MẠNG CHUYỂN MẠCH đa lớp và ỨNG DỤNG

Với những ứng dụng mới cần nhiều băng thông như truyền hình ảnh, âm thanh tới máy tính, cũng như nhiều hoạt động đang được thực hiện trên Internet, thì mô hình mạng campus mới phải đáp ứ

KHOA CÔNG NGHỆ THÔNG TIN

LỜI NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

LỜI NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

Mục lục

LỜI MỞ ĐẦU 10

Chương 1: Giới thiệu về mạng campus 12

1 Mạng campus. 12

1.1 Mạng campus truyền thống. 12

1.1.1 Xung đột. 12

1.1.2 Băng thông. 12

1.1.3 Broadcasts and Multicasts (quảng bá và đa quảng bá). 13

1.2 Mạng campus mới. 14

1.3 Luật 80/20 và luật mới 20/80. 15

1.4 Các kỹ thuật chuyển mạch. 16

1.4.1 Mô hình OSI. 16

1.4.1.1 Đóng gói dữ liệu 16

1.4.1.2 Chuyển mạch lớp 2 17

1.4.1.3 Chuyển mạch lớp 3. 19

1.4.1.4 Chuyển mạch lớp 4. 20

1.4.1.5 Bộ chuyển mạch đa lớp 20

1.4.2 Mô hình mạng phân cấp của Cisco. 21

1.4.2.1 Tầng Lõi (Core Layer) 21

1.4.2.2 Tầng “Phân Phối” (Distribution Layer) 22

1.4.2.3 Tầng “Truy cập” (Access Layer) 23

Chương 2: Triển khai VLAN trong mạng campus 24

2 VLANs, Trunking, VTP. 24

2.1 VLAN (Virtual Local Area Network). 24

2.1.1 Lịch sử. 24

2.1.2 Khái niệm. 24

2.1.3 Phân loại. 24

2.1.4 Lợi ích của VLAN. 25

2.1.5 Cấu hình VLAN 26

2.2 VLAN Trunking 28

2.2.1 Khái niệm Trunking 28

2.2.3 Cấu hình Trunking. 30

2.3 VTP (VLAN Trunking Protocol) 30

2.3.1 Khái niệm. 30

2.3.2 Hoạt động của giao thức VTP. 31

2.3.3 Các tiến trình VTP và chỉ số number 32

2.3.4 VTP pruning. 33

2.3.5 Cấu hình VTP. 35

2.3.5.1 Sử dụng chế độ Global Configuration. 35

2.3.5.2 Sử dụng chế độ VLAN Database. 37

2.3.6 Kiểm tra VTP. 37

Chương 3: Triển khai spanning tree trong mạng campus 38

3 Spanning-tree protocol (giao thức tránh lặp) 38

3.1 Các khái niệm về Spanning-tree protocol (STP). 38

3.1.1 Các bước ra quyết định của STP. 43

3.1.2 Hoạt động của STP. 44

3.1.2.1 Quyết định một bridge gốc (Root Bridge). 44

3.1.2.2 Lựa chọn Root port. 45

3.1.2.3 Quyết định cổng được chỉ định. 46

3.1.3 Các trạng thái của STP. 46

3.1.4 Cấu hình STP. 47

3.2 Etherchannel 50

3.2.1 Khái niệm: 50

3.2.2 Lợi ích. 51

3.2.3 Các công nghệ. 51

3.2.3.1 PagP (Port Aggregation protocol): 51

3.2.3.2 LACP (Link Aggregation Control Protocol): 52

3.2.4 Các lệnh cơ bản để cấu hình Etherchannel. 52

Chương 4: Inter-VLAN Routing and Multilayer Switching 54

4 Tổng quan 54

4.1 Định tuyến giữa các VLAN 54

4.1.1 Inter-VLAN Routing bằng một router ngoài. 54

4.1.2 Các lệnh cấu hình Inter-VLAN Routing bằng router ngoài. 56

4.1.3 Cấu hình Inter-VLAN routing sử dụng router ngoài. 57

4.1.3.1 Sử dụng chuẩn 802.1Q. 58

4.1.3.2 Sử dụng chuẩn ISL. 59

4.2 Tổng quan về Multilayer Switching (Chuyển mạch đa lớp). 61

4.2.1 Chuyển mạch lớp 2. 62

4.2.2 Chuyển mạch lớp 3. 63

4.2.3 Chỉnh sửa thông tin khung dữ liệu. 64

4.2.4 Kích hoạt định tuyến giữa các VLAN. 68

4.2.5 Tổng quan về cổng giao tiếp ảo (Switch Virtual Interface) lớp 3. 68

4.2.6 Các lệnh cấu hình giao tiếp Inter-VLAN trên Multilayer Switch. 68

4.2.7 Routed port (Cổng được định tuyến) trên Multilayer Switch. 69

4.2.8 Cấu hình Routed Port trên Multilayer Switch. 70

Chương 5: Triển khai tính sẵn sàng cao trong mạng chuyển mạch đa lớp, Switch Security 72

