NETWORK

Mạng VLAN là gì? Cách thức hoạt động của mạng LAN ảo

36 lượt xem0

Bạn đã từng thắc mắc về cách thức hoạt động của những mạng lưới phức tạp trong các tòa nhà văn phòng, trường học hay bệnh viện? Bí mật nằm ở mạng VLAN, công nghệ tiên tiến giúp chia nhỏ mạng LAN vật lý thành các mạng con logic riêng biệt, mang đến vô số lợi ích về bảo mật, hiệu quả và khả năng quản lý. Vậy VLAN là gì? Ứng dụng, lợi ích và cách hoạt động như thế nào? Hãy cùng khám phá chi tiết trong bài viết này!

Mạng VLAN là gì?

VLAN là viết tắt của Virtual Local Area Network, hay còn gọi là mạng LAN ảo. VLAN là một kỹ thuật phân chia mạng LAN vật lý thành các mạng logic riêng biệt, được gọi là các VLAN.

Mỗi VLAN hoạt động như một mạng LAN riêng biệt, với lưu lượng truy cập riêng biệt và được cách ly với các VLAN khác.

Nếu không có mạng Virtual LAN, một broadcast được gửi từ host có thể dễ dàng đi đến mọi thiết bị mạng. Khi đó, tất cả thiết bị đều sẽ xử lý những frame đã nhận broadcast đó. Việc này sẽ làm tăng đáng kể chi phí cho CPU trên mỗi thiết bị, đồng thời làm giảm khả năng bảo mật của hệ thống.

Nếu ta đặt các interface trên các switch ở những VLAN riêng biệt, một broadcast từ host A chỉ có thể đi đến các thiết bị khả dụng ở trong cùng một Virtual LAN. Các host của Virtual LAN sẽ không hề biết về cách thức giao tiếp.

Vậy cách hoạt động của VLAN là gì? Nội dung tiếp theo sẽ chia sẻ đến bạn cách thức hoạt động của mạng Virtual LAN.

VLAN hoạt động như thế nào?

VLAN hoạt động bằng cách đánh dấu các khung Ethernet với một mã VLAN (VLAN ID). Mã VLAN này xác định VLAN mà khung Ethernet thuộc về. Khi một thiết bị gửi khung Ethernet, chúng sẽ thêm mã VLAN vào khung. Khi khung Ethernet đến bộ chuyển mạch, bộ chuyển mạch sẽ đọc mã VLAN và chuyển khung đến cổng tương ứng với VLAN đó.

VLAN hoạt động bằng cách đánh dấu các khung Ethernet với một mã VLAN

Dưới đây là các bước chi tiết về cách VLAN hoạt động:

  • Gửi khung Ethernet: Khi một thiết bị gửi khung Ethernet, nó sẽ thêm mã VLAN vào khung. Mã VLAN này xác định VLAN mà khung Ethernet thuộc về.
  • Chuyển khung đến bộ chuyển mạch: Khung Ethernet được truyền qua cáp đến bộ chuyển mạch.
  • Bộ chuyển mạch đọc mã VLAN: Bộ chuyển mạch đọc mã VLAN trong khung Ethernet.
  • Chuyển khung đến cổng tương ứng: Bộ chuyển mạch chuyển khung Ethernet đến cổng tương ứng với VLAN được xác định bởi mã VLAN.
  • Thiết bị nhận khung: Thiết bị trên cổng nhận được khung Ethernet và xử lý nó.
VÍ DỤ:
Giả sử bạn có một mạng LAN với ba VLAN: VLAN 10 cho bộ phận kế toán, VLAN 20 cho bộ phận bán hàng và VLAN 30 cho bộ phận marketing. Máy tính trong bộ phận kế toán được kết nối với các cổng truy cập được gán vào VLAN 10, máy tính trong bộ phận bán hàng được kết nối với các cổng truy cập được gán vào VLAN 20 và máy tính trong bộ phận marketing được kết nối với các cổng truy cập được gán vào VLAN 30.

Khi một máy tính trong bộ phận kế toán gửi email cho một máy tính trong bộ phận bán hàng, khung Ethernet sẽ được đánh dấu với mã VLAN 10. Khi khung Ethernet đến bộ chuyển mạch, bộ chuyển mạch sẽ đọc mã VLAN và chuyển khung đến cổng được gán vào VLAN 20. Máy tính trong bộ phận bán hàng sau đó sẽ nhận được khung Ethernet và xử lý email.

VLAN được phân loại như thế nào?

