Đang tải... (xem toàn văn)
toàn tập VLANMạng Lan ảo toàn tập VLANMạng Lan ảo toàn tập VLANMạng Lan ảo toàn tập VLANMạng Lan ảo toàn tập VLANMạng Lan ảo toàn tập VLANMạng Lan ảo toàn tập VLANMạng Lan ảo toàn tập VLANMạng Lan ảo toàn tập VLANMạng Lan ảo toàn tập VLANMạng Lan ảo toàn tập VLANMạng Lan ảo toàn tập VLANMạng Lan ảo toàn tập VLANMạng Lan ảo toàn tập VLANMạng Lan ảo toàn tập VLANMạng Lan ảo toàn tập VLANMạng Lan ảo toàn tập VLANMạng Lan ảo toàn tập VLANMạng Lan ảo toàn tập VLANMạng Lan ảo toàn tập VLAN
VLAN - Toàn tập Mạng LAN ảo (Virtual LAN - VLAN) Mơ hình mạng khơng có VLAN flat network hoạt động chuyển mạch lớp Một flat network miền broadcast, gói broadcast từ host đến tất host lại mạng Mỗi port switch miền collision, người ta sử dụng switch để chia nhỏ miền collision, nhiên khơng ngăn miền broadcast Ngồi cịn có vấn đề như: • Vấn đề băng thơng: số trường hợp mạng Campus lớp mở rộng thêm số building nữa, hay số user tăng lên nhu cầu sử dụng băng thơng tăng, băng thơng khả thực thi mạng giảm • Vấn đề bảo mật: user thấy user khác flat network, khó để bảo mật • Vấn đề cân tải: flat network ta thực truyền nhiều đường đi, lúc mạng dễ bị loop, tạo nên “broadcast storm” ảnh hưởng đến băng thơng đường truyền Do khơng thể chia tải (còn gọi cân tải) Để giải vấn đề trên, người ta đưa giải pháp VLAN VLAN (Virtual Local Area Network) định nghĩa nhóm logic thiết bị mạng, thiết lập dựa yếu tố chức năng, phận, ứng dụng… công ty Mỗi VLAN mạng logic tạo switch, cịn gọi segment hay miền broadcast Hình 2.1 biểu diễn VLAN cung cấp kết nối logic port switch Vì có kết nối end-to-end VLAN 1, nên trạm VLAN truyền thơng kết nối đến đoạn mạng vật lý 1 Các kiểu thành viên VLAN (VLAN Membership) Khi VLAN cung cấp switch lớp Access, đầu cuối người dùng phải có vài phương pháp để lấy thành viên đến Có kiểu tồn Cisco Catalyst Switch là: • Static VLAN • Dynamic VLAN Static VLAN Static VLAN cung cấp kiểu thành viên dựa vào port, nghĩa port switch gán cho VLAN riêng biệt Các thiết bị người dùng đầu cuối trở thành thành viên VLAN dựa vào port vật lý switch kết nối đến Khơng có thiết lập quan hệ thiết bị đầu cuối, mà tự động thừa nhận kết nối VLAN kết nối đến port Thơng thường, thiết bị đầu cuối chí khơng nhận thức tồn VLAN Người quản trị mạng cấu hình port switch gán cho VLAN tay, nên gọi trạng thái tĩnh Mỗi port nhận port VLAN ID với số VLAN Các port switch gán nhóm thành nhiều VLAN Mặc dù hai thiết bị kết nối đến switch, VLAN ID khác lưu lượng chúng khơng qua Để thực chức này, ta phải sử dụng thiết bị lớp để định tuyến gói thiết bị mở rộng lớp để làm cầu nối gói hai VLAN Kiểu thành viên Static VLAN thường quản lý phần cứng với mạch tích hợp ứng dụng đặc biệt ASIC (Application Specific Intergrated Circuit) switch Kiểu cung cấp khả hoạt động tốt tất việc ánh xạ port làm mức phần cứng khơng cần có bảng truy tìm phức tạp Dynamic VLAN Dynamic VLAN cung cấp thành viên dựa địa MAC thiết bị người dùng đầu cuối Khi thiết bị kết nối đến port switch, switch phải truy vấn đến sở liệu để thiết lập thành viên VLAN Người quản trị mạng phải gán địa MAC user vào VLAN sở liệu VMPS (VLAN Membership Policy Server) Hình 2.2 biểu diễn Dynamic VLAN với bảng địa MAC Với Cisco Switch, dynamic LAN tạo quản lý công cụ quản lý mạng Cisco Work 2000 Dynamic VLAN cho phép tính mềm dẻo tính di động cho người dùng đầu cuối 2 Triển khai VLAN Để thực thi VLAN, ta phải xem xét số thành viên