5 Giới thiệu 72

5.1 Tổng quan về Hot Standby Routing Prototocol 72

5.1.1 Các vấn đề về định tuyến trong mạng 72

5.1.1.1 Default Gateway. 72

5.1.1.2 Proxy ARP. 73

5.1.2 Các giao thức dự phòng (Redundancy Protocols). 74

5.1.3 Hot Standby Router Protocol (HSRP). 76

5.1.4 Quy tình hoạt động của HSRP. 77

5.1.4.1 Các thành phần của HSRP group. 77

5.1.4.2 Nguyên tắc hoạt động. 80

5.1.5 Các trạng thái của router trong HSRP. 81

5.1.6 Các câu lệnh cấu hình HSRP. 84

5.2 Tối ưu hóa HSRP. 85

5.2.1 Các lựa chọn để tối ưu hóa HSRP. 85

5.2.2 Priority (Độ ưu tiên). 86

5.2.2.1 Preempt (Active Router cũ chiếm lại quyền Active) 87

5.2.2.2 Hello Message Timer. 87

5.2.2.3 Interface Tracking (Theo dõi tình trạng cổng giao tiếp). 89

5.2.3 Điều chỉnh hoạt động của HSRP 91

5.2.4 Load Balancing (Cân bằng tải). 92

5.2.4.1 Multiple HSRP Groups. 92

5.2.4.2 Đánh địa chỉ HSRP group thông qua liên kết trunk. 94

5.2.5 Các câu lệnh debug (gỡ lỗi). 96

5.3 Virtual Router Redundancy Protocol (VRRP). 97

5.3.1 Tổng quan về VRRP. 97

5.3.2 Quá trình hoạt động của VRRP. 99

5.3.2.1 Load Balancing (Cân bằng tải). 99

5.3.2.2 Quá trình chuyển đổi trong VRRP. 100

5.3.3 Cấu hình VRRP. 101

5.3.3.1 Các câu lệnh trong VRRP. 101

5.3.3.2 Các bước triển khai VRRP. 102

5.4 Gateway Load Balancing (GLBP). 103

5.4.1 Tổng quan về GLBP. 103

5.4.2 Các lợi ích của GLBP. 104

5.4.3 Các thành phần của GLBP. 104

5.4.4 Quá trình hoạt động của GLBP. 107

5.4.4.1 Cách gán địa chỉ MAC ảo trong GLBP. 107

5.4.4.2 Độ ưu tiên trong GLBP. 107

5.4.4.3 Preempt. 107

5.4.4.4 GLBP Weighting. 108

5.4.4.5 Load-Balancing (Cân bằng tải). 108

5.4.4.6 Tracking. 110

5.4.4.7 Cấu hình GLBP. 112

Chương 6: Chuẩn bị cơ sở hạ tầng cho các dịch vụ mạng nâng cao 114

6.1 Integrating wireless LAN (tích hợp mạng cục bộ không dây) 114

6.1.1 Tổng quan về mạng không dây 114

6.1.2 Mạng không dây cục bộ 117

6.1.2.1 Giới thiệu về wireless LAN (WLAN) 117

6.1.2.2 Mô tả công nghệ WLAN 121

6.1.2.3 Các chuẩn công nghệ WLAN 130

6.1.2.4 Cấu hình WLAN trên các thiết bị của cisco 133

6.1.2.5 Thiết kế, triển khai sử dụng hệ thống WLAN 134

6.2 Triển khai mạng campus hỗ trợ hội thoại 137

6.2.1 Ưu điểm của mạng hội tụ 137

6.2.2 Các thành phần của mạng VoIP 139

6.2.3 Đặc điểm của quá trình truyền thoại và truyền dữ liệu 140

6.2.3.1 Đặc điểm của quá trình truyền thoại 140

6.2.3.2 Đặc điểm của quá trình truyền dữ liệu 140

6.2.4 Lưu lượng của cuộc gọi VoIP 141

6.2.5 Auxiliary VLANs (VLAN phụ) 142

6.2.6 QoS (Chất lượng dịch vụ) 143

6.2.7 Tầm quan trọng của tính sẵn sàng cao trong VoIP 144

6.2.8 QoS và lưu lượng thoại trong mạng Campus 145

6.2.9 Các lệnh cấu hình mạng hỗ trợ điện thoại IP 146

Chương 7 Triển khai bảo mật trong mạng doanh nghiệp 147

7.1 MAC Layer Attacks: MAC flooding ( Tấn công làm ngập bảng CAM) 147

7.1.1 Phương thức tấn công 147

7.1.2 Cách phòng chống. 148

7.2 VLAN attack: VLAN Hooping. 149

7.2.1 Kiểu tấn công VLAN hopping cơ bản 150

7.2.1.1 Phương thức tấn công 150

7.2.1.2 Cách phòng chống 151

7.2.2 Kiểu tấn công VLAN đóng gói kép 151

7.2.2.1 Cách thức tấn công 151

7.2.2.2 Cách phòng chống 152

7.3 Spoofing Attack (Tấn công giả mạo) 152

7.3.1 DHCP spoofing 152

7.3.1.1 Phương thức tấn công 152

7.3.1.2 Cách phòng chống 153

7.3.2 Spanning tree compromise (Tấn công làm tổn thương Spanning tree) 154

7.3.2.1 Giả mạo root bridge. 154

7.3.2.2 Tấn công DoS 157

7.3.3 ARP spoofing 159

7.3.3.1 Giả mạo ARP 159

7.3.3.2 Kiểu tấn công Man-in-the-middle (MITM) 160

KẾT LUẬN 163

TÀI LIỆU THAM KHẢO 164

LỜI MỞ ĐẦU

Trong những năm gần đây, công nghệ thông tin phát triển vô cùng nhanh chóng và được ứng dụng rộng rãi trong mọi lĩnh vực đời sống xã hội Từ những mạng LAN thuở sơ khai cho đến mạng Internet toàn cầu rộng lớn ngày nay, tất cả đều phát triển cả về số lượng lẫn chất lượng

Bên cạnh việc tăng vọt về số lượng người dùng trong mạng thì việc gia tăng dịch vụ cũng là vấn đề rất lớn Trước đây, nếu như người dùng chỉ có nhu cầu truyền dữ liệu đơn thuần thì bây giờ, những loại hình dịch vụ đa phương tiện như tín hiệu thoại, tín hiệu video Với mạng Internet truyền thống thì nguồn tài nguyên về băng thông và tốc độ là hạn chế, vì vậy để đáp ứng nhu cầu ngày càng tăng của người dùng là điều không khả thi

Với sự phát triển nhanh chóng của mạng Internet và nhu cầu ngày càng tăng của người sử dụng, một số mạng mới đã ra đời: mạng ATM, ISDN, mạng mạng cục bộ tích hợp được nhiều công nghệ: mạng cục bộ ảo, giao thức tránh lặp, những giao thức định tuyến… Tuy nhiên mỗi mạng đều hoạt động ở một tầng nhất định Vì thế một yêu cầu nữa được đưa ra là làm sao có thế tích hợp được những đặc điểm nổi bật của các tầng và mạng chuyển mạch đa lớp đã ra đời để đáp ứng nhu cầu đó

Mạng chuyển mạch đa lớp là sự kết hợp đặc điểm tốt nhất giữa router lớp 2

và lớp 3, nó kế thừa chức năng chuyển mạch ở lớp 2 và được tích hợp thêm chức năng định tuyến ở lớp 3 Điều này đã giúp các doanh nghiệp giảm bớt được mức chi khá lớn trong việc mua sắm các trang thiết bị mạng

Được sự hướng dẫn nhiệt tình và chu đáo của thầy Phạm Văn Nam em đã

tìm hiểu và nghiên cứu đề tài tốt nghiệp: “ MẠNG CHUYỂN MẠCH ĐA LỚP

Những kĩ thuật này là tiền đề cho các ứng dụng được triển khai trong mô hình mạng như WIRELESS LAN và mạng IP TELEPHONE

Trong phạm vi kiên thức của mình, em sẽ trình bày những hiểu biết của

em về “ MẠNG CHUYỂN MẠCH ĐA LỚP VÀ ỨNG DỤNG ” trong bài đồ án

này

Chương 1: Giới thiệu về mạng campus

1 Mạng campus

Một tòa nhà hay dãy nhà của một công ty kết nối dữ liệu với nhau được gọi

là một mạng campus Mạng cục bộ này thường sử dụng các công nghệ Ethernet, Token Ring, FDDI, ATM … Trách nhiệm của người quản trị là đảm bảo mạng hoạt động thông suốt và hiệu quả Điều này yêu cầu người quản trị phải có vốn

hiểu biết về cấu trúc mạng và các thiết bị được sử dụng trong mạng

1.1 Mạng campus truyền thống

Trong những năm 1990, ban đầu mạng campus truyền thống là một mạng cục bộ và được mở rộng dần, cho đến khi các phân đoạn mạng ra đời với mục đích giữ cho mạng thông suốt và ổn định

Tính sẵn sàng và hiệu năng là những vấn đề quan trọng trong mạng campus truyền thống Băng thông góp phần phức tạp hóa những vấn đề này Ba vấn đề về hiệu năng trong mạng campus truyền thống là:

1.1.1 Xung đột

Bởi vì tất cả các thiết bị có thể nhìn thấy nhau nên chúng cũng có thể xung đột với nhau Nếu một máy trạm đang phát quảng bá, thì tất cả các thiết bị khác trong mạng phải lắng nghe, mặc dù chính những thiết bị đó cũng đang muốn gửi dữ liệu Nếu một thiết bị bị trục trặc, nó có thể làm tê liệt toàn mạng Bridge là một thiết bị được sử dụng để phân chia một mạng thành nhiều mạng nhỏ, tuy nhiên vẫn còn tồn tại vấn đề về quảng bá Bridge cũng giải quyết những vấn đề về giới hạn khoảng cách bởi vì chúng thường có chức năng lặp lại

1.1.2 Băng thông

Băng thông của mạng được đo bằng lượng dữ liệu có thể truyền đi trong một đơn vị thời gian Tuy nhiên, lượng dữ liệu có thể chuyển đi phụ thuộc rất nhiều vào môi trường (như chất lượng và chiều dài của dây dẫn truyền tải) Tất

cả các loại dây dẫn truyền tải đều bị suy giảm, đó là sự giảm sút của tín hiệu khi

tín hiệu bị mất năng lượng và hấp thụ năng lượng bởi môi trường Để những điểm ở xa có thể nhận được đầy đủ tín hiệu thì giá trị của tín hiệu đó phải trên một ngưỡng cho phép

