SVTH:
Nguyễn Anh Khoa
Phan Thanh Lâm
Nguyễn Duy Khánh
1. Native VLAN :
Hình minh họa
a) Giới thiệu:
Native VLAN là một VLAN có các cổng được cấu hình trunk ( mặc định là VLAN1). Khi một cổng của switch được cấu hình trunk , trong phần gắn thẻ của các đối tuợng đi qua cổng đó sẽ được gán vào một số hiệu VLAN thích hợp. Tất cả các đối tuợng thuộc các VLAN khi đi qua đường trunk sẽ được gắn thẻ giao thức IEEE 802.1Q và ISL, ngoại trừ các đối tuợng thuộc VLAN 1. Như vậy, theo mặc định các đối tuợng của VLAN 1 khi đi qua đường trunk sẽ không được gắn thẻ. VLAN1 thường dùng cho mục đích quản lý khi cần cấu hình thiết bị từ xa.
b) Tác dụng Native VLAN:
Để giảm khả năng xử lý cho hệ thống, Khả năng tương thích với các thiết bị không được hỗ trợ VLAN như Hub , Repeater ( những thiết bị thuộc tầng 1 ) ...
Lưu ý :
-Có một điều phải lưu ý Native VLAN chỉ có giá trị ở hai đầu một đường trunk . Nghĩa là nếu như switch có 3 đường trunk khác nhau , nếu 3 đường trunk sử dụng Native VLAN khác nhau thì cũng không ảnh huởng gì cả. Chính vì thế mà Native VLAN 99 không mang ý nghĩa thực tế.
- Nếu trong trường hợp không yêu cầu thì Native VLAN là VLAN 1 là hoàn toàn đúng.
2. Private VLAN:
a. Khái niệm:
Các kỹ sư có thể thiết kế VLAN với nhiều mục đích. Trong nhiều trường hợp ngày nay, các thiết bị có thể nằm trong cùng một VLAN do cùng chung một vị trí đặt máy. Vấn đề bảo mật là một trong nhưng yếu tố khác trong thiết kế VLAN: các thiết bị khác nhau trong các VLAN khác nhau không “nghe” broadcast. Thêm vào đó, việc chia các host ra các VLAN khác nhau sẽ dẫn đến yêu cầu dùng routers hoặc các multilayer switch giữa các subnets và các kiểu thiết bị này thường có thêm nhiều chức năng bảo mật. Trong một vài trường hợp, nhu cầu tăng tính bảo mật bằng cách tách các thiết bị bên trong một VLAN nhỏ sẽ xung đột với mục đích thiết kế sử dụng các địa chỉ IP sẵn có.
Tính năng private VLAN của Cisco giúp giải quyết vấn đề này. Private VLAN cho phép một switch tách biệt các host như thể các host này trên các VLAN khác nhau trong khi vẫn dùng duy nhất một IP subnet. Một tình huống phổ biến để triển khai private VLAN là trong phòng data center của các nhà cung cấp dịch vụ. Nhà cung cấp dịch vụ có thể cài đặt một router và một switch. Sau đó, SP sẽ gắn các thiết bị từ các khách hàng khác nhau vào cùng một switch. Private VLAN cho phép SP (service provider) dùng một subnet duy nhất cho cả toà nhà, cho các cổng khác nhau của khách hàng sao cho nó không thể giao tiếp trực tiếp trong khi vẫn hỗ trợ tất cả các khách hàng trong một switch duy nhất.
Về mặt ý niệm, một private VLAN bao gồm các đặc điểm sau:
+ Các cổng cần giao tiếp với tất cả các thiết bị khác.
+ Các cổng cần giao tiếp với nhau và với các thiết bị khác, thường là routers.
+ Các công giao tiếp chỉ với những thiết bị dùng chung.
Để hỗ trợ những nhóm port trên, một private VLAN bao gồm primary VLAN và một hoặc nhiều secondary VLAN. Các port trong primary VLAN được gọi là promicuous có nghĩa là nó có thể gửi và nhận frame với bất kỳ port nào khác, kể cả với những port được gán vào secondary VLAN. Các thiết bị được truy cập chung, chẳng hạn như routers hay server thường được đặt vào trong primary VLAN. Các port khác, chẳng hạn như các port của khách hàng sẽ gắn vào một trong những secondary VLAN. Secondary VLAN thường có một trong hai dạng là community VLAN và isolated VLANs. Các kỹ sư sẽ chọn lựa kiểu tùy thuộc vào thiết bị có là một phần của tập hợp các cổng cho phép gửi frame vào và ra (community VLAN). Còn kiểu isolated port sẽ không thể truyền đến các port khác ngoài VLAN.
