hình VLAN xong, gán các cổng vào từng VLAN, ta tiến hành lệnh ping đến các VLAN, ping đến máy chủ 112

KẾT LUẬN 115

TÀI LIỆU THAM KHẢO 115

PHỤ LỤC 115

DANH MỤC CÁC HÌNH VẼ DANH MỤC BẢNG BIỂU

THÔNG TIN KẾT QUẢ NGHIÊN CỨU

1 Thông tin chung

Tên đề tài: Mạng Campus và ứng dụng cho các cơ quan tổ chức, doanh nghiệp Sinh viên thực hiện: Nguyễn Thị Lệ Giang

Lớp: Điện tử viễn thông khoá 1 trạm Hiệp hội phân bón

Thời gian thực hiện: 2010

Thực hiện nghiên mạng các cơ quan tổ chức, doanh nghiệp sau đó tiến hành

vẽ trên phần mềm giả lập Packet Tracer

Cấu hình mô hình mạng các cơ quan tổ chức, doanh nghiệp trên phần mềmgiả lập

4 Kết quả chính đạt được

Hiểu được chức năng của các lớp trong mô hình mạng ba lớp Campus, đồngthời tìm hiểu được các thiết bị cũng như chức năng của từng thiết bị đó trong từnglớp của mô hình mạng ba lớp Campus

Cấu hình thành công và chạy thử đạt kết quả tốt mô hình mạng của các cơquan tổ chức, doanh nghiệp trên mô hình giả lập

TÓM TẮT NỘI DUNG ĐỒ ÁN TỐT NGHIỆP

Nội dung đồ án tốt nghiệp bao gồm:

Phần mở đầu: Giới thiệu đề tài, xác định mục tiêu, nội dung và phạm vi

thực hiện của đồ án tốt nghiệp

Chương 1- Mạng CAMPUS: Giới thiệu tổng quan về mạng Campus và mô

hình mạng ba lớp của Cisco

Chương 2- VLAN-TRUNK-VTP: Giới thiệu về VLAN, TRUNK, VTP

Chương 4- Phần mềm giả lập Packet Tracer: Giới thiệu về phần mềm giả

lập Packet Tracer

Chương 5- Kiến trúc mạng các cơ quan tổ chức, doanh nghiệp: Giới

thiệu về mạng của các cơ quan tổ chức, doanh nghiệp và các vấn đề đặt ra cho mạngcủa các cơ quan tổ chức, doanh nghiệp

Chương 6- Giải pháp cấu hình và kết luận: Nêu nên những giải pháp để

cấu hình thiết bị đồng thời cũng đưa ra những kết luận về mô hình mạng đạt được

Phụ lục: Giải thích thuật ngữ chuyên ngành

Mạng Campus đáp ứng đầy đủ những yêu cầu trên, vì vậy khi xây dựng và

áp dụng cho các cơ quan tổ chức, doanh nghiệp, sẽ giúp người quản trị mạng nội bộ

dễ dàng quản lý lỗi và khắc phục sự cố có thể xảy ra trong khi vận hành mạng

CHƯƠNG 1 MẠNG CAMPUS

1.1 Mạng Campus

Lịch sử của mạng máy tính thường xuyên dao động, từ các mạng ban đầuđược thiết kế để cung cấp truy cập đến tổng đài, chia sẻ tài nguyên trên máy tính lớn(mainframe), rồi đến kiến trúc mạng phân tán năm 1990 Nhưng máy tính lớn vẫnkhông bị loại bỏ, nó được dùng cho một vài nhiệm vụ xử lý bó (batch processing)trong ngân hàng và các công ty bảo hiểm Các máy chủ NetWave hay NT vẫn kếthừa như là một máy chủ file/print và sớm chạy hầu hết các chương trình và ứngdụng khác Mạng được phát triển để đạt đến công nghệ đơn giản nhất, rẻ nhất và có độtin cậy nhất, để thiết lập và duy trì kết nối đến các nguồn tài nguyên

Cách đây 20 năm, ta đã chứng kiến sự ra đời của mạng LAN, sự phát triển củamạng WAN và Internet Internet thay đổi cuộc sống chúng ta hằng ngày, với sự giatăng số lượng của các dịch vụ giao dịch trực tuyến, giáo dục, và giải trí, điều nàythúc đẩy con người tìm ra các phương pháp mới để truyền thông với nhau

Liên mạng (internetworking) là sự truyền thông giữa một hay nhiều mạng,gồm có nhiều máy tính kết nối lại với nhau Internetwork ngày càng lớn mạnh để

hỗ trợ cho các nhu cầu truyền thông khác nhau của hệ thống đầu cuối Mộtinternetwork đòi hỏi nhiều giao thức và tính năng để cho phép sự mở rộng đồng thời

nó được điều khiển mà không có sự can thiệp bằng tay Các internetwork lớn gồm

có 3 thành phần như sau:

• Mạng Campus: gồm có các user kết nối cục bộ trong một hay một nhómcác tòa nhà

• Mạng WAN: kết nối các mạng Campus lại với nhau

• Kết nối từ xa: liên kết các nhánh phòng làm việc và các user đơn lẻ tớimạng Campus hay Internet

Thiết kế một internetwork là một công việc thử thách năng lực đối với ngườithiết kế Để thiết kế một internetwork có độ tin cậy và có tính mở rộng, thì người thiết

kế phải hiểu rõ về ba thành phần quan trọng của một internetwork có những đòi hỏithiết kế khác nhau Một internetwork gồm có 50 node định tuyến mắt lưới có thể đemlại vấn đề phức tạp, dẫn đến kết quả không thể đoán trước được Sự cố gắng tối ưu tính

năng hàng ngàn các node của internetwork thậm chí đem lại vấn đề phức tạp nhiềuhơn

Trong các năm 1990, mạng Campus truyền thống bắt đầu là một mạng LAN

và lớn dần cho đến khi cần phân đoạn mạng để duy trì khả năng hoạt động củamạng Trong thời đại mở rộng nhanh chóng, thời gian đáp ứng là lý do thứ hai để tạo

sự chắc chắn cho các chức năng của mạng Bên cạnh đó, phần lớn các ứng dụng phảiđược lưu trữ và chuyển tiếp như email, và có một điều cần thiết nữa là chất lượng cácdịch vụ tùy chọn

Bằng cách nhìn lại các công nghệ truyền thống, ta sẽ thấy tại sao duy trì hoạtđộng mạng lại là một thách thức Các mạng Campus điển hình chạy trên 10BaseT,10Base2 (ThinNet) và kết quả là miền đụng độ trong mạng lớn (chưa nói đến miềnbroadcast cũng lớn) Mặc dù có những giới hạn này, nhưng Ethernet vẫn được dùng vì

nó có tính mở rộng, tính hiệu quả và không đắt so với các tùy chọn khác (như TokenRing) ARCnet được dùng trong một vài mạng, nhưng Ethernet và ARCnet khôngtương thích với nhau nên mạng trở thành hai thực thể riêng biệt Ethernet trở thànhthứ chính, trong khi ARCnet trở thành thứ yếu