Giải pháp cho các vấn đề về băng thông đó là duy trì khoảng cách giới hạn và thiết kế mạng thành các phân đoạn mạng nhỏ hơn một cách hợp lý

Vấn đề khác là sự quá tải, điều này xảy ra khi có nhiều thiết bị cùng cố gắng chiếm dụng băng thông Giải pháp cho vấn đề này cũng là phân chia các phân đoạn mạng nhỏ hơn một cách hợp lý

1.1.3 Broadcasts and Multicasts (quảng bá và đa quảng bá)

Broadcast là hình thức gửi các gói tin quảng bá đến tất cả các thiết bị có trong mạng Chức năng này được xây dựng trong mọi giao thức, nhưng với một

số giao thức như Internet Protocol (IP), Address Resolution Protocol (ARP), Network Basic Input Output System (NetBIOS), Internetworking Packet eXchange (IPX), Service Advertising Protocol (SAP), and Routing Information Protocol (RIP), cần được cấu hình một cách phù hợp

Multicasts là một dạng quảng bá mà người nhận là một người hoặc nhóm người dùng riêng biệt được xác định trước Nếu ta có một lượng lớn nhóm multicasts hoặc một ứng dụng cần nhiều băng thông, như ứng dụng IPTV của Cisco, thì lưu lượng multicasts có thể chiếm dụng gần như toàn bộ băng thông mạng

Để giải quyết các vấn đề broadcasts, cần phải chia mạng thành các phân đoạn mạng nhỏ hơn với nhiều router và switch Giải pháp khác là sử dụng mạng cục bộ ảo (VLAN) Một VLAN là một nhóm các thiết bị trên các phân đoạn mạng khác nhau được định nghĩa như một miền quảng bá Lợi ích của VLAN là tiết kiệm được chi phí và không cố định địa điểm các thiết bị trong cùng VLAN

Ta có thể cắm thiết bị vào bất kì cổng nào và người quản trị mạng sẽ xác định VLAN cho cổng đó Tuy nhiên router hoặc switch chuyển mạch lớp 3 phải được

sử dụng để các VLAN có thể giao tiếp với nhau

1.2 Mạng campus mới

Những vấn đề về xung đột, băng thông, và broadcasts, đồng thời với sự thay đổi trong mạng, yêu cầu thiết kế một mạng campus mới Số lượng người dùng tăng lên và độ phức tạp của những ứng dụng, bắt buộc các nhà thiết kế mạng phải lưu tâm nhiều đến lưu lượng mạng thay vì giải quyết những vấn đề về

cơ sở hạ tầng Ngày nay, người quản trị cần tạo ra một môi trường mà mọi người

có thể sử dụng mọi dịch vụ một cách dễ dàng Vì vậy họ cần phải chú trọng đến lưu lượng và làm thế nào để giải quyết vấn đề băng thông Điều này có thể được thực hiện bằng các kỹ thuật định tuyến và chuyển mạch tiên tiến Với những ứng dụng mới cần nhiều băng thông như truyền hình ảnh, âm thanh tới máy tính, cũng như nhiều hoạt động đang được thực hiện trên Internet, thì mô hình mạng campus mới phải đáp ứng được các yếu tố:

 Hội tụ nhanh: khi có sự thay đổi thiết bị trong mạng, mạng phải có khả năng thích ứng nhanh chóng với những thay đổi mới và bảo đảm việc truyền dữ liệu một cách nhanh chóng

 Đưa ra các quyết định đường đi: người dùng có thể truy cập được vào một

 Các ứng dụng tập trung: những ứng dụng doanh nghiệp được truy cập bởi tất cả người dùng phải sẵn sàng cho tất cả người dùng trên liên mạng

 Luật 20/80 mới: thay vì 80% lưu lượng sử dụng cho mạng nội bộ thì hiện nay 80% lưu lượng sẽ dùng để giao tiếp với mạng ngoài, 20% còn lại dùng cho mạng nội bộ

 Hỗ trợ đa giao thức: nghĩa là các mạng phải hỗ trợ nhiều giao thức, trong

số đó là các giao thức định tuyến được sử dụng để gửi dữ liệu người dùng

qua liên mạng như: IP hoặc IPX, số khác là giao thức định tuyến sử dụng

để gửi thông tin cập nhật giữa các router như: RIP, Enhanced Interior Gateway Routing Protocol (EIGRP), và Open Shortest Path First (OSPF)

 Multicasting: một mạng con hay một nhóm người dùng tạo thành một nhóm multicast, việc multicast là việc gửi quảng bá cho riêng nhóm mutilcast đó

1.3 Luật 80/20 và luật mới 20/80

Mạng campus truyền thống tuân theo luật 80/20, theo đó 80% lưu lượng truy cập của người dùng dành cho các phân đoạn mạng cục bộ, và chỉ 20% được

sử dụng để ra mạng ngoài Nếu nhiều hơn 20% lưu lượng đi ra mạng ngoài thì hiệu năng sẽ bị giảm sút Vì thế mà người dùng và nhóm người dùng phải được đặt tại cùng một vị trí địa lý Nói cách khác, những người dùng yêu cầu kết nối tới một phân đoạn mạng vật lý để chia sẻ tài nguyên mạng, chẳng hạn như máy chủ mạng, máy in, các thư mục chia sẻ, chương trình phần mềm, và các ứng dụng, phải ở vị trí địa lý như nhau Vì vậy, các quản trị mạng phải thiết kế và triển khai mạng làm sao để đảm bảo rằng tất cả các tài nguyên mạng cho người

sử dụng được chứa trong phân đoạn mạng riêng của họ, do đó đảm bảo hiệu suất

ở mức chấp nhận được

Với sự phát triển khả năng điện toán và các ứng dụng web, đồng thời yêu cầu về kinh doanh như bảo mật, giảm chi phí, điều hành, cho nên luật 80/20 không thể đáp ứng được các nhu cầu và trở nên lỗi thời Thay vào đó, luật 20/80 được áp dụng Chỉ khoảng 20% hoạt động của người dùng được thực thi trong mạng cục bộ, trong khi hơn 80% lưu lượng người dùng truy cập đến các dịch vụ mạng Vấn đề phát sinh ở đây là router phải xử lý một khối lượng lưu lượng mạng một cách nhanh chóng và hiệu quả Trách nhiệm lúc này được đặt lên việc định tuyến, hay chuyển mạch lớp 3 Bằng cách sử dụng VLAN trong mô hình mạng campus mới, chúng ta có thể điều khiển lưu lượng và việc truy cập của người sử dụng dễ dàng hơn so với mô hình campus truyền thống VLAN phân chia mạng bằng cách sử dụng đồng thời router hoặc switch lớp 3

1.4 Các kỹ thuật chuyển mạch

Các kỹ thuật chuyển mạch rất quan trọng cho việc thiết kế một hệ thống mạng mới Để hiểu những công nghệ chuyển mạch và bộ định tuyến, bộ chuyển mạch làm việc với nhau như thế nào ta phải hiểu về mô hình kết nối hệ thống

gói dữ liệu khi nó được truyền đi trên mạng

1.4.1.1 Đóng gói dữ liệu

Đóng gói dữ liệu là quá trình thông tin trong một giao thức được đóng gói Trong mô hình tham chiếu OSI, mỗi tầng lập tức đóng gói dữ liệu được chuyển xuống từ tầng trên nó, ngay khi dữ liệu vào ngăn xếp của giao thức thức Trong mô hình OSI, sự giao tiếp logic xảy xa tại mỗi tầng không liên quan nhiều đến kết nối vật lý Bởi vì thông tin mà mỗi giao thức cần phải gửi, đã được đóng gói trong thông tin của giao thức của mỗi tầng ở dưới nó Kết quả của quá trình đóng gói này là một tập hợp dữ liệu, hay còn gọi là một gói tin (packet)

