Tweet
Dựa vào hình vẽ, chúng ta có thể thấy hệ thống đang sử dụng đồng thời hai cơ chế Bridge (Layer 2) và Route (Layer 3) để kiểm soát việc giao tiếp giữa các máy tính trong Data Center hoặc Campus Fabric. Bridge là gì?
Bridge là quá trình chuyển tiếp frame ở Layer 2 (Data Link Layer) dựa trên địa chỉ MAC (hoặc L2 VNI). Thiết bị thực hiện chức năng bridge thường là switch.
Trong hình, đường màu xanh "Bridge" cho thấy:
Có thể hiểu đơn giản:
Ví dụ:
Host A (10.1.102.12, VLAN 102)
↓
Switch tra MAC Table
↓
Chuyển frame đến đúng switch chứa MAC đích.
Switch không cần biết IP là gì, subnet là gì, chỉ quan tâm:
Đó chính là cơ chế bridging.
Route là gì?
Route là quá trình chuyển tiếp gói tin ở Layer 3 (Network Layer) dựa trên địa chỉ IP (hoặc L3 VNI). Thiết bị thực hiện là router hoặc switch Layer 3.
Trong hình, đường màu đỏ "Route" kéo từ Host A sang Host C cho thấy:
VLAN 102
VLAN 101
Hai host này thuộc hai subnet khác nhau, nên chúng không thể giao tiếp bằng bridge thuần túy.
Lúc này:
Có thể hiểu đơn giản:
Vì sao hình có Host B (VLAN 999) bị chặn?
Host B có:
VLAN 999
IP: 10.1.102.13
Mặc dù IP của Host B nằm trong mạng:
10.1.102.0/24
nhưng nó lại được đặt trong VLAN 999 thay vì VLAN 102.
Trong Fabric hiện đại (VXLAN EVPN, SDA Fabric, ACI...), hệ thống sẽ kiểm tra đồng thời:
Do Host B không thuộc đúng segment nên lưu lượng của nó bị đánh dấu bằng dấu cấm đỏ và không được phép tham gia giao tiếp. Đây chính là khái niệm Secure Bridging and Routing: không chỉ chuyển tiếp theo MAC hoặc IP, mà còn xác thực xem endpoint có thuộc đúng phân đoạn mạng hay không.
Tóm tắt
Bridge (Layer 2) là chuyển tiếp frame dựa trên MAC Address, dùng để giao tiếp trong cùng VLAN hoặc Bridge Domain.
Route (Layer 3) là chuyển tiếp packet dựa trên IP Address, dùng để giao tiếp giữa các VLAN hoặc các mạng khác nhau.
Trong các Fabric hiện đại như Cisco SDA, ACI hoặc EVPN-VXLAN, hệ thống kết hợp cả hai cơ chế này cùng với chính sách bảo mật, nhờ đó chỉ những thiết bị thuộc đúng VLAN, đúng IP và đúng chính sách mới được phép giao tiếp, còn các endpoint giả mạo như Host B sẽ bị cô lập và chặn truy cập.
Bridge là quá trình chuyển tiếp frame ở Layer 2 (Data Link Layer) dựa trên địa chỉ MAC (hoặc L2 VNI). Thiết bị thực hiện chức năng bridge thường là switch.
Trong hình, đường màu xanh "Bridge" cho thấy:
- Host A thuộc VLAN 102
- Các switch trung gian chỉ cần nhìn vào MAC Address 0000.0012.0012 của Host A và MAC đích để chuyển frame.
- Quá trình này diễn ra hoàn toàn trong cùng một VLAN hoặc cùng một bridge domain, không cần quan tâm đến địa chỉ IP.
Có thể hiểu đơn giản:
Bridge = Chuyển tiếp dựa trên MAC Address trong cùng một miền Layer 2.
Ví dụ:
Host A (10.1.102.12, VLAN 102)
↓
Switch tra MAC Table
↓
Chuyển frame đến đúng switch chứa MAC đích.
Switch không cần biết IP là gì, subnet là gì, chỉ quan tâm:
"MAC này đang nằm ở cổng nào?"
Đó chính là cơ chế bridging.
Route là gì?
Route là quá trình chuyển tiếp gói tin ở Layer 3 (Network Layer) dựa trên địa chỉ IP (hoặc L3 VNI). Thiết bị thực hiện là router hoặc switch Layer 3.
Trong hình, đường màu đỏ "Route" kéo từ Host A sang Host C cho thấy:
- Host A nằm trong mạng:
VLAN 102
- Host C nằm trong mạng:
VLAN 101
Hai host này thuộc hai subnet khác nhau, nên chúng không thể giao tiếp bằng bridge thuần túy.
Lúc này:
- Host A gửi gói tin đến Default Gateway.
- Thiết bị Layer 3 kiểm tra:
- Tra bảng định tuyến (Routing Table).
- Xác định mạng:
- Chuyển gói tin sang VLAN 101 để đến Host C.
Có thể hiểu đơn giản:
Route = Chuyển tiếp dựa trên IP Address giữa các mạng hoặc các VLAN khác nhau.
Vì sao hình có Host B (VLAN 999) bị chặn?
Host B có:
VLAN 999
IP: 10.1.102.13
Mặc dù IP của Host B nằm trong mạng:
10.1.102.0/24
nhưng nó lại được đặt trong VLAN 999 thay vì VLAN 102.
Trong Fabric hiện đại (VXLAN EVPN, SDA Fabric, ACI...), hệ thống sẽ kiểm tra đồng thời:
- VLAN/Segment
- MAC
- IP
- Chính sách (Policy)
Do Host B không thuộc đúng segment nên lưu lượng của nó bị đánh dấu bằng dấu cấm đỏ và không được phép tham gia giao tiếp. Đây chính là khái niệm Secure Bridging and Routing: không chỉ chuyển tiếp theo MAC hoặc IP, mà còn xác thực xem endpoint có thuộc đúng phân đoạn mạng hay không.
Tóm tắt
Bridge (Layer 2) là chuyển tiếp frame dựa trên MAC Address, dùng để giao tiếp trong cùng VLAN hoặc Bridge Domain.
Route (Layer 3) là chuyển tiếp packet dựa trên IP Address, dùng để giao tiếp giữa các VLAN hoặc các mạng khác nhau.
Trong các Fabric hiện đại như Cisco SDA, ACI hoặc EVPN-VXLAN, hệ thống kết hợp cả hai cơ chế này cùng với chính sách bảo mật, nhờ đó chỉ những thiết bị thuộc đúng VLAN, đúng IP và đúng chính sách mới được phép giao tiếp, còn các endpoint giả mạo như Host B sẽ bị cô lập và chặn truy cập.
Attached Files