Tweet
VLAN Quản lý (Management VLAN) là một VLAN chuyên biệt dùng để quản lý, giám sát và cấu hình thiết bị mạng như switch, router, access point, firewall, hoặc WLC thông qua các giao thức quản lý như SSH, Telnet, HTTP/HTTPS, SNMP, hoặc Syslog.
🔹 1. Khái niệm cơ bản
🔹 2. Mục đích của VLAN Quản lý
🔹 3. Cách hoạt động
Ví dụ:
Một switch có nhiều VLAN:
👉 Khi đó, địa chỉ IP quản lý của switch sẽ nằm trong VLAN 99 (ví dụ: 192.168.99.2).
Chỉ những thiết bị trong VLAN 99 (hoặc được phép qua ACL) mới truy cập được vào IP quản lý của switch.
🔹 4. Cấu hình cơ bản trên Switch Cisco
Switch# configure terminal
Switch(config)# vlan 99
Switch(config-vlan)# name Management
Switch(config-vlan)# exit
Switch(config)# interface vlan 99
Switch(config-if)# ip address 192.168.99.2 255.255.255.0
Switch(config-if)# no shutdown
Switch(config)# ip default-gateway 192.168.99.1
! Gán cổng trunk để cho VLAN 99 đi qua
Switch(config)# interface gig0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20,99
🔹 5. Giao thức thường dùng trong VLAN Quản lý
🔹 6. Lưu ý khi triển khai
Nên dùng VLAN riêng biệt cho quản lý, không trộn với VLAN dữ liệu người dùng.
Giới hạn truy cập VLAN quản lý bằng Access Control List (ACL).
Sử dụng SSH và HTTPS thay vì Telnet và HTTP để bảo mật.
Trên các liên kết trunk, cho phép VLAN quản lý đi qua.
Nếu dùng nhiều switch, đảm bảo tất cả đều có Management VLAN thống nhất.
🔹 7. Ví dụ thực tế trong doanh nghiệp
Nhờ đó, người dùng ở VLAN 10 hoặc 20 không thể truy cập giao diện quản lý của switch, tăng cường an toàn mạng nội bộ.
🔹 1. Khái niệm cơ bản
- VLAN (Virtual Local Area Network): là một mạng LAN ảo (VLAN) riêng biệt dùng để quản lý và theo dõi các thiết bị mạng từ xa một cách an toàn, cô lập lưu lượng quản lý khỏi lưu lượng dữ liệu thông thường, giúp cải thiện bảo mật và giảm thiểu ảnh hưởng của các sự cố mạng như bão broadcast.
- Management VLAN: Là một VLAN dành riêng cho việc quản lý thiết bị mạng.
→ Thông qua VLAN này, quản trị viên có thể truy cập vào thiết bị để cấu hình, giám sát hoặc khắc phục sự cố mà không ảnh hưởng đến VLAN dữ liệu của người dùng.
🔹 2. Mục đích của VLAN Quản lý
| Bảo mật | Tách lưu lượng quản lý ra khỏi lưu lượng người dùng. Nếu mạng người dùng bị tấn công, kẻ tấn công khó có thể truy cập vào thiết bị quản lý. |
| Tổ chức và kiểm soát tốt hơn | Dễ phân biệt và cô lập lưu lượng quản lý (SSH, SNMP, Telnet, HTTPS, v.v.). |
| Quản lý tập trung | Các switch, router, AP... đều có địa chỉ IP thuộc VLAN quản lý → dễ dàng giám sát và quản lý qua hệ thống NMS (Network Management System). |
| Giảm rủi ro lỗi cấu hình | Khi quản trị viên cấu hình qua VLAN riêng, ít ảnh hưởng đến VLAN hoạt động chính của người dùng. |
🔹 3. Cách hoạt động
Ví dụ:
Một switch có nhiều VLAN:
- VLAN 10: Phòng Kế toán
- VLAN 20: Phòng Kỹ thuật
- VLAN 99: VLAN Quản lý
👉 Khi đó, địa chỉ IP quản lý của switch sẽ nằm trong VLAN 99 (ví dụ: 192.168.99.2).
Chỉ những thiết bị trong VLAN 99 (hoặc được phép qua ACL) mới truy cập được vào IP quản lý của switch.
🔹 4. Cấu hình cơ bản trên Switch Cisco
Switch# configure terminal
Switch(config)# vlan 99
Switch(config-vlan)# name Management
Switch(config-vlan)# exit
Switch(config)# interface vlan 99
Switch(config-if)# ip address 192.168.99.2 255.255.255.0
Switch(config-if)# no shutdown
Switch(config)# ip default-gateway 192.168.99.1
! Gán cổng trunk để cho VLAN 99 đi qua
Switch(config)# interface gig0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20,99
🔹 5. Giao thức thường dùng trong VLAN Quản lý
| SSH / Telnet | Truy cập dòng lệnh từ xa để cấu hình switch/router |
| SNMP | Giám sát thiết bị (dùng cho NMS như SolarWinds, PRTG, v.v.) |
| HTTP/HTTPS | Quản lý giao diện web của thiết bị |
| Syslog / NTP | Gửi log hoặc đồng bộ thời gian cho thiết bị mạng |
🔹 6. Lưu ý khi triển khai
Nên dùng VLAN riêng biệt cho quản lý, không trộn với VLAN dữ liệu người dùng.
Giới hạn truy cập VLAN quản lý bằng Access Control List (ACL).
Sử dụng SSH và HTTPS thay vì Telnet và HTTP để bảo mật.
Trên các liên kết trunk, cho phép VLAN quản lý đi qua.
Nếu dùng nhiều switch, đảm bảo tất cả đều có Management VLAN thống nhất.
🔹 7. Ví dụ thực tế trong doanh nghiệp
- VLAN 10: Nhân viên
- VLAN 20: Server
- VLAN 30: Khách
- VLAN 99: Management VLAN → quản trị viên dùng để SSH vào switch/router/WLC với IP như 192.168.99.10, 192.168.99.11...
Nhờ đó, người dùng ở VLAN 10 hoặc 20 không thể truy cập giao diện quản lý của switch, tăng cường an toàn mạng nội bộ.