Tweet
Bạn có biết? Một cổng trunk có thể "nói chuyện" với hơn 4000 VLAN, nhưng điều đó không có nghĩa là nó muốn nghe tất cả! 🔥
Hôm nay, mình sẽ chia sẻ một chủ đề cực kỳ quan trọng trong thiết kế và cấu hình mạng LAN – Quản lý lưu lượng VLAN trên kết nối trunk, và cách các thiết bị như switch và router bắt tay với nhau để thiết lập kết nối trunk chuẩn chỉnh.
🎯 1. Không phải VLAN nào cũng được đi qua trunk – và bạn hoàn toàn có thể kiểm soát điều đó!
Mặc định, kết nối trunk trên switch cho phép tất cả VLAN từ 1 đến 4094, nhưng không có nghĩa là VLAN nào cũng được truyền qua.
Bạn có thể chủ động giới hạn VLAN nào được phép đi trên trunk bằng cách dùng lệnh:
switchport trunk allowed vlan 10,20,30
Điều này giúp giảm bớt lưu lượng broadcast, multicast không cần thiết, giúp hệ thống mạng ổn định hơn – đặc biệt trong các hệ thống campus lớn hoặc khi chạy PVST+.
🧠 Tip thực chiến: Dùng lệnh show interface trunk để kiểm tra:
🤝 2. Để trunk hoạt động, cả hai bên phải “hiểu nhau”
Đây là phần mà giao thức DTP (Dynamic Trunking Protocol) xuất hiện – nhưng trong môi trường thực tế, nhiều kỹ sư tắt hẳn DTP để tránh lỗi cấu hình hoặc tấn công spoofing.
Các chế độ thường gặp:
👉 Một bên là trunk, một bên là auto thì vẫn có thể hình thành trunk. Nhưng cả hai bên là auto thì KHÔNG BAO GIỜ hình thành trunk nhé!
📡 3. Trunk đến router – không có DTP, tất cả là thủ công!
Khác với switch, router không hiểu DTP, nên:
Ví dụ:
interface GigabitEthernet0/0.10 encapsulation dot1q 10 ip address 192.168.10.1 255.255.255.0
💡 Lưu ý: Nếu bạn dùng VLAN native, bạn có thể:
encapsulation dot1q 99 native
=> Các khung tin thuộc VLAN native không bị gắn thẻ 802.1Q khi truyền đi – giúp thiết bị cũ hoặc thiết bị không hỗ trợ tagging vẫn xử lý được.
🛠 Tóm tắt thực chiến
💬 Câu hỏi cho bạn:
Trong hệ thống bạn đang quản lý, có bao nhiêu VLAN thật sự cần đi qua một cổng trunk? Đã cấu hình lọc chưa? Nếu chưa, có thể mạng của bạn đang "gánh còng lưng" vì lưu lượng không cần thiết đó!
Hôm nay, mình sẽ chia sẻ một chủ đề cực kỳ quan trọng trong thiết kế và cấu hình mạng LAN – Quản lý lưu lượng VLAN trên kết nối trunk, và cách các thiết bị như switch và router bắt tay với nhau để thiết lập kết nối trunk chuẩn chỉnh.
🎯 1. Không phải VLAN nào cũng được đi qua trunk – và bạn hoàn toàn có thể kiểm soát điều đó!
Mặc định, kết nối trunk trên switch cho phép tất cả VLAN từ 1 đến 4094, nhưng không có nghĩa là VLAN nào cũng được truyền qua.
Bạn có thể chủ động giới hạn VLAN nào được phép đi trên trunk bằng cách dùng lệnh:
switchport trunk allowed vlan 10,20,30
Điều này giúp giảm bớt lưu lượng broadcast, multicast không cần thiết, giúp hệ thống mạng ổn định hơn – đặc biệt trong các hệ thống campus lớn hoặc khi chạy PVST+.
🧠 Tip thực chiến: Dùng lệnh show interface trunk để kiểm tra:
- VLAN nào được cho phép
- VLAN nào được cho phép và đang active
- VLAN nào không bị prune (ngăn chặn truyền tải)
🤝 2. Để trunk hoạt động, cả hai bên phải “hiểu nhau”
Đây là phần mà giao thức DTP (Dynamic Trunking Protocol) xuất hiện – nhưng trong môi trường thực tế, nhiều kỹ sư tắt hẳn DTP để tránh lỗi cấu hình hoặc tấn công spoofing.
Các chế độ thường gặp:
- switchport mode trunk: Bên này luôn bật trunk, gửi DTP để gợi ý bên kia.
- switchport mode dynamic desirable: Chủ động gợi ý trunk.
- switchport mode dynamic auto: Chờ bên kia gợi ý, nếu hợp thì đồng ý.
- switchport mode access: Không bao giờ bật trunk.
- switchport nonegotiate: Không gửi DTP – dùng khi đầu kia không phải thiết bị Cisco.
👉 Một bên là trunk, một bên là auto thì vẫn có thể hình thành trunk. Nhưng cả hai bên là auto thì KHÔNG BAO GIỜ hình thành trunk nhé!
📡 3. Trunk đến router – không có DTP, tất cả là thủ công!
Khác với switch, router không hiểu DTP, nên:
- Bạn phải cấu hình thủ công chế độ trunk ở phía switch.
- Trên router, sử dụng sub-interface để gán mỗi VLAN với một interface ảo.
Ví dụ:
interface GigabitEthernet0/0.10 encapsulation dot1q 10 ip address 192.168.10.1 255.255.255.0
💡 Lưu ý: Nếu bạn dùng VLAN native, bạn có thể:
encapsulation dot1q 99 native
=> Các khung tin thuộc VLAN native không bị gắn thẻ 802.1Q khi truyền đi – giúp thiết bị cũ hoặc thiết bị không hỗ trợ tagging vẫn xử lý được.
🛠 Tóm tắt thực chiến
- Không cần thiết phải cho phép tất cả VLAN đi qua một trunk – chỉ cho các VLAN thực sự cần thiết.
- Tắt DTP khi có thể để tránh rủi ro bảo mật.
- Router không có DTP, nên cần cấu hình thủ công trunk + sub-interface.
- Mỗi VLAN nên gán vào một subnet IP riêng biệt – giúp dễ quản lý và định tuyến.
💬 Câu hỏi cho bạn:
Trong hệ thống bạn đang quản lý, có bao nhiêu VLAN thật sự cần đi qua một cổng trunk? Đã cấu hình lọc chưa? Nếu chưa, có thể mạng của bạn đang "gánh còng lưng" vì lưu lượng không cần thiết đó!