Tweet
Giới thiệu về VLAN (Virtual LAN)
Tình huống thực tế
Công ty của bạn có ba phòng ban: Tài chính (Finance), Nhân sự (HR) và Kỹ thuật (Engineering). Mỗi phòng ban cần một không gian mạng riêng. Tuy nhiên, các nhân viên của các phòng ban này lại phân bố ở nhiều tầng và nhiều khu vực khác nhau trong tòa nhà.
Sau khi phát hiện tình trạng nghẽn lưu lượng quảng bá (broadcast congestion) và thiếu sự cô lập giữa các phòng ban, đội ngũ IT quyết định phân đoạn lưu lượng mạng nhằm cải thiện hiệu suất và tăng cường bảo mật. Nhưng làm thế nào để chia một mạng vật lý duy nhất thành nhiều mạng logic khác nhau, mỗi mạng phục vụ cho một phòng ban riêng? VLAN là gì?
Khi một thiết bị gửi một gói broadcast, ví dụ như yêu cầu ARP:
thì thông điệp này sẽ được gửi đến tất cả các thiết bị nằm trong cùng miền quảng bá (Broadcast Domain).
Trong một mạng LAN thông thường, tất cả các thiết bị kết nối vào cùng một switch đều thuộc cùng một Broadcast Domain. Nhưng điều gì xảy ra nếu có hàng chục hoặc hàng trăm thiết bị cùng chia sẻ miền quảng bá này?
Hãy tưởng tượng một switch có 24 cổng, kết nối với các thiết bị của nhiều phòng ban khác nhau. Khi một máy gửi broadcast, 23 thiết bị còn lại đều phải nhận và xử lý gói tin đó, mặc dù phần lớn chúng hoàn toàn không liên quan.
Đây chính là vấn đề mà đội ngũ IT muốn giải quyết. Các phòng ban Finance, HR và Engineering đều nhận mọi gói broadcast, kể cả những gói không liên quan đến mình. Kết quả là:
Giải pháp là sử dụng VLAN.
VLAN (Virtual Local Area Network) cho phép chia một switch vật lý thành nhiều mạng logic độc lập. Thay vì tất cả thiết bị đều nhận mọi broadcast, chỉ những thiết bị nằm trong cùng VLAN mới nhận được broadcast của VLAN đó.
Nói cách khác:
Mỗi VLAN hoạt động giống như một mạng LAN riêng biệt, mặc dù các thiết bị vẫn kết nối trên cùng một switch vật lý.
Nếu không sử dụng VLAN:
Nếu sử dụng VLAN:
Tại sao cần sử dụng VLAN?
Giảm broadcast chỉ là một phần lợi ích.
Trong thực tế, doanh nghiệp thường muốn nhóm người dùng theo:
Điểm mạnh của VLAN là:
VLAN không phụ thuộc vị trí địa lý.
Những người thuộc phòng Finance có thể ngồi ở nhiều tầng khác nhau, thậm chí ở nhiều tòa nhà khác nhau, nhưng vẫn có thể thuộc cùng một VLAN.
Ví dụ:
Các thiết bị thuộc cùng VLAN sẽ hoạt động như thể chúng đang ở cùng một mạng, bất kể chúng kết nối vào switch nào.
Một câu hỏi thường gặp:
VLAN có bị giới hạn trong một switch không?
Câu trả lời là:
Không.
Một VLAN có thể trải dài trên nhiều switch khác nhau. Chỉ cần các switch được kết nối bằng các đường trunk, VLAN sẽ được mở rộng xuyên suốt toàn bộ hạ tầng mạng.
Nhờ đó, doanh nghiệp có thể thiết kế mạng dựa trên chức năng và nghiệp vụ thay vì dựa trên vị trí vật lý.
Tình huống thực tế
Công ty của bạn có ba phòng ban: Tài chính (Finance), Nhân sự (HR) và Kỹ thuật (Engineering). Mỗi phòng ban cần một không gian mạng riêng. Tuy nhiên, các nhân viên của các phòng ban này lại phân bố ở nhiều tầng và nhiều khu vực khác nhau trong tòa nhà.
Sau khi phát hiện tình trạng nghẽn lưu lượng quảng bá (broadcast congestion) và thiếu sự cô lập giữa các phòng ban, đội ngũ IT quyết định phân đoạn lưu lượng mạng nhằm cải thiện hiệu suất và tăng cường bảo mật. Nhưng làm thế nào để chia một mạng vật lý duy nhất thành nhiều mạng logic khác nhau, mỗi mạng phục vụ cho một phòng ban riêng? VLAN là gì?
Khi một thiết bị gửi một gói broadcast, ví dụ như yêu cầu ARP:
"Ai đang sở hữu địa chỉ IP này?"
thì thông điệp này sẽ được gửi đến tất cả các thiết bị nằm trong cùng miền quảng bá (Broadcast Domain).
Trong một mạng LAN thông thường, tất cả các thiết bị kết nối vào cùng một switch đều thuộc cùng một Broadcast Domain. Nhưng điều gì xảy ra nếu có hàng chục hoặc hàng trăm thiết bị cùng chia sẻ miền quảng bá này?
Hãy tưởng tượng một switch có 24 cổng, kết nối với các thiết bị của nhiều phòng ban khác nhau. Khi một máy gửi broadcast, 23 thiết bị còn lại đều phải nhận và xử lý gói tin đó, mặc dù phần lớn chúng hoàn toàn không liên quan.
Đây chính là vấn đề mà đội ngũ IT muốn giải quyết. Các phòng ban Finance, HR và Engineering đều nhận mọi gói broadcast, kể cả những gói không liên quan đến mình. Kết quả là:
- Hiệu suất mạng giảm.
- Tăng tải xử lý trên thiết bị.
- Nguy cơ lộ thông tin nhạy cảm.
Giải pháp là sử dụng VLAN.
VLAN (Virtual Local Area Network) cho phép chia một switch vật lý thành nhiều mạng logic độc lập. Thay vì tất cả thiết bị đều nhận mọi broadcast, chỉ những thiết bị nằm trong cùng VLAN mới nhận được broadcast của VLAN đó.
Nói cách khác:
Mỗi VLAN hoạt động giống như một mạng LAN riêng biệt, mặc dù các thiết bị vẫn kết nối trên cùng một switch vật lý.
Nếu không sử dụng VLAN:
- Toàn bộ switch chỉ là một Broadcast Domain lớn.
Nếu sử dụng VLAN:
- Các cổng switch được chia thành nhiều Broadcast Domain riêng biệt.
- Lưu lượng được cô lập.
- Hiệu suất và bảo mật được cải thiện.
Tại sao cần sử dụng VLAN?
Giảm broadcast chỉ là một phần lợi ích.
Trong thực tế, doanh nghiệp thường muốn nhóm người dùng theo:
- Phòng ban
- Vai trò công việc
- Ứng dụng sử dụng
- Chính sách bảo mật
Điểm mạnh của VLAN là:
VLAN không phụ thuộc vị trí địa lý.
Những người thuộc phòng Finance có thể ngồi ở nhiều tầng khác nhau, thậm chí ở nhiều tòa nhà khác nhau, nhưng vẫn có thể thuộc cùng một VLAN.
Ví dụ:
- VLAN 10: Finance
- VLAN 20: HR
- VLAN 30: Engineering
Các thiết bị thuộc cùng VLAN sẽ hoạt động như thể chúng đang ở cùng một mạng, bất kể chúng kết nối vào switch nào.
Một câu hỏi thường gặp:
VLAN có bị giới hạn trong một switch không?
Câu trả lời là:
Không.
Một VLAN có thể trải dài trên nhiều switch khác nhau. Chỉ cần các switch được kết nối bằng các đường trunk, VLAN sẽ được mở rộng xuyên suốt toàn bộ hạ tầng mạng.
Nhờ đó, doanh nghiệp có thể thiết kế mạng dựa trên chức năng và nghiệp vụ thay vì dựa trên vị trí vật lý.
Attached Files