Nhiều hệ thống mạng mà cần có sự di chuyển tới những nơi tập trung tài nguyên, End-to-end VLAn trở nên khó duy trì. Những người dùng yêu cầu sử dụng nhiều nguồn tài nguyên khác nhau, nhiều trong số đó không còn ở trong VLAN của chúng nữa. Bởi sự thay đổi về địa điểm và cách sử dụng tài nguyên. Các VLAN được tạo ra xung quanh các giới hạn địa lý hơn là giới hạn thông thường. Vị trí địa lý có thể rộng như toàn bộ một toà nhà, hoặc cũng có thể nhỏ như một switch trong một WiringCloset.
Các kiểu triển khai VLAN
Có 3 mô hình cơ bản để xác định và điều khiển một gói tin được gán như thế nào vào một VLAN:
Số lượng các VLAN trong một switch có thể rất khác nhau, phụ thuộc vào một vài yếu tố. Như các kiểu lưu lượng, kiểu ứng dụng, nhu cầu quản lý mạng và nhóm thông dụng. Thêm nữa phải xem xét một vấn đề quan trọng trong việc xác định rõ kích cỡ của switch và số lượng các VLAN là sắp xếp dãy địa chỉ IP.
Phân biệt các kiểu VLAN
Có nhiều kiểu VLAN khác nhau: VLAN 1/Default VLAN/User VLAN/Native VLAN/ Management VLAN. Mặc định, tất cả các giao diện Ethernet của Cisco switch nằm trong VLAN 1.
Mặc định, các thiết bị lớp 2 sẽ sử dụng một VLAN mặc định để đưa tất cả các cổng của thiết bị đó vào. Thêm vào nữa là có rất nhiều giao thức lớp 2 như CDP, PAgP, và VTP cần phải được gửi tới một VLAN xác định trên các đường trung kế (trunk). Chính vì các mục đích đó mà VLAN mặc định được chọn là VLAN 1. CDP, PagP, VTP, và DTP luôn luôn được truyền qua VLAN 1 và mặc định này không thể thay đổi được. Các khuyến cáo của Cisco chỉ ra rằng VLAN 1 chỉ nên dành cho các giao thức kể trên.
Default VLAN: VLAN 1 còn được gọi là VLAN mặc định. Chính vì vậy, mặc định, native VLAN, VLAN quản lý và VLAN người dùng sẽ là thành viên của VLAN 1. Tất cả các giao diện Ethernet trên switch Catalyst mặc định thuộc VLAN 1. Các thiết bị gắn với các giao diện đó sẽ là thành viên của VLAN 1, trừ khi các giao diện đó được cấu hình sang các VLAN khác.
VLAN người dùng: VLAN được tạo ra nhằm tạo ra một nhóm người sử dụng mà không phụ thuộc vào vị trí vật lý hay luận lý và tách biệt với phần còn lại của mạng ban đầu. Câu lệnh switchport access vlan được dùng để chỉ định các cổng vào các VLAN khác nhau.
Native VLAN: Native VLAN là một VLAN có các cổng được cấu hình trung kế. Khi một cổng của switch được cấu hình trung kế, trong phần đuôi thêm vào của frame đi qua cổng đó sẽ được thêm một số hiệu VLAN thích hợp. Tất cả các frame thuộc các VLAN khi đi qua đường trung kế sẽ được gắn thêm phần đuôi của giao thức 802.1q và ISL, ngoại trừ các frame của VLAN 1. Như vậy, theo mặc định các frame của VLAN 1 khi đi qua đường trung kế sẽ không được gắn tag. Khả năng này cho phép các cổng hỗ trợ trunking 802.1Q giao tiếp được với các cổng không hỗ trợ trunking 802.1Q bằng cách gửi và nhận trực tiếp các luồng dữ liệu không được gắn tag. Native VLAN được chỉ định bằng câu lệnh:
Switch(config-if)#switchport trunk native vlan vlan-id
VLAN Quản Trị
Hiện nay, đa số các thiết bị như router, switch có thể truy cập từ xa bằng cách telnet đến địa chỉ IP của thiết bị. Đối với các thiết bị mà cho phép truy cập từ xa thì chúng ta nên đặt vào trong một VLAN, được gọi là VLAN quản trị. VLAN này độc lập với các VLAN khác như VLAN người dùng, native VLAN. Do đó khi mạng có vấn đề như: hội tụ với STP, bão broadcast thì một VLAN quản trị cho phép nhà quản trị vẫn có thể truy cập được vào các thiết bị và giải quyết các vấn đề đó. Một yếu tố khác để tạo ra một VLAN quản trị độc lập với VLAN người dùng là việc tách các thiết bị đáng tin cậy với các thiết bị không tin cậy. Do đó làm giảm đi khả năng các người dùng bình thường dành được quyền truy cập vào các thiết bị đó.
Mỗi VLAN nên có một ip subnet hay nói cách khác, các thiết bị trong một VLAN thường dùng chung một dãy địa chỉ IP. Tuy nhiên, ta vẫn có thể đặt nhiều địa chỉ trong một VLAN và dùng địa chỉ ip thứ 2 trên các routers để định tuyến giữa các VLAN và các subnet. Bạn cũng có thể thiết kế một mạng dùng chỉ một subnet trên nhiều VLAN và dùng router với chức năng Proxy Arp để chuyển dữ liệu giữa các host trong các VLAN này. VLAN riêng ảo có thể được xem như gồm một subnet trên nhiều VLAN. Các L2 switch chuyển các frame giữa các thiết bị trên cùng một VLAN nhưng nó không chuyển frame giữa các thiết bị khác VLAN. Để chuyển dữ liệu giữa hai VLAN, một thiết bị switch hoạt động ở lớp 3 hoặc routers phải được dùng.
