PRIVATE VLANS
Các kỹ sư có thể thiết kế VLAN với nhiều mục đích. Trong nhiều trường hợp ngày nay, các thiết bị có thể nằm trong cùng một VLAN do cùng chung một vị trí đặt máy. Vấn đề bảo mật là một trong nhưng yếu tố khác trong thiết kế VLAN: các thiết bị khác nhau trong các VLAN khác nhau không nghe broadcast. Thêm vào đó, việc chia các máy tính ra các VLAN khác nhau sẽ dẫn đến yêu cầu dùng router hoặc các switch đa lớp giữa các subnet và các kiểu thiết bị này thường có thêm nhiều chức năng bảo mật. Trong một vài trường hợp, nhu cầu tăng tính bảo mật bằng cách tách các thiết bị bên trong một VLAN nhỏ sẽ xung đột với mục đích thiết kế sử dụng các địa chỉ IP sẵn có. Tính năng private VLAN của Cisco giúp giải quyết vấn đề này. Private VLAN cho phép một switch tách biệt các máy tính như thể các máy tính này trên các VLAN khác nhau trong khi vẫn dùng duy nhất một IP subnet. Một tình huống phổ biến để triển khai private VLAN là trong phòng trung tâm dữ liệu (data center) của các nhà cung cấp dịch vụ. Nhà cung cấp dịch vụ có thể cài đặt một router và một switch. Sau đó, nhà cung cấp dịch vụ sẽ gắn các thiết bị từ các khách hàng khác nhau vào cùng một switch. Private VLAN cho phép nhà cung cấp dịch vụ (service provider) dùng một subnet duy nhất cho cả toà nhà, cho các cổng khác nhau của khách hàng sao cho nó không thể giao tiếp trực tiếp trong khi vẫn hỗ trợ tất cả các khách hàng trong một switch duy nhất.
Về mặt ý niệm, một private VLAN bao gồm các đặc điểm sau:
Để hỗ trợ những nhóm cổng trên, một private VLAN bao gồm một VLAN chính gọi là primary VLAN và một hoặc nhiều VLAN phụ gọi là secondary VLAN. Các cổng trong primary VLAN được gọi là promicuous có nghĩa là nó có thể gửi và nhận khung (frame) với bất kỳ cổng nào khác, kể cả với những cổng được gán vào secondary VLAN. Các thiết bị được truy cập chung, chẳng hạn như router hay server thường được đặt vào trong primary VLAN. Các cổng khác, chẳng hạn như các cổng của khách hàng sẽ gắn vào một trong những secondary VLAN. Secondary VLAN thường có một trong hai dạng VLAN là community VLAN và isolated VLANs. Các kỹ sư sẽ chọn lựa kiểu tùy thuộc vào thiết bị có là một phần của tập hợp các cổng mà cho phép gửi frame vào và ra (community VLAN). Còn kiểu isolated sẽ không thể truyền đến các cổng khác ngoài VLAN.
Ta đã biết trong cùng một VLAN , nếu một máy tính gởi gói tin cho tất cả máy tính khác (gọi là gởi broadcast) thì tất cả các máy tính còn lại trong VLAN đó sẽ nhận được gói tin broadcast này. Thường thì người ta muốn chia nhỏ không gian broadcast ra bằng cách phân ra làm nhiều VLAN, sau đó dùng router hay switch lớp 3 để định tuyến giữa các VLAN này. Tuy nhiên để giải quyết việc ảnh hưởng qua lại giữa các thiết bị trong cùng một VLAN thì ta phải có một giải pháp nào đó nhằm cho các lưu lượng trong cùng một VLAN là độc lập với nhau. Ví dụ: chúng ta là nhà cung cấp dịch vụ, các khách hàng thuê của ta 10 máy chủ. Một mặt chúng ta muốn 10 máy chủ này nằm trong một VLAN gọi là server farm VLAN để dễ quản lí, và có thể giao tiếp trên internet thông qua defaut gateway. Mặt khác chúng ta cũng muốn rằng các máy chủ của các khách hàng khác nhau sẽ độc lập và không bị ảnh hưởng lẫn nhau. Private VLAN ra đời nhằm giải quyết vấn đề này, đó là độc lập lưu lượng ở lớp 2 giữa các thiết bị trong cùng một VLAN. Trong ví dụ trên, nếu các khách hàng khác nhau đặt ở các VLAN khác nhau nghĩa là ta phải cung cấp riêng cho mỗi VLAN một subnet. Hơn nữa ta phải tiêu tốn cho mỗi VLAN một interface, và càng có nhiều VLAN nghĩa là STP chạy càng phức tạp hơn. Để quản lí các VLAN này, chúng ta cũng phải cùng thêm nhiều danh sách quản lý truy cập (Access Control List – ACL) hơn , làm cho việc quản lí mạng cũng trở nên phức tạp hơn. Giải pháp private VLAN cung cấp những thuận lợi sau:
Các kỹ sư có thể thiết kế VLAN với nhiều mục đích. Trong nhiều trường hợp ngày nay, các thiết bị có thể nằm trong cùng một VLAN do cùng chung một vị trí đặt máy. Vấn đề bảo mật là một trong nhưng yếu tố khác trong thiết kế VLAN: các thiết bị khác nhau trong các VLAN khác nhau không nghe broadcast. Thêm vào đó, việc chia các máy tính ra các VLAN khác nhau sẽ dẫn đến yêu cầu dùng router hoặc các switch đa lớp giữa các subnet và các kiểu thiết bị này thường có thêm nhiều chức năng bảo mật. Trong một vài trường hợp, nhu cầu tăng tính bảo mật bằng cách tách các thiết bị bên trong một VLAN nhỏ sẽ xung đột với mục đích thiết kế sử dụng các địa chỉ IP sẵn có. Tính năng private VLAN của Cisco giúp giải quyết vấn đề này. Private VLAN cho phép một switch tách biệt các máy tính như thể các máy tính này trên các VLAN khác nhau trong khi vẫn dùng duy nhất một IP subnet. Một tình huống phổ biến để triển khai private VLAN là trong phòng trung tâm dữ liệu (data center) của các nhà cung cấp dịch vụ. Nhà cung cấp dịch vụ có thể cài đặt một router và một switch. Sau đó, nhà cung cấp dịch vụ sẽ gắn các thiết bị từ các khách hàng khác nhau vào cùng một switch. Private VLAN cho phép nhà cung cấp dịch vụ (service provider) dùng một subnet duy nhất cho cả toà nhà, cho các cổng khác nhau của khách hàng sao cho nó không thể giao tiếp trực tiếp trong khi vẫn hỗ trợ tất cả các khách hàng trong một switch duy nhất.