VLAN, thông thường số VLAN phụ thuộc vào kiểu lưu lượng, kiểu ứng dụng, phân đoạn nhóm làm viện phổ biến yêu cầu quản trị mạng Môt nhân tố quan cần xem xét mối quan hệ VLAN kế hoạch sử dụng địa IP Cisco giới thiệu tương thích 1-1 VLAN mạng con, nghĩa mạng với mask 24 bit sử dụng cho VLAN, có nhiều 254 thiết bị VLAN VLAN không mở rộng miền lớp đến Distribution Switch Trong trường hợp khác, VLAN không đến Core mạng, khối Switch khác Ý tưởng giữ cho miền broadcast lưu lượng không cần thiết khỏi khối Core Các VLAN chia khối Switch hai cách sau: • End-to-end VLA • Nocal VLAN End-to-end VLAN End-to-end VLAN cịn gọi Campus-wide VLAN, nối tồn switch mạng Nó xác định để hỗ trợ tính mềm dẻo tính di động cực đại cho thiết bị đầu cuối Các user gán vào VLAN mà khơng quan tâm đến vị trí vật lý Vì user di chuyển quanh Campus, thuộc VLAN đó, nghĩa VLAN phải có hiệu lực (available)ở lớp Access khối Switch End-to-end VLAN nên nhóm user theo nhu cầu phổ biến Tất user VLAN có kiểu luồng lưu lượng theo luật 80/20 Luật có nghĩa 80% lưu lượng user nhóm cục bộ, 20% đến tài nguyên từ xa mạng Campus Mặc dù 20% lưu lượng VLAN qua Core mạng, end-to-end VLAN làm thực tất lưu lượng bên VLAN qua Core Vì tất VLAN phải có hiệu lực switch lớp Access, nên VLAN trunking phải sử dụng để mạng tất VLAN switch lớp Access lớp Distribution Chú ý: end-to-end VLAN không đựơc đề nghị mạng Enterprise, khơng có lý hợp lý Lưu lượng broadcast đựơc mạng VLAN từ đầu cuối mạng đến đầu cuối khác, nên bão broadcast (broadcast storm) lặp vòng cầu nối lớp truyền bá qua phạm vi tài nguyên Khi đó, việc xử lý cố trở nên khó, mạo hiểm sử dụng end-to-end VLAN làm ảnh hưởng đến lợi ích Local VLAN Vì hầu hết mạng Enterprise hướng tới luật 20/80, nên end-to-end VLAN trở nên cồng kềnh khó trì Luật 20/80 có nghĩa 20% lưu lượng cục bộ, 80% đến tài nguyên từ xa qua lớp Core Các người dùng đầu cuối đòi hỏi truy cập vào tài nguyên trung tâm bên VLAN Các uer phải qua Core mạng thường xuyên Các VLAN gán chứa nhóm user dựa đường biên vật lý, liên quan đến lượng lưu lượng rời VLAN Kích thước VLAN vật lý từ switch phịng dây cáp, đến tồn building, điều cho phép chức lớp mạng Campus điều khiển tải lưu lượng VLAN cách thơng minh.Do cung cấp tính lợi ích cực đại cách sử dụng nhiều đường đến đích, tính mở rộng cực đại cách giữ VLAN bên khối Switch tính quản lý cực đại VLAN Trunk Ở lớp Access, thiết bị đầu cuối kết nối đến port switch tạo thành kết nối đến VLAN Các thiết bị gắn vào không nhận thức cấu trúc VLAN, đơn giản gắn vào đoạn mạng vật lý bình thường Việc gửi thông tin từ liên kết truy cập VLAN đến VLAN khác không thực can thiệp thiết bị lớp (có thể router lớp bridge lớp bên ngoài) Chú ý port switch hỗ trợ nhiều mạng cho thiết bị gắn vào Ví dụ Ethernet Hub kết nối vào port switch Một thiết bị người dùng Hub phải cấu hình 192.168.1.1/24, thiết bị khác gán 192.168.17.1/24 Mặc dù mạng kề liền nhau, truyền thông switch nhất, khơng tách rời VLAN Port switch hỗ trợ VLAN, nhiều mạng tồn VLAN Đường trunk kết nối vật lý logic hai switch để truyền liệu Đây kênh truyền hai điểm hai điểm thường switch, trung tâm cấu trúc mạng hình Một liên kết trunk (đường chính) hỗ trợ nhiều VLAN qua port switch Các liên kết trunk tốt switch kết nối đến switch khác đến router Một liên kết trunk không gán cho VLAN riêng biệt Thay một, nhiều tất VLAN truyền swtich sử dụng liên kết trunk vật lý Ta kết nối hai switch với liên kết vật lý