Sự giao tiếp giữa các port
+ Community port : Port này chỉ giao tiếp với chính nó và Promiscuous port
+ Promiscuous port: Port này có thể giao tiếp được với 2 loại port kia
+ Isolated port : Port này chỉ giao tiếp được với Promiscuous port
b. Cấu hình Community PVLAN:
+ Các bước cấu hình:
1) Thiết lập VTP mode transparent
2) Tạo Secondarys VLAN (community)
3) Tạo Primary VLAN
4) Liên kết Primary VLAN với Secondarys VLAN, có thể map nhiều hơn một community VLAN tới
5) Primary VLAN
6) Cấu hình một interface là một communirty port và một promiscuous port
7) Liên kết communiry port với primary-secondary VLAN
8) Map promiscuous port với primary-secondary VLAN
Nguyễn Anh Khoa
Phan Thanh Lâm
Nguyễn Duy Khánh
1. Native VLAN :
Hình minh họa
a) Giới thiệu:
Native VLAN là một VLAN có các cổng được cấu hình trunk ( mặc định là VLAN1). Khi một cổng của switch được cấu hình trunk , trong phần gắn thẻ của các đối tuợng đi qua cổng đó sẽ được gán vào một số hiệu VLAN thích hợp. Tất cả các đối tuợng thuộc các VLAN khi đi qua đường trunk sẽ được gắn thẻ giao thức IEEE 802.1Q và ISL, ngoại trừ các đối tuợng thuộc VLAN 1. Như vậy, theo mặc định các đối tuợng của VLAN 1 khi đi qua đường trunk sẽ không được gắn thẻ. VLAN1 thường dùng cho mục đích quản lý khi cần cấu hình thiết bị từ xa.
b) Tác dụng Native VLAN:
Để giảm khả năng xử lý cho hệ thống, Khả năng tương thích với các thiết bị không được hỗ trợ VLAN như Hub , Repeater ( những thiết bị thuộc tầng 1 ) ...
Lưu ý :
-Có một điều phải lưu ý Native VLAN chỉ có giá trị ở hai đầu một đường trunk . Nghĩa là nếu như switch có 3 đường trunk khác nhau , nếu 3 đường trunk sử dụng Native VLAN khác nhau thì cũng không ảnh huởng gì cả. Chính vì thế mà Native VLAN 99 không mang ý nghĩa thực tế.
- Nếu trong trường hợp không yêu cầu thì Native VLAN là VLAN 1 là hoàn toàn đúng.
2. Private VLAN:
a. Khái niệm:
Các kỹ sư có thể thiết kế VLAN với nhiều mục đích. Trong nhiều trường hợp ngày nay, các thiết bị có thể nằm trong cùng một VLAN do cùng chung một vị trí đặt máy. Vấn đề bảo mật là một trong nhưng yếu tố khác trong thiết kế VLAN: các thiết bị khác nhau trong các VLAN khác nhau không “nghe” broadcast. Thêm vào đó, việc chia các host ra các VLAN khác nhau sẽ dẫn đến yêu cầu dùng routers hoặc các multilayer switch giữa các subnets và các kiểu thiết bị này thường có thêm nhiều chức năng bảo mật. Trong một vài trường hợp, nhu cầu tăng tính bảo mật bằng cách tách các thiết bị bên trong một VLAN nhỏ sẽ xung đột với mục đích thiết kế sử dụng các địa chỉ IP sẵn có.
Tính năng private VLAN của Cisco giúp giải quyết vấn đề này. Private VLAN cho phép một switch tách biệt các host như thể các host này trên các VLAN khác nhau trong khi vẫn dùng duy nhất một IP subnet. Một tình huống phổ biến để triển khai private VLAN là trong phòng data center của các nhà cung cấp dịch vụ. Nhà cung cấp dịch vụ có thể cài đặt một router và một switch. Sau đó, SP sẽ gắn các thiết bị từ các khách hàng khác nhau vào cùng một switch. Private VLAN cho phép SP (service provider) dùng một subnet duy nhất cho cả toà nhà, cho các cổng khác nhau của khách hàng sao cho nó không thể giao tiếp trực tiếp trong khi vẫn hỗ trợ tất cả các khách hàng trong một switch duy nhất.
Về mặt ý niệm, một private VLAN bao gồm các đặc điểm sau:
+ Các cổng cần giao tiếp với tất cả các thiết bị khác.
+ Các cổng cần giao tiếp với nhau và với các thiết bị khác, thường là routers.
+ Các công giao tiếp chỉ với những thiết bị dùng chung.
Để hỗ trợ những nhóm port trên, một private VLAN bao gồm primary VLAN và một hoặc nhiều secondary VLAN. Các port trong primary VLAN được gọi là promicuous có nghĩa là nó có thể gửi và nhận frame với bất kỳ port nào khác, kể cả với những port được gán vào secondary VLAN. Các thiết bị được truy cập chung, chẳng hạn như routers hay server thường được đặt vào trong primary VLAN. Các port khác, chẳng hạn như các port của khách hàng sẽ gắn vào một trong những secondary VLAN. Secondary VLAN thường có một trong hai dạng là community VLAN và isolated VLANs. Các kỹ sư sẽ chọn lựa kiểu tùy thuộc vào thiết bị có là một phần của tập hợp các cổng cho phép gửi frame vào và ra (community VLAN). Còn kiểu isolated port sẽ không thể truyền đến các port khác ngoài VLAN.
Sự giao tiếp giữa các port
+ Community port : Port này chỉ giao tiếp với chính nó và Promiscuous port
+ Promiscuous port: Port này có thể giao tiếp được với 2 loại port kia
+ Isolated port : Port này chỉ giao tiếp được với Promiscuous port
b. Cấu hình Community PVLAN:
+ Các bước cấu hình:
1) Thiết lập VTP mode transparent
2) Tạo Secondarys VLAN (community)
3) Tạo Primary VLAN
4) Liên kết Primary VLAN với Secondarys VLAN, có thể map nhiều hơn một community VLAN tới
5) Primary VLAN
6) Cấu hình một interface là một communirty port và một promiscuous port
7) Liên kết communiry port với primary-secondary VLAN
8) Map promiscuous port với primary-secondary VLAN