Tìm hiểu về Virtual LAN (VLAN) - Thiết kế và triển khai Vlan trên Switch Cisco

Có nhiều kiểu VLAN khác nhau : VLAN 1 / Default VLAN / User VLAN / Native VLAN / Management VLAN.
Mặc định, tất cả các giao diện Ethernet của Cisco Switch nằm trong VLAN 1. Chính vì thế, việc phân biệt các kiểu VLAN trở lên khó khăn hơn. Bài viết này sẽ mô tả các kiểu VLAN khác nhau.

VLAN 1
Mặc định, các thiết bị lớp 2 sẽ sử dụng một VLAN mặc định để đưa tất cả các cổng của thiết bị đó vào. Thêm vào nữa là có rất nhiều giao thức lớp 2 như CDP, PAgP, và VTP cần phải được gửi tới một VLAN xác định trên các đường trunk. Chính vì các mục đích đó mà VLAN mặc định được chọn là VLAN 1.
CDP, PagP, VTP, và DTP luôn luôn được truyền qua VLAN 1 và mặc định này không thể thay đổi được. Các khuyến cáo của Cisco chỉ ra rằng VLAN 1 chỉ nên dành cho các giao thức kể trên.

Default VLAN
VLAN 1 còn được gọi là default VLAN. Chính vì vậy, mặc định, native VLAN, management VLAN và user VLAN sẽ là thành viên của VLAN 1. Tất cả các giao diện Ethernet trên Switch Cisco Catalyst mặc định thuộc VLAN 1. Các thiết bị gắn với các giao diện đó sẽ là thành viên của VLAN 1, trừ khi các giao diện đó được cấu hình sang các VLAN khác.

User VLANs
Hiểu đơn giản User VLAN là một VLAN được tạo ra nhằm tạo ra một nhóm người sử dụng mà không phụ thuộc vào vị trí địa lý hay logic và tách biệt với phần còn lại của mạng ban đầu. Câu lệnh switchport access vlan được dùng để chỉ định các giao diện vào các VLAN khác nhau.

Native VLAN
Một chủ đề hay gây nhầm lẫn là Native VLAN. Native VLAN là một VLAN có các cổng được cấu hình trunk. Khi một cổng của switch được cấu hình trunk, trong phần tag của frame đi qua cổng đó sẽ được thêm một số hiệu VLAN thích hợp. Tất cả các frames thuộc các VLAN khi đi qua đường trunk sẽ được gắn thêm các tag của giao thức 802.1q và ISL, ngoại trừ các frame của VLAN 1. Như vậy, theo mặc định các frames của VLAN 1 khi đi qua đường trunk sẽ không được gắn tag.

Khả năng này cho phép các cổng hiểu 802.1Q giao tiếp được với các cổng cũ không hiểu 802.1Q bằng cách gửi và nhận trực tiếp các luồng dữ liệu không được gắn tag. Tuy nhiên, trong tất cả các trường hợp khác, điều này lại gây bất lợi, bởi vì các gói tin liên quan đến native VLAN sẽ bị mất tag.

Native VLAN được chuyển thành VLAN khác bằng câu lệnh :

Switch(config-if)#switchport trunk native vlan vlan-id

Chú ý: native VLAN không nên sử dụng như là user VLAN hay management VLAN.

Management VLAN

Hiện nay, đa số các thiết bị như router, switch có thể truy cập từ xa bằng cách telnet đến địa chỉ IP của thiết bị. Đối với các thiết bị mà cho phép truy cập từ xa thì chúng ta nên đặt vào trong một VLAN, được gọi là Management VLAN. VLAN này độc lập với các VLAN khác như user VLAN, native VLAN. Do đó khi mạng có vấn đề như : hội tụ với STP, broadcast storms, thì một Management VLAN cho phép nhà quản trị vẫn có thể truy cập được vào các thiết bị và giải quyết các vấn đề đó.

Một yếu tố khác để tạo ra một Management VLAN độc lập với user VLAN là việc tách các thiết bị đáng tin cậy với các thiết bị không tin cậy. Do đó làm giảm đi khả năng các user khác đạt được quyền truy cập vào các thiết bị đó.