Mỗi tầng có một đơn vị dữ liệu riêng (Protocol Data Units) :

Xuất phát từ tầng “Ứng dụng”, dữ liệu được chuyển đổi để phục vụ cho quá trình truyền thông, và được đóng gói trong thông tin của tầng “Trình diễn” Tầng “Trình diễn” nhận thông tin này, và giao dữ liệu cho tầng “Phiên”, tầng này chịu trách nhiệm đồng bộ hóa phiên làm việc với máy đích Sau đó, tầng

“Phiên” chuyển dữ liệu này cho tầng “Vận chuyển”, tầng này làm công việc vận chuyển dữ liệu từ máy nguồn đến máy chủ Tuy nhiên, trước khi chuyện đó xảy

ra, tầng “Mạng” đã thêm thông tin định tuyến vào gói tin Nó chuyển gói tin cho tầng “Liên kết dữ liệu” để đóng khung và để kết nối đến tầng “Vật lý” Tầng

“Vật lý” gửi dữ liệu ở dạng nhị phân (1s và 2s) đến máy đích thông qua cáp quang hay cáp đồng Khi máy đích nhận được dữ liệu (ở dạng nhị phân), dữ liệu được chuyển ngược lên các tầng so với lúc đóng gói, từng tầng một Sau đó, dữ liệu được tách gói tại mỗi tầng trong mô hình OSI

Tầng “Mạng” của mô hình OSI xác định một địa chỉ mạng logic Các máy trạm và bộ định tuyến sử dụng địa chỉ này để gửi thông tin từ máy này sang máy khác trong liên mạng Mỗi giao diện mạng cần phải có một địa chỉ logic, điển hình là địa chỉ IP

1.4.1.2 Chuyển mạch lớp 2

Chuyển mạch lớp 2 ( Liên kết dữ liệu) dựa trên nền tảng phần cứng, nó

sử dụng địa chỉ MAC từ card giao tiếp mạng của host để lọc Các bộ chuyển

Các tầng trong mô hình OSI Tên gọi của đơn vị dữ liệu

mạch sử dụng mạch tích hợp chuyên dụng (ASICs) để xây dựng và duy trì các bảng lọc Chuyển mạch lớp 2 cung cấp kết nối bridge dựa trên nền tảng phần cứng, wire speed, tốc độ cao, độ trễ thấp, chi phí thấp Nó hiệu quả bởi vì không làm thay đổi gói dữ liệu, chỉ đóng gói các khung dữ liệu từ các gói dữ liệu khi gói dữ liệu truyền qua các phương tiện truyền thông khác nhau, ví dụ từ Ethernet sang FDDI

Chuyển mạch lớp 2 giúp cho việc phát triển các thành phần mới trong cơ

sở hạ tầng mạng Chúng là:

 Server farm: các máy chủ không cần phải phân tán (về mặt địa lý) ở các vị trí khác nhau nữa, bởi vì mạng cục bộ ảo (VLAN) có thể tạo ra các miền quảng bá trong một chuyển mạch liên mạng Điều này có nghĩa là mọi máy chủ có thể được đặt tập trung ở một địa điểm, và một máy chủ nào đó vẫn có thể là một phần của một nhóm làm việc tại một chi nhánh từ xa

 Mạng nội Bộ (Intranet): cho phép các máy chủ giao tiếp với nhau dựa nên nền tảng công nghệ Web Tuy nhiên, những thành phần mới này cho phép nhiều dữ liệu hơn ra khỏi các mạng con và vào một mạng được định tuyến, nơi mà hiệu năng của một bộ định tuyến có thể gây nghẽn cổ chai

Bộ chuyển mạch lớp 2 có chung điểm hạn chế với mạng dạng bridge Chúng không thể phân chia các miền quảng bá, có thể gây ra các vấn đề về hiệu năng và giới hạn kích thước của mạng Vì vậy, quảng bá và đa truyền (multicast), cùng với sự chậm hội tụ của spanning tree, có thể gây các vấn đề nghiêm trọng khi mà mạng mở rộng Bởi vì các vấn đề trên, các bộ chuyển mạch lớp 2 không thể thay thế các bộ định tuyến trên liên mạng Tuy nhiên, chúng vẫn

có thể được sử dụng cho hoạt động kết nối nhóm làm việc và phân đoạn mạng Khi được sử dụng cho hoạt động kết nối nhóm làm việc và phân đoạn mạng, các

bộ định tuyến lớp 2 cho phép ta tạo một thiết kế mạng dạng phẳng và đồng nhất với nhiều hơn các phân đoạn mạng, so với mạng được chia sẻ 10BaseT truyền thống

cả những gói tin chuyển tiếp được xử lý bởi phần cứng ASICs Ngoài ra bộ chuyển mạch lớp 3 còn cung cấp chức năng giống như bộ định tuyến truyền thống Đó là:

 Xác định đường dẫn dựa vào địa chỉ logic

 Chỉ chạy tổng kiểm tra lớp 3 trên phần header

 Sử dụng Time to Live (TTL)

 Xử lý và đáp ứng với bất kỳ thông tin điều chỉnh

 Có thể cập nhật “Giao thức quản lý mạng đơn giản” ( SNMP), quản lý bằng “thông tin quản lý cơ bản” (MIB)

 Cung cấp bảo mật

Những lợi ích của bộ chuyển mạch lớp 3 gồm:

 Chuyển tiếp gói tin dựa trên phần cứng

 Hiệu suất chuyển mạch cao

 Khả năng mở rộng tốc độ cao

 Độ trễ thấp

 Giảm chi phí cho mỗi cổng

 Tính toán được lưu lượng

 Bảo mật

 Chất lượng dịch vụ (QoS)

kì bộ chuyển mạch lớp 2 hay 3 nào Một bộ chuyển mạch lớp 2 có thể có một bảng lọc bằng với số lượng người dùng kết nối đến mạng, trong khi một bộ chuyển mạch lớp 4 có thể có đến 5 hay 6 mục cho mọi thiết bị kết nối đến mạng Nếu bộ chuyển mạch lớp 4 không có một bảng lọc chứa tất cả mọi thông tin, thì

bộ chuyển mạch không thể hoạt động hết công suất

1.4.1.5 Bộ chuyển mạch đa lớp

Bộ chuyển mạch đa lớp kết hợp những công nghệ chuyển mạch lớp 2, lớp 3, lớp 4 và cung cấp khả năng mở rộng tốc độ cao với độ trễ thấp Nó thực hiện điều này bằng cách sử dụng các bảng lọc lớn dựa trên các tiêu chuẩn thiết

kế của nhà quản trị… Chuyển mạch đa lớp vừa có thể truyền tải dữ liệu tốc độ cao, vừa đồng thời cung cấp chức năng định tuyến lớp 3 Điều này có thể loại bỏ tắc nghẽn từ những bộ định tuyến mạng Bộ chuyển mạch đa lớp có thể quyết định “định tuyến hay chuyển mạch” được bởi:

 Địa chỉ MAC nguồn/đích trong một khung liên kết dữ liệu

 Địa chỉ IP nguồn/đích trong phần header tầng “Mạng”

 Giao thức được sắp xếp trong phần header tầng “Mạng”