VLAN được phân loại theo nhiều phương thức khác nhau, dựa trên tiêu chí và mục đích sử dụng. Dưới đây là một số phân loại VLAN phổ biến:

1. VLAN dựa trên cổng (Port-based VLAN)

Đây là phương thức phổ biến nhất, trong đó các thiết bị được gán vào VLAN dựa trên cổng switch mà chúng kết nối. Ưu điểm của phương thức này là đơn giản và dễ dàng cấu hình. Tuy nhiên, nó không linh hoạt vì việc di chuyển thiết bị sang cổng khác có thể thay đổi VLAN của chúng.

VLAN dựa trên cổng (Port-based VLAN)

2. VLAN dựa trên địa chỉ MAC (MAC address-based VLAN)

Phương thức này gán thiết bị vào VLAN dựa trên địa chỉ MAC duy nhất của nó. Ưu điểm của phương thức này là linh hoạt hơn so với VLAN dựa trên cổng, vì việc di chuyển thiết bị không ảnh hưởng đến VLAN của nó. Tuy nhiên, chúng có thể phức tạp hơn để cấu hình và quản lý.

VLAN dựa trên địa chỉ MAC (MAC address-based VLAN)

3. VLAN dựa trên giao thức (Protocol-based VLAN)

Phương thức này gán thiết bị vào VLAN dựa trên giao thức mạng mà nó sử dụng (ví dụ: IP, IPX). Ưu điểm của phương thức này là nó có thể hữu ích cho việc phân chia lưu lượng truy cập mạng theo loại ứng dụng.

4. VLAN động (Dynamic VLAN)

Phương thức này sử dụng giao thức RADIUS hoặc DHCP để gán thiết bị vào VLAN một cách tự động. Ưu điểm của phương thức này là nó rất linh hoạt và có thể tự động hóa việc gán VLAN cho thiết bị. Tuy nhiên, nó có thể phức tạp hơn để cấu hình và yêu cầu hạ tầng mạng hỗ trợ.

Ưu và nhược điểm của VLAN là gì?

Với cách hoạt động như vậy thì ưu điểm và nhược điểm của việc sử dụng mạng VLAN là gì? Dưới đây là một số ưu và nhược điểm tiêu biểu của mạng Virtual LAN.

Ưu điểm

  • Tăng cường bảo mật: VLAN giúp cô lập lưu lượng truy cập của các nhóm người dùng khác nhau, giúp bảo vệ dữ liệu nhạy cảm khỏi những truy cập trái phép.
VÍ DỤ:
Bạn có thể tạo một VLAN riêng cho bộ phận tài chính và một VLAN riêng cho bộ phận nhân sự, giúp ngăn chặn nhân viên bộ phận nhân sự truy cập vào dữ liệu tài chính nhạy cảm.
  • Cải thiện hiệu suất: VLAN giúp giảm tắc nghẽn mạng bằng cách phân chia lưu lượng truy cập thành các nhóm nhỏ hơn. Điều này đặc biệt hữu ích trong các mạng lớn có nhiều người dùng và thiết bị.
  • Dễ dàng quản lý: VLAN giúp đơn giản hóa việc quản lý mạng bằng cách cho phép quản trị viên mạng quản lý từng VLAN riêng biệt.
VÍ DỤ:
Bạn có thể dễ dàng thay đổi cài đặt bảo mật cho một VLAN cụ thể mà không ảnh hưởng đến các VLAN khác.
  • Tăng tính linh hoạt: VLAN giúp dễ dàng di chuyển và thêm người dùng vào mạng.
VÍ DỤ:
Nếu bạn cần di chuyển một nhân viên từ bộ phận nhân sự sang bộ phận tài chính, bạn chỉ cần thay đổi VLAN của máy tính của họ.
  • Giảm chi phí: VLAN có thể giúp giảm chi phí bằng cách cho phép bạn sử dụng hiệu quả hơn các tài nguyên mạng hiện có.
VÍ DỤ:
Bạn có thể sử dụng một switch để hỗ trợ nhiều VLAN, thay vì cần nhiều switch cho mỗi mạng con.

Nhược điểm

Dĩ nhiên, mọi thứ đều có mặt trái của nó. Bên cạnh rất nhiều đặc điểm nổi trội như cải thiện hiệu suất, bảo mật, phân đoạn mạng, tiết kiệm chi phí,… thì mạng VLAN cũng có một số nhược điểm cần phải lưu ý, như:

  • Packet có thể bị rò rỉ giữa các VLAN.
  • Packet được inject có thể dẫn đến cyber attack.
  • Các mối đe dọa ở trong một hệ thống đơn lẻ có thể phát tán virus cho toàn bộ mạng.
  • Cần có một router bổ sung để kiểm soát workload trong những mạng lớn.
  • Khả năng tương tác có thể gặp vấn đề.
  • Một VLAN không thể chuyển tiếp lưu lượng mạng sang những VLAN khác.

