Tweet
SVTH:
Nguyễn Anh Khoa
Phan Thanh Lâm
Nguyễn Duy Khánh
I. KHÁI NIỆM VLAN :
VLAN là viết tắt của Virtual Local Area Network là một mạng ảo. Về mặt kỹ thuật, VLAN là một miền quảng bá (domain ) được tạo bởi các thiết bị chuyển mạch và chủ yếu hoạt động ở tầng 2 ( như Repeater, Bridge, Switch, Router, ở đây ta chủ yếu nghiên cứu trên Switch ); không giới hạn phạm vi vật lý mà chỉ bị giới hạn bởi các Router. Mục đích sử dụng VLAN là làm tăng băng thông cho nguời dùng, triển khai mạng dựa trên chức năng của nguời dùng và có thể tăng hoặc giảm và di chuyển vị trí các máy tính trong các mạng với nhau.
Ta có thể đặt các cổng cho VLAN ( trừ VLAN 1 là VLAN mặc định). Tất cả các cổng trong một mạng VLAN đều thuộc một miền quảng bá duy nhất.
Một VLAN thông thuờng bao gồm của các cổng của Switch nằm trong cùng miền quảng bá. Các cổng có thể được đưa vào các VLAN khác nhau trên một hay nhiều switch bằng cách tạo ra nhiều VLAN, các switch sẽ tạo ra nhiều miền quảng bá. Khi đó 1 miền quảng bá thuộc một VLAN nào đó sẽ gửi đi, sự quảng bá đó sẽ không được chuyển tiếp đến các thiết bị trong VLAN khác.
Các thiết bị trong một VLAN thường dùng chung một dãy địa chỉ. Tuy nhiên, ta vẫn có thể đặt nhiều địa chỉ trong một VLAN hoặc dùng địa chỉ thứ 2 trên các router để định tuyến giữa các VLAN.
Những truờng hợp sử dụng VLAN :
Hình minh họa
Hình minh họa trên có 3 tầng là Sales , HR và Eng . Các máy tính ở bộ phận Sales thì sẽ được gán vào VLAN Sales, tương tự các máy tính ở các bộ phận khác cũng được gán vào các VLAN tương ứng là HR và Eng. Như hình vẽ trên ta thấy Sales, HR, Eng của hệ thống chỉ cần dùng một switch , và switch này được chia VLAN . Cách làm này giúp ta có thể tiết kiệm tối đa số switch phải sử dụng đồng thời tận dụng được hết số cổng sẵn có của switch. Nếu ta dùng kết nối mỗi tầng mỗi switch với nhau , mà mỗi tầng có 3 máy tính , thì phải dùng tới 9 switch để kết nối lại hết thì rất tốn kém. Nên ta phải áp dụng chia VLAN để đáp ứng hiệu quả bảo mật và quản lý , tiệt kiệm chi phí cung cấp thiết bị và băng thông.
II. CÁCH KIỂU VLAN :
Có 3 kiểu VLAN :
Ø VLAN tĩnh ( Static VLAN )
Ø VLAN động ( Dynamic VLAN )
Ø Voice VLAN ( Voice VLAN )
1) VLAN tĩnh :
Cấu hình tĩnh, người dùng phải tự cấu hình bằng tay cho từng cổng của mỗi switch. Sau đó gán cổng vào một VLAN nhất định. Trong cấu hình động mỗi cổng của switch có thể tự cấu hình VLAN cho mình dựa vào địa chỉ MAC của thiết bị được kết nối vào. Các cổng này sẽ thuộc vào VLAN mà nó đã được gán cho đến khi nguời dùng thay đổi .
Cấu hình tĩnh là loại thường gặp nhất, trong đó các cổng trên switch được gán trực tiếp và cố định vào VLAN riêng biệt . Loại này thuờng hoạt động tốt trong những mạng mà ở đó những sự di dời đựơc điều khiển và có sự quản lí.