1.4.2 Mô hình mạng phân cấp của Cisco

Khi sử dụng hợp lý trong thiết kế mạng , một mô hình phân cấp giúp cho mạng dễ dự đoán được Nó giúp cho việc xác định tại từng mức độ nào của phân cấp thì chúng ta phải thi hàng những chức năng cụ thể nào Hệ thống phân cấp yêu cầu bạn sử dụng những công cụ như “danh sách truy cập” ở những cấp độ nhất định trong mạng phân cấp và không dùng chúng ở những chỗ khác Nói ngắn gọn, một mô hình phân cấp sẽ giúp chúng ta tổng kết một tập hợp các chi tiết phức tạp vào một mô hình dễ hiểu Sau đó, với những cấu hình cụ thể, mô hình ra lệnh các thao tác thích hợp trong đó chúng sẽ được áp dụng

Các mô hình phân cấp của Cisco được sử dụng để thiết kế một liên mạng phân cấp có tính mở rộng, độ tin cậy và tính kinh tế Cisco định nghĩa 3 tầng của

hệ thống phân cấp: tầng lõi, tầng phân phối và tầng truy cập Ba tầng này là logic và không nhất thiết là vật lý Chúng không nhất thiết được tượng trưng bởi

ba thiết bị riêng biệt Mỗi tầng có một nhiệm vụ riêng

1.4.2.1 Tầng Lõi (Core Layer)

Ở trên cùng của mô hình phân cấp là tầng “Lõi” Nó thật sự là hạt nhân của mạng, chịu trách nhiệm cho chuyển mạch dữ liệu một cách nhanh nhất có thể Các dữ liệu vận chuyển trong “Lõi” là chung cho những phần lớn những người sử dụng Tuy nhiên, dữ liệu của người sử dụng đã được xử lý ở tầng

“Phân phối”, và tầng “Phân phối” chuyển tiếp yêu cầu tới “Lõi” nếu cần thiết Nếu xuất hiện vấn đề trong “Lõi”, mỗi người dùng đều có thể bị ảnh hưởng; do vậy, độ sai cho phép ở tầng này là rất quan trọng

Là hạt nhân trong việc truyền tải số lượng lớn dữ liệu, ta nên thiết kế các lõi với độ tin cậy và tốc độ cao Ta nên xem xét sử dụng những kỹ thuật liên kết

dữ liệu mà nó đơn giản hóa cả tốc độ và dự phòng như là FDDI, FastEthernet, hay ATM Bạn nên sử dụng giao thức định tuyến với số lần hội tụ thấp Bạn không nên sử dụng danh sách truy cập, định tuyến giữa các mạng cục bộ ảo và

bộ lọc gói tin Bạn cũng không nên sử dụng tầng “Lõi” để hỗ trợ các nhóm làm

việc truy cập và nâng cấp, hơn là mở rộng tầng “Lõi” nếu hiệu suất sẽ trở thành một vấn đề trong lõi Với mỗi mục đích sử dụng mà Cisco khuyên bạn nên dùng switch đáp ứng tối đa được nhu cầu sử dụng ví dụ:

 Để đáp ứng tính sẵn sàng cao và cung cấp chuyển mạch tốc độ cao, tích hợp nhiều kỹ năng chuyển mạch thì nên sử dụng những dòng switch từ

6500 trở lên

 Đáp ứng nhu cầu hiệu quả chi phí thì dòng 5000/5500 là sự lựa chọn tối

ưu của bạn

1.4.2.2 Tầng “Phân Phối” (Distribution Layer)

Tầng “Phân phối” là cầu nối giữa tầng “Truy cập” và tầng “Lõi” Chức năng chính của tầng “Phân phối” là cung cấp chức năng định tuyến, bộ lọc, truy cập WAN và xác định có bao nhiêu gói tin có thể truy cập “Lõi”, nếu cần thiết Tầng “Phân phối” phải xác định đường đi nhanh nhất mà người dùng yêu cầu được phục vụ Sau khi tầng “Phân phối” quyết định đường đi tối ưu, nó chuyển tiếp yêu cầu tới tầng “Lõi” Tầng “Lõi” nhanh chóng chuyển yêu cầu đến đúng dịch vụ phù hợp Ta có thể thực thi các chính sách cho mạng tại tầng “Phân phối”

Nói chung, ta nên:

 Cài đặt các công cụ như: danh sách truy cập, lọc gói tin, và hàng đợi

 Cài đặt các chính sách bảo mật bao gồm chuyển đổi địa chỉ và tường lửa

 Phân phối lại giữa các giao thức định tuyến, bao gồm định tuyến tĩnh

 Định tuyến giữa các mạng cục bộ ảo và các chức năng hỗ trợ nhóm làm việc khác

 Xác định miền broadcast và miền multicast

Các switch ở lớp phân phối cũng phải có khả năng tham gia trong chuyển mạch đa lớp và có thể xử lý một bộ xử lý định tuyến Các switch Cisco cung cấp các chức năng:

 Model 2926G, là một bộ chuyển mạch tân tiến sử dụng một bộ xử lý định tuyến ngoài, ví dụ : dòng router 4000 hay 7000

 Dòng 5000/5500, là bộ chuyển mạch lớp phân phối tốt nhất, nó có thể hỗ trợ một lượng lớn kết nối và đồng thời có một modul xử lý định tuyến trong gọi là “modul định tuyến chuyển mạch” (RSM) Tốc độ chuyển mạch có thể lên tới 176KBps

 Dòng Catalys 6000 có thể hỗ trợ kết nối lên đến 384 10/100 Ethernet, kết nối 192 100FX FastEthenet và các cổng 130 Gigabit Ethernet

1.4.2.3 Tầng “Truy cập” (Access Layer)

Tầng “Truy cập” quản lý người dùng và nhóm làm việc truy cập tài nguyên mạng Những tài nguyên mạng nhiều người dùng cần nhất sẽ luôn sẵn sàng Bất kì dữ liệu cho dịch vụ từ xa đều được xử lý bởi tầng “Phân phối” Tại tầng này, quản lý truy cập và chính sách truy cập từ tầng “Phân phối” phải được tiếp tục và phân đoạn mạng nên được thực thi Các công nghệ như định tuyến

“Gọi theo yêu cầu” (Dial-on-Deman) và chuyển mạch Ethernet thường được sử dụng trong tầng “Truy cập”

Các bộ chuyển mạch triển khai ở tầng này phải có khả năng xử lý các kết nối từ những thiết bị cố định đơn lẻ tới liên mạng Các giải pháp của Cisco có thể đáp ứng các yêu cầu này bao gồm :

 Cung cấp chuyển mạch Ethernet 10/100/1000 Mbps, hỗ trợ truy cập cho

số lượng người truy cập lớn (>90 người) nên sử dụng dòng 4000 trở lên

 Cung cấp chuyển mạch từ 10/100Mbps thì dòng 2900 là đáp ứng được yêu cầu

Chương 2: Triển khai VLAN trong mạng campus

Với nhu cầu tiết kiệm tài nguyên, đồng thời đáp ứng nhu cầu sử dụng nhiều LAN trong cùng một địa điểm, giải pháp đưa ra là nhóm các máy tính thuộc các LAN khác nhau vào cùng một bộ tập trung switch Giải pháp này gọi

là mạng LAN ảo hay VLAN

2.1.2 Khái niệm

VLAN là một kỹ thuật cho phép tạo lập các mạng LAN độc lập một cách logic trên cùng một kiến trúc hạ tầng vật lý Việc tạo lập nhiều mạng LAN ảo trong cùng một mạng cục bộ (giữa các khoa trong một trường học, giữa các cục

trong một công ty, ) giúp giảm thiểu vùng quảng bá (broadcast domain) cũng

như tạo thuận lợi cho việc quản lý một mạng cục bộ rộng lớn VLAN tương

đương như mạng con (subnet)

