Tweet
NetworkBasic4DEVNET
Địa chỉ MAC và VLAN
Giới thiệu VLAN
Nếu một mạng được thiết kế kém với số lượng lớn thiết bị trong cùng một phân đoạn mạng LAN, thiết kế kém sẽ ảnh hưởng đến hiệu suất của mạng do miền phát sóng và lỗi lớn, kiểm soát bảo mật hạn chế, v.v. Một router có thể được sử dụng để giải quyết vấn đề, vì nó chặn các chương trình phát sóng, nhưng router thường chậm hơn, đắt tiền và thường không phù hợp với thiết kế của mạng.
Một giải pháp thường được sử dụng là sử dụng mạng cục bộ ảo (VLAN), mạng này phân đoạn mạng trên cơ sở mỗi cổng và có thể trải dài qua nhiều Switch. Điều này cho phép bạn phân đoạn một cách hợp lý mạng chuyển mạch trên cơ sở tổ chức, theo chức năng, nhóm dự án hoặc ứng dụng hơn là trên cơ sở vật lý hoặc địa lý. Ví dụ: tất cả các máy trạm và máy chủ được sử dụng bởi một nhóm nhóm làm việc cụ thể có thể được kết nối với cùng một VLAN, bất kể kết nối vật lý của chúng với mạng hoặc thực tế là chúng có thể được xen kẽ với các nhóm khác. Việc cấu hình lại mạng có thể được thực hiện thông qua phần mềm thay vì rút phích cắm và di chuyển các thiết bị hoặc dây dẫn.
Để hiểu về VLAN, bạn cần có hiểu biết vững chắc về mạng LAN. Mạng LAN là một nhóm các thiết bị chia sẻ chung một miền broadcast. Khi một thiết bị trong mạng LAN gửi tin nhắn broadcast, switch sẽ chuyển các tin nhắn broadcast (cũng như unicast không xác định) đến tất cả các cổng ngoại trừ cổng đến. Do đó, tất cả các thiết bị khác trong mạng LAN đều nhận được chúng. Bạn có thể nghĩ về mạng LAN và miền phát sóng về cơ bản là giống nhau. Không có VLAN, một bộ chuyển mạch coi tất cả các giao diện của nó nằm trong cùng một miền broadcast. Nói cách khác, tất cả các thiết bị được kết nối đều nằm trong cùng một mạng LAN. Với VLAN, một bộ chuyển mạch có thể đưa một số giao diện vào một miền broadcast và một số vào miền khác. Các miền broadcast riêng lẻ được tạo bởi bộ chuyển mạch được gọi là VLAN. VLAN là một nhóm thiết bị trên một hoặc nhiều mạng LAN được cấu hình để giao tiếp như thể chúng được gắn vào cùng một dây, trong khi thực tế chúng nằm trên một số phân đoạn LAN khác nhau.
VLAN cho phép người quản trị mạng tạo các nhóm thiết bị mạng hợp lý. Các thiết bị này hoạt động giống như chúng nằm trong mạng độc lập của riêng chúng, ngay cả khi chúng chia sẻ cơ sở hạ tầng chung với các VLAN khác. Mỗi VLAN là một miền broadcast Lớp 2 riêng biệt, thường được ánh xạ tới một mạng con Internet Protocol (IP) duy nhất (miền broadcast Lớp 3). Một VLAN có thể tồn tại trên một switch duy nhất hoặc mở rộng nhiều switch. VLAN có thể bao gồm các thiết bị trong một tòa nhà hoặc cơ sở hạ tầng nhiều tòa nhà, như được minh họa trong hình.
Trong mạng lưới kết nối chuyển mạch, VLAN cung cấp tính linh hoạt trong tổ chức và phân đoạn. Bạn có thể thiết kế cấu trúc VLAN cho phép bạn nhóm các thiết bị được phân đoạn một cách hợp lý theo chức năng, nhóm dự án và ứng dụng mà không cần quan tâm đến vị trí thực của người dùng. VLAN cho phép bạn triển khai các chính sách truy cập và bảo mật cho các nhóm người dùng cụ thể. Nếu một cổng chuyển mạch đang hoạt động như một cổng truy cập, nó chỉ có thể được gán cho một VLAN, điều này bổ sung thêm một lớp bảo mật. Nhiều cổng có thể được gán cho mỗi VLAN. Các cổng trong cùng một VLAN chia sẻ các chương trình phát sóng. Các cổng trong các VLAN khác nhau không chia sẻ chương trình phát sóng. Chứa các chương trình phát sóng trong một VLAN cải thiện hiệu suất tổng thể của mạng.
Để mang lưu lượng truy cập cho nhiều VLAN qua nhiều bộ chuyển mạch, bạn cần có đường trung kế (trunk) để kết nối từng cặp thiết bị chuyển mạch. VLAN cũng có thể kết nối qua các mạng WAN. Lưu lượng không thể truyền trực tiếp đến một VLAN khác (giữa các miền broadcast) trong switch hoặc giữa hai switch. Để kết nối hai VLAN khác nhau, bạn phải sử dụng Router hoặc Switch Layer 3. Quá trình chuyển tiếp lưu lượng mạng từ VLAN này sang VLAN khác bằng Router được gọi là định tuyến giữa các VLAN. Các Router thực hiện định tuyến giữa các VLAN bằng cách có một giao diện bộ định tuyến riêng cho từng VLAN hoặc bằng cách sử dụng liên kết trunk để mang lưu lượng truy cập cho tất cả các VLAN. Các thiết bị trên VLAN gửi lưu lượng qua Router để đến các VLAN khác.
Thông thường, số mạng con được chọn để phản ánh chúng được liên kết với VLAN nào. Hình cho thấy VLAN 2 sử dụng mạng con 10.0.2.0/24, VLAN 3 sử dụng 10.0.3.0/24 và VLAN 4 sử dụng 10.0.4.0/24. Trong ví dụ này, octet thứ ba xác định rõ ràng VLAN mà thiết bị thuộc về. Thiết kế VLAN phải xem xét đến việc thực hiện sơ đồ phân cấp, định địa chỉ mạng.
Switch Cisco có cấu hình mặc định ban đầu trong đó các VLAN mặc định khác nhau được định cấu hình trước để hỗ trợ các loại phương tiện và giao thức khác nhau. Ethernet VLAN mặc định là VLAN 1, chứa tất cả các cổng theo mặc định.
Nếu bạn muốn giao tiếp với Switch Cisco cho mục đích quản lý từ một máy khách từ xa nằm trên một VLAN khác, có nghĩa là nó nằm trên một mạng con khác, thì Switch phải có địa chỉ IP và cổng mặc định được định cấu hình. Địa chỉ IP này phải nằm trong VLAN quản lý, theo mặc định là VLAN 1.
Trunking với 802.1Q
Nếu không có trunk, việc chạy nhiều VLAN giữa các thiết bị chuyển mạch sẽ yêu cầu cùng một số lượng liên kết kết nối với nhau.
Nếu mỗi cổng thuộc về một VLAN và bạn có một số VLAN được cấu hình trên các Switch, thì việc kết nối chúng với nhau yêu cầu một cáp vật lý trên mỗi VLAN. Khi số lượng VLAN tăng lên, số lượng các liên kết kết nối được yêu cầu cũng tăng lên. Các cổng sau đó được sử dụng để kết nối giữa các Switch thay vì gắn các thiết bị cuối.
Thay vào đó, bạn có thể sử dụng một kết nối được định cấu hình gọi là trunk:
• Kết hợp nhiều VLAN trên cùng một cổng được gọi là trunking.
• Một trunk cho phép vận chuyển các frame từ các VLAN khác nhau.
• Mỗi frame có một thẻ chỉ định VLAN mà nó thuộc về.
• Thiết bị nhận chuyển tiếp các frame đến VLAN tương ứng dựa trên thông tin thẻ.
Đường trunk là liên kết point-to-point giữa hai thiết bị mạng, chẳng hạn như máy chủ, router và bộ switch.Các Ethernet trunk mang lưu lượng của nhiều VLAN qua một liên kết duy nhất và cho phép bạn mở rộng các VLAN trên toàn bộ mạng. Một trunk không thuộc về một VLAN cụ thể. Đúng hơn, nó là một đường dẫn cho các VLAN giữa các thiết bị. Theo mặc định, trên Switch Cisco Catalyst, tất cả các VLAN được cấu hình đều được chuyển qua giao diện trunk.
Lưu ý
Một trunk cũng có thể được sử dụng giữa một thiết bị mạng và một máy chủ hoặc một thiết bị khác được trang bị một NIC có khả năng trunk thích hợp.
Nếu mạng của bạn bao gồm các VLAN trải dài nhiều switch được kết nối với nhau, các switch phải sử dụng trunk VLAN trên các kết nối giữa chúng. Switch sử dụng một quá trình được gọi là gắn thẻ VLAN, trong đó bộ chuyển mạch gửi sẽ thêm một tiêu đề khác vào frame trước khi gửi nó qua đường trunk. Tiêu đề bổ sung này được gọi là tag và bao gồm trường VLAN ID (VID) để switch gửi có thể liệt kê ID VLAN và switch nhận có thể xác định VLAN mà mỗi frame thuộc về. Switch làm như vậy bằng cách sử dụng tiêu đề đóng gói 802.1Q. IEEE 802.1Q sử dụng cơ chế gắn thẻ nội bộ chèn thêm một trường thẻ 4 byte vào frame Ethernet ban đầu giữa các trường Địa chỉ nguồn và Loại hoặc Độ dài. Kết quả là frame vẫn có địa chỉ MAC nguồn và đích ban đầu. Ngoài ra, vì tiêu đề gốc đã được mở rộng, việc đóng gói 802.1Q buộc phải tính toán lại trường FCS ban đầu trong đoạn giới thiệu Ethernet, vì FCS dựa trên nội dung của toàn bộ frame. Ethernet switch nhận có trách nhiệm nhìn vào trường thẻ 4 byte và xác định nơi phân phối frame.
Trunking cho phép các switch truyền các frame từ nhiều VLAN qua một kết nối vật lý duy nhất. Ví dụ, hình cho thấy Switch 1 đang nhận một broadcast frame trên giao diện Fa0/1, là một thành viên của VLAN 1. Trong một chương trình broadcast, frame phải được chuyển tiếp đến tất cả các cổng trong VLAN 1. Vì có các cổng trên Switch 2 là các thành viên của Switch VLAN 1, frame phải được chuyển tiếp đến Switch 2. Trước khi chuyển tiếp khung, Switch 1 thêm một tiêu đề xác định frame thuộc về VLAN 1. Tiêu đề này cho Switch 2 biết rằng frame phải được chuyển tiếp đến các cổng VLAN 1. Switch 2 loại bỏ tiêu đề và sau đó chuyển tiếp frame cho tất cả các cổng là một phần của VLAN 1.
Một ví dụ khác, thiết bị trên giao diện Switch 1 cổng Fa0/5 sẽ gửi một chương trình phát sóng. Switch 1 gửi broadcats ra khỏi cổng Fa0/6 (vì cổng này nằm trong VLAN 2) và ra Fa0/23 (vì nó là trunk, nghĩa là nó hỗ trợ nhiều VLAN). Switch 1 thêm tiêu đề trunk vào frame, liệt kê ID VLAN là 2. Switch 2 dải ra khỏi tiêu đề trunk và vì frame là một phần của VLAN 2, Switch 2 biết chuyển tiếp frame ra khỏi cổng chỉ Fa /5 và Fa0/6 chứ không phải cổng Fa0/1 và Fa0/2.
Địa chỉ MAC và VLAN
Giới thiệu VLAN
Nếu một mạng được thiết kế kém với số lượng lớn thiết bị trong cùng một phân đoạn mạng LAN, thiết kế kém sẽ ảnh hưởng đến hiệu suất của mạng do miền phát sóng và lỗi lớn, kiểm soát bảo mật hạn chế, v.v. Một router có thể được sử dụng để giải quyết vấn đề, vì nó chặn các chương trình phát sóng, nhưng router thường chậm hơn, đắt tiền và thường không phù hợp với thiết kế của mạng.
Một giải pháp thường được sử dụng là sử dụng mạng cục bộ ảo (VLAN), mạng này phân đoạn mạng trên cơ sở mỗi cổng và có thể trải dài qua nhiều Switch. Điều này cho phép bạn phân đoạn một cách hợp lý mạng chuyển mạch trên cơ sở tổ chức, theo chức năng, nhóm dự án hoặc ứng dụng hơn là trên cơ sở vật lý hoặc địa lý. Ví dụ: tất cả các máy trạm và máy chủ được sử dụng bởi một nhóm nhóm làm việc cụ thể có thể được kết nối với cùng một VLAN, bất kể kết nối vật lý của chúng với mạng hoặc thực tế là chúng có thể được xen kẽ với các nhóm khác. Việc cấu hình lại mạng có thể được thực hiện thông qua phần mềm thay vì rút phích cắm và di chuyển các thiết bị hoặc dây dẫn.
Để hiểu về VLAN, bạn cần có hiểu biết vững chắc về mạng LAN. Mạng LAN là một nhóm các thiết bị chia sẻ chung một miền broadcast. Khi một thiết bị trong mạng LAN gửi tin nhắn broadcast, switch sẽ chuyển các tin nhắn broadcast (cũng như unicast không xác định) đến tất cả các cổng ngoại trừ cổng đến. Do đó, tất cả các thiết bị khác trong mạng LAN đều nhận được chúng. Bạn có thể nghĩ về mạng LAN và miền phát sóng về cơ bản là giống nhau. Không có VLAN, một bộ chuyển mạch coi tất cả các giao diện của nó nằm trong cùng một miền broadcast. Nói cách khác, tất cả các thiết bị được kết nối đều nằm trong cùng một mạng LAN. Với VLAN, một bộ chuyển mạch có thể đưa một số giao diện vào một miền broadcast và một số vào miền khác. Các miền broadcast riêng lẻ được tạo bởi bộ chuyển mạch được gọi là VLAN. VLAN là một nhóm thiết bị trên một hoặc nhiều mạng LAN được cấu hình để giao tiếp như thể chúng được gắn vào cùng một dây, trong khi thực tế chúng nằm trên một số phân đoạn LAN khác nhau.
VLAN cho phép người quản trị mạng tạo các nhóm thiết bị mạng hợp lý. Các thiết bị này hoạt động giống như chúng nằm trong mạng độc lập của riêng chúng, ngay cả khi chúng chia sẻ cơ sở hạ tầng chung với các VLAN khác. Mỗi VLAN là một miền broadcast Lớp 2 riêng biệt, thường được ánh xạ tới một mạng con Internet Protocol (IP) duy nhất (miền broadcast Lớp 3). Một VLAN có thể tồn tại trên một switch duy nhất hoặc mở rộng nhiều switch. VLAN có thể bao gồm các thiết bị trong một tòa nhà hoặc cơ sở hạ tầng nhiều tòa nhà, như được minh họa trong hình.
Trong mạng lưới kết nối chuyển mạch, VLAN cung cấp tính linh hoạt trong tổ chức và phân đoạn. Bạn có thể thiết kế cấu trúc VLAN cho phép bạn nhóm các thiết bị được phân đoạn một cách hợp lý theo chức năng, nhóm dự án và ứng dụng mà không cần quan tâm đến vị trí thực của người dùng. VLAN cho phép bạn triển khai các chính sách truy cập và bảo mật cho các nhóm người dùng cụ thể. Nếu một cổng chuyển mạch đang hoạt động như một cổng truy cập, nó chỉ có thể được gán cho một VLAN, điều này bổ sung thêm một lớp bảo mật. Nhiều cổng có thể được gán cho mỗi VLAN. Các cổng trong cùng một VLAN chia sẻ các chương trình phát sóng. Các cổng trong các VLAN khác nhau không chia sẻ chương trình phát sóng. Chứa các chương trình phát sóng trong một VLAN cải thiện hiệu suất tổng thể của mạng.
Để mang lưu lượng truy cập cho nhiều VLAN qua nhiều bộ chuyển mạch, bạn cần có đường trung kế (trunk) để kết nối từng cặp thiết bị chuyển mạch. VLAN cũng có thể kết nối qua các mạng WAN. Lưu lượng không thể truyền trực tiếp đến một VLAN khác (giữa các miền broadcast) trong switch hoặc giữa hai switch. Để kết nối hai VLAN khác nhau, bạn phải sử dụng Router hoặc Switch Layer 3. Quá trình chuyển tiếp lưu lượng mạng từ VLAN này sang VLAN khác bằng Router được gọi là định tuyến giữa các VLAN. Các Router thực hiện định tuyến giữa các VLAN bằng cách có một giao diện bộ định tuyến riêng cho từng VLAN hoặc bằng cách sử dụng liên kết trunk để mang lưu lượng truy cập cho tất cả các VLAN. Các thiết bị trên VLAN gửi lưu lượng qua Router để đến các VLAN khác.
Thông thường, số mạng con được chọn để phản ánh chúng được liên kết với VLAN nào. Hình cho thấy VLAN 2 sử dụng mạng con 10.0.2.0/24, VLAN 3 sử dụng 10.0.3.0/24 và VLAN 4 sử dụng 10.0.4.0/24. Trong ví dụ này, octet thứ ba xác định rõ ràng VLAN mà thiết bị thuộc về. Thiết kế VLAN phải xem xét đến việc thực hiện sơ đồ phân cấp, định địa chỉ mạng.
Switch Cisco có cấu hình mặc định ban đầu trong đó các VLAN mặc định khác nhau được định cấu hình trước để hỗ trợ các loại phương tiện và giao thức khác nhau. Ethernet VLAN mặc định là VLAN 1, chứa tất cả các cổng theo mặc định.
Nếu bạn muốn giao tiếp với Switch Cisco cho mục đích quản lý từ một máy khách từ xa nằm trên một VLAN khác, có nghĩa là nó nằm trên một mạng con khác, thì Switch phải có địa chỉ IP và cổng mặc định được định cấu hình. Địa chỉ IP này phải nằm trong VLAN quản lý, theo mặc định là VLAN 1.
Trunking với 802.1Q
Nếu không có trunk, việc chạy nhiều VLAN giữa các thiết bị chuyển mạch sẽ yêu cầu cùng một số lượng liên kết kết nối với nhau.
Nếu mỗi cổng thuộc về một VLAN và bạn có một số VLAN được cấu hình trên các Switch, thì việc kết nối chúng với nhau yêu cầu một cáp vật lý trên mỗi VLAN. Khi số lượng VLAN tăng lên, số lượng các liên kết kết nối được yêu cầu cũng tăng lên. Các cổng sau đó được sử dụng để kết nối giữa các Switch thay vì gắn các thiết bị cuối.
Thay vào đó, bạn có thể sử dụng một kết nối được định cấu hình gọi là trunk:
• Kết hợp nhiều VLAN trên cùng một cổng được gọi là trunking.
• Một trunk cho phép vận chuyển các frame từ các VLAN khác nhau.
• Mỗi frame có một thẻ chỉ định VLAN mà nó thuộc về.
• Thiết bị nhận chuyển tiếp các frame đến VLAN tương ứng dựa trên thông tin thẻ.
Đường trunk là liên kết point-to-point giữa hai thiết bị mạng, chẳng hạn như máy chủ, router và bộ switch.Các Ethernet trunk mang lưu lượng của nhiều VLAN qua một liên kết duy nhất và cho phép bạn mở rộng các VLAN trên toàn bộ mạng. Một trunk không thuộc về một VLAN cụ thể. Đúng hơn, nó là một đường dẫn cho các VLAN giữa các thiết bị. Theo mặc định, trên Switch Cisco Catalyst, tất cả các VLAN được cấu hình đều được chuyển qua giao diện trunk.
Lưu ý
Một trunk cũng có thể được sử dụng giữa một thiết bị mạng và một máy chủ hoặc một thiết bị khác được trang bị một NIC có khả năng trunk thích hợp.
Nếu mạng của bạn bao gồm các VLAN trải dài nhiều switch được kết nối với nhau, các switch phải sử dụng trunk VLAN trên các kết nối giữa chúng. Switch sử dụng một quá trình được gọi là gắn thẻ VLAN, trong đó bộ chuyển mạch gửi sẽ thêm một tiêu đề khác vào frame trước khi gửi nó qua đường trunk. Tiêu đề bổ sung này được gọi là tag và bao gồm trường VLAN ID (VID) để switch gửi có thể liệt kê ID VLAN và switch nhận có thể xác định VLAN mà mỗi frame thuộc về. Switch làm như vậy bằng cách sử dụng tiêu đề đóng gói 802.1Q. IEEE 802.1Q sử dụng cơ chế gắn thẻ nội bộ chèn thêm một trường thẻ 4 byte vào frame Ethernet ban đầu giữa các trường Địa chỉ nguồn và Loại hoặc Độ dài. Kết quả là frame vẫn có địa chỉ MAC nguồn và đích ban đầu. Ngoài ra, vì tiêu đề gốc đã được mở rộng, việc đóng gói 802.1Q buộc phải tính toán lại trường FCS ban đầu trong đoạn giới thiệu Ethernet, vì FCS dựa trên nội dung của toàn bộ frame. Ethernet switch nhận có trách nhiệm nhìn vào trường thẻ 4 byte và xác định nơi phân phối frame.
Trunking cho phép các switch truyền các frame từ nhiều VLAN qua một kết nối vật lý duy nhất. Ví dụ, hình cho thấy Switch 1 đang nhận một broadcast frame trên giao diện Fa0/1, là một thành viên của VLAN 1. Trong một chương trình broadcast, frame phải được chuyển tiếp đến tất cả các cổng trong VLAN 1. Vì có các cổng trên Switch 2 là các thành viên của Switch VLAN 1, frame phải được chuyển tiếp đến Switch 2. Trước khi chuyển tiếp khung, Switch 1 thêm một tiêu đề xác định frame thuộc về VLAN 1. Tiêu đề này cho Switch 2 biết rằng frame phải được chuyển tiếp đến các cổng VLAN 1. Switch 2 loại bỏ tiêu đề và sau đó chuyển tiếp frame cho tất cả các cổng là một phần của VLAN 1.
Một ví dụ khác, thiết bị trên giao diện Switch 1 cổng Fa0/5 sẽ gửi một chương trình phát sóng. Switch 1 gửi broadcats ra khỏi cổng Fa0/6 (vì cổng này nằm trong VLAN 2) và ra Fa0/23 (vì nó là trunk, nghĩa là nó hỗ trợ nhiều VLAN). Switch 1 thêm tiêu đề trunk vào frame, liệt kê ID VLAN là 2. Switch 2 dải ra khỏi tiêu đề trunk và vì frame là một phần của VLAN 2, Switch 2 biết chuyển tiếp frame ra khỏi cổng chỉ Fa /5 và Fa0/6 chứ không phải cổng Fa0/1 và Fa0/2.