Ứng dụng và lợi ích của mạng VLAN

Mạng VLAN được ứng dụng rộng rãi trong nhiều môi trường khác nhau, đặc biệt là trong các doanh nghiệp và tổ chức có quy mô lớn với hạ tầng mạng phức tạp. Dưới đây là một số ứng dụng phổ biến nhất của mạng VLAN:

1. Chia tách mạng logic

Đây là ứng dụng cơ bản và quan trọng nhất của mạng VLAN. VLAN giúp chia tách mạng vật lý thành các mạng logic riêng biệt, mỗi mạng logic có thể đại diện cho một bộ phận, phòng ban hoặc nhóm người dùng khác nhau trong tổ chức. Việc chia tách mạng logic mang lại nhiều lợi ích như:

  • Tăng cường tính bảo mật: Mỗi VLAN hoạt động như một mạng riêng biệt, giúp hạn chế truy cập trái phép giữa các bộ phận, phòng ban, ngăn chặn sự lây lan của virus và phần mềm độc hại.
  • Cải thiện hiệu suất mạng: Việc chia tách lưu lượng truy cập theo VLAN giúp giảm thiểu tình trạng tắc nghẽn mạng, đảm bảo hiệu suất mạng tốt hơn cho các ứng dụng quan trọng.
  • Dễ dàng quản lý: Quản trị viên mạng có thể dễ dàng quản lý và điều khiển lưu lượng truy cập trong từng VLAN, giúp đơn giản hóa việc quản lý mạng và khắc phục sự cố.
Ứng dụng phổ biến của VLAN là chia tách mạng logic

2. Phân đoạn mạng

VLAN giúp phân đoạn mạng thành các vùng riêng biệt, mỗi vùng có thể có các chính sách bảo mật và chất lượng dịch vụ (QoS) riêng. Việc phân đoạn mạng đặc biệt hữu ích trong các môi trường mạng có nhiều loại lưu lượng truy cập khác nhau, chẳng hạn như mạng văn phòng, mạng VoIP, mạng IoT, v.v.

3. Tạo mạng ảo cho các dịch vụ đặc biệt

Mạng VLAN có thể được sử dụng để tạo ra các mạng ảo cho các dịch vụ đặc biệt như mạng khách, mạng DMZ, v.v. Việc tạo ra các mạng ảo riêng biệt giúp tăng cường bảo mật và khả năng kiểm soát cho các dịch vụ này.

4. Hỗ trợ cho các ứng dụng đa phát sóng

VLAN giúp cải thiện hiệu quả của các ứng dụng đa phát sóng như chia sẻ tệp, họp trực tuyến, v.v. bằng cách giới hạn lưu lượng truy cập đa phát sóng trong phạm vi VLAN.

5. Giảm thiểu chi phí

Việc sử dụng VLAN có thể giúp giảm thiểu chi phí đầu tư cho hạ tầng mạng bằng cách cho phép sử dụng chung các thiết bị mạng như switch, router, v.v.

Ngoài ra, mạng VLAN còn có thể được sử dụng cho nhiều mục đích khác như:

  • Tách biệt mạng chính với mạng dự phòng
  • Cung cấp quyền truy cập mạng cho nhân viên hoặc khách hàng
  • Hỗ trợ cho các mạng VPN
  • Tạo ra các mạng Wi-Fi riêng biệt

Cách cấu hình và thiết lập VLAN

Dưới đây là các bước hướng dẫn chi tiết cách cấu hình và thiết lập VLAN:

1. Chuẩn bị

  • Xác định mục đích sử dụng VLAN: Chia sẻ tài nguyên, tăng cường bảo mật, v.v.
  • Lập kế hoạch cho các VLAN: Số lượng VLAN cần thiết, thiết bị nào thuộc VLAN nào.
  • Chuẩn bị thiết bị mạng: Switch hỗ trợ VLAN, router (tùy chọn).
  • Cáp mạng và các thiết bị đầu cuối khác.

2. Cấu hình VLAN trên Switch

  • Đăng nhập vào giao diện quản trị của Switch: Sử dụng trình duyệt web hoặc giao diện dòng lệnh (CLI) để truy cập vào switch.
  • Tạo VLAN: Sử dụng lệnh vlan để tạo VLAN mới.
vlan 10
name Marketing
  • Gán cổng vào VLAN: Sử dụng lệnh interface và switchport access vlan để gán cổng vào VLAN.
interface range fa0/1-fa0/10
switchport access vlan 10
  • Lưu cấu hình: Sử dụng lệnh write memory để lưu cấu hình.