2.1.3 Phân loại

Có 3 loại VLAN, bao gồm:

 Port - based VLAN: là cách cấu hình VLAN đơn giản và phổ biến Mỗi

cổng của Switch được gắn với một VLAN xác định (mặc định là VLAN 1), do vậy bất cứ thiết bị host nào gắn vào cổng đó đều thuộc một VLAN nào đó

 MAC address based VLAN: Cách cấu hình này ít được sử dụng do có

nhiều bất tiện trong việc quản lý Mỗi địa chỉ MAC được đánh dấu với một VLAN xác định

 Protocol – based VLAN: Cách cấu hình này gần giống như MAC Address

based, nhưng sử dụng một địa chỉ logic hay địa chỉ IP thay thế cho địa chỉ MAC Cách cấu hình không còn thông dụng nhờ sử dụng giao thức DHCP

2.1.4 Lợi ích của VLAN

 Tiết kiệm băng thông của hệ thống mạng: VLAN chia mạng LAN

thành nhiều đoạn (segment) nhỏ, mỗi đoạn đó là một vùng quảng bá (broadcast domain) Khi có gói tin quảng bá (broadcast), nó sẽ được truyền duy nhất trong VLAN tương ứng Do đó việc chia VLAN giúp tiết kiệm băng thông của hệ thống mạng

 Tăng khả năng bảo mật: Do các thiết bị ở các VLAN khác nhau không

thể truy nhập vào nhau (trừ khi ta sử dụng router nối giữa các VLAN) Như trong ví dụ trên, các máy tính trong VLAN kế toán (Accounting) chỉ

có thể liên lạc được với nhau Máy ở VLAN kế toán không thể kết nối được với máy tính ở VLAN kỹ sư (Engineering)

 Dễ dàng thêm hay bớt máy tính vào VLAN: Việc thêm một máy tính

vào VLAN rất đơn giản, chỉ cần cấu hình cổng cho máy đó vào VLAN mong muốn

 Giúp mạng có tính linh động cao:

 VLAN có thể dễ dàng di chuyển các thiết bị Giả sử trong ví dụ trên, sau một thời gian sử dụng công ty quyết định để mỗi bộ phận

ở một tầng riêng biệt Với VLAN, ta chỉ cần cấu hình lại các cổng switch rồi đặt chúng vào các VLAN theo yêu cầu

 VLAN có thể được cấu hình tĩnh hay động Trong cấu hình tĩnh, người quản trị mạng phải cấu hình cho từng cổng của mỗi switch Sau đó, gán cho nó vào một VLAN nào đó Trong cấu hình động

mỗi cổng của switch có thể tự cấu hình VLAN cho mình dựa vào địa chỉ MAC của thiết bị được kết nối vào

2.1.5 Cấu hình VLAN

Static VLAN: có thể được sử dụng khi một port của switch được gán bằng tay bởi người quản trị mạng vào trong một VLAN Mỗi port sẽ được gán vào một VLAN được chỉ ra Theo mặc định, tất cả các port của switch được gán vào trong VLAN 1 Bạn có thể tạo các VLAN khác theo hai

Switch(config)# vlan vlan-number Tạo VLAN vlan - number và

chuyển vào chế độ cấu hình VLAN configuration

Switch(config-vlan)#name

vlan_name

Gán tên cho VLAN Độ dài của tên vlan có thể từ 1 đến 32 ký tự Switch(config)#interface

Gán port Fa vào vlan vlan-number

Switch# show vlan Hiển thị thông tin vlan

Switch# show vlan brief Hiển thị thông tin vlan ở dạng

tổng quát Switch# show interfaces vlan vlan-

VLAN database ( thông thường không được sử dụng)

Switch(vlan)# vlan vlan-number

name vlan-name

Tạo vlan vlan-number và đặt tên cho là vlan-name Độ dài tên của vlan có thể từ 1 đến 32 ký tự Switch#copy running-config

 Bạn không thể xóa VLAN mặc định trong những môi trường mạng khác nhau: đối với Ethernet là VLAN 1, đối với FDDI hoặc Token Ring là VLAN 1002 đến 1005

 Khi bạn xóa một VLAN, thì các port được gán vào trong VLAN đó sẽ trở về trạng thái không hoạt động Chúng sẽ hoạt động trở lại khi bạn gán chúng vào VLAN mới Vì vậy bạn nên

gán lại các port sang một vlan khác sau đó mới xóa vlan đó khỏi VLAN database

2.2 VLAN Trunking

2.2.1 Khái niệm Trunking

Một đường Trunk là một kết nối point-to-point để hỗ trợ các VLAN trên các switch liên kết với nhau Một đường được cấu hình Trunk sẽ gộp nhiều liên kết ảo trên một liên kết vật lý để chuyển tín hiệu từ các VLAN

trên các switch với nhau dựa trên một đường cáp vật lý

Hình 2.1 Mô tả kết nối Trunk giữa hai switch

2.2.2 Hoạt động của Trunking

 Giao thức Trunking được phát triển để nâng cao hiệu quả quản lý việc lưu chuyển các Frame từ các VLAN khác nhau trên một đường truyền vật lý Giao thức trunking thiết lập các thoả thuận cho việc sắp sếp các Frame vào các cổng được liên kết với nhau

ở hai dầu đường trunk

 Hiện tại có 2 kỹ thuật Trunking là Frame Filtering và Frame Tagging Nhưng ở đây ta chỉ tìm hiểu đến kỹ thuật Frame

Tagging

 Giao thức Trunking sử dụng kỹ thuật Frame Tagging để phân biệt các Frame và để dễ dàng quản lý và phân phát các Frame nhanh hơn Các tag được thêm vào trên đường gói tin đi ra vào đường trunk và được bỏ đi khi ra khỏi đường trunk Các gói tin

có gắn tag không phải là gói tin Broadcast

 Một đường vật lý duy nhất kết nối giữa hai switch thì có thể truyền tải cho mọi VLAN Để lưu trữ, mỗi Frame được gắn tag

để nhận dạng trước khi gửi đi, Frame của VLAN nào thì đi về

VLAN đó

Hình 2.3 Mô tả giao thức liên kết ISL và 802.1Q

Hai phương thức chủ yếu cho việc đánh dấu frame đó là:

Inter-Switch Link (ISL) ( độc quyền của Cisco) và IEEE 802.1Q

Ngày trước ISL của Cisco được sử dụng rộng rãi hơn nhưng hiện nay

nó dần được thay thế bởi phương thức đánh dấu frame 802.1Q của IEEE, và Cisco cũng khuyên người dùng nên sử dụng 802.1Q

Giao thức ISL, là một chuẩn độc quyền của Cisco cho việc lưu giữ định danh VLAN trên các frame khi chúng được chuyển qua các đường trunk Giao thức ISL được sử dụng cho môi trường Ethernet, nó có thể định danh các frame Token Ring, FDDI và ATM khi qua môi trường Ethernet ISL ISL thực hiện việc định danh trên lớp 2, bằng cách đóng gói mỗi frame giữa phần header và trailer Bất kì switch hay router nào của Ciso được cấu hình ISL đều có thể xử lý và nắm được thông tin VLAN trên các frame