riêng biệt VLAN hình 2.3 Vì VLAN thêm vào mạng, nên số liên kết tăng nhanh chóng Để sử dụng giao tiếp vật lý cáp hiệu người ta dùng trunk Hình 2.4 biểu diễn làm trunk thay nhiều liên kết VLAN riêng biệt Cisco hỗ trợ trunk liên kết switch Fast Ethernet Gigabit Ethernet giống kết hợp liên kết kênh Fast Gigabit Ethernet Để phân biệt lưu lượng VLAN khác trunk switch phải có cách nhận dạng frame với VLAN thích hợp Phần sau thảo luận phương pháp nhận dạng 2.2.1 Nhận dạng frame VLAN Trong mạng Campus có nhiều VLAN nhiều switch, switch nối với qua đường trunk, gói truyền đường trunk phải có thơng tin nhận dạng VLAN mà thuộc Như người ta dùng VLAN ID để gán vào frame, truyền trunk Mỗi switch kiểm tra VLAN ID để xác định frame thuộc VLAN nào, chuyển qua port thuộc VLAN Sau ta xem xét hoạt động chuyển frame từ máy B sang máy Y VLAN hình 2.5 • Đầu tiên B gửi frame đến switch 1, switch nhận frame kiểm tra bảng địa MAC nó, biết frame VLAN đích đến qua switch Switch thêm VLAN ID VLAN gửi qua đường trunk kết nối đến switch • Switch nhận frame, kiểm tra VLAN ID biết frame đến VLAN 3, đồng thời đích đến phải qua switch Switch chuyển frame qua đường trunk nối đến switch • Khi switch nhận frame, kiểm tra frame, tách VLAN ID khỏi frame gửi frame đến cho Y Y nhận frame biết gửi từ B (dựa vào địa MAC), khơng biết thuộc VLAN nào, có switch biết thơng tin Có cách nhận dạng VLAN ID là: • Cisco Inter - Switch Link • IEEE 802.1Q Cisco Inter - Switch Link ISL giao thức đóng gói frame đặc trưng Cisco cho kết nối nhiều switch Nó dùng mơi trường Ethernet, hỗ trợ router switch Cisco Khi frame muốn qua đường trunk đến switch hay router khác ISL thêm 26 byte header byte trailer vào frame Trong VLAN ID chiếm 10 bit, phần trailer CRC để đảm bảo tính xác liệu Thơng tin thẻ thêm vào đầu cuối frame, nên ISL cịn gọi đánh thẻ kép ISL chạy mơi trường point-to-point, hỗ trợ tối đa 1024 VLAN (do VLAN ID chiếm 10 bit) Hình 2.6 biểu diễn frame Ethernet đóng gói chuyển tiếp liên kết trunk Vì thơng tin thẻ thêm vào đầu cuối frame nên ISL đề cập thẻ đôi Nếu frame định trước cho liên kết truy cập, việc đóng gói ISL (cả phần header lẫn trailer) không ghi lại vào frame trước truyền Nó giữ thơng tin ISL cho liên kết trunk thiết bị hiểu giao thức Chú ý: nhận dạng VLAN ISL đóng gói trunk khơng cịn hỗ trợ tất Cisco Catalyst Switch Vì ta nên biết rõ so sánh với phương pháp IEEE 802.1Q IEEE 802.1Q: IEEE 802.1Q chuẩn công nghiệp dùng để nhận dạng VLAN truyền qua đường trunk, hoạt động mơi trường Ethernet chuẩn mở Là giao thức dùng dán nhãn frame truyền frame đường trunk hai switch hay switch router, việc dán nhãn frame thực cách thêm thông tin VLAN ID vào phần phần header trước frame truyền lên đường trunk hình 2.7, cịn gọi phương pháp dán nhãn đơn hay dán nhãn nội IEEE 802.1Q hỗ trợ tối đa 4095 VLAN Trong đó: • Thẻ 802.1Q có byte gồm có phần sau: o 802.1Q TPID (Tag Protocol IDentifier): có độ dài 16 bit, có giá trị cố định 0x8100 Dùng nhận dạng frame đóng gói theo chuẩn IEEE 802.1Q o Priority: Độ ưu tiên, có mức ưu tiên (0 -> 7), mặc định o CFI (Canonical Format Indicator): Luôn đặt giá trị cho Ethernet Switch để tương thích với mạng Token Ring Nếu CFI có giá trị frame không chuyển port không gắn thêm tag • Destination address (DA) - byte: địa MAC đích • Source addresses (SA)- byte: địa MAC nguồn • Length/Type- bytes: định độ dài frame hay kiểu giao thức sử dụng lớp • Data: dãy gồm n byte (42