Mạng Campus có thể dễ dàng mở rộng thành nhiều building, và việc sử dụngbridge để kết nối các buiding cũng làm giảm miền đụng độ, nhưng miền broadcastvẫn lớn Ngày càng có nhiều user nối vào hub làm cho mạng hoạt động vô cùngchậm

1.2 Giới thiệu mô hình mạng ba lớp Cisco

Cisco đưa ra mô hình thiết kế mạng cho phép người thiết kế tạo một mạngluận lý bằng cách định nghĩa và sử dụng các lớp của thiết bị mang lại tính hiệu quả,tính thông minh, tính mở rộng và quản lý dễ dàng

Mô hình mạng ba lớp được biểu diễn trong hình 1.1:

Hình 1.1

Mô hình này gồm có ba lớp: Access, Distribution, và Core Mỗi lớp có cácthuộc tính riêng để cung cấp cả chức năng vật lý lẫn logic ở mỗi điểm thích hợptrong mạng Campus

• Mở rộng các uplink đến các lớp cao hơn

• Chức năng truy cập của người dùng như là thành viên VLAN, lọc lưulượng và giao thức, và QoS

• Tính co dãn thông qua nhiều uplink

1.2.2 Lớp Distribution

Lớp Distribution cung cấp kết nối bên trong giữa lớp Access và lớp Core củamạng Campus Thiết bị lớp này được gọi là các switch phân phối, và có các đặcđiểm như sau:

• Thông lượng lớp ba cao đối với việc xử lý gói

• Chức năng bảo mật và kết nối dựa trên chính sách qua danh sách truy cậphoặc lọc gói

• Thông lượng ở lớp 2 hoặc lớp 3 rất cao

• Chi phí cao

• Có khả năng dự phòng và tính co dãn cao

• Chức năng QoS

1.3 Mô hình Modular trong thiết kế mạng Campus

Ta có thể thiết kế một mạng Campus trong kiểu logic, sử dụng phương phápmodular Trong phương pháp này, mỗi lớp của mô hình mạng phân cấp là đơn vịchức năng cơ bản (module) Các module này được sắp xếp theo kích cỡ thích hợp vàkết nối với nhau, và nó cho phép tính co dãn và mở rộng trong tương lai

Ta có thể chia mạng Campus thành các phần cơ bản sau:

• Khối chuyển mạch (switch): là một nhóm các switch thuộc lớp Access vàlớp Distribution

• Khối lõi (core): là backbone của mạng Campus

Các khối liên quan khác có thể tồn tại mặc dù nó không góp phần vào toàn

bộ chức năng của mạng Campus, nhưng nó được thiết kế tách biệt và thêm vào thiết

• Khối nhà cung cấp dịch vụ biên (Service Provider Edge): các dịch vụmạng ở bên ngoài được sử dụng bởi mạng Enterprise, đó là các dịch vụ với cácgiao tiếp khối enterpride biên Tập hợp các khối trên được gọi là mô hình mạng tổnghợp Enterprise

Hình 1.2 biểu diễn một Modular thiết kế Campus Chú ý một điều là mỗibuilding được giới hạn trong một khu vực và được kết nối đến khối Core

Hình 1.2

1.3.1 Khối Switch

Như ta đã biết mạng Campus được chia thành 3 lớp (lớp Access, Distribution,

và Core), khối Switch chứa các thiết bị chuyển mạch từ lớp Access và lớpDistribution, sau đó tất cả các khối switch được kết nối vào trong khối Core đểcung cấp kết nối end-to-end xuyên suốt mạng Campus

Khối Switch chứa hỗn hợp các chức năng của lớp 2 và lớp 3 vì nó chứa cáclớp Access và Distribution Các chuyển mạch lớp 2 được đặt trong phòng dây cápđiện (lớp Access) để kết nối người dùng đầu cuối đến mạng Campus Với tỉ lệ mộtngười dùng đầu cuối trên một port của switch thì mỗi user nhận được băng thôngriêng biệt

Mỗi switch của lớp Access sẽ kết nối đến thiết bị trong lớp Distribution Ởđây, chức năng lớp 2 là vận chuyển dữ liệu giữa tất cả các switch truy cập đến điểm kếtnối trung tâm Chức năng lớp 3 cũng được cung cấp trong cách thức định tuyến vàcác dịch vụ mạng khác (bảo mật, QoS,…) Vì vậy, thiết bị của lớp Distribution làmột chuyển mạch đa lớp

Lớp Distribution cũng bảo vệ khối Switch khỏi các lỗi nào đó, ví dụ như việcbroadcast sẽ không được truyền đến các khối Switch khác và khối Core

Các switch lớp Acces có thể hỗ trợ VLAN bằng cách gán các port để đánh sốVLAN rõ ràng Vì vậy, các trạm kết nối đến các port được cấu hình cho cùng mộtVLAN có thể cùng thuộc một mạng con lớp 3 Tuy nhiên, điều đáng quan tâm là mộtVLAN có thể hỗ trợ nhiều mạng con.Vì switch cấu hình dựa vào port cho VLAN(không phải là địa chỉ mạng), nên bất cứ trạm nào nối vào một port đều thuộc miềnđịa chỉ mạng Chức năng của VLAN cũng giống như môi trường truyền của truyềnthống, và cho phép bất kỳ địa chỉ mạng kết nối đến

Trong mô hình thiết kế mạng, ta không nên kéo dài các VLAN đến cácswitch Distribution ở xa Lớp Distribution luôn là đường biên của các VLAN,mạng con và broadcast Mặc dù các switch lớp 2 có thể kéo dài VLAN đến cácswitch khác ở xa, nhưng nó sẽ hoạt động không tốt Lưu lượng VLAN không đi quakhối Core của mạng

Kích thước của khối Switch

Ta nên xem xét một vài yếu tố quyết định kích thước thích hợp cho khốiSwitch Phạm vi của các switch trong khối Switch có kích cỡ rất linh động Ở lớpAccess, sự lựa chọn switch thường dựa trên mật độ port hoặc số user được kết nối.Còn ở lớp Distribution phụ thuộc số switch của lớp Access Các nhân tố phải đượcxem xét là:

• Kiểu lưu lượng

• Tổng dung lượng chuyển mạch lớp 3 tại lớp Distribution

• Số người được kết nối đến switch của lớp Access

• Ranh giới địa lý của mạng con hoặc VLAN

• Kích thước của miền Spanning Tree

Việc thiết kế một khối Switch chỉ dựa vào số người dùng hoặc số trạmchứa trong khối thường không đúng lắm Thông thường không quá 2000 userđược đặt bên trong một khối Switch Tuy nhiên việc ước lượng kích thước ban đầucũng đem lại nhiều lợi ích vì vậy ta phải dựa vào các yếu tố sau:

• Loại lưu lượng và hoạt động của nó

• Kích thước và số lượng của các nhóm làm việc (workgroup)