Giao thức 802.1Q còn gọi là dot.1Q, là một chuẩn của IEEE IEEE 802.1Q là phương thức lưu trữ định danh VLAN trên các frame khi chúng được chuyển qua các đường trunk Vì vậy, nó cho phép việc trao đổi dữ liệu

giữa các VLAN được thực hiện Chuẩn IEEE 802.1Q xác định kiến trúc mà VLAN sử dụng, các dịch vụ được cung cấp trong VLAN, các giao thức và thuật toán được sử dụng để cung cấp các dịch vụ VLAN Cũng giống như Cisco ISL, IEEE 802.1Q có thể được sử dụng để định danh VLAN khi qua các đường Ethernet trunk Thay vì đóng gói mỗi frame với một VLAN ID ở phần header và trailer, 802.1Q đính kèm thông tin tag (gán thẻ) của VLAN ngay trong frame của lớp 2 802.1Q cũng giới thiệu sự hiện diện của native VLAN (VLAN gốc) trên một đường trunk Các frame thuộc về VLAN này không được đóng gói thông tin tag (gán thẻ) Khi frame ra khỏi đường trunk 802.1Q cuối, router (hay switch) sẽ chỉ hiểu các fram thuộc native VLAN (VLAN gốc)

2.2.3 Cấu hình Trunking

Mặc định tất cả các ports trên switch là không Trunk và hoạt động như

là những liên kết truy cập Những câu lệnh được sử dụng để cấu hình VLAN Trunking:

Switch(config)# interface interface module_number/port_number

Switch(config-if)# switchport mode trunk

Switch(config-if)# switchport trunk encapsulation { isl | dot1q }

Những câu lệnh này để đưa các cổng switch vào chế độ trunking, sử dụng các phương thức đóng gói ISL hay dot1q

2.3 VTP (VLAN Trunking Protocol)

2.3.1 Khái niệm

VTP là một giao thức quảng bá cho phép duy trì cấu hình thống nhất trên một miền quản trị Sử dụng gói trunk lớp 2 để quản lý sự thêm xóa và đặt tên cho VLAN trong một miền quản trị nhất định Thông điệp VTP được đóng gói trong frame của ISL hay 802.1Q và được truyền trên các đường trunk Đồng thời, VTP cho phép tập trung thông tin về sự thay đổi từ tất cả các

switch trong một hệ thống mạng Bất kỳ switch nào tham gia vào sự trao đổi VTP đều có thể nhận biết và sử dụng bất cứ VLAN nào mà VTP quản lý

2.3.2 Hoạt động của giao thức VTP

VTP quảng bá các thông tin cấu hình vlan đến các switch láng giềng để các cấu hình vlan có thể được thực hiện trên một switch, trong khi tất cả các switch khác trong hệ thống mạng sẽ học thông tin vlan VTP thường quảng bá các thông tin như vlan ID, vlan name và kiểu vlan cho từng vlan Tuy nhiên, VTP thường không quảng bá bất cứ thông tin nào về các switchport nào trong từng vlan nào, vì vậy cấu hình kết hợp switch interface nào với vlan nào vẫn phải được cấu hình trên từng switch Ngoài ra, sự tồn tại của vlan ID được dùng cho private vlan cũng được quảng bá, nhưng các thông tin chi tiết bên trong private vlan cũng sẽ không được quảng bá bởi VTP

Gửi ra các thông tin quảng bá

Lưu thông tin VLAN trong

NVRAM hay vlan.dat

Có thể tạo, thay đổi, xóa VLAN

dùng các câu lệnh cấu hình

2.3.3 Các tiến trình VTP và chỉ số number

Tiến trình cập nhật của VTP bắt đầu khi người quản trị thêm vào hoặc xóa cấu hình của vlan trên VTP server Khi cấu hình mới xuất hiện, VTP sẽ tăng giá trị VTP revision lên 1và quảng bá toàn bộ cơ sở dữ liệu vlan với giá trị revision number mới Khái niệm chỉ số VTP cho phép các switch biết khi nào có sự thay đổi trong cơ sở dữ liệu vlan Khi nhận được một cập nhật VTP, nếu chỉ số VTP trong cập nhật VTP là cao hơn chỉ số revision number hiện hành, switch sẽ cho rằng có một phiên bản mới của cơ sở dữ liệu vlan

Mặc định Cisco switch dùng chế độ VTP server nhưng switch sẽ không gửi các cập nhật VTP cho đến khi nào nó được cấu hình VTP domain name Ở thời điểm này, server bắt đầu gửi các cập nhật VTP với các phiên bản cơ sở dữ liệu khác nhau và các chỉ số revision number khác nhau khi có thông tin cấu hình vlan database thay đổi Tuy nhiên các VTP client thật sự không được cấu hình VTP domain name Nếu không được cấu hình, client sẽ giả sử là nó sẽ dùng VTP domain name trong gói tin cập nhật VTP đầu tiên mà nó nhận được Tuy nhiên, client vẫn phải cần cấu hình VTP mode Khi cấu hình VTP, để tăng tính dự phòng, các hệ thống mạng dùng VTP thường dùng tối thiểu hai VTP server Trong điều kiện bình thường, một sự thay đổi về vlan có thể chỉ thực hiện trên switch server và các VTP server khác sẽ cập nhật sự thay đổi này Sau khi cập nhật xong, VTP server sẽ lưu các thông tin cấu hình vlan thường trực (ví dụ: NVRAM) trong khi client không lưu thông tin này

Việc hỗ trợ nhiều VTP server gây ra một khả năng khác là việc vô tình thay đổi cấu hình vlan của hệ thống mạng Khi một VTP Client hoặc một VTP Transparent switch kết nối lần đầu vào một hệ thống mạng thông qua kết nối trunk, nó không thể ảnh hưởng đến cấu hình hiện tại bởi vì các chế độ hoạt động này không tạo ra các gói tin cập nhật VTP Tuy nhiên nếu một switch mới hoạt động ở chế độ VTP server được gắn vào mạng thông qua kết nối trunk, switch đó có khả năng thay đổi cấu hình vlan của các switch khác bằng

chính thông tin của switch mới Nếu switch mới có các đặc điểm sau, nó sẽ có thể thay đổi cấu hình các switch khác:

 Kết nối là trunk

 Switch mới có cùng VTP domain

 Chỉ số revision number là cao hơn các switch hiện có

 Nếu mật khẩu của VTP domain là được cấu hình, mật khẩu của switch mới phải là giống

Chỉ số revision number và tên VTP domain có thể được thấy thông qua các phần mềm sniffer Để ngăn ngừa kiểu tấn công DoS dùng VTP, hãy cài đặt mật khẩu cho VTP Mật khẩu này thường được mã hóa dạng MD5 Ngoài ra, vài nơi triển khai chỉ đơn giản dùngVTP Transparent mode trên tất cả các switch, ngăn ngừa switch khỏi việc lắng nghe các cập nhật VTP từ các switch khác

2.3.4 VTP pruning

VTP pruning tăng cường sử dụng băng thông của mạng bằng cách giảm lưu lượng làm lụt không cần thiết ví dụ: broadcast, multicast, chưa biết địa chỉ đích unicast, và làm lụt những gói tin unicast VTP pruning làm tăng giá trị băng thông bằng cách hạn chế lưu lượng làm lụt trên các liên kết trunk mà lưu lượng phải được sử dụng để truy cập vào những thiết bị mạng thích hợp Theo mặc định, VTP pruning là không hoạt động Hãy chắc chắn rằng tất cả các thiết bị trong miền quản lý đều hỗ trợ VTP pruning trước khi kích hoạt nó VTP pruning được hỗ trợ trong dòng catalys 5000 và những dòng sau nó

Trong mô hình Hình 2.5 cho thấy một mạng không hỗ trợ VTP pruning

Port 1 trên switch 1 và port 2 trên switch 4 được gán cho Red Vlan Một bản tin broadcast (quảng bá) sẽ được gửi đi từ trạm kết nối với switch 1 Switch 1

sẽ quảng bá gói tin đó tới tất cả các switch trong mạng mặc dù chúng không có cổng nào trong Red Vlan

