Tweet
Các kỹ sư có thể thiết kế VLAN với nhiều mục đích. Trong nhiều trường hợp ngày nay, các thiết bị có thể nằm trong cùng một VLAN do cùng chung một vị trí đặt máy. Vấn đề bảo mật là một trong nhưng yếu tố khác trong thiết kế VLAN: các thiết bị khác nhau trong các VLAN khác nhau không nghe broadcast. Thêm vào đó, việc chia các máy tính ra các VLAN khác nhau sẽ dẫn đến yêu cầu dùng router hoặc các switch đa lớp giữa các subnet và các kiểu thiết bị này thường có thêm nhiều chức năng bảo mật. Trong một vài trường hợp, nhu cầu tăng tính bảo mật bằng cách tách các thiết bị bên trong một VLAN nhỏ sẽ xung đột với mục đích thiết kế sử dụng các địa chỉ IP sẵn có. Tính năng private VLAN của Cisco giúp giải quyết vấn đề này.
Private VLAN cho phép một switch tách biệt các máy tính như thể các máy tính này trên các VLAN khác nhau trong khi vẫn dùng duy nhất một IP subnet.
Một tình huống phổ biến để triển khai private VLAN là trong phòng trung tâm dữ liệu (data center) của các nhà cung cấp dịch vụ. Nhà cung cấp dịch vụ có thể cài đặt một router và một switch. Sau đó, nhà cung cấp dịch vụ sẽ gắn các thiết bị từ các khách hàng khác nhau vào cùng một switch. Private VLAN cho phép nhà cung cấp dịch vụ (service provider) dùng một subnet duy nhất cho cả toà nhà, cho các cổng khác nhau của khách hàng sao cho nó không thể giao tiếp trực tiếp trong khi vẫn hỗ trợ tất cả các khách hàng trong một switch duy nhất.
Về mặt ý niệm, một private VLAN bao gồm các đặc điểm sau:
Để hỗ trợ những nhóm cổng trên, một private VLAN bao gồm một VLAN chính gọi là primary VLAN và một hoặc nhiều VLAN phụ gọi là secondary VLAN. Các cổng trong primary VLAN được gọi là promicuous có nghĩa là nó có thể gửi và nhận khung (frame) với bất kỳ cổng nào khác, kể cả với những cổng được gán vào secondary VLAN. Các thiết bị được truy cập chung, chẳng hạn như router hay server thường được đặt vào trong primary VLAN. Các cổng khác, chẳng hạn như các cổng của khách hàng sẽ gắn vào một trong những secondary VLAN. Secondary VLAN thường có một trong hai dạng VLAN là community VLAN và isolated VLANs. Các kỹ sư sẽ chọn lựa kiểu tùy thuộc vào thiết bị có là một phần của tập hợp các cổng mà cho phép gửi frame vào và ra (community VLAN). Còn kiểu isolated sẽ không thể truyền đến các cổng khác ngoài VLAN.
Ta đã biết trong cùng một VLAN , nếu một máy tính gởi gói tin cho tất cả máy tính khác (gọi là gởi broadcast) thì tất cả các máy tính còn lại trong VLAN đó sẽ nhận được gói tin broadcast này. Thường thì người ta muốn chia nhỏ không gian broadcast ra bằng cách phân ra làm nhiều VLAN, sau đó dùng router hay switch lớp 3 để định tuyến giữa các VLAN này. Tuy nhiên để giải quyết việc ảnh hưởng qua lại giữa các thiết bị trong cùng một VLAN thì ta phải có một giải pháp nào đó nhằm cho các lưu lượng trong cùng một VLAN là độc lập với nhau. Ví dụ: chúng ta là nhà cung cấp dịch vụ, các khách hàng thuê của ta 10 máy chủ. Một mặt chúng ta muốn 10 máy chủ này nằm trong một VLAN gọi là server farm VLAN để dễ quản lí, và có thể giao tiếp trên internet thông qua defaut gateway. Mặt khác chúng ta cũng muốn rằng các máy chủ của các khách hàng khác nhau sẽ độc lập và không bị ảnh hưởng lẫn nhau. Private VLAN ra đời nhằm giải quyết vấn đề này, đó là độc lập lưu lượng ở lớp 2 giữa các thiết bị trong cùng một VLAN. Trong ví dụ trên, nếu các khách hàng khác nhau đặt ở các VLAN khác nhau nghĩa là ta phải cung cấp riêng cho mỗi VLAN một subnet. Hơn nữa ta phải tiêu tốn cho mỗi VLAN một interface, và càng có nhiều VLAN nghĩa là STP chạy càng phức tạp hơn. Để quản lí các VLAN này, chúng ta cũng phải cùng thêm nhiều danh sách quản lý truy cập (Access Control List – ACL) hơn , làm cho việc quản lí mạng cũng trở nên phức tạp hơn. Giải pháp private VLAN cung cấp những thuận lợi sau:
Private VLAN phân ra làm 2 khái niệm: primary VLAN và secondary VLAN. Trong đó Primary VLAN cung cấp kết nối logic giữa nó và các secondary VLAN. Một máy tính thuộc secondary VLAN có thể giao tiếp với một cổng thuộc primary VLAN nhưng không thể giao tiếp với một máy tính nằm trong secondary VLAN khác. Các máy tính trong secondary VLAN sẽ giao tiếp với thế giới bên ngoài (Internet) thông qua primary VLAN. Ta hình dung primary VLAN có tác dụng chuyên chở các máy tính nằm trong các secondary VLAN ra ngoài. Secondary VLAN chia ra làm 2 loại : isolated VLAN và community VLAN.