Dựa vào tính chất hoạt động của mạng, mà ta định kích thước khối Switchquá lớn sẽ không thể giữ được tải trên nó Ngoài ra, số lượng người dùng và các ứngdụng trên mạng cũng tăng theo thời gian, do đó việc thay đổi kích thước khốiSwitch là cần thiết Mặt khác, ta cũng dựa vào luồng lưu lượng thực tế và kiểu lưulượng xuất hiện trong khối Switch để có thể ước lượng, mô hình hóa, hoặc đo lườngcác tham số này bằng các ứng dụng và các công cụ phân tích mạng

Thông thường, một khối switch quá lớn sẽ xảy ra các sự kiện sau:

• Các router (chuyển mạch đa lớp) ở lớp Distribution bị nghẽn cổ chai Sự tắtnghẽn này do lượng lưu lượng bên trong VLAN cần CPU xử lý nhiều hoặc số lầnchuyển mạch được yêu cầu bởi chính sách và chức năng bảo mật (danh sách truycập, hàng đợi…)

• Lưu lượng broadcast và multicast làm chậm chuyển mạch trong khốiSwitch do việc tạo bản sao và chuyển tiếp qua nhiều port Điều này đòi hỏi các xử

lý ban đầu trong chuyển mạch đa lớp, và nó sẽ trở nên quá tải nếu xuất hiện một lượnglưu lượng đáng kể Các switch ở lớp Acces có thể có nhiều hơn một kết nối dự phòngđến các thiết bị của lớp Distribution để cung cấp một môi trường chịu lỗi nếu liên kếtđầu tiên bị hỏng Thật vậy, vì lớp Dictribution sử dụng các thiết bị lớp 3, nên lưu lượng

có thể được cân bằng tải trên cả kết nối dự phòng

Thông thường ta có thể cung cấp hai switch trong khối Distribution để dựphòng, với mỗi switch lớp Acces kết nối đến hai switch này Sau đó, mỗi switch lớp 3

có thể cân bằng tải trên kết nối dự phòng đến lớp Core bằng việc sử dung giao thức

định tuyến Hình 1.3 biểu diễn khối Switch, ở lớp 3 có hai switch dự phòng dùngcho việc cân bằng tải

Hình 1.3

1.3.2 Khối Core

Một khối core được yêu cầu để kết nối hai hoặc nhiều hơn các khối switchtrong mạng Campus Bởi vì lưu lượng từ tất cả các khối Switch, các khối ServerFarm, và khối Enterprise biên phải đi qua khối Core, nên khối Core phải có khả năng

và tính đàn hồi chấp nhận được Core là khái niệm cơ bản trong mạng Campus, và nómang nhiều lưu lượng hơn các khối khác

Khối Core có thể sử dụng bất cứ công nghệ nào (Framrelay, cell, hoặcpacket) để truyền dữ liệu trong mạng Campus Nhiều mạng Campus sử dụng Gigabithoặc 10 Gigabit Ethernet trong khối core Ta cần phải xem lại chiều dài khốiEthernet Core

Như chúng ta đã biết, cả hai lớp Distribution và Core đều cung cấp các chứcnăng lớp 3 Các mạng con IP đều kết nối đến tất cả các switch của Distribution vàCore Ta phải sử dụng ít nhất hai mạng con để cung cấp tính co dãn và cân bằngtải trong Core Mặc dù ta có thể sử dụng VLAN nhưng VLAN ở lớp Distribution,thì được định tuyến bên trong Core

Khối Core gồm có một switch đa lớp, để nhận hai liên kết dự phòng từswitch của lớp Distribution Do tính quan trọng của khối Core trong mạng Campusnên ta phải thực thi hai hoặc nhiều switch giống nhau trong Core để dự phòng

Các liên kết giữa các lớp cũng được thiết kế để mang ít nhất một lượng tải từlớp Distribution Các lien kết giữa các switch của khối Core trong cùng một mạng conphải có đủ kích cỡ để mang lưu lượng tổng hợp vào switch của Core Ta coi như làtận dụng liên kết trung bình nhưng nó phải cho phép sự phát triển trong tương lai.Một Ethernet Core cho phép nâng cấp đơn giản và có tính leo thang, ví dụ như sự pháttriển từ Etherne -> Fast Ethernet -> Fast EtherChannel ->Gigabit Ethernet -> GigabitEtherChannel…Hai khối Core cơ bản được thiết kế là:

Hình 1.4Hình 1.4 biểu diễn khối Collapsed Core, mặc dù chức năng của lớp Distribution

và Core được thực hiện trong cùng một thiết bị, nhưng điều quan trọng là nó vẫn giữcác chức năng này một cách riêng biệt và được thiết kế đúng cách Chú ý là khốiCollapsed Core phụ thuộc khối building, nhưng nó được kết hợp vào trong lớpDistribution của khối Switch độc lập

Trong khối Collapsed Core, mỗi switch lớp Access có một liên kết dự phòngđến mỗi switch của lớp Distributon và Core Tất cả các mạng con lớp 3 có trong lớpAccess đều được giới hạn tại các port lớp 3 của switch trong lớp Distribution,giống như khối Switch Các switch của lớp Distribution và Core kết nối với nhaubằng một hoặc nhiều liên kết để dự phòng

Kết nối giữa các switch của lớp Distribution và Core sử dụng các kết nối lớp

3 Các switch lớp 3 định tuyến lưu lượng ngay lập tức đến tới các switch khác.Trong hình 1.3c chú ý vị trí của VLAN Avà B là thuộc các switch của lớp Access.Các VLAN bị giới hạn ở đó vì lớp Distribution sử dụng switch lớp 3 nên sẽ làm giảmmiền broadcast, loại bỏ được khả năng lặp của cầu nối lớp 2 và cung cấp sự vượt lỗinhanh nếu một kết nối bị lỗi

Dual Core

Một Dual Core kết nối hai hay nhiều khối Switch để dự phòng, nhưng khốiCore không thể có tính mở rộng khi có nhiều khối Switch được thêm vào

Hình 1.5 Hình 1.5 minh họa khối Dual Core Chú ý rằng khối Core này xuất hiện như

là một module độc lậpvà không được ghép vào trong bất kỳ khối hoặc lớp nào

Trước đây, khối Dual Core thường được dùng xây dựng với switch lớp 2 đểcung cấp thông lượng đơn giản nhất và hiệu quả nhất Còn chuyển mạch lớp 3được cung cấp trong lớp Distribution Hiện nay, chuyển mạch đa lớp đã mang lại lợiích và cung cấp hoạt động chuyển mạch cao Việc xây dựng Dual Core với chuyểnmạch đa lớp được đề nghị và có thể thực hiện được Dual core sử dụng hai switchgiống nhau để dự phòng Các liên kết dự phòng kết nối lớp Distribution của khốiSwitch đến từng switch của Dual Core Hai switch của khối Core kết nối bởi một liênkết Trong Core lớp 2, các switch không được kết nối để tránh sự lặp vòng trong cầunối Một Core lớp 3 sử dụng cho định tuyến hơn là cầu nối, vì sự lặp vòng cầu nốikhông xảy ra

Trong Dual Core, mỗi switch của Distribution có hai con đường với chi phíbằng nhau, cho phép sử dụng đồng thời cùng một lúc băng thông sẵn có của cả haicon đường Nếu một switch bị lỗi, thì giao thức định tuyến sẽ định tuyến lại lưulượng, sử dụng con đường khác qua switch dự phòng còn lại

Kích thước của khối Core trong mạng Campus

Dual Core là khối các switch dự phòng được lắp ghép với nhau, được giới hạn

và biệt lập bởi các thiết bị lớp 3 Các giao thức định tuyến xác định các con đường

và duy trì hoạt động của khối Core Đối với bất kỳ mạng nào, ta cũng phải chú ýđến việc thiết kế router và các giao thức định tuyến trong mạng Bởi vì các giaothức định tuyến truyền bá cập nhật thông lượng mạng, nên hình trạng mạng phải chiu

sự thay đổi Kích thước mạng (số lượng router) sẽ ảnh hưởng đến hoạt động của giaothức định tuyến vì sự cập nhật được thay đổi

Hình 1.3d biểu diễn mạng nhỏ với hai khối Switch chứa hai switch chuyểnmạch lớp 3 (xử lý định tuyến bên trong switch của lớp Distribution), còn đối vớimạng Campus lớn, có thể có nhiều khối Switch kết nối đến khối Core Nếu ta xemmỗi switch đa lớp là một router, thì ta nhớ lại rằng, mỗi bộ xử lý định tuyến sẽ giữcác thông tin truyền thông với các kết nối trực tiếp ngang cấp với nó Thực tế, hầuhết các giao thức định tuyến đều giới hạn số router ngang cấp, mà kết nối trực tiếptrên liên kết point-to-point hoặc kết nối multicast Trong một mạng với số lượngkhối Switch lớn, thì số kết nối router khá lớn Ta không nên đề cập quá nhiềuswitch của Distribution, bởi vì số lượng thực tế của các kết nối ngang cấp trực tiếpthì khá nhỏ, không quan tâm đến kích thước mạng Campus Các VLAN của lớpAccess sẽ giới hạn ở các switch của lớp Distribution Chỉ các router ngang cấp ở

biên là một cặp switch Distribution, cung cấp dự phòng cho mỗi mạng con VLANcủa lớp Access Ở biên của lớp Distribution và Core, mỗi switch của Distributionchỉ kết nối đến hai switch của khối Core trên giao tiếp của switch lớp 3 Vì vậy, chỉthiết lập một cặp router ngang cấp

Khi các switch đa lớp được sử dụng trong lớp Distribution và Core, thì cácgiao thức định tuyến sẽ chạy trên mỗi cặp liên kết dự phòng giữa các con đường vớichi phí bằng nhau của cả hai lớp Lưu lượng được định tuyến qua cả hai liên kết đểchia sẻ tải và tận dụng băng thông của cả hai liên kết này

Một điểm cuối cùng của việc thiết kế lớp Core là tính co dãn của các switchtrong khối Core phải thỏa mãn tải lưu lượng đi vào Ở một mức độ nhỏ nhất, mỗiswitch của khối core phải điều khiển được liên kết đi vào lớp Distribution với côngsuất 100%

1.3.3 Các khối building khác

Các tài nguyên khác trong mạng Campus được định danh và đặt vào mô hìnhkhối building Ví dụ như, một Server Farm gồm nhiều máy chủ chạy các chươngtrình ứng dụng được truy cập từ các người dùng từ tất cả Enterprise Điều cần thiết

là các máy chủ này phải có tính mở rộng để mở rộng trong tương lai, có khả năngtruy cập cao, và cũng đem lại lợi ích từ việc điều khiển lưu lượng và các chính sáchbảo mật

Để có được những điều cần thiết trên, ta có thể nhóm các tài nguyên vào cáckhối building giống như là mô hình khối switch Các khối này cũng có switch củalớp Distribution và có các kết nối dự phòng nối trực tiếp vào lớp Core, nó cũngchứa các tài nguyên của Enterprise

Hầu hết các khối building đều có trong mạng Campus vừa và lớn, ta đã quenvới khái niệm đặt chức năng Enterprise vào trong khối Switch của nó, cũng như xâydựng khối này

Khối Server Farm

Bất kỳ một máy chủ hay ứng dụng nào được truy cập bởi hầu hết người dùngcủa Enterprise thường thuộc về một Server Farm Toàn bộ Server Farm này đượcnhận dạng như là khối Switch của chính nó, và kết nối các switch của Distributionvào trong lớp Core với liên kết dự phòng tốc độ cao

Các máy chủ riêng có các kết nối mạng đơn đến một trong các switch củaDistribution Nếu một máy chủ dự phòng được sử dụng, thì nó nên kết nối đếnswitch luân phiên của Distribution Điều này được biết như là Dual-homing của cácmáy chủ

Ví dụ: các máy chủ của Enterprise gồm có email, các dịch vụ intranet,

các ứng dụng ERP (Enterprise Resource Planning), và hệ thống máy tính lớn Chú

ý là mỗi tài nguyên nội bộ đều được đặt ở bên trong một firewall hay vòng bảo mật

Khối quản lý

Thông thường, các mạng Campus phải được kiểm tra qua việc sử dụng cáccông cụ quản trị mạng để đo lường hoạt động mạng và phát hiện lỗi Ta có thể nhómtoàn bộ ứng dụng quản lý mạng vào trong một khối Switch quản lý mạng Điều nàytrái ngược với khối Server Farm, bởi vì các công cụ quản trị mạng không phải là tàinguyên của Enterprise được truy cập bởi hầu hết các máy chủ Hơn nữa, các công cụnày sẽ đi ra ngoài để truy cập vào các thiết bị mạng khác, các ứng dụng của máy chủ vàhoạt động của người dùng trong tất cả các khu vực của mạng Campus

Khối Switch quản lý mạng thường có lớp Distribution kết nối vào các switchcủa khối Core Vì các công cụ này được dùng để phát hiện lỗi xảy ra tại thiết bị vàcác kết nối, nên lợi ích của nó rất quan trọng Các kết nối dự phòng và switch dựphòng đều được sử dụng

Ví dụ: tài nguyên quản lý mạng trong khối switch bao gồm:

• Các ứng dụng kiểm tra mạng

• Các server đăng nhập hệ thống (syslog)

• Các server xác thực, cấp quyền và cung cấp tài khoản (AAA)

• Các ứng dụng quản lý chính sách

• Quản trị hệ thống và các dịch vụ điều khiển từ xa

• Các ứng dụng quản lý, phát hiện xâm nhập

Khối Enterprise biên

Hầu hết các mạng Campus phải kết nối đến các nhà cung cấp dịch vụ để truycâp đến tài nguyên bên ngoài, được gọi là các biên của Enterprise hoặc của Campus

Các tài nguyên này có sẵn trong toàn bộ mạng Campus và được truy cập chủ yếu như

là khối Switch kết nối đến khối Core của mạng

Các dịch vụ biên thường được chia thành:

• Truy cập internet: hỗ trợ lưu lượng ra ngoài internet, cũng như lưu lượngvào các dịch vụ công cộng, như email, và extranet web server Các kết nối này đượccung cấp bởi một hoặc nhiều nhà cung cấp dịch vụ Internet (ISP) Các thiết bị bảomật mạng thường được đặt tại đây

• Truy cập từ xa và VPN: hỗ trợ các truy cập quay số từ các người dùng bênngoài qua mạng PSTN (Public Switched Telephone Network) Nếu lưu lượng thoạiđược hỗ trợ trên mạng Campus, thì gateway VoIP phải kết nối đến PSTN ở đây.Thêm nữa, các thiết bị VPN kết nối vào Internet hỗ trợ kết nối đường hầm bảo mậtđến các vị trị từ xa

• Thương mại điện tử: hỗ trợ web, ứng dụng và cơ sở dữ liệu cũng nhưfirewall và các thiết bị bảo mật Khối switch kết nối đến một hoặc nhiều ISP

• Truy cập WAN: hỗ trợ tất cả các kết nối WAN truyền thống đến các vị trí

từ xa như FrameRelay, ATM, Leased-Line, ISDN…

Khối nhà cung cấp dịch vụ biên

Mỗi nhà cung cấp dịch vụ kết nối đến một mạng Campus cũng phải có thiết

kế mạng phân cấp của chính nó Một mạng của nhà cung cấp dịch vụ đáp ứng chomột Enterprise ở biên nhà cung cấp, kết nối đến biên của khối Enterprise

Ở đây ta không quan tâm đến mạng của nhà cung cấp dịch vụ, mà chỉ cầnbiết là mạng Campus có một khối biên để kết nối đến biên của mạng nhà cung cấp

1.4 Các sản phẩm của Cisco trong mạng Campus

CHƯƠNG 2 VLAN, TRUNK, VTP

2.1 Mạng LAN ảo (Virtual LAN - VLAN)

Mô hình mạng không có VLAN là một flat network vì nó chỉ hoạt độngchuyển mạch ở lớp 2 Một flat network là một miền broadcast, mỗi gói broadcast từmột host nào đều đến được tất cả các host còn lại trong mạng Mỗi port trong switch

là một miền collision, vì vậy người ta sử dụng switch để chia nhỏ miền collision, tuynhiên nó vẫn không ngăn được miền broadcast Ngoài ra nó còn có các vấn đề như:

• Vấn đề về băng thông: trong một số trường hợp một mạng Campus ở lớp 2

có thể mở rộng thêm một số building nữa, hay số user tăng lên thì nhu cầu sử dụngbăng thông cũng tăng, do đó băng thông cũng như khả năng thực thi của mạng sẽgiảm

•Vấn đề về bảo mật: bởi vì user nào cũng có thể thấy các user khác trongcùng một flat network, do đó rất khó để bảo mật

• Vấn đề về cân bằng tải: trong flat network ta không thể thực hiện truyềntrên nhiều đường đi, vì lúc đó mạng rất dễ bị loop, tạo nên “broadcast storm” ảnhhưởng đến băng thông của đường truyền Do đó không thể chia tải (còn gọi là cânbằng tải)

Để giải quyết các vấn đề trên, người ta đưa ra giải pháp VLAN VLAN(Virtual Local Area Network) được định nghĩa là một nhóm logic các thiết bị mạng,

và được thiết lập dựa trên các yếu tố như chức năng, bộ phận, ứng dụng… của công

ty Mỗi VLAN là một mạng con logic được tạo ra trên switch, còn gọi là segment haymiền broadcast

Hình 2.1 biểu diễn một VLAN cung cấp kết nối logic giữa các port củaswitch Vì có kết nối end-to-end của VLAN 1, nên bất cứ trạm nào trên VLAN 1đều có thể truyền thông nếu như nó được kết nối đến đoạn mạng vật lý

2.1.1 Các kiểu thành viên của VLAN (VLAN Membership)

Khi VLAN được cung cấp ở switch lớp Access, thì các đầu cuối người dùngphải có một vài phương pháp để lấy các thành viên đến nó Có 2 kiểu tồn tại trênCisco Catalyst Switch đó là:

Người quản trị mạng sẽ cấu hình các port của switch gán cho các VLAN bằngtay, nên được gọi là trạng thái tĩnh Mỗi port nhận một port VLAN ID với một sốVLAN Các port trên một switch có thể được gán và nhóm thành nhiều VLAN Mặc

dù hai thiết bị cùng kết nối đến một switch, nhưng nếu VLAN ID của nó khác nhauthì lưu lượng giữa chúng sẽ không qua nhau Để thực hiện chức năng này, ta phải sửdụng thiết bị lớp 3 để định tuyến các gói hoặc thiết bị mở rộng lớp 2 để làm cầu nốicác gói giữa hai VLAN

Kiểu thành viên Static VLAN thường được quản lý trong phần cứng vớimạch tích hợp ứng dụng đặc biệt ASIC (Application Specific Intergrated Circuit)trong switch Kiểu này cung cấp khả năng hoạt động tốt vì tất cả việc ánh xạ cácport được làm ở mức phần cứng vì vậy không cần có bảng truy tìm phức tạp

Dynamic VLAN

Dynamic VLAN cung cấp thành viên dựa trên địa chỉ MAC của thiết bịngười dùng đầu cuối Khi một thiết bị kết nối đến một port của switch, switch phảitruy vấn đến cơ sở dữ liệu để thiết lập thành viên VLAN Người quản trị mạng phảigán địa chỉ MAC của user vào một VLAN trong cơ sở dữ liệu của VMPS (VLANMembership Policy Server)

Hình 2.2 biểu diễn Dynamic VLAN với bảng địa chỉ MAC

Với Cisco Switch, dynamic LAN được tạo và quản lý bằng công cụ quản lýmạng như Cisco Work 2000 Dynamic VLAN cho phép tính mềm dẻo và tính diđộng cho người dùng đầu cuối

2.1.2 Triển khai VLAN

Để thực thi VLAN, ta phải xem xét số thành viên của VLAN, thông thường

số VLAN sẽ phụ thuộc vào kiểu lưu lượng, kiểu ứng dụng, phân đoạn các nhómlàm việc phổ biến và các yêu cầu quản trị mạng

Một nhân tố quan trọng cần xem xét là mối quan hệ giữa các VLAN và kếhoạch sử dụng địa chỉ IP Cisco giới thiệu một sự tương thích 1-1 giữa VLAN vàcác mạng con, nghĩa là nếu một mạng con với một mask 24 bit được sử dụng chomột VLAN, như vậy có nhiều nhất 254 thiết bị trong VLAN và các VLAN không

mở rộng miền lớp 2 đến Distribution Switch Trong trường hợp khác, VLAN không

đi đến Core của mạng, và khối Switch khác Ý tưởng này giữ cho miền broadcast vàlưu lượng không cần thiết ra khỏi khối Core

Các VLAN được chia trong khối Switch bằng hai cách cơ bản sau:

End-to-end VLAN nên nhóm các user theo nhu cầu phổ biến Tất cả usertrong một VLAN có cùng kiểu luồng lưu lượng theo luật 80/20 Luật này có nghĩa

là 80% lưu lượng là của user trong nhóm cục bộ, trong khi 20% đến một tài nguyên

từ xa trong mạng Campus Mặc dù 20% của lưu lượng trong VLAN qua Core củamạng, nhưng end-to-end VLAN làm nó có thể thực hiện tất cả lưu lượng bên trongVLAN qua Core

Vì tất cả VLAN phải có hiệu lực ở mỗi switch lớp Access, nên VLANtrunking phải được sử dụng để nối mạng tất cả các VLAN giữa Switch lớp Access

và lớp Distribution

Chú ý: end-to-end VLAN không được đề nghị trong mạng Enterprise, nếu

không có một lý do hợp lý Lưu lượng broadcast được mạng trên một VLAN từ mộtđầu cuối của mạng đến một đầu cuối khác, nên bão broadcast (broadcast storm)hoặc lặp vòng cầu nối lớp 2 cũng có thể truyền bá qua phạm vi của tài nguyên Khi

đó, việc xử lý sự cố trở nên quá khó, và sự mạo hiểm sử dụng end-to-end VLAN làmảnh hưởng đến lợi ích

Local VLAN

Vì hầu hết mạng Enterprise hướng tới luật 20/80, nên end-to-end VLAN trở nêncồng kềnh và khó duy trì Luật 20/80 có nghĩa là 20% lưu lượng cục bộ, còn 80%đến một tài nguyên từ xa qua lớp Core Các người dùng đầu cuối đòi hỏi truy cập

vào tài nguyên trung tâm bên ngoài VLAN của nó Các uer phải qua Core của mạngthường xuyên hơn Các VLAN được gán chứa các nhóm user dựa trên đường biênvật lý, liên quan đến lượng lưu lượng rời VLAN

Kích thước VLAN vật lý là từ một switch trong phòng dây cáp, đến toàn bộmột building, điều này cho phép chức năng lớp 3 trong mạng Campus điều khiển tảilưu lượng trong VLAN một cách thông minh.Do đó cung cấp tính lợi ích cực đạibằng cách sử dụng nhiều con đường đến đích, tính mở rộng cực đại bằng cách giữVLAN bên trong một khối Switch và tính quản lý cực đại

2.2 VLAN Trunk

Ở lớp Access, các thiết bị đầu cuối kết nối đến các port của switch tạothành kết nối đến VLAN Các thiết bị gắn vào này không nhận thức được cấu trúcVLAN, và đơn giản là gắn vào một đoạn mạng vật lý bình thường Việc gửi thôngtin từ liên kết truy cập trên một VLAN đến VLAN khác không được thực hiện nếukhông có sự can thiệp của thiết bị lớp 3 (có thể là router lớp 3 hoặc bridge lớp 2 bênngoài)

Chú ý là một port của switch hỗ trợ nhiều hơn một mạng con cho thiết bị

gắn vào nó Ví dụ như một Ethernet Hub được kết nối vào port của switch Mộtthiết bị người dùng trên Hub phải được cấu hình là 192.168.1.1/24, trong khi thiết bịkhác được gán là 192.168.17.1/24 Mặc dù các mạng con này kề liền nhau, và truyềnthông trên một switch duy nhất, nhưng nó không tách rời VLAN Port của switch hỗtrợ một VLAN, nhưng nhiều mạng con có thể tồn tại trên một VLAN

Đường trunk một kết nối vật lý và logic giữa hai switch để truyền dữ liệu.Đây là một kênh truyền giữa hai điểm và hai điểm này thường là các switch, làtrung tâm của cấu trúc mạng hình sao Một liên kết trunk (đường chính) có thể hỗtrợ nhiều hơn một VLAN qua một port của switch Các liên kết trunk tốt nhất khiswitch kết nối đến các switch khác hoặc đến router Một liên kết trunk không đượcgán cho một VLAN riêng biệt Thay vì một, nhiều hoặc tất cả các VLAN đượctruyền giữa các swtich sử dụng một liên kết trunk vật lý

Ta có thể kết nối hai switch với liên kết vật lý riêng biệt đối với mỗi VLANnhư hình 2.3

Vì VLAN được thêm vào một mạng, nên số liên kết có thể tăng nhanhchóng Để sử dụng giao tiếp vật lý và cáp hiệu quả hơn người ta dùng trunk

Hình 2.4 biểu diễn làm thế nào một trunk có thể thay thế nhiều liên kếtVLAN riêng biệt

Cisco hỗ trợ trunk trên liên kết switch của Fast Ethernet và Gigabit Ethernetgiống như kết hợp các liên kết kênh Fast và Gigabit Ethernet Để phân biệt lưulượng giữa các VLAN khác nhau trên một trunk switch phải có cách nhận dạng mỗiframe với VLAN thích hợp Phần sau sẽ thảo luận về các phương pháp nhận dạng này

2.2.1 Nhận dạng các frame VLAN

Trong một mạng Campus có rất nhiều VLAN trên nhiều switch, các switchnày nối với nhau qua các đường trunk, do đó các gói được truyền trên đường trunkphải có thông tin nhận dạng về VLAN mà nó thuộc về Như vậy người ta sẽ dùngVLAN ID để gán vào các frame, rồi mới truyền đi trên trunk

Mỗi switch sẽ kiểm tra VLAN ID để xác định frame này thuộc về VLANnào, và chuyển qua những port thuộc VLAN đó Sau đây ta xem xét hoạt độngchuyển frame từ máy B sang máy Y trong VLAN 3 trong hình 2.5

• Đầu tiên B gửi frame đến switch 1, switch 1 sẽ nhận frame và kiểm tratrong bảng địa chỉ MAC của nó, thì nó biết được đây là frame của VLAN 3 vàđích đến kế tiếp là qua switch 2 Switch 1 sẽ thêm VLAN ID của VLAN 3 và gửiqua đường trunk kết nối đến switch 2

• Switch 2 nhận frame, nó kiểm tra VLAN ID và biết được frame này đếnVLAN, đồng thời đích đến kế tiếp là phải qua switch 3 Switch 2 sẽ chuyển framequa đường trunk nối đến switch 3

• Khi switch 3 nhận frame, nó kiểm tra frame, và tách VLAN ID ra khỏiframe và gửi frame đến cho Y Y nhận frame biết được nó được gửi từ B (dựa vàođịa chỉ MAC), nhưng nó không biết nó thuộc về VLAN nào, chỉ có switch 3 mớibiết thông tin đó

Có 2 cách nhận dạng VLAN ID là:

• Cisco Inter - Switch Link

• IEEE 802.1Q

Cisco Inter - Switch Link

ISL là giao thức đóng gói frame đặc trưng của Cisco cho kết nối nhiều switch

Nó được dùng chính trong môi trường Ethernet, chỉ hỗ trợ trên các router và switchcủa Cisco Khi một frame muốn đi qua đường trunk đến switch hay router khác thìISL sẽ thêm 26 byte header và 4 byte trailer vào frame Trong đó VLAN ID chiếm

10 bit, còn phần trailer là CRC để đảm bảo tính chính xác của dữ liệu

Thông tin thẻ được thêm vào đầu và cuối mỗi frame, nên ISL còn được gọi làđánh thẻ kép ISL có thể chạy trong môi trường point-to-point, và có thể hỗ trợ tối

đa 1024 VLAN (do VLAN ID chiếm 10 bit)

Hình 2.6 biểu diễn frame Ethernet được đóng gói và chuyển tiếp ra liên kếttrunk Vì thông tin thẻ được thêm vào ở đầu và cuối frame nên đôi khi ISL được đềcập như là thẻ đôi Nếu một frame được định trước cho một liên kết truy cập, thìviệc đóng gói ISL (cả phần header lẫn trailer) không được ghi lại vào trong frametrước khi truyền Nó chỉ giữ thông tin ISL cho liên kết trunk và thiết bị có thể hiểu giaothức

Chú ý: nhận dạng VLAN bằng ISL hoặc đóng gói trunk không còn hỗ trợtất cả Cisco Catalyst Switch Vì vậy ta nên biết rõ nó và so sánh với phương phápIEEE 802.1Q

IEEE 802.1Q:

IEEE 802.1Q là một chuẩn công nghiệp dùng để nhận dạng VLAN đượctruyền qua đường trunk, nó hoạt động trên môi trường Ethernet và là một chuẩn mở

Là giao thức dùng dán nhãn frame khi truyền frame trên đường trunk giữahai switch hay giữa switch và router, việc dán nhãn frame được thực hiện bằng cáchthêm thông tin VLAN ID vào phần giữa phần header trước khi frame được truyềnlên đường trunk như hình 2.7, đây còn được gọi là phương pháp dán nhãn đơn haydán nhãn nội IEEE 802.1Q có thể hỗ trợ tối đa là 4095 VLAN

Trong đó:

• Thẻ 802.1Q có 4 byte gồm có các phần như sau:

o 802.1Q TPID (Tag Protocol IDentifier): có độ dài 16 bit, có giá trị cố định

là 0x8100 Dùng nhận dạng frame đóng gói theo chuẩn IEEE 802.1Q

o Priority: Độ ưu tiên, có 8 mức ưu tiên (0 -> 7), mặc định là 0

o CFI (Canonical Format Indicator): Luôn đặt giá trị 0 cho Ethernet Switch

để tương thích với mạng Token Ring Nếu CFI có giá trị là 1 thì frame sẽ khôngđược chuyển đi như port không gắn thêm tag

• Destination address (DA) - 6 byte: địa chỉ MAC đích

• Source addresses (SA)- 6 byte: địa chỉ MAC nguồn

• Length/Type- 2 bytes: chỉ định độ dài của frame hay kiểu giao thức sửdụng ở lớp trên

• Data: là một dãy gồm n byte (42 <= n <= 1496) Chiều dài frame tổng cộngtối thiểu là 64 bytes ( khi n = 42 byte)

• Frame check sequence (FCS)- 4 byte: chứa mã sửa sai CRC 32-bit

Chú ý: các frame có kích thước quá khổ được quy định trong các chuẩn khác

nhau, để chuyển tiếp đúng cách, các Catalyst switch sử dụng phần cứng riêng vớiphương pháp đóng gói ISL Trong trường hợp đóng gói 802.1Q, các switch tuântheo chuẩn IEEE 802.3ac, chuẩn này mở rộng chiều dài frame đến 1522 byte

2.2.2 Giao thức trunk động (Dynamic Trunking Protocol - DTP)

Ta có thể cấu hình bằng tay các liên kết trunk trên Catalyst Switch theo kiểuISL hoặc IEEE 802.1Q Thêm vào đó, Cisco đã thực hiện quyền sở hữu, và giaothức point-to-point được gọi là giao thức trunk động DTP (Dynamic TrunkingProtocol) để dàn xếp kiểu trunk phổ biến giữa hai switch Sự dàn xếp kiểm này soátviệc đóng gói (ISL hoặc 802.1Q) cũng như kết nối trở thành trunk cho tất cả Điều

này cho phép sử dụng kết nối mà không cần có quá nhiều sự cấu hình bằng tay hayquản trị Việc sử dụng DTP sẽ đựơc giải thích ở phần sau

Chú ý: DTP bi vô hiệu nếu một switch có kết nối trunk đến một router vì

router không thực thi giao thức DTP Một liên kết trunk chỉ được dàn xếp giữa haiswitch nếu cả hai switch thuộc cùng một miền quản lý của giao thức VTP (VLANTrunk Protocol), hoặc nếu một hoặc cả hai không định nghĩa miền VTP VTP sẽđược thảo luận ở phần 2.3 Nếu hai switch có miền VTP và trunk giữa cúng khácnhau, thì ta phải thiết lập kết nối trunk là kiểu "on" hoặc kiểu "nonegotiate", việc này sẽảnh hưởng đến trunk được thiết lập

2.3 VLAN Trunking Protocol - VTP

Trong môi trường mạng Campus thường gồm có nhiều switch kết nối bêntrong, nên việc cấu hình và quản lý một số lượng lớn switch, VLAN và VLAN trunkphải được điều khiển ra ngoài nhanh Cisco đã triển khai một phương pháp quản lýVLAN qua mạng Campus đó là VLAN Trunking Protocol - VTP

VTP là một giao thức quảng bá cho phép duy trì cấu hình thống nhất trênmột miền quản trị Sử dụng gói trunk lớp 2 để quản lý sự thêm xóa và đặt tên choVLAN trong một miền quản tri nhất định Thông điệp VTP được đóng gói trongframe của ISL hay 802.1Q và được truyền trên các đường trunk Đồng thời, VTP chophép tập trung thông tin về sự thay đổi từ tất cả các switch trong một hệ thống mạng.Bất kỳ switch nào tham gia vào sự trao đổi VTP đều có thể nhận biết và sử dụng bất

cứ VLAN nào mà VTP quản lý Sau đây ta sẽ nói đến hoạt động của giao thức VTP

2.3.1 Miền VTP

VTP được sắp sếp trong miền quản lý, hoặc khu vực với các nhu cầu thôngthường của VLAN Một switch có thể chỉ thuộc một miền VTP, và chia sẻ thông tinVLAN với các switch khác trong miền Tuy nhiên các switch trong các miền VTPkhác nhau không chia sẻ thông tin VTP

Các switch trong một miền VTP quảng bá một vài thuộc tính đến các miềnlân cận như miền quản lý VTP, số VTP, VLAN, và các tham số đặc trưng củaVLAN Khi một VLAN được them vào một switch trong một miền quản lý, thì cácswitch khác được cho biết về VLAN mới này qua việc quảng bá VTP Tất cả switchtrong một miền đều có thể sẵn sàng nhận lưu lượng trên cổng trunk sử dụng VLANmới

2.3.2 Các chế độ (mode) VTP

Để tham gia vào miền quản lý VTP, mỗi switch phải được cấu hình để hoạtđộng ở chế độ nào Chế độ VTP sẽ xác định quá trình chuyển mạch và quảng báthông tin VTP như thế nào Ta có các chế độ sau:

• Chế độ Server: các server VTP sẽ điều khiển việc tạo VLAN và thay đổi miềncủa nó Tất cả thông tin VTP đều được quảng bá đến các switch trong miền, và cácswitch khác sẽ nhận đồng thời Mặc định là một switch hoạt động ở chế độ server.Chú ý là miền VTP phải có ít nhất một server để tạo, thay đổi hoặc xóa và truyềnthông tin VLAN

• Chế độ Client: chế độ VTP không cho phép người quản trị tạo, thay đổihoặc xóa bất cứ VLAN nào thay vì lắng nghe các quảng bá VTP từ các switch khác

và thay đổi cấu hình VLAN một cách thích hợp Đây là chế độ lắng nghe thụđộng Các thông tin VTP được chuyển tiếp ra liên kết trunk đến các switch lân cậntrong miền, vì vậy switch cũng hoạt động như là một VTP (relay)

• Chế độ transparent (trong suốt): các switch VTP trong suốt không thamgia trong VTP Ở chế độ trong suốt, một switch không quảng bá cấu hình VLANcủa chính nó, và một switch không đồng bộ cở sở dữ liệu VLAN của nó với thông tinquảng bá nhận được Trong VTP phiên bản 1, switch hoạt động ở chế độ trong suốtkhông chuyển tiếp thông tin quảng bá VTP nhận được đến các switch khác, trừ khitên miền và số phiên bản VTP của nó khớp với các switch khác Còn trong phiên bản

2, switch trong suốt chuyển tiếp thông tin quảng bá VTP nhận được ra cổng trunkcủa nó, và hoạt động như rờ le VTP

Chú ý: switch hoạt động ở chế độ trong suốt có thể tạo và xóa VLAN cục bộ

của nó Tuy nhiên các thay đổi của VLAN không được truyền đến bất cứ switch nào

2.3.3 Quảng bá VTP

Mỗi Cisco switch tham gia vào VTP phải quảng bá số VLAN (chỉ các VLAN

từ 1 đến 1005), và các tham số VLAN trên cổng trunk của nó để báo cho các switchkhác trong miền quản lý Quảng bá VTP được gửi theo kiểu muilticast Switchchặn các frame gửi đến địa chỉ VTP multicast và xử lý nó Các frame VTP đượcchuyển tiếp ra ngoài liên kết trunk như là một trường hợp đặc biệt

Bởi vì tất cả switch trong miền quản lý học sự thay đổi cấu hình VLAN mới,nên một VLAN phải được tạo và cấu hình chỉ trên một VTP server trong miền

Mặc định, miền quản lý sử dụng quảng bá không bảo mật (không có mậtkhẩu) Ta có thể thêm mật khẩu để thiết lập miền ở chế độ bảo mật Mỗi switchtrong miền phải được cấu hình với cùng mật khẩu để tất cả switch sử dụng phươngpháp mã hóa đúng thông tin thay đổi của VTP

Quá trình quảng bá VTP bắt đầu cấu hình với số lần sửa lại là 0 Khi có sự thayđổi tiếp theo, số này tăng lên trước khi gửi quảng bá ra ngoài Khi swich nhận mộtquảng bá với số lần sửa lại lớn hơn số lưu trữ cục bộ thì quảng bá sẽ được ghi đè lênthông tin VLAN, vì vậy thêm số 0 này vào rất quan trọng Số lần sửa lại VTP đượclưu trữ trong NVRAM và switch không được thay đổi Số lần sửa lại này chỉ đượckhởi tạo là 0 bằng một trong cách sau:

• Thay đổi chế độ VTP của switch thành transparent, và sau đó thay đổi chế

độ thành server

• Thay đổi miền VTP của switch thành tên không có thực (miền VTP khôngtồn tại) và sau đó thay đổi miền VTP thành tên cũ

• Tắt hay mở chế độ pruning (cắt xén) trên VTP server

Nếu số lần sửa lại VTP không được thiết lập lại 0, thì một server switch mới,phải quảng bá VLAN không tồn tại, hoặc đã xóa Nếu số lần sửa lớn hơn lần quảng

bá liền trước, thì switch lắng nghe rồi ghi đè lên toàn bộ sơ sở dữ liệu của VLANvới thông tin trạng thái VLAN là null hoặc bị xóa Điều này đề cập đến vấn đề đồng bộVTP

Việc quảng bá có thể bắt đầu khi yêu cầu từ switch (client-mode) muốn học

về cơ sở dữ liệu VTP ở thời điểm khởi động, và từ switch (server-mode) khi có sựthay đổi cấu hình VLAN Việc quảng bá VTP có thể xảy ra trong ba hình thức sau:

• Thông báo tổng kết (Summary Advertisement): các server thuộc miền VTPgửi thong báo tổng kết 300s một lần và mỗi khi có sự thay đổi sơ sở dữ liệu củaVLAN Thông tin của thông báo tổng kết gồm có miển quản lý, phiên bản VTP, tênmiền, số lần sửa lại cấu hình, đánh dấu thời gian (timestamp), mã hóa hàm bămMD5, và số tập con của quảng bá đi theo Đối với sự thay đổi cấu hình VLAN, cómột hoặc nhiều tập con quảng bá với nhiều dữ liệu cấu hình VLAN riêng biệt trongthông báo tổng kết

Hình 2.8 Biểu diễn format của thông báo tổng kết

• Thông báo tập hợp con (Subset Advertisement): các server thuộc miền VTPquảng bá tập con sau khi có sự thay đổi cấu hình VLAN Thông báo này gồm cócác thay đổi rõ ràng đã được thực thi, như tạo hoặc xóa một VLAN, tạm ngưnghoặc kích hoạt lại một VLAN, thay đổi tên VLAN, và thay đổi MTU củaVLAN (Maximum Transmission Unit) Thông báo tập con có thể gồm có các thông

số VLAN như: trạng thái của VALN, kiểu VLAN (Ethernet hoặc Token Ring),MTU, chiều dài tên VLAN, số VLAN, giá trị nhận dạng kết hợp với bảo mậtSAID (Security Association Identifer), và tên VLAN Các VLAN được ghi vàothông báo tập hợp con một cách tuần tự và riêng lẻ

Hình 2.9 Biểu diễn format của thông báo tập con

• Thông báo yêu cầu từ client: một client VTP yêu cầu thông VLAN như xáclập lại, xóa cở sở dữ liệu của VLAN, và thay đổi thành viên miền VTP, hoặc nghethông báo tổng kết VTP với số lần sửa lại cao hơn số hiện tại Sau thông báo clientyêu cầu, thì các server đáp ứng bằng thông báo tổng kết và thông báo tập con

Hình 2.10 Biểu diễn format yêu cầu của thong báo client

Các Catalyst switch (server-mode) lưu trữ thông tin VTP không dính liếuđến cấu hình switch trong NVRAM VLAN và dữ liệu VTP được lưu trong filevlan.dat trên hệ thống file bộ nhớ Flash của switch Tất cả thông tin VTP như số lầncấu hình lại VTP được lưu lại khi tắt nguồn điện của switch Switch có thể khôi phụccầu hình VLAN từ cơ sở dữ liệu VTP sau khi nó khởi động