🔥 VLAN Configuration trên Cisco IOS Switch – Từ Zero đến Thực Chiến

1. Bức tranh tổng thể: VLAN là gì trong thực tế?


Trong môi trường switching, mặc định tất cả các port thuộc cùng một broadcast domain (VLAN 1). Điều này đồng nghĩa:

• Tất cả host có thể giao tiếp Layer 2 với nhau
• Không có segmentation → không kiểm soát broadcast
• Không có isolation → rủi ro bảo mật cao

👉 VLAN (Virtual LAN) được sinh ra để:

• Phân tách broadcast domain
• Tăng bảo mật
• Tối ưu hiệu năng mạng

---

2. Lab cơ bản: Default VLAN trên Switch

Topology (trang 1):

• H1: 192.168.1.1/24
• H2: 192.168.1.2/24
• Kết nối vào SW1 (Catalyst 2950)

👉 Khi chạy:
SW1# show vlan

Kết quả cho thấy:

• VLAN 1 (default) → active
• Tất cả port đều nằm trong VLAN 1

💡 Insight quan trọng:

• VLAN 1 luôn tồn tại (default VLAN)
• Toàn bộ interface ban đầu đều thuộc VLAN 1

---

3. Kiểm chứng kết nối ban đầu


Từ H1 ping H2:
ping 192.168.1.2

Kết quả:

• Success 100% (0% loss)

👉 Điều này chứng minh:

• Khi cùng VLAN → communication hoạt động ngay ở Layer 2

---

4. Tạo VLAN mới – Bước đầu segmentation

Tạo VLAN 50:

SW1(config)# vlan 50
SW1(config-vlan)# name Computers
SW1(config-vlan)# exit

👉 Kiểm tra:
show vlan

Kết quả:

• VLAN 50 đã tồn tại
• Nhưng chưa có port nào thuộc VLAN này

💡 Đây là lỗi phổ biến của người mới:

---

5. Gán port vào VLAN – Bước quyết định

Cấu hình:

interface fa0/1
switchport mode access
switchport access vlan 50

interface fa0/2
switchport mode access
switchport access vlan 50

👉 Ý nghĩa:

• switchport mode access: port hoạt động như access port
• switchport access vlan 50: gán VLAN

---

6. Verify cấu hình

Kiểm tra VLAN:

show vlan

Kết quả:

• Fa0/1, Fa0/2 → VLAN 50

---

Kiểm tra interface chi tiết:

show interfaces fa0/1 switchport

Thông tin quan trọng:

• Administrative Mode: static access
• Operational Mode: static access
• Access Mode VLAN: 50
• Native VLAN: 1

💡 Insight CCIE-level:

• Administrative = cấu hình
• Operational = trạng thái thực tế
• Nếu mismatch → có vấn đề (VD: trunk negotiation)

---

7. Test lại connectivity


Ping lại:
ping 192.168.1.2

👉 Kết quả:

• Thành công 100%

💡 Vì:

• Cả 2 host vẫn cùng VLAN 50 → cùng broadcast domain

---

8. Cấu hình hoàn chỉnh

hostname SW1

vlan 50
name Computers

interface FastEthernet0/1
switchport mode access
switchport access vlan 50

interface FastEthernet0/2
switchport mode access
switchport access vlan 50

---

9. Các điểm cực kỳ quan trọng (Real-World Tips)

🔹 1. VLAN database không nằm trong running-config

• Lưu trong file:

flash:vlan.dat

• Muốn reset VLAN:

delete flash:vlan.dat

---

🔹 2. VLAN 1 – nguy cơ bảo mật

• Default VLAN
• Default Native VLAN
• Default Management traffic

👉 Best Practice:

• Không dùng VLAN 1 cho user traffic
• Tạo VLAN riêng cho management

---

🔹 3. Access vs Trunk (hint cho bài tiếp theo)

• Access: 1 VLAN duy nhất
• Trunk: multiple VLAN (802.1Q tagging)

---

🔹 4. Lỗi phổ biến khi triển khai VLAN

• Quên assign port vào VLAN
• Sai mode (trunk vs access)
• Native VLAN mismatch
• Không đồng bộ VLAN giữa switch

---

10. Góc nhìn nâng cao (Security & Design)


Từ góc nhìn CISSP / CCIE Security:

• VLAN = segmentation Layer 2
• Nhưng KHÔNG phải là security boundary tuyệt đối

👉 Cần kết hợp:

• ACL (Layer 3)
• Private VLAN
• Microsegmentation
• NAC (802.1X)

---

Kết luận


VLAN là nền tảng của:

• Network segmentation
• Security architecture
• Scalable design

👉 Nắm vững VLAN = bước đầu để đi tới:

• Inter-VLAN Routing
• Trunking (802.1Q)
• Campus Design (Access / Distribution / Core)

​