Tất cả secondary VLAN phải được kết hợp với một primary VLAN. Private VLAN là một loại VLAN đặc biệt nên nó chỉ có ý nghĩa cục bộ trên một switch mà thôi. Switch nào cấu hình private VLAN thì chỉ có switch đó mới có các VLAN này thôi. Giao thức VTP sẽ không quảng bá thông tin về private VLAN cho các switch khác. Và lúc cấu hình private VLAN thì chúng ta cũng bị yêu cầu phải cấu hình trên chế độ VTP transparent. Đối với một VLAN thường, chúng ta muốn gắn một cổng nào đó vào VLAN nào thì ta gõ câu lệnh “switchport access VLAN_id”. Nhưng đối với private VLAN thì lại định nghĩa ra hai dạng cổng: promiscuous và host. Promiscuous là cổng của switch kết nối với gateway Router. Qui luật của private VLAN không áp dụng cho loại cổng này. Cổng này có thể giao tiếp với các loại primary VLAN hay secondary VLAN mà không bị giới hạn nào cả. Máy tính kết nối với cổng của switch thuộc loại isolated VLAN hay community VLAN. Cổng loại này chỉ có thể giao tiếp với promiscuous cổng hoặc các cổng khác nằm trong cùng một community VLAN. Đối với các máy tính nằm trong isolated VLAN thì cũng không giao tiếp được với nhau luôn, mà chỉ có thể giao tiếp với promiscuous cổng mà thôi.
Private VLAN cho phép một switch tách biệt các máy tính như thể các máy tính này trên các VLAN khác nhau trong khi vẫn dùng duy nhất một IP subnet.
Một tình huống phổ biến để triển khai private VLAN là trong phòng trung tâm dữ liệu (data center) của các nhà cung cấp dịch vụ. Nhà cung cấp dịch vụ có thể cài đặt một router và một switch. Sau đó, nhà cung cấp dịch vụ sẽ gắn các thiết bị từ các khách hàng khác nhau vào cùng một switch. Private VLAN cho phép nhà cung cấp dịch vụ (service provider) dùng một subnet duy nhất cho cả toà nhà, cho các cổng khác nhau của khách hàng sao cho nó không thể giao tiếp trực tiếp trong khi vẫn hỗ trợ tất cả các khách hàng trong một switch duy nhất.
Về mặt ý niệm, một private VLAN bao gồm các đặc điểm sau:
- Các cổng cần giao tiếp với tất cả các thiết bị khác.
- Các cổng cần giao tiếp với nhau và với các thiết bị khác, thường là router.
- Các công giao tiếp chỉ với những thiết bị dùng chung.