Hình minh họa:
Nhìn minh họa trên cho thấy , tất cả các cổng trên switch đều là những cổng do nguời dùng tự gán vào như cổng F0/1 , F0/2 , F0/3 , F0/4 ,F0/5 và cùng VLAN như nhau .Trên cổng Fa0/1 và Fa 0/3 được gán vào VLAN 1 ( VLAN mặc định ) . Not – So – Human – Resources thuộc VLAN 3 chứa các cổng Fa0/2 , Fa0/4 , Fa0/5 . Các thiết bị kết nối một hay nhiều cổng dựa trên cùng một VLAN như nhau . Printer và Computer trong hình minh họa có thể kết nối bằng các thiết bị khác và Computer kết nối tới cổng Fa0/2 . Mặc dù chúng có cùng loại switch như nhau, nhưng các thiết bị không thể kết nối tới Computer tới cổng được gán vào VLAN 1 vì chúng có miền quảng bá khác nhau .
2) VLAN động :
Hình minh họa:
Cấu hình động là nhóm các cổng trên một switch mà chúng có thể xác định một cách tự động việc gán VLAN cho chúng . Hầu hết các nhà sản xuất switch đều sử dụng phần mềm quản lý thông minh .Sự vận hành của các VLAN động đựơc dựa trên địa chỉ vật lý MAC hay kiểu giao thức gói tin .
Khi một vùng được kết nối lần đầu tiênvào một cổng của switch , switch tuơng ứng sẽ kiểm tra mục từ chứa địa chỉ MAC trong sơ sở dữ liệu quản trị VLAN và tự động cấu hình cổng này vào VLAN tuơng ứng.
Thông thuờng ta cần nhiều sự quản trị trước để thiết lập cơ sở dữ liệu bằng phần mềm quản trị VLAN và duy trì một sơ sở dữ liệu chính xác về tất cả các máy tính trên toàn mạng .
3) Voice VLAN:
Hình minh họa
Tính năng Voice VLAN cho phép các cổng trên switch có khả năng truyền lưu lượng Voice IP từ một IP phone. Khi một swtich thực hiện kết nối đến một IP phone, IP phone đó có khả năng gửi lưu lượng âm thanh với những thông tin tầng 3 và các giá trị QoS ( là cơ chế lọc những loại lưu lượng gửi từ switch có khả năng dự đoán được) của tầng 2, những giá trị đó được cấu hình mặc định là 5. Bởi vì chất lượng âm thanh cuộc gọi của một IP phone có thể bị hỏng nếu lưu lượng dữ liệu được gửi không đồng đều , switch có khả năng hỗ trợ tính năng chất lượng dịch vụ ( Quality of service - QoS) dựa trên chuẩn IEEE 802.1Q .
Cisco 7960 IP Phone là một thiết bị có khả năng cấu hình được, và bạn có thể cấu hình nó để cho phép gửi lưu lượng với những thứ tự ưu tiên khác nhau dựa vào chuẩn IEEE 802.1Q . Bạn cũng có thể cấu hình switch để cho phép quản lý thứ tự ưu tiên của các loại lưu lượng được cấp bởi Cisco IP Phone .
Cisco IP Phone được tích hợp 3 cổng 10/100 chuyển mạch. Những cổng đó cung cấp những kết nối đến những thiết bị:
o Cổng 1 kết nối đến switch hoặc những thiết bị VoIP khác.
o Cổng 2 là một giao diện ( interface ) với tốc độ 10/100 Mbps có khả truyền lưu lượng IP
o Phone.
o Cổng 3 là một cổng do ta tự gándùng để switch kết nối những thiết bị khác.
Ưu điểm của Voice VLAN :
o Chia các phone trong mạng điện thoại hợp lý.
o Cung cấp mạng luới phân chia và kiểm soát.
o Cho phép quản trị viên tạo và thực thi QoS .
o Có hỗ trợ thêm và cho phép thực thi cơ chế bảo mật.
