Tweet
🔥 Bạn đang thiết kế mạng Campus và phân vân giữa mô hình định tuyến (Routed) và chuyển mạch (Switched) trong tầng Access? Đây là một trong những lựa chọn quan trọng ảnh hưởng đến hiệu suất, tính mở rộng và khả năng cách ly lưu lượng của toàn bộ mạng doanh nghiệp. Bài viết này sẽ giúp bạn hiểu rõ hai mô hình này để đưa ra quyết định phù hợp trong thực tế triển khai.
🔄 Switched (Layer 2) Campus Access – Giải pháp truyền thống nhưng tiềm ẩn rủi ro
Trong mô hình này, các switch tầng access chỉ hoạt động ở Layer 2, còn VLAN sẽ được terminate ở tầng distribution (thường là switch core hoặc layer 3 switch). Lưu lượng được chuyển mạch mà không cần định tuyến, và Spanning Tree Protocol (STP) sẽ được sử dụng để ngăn vòng lặp. ✅ Ưu điểm:
Giả sử bạn có 2 switch access kết nối lên một switch distribution. Nếu bạn dùng Layer 2, để tránh vòng lặp thì STP sẽ chặn một trong 2 uplink. Nghĩa là bạn đang lãng phí 50% băng thông uplink.
🚀 Routed (Layer 3) Campus Access – Xu hướng hiện đại, linh hoạt và mạnh mẽ
Trong mô hình này, VLAN được terminate ngay tại switch access. Điều này có nghĩa là các switch access sẽ chạy Layer 3 (có thể định tuyến), và mọi kết nối giữa access và distribution sẽ là routed link (mỗi phía có một IP thuộc subnet riêng biệt). ✅ Ưu điểm:
Bạn triển khai VLAN 30 cho khách tại một tòa nhà A. Nếu dùng Layer 3, VLAN 30 sẽ chỉ tồn tại tại switch access tòa A. Nếu tòa B cũng cần VLAN cho khách, bạn cần tạo VLAN mới (ví dụ VLAN 31). Điều này tăng tính độc lập và bảo mật giữa các vùng mạng.
⚖️ So sánh nhanh: Layer 2 vs Layer 3 Campus Access
🧠 Câu hỏi ôn tập:
Câu hỏi: Phát biểu nào sau đây đúng về thiết kế mạng dạng "flat"?
A. Mạng flat có nhiều subnet
B. Tất cả thiết bị trong subnet đều có băng thông riêng biệt
C. Tất cả thiết bị thuộc các broadcast domain khác nhau
D. Một gói tin broadcast sẽ được xử lý bởi tất cả các thiết bị và tiêu tốn tài nguyên CPU của từng thiết bị trong cùng broadcast domain
✅ Đáp án đúng: D
Giải thích:
Trong mạng flat (Layer 2, không có định tuyến), tất cả thiết bị nằm trong cùng một broadcast domain. Do đó, khi có broadcast, nó sẽ đến mọi thiết bị, và mỗi thiết bị phải xử lý, gây tiêu tốn tài nguyên CPU. Đây là một trong những nhược điểm chính của thiết kế flat.
🧩 Kết luận
🔄 Switched (Layer 2) Campus Access – Giải pháp truyền thống nhưng tiềm ẩn rủi ro
Trong mô hình này, các switch tầng access chỉ hoạt động ở Layer 2, còn VLAN sẽ được terminate ở tầng distribution (thường là switch core hoặc layer 3 switch). Lưu lượng được chuyển mạch mà không cần định tuyến, và Spanning Tree Protocol (STP) sẽ được sử dụng để ngăn vòng lặp. ✅ Ưu điểm:
- Cấu hình đơn giản, dễ quản lý.
- Chi phí triển khai thấp vì không cần cấu hình định tuyến ở tầng access.
- STP chặn một nửa số uplink, gây lãng phí băng thông vật lý.
- Lưu lượng broadcast, multicast dễ lan rộng, gây tiêu tốn tài nguyên CPU.
- Khó mở rộng khi mạng phức tạp hơn.
- Khả năng cách ly traffic kém, khó triển khai mô hình Zero Trust.
Giả sử bạn có 2 switch access kết nối lên một switch distribution. Nếu bạn dùng Layer 2, để tránh vòng lặp thì STP sẽ chặn một trong 2 uplink. Nghĩa là bạn đang lãng phí 50% băng thông uplink.
🚀 Routed (Layer 3) Campus Access – Xu hướng hiện đại, linh hoạt và mạnh mẽ
Trong mô hình này, VLAN được terminate ngay tại switch access. Điều này có nghĩa là các switch access sẽ chạy Layer 3 (có thể định tuyến), và mọi kết nối giữa access và distribution sẽ là routed link (mỗi phía có một IP thuộc subnet riêng biệt). ✅ Ưu điểm:
- Không cần STP trên uplink → Không bị chặn băng thông, tận dụng toàn bộ uplink.
- Mỗi VLAN là local, giúp giới hạn phạm vi broadcast.
- Dễ triển khai bảo mật theo từng subnet, ví dụ: VLAN khách riêng biệt, dễ chặn giữa các VLAN.
- Giảm thiểu nguy cơ tấn công nội bộ lan rộng.
- Phải cấu hình routing (OSPF, EIGRP, hoặc static) giữa access và distribution.
- VLAN không thể mở rộng qua nhiều switch access như trong Layer 2 → yêu cầu quy hoạch kỹ lưỡng.
- Switch access cần hỗ trợ Layer 3 (giá thành cao hơn).
Bạn triển khai VLAN 30 cho khách tại một tòa nhà A. Nếu dùng Layer 3, VLAN 30 sẽ chỉ tồn tại tại switch access tòa A. Nếu tòa B cũng cần VLAN cho khách, bạn cần tạo VLAN mới (ví dụ VLAN 31). Điều này tăng tính độc lập và bảo mật giữa các vùng mạng.
⚖️ So sánh nhanh: Layer 2 vs Layer 3 Campus Access
| Cấp độ xử lý | Chuyển mạch | Định tuyến |
| STP | Có (gây chặn uplink) | Không cần |
| VLAN mở rộng | Có thể qua nhiều switch | VLAN local |
| Broadcast domain | Rộng | Giới hạn |
| Khả năng bảo mật | Kém hơn | Tốt hơn |
| Phức tạp cấu hình | Dễ | Trung bình – cao |
🧠 Câu hỏi ôn tập:
Câu hỏi: Phát biểu nào sau đây đúng về thiết kế mạng dạng "flat"?
A. Mạng flat có nhiều subnet
B. Tất cả thiết bị trong subnet đều có băng thông riêng biệt
C. Tất cả thiết bị thuộc các broadcast domain khác nhau
D. Một gói tin broadcast sẽ được xử lý bởi tất cả các thiết bị và tiêu tốn tài nguyên CPU của từng thiết bị trong cùng broadcast domain
✅ Đáp án đúng: D
Giải thích:
Trong mạng flat (Layer 2, không có định tuyến), tất cả thiết bị nằm trong cùng một broadcast domain. Do đó, khi có broadcast, nó sẽ đến mọi thiết bị, và mỗi thiết bị phải xử lý, gây tiêu tốn tài nguyên CPU. Đây là một trong những nhược điểm chính của thiết kế flat.
🧩 Kết luận
- Layer 2 access phù hợp với mạng nhỏ, chi phí thấp, ít yêu cầu bảo mật.
- Layer 3 access là hướng đi hiện đại, đặc biệt phù hợp với mạng lớn, phân tán, có yêu cầu bảo mật và hiệu suất cao.
👉 Với kinh nghiệm cá nhân, mình khuyên nếu bạn có thể đầu tư switch Layer 3 ở tầng access (có tính năng SVI, routing OSPF/EIGRP) thì hãy đi theo mô hình routed access. Nó sẽ giúp bạn giảm broadcast, tận dụng tốt uplink, và mở đường cho triển khai các mô hình bảo mật như micro-segmentation, SD-Access, hoặc Zero Trust trong tương lai.
Attached Files