Để hỗ trợ những nhóm cổng trên, một private VLAN bao gồm một VLAN chính gọi là primary VLAN và một hoặc nhiều VLAN phụ gọi là secondary VLAN. Các cổng trong primary VLAN được gọi là promicuous có nghĩa là nó có thể gửi và nhận khung (frame) với bất kỳ cổng nào khác, kể cả với những cổng được gán vào secondary VLAN. Các thiết bị được truy cập chung, chẳng hạn như router hay server thường được đặt vào trong primary VLAN. Các cổng khác, chẳng hạn như các cổng của khách hàng sẽ gắn vào một trong những secondary VLAN. Secondary VLAN thường có một trong hai dạng VLAN là community VLAN và isolated VLANs. Các kỹ sư sẽ chọn lựa kiểu tùy thuộc vào thiết bị có là một phần của tập hợp các cổng mà cho phép gửi frame vào và ra (community VLAN). Còn kiểu isolated sẽ không thể truyền đến các cổng khác ngoài VLAN.
| Mô tả kiểu cổng nào có thể nói với cổng nào | Cổng thuộc Primary VLAN | Cổng thuộc Community VLAN | Cổng thuộc Isolated VLAN |
| Nói với các cổng trong kiểu primary VLAN (promiscuous port) | YES | YES | YES |
| Nói với các cổng trong secondary VLAN (hostport) | Yes | Yes | No |
| Nói với các cổng trong secondary VLAN | Yes | No | No |
- Giảm số lượng VLAN: các khách hàng khác nhau có thể dùng chung một VLAN mà không ảnh hưởng lẫn nhau.
- Dùng một subnet duy nhất cho toàn bộ private VLAN, dãy địa chỉ ip của khách hàng cũng nằm trong subnet này.
- Lưu lượng chỉ được mang đi trên primary VLAN, nghĩa là chỉ có địa chỉ ip của giao diện primary VLAN mới được quảng bá.
Private VLAN phân ra làm 2 khái niệm: primary VLAN và secondary VLAN. Trong đó Primary VLAN cung cấp kết nối logic giữa nó và các secondary VLAN. Một máy tính thuộc secondary VLAN có thể giao tiếp với một cổng thuộc primary VLAN nhưng không thể giao tiếp với một máy tính nằm trong secondary VLAN khác. Các máy tính trong secondary VLAN sẽ giao tiếp với thế giới bên ngoài (Internet) thông qua primary VLAN. Ta hình dung primary VLAN có tác dụng chuyên chở các máy tính nằm trong các secondary VLAN ra ngoài. Secondary VLAN chia ra làm 2 loại : isolated VLAN và community VLAN.
- Isolated: bất kì cổng của switch nào gắn vào isolated VLAN sẽ chỉ có thể giao tiếp với primary VLAN mà thôi, không thể giao tiếp với các secondary VLAN khác. Thêm vào đó, nếu các máy tính thuộc cùng một isolated VLAN cũng không thể giao tiếp được với nhau mặc dù chúng cùng nằm trong một VLAN. Các máy tính này chỉ có thể giao tiếp với primary VLAN để đi ra khỏi local subnet mà thôi. Các máy tính nằm trong isolated VLAN độc lập hoàn toàn với mọi thứ, ngoại trừ primary VLAN.
- Community: các cổng của switch gắn vào community VLAN có thể nói chuyện được với nhau và với primary VLAN. Nhưng đối với các secondary VLAN khác thì không được.
Tất cả secondary VLAN phải được kết hợp với một primary VLAN. Private VLAN là một loại VLAN đặc biệt nên nó chỉ có ý nghĩa cục bộ trên một switch mà thôi. Switch nào cấu hình private VLAN thì chỉ có switch đó mới có các VLAN này thôi. Giao thức VTP sẽ không quảng bá thông tin về private VLAN cho các switch khác. Và lúc cấu hình private VLAN thì chúng ta cũng bị yêu cầu phải cấu hình trên chế độ VTP transparent. Đối với một VLAN thường, chúng ta muốn gắn một cổng nào đó vào VLAN nào thì ta gõ câu lệnh “switchport access VLAN_id”. Nhưng đối với private VLAN thì lại định nghĩa ra hai dạng cổng: promiscuous và host. Promiscuous là cổng của switch kết nối với gateway Router. Qui luật của private VLAN không áp dụng cho loại cổng này. Cổng này có thể giao tiếp với các loại primary VLAN hay secondary VLAN mà không bị giới hạn nào cả. Máy tính kết nối với cổng của switch thuộc loại isolated VLAN hay community VLAN. Cổng loại này chỉ có thể giao tiếp với promiscuous cổng hoặc các cổng khác nằm trong cùng một community VLAN. Đối với các máy tính nằm trong isolated VLAN thì cũng không giao tiếp được với nhau luôn, mà chỉ có thể giao tiếp với promiscuous cổng mà thôi.
Comment