Hình 2.5 Flooding traffic without VTP pruning

Mạng được hỗ trợ tính năng VTP prunning, lưu lượng quảng bá từ switch 1 sẽ không chuyển tới switch 3, 5, và 6 bởi vì lưu lượng cho Red Vlan

đã được lược bớt cho cổng 5 trên switch 2 và cổng 4 trên switch 4

Hình 2.6 Flooding traffic with VTP pruning

Việc kích hoạt VTP pruning trên một VTP server đồng nghĩa với việc kích hoạt pruning trên toàn miền quản lý VTP pruing có tác dụng sau vài giây bạn kích hoạt nó Mặc định, VLAN 2 cho đến 1000 đều ở trạng thái pruning-eligible (đáp ứng) VTP pruning không chặn các dữ liệu từ các VLAN ở trạng thái pruning-ineligible (không đáp ứng) VLAN 1 luôn trong trạng thái prunning-eligible (không đáp ứng); dữ liệu từ VLAN 1 không thể bị chặn Để

cấu hình một VLAN về trạng thái pruning-ineligible (không đáp ứng), nhập câu lệnh :

set vtp pruneeligible

Ta có thể thiết đặt tính năng pruning-eligibility (đáp ứng) dù cho VTP pruning có đang được kích hoạt trong miền hay không Tính năng pruning-eligibility luôn được áp dụng cho các thiết bị cục bộ, không phải cho toàn miền VTP

Switch(config)# vtp password password Cấu hình một VTP password Trong

phiên bản Cisco IOS 12.3 trở đi thì

password ở dạng mã ASCII (1-32 ký tự) Phiên bản Cisco IOS cũ hơn (8 - 64 ký tự)

Chú ý: để có thể trao đổi thông tin vlan với các switch khác, thì tất cả các switch

sẽ phải cấu hình cùng một VTP password

Switch(config)# vtp v2-mode Cấu hình VTP domain hoạt động là

version 2 Câu lệnh chỉ sử dụng cho

phiên bản Cisco IOS 12.3 trở lên Nếu phiên bản Cisco IOS cũ hơn thì câu lệnh

sẽ là: vtp version 2

Chú ý: VTP version 1 và version 2 không có khả năng tương thích với nhau Tất cả các switch sẽ phải sử dụng cùng version Sự khác nhau lớn nhất giữa version 1 và version 2 là version 2 sẽ hỗ trợ cho Token Ring VLAN

Switch(config)# vtp pruing Enable tính năng VTP pruning trên

switch

Chú ý: Theo mặc định, VTP pruning bị disable Bạn cần phải enable VTP pruning trên một switch duy nhất hoạt động ở chế độ VTP server

2.3.5.2 Sử dụng chế độ VLAN Database

Ở chế độ VLAN Database các câu lệnh cũng giống và có chức năng như ở chế độ Global Configuration, tuy nhiên phải đặt vào chế độ VLAN database bằng câu lệnh:

Switch# vlan database

Chú ý: Chế độ VLAN database thường sẽ không được sử dụng để cấu hình và đã được bỏ trong một số phiên bản Cisco IOS Vì vậy bạn nên sử dụng chế độ VLAN configuration để cấu hình

2.3.6 Kiểm tra VTP

Switch# show vtp status Hiển thị những thông tin cấu hình về

VTP

Switch# show vtp counters Hiển thị bộ đếm VTP của switch

Chú ý: Nếu trunking đã được thiết lập trước khi VTP được cấu hình, thì thông tin VTP sẽ được quảng bá thông qua đường trunk đó ngay lập tức Tuy nhiên, bởi vì thông tin VTP được quảng bá duy nhất theo chu kỳ là 30 giây (5 phút), trừ khi thay đổi thông tin VLAN thay đổi thì sẽi được quảng

bá, cho nên cần phải mất một thời gian khoảng mấy phút thì thông tin VTP mới được quảng bá

Chương 3: Triển khai spanning tree trong mạng campus

3 Spanning-tree protocol (giao thức tránh lặp)

3.1 Các khái niệm về Spanning-tree protocol (STP)

 Khái niệm Spanning-tree protocol

Spanning Tree Protocol (STP) là một giao thức ngăn chặn sự lặp vòng, cho phép các bridge truyền thông với nhau để phát hiện vòng lặp vật lý trong mạng Sau đó giao thức này sẽ định rõ một thuật toán mà bridge có thể tạo ra một cấu trúc mạng logic chứa vòng lặp (loop-free) Nói cách khác STP

sẽ tạo một cấu trúc cây của free-loop gồm các lá và các nhánh nối toàn bộ mạng lớp 2

 Nguyên nhân gây lặp

Hai nguyên nhân chính gây ra sự lặp vòng tai hại trong mạng chuyển mạch là do broadcast và sự sai lệch của bảng bridge

 Vòng lặp broadcast

Vòng lặp broadcast và vòng lặp lớp 2 là một sự kết hợp nguy

hiểm Hình 3.1 biểu diễn broadcast tạo ra vòng lặp phản hồi (feedback

loop)

Hình 3.1 Không có STP, broadcast tạo Feedback loop

Giả sử rằng, không có switch nào chạy STP:

o Bước 1: host A gửi một frame bằng địa chỉ broadcast FF-FF)

(FF-FF-FF-FF-o Bước 2: frame đến cả hai Cat-1 và Cat-2 qua cổng 1/1

o Bước 3: Cat-1 sẽ đưa frame qua cổng 1/2

o Bước 4: frame được truyền đến tất cả các nút trên đoạn mạng Ethernet

kể cả cổng 1/2 của Cat-2

o Bước 5: Cat-2 đưa frame này đến cổng 1/1 của nó

o Bước 6: một lần nữa, frame xuất hiện cổng 1/1 của Cat-1

o Bước 7: Cat-1 sẽ gửi frame này đến cổng 1/2 lần hai Như vậy tạo thành một vòng lặp ở đây

 Việc sai lệch bảng bridge

Nhiều nhà quản trị switch/bridge đã nhận thức vấn đề cơ bản của bão broadcast, tuy nhiên ta phải biết rằng thậm chí các unicast frame cũng có thể

truyền mãi trong mạng mà chứa vòng lặp Hình 3.2 mô tả điều này

o Bước 1: host A muốn gửi gói unicast đến host B, tuy nhiên host B đã rời khỏi mạng, và đúng với bảng bridge của switch không có địa chỉ của host

(BB-BB-o Bước 4: Cat-2 nhận được frame trên cổng 1/2 Có 2 vấn đề xảy ra:

o Bước 5: Cat-2 tràn frame vì nó không học địa chỉ MAC BB-BB, điều này tạo ra feedback loop và làm down mạng

BB-BB-BB-BB-Cat-2 chú ý rằng, nó chỉ nhận một frame trên cổng 1/2 với địa chỉ MAC là AA-AA-AA-AA-AA-AA Nó thay đổi địa chỉ MAC của host A trong bảng bridge dẫn đến sai cổng

Vì frame bị lặp theo hướng ngược lại, nên ta thấy địa chỉ MAC của host A bị lẫn giữa cổng 1/1 và 1/2 Điều này không chỉ làm mạng bị tràn với các gói unicast mà còn sửa sai bảng bridge Như vậy không chỉ có broadcast mới làm hư hại mạng

Hình 3.2 Frame unicast cũng có thể gây ra Bridging Loop

và làm sai lệnh bảng bridge

 Hai khái niệm cơ bản của STP

Việc tính toán Spanning Tree dựa trên hai khái niệm khi tạo ra vòng lặp logic trong cấu trúc mạng đó là: Bridge ID (BID) và chi phí đường đi