Về mặt ý niệm, một private VLAN bao gồm các đặc điểm sau:
- Các cổng cần giao tiếp với tất cả các thiết bị khác.
- Các cổng cần giao tiếp với nhau và với các thiết bị khác, thường là router.
- Các công giao tiếp chỉ với những thiết bị dùng chung.
Để hỗ trợ những nhóm cổng trên, một private VLAN bao gồm một VLAN chính gọi là primary VLAN và một hoặc nhiều VLAN phụ gọi là secondary VLAN. Các cổng trong primary VLAN được gọi là promicuous có nghĩa là nó có thể gửi và nhận khung (frame) với bất kỳ cổng nào khác, kể cả với những cổng được gán vào secondary VLAN. Các thiết bị được truy cập chung, chẳng hạn như router hay server thường được đặt vào trong primary VLAN. Các cổng khác, chẳng hạn như các cổng của khách hàng sẽ gắn vào một trong những secondary VLAN. Secondary VLAN thường có một trong hai dạng VLAN là community VLAN và isolated VLANs. Các kỹ sư sẽ chọn lựa kiểu tùy thuộc vào thiết bị có là một phần của tập hợp các cổng mà cho phép gửi frame vào và ra (community VLAN). Còn kiểu isolated sẽ không thể truyền đến các cổng khác ngoài VLAN.
Mô tả kiểu cổng nào có thể nói với cổng nào | Cổng thuộc Primary VLAN | Cổng thuộc Community VLAN | Cổng thuộc Isolated VLAN |
Nói với các cổng trong kiểu primary VLAN (promiscuous port) | YES | YES | YES |
Nói với các cổng trong secondary VLAN (hostport) | Yes | Yes | No |
Nói với các cổng trong secondary VLAN | Yes | No | No |
Ta đã biết trong cùng một VLAN , nếu một máy tính gởi gói tin cho tất cả máy tính khác (gọi là gởi broadcast) thì tất cả các máy tính còn lại trong VLAN đó sẽ nhận được gói tin broadcast này. Thường thì người ta muốn chia nhỏ không gian broadcast ra bằng cách phân ra làm nhiều VLAN, sau đó dùng router hay switch lớp 3 để định tuyến giữa các VLAN này. Tuy nhiên để giải quyết việc ảnh hưởng qua lại giữa các thiết bị trong cùng một VLAN thì ta phải có một giải pháp nào đó nhằm cho các lưu lượng trong cùng một VLAN là độc lập với nhau. Ví dụ: chúng ta là nhà cung cấp dịch vụ, các khách hàng thuê của ta 10 máy chủ. Một mặt chúng ta muốn 10 máy chủ này nằm trong một VLAN gọi là server farm VLAN để dễ quản lí, và có thể giao tiếp trên internet thông qua defaut gateway. Mặt khác chúng ta cũng muốn rằng các máy chủ của các khách hàng khác nhau sẽ độc lập và không bị ảnh hưởng lẫn nhau. Private VLAN ra đời nhằm giải quyết vấn đề này, đó là độc lập lưu lượng ở lớp 2 giữa các thiết bị trong cùng một VLAN. Trong ví dụ trên, nếu các khách hàng khác nhau đặt ở các VLAN khác nhau nghĩa là ta phải cung cấp riêng cho mỗi VLAN một subnet. Hơn nữa ta phải tiêu tốn cho mỗi VLAN một interface, và càng có nhiều VLAN nghĩa là STP chạy càng phức tạp hơn. Để quản lí các VLAN này, chúng ta cũng phải cùng thêm nhiều danh sách quản lý truy cập (Access Control List – ACL) hơn , làm cho việc quản lí mạng cũng trở nên phức tạp hơn. Giải pháp private VLAN cung cấp những thuận lợi sau:
- Giảm số lượng VLAN: các khách hàng khác nhau có thể dùng chung một VLAN mà không ảnh hưởng lẫn nhau.
- Dùng một subnet duy nhất cho toàn bộ private VLAN, dãy địa chỉ ip của khách hàng cũng nằm trong subnet này.
- Lưu lượng chỉ được mang đi trên primary VLAN, nghĩa là chỉ có địa chỉ ip của giao diện primary VLAN mới được quảng bá.