3. Cấu hình router (tùy chọn)

  • Cấu hình định tuyến giữa các VLAN: Nếu cần thiết, bạn cần cấu hình router để định tuyến lưu lượng giữa các VLAN.
  • Cấu hình DHCP: Nếu bạn muốn sử dụng DHCP để cấp địa chỉ IP cho các thiết bị trong VLAN, bạn cần cấu hình server DHCP trên router hoặc switch.

4. Kiểm tra

  • Sử dụng lệnh show vlan để xem danh sách VLAN và các cổng được gán vào từng VLAN.
  • Sử dụng lệnh show ip address để kiểm tra địa chỉ IP của các thiết bị trong VLAN.
  • Ping các thiết bị trong cùng VLAN và giữa các VLAN khác nhau để đảm bảo rằng chúng có thể giao tiếp với nhau.
LƯU Ý:
- Các bước cụ thể có thể khác nhau tùy thuộc vào loại switch và phiên bản phần mềm bạn đang sử dụng.
- Tham khảo tài liệu hướng dẫn sử dụng của switch để biết thêm thông tin chi tiết.
- Nên sao lưu cấu hình hiện tại trước khi thực hiện bất kỳ thay đổi nào.

So sánh sự khác nhau giữa mạng LAN và VLAN

Mạng LAN (Mạng cục bộ) là một mạng máy tính kết nối các thiết bị trong một khu vực giới hạn, như nhà ở, văn phòng hoặc tòa nhà. Mạng LAN cho phép các thiết bị chia sẻ tài nguyên, chẳng hạn như máy in, tệp và kết nối internet.

Mạng VLAN (Mạng cục bộ ảo) là một mạng logic được tạo ra trên mạng LAN vật lý. VLAN chia nhỏ mạng LAN thành các nhóm logic, cho phép quản lý và bảo mật tốt hơn. Các thiết bị trong cùng một VLAN có thể giao tiếp với nhau như thể chúng được kết nối trực tiếp, ngay cả khi chúng được kết nối với các bộ chuyển mạch khác nhau trong mạng LAN vật lý.

Điểm khác biệt chính giữa mạng LAN và VLAN:

Đặc điểmMạng LANMạng VLAN
Phân đoạnKhó khăn hơnDựa trên logic
Quản lýKhó khăn hơnDễ dàng hơn
Bảo mậtKém an toàn hơnAn toàn hơn
Hiệu suấtCó thể bị ảnh hưởng bởi lưu lượng truy cậpHiệu quả hơn
Khả năng mở rộngHạn chếMở rộng tốt hơn

VLAN Tagging và Standard VLAN

Các card Virtual LAN cho mạng Ethernet đều tuân theo tiêu chuẩn công nghiệp IEEE 820.1Q. Card 802.1Q bao gồm 32 bit (tương đương 4 byte) dữ liệu được chèn vào trong Ethernet frame header. Trong đó, 16 bit đầu chứa số 0x8100 được mã hóa, có nhiệm vụ kích hoạt các thiết bị Ethernet nhận dạng frame thuộc một Virtual LAN 802.1Q. Còn 12 bit cuối thì chứa số Virtual LAN, con số sẽ nằm giữa 1 đến 4094 như đã nói ở trên.

Các phương pháp hay nhất về việc quản trị Virtual LAN xác định một số loại mạng ảo tiêu chuẩn như sau:

  • Native LAN: Các thiết bị Ethernet VLAN coi mọi frame không được dán nhãn (untagged frame) đều thuộc về Native VLAN. Số của native Virtual LAN theo mặc định là 1, tuy nhiên admin có thể thay đổi.
  • Quản lý VLAN: Hỗ trợ các kết nối từ xa của những người quản trị mạng. Có nhiều người thích sử dụng VLAN 1 để quản lý, nhưng cũng có người đặt các con số đặc biệt khác (nhằm tránh xung đột với các lưu lượng mạng khác).

Kết luận

VLAN là một công cụ mạnh mẽ có thể giúp cải thiện bảo mật, hiệu suất và khả năng quản lý của mạng. Tuy nhiên, cần lưu ý rằng VLAN không phải là một giải pháp bảo mật hoàn chỉnh và nó có thể làm tăng độ phức tạp của mạng. Hy vọng những chia sẻ qua bài viết giúp bạn hiểu hơn về VLAN là gì cũng như cách hoạt động và ứng dụng rộng rãi như hiện nay.

Có thể bạn chưa biết

Nhận thông báo qua email
Nhận thông báo cho
guest

0 Bình luận
Phản hồi nội tuyến
Xem tất cả bình luận