Tweet
Kể lại kinh nghiệm thực tế - Câu chuyện "tạo thêm một VLAN cho Showroom"
"Chỉ thêm một VLAN thôi mà, có gì khó đâu?"
Nghe có vẻ đơn giản, nhưng khi tôi được yêu cầu thêm một mạng riêng cho bộ phận showroom của công ty – để họ có thể triển khai camera demo, máy POS, bảng cảm ứng và thiết bị khách – thì tôi mới nhận ra, việc "Add New Network" trong mô hình truyền thống là một cơn ác mộng.
Bài toán tưởng đơn giản: Thêm một VLAN cho showroom
Lúc đầu, yêu cầu chỉ là tạo một VLAN mới, cấp địa chỉ IP riêng cho các thiết bị showroom, tách biệt với mạng văn phòng, có internet nhưng không truy cập ngược vào hệ thống nội bộ. Tôi thầm nghĩ:
Nhưng không...
Chuỗi rắc rối kéo theo
Kết luận sau "một VLAN" đó
Việc tưởng như chỉ cần “Add VLAN” đã kéo theo hàng loạt thay đổi trên toàn hệ thống mạng: từ core đến access, từ routing đến security, từ phân đoạn đến quan sát. Và quan trọng nhất: tất cả đều phải làm thủ công.
"Chỉ thêm một VLAN thôi mà, có gì khó đâu?"
Nghe có vẻ đơn giản, nhưng khi tôi được yêu cầu thêm một mạng riêng cho bộ phận showroom của công ty – để họ có thể triển khai camera demo, máy POS, bảng cảm ứng và thiết bị khách – thì tôi mới nhận ra, việc "Add New Network" trong mô hình truyền thống là một cơn ác mộng.
Bài toán tưởng đơn giản: Thêm một VLAN cho showroom
Lúc đầu, yêu cầu chỉ là tạo một VLAN mới, cấp địa chỉ IP riêng cho các thiết bị showroom, tách biệt với mạng văn phòng, có internet nhưng không truy cập ngược vào hệ thống nội bộ. Tôi thầm nghĩ:
“Tạo VLAN mới, gán vào switch, cấp IP, định tuyến – làm nhiều lần rồi, 30 phút là xong.”
Nhưng không...
Chuỗi rắc rối kéo theo
- Cấu hình VLAN và Routing thủ công
- Tạo VLAN mới (ví dụ VLAN 180 - 192.168.180.0/24).
- Truy cập từng switch, thêm VLAN bằng CLI, gán port access.
- Trên core, tạo SVI, cập nhật OSPF/HSRP thủ công.
- Thêm route trong firewall.
- STP và Etherchannel – chỉnh cho đúng
- STP priority cần cập nhật để tránh loop.
- Etherchannel giữa access và distribution cần cấu hình lại VLAN membership.
- VRF và phân tách bảo mật
- Ban đầu không có VRF – giờ muốn showroom tách biệt, buộc tạo VRF mới.
- Điều này ảnh hưởng routing, cần chỉnh static hoặc import/export policy.
- DHCP và IP Reservation
- Showroom dùng camera cần IP cố định => phải cấu hình DHCP reservation hoặc fix IP.
- DHCP server lại đang ở data center => relay? ACL?
- Cloud Access và Security
- Thiết bị showroom truy cập dịch vụ cloud => kiểm tra lại policy firewall.
- Phải viết lại NAT rule, theo dõi log... chưa kể đến compliance.
- Lặp lại theo số lượng tòa nhà
- Nếu có 5 tòa nhà có showroom tương tự? Mọi bước trên phải lặp lại N lần.
- Còn chưa kể switch access mỗi tòa lại khác model, không hỗ trợ tính năng giống nhau.
Kết luận sau "một VLAN" đó
Việc tưởng như chỉ cần “Add VLAN” đã kéo theo hàng loạt thay đổi trên toàn hệ thống mạng: từ core đến access, từ routing đến security, từ phân đoạn đến quan sát. Và quan trọng nhất: tất cả đều phải làm thủ công.
Attached Files