Các kiểu triển khai VLAN
Có 3 mô hình cơ bản để xác định và điều khiển một gói tin được gán như thế nào vào một VLAN:
- VLAN dựa trên cổng – port-base VLANs
- VLAN dựa trên địa chỉ MAC – MAC address-base VLANs
Số lượng các VLAN trong một switch có thể rất khác nhau, phụ thuộc vào một vài yếu tố. Như các kiểu lưu lượng, kiểu ứng dụng, nhu cầu quản lý mạng và nhóm thông dụng. Thêm nữa phải xem xét một vấn đề quan trọng trong việc xác định rõ kích cỡ của switch và số lượng các VLAN là sắp xếp dãy địa chỉ IP.
Phân biệt các kiểu VLAN
Có nhiều kiểu VLAN khác nhau: VLAN 1/Default VLAN/User VLAN/Native VLAN/ Management VLAN. Mặc định, tất cả các giao diện Ethernet của Cisco switch nằm trong VLAN 1.
Mặc định, các thiết bị lớp 2 sẽ sử dụng một VLAN mặc định để đưa tất cả các cổng của thiết bị đó vào. Thêm vào nữa là có rất nhiều giao thức lớp 2 như CDP, PAgP, và VTP cần phải được gửi tới một VLAN xác định trên các đường trung kế (trunk). Chính vì các mục đích đó mà VLAN mặc định được chọn là VLAN 1. CDP, PagP, VTP, và DTP luôn luôn được truyền qua VLAN 1 và mặc định này không thể thay đổi được. Các khuyến cáo của Cisco chỉ ra rằng VLAN 1 chỉ nên dành cho các giao thức kể trên.
Default VLAN: VLAN 1 còn được gọi là VLAN mặc định. Chính vì vậy, mặc định, native VLAN, VLAN quản lý và VLAN người dùng sẽ là thành viên của VLAN 1. Tất cả các giao diện Ethernet trên switch Catalyst mặc định thuộc VLAN 1. Các thiết bị gắn với các giao diện đó sẽ là thành viên của VLAN 1, trừ khi các giao diện đó được cấu hình sang các VLAN khác.
VLAN người dùng: VLAN được tạo ra nhằm tạo ra một nhóm người sử dụng mà không phụ thuộc vào vị trí vật lý hay luận lý và tách biệt với phần còn lại của mạng ban đầu. Câu lệnh switchport access vlan được dùng để chỉ định các cổng vào các VLAN khác nhau.
Native VLAN: Native VLAN là một VLAN có các cổng được cấu hình trung kế. Khi một cổng của switch được cấu hình trung kế, trong phần đuôi thêm vào của frame đi qua cổng đó sẽ được thêm một số hiệu VLAN thích hợp. Tất cả các frame thuộc các VLAN khi đi qua đường trung kế sẽ được gắn thêm phần đuôi của giao thức 802.1q và ISL, ngoại trừ các frame của VLAN 1. Như vậy, theo mặc định các frame của VLAN 1 khi đi qua đường trung kế sẽ không được gắn tag. Khả năng này cho phép các cổng hỗ trợ trunking 802.1Q giao tiếp được với các cổng không hỗ trợ trunking 802.1Q bằng cách gửi và nhận trực tiếp các luồng dữ liệu không được gắn tag. Native VLAN được chỉ định bằng câu lệnh:
Switch(config-if)#switchport trunk native vlan vlan-id
VLAN Quản Trị
Hiện nay, đa số các thiết bị như router, switch có thể truy cập từ xa bằng cách telnet đến địa chỉ IP của thiết bị. Đối với các thiết bị mà cho phép truy cập từ xa thì chúng ta nên đặt vào trong một VLAN, được gọi là VLAN quản trị. VLAN này độc lập với các VLAN khác như VLAN người dùng, native VLAN. Do đó khi mạng có vấn đề như: hội tụ với STP, bão broadcast thì một VLAN quản trị cho phép nhà quản trị vẫn có thể truy cập được vào các thiết bị và giải quyết các vấn đề đó. Một yếu tố khác để tạo ra một VLAN quản trị độc lập với VLAN người dùng là việc tách các thiết bị đáng tin cậy với các thiết bị không tin cậy. Do đó làm giảm đi khả năng các người dùng bình thường dành được quyền truy cập vào các thiết bị đó.
Mỗi VLAN nên có một ip subnet hay nói cách khác, các thiết bị trong một VLAN thường dùng chung một dãy địa chỉ IP. Tuy nhiên, ta vẫn có thể đặt nhiều địa chỉ trong một VLAN và dùng địa chỉ ip thứ 2 trên các routers để định tuyến giữa các VLAN và các subnet. Bạn cũng có thể thiết kế một mạng dùng chỉ một subnet trên nhiều VLAN và dùng router với chức năng Proxy Arp để chuyển dữ liệu giữa các host trong các VLAN này. VLAN riêng ảo có thể được xem như gồm một subnet trên nhiều VLAN. Các L2 switch chuyển các frame giữa các thiết bị trên cùng một VLAN nhưng nó không chuyển frame giữa các thiết bị khác VLAN. Để chuyển dữ liệu giữa hai VLAN, một thiết bị switch hoạt động ở lớp 3 hoặc routers phải được dùng.
Comment