2.2. Mạng LAN ảo (VLAN)[2],[3]
2.2.1. Tổng quan về VLAN[2],[4],[5]
Mạng LAN là một mạng cục bộ (viết tắc của Local Area Network), được định nghĩa là tất cả các máy tính trong cùng một miền quảng bá (broadcast domain). Cần nhớ rằng các router (bộ định tuyến) chặn bản tin quảng bá, trong khi switch (bộ chuyển mạch) chỉ chuyển tiếp chúng.
Mạng LAN cĩ nhiều quy mơ và mức độ phức tạp khác nhau, nĩ cĩ thể chỉ liên kết vài ba máy tính cá nhân và dùng chung một thiết bị ngoại vi đắt tiền như máy in lazer chẳng hạn. Các hệ thống phức tạp hơn thì cĩ máy tính trung tâm (Máy chủ Server) cho phép những người dùng trao đổi thơng tin với nhau và thâm nhập vào các cơ sở dữ liệu dùng chung.
Phạm vi ứng dụng của mạng LAN- Mạng LAN thường được sử dụng để kết nối các máy tính trong gia đình, trong một phịng Game, phịng NET, trong một tồ nhà của Cơ quan, Trường học.- Cự ly của mạng LