II. MẠNG LAN ẢO (VLAN – Vitrual Local Area Network)
2 .5 Ứng dụng của VLAN
Sử dụng VLAN để tạo ra các LAN khác nhau của nhiều máy tính cùng văn phòng: VLAN1
Sử dụng VLAN để tạo mạng dữ liệu ảo (Virtual Data Network – VAN)
2.6 CÁC LOẠI VLAN
Có 3 loại thành viên VLAN để xác định và kiểm soát việc xử lý các gói dữ liệu:
VLAN dựa trên cổng (port based VLAN): mỗi cổng (Ethernet hoặc Fast Ethernet) được gắn với một VLAN xác định. Do đó mỗi máy tính/ thiết bị host kết nối một cổng của switch đều phụ thuộc vào VLAN đó. Đây là cách cấu hình VLAN đơn giản và phổ biến nhất.
Vlan theo địa chỉ MAC ( MAC address based VLAN): mỗi địa chỉ MAC được gán tới một VLAN nhất định. Cách cấu hình này rất phức tạp và khó khăn trong việc quản lý.
VLAN theo giao thức (protocol based VLAN): tương tự với VLAN dựa trên địa chỉ MAC nhưng sử dụng địa chỉ IP thay cho địa chỉ MAC. Cách cấu hình này không thông dụng.
Người dùng thuộc VLAN nào thì tùy theo vào port kết nối của người dùng đó.
Không cần tìm trong cơ sở dữ liệu khi xác định thành viên của VLAN Dễ dàng quản lý bằng giao diện đồ họa (GUIs). Quản lý thành viên của
VLAN theo port cũng dễ dàng và đơn giản. Bảo mật tối đa giữa các VLAN.
Gói dữ liệu không “rò rỉ” sang các miền khác. Dễ dàng kiểm soát qua mạng.
Trang 33 | 46 VLAN 1 VLAN 2 MAC - based VLAN 3 VLAN 2 VLAN 1 Port- based Lớp 3- based VLAN 1 VLAN 2
Người dùng thuộc loại VLAN nào là tùy thuộc vào địa chỉ MAC của người dùng đó.
Linh hoạt hơn như tăng độ tải lên giao thông mạng và công việc quản trị mạng.
Ảnh hưởng đến hiệu suất hoạt động, khả năng hoạt động mạng và khả năng quản trị vì quản lý thành viên của VLAN theo địa chỉ MAC là một công việc phức tạp.
Tiến trình xử lý như các lớp trên.
Số lượng VLAN phụ thuộc vào các yếu sau: Dòng giao thông. Loại ứng dụng . Sự quản lý mạng. Sự phân nhóm. Trang 34 | 46 Bản địa chỉ MAC VLAN 1 020701 AEF1A OA032192FA2A VLAN 2 050503G4GF2A 040404THTB3A Bản chuyển đổi Bản địa chỉ MAC VLAN 1 020701 AEF1A OA032192FA2A VLAN 2 050503G4GF2A 040404THTB3A
Ngoài một yếu tố quan trọng mà chúng ta cần quan tâm là kích thước của switch và sơ đồ chia địa chỉ IP.
Ví dụ: Một mạng sử dụng địa chỉ mạng có 24 bit subnet mask, như vậy mỗi subnet mask có tổng cộng 254 địa chỉ host. Nên sử dụng nối tương một – một giữa VLAN và IP subnet. Do mỗi VLAN tương ứng với một IP subnet mask, có tối đa 254 thiết bị. Phần header của frame sẽ đóng gói lại và điều chỉnh để có thêm dòng thông tin về VLAN ID trước khi frame được truyền lên đường truyền kết nối giữa switch. Công việc này gọi là dán nhãn cho frame. Sau đó phần hearder của frame. Sau đó, phần hearder của frame được trả lại như cũ trức khi truyền xuống thiết bị đích.
Có hai phương pháp chủ yếu dán nhãn là Intr – Switch Link (ISL) và 802.1Q.ISL từng được dùng phổ biến nhưng bây giờ đang thay thế bởi 802Q.1.
2.7 Cấu hình VLAN
Cấu hình VLAN cơ bản
Trong môi trường chuyển mạch, một máy trạm chỉ nhận giao thông nào gửi đến nó. Nhờ đó, mỗi máy trạm được dành riêng và trọn vẹn băng thông cho đường truyền và nhận. Không giống như hệ thống hub chia sẽ chỉ có một máy trạm được phép truyền tại một thời điểm, mạng chuyển mạch có thể cho phép nhiều phiên giao dịch cùng một lúc trong một miền quảng bá mà không ảnh hưởng đến máy trạm khác bên trong cũng như bên ngoài miền quảng bá.Ví dụ như trên hình 11 cặp A/B, C/D, E/F có thể đồng thời liên lạc với nhau mà không ảnh hưởng đến cặp máy khác.
Trang 35 | 46 3 2 1 A B C D E F
Mỗi VLAN có một địa chỉ mạng Lớp 3 riêng: nhờ đó router có chuyến gói giữa các VLAN với nhau.
Chúng ta có thể xây dựng VLAN cho mạng từ đầu cuối – đến – đầu cuối hoặc theo giới hạn địa lý.
Một VLAN từ đầu cuối – đến đầu cuối có các đặc điển sau:
Người dùng được phân nhóm VLAN hoàn toàn không phụ thuộc vào vị trí vật lý, chỉ phụ thuộc vào chức năng công việc của nhóm.
Mọi user trong một VLAN điều có chung tỉ lệ giao thông 80/20(80% giao thông trong, 20% giao thông ngoài VLAN)
Khi người dùng đầu cuối di chuyển trong hệ thống mạng vẫn không thay đổi VLAN của người dùng đó.
Mỗi VLAN có những yêu cầu bảo mật riêng cho mọi thàng viên của VLAN đó.
Bắt đầu tầng truy cập, port trên switch được cấp xuống cho mỗi người dùng. Người sử dụng di chuyển trong toàn hệ thống mạng ở mọi thời điểm nên mỗi switch đều là thành viên của mọi VLAN. Switch phải dán nhãn frame khi di chuyển frame giữa các switch tầng truy cập với switch phân phối.
ISL là giao thức độc quyền của Cisso để dán nhãn cho frame khi truyền frame giữa các switch với nhau và với router. Còn IEEE 802.1Q là một chuẩn để dán nhãn frame.
Trang 36 | 46 Inter – VLAN routing
Nhóm máy chủ Switched Enthernet Lớp truy cập Fast Ethernet Lớp phân phối Fast Ethernet
Máy chủ chuyên nghiệp
Core Layer
Fast hoặc Gigabit Ethernet
Các server hoạt động theo chế độ client/ server. Do đó các server theo nhóm nên đặt trong cùng một VLAN với nhóm user mà server đó phục vụ, như vậy sẽ giữ cho dòng lưu lượng tập trung trong VLAN. Giúp tối ưu hoạt động chuyển mạch lớp 2.
Router ở tầng trục chính được sử dụng để định tuyến giữa các subnet. Toàn bộ hệ thống này có tỷ lệ lưu lượng là 80% trong nội bộ lưu lượng trong nội bộ VLAN, 20% giao thông đi qua router đến các server toàn bộ hệ thống và đi ra internet, WAN.
2.7.1 Cấu hình VLAN theo vật lý
VLAN từ đầu cuối - đến – đầu cuối cho phép phân nhóm nguồn tài nguyên sử dụng, ví dụ phân nhóm user theo server sử dụng, nhóm dự án và theo phòng ban…Mục tiêu của VLAN từ đầu cuối - đến - đầu cuối là giữ 80% giao thông trong nội bộ của VLAN.
Khi các hệ thống mạng tập đoàn thực tập chung tài nguyên mạng VLAN từ đầu cuối - đến - đầu cuối rất khó thực hiện mục tiêu của mình. Khi đó người dùng cần phải sử dụng nhiều nguồn tài nguyên khác nhau không cùng nằm trong cùng VLAN với người dùng. Chính vì xu hướng sử dụng và phân bố tài nguyên mạng khác đi nên hiện nay VLAN thường đượ tạo ra theo giới hạn của địa lý.
Phạm vi địa lý có thể lớn bằng tòa nhà hoặc cũng có thể chỉ nhỏ với một switch. Trong cấu trúc VLAN này, tỉ lượng sẽ là 20/80, 20% giao thông trong nội bộ VLAN và 80% giao thông đi ra ngoài mạng VLAN.
Điểm này có ý nghĩa là lưu lượng phải đi qua thiết bị lớp 3 mới đến được 80% nguồn tài nguyên. Kiểu thiết kế này cho phép việc truy cập nguồn tài nguyên được thống nhất.
2.7.2 Cấu hình VLAN cố định
VLAN cố định là VLAN được cố hình theo port trên switch bằng các phần mềm quản lý hoặc cấu hình trực tiếp trên switch. Các port đã được gán vào VLAN nào thì nó sẽ giữ nguyên cấu hình VLAN đó cho đến khi thay đổi bằng lệnh. Đây là cấu trúc VLAN theo địa lý, các user phải đi qua thiết bị lớp 3 mới truy cập 80% tài nguyên mạng. Loại VLAN cố định hoạt động tốt trong những mạng có đặc điểm sau:
Trang 37 | 46 Hình 13: VLAN theo địa lý
• Sự di chuyển trong mạng được quản lý và kiểm soát.
• Có phần mềm quản lý VLAN mạnh để cấu hình port trên switch.
• Không dành nhiều tải cho hoạt động duy trì địa chỉ MAC của thiết bị đầu cuối và điều cỉnh bảng địa chỉ.
VLAN động thì không phụ thuộc vào cổng trên switch