III. QUẢN LÝ VLAN :
Hiện nay, đa số các thiết bị như router, switch có thể truy cập từ xa bằng cách truy xuất đến địa chỉ của thiết bị. Đối với các thiết bị mà cho phép truy cập từ xa thì chúng ta nên đặt vào trong một VLAN , đó gọi là quản lý VLAN. VLAN này độc lập với các VLAN khác (như Native VLAN) . Do đó khi mạng có vấn đề như: mặc định với Spanning Tree, thì sự quản lý VLAN cho phép nguời dùng vẫn có thể truy cập được vào các thiết bị và giải quyết các vấn đề đó.
Ta cấu hình swicth với một VLAN mặc định dùng để quản lý các cổng mà ta đã gán vào. Phuơng pháp này đựơc sử dụng trên một thế thống quy mô vì địa chỉ IP , CDP (Cisco Discovery Protocol : là phuơng thức của Cisco tạo ra, để xem thông tin các thiết bị lân cận ), VTP ( VLAN Trunking Protocol) , tất cả đều được tồn tại trong sử quản lý của VLAN 1 . Nó được tạo ra mặc định trên các switch của Cisco và được gán vào tất cả các cổng , tất cả các thiết bị kết nói tới một switch đều cùng miền quảng bá.
Gán địa chỉ vào switch thì ta nên cấu hình địa chỉ trên VLAN 1 .Có nghĩa là một hệ thông làm việc của chúng ta cần phải được truy cập vào VLAN 1 để nó tự động quản lý switch . Nếu ta chuyển VLAN trên cổng của hệ thống làm việc hay router đang kết nối thì switch vô hiệu dụng với phuơng thức Telnet , SSH , HTTP , SNMP.
IV. BẢO MẬT VLAN:
VLAN có một hiệu quả kỹ thuật cho việc mở rộng tường lửatừ các router, switch và bảo vệ mạng thoát khỏi các sự cố. Tuờng lửađược tạo ra bằng cách gán các cổng trên switch vào nhóm VLAN cụ thể. Trong một switch, lưu lượng quảng bá trong phạm vi một VLAN không được truyền ra ngoài. Những cổng liền kề không thuộc một VLAN thì không nhận lưu lượng quảng bá mà phải nhờ các VLAN khác quảng bá. Kiểu cấu hình này thực chất giảm bớt lưu lượng quảng bá, tiết kiệm băng thông cho người dùng.
Một vấn đề chia sẻ VLAN thông thường là chúng tương đối dễ bị xâm nhập . Bằng cách cắm dây mạng vào một cổng bất kì , nguời dùng có thể truy cập vào bên trong của phân đoạn mạng . Trong hệ thống làm việc lớn thì nguy cơ bị truy nhập trái phép cũng cao hơn . Hiệu quả chi phí và kỹ thuật quản trị dễ dàng , khả năng bảo mật cao là phân đoạn mạng và đưa các nguời dùng vào trong một miền quảng bá . Điều này cho phép bảo mật hệ thống mạng theo các cách sau đây :
Ø Hạn chế số lượng nguời dùng trong một nhóm VLAN .
Ø Ngăn ngừa sự truy nhập trái phép mà không được sự đồng ý của chương trình quản lý.
Cấu hình tất cả các cổng không được sử dụng vào một dịch vụ VLAN mặc định cấp thấp
Nguyễn Anh Khoa
Phan Thanh Lâm
Nguyễn Duy Khánh
I. KHÁI NIỆM VLAN :
VLAN là viết tắt của Virtual Local Area Network là một mạng ảo. Về mặt kỹ thuật, VLAN là một miền quảng bá (domain ) được tạo bởi các thiết bị chuyển mạch và chủ yếu hoạt động ở tầng 2 ( như Repeater, Bridge, Switch, Router, ở đây ta chủ yếu nghiên cứu trên Switch ); không giới hạn phạm vi vật lý mà chỉ bị giới hạn bởi các Router. Mục đích sử dụng VLAN là làm tăng băng thông cho nguời dùng, triển khai mạng dựa trên chức năng của nguời dùng và có thể tăng hoặc giảm và di chuyển vị trí các máy tính trong các mạng với nhau.
Ta có thể đặt các cổng cho VLAN ( trừ VLAN 1 là VLAN mặc định). Tất cả các cổng trong một mạng VLAN đều thuộc một miền quảng bá duy nhất.
Một VLAN thông thuờng bao gồm của các cổng của Switch nằm trong cùng miền quảng bá. Các cổng có thể được đưa vào các VLAN khác nhau trên một hay nhiều switch bằng cách tạo ra nhiều VLAN, các switch sẽ tạo ra nhiều miền quảng bá. Khi đó 1 miền quảng bá thuộc một VLAN nào đó sẽ gửi đi, sự quảng bá đó sẽ không được chuyển tiếp đến các thiết bị trong VLAN khác.
Các thiết bị trong một VLAN thường dùng chung một dãy địa chỉ. Tuy nhiên, ta vẫn có thể đặt nhiều địa chỉ trong một VLAN hoặc dùng địa chỉ thứ 2 trên các router để định tuyến giữa các VLAN.
Những truờng hợp sử dụng VLAN :
- Tăng cuờng bảo mật, quản lí.
- Khi có hơn 200 máy tính trong một mạng.
- Lưu lượng quảng bá trong mạng hoạt động quá lớn.
- Mạng chậm do nhiều gói tin quảng bá gửi tới.
- Các nhóm làm việc cần nằm trên cùng một miền quảng bá vì họ đang dùng chung các ứng dụng nên cần sử dụng VLAN. Ví dụ như một công ty sử dụng điện thoại VoIP. Một số người muốn sử dụng điện thoại có thể thuộc một mạng VLAN khác, không cùng với người dùng thường xuyên.
- Chuyển đổi một switch đơn thành nhiều switch ảo.
Hình minh họa
II. CÁCH KIỂU VLAN :
Có 3 kiểu VLAN :
Ø VLAN tĩnh ( Static VLAN )
Ø VLAN động ( Dynamic VLAN )
Ø Voice VLAN ( Voice VLAN )
Cấu hình tĩnh, người dùng phải tự cấu hình bằng tay cho từng cổng của mỗi switch. Sau đó gán cổng vào một VLAN nhất định. Trong cấu hình động mỗi cổng của switch có thể tự cấu hình VLAN cho mình dựa vào địa chỉ MAC của thiết bị được kết nối vào. Các cổng này sẽ thuộc vào VLAN mà nó đã được gán cho đến khi nguời dùng thay đổi .
Cấu hình tĩnh là loại thường gặp nhất, trong đó các cổng trên switch được gán trực tiếp và cố định vào VLAN riêng biệt . Loại này thuờng hoạt động tốt trong những mạng mà ở đó những sự di dời đựơc điều khiển và có sự quản lí.
Hình minh họa:
2) VLAN động :
Hình minh họa:
Khi một vùng được kết nối lần đầu tiênvào một cổng của switch , switch tuơng ứng sẽ kiểm tra mục từ chứa địa chỉ MAC trong sơ sở dữ liệu quản trị VLAN và tự động cấu hình cổng này vào VLAN tuơng ứng.
Thông thuờng ta cần nhiều sự quản trị trước để thiết lập cơ sở dữ liệu bằng phần mềm quản trị VLAN và duy trì một sơ sở dữ liệu chính xác về tất cả các máy tính trên toàn mạng .
3) Voice VLAN:
Hình minh họa
Cisco 7960 IP Phone là một thiết bị có khả năng cấu hình được, và bạn có thể cấu hình nó để cho phép gửi lưu lượng với những thứ tự ưu tiên khác nhau dựa vào chuẩn IEEE 802.1Q . Bạn cũng có thể cấu hình switch để cho phép quản lý thứ tự ưu tiên của các loại lưu lượng được cấp bởi Cisco IP Phone .
Cisco IP Phone được tích hợp 3 cổng 10/100 chuyển mạch. Những cổng đó cung cấp những kết nối đến những thiết bị:
o Cổng 1 kết nối đến switch hoặc những thiết bị VoIP khác.
o Cổng 2 là một giao diện ( interface ) với tốc độ 10/100 Mbps có khả truyền lưu lượng IP
o Phone.
o Cổng 3 là một cổng do ta tự gándùng để switch kết nối những thiết bị khác.
Ưu điểm của Voice VLAN :
o Chia các phone trong mạng điện thoại hợp lý.
o Cung cấp mạng luới phân chia và kiểm soát.
o Cho phép quản trị viên tạo và thực thi QoS .
o Có hỗ trợ thêm và cho phép thực thi cơ chế bảo mật.
III. QUẢN LÝ VLAN :
Hiện nay, đa số các thiết bị như router, switch có thể truy cập từ xa bằng cách truy xuất đến địa chỉ của thiết bị. Đối với các thiết bị mà cho phép truy cập từ xa thì chúng ta nên đặt vào trong một VLAN , đó gọi là quản lý VLAN. VLAN này độc lập với các VLAN khác (như Native VLAN) . Do đó khi mạng có vấn đề như: mặc định với Spanning Tree, thì sự quản lý VLAN cho phép nguời dùng vẫn có thể truy cập được vào các thiết bị và giải quyết các vấn đề đó.
Ta cấu hình swicth với một VLAN mặc định dùng để quản lý các cổng mà ta đã gán vào. Phuơng pháp này đựơc sử dụng trên một thế thống quy mô vì địa chỉ IP , CDP (Cisco Discovery Protocol : là phuơng thức của Cisco tạo ra, để xem thông tin các thiết bị lân cận ), VTP ( VLAN Trunking Protocol) , tất cả đều được tồn tại trong sử quản lý của VLAN 1 . Nó được tạo ra mặc định trên các switch của Cisco và được gán vào tất cả các cổng , tất cả các thiết bị kết nói tới một switch đều cùng miền quảng bá.
Gán địa chỉ vào switch thì ta nên cấu hình địa chỉ trên VLAN 1 .Có nghĩa là một hệ thông làm việc của chúng ta cần phải được truy cập vào VLAN 1 để nó tự động quản lý switch . Nếu ta chuyển VLAN trên cổng của hệ thống làm việc hay router đang kết nối thì switch vô hiệu dụng với phuơng thức Telnet , SSH , HTTP , SNMP.
IV. BẢO MẬT VLAN:
VLAN có một hiệu quả kỹ thuật cho việc mở rộng tường lửatừ các router, switch và bảo vệ mạng thoát khỏi các sự cố. Tuờng lửađược tạo ra bằng cách gán các cổng trên switch vào nhóm VLAN cụ thể. Trong một switch, lưu lượng quảng bá trong phạm vi một VLAN không được truyền ra ngoài. Những cổng liền kề không thuộc một VLAN thì không nhận lưu lượng quảng bá mà phải nhờ các VLAN khác quảng bá. Kiểu cấu hình này thực chất giảm bớt lưu lượng quảng bá, tiết kiệm băng thông cho người dùng.
Một vấn đề chia sẻ VLAN thông thường là chúng tương đối dễ bị xâm nhập . Bằng cách cắm dây mạng vào một cổng bất kì , nguời dùng có thể truy cập vào bên trong của phân đoạn mạng . Trong hệ thống làm việc lớn thì nguy cơ bị truy nhập trái phép cũng cao hơn . Hiệu quả chi phí và kỹ thuật quản trị dễ dàng , khả năng bảo mật cao là phân đoạn mạng và đưa các nguời dùng vào trong một miền quảng bá . Điều này cho phép bảo mật hệ thống mạng theo các cách sau đây :
Ø Hạn chế số lượng nguời dùng trong một nhóm VLAN .
Ø Ngăn ngừa sự truy nhập trái phép mà không được sự đồng ý của chương trình quản lý.
Cấu hình tất cả các cổng không được sử dụng vào một dịch vụ VLAN mặc định cấp thấp