Tweet
[CCNA 200-301] HÀNH VI CỦA VLAN VÀ NHỮNG NGUYÊN TẮC THIẾT KẾ QUAN TRỌNG TRONG MẠNG SWITCHED
Bạn đã tạo VLAN cho phòng Kế toán, Nhân sự và Kỹ thuật. Nhưng có bao giờ bạn tự hỏi: Switch biết cổng nào thuộc VLAN nào? Vì sao máy tính ở VLAN này không nhìn thấy broadcast của VLAN khác? Và làm thế nào các VLAN có thể giao tiếp với nhau? Đây chính là những khái niệm nền tảng mà mọi kỹ sư CCNA, CCNP và CCIE đều phải nắm vững trước khi thiết kế hoặc triển khai mạng doanh nghiệp.
Vai trò của các cổng switch và luồng lưu lượng VLAN
Trong mạng doanh nghiệp, hầu hết các thiết bị đầu cuối như:
đều kết nối vào switch thông qua Access Port. Access Port là gì?
Access Port là cổng switch chỉ thuộc về một VLAN duy nhất.
Ví dụ:
Một Access Port không thể đồng thời thuộc nhiều VLAN.
Ví dụ:
interface fa0/1
switchport mode access
switchport access vlan 2
Port Fa0/1 bây giờ chỉ có thể chuyển tiếp lưu lượng của VLAN 2.
Một VLAN có thể có nhiều Access Port
Bạn có thể gán nhiều cổng vào cùng một VLAN.
Ví dụ:
VLAN 2 (Engineering):
Tất cả các thiết bị trên các cổng này sẽ nằm trong cùng một:
Nếu PC1 gửi ARP Broadcast:
Who has 10.0.2.100?
thì tất cả các thiết bị trong VLAN 2 đều nhận được gói tin.
Broadcast Domain được tách biệt bởi VLAN
Giả sử: VLAN 2 – Engineering
10.0.2.0/24 VLAN 3 – HR
10.0.3.0/24 VLAN 4 – Finance
10.0.4.0/24
Nếu PC trong VLAN 2 gửi Broadcast:
FF:FF:FF:FF:FF:FF
thì:
✅ Các thiết bị VLAN 2 nhận được.
❌ VLAN 3 không nhận.
❌ VLAN 4 không nhận.
Đây chính là cơ chế traffic isolation (cô lập lưu lượng) của VLAN.
Lợi ích của việc cô lập Broadcast
Nếu một switch có 48 cổng và không sử dụng VLAN:
Mọi broadcast đều đi đến:
48 thiết bị
Khi số lượng thiết bị tăng lên:
Khi chia thành nhiều VLAN:
Ví dụ:
Broadcast của từng VLAN chỉ đi đến các thành viên trong VLAN đó.
Kết quả:
Một Access Port có thể thuộc nhiều VLAN không?
Câu trả lời là:
Không.
Trong chế độ Access:
One Access Port = One VLAN
Ví dụ:
Sai:
Fa0/1
VLAN 2
VLAN 3
Điều này không được phép.
Trunk Port – Chìa khóa để mở rộng VLAN qua nhiều switch
Trong doanh nghiệp, thường có nhiều switch.
Ví dụ:
SW1 ----- SW2
Trên cả hai switch đều tồn tại:
Nếu dùng một sợi cáp riêng cho từng VLAN:
SW1 ==== SW2 (VLAN2)
SW1 ==== SW2 (VLAN3)
SW1 ==== SW2 (VLAN4)
Giải pháp này:
Do đó Cisco sử dụng: Trunk Port
Trunk Port cho phép:
nhiều VLAN đi chung trên một liên kết vật lý duy nhất.
Ví dụ:
SW1 ================= SW2
Trunk
Liên kết này có thể mang:
đồng thời.
Trunk hoạt động như thế nào?
Switch sử dụng cơ chế VLAN Tagging.
Mỗi Ethernet Frame sẽ được gắn thêm:
802.1Q Tag
Ví dụ:
Frame từ VLAN 2:
[Ethernet][802.1Q VLAN 2][Payload]
Frame từ VLAN 3:
[Ethernet][802.1Q VLAN 3][Payload]
Khi frame đến switch bên kia:
Switch đọc VLAN ID trong tag và biết frame thuộc VLAN nào.
Ví dụ:
VLAN Tag = 2
→ Forward vào VLAN 2
VLAN có thể kéo dài qua WAN không?
Có.
Trong nhiều doanh nghiệp:
Site A -------- WAN -------- Site B
VLAN có thể được mở rộng thông qua:
Tuy nhiên, việc kéo dài Layer 2 qua WAN cần được thiết kế cẩn thận vì có thể gây:
Các VLAN có giao tiếp được với nhau không?
Mặc định:
Không.
Ví dụ:
PC1 → VLAN2
PC2 → VLAN3
PC1 không thể ping PC2.
Lý do:
Mỗi VLAN là một Broadcast Domain độc lập.
Switch Layer 2 không thực hiện chức năng định tuyến.
Inter-VLAN Routing
Muốn các VLAN giao tiếp với nhau, cần:
Quá trình này gọi là:
Inter-VLAN Routing
Cách 1: Router sử dụng nhiều cổng vật lý
Gi0/0 → VLAN2
Gi0/1 → VLAN3
Gi0/2 → VLAN4
Mỗi VLAN sử dụng một interface riêng.
Nhược điểm:
Cách 2: Router-on-a-Stick
Router
|
Trunk
|
Switch
Router sử dụng:
Ví dụ:
interface g0/0.2
encapsulation dot1q 2
ip address 10.0.2.1 255.255.255.0
interface g0/0.3
encapsulation dot1q 3
ip address 10.0.3.1 255.255.255.0
Đây là mô hình rất phổ biến trong CCNA.
Ánh xạ VLAN với Subnet
Thông thường:
Một VLAN ↔ Một IP Subnet
Ví dụ: VLAN 2 – Engineering
10.0.2.0/24
Gateway: 10.0.2.1 VLAN 3 – HR
10.0.3.0/24
Gateway: 10.0.3.1 VLAN 4 – Finance
10.0.4.0/24
Gateway: 10.0.4.1
Việc đánh số như trên giúp kỹ sư mạng dễ dàng nhận biết:
10.0.2.x → VLAN 2
10.0.3.x → VLAN 3
10.0.4.x → VLAN 4
Lợi ích:
Đây là một nguyên tắc thiết kế IP Addressing rất phổ biến trong doanh nghiệp.
VLAN 1 – VLAN mặc định của Cisco
Switch Catalyst được cài sẵn một số VLAN.
Trong đó:
VLAN 1 là VLAN mặc định (Default VLAN).
Mặc định:
Nếu muốn quản trị switch từ một subnet khác, switch cần:
Ví dụ:
interface vlan 1
ip address 192.168.1.10 255.255.255.0
ip default-gateway 192.168.1.1
Trong môi trường doanh nghiệp hiện đại, nhiều tổ chức không sử dụng VLAN 1 cho mục đích quản trị vì lý do bảo mật, mà thường tạo VLAN 99 hoặc VLAN 100 làm Management VLAN riêng.
Ghi nhớ cho kỳ thi CCNA
Hiểu rõ các nguyên tắc này chính là nền tảng để bước tiếp sang các chủ đề quan trọng hơn như cấu hình VLAN, Trunking, Router-on-a-Stick, Layer 3 Switching, VTP và các cơ chế bảo mật Layer 2 trong lộ trình CCNA, CCNP và CCIE.
Bạn đã tạo VLAN cho phòng Kế toán, Nhân sự và Kỹ thuật. Nhưng có bao giờ bạn tự hỏi: Switch biết cổng nào thuộc VLAN nào? Vì sao máy tính ở VLAN này không nhìn thấy broadcast của VLAN khác? Và làm thế nào các VLAN có thể giao tiếp với nhau? Đây chính là những khái niệm nền tảng mà mọi kỹ sư CCNA, CCNP và CCIE đều phải nắm vững trước khi thiết kế hoặc triển khai mạng doanh nghiệp.
Vai trò của các cổng switch và luồng lưu lượng VLAN
Trong mạng doanh nghiệp, hầu hết các thiết bị đầu cuối như:
- Máy tính (PC)
- Điện thoại IP (IP Phone)
- Máy in (Printer)
- Camera IP
- Thiết bị IoT
đều kết nối vào switch thông qua Access Port. Access Port là gì?
Access Port là cổng switch chỉ thuộc về một VLAN duy nhất.
Ví dụ:
- Port Fa0/1 → VLAN 2 (Engineering)
- Port Fa0/2 → VLAN 2 (Engineering)
- Port Fa0/10 → VLAN 3 (HR)
Một Access Port không thể đồng thời thuộc nhiều VLAN.
Ví dụ:
interface fa0/1
switchport mode access
switchport access vlan 2
Port Fa0/1 bây giờ chỉ có thể chuyển tiếp lưu lượng của VLAN 2.
Một VLAN có thể có nhiều Access Port
Bạn có thể gán nhiều cổng vào cùng một VLAN.
Ví dụ:
VLAN 2 (Engineering):
- Fa0/1
- Fa0/2
- Fa0/3
- Fa0/4
Tất cả các thiết bị trên các cổng này sẽ nằm trong cùng một:
- Broadcast Domain
- Layer 2 Segment
Nếu PC1 gửi ARP Broadcast:
Who has 10.0.2.100?
thì tất cả các thiết bị trong VLAN 2 đều nhận được gói tin.
Broadcast Domain được tách biệt bởi VLAN
Giả sử: VLAN 2 – Engineering
10.0.2.0/24 VLAN 3 – HR
10.0.3.0/24 VLAN 4 – Finance
10.0.4.0/24
Nếu PC trong VLAN 2 gửi Broadcast:
FF:FF:FF:FF:FF:FF
thì:
✅ Các thiết bị VLAN 2 nhận được.
❌ VLAN 3 không nhận.
❌ VLAN 4 không nhận.
Đây chính là cơ chế traffic isolation (cô lập lưu lượng) của VLAN.
Lợi ích của việc cô lập Broadcast
Nếu một switch có 48 cổng và không sử dụng VLAN:
Mọi broadcast đều đi đến:
48 thiết bị
Khi số lượng thiết bị tăng lên:
- Broadcast nhiều hơn
- CPU của host xử lý nhiều hơn
- Hiệu năng giảm
- Khó kiểm soát bảo mật
Khi chia thành nhiều VLAN:
Ví dụ:
- VLAN 2: 15 host
- VLAN 3: 20 host
- VLAN 4: 13 host
Broadcast của từng VLAN chỉ đi đến các thành viên trong VLAN đó.
Kết quả:
- Giảm Broadcast Traffic
- Giảm tải cho thiết bị
- Tăng hiệu năng mạng
- Tăng khả năng mở rộng (Scalability)
Một Access Port có thể thuộc nhiều VLAN không?
Câu trả lời là:
Không.
Trong chế độ Access:
One Access Port = One VLAN
Ví dụ:
Sai:
Fa0/1
VLAN 2
VLAN 3
Điều này không được phép.
Trunk Port – Chìa khóa để mở rộng VLAN qua nhiều switch
Trong doanh nghiệp, thường có nhiều switch.
Ví dụ:
SW1 ----- SW2
Trên cả hai switch đều tồn tại:
- VLAN 2
- VLAN 3
- VLAN 4
Nếu dùng một sợi cáp riêng cho từng VLAN:
SW1 ==== SW2 (VLAN2)
SW1 ==== SW2 (VLAN3)
SW1 ==== SW2 (VLAN4)
Giải pháp này:
- Tốn cáp
- Tốn port
- Khó mở rộng
Do đó Cisco sử dụng: Trunk Port
Trunk Port cho phép:
nhiều VLAN đi chung trên một liên kết vật lý duy nhất.
Ví dụ:
SW1 ================= SW2
Trunk
Liên kết này có thể mang:
- VLAN 2
- VLAN 3
- VLAN 4
- VLAN 10
- VLAN 100
đồng thời.
Trunk hoạt động như thế nào?
Switch sử dụng cơ chế VLAN Tagging.
Mỗi Ethernet Frame sẽ được gắn thêm:
802.1Q Tag
Ví dụ:
Frame từ VLAN 2:
[Ethernet][802.1Q VLAN 2][Payload]
Frame từ VLAN 3:
[Ethernet][802.1Q VLAN 3][Payload]
Khi frame đến switch bên kia:
Switch đọc VLAN ID trong tag và biết frame thuộc VLAN nào.
Ví dụ:
VLAN Tag = 2
→ Forward vào VLAN 2
VLAN có thể kéo dài qua WAN không?
Có.
Trong nhiều doanh nghiệp:
Site A -------- WAN -------- Site B
VLAN có thể được mở rộng thông qua:
- Metro Ethernet
- MPLS L2VPN
- VXLAN EVPN
- QinQ
- Ethernet over MPLS (EoMPLS)
Tuy nhiên, việc kéo dài Layer 2 qua WAN cần được thiết kế cẩn thận vì có thể gây:
- Broadcast Storm
- STP Issues
- Failure Domain quá lớn
Các VLAN có giao tiếp được với nhau không?
Mặc định:
Không.
Ví dụ:
PC1 → VLAN2
PC2 → VLAN3
PC1 không thể ping PC2.
Lý do:
Mỗi VLAN là một Broadcast Domain độc lập.
Switch Layer 2 không thực hiện chức năng định tuyến.
Inter-VLAN Routing
Muốn các VLAN giao tiếp với nhau, cần:
- Router
hoặc - Layer 3 Switch
Quá trình này gọi là:
Inter-VLAN Routing
Cách 1: Router sử dụng nhiều cổng vật lý
Gi0/0 → VLAN2
Gi0/1 → VLAN3
Gi0/2 → VLAN4
Mỗi VLAN sử dụng một interface riêng.
Nhược điểm:
- Tốn port
- Khó mở rộng
Cách 2: Router-on-a-Stick
Router
|
Trunk
|
Switch
Router sử dụng:
- Một interface vật lý
- Nhiều subinterface
Ví dụ:
interface g0/0.2
encapsulation dot1q 2
ip address 10.0.2.1 255.255.255.0
interface g0/0.3
encapsulation dot1q 3
ip address 10.0.3.1 255.255.255.0
Đây là mô hình rất phổ biến trong CCNA.
Ánh xạ VLAN với Subnet
Thông thường:
Một VLAN ↔ Một IP Subnet
Ví dụ: VLAN 2 – Engineering
10.0.2.0/24
Gateway: 10.0.2.1 VLAN 3 – HR
10.0.3.0/24
Gateway: 10.0.3.1 VLAN 4 – Finance
10.0.4.0/24
Gateway: 10.0.4.1
Việc đánh số như trên giúp kỹ sư mạng dễ dàng nhận biết:
10.0.2.x → VLAN 2
10.0.3.x → VLAN 3
10.0.4.x → VLAN 4
Lợi ích:
- Dễ quản trị
- Dễ Troubleshooting
- Dễ viết ACL
- Dễ mở rộng hệ thống
Đây là một nguyên tắc thiết kế IP Addressing rất phổ biến trong doanh nghiệp.
VLAN 1 – VLAN mặc định của Cisco
Switch Catalyst được cài sẵn một số VLAN.
Trong đó:
VLAN 1 là VLAN mặc định (Default VLAN).
Mặc định:
- Tất cả các port đều thuộc VLAN 1.
- Management Interface của switch cũng nằm trên VLAN 1.
Nếu muốn quản trị switch từ một subnet khác, switch cần:
- Địa chỉ IP quản trị
- Default Gateway
Ví dụ:
interface vlan 1
ip address 192.168.1.10 255.255.255.0
ip default-gateway 192.168.1.1
Trong môi trường doanh nghiệp hiện đại, nhiều tổ chức không sử dụng VLAN 1 cho mục đích quản trị vì lý do bảo mật, mà thường tạo VLAN 99 hoặc VLAN 100 làm Management VLAN riêng.
Ghi nhớ cho kỳ thi CCNA
- Một Access Port chỉ thuộc một VLAN.
- Một VLAN là một Broadcast Domain.
- Broadcast không đi qua ranh giới VLAN.
- Trunk Port cho phép nhiều VLAN đi chung trên một liên kết vật lý.
- Trunk sử dụng VLAN Tagging (IEEE 802.1Q).
- Các VLAN không thể giao tiếp với nhau mặc định.
- Muốn các VLAN giao tiếp phải sử dụng Inter-VLAN Routing.
- Thông lệ thiết kế tốt nhất là: One VLAN = One Subnet.
- VLAN 1 là Default VLAN trên Cisco Catalyst Switches.
Hiểu rõ các nguyên tắc này chính là nền tảng để bước tiếp sang các chủ đề quan trọng hơn như cấu hình VLAN, Trunking, Router-on-a-Stick, Layer 3 Switching, VTP và các cơ chế bảo mật Layer 2 trong lộ trình CCNA, CCNP và CCIE.
Attached Files