Cấu hình bộ định tuyến (router)

Khi một giao diện của router được cấu hình ở mode trunk link, thì các frame nhận được từ native VLAN trên giao diện đó sẽ không được gắn tag. Và đối với các frame từ các VLAN khác sẽ có tag là ISL hoặc 802.1Q.

Để cấu hình một giao diện của router cisco ở mode trunk link thì ta phải sử dụng subinterface. Mỗi một subinterface sẽ được cấu hình ứng với giao thức trunking trên mỗi switch là ISL hay 802.1Q. Chúng ta dùng câu lệnh sau :

#encapsulation dot1q | isl vlan.

Khi subinterface muốn nhận cả các frame của native VLAN thì phải được cấu hình thêm :

#encapsulation [ dot1q | isl ] vlan. native

Chú ý: trong các phiên bản IOS trước 12.1(3)T, để cấu hình native VLAN thì phải cấu hình ở giao diện vật lý.

 

Thiết kế và triển khai Vlan trên Switch Cisco

1. Thiết kế VLAN:

Trong khi triển khai VLAN trong một hệ thống mạng campus, người quản trị có thể thiết kế VLAN theo hai cách thức:

- Thiết kế VLAN theo dạng end-to-end: còn gọi là campus-wide.
Trong kiểu chia VLAN này, VLAN sẽ trải rộng trên toàn campus. Một thành viên của VLAN đó di chuyển trong mạng, thuộc tính thành viên của VLAN đó không thay đổi. Điều này có nghĩa là, mỗi VLAN phải sẵn có ở từng switch, đặc biệt là những switch nằm ở layer access trong mô hình 3 lớp: core-distribution-access.
Như vậy, trong end-to-end VLAN, các người dùng sẽ được nhóm vào thành những nhóm dựa theo chức năng, theo nhóm dự án hoặc theo cách mà những người dùng đó sử dụng tài nguyên mạng.
- Chia VLAN dạng cục bộ:
VLAN được giới hạn trong một switch hoặc một khu vực địa lý hẹp. Lý do để dùng dạng VLAN này là các VLAN dạng end-to-end trở nên khó duy trì. Các người dùng thường xuyên yêu cầu nhiều tài nguyên khác nhau. Các tài nguyên này thường nằm trong nhìều VLAN khác nhau.

2. Triển khai (cấu hình) VLAN:

Chia VLAN trên Cisco Catalyst Switch có 2 bước:
1. Tạo VLAN
2. Gán SW port vào VLAN có 2 kiểu:
- Static: áp dụng cho các mạng nhỏ và gán port vào VLAN nhân công
- Dynamic

Nếu bạn sử dụng Switch Cisco Catalyst tạo VLAN static thì bạn có thể cấu hình như sau:

2.1. Tạo VLAN

SW#vlan database hoặc SW#conf terminal
SW(config) #vlan name vlanname

Chú ý: không nên sử dụng VLAN 1 nếu không muốn cho telnet vào SW

2.2. Gán SW port vào VLAN

SW(config)#interface FastEthernet 0/n
SW(config-if)#switchport mode access
SW(config-if)#switchport access vlan n

Khi đã chia được VLAN trên switch, giả sử thành 5 VLAN. Làm thế nào để định tuyến được các VLAN đó.

Để các Vlan này có thể thông suốt với nhau, bắt buộc phải dùng L3 routing thông qua Router hay Switch Layer 3.

Khi dùng Router để routing, bạn cần phải dành ra 1 port (Fast ethernet) để làm trunk port. Khi ấy, đường nối từ Fast ethernet của router đến port đó được gọi là đường trunking.

Thế thì đường trunking có vai trò gì trong việc liên lạc giữa các VLAN ?

Khi đã có đường trunking, các traffic qua lại giữa các vlan đều đi qua đây,trên đó các frame sẽ được gắn thêm thông tin về VLAN gọi là tagging. Thông tin trong tagging sẽ chứa VLAN-ID mà frame đó thuộc về.
Interface Fastethernet của Router sẽ được chia ra làm nhiểu sub-interface (tương ứng với số VLAN). Mỗi sub-interfaces xem như thuộc về một VLAN tương ứng trên switch. Công việc của các sub-int này là làm gateway cho các host bên trong mỗi VLAN.

Bài viết liên quan:

- Hướng dẫn cách tạo và cấu hình VLAN trên thiết bị chuyển mạch Cisco Switch