VLAN cho phép người quản trị mạng tổ chức mạng theo logic chứ không theo vật lý nhờ đó mà nó có những lợi ích sau:
• Có tính linh động cao: có thể thêm, xóa và thay đổi vị trí người sử dụng mạng một cách linh hoạt.
Các cơ quan xí nghiệp thường hay sắp xếp lại tổ chức của mình. Tính trung bình có từ 20% đến 40% các tác vụ phải di dời hàng năm. Việc di dời, thêm và thay đổi là một trong những vấn đề của các nhà quản trị mạng và tốn nhiều chi phí cho công tác quản trị nhất. Nhiều sự di dời đòi hỏi phải đi lại hệ thống dây cáp và hầu hết các di dời đều cần phải đánh địa chỉ mới cho các trạm và cấu hình lại các Hub và các Router.
VLAN cung cấp một cơ chế hiệu quả để điều khiển những thay đổi này, giảm thiểu chi phí liên quan đến cấu hình lại Hub và các Router. Các người dùng trong các VLAN có thể chia sẻ cùng một mạng với cùng một địa chỉ mạng cho một mạng con mà không quan tâm đến vị trí vật lý của họ. Khi người sử dụng trong một VLAN di dời từ vị trí này đến vị trí khác thì địa chỉ mạng của máy tính của họ không cần phải thay đổi. Những thay đổi về vị trí có thể được thực hiện một cách dễ dàng bằng cách gắn máy tính vào một cổng mới của Switch có hỗ trợ VLAN và cấu hình cho cổng này thuộc VLAN mà trước đó máy tính này thuộc về.
• Hạn chế truyền quảng bá, tiết kiệm băng thông của mạng:
Giao thông hình thành từ các cuộc truyền quảng bá xảy ra trên tất cả các mạng. Tần số truyền quảng bá tùy thuộc vào từng loại ứng dụng, từng loại dịch vụ, số lượng các nhánh mạng luận lý và cách thức mà các tài nguyên này được sử dụng. Khi thiết lập mạng cần chú ý đến phương pháp để hạn chế lại vấn đề quảng bá. Một trong những phương pháp hiệu quả nhất là thực hiện phân đoạn mạng một cách hợp lý với sự bảo vệ của các bức tường lửa (firewall) để tránh những vấn đề như sự hư hỏng trên một nhánh mạng sẽ ảnh hưởng đến phần còn lại của mạng. Vì thế trong khi một nhánh mạng bị bão hòa do các thông tin quảng bá tạo ra thì phần còn lại sẽ được bảo vệ không bị ảnh hưởng nhờ vào bức tường lửa, thông thường được cài đặt trong các Router.
Khi các nhà thiết kế chuyển các mạng của họ sang kiến trúc sử dụng Switch, các mạng trở nên mất đi các bức tường lửa và sự bảo vệ mà các Router cung cấp. Khi không có Router được đặt giữa các Switch, các thông tin quảng bá (được thực hiện ở tầng 2) được gởi đi đến tất cả các cổng của Switch.
VLAN là một cơ chế hiệu quả để mở rộng tính năng của các bức tường lửa trong các Router vào trong các giàn hoán chuyển của Switch và cung cấp một cơ chế bảo vệ mạng trước các thông tin truyền quảng bá. Các bức tường lửa này được thực hiện bằng cách gán các cổng của Switch hoặc người sử dụng mạng vào các VLAN mà nó có thể thuộc một Switch hay nằm trên nhiều Switch khác nhau. Các thông tin quảng bá trên một VLAN không được truyền ra ngoài VLAN. Nhờ đó các cổng khác không phải nhận các thông tin quảng bá từ các VLAN khác. Kiểu cấu hình này căn bản đã giảm được sự quá tải do các thông tin quảng bá tạo ra trên mạng, dành băng thông cho các giao thông cần thiết cho người sử dụng và tránh sự tắc nghẽn trên mạng do các cơn bão quảng bá tạo ra.
Có thể dễ dàng điều khiển kích thước của vùng quảng bá bằng cách điều chỉnh lại kích thước tổng thể của các VLAN, hạn chế số lượng cổng của Switch trên một VLAN và hạn chế số lượng người sử dụng trên một cổng. Một VLAN có kích thước càng nhỏ thì càng có ít user bị ảnh hưởng bởi các thông tin quảng bá tạo ra từ VLAN đó.
• Thắt chặt vấn đề an ninh mạng:
Một trong những vấn đề đối với mạng LAN chia sẻ đường truyền chung là chúng dễ dàng bị xâm nhập. Bằng cách gắn dây mạng vào một cổng, một người thâm nhập có thể truy cập được tất cả các thông tin được truyền trên nhánh mạng. Nhánh mạng càng lớn thì mức độ bị truy cập thông tin càng cao, trừ khi chúng ta thiết lập các cơ chế an toàn trên Hub.
Một trong những kỹ thuật ít tốn kém, dễ dàng quản lý và khả năng bảo mật cao là phân đoạn mạng và đặt các user vào trong nhóm các miền quảng bá. Điều này cho phép nhà quản trị mạng thực hiện:
+ Hạn chế số lượng user trong một nhóm VLAN.
+ Ngăn ngừa các user truy nhập trái phép.
+ Cấu hình tất cả các cổng không được sử dụng vào một dịch vụ VLAN cấp thấp mặc định.
Các ứng dụng và các tài nguyên được bảo vệ thường được đặt trong một VLAN bảo mật. Các tính năng an toàn cao hơn có thể được đưa vào bằng cách sử dụng danh sách điều khiển truy cập (Access Control List) để hạn chế truy cập vào nhóm mạng này dựa vào việc cấu hình trên các Switch và Router.
• Vượt qua các rào cảng vật lý:
VLAN cung cấp một cơ chế mềm dẻo trong việc tổ chức lại cũng như thực hiện việc phân đoạn mạng. VLAN cho phép nhóm các cổng của Switch và người sử dụng vào những cộng đồng có cùng một mối quan tâm; việc này có thể được thực hiện trên một Switch hoặc trên nhiều Switch khác nhau. Do đó một VLAN có thể trải rộng trên một tòa nhà hay nhiều tòa nhà.
Thêm vào đó, vai trò của Router mở ra bên cạnh vai trò truyền thống của một bức tường lửa nó còn có chức năng xóa các thông tin quảng bá dựa trên danh sách, quản lý quảng bá, thực hiện chọn đường và phân phối. Các Router còn duy trì hoạt động cho các kiến trúc Switch được cấu hình VLAN bởi vì chúng cung cấp cơ chế giao tiếp giữa các nhóm mạng được định nghĩa.
Nguyễn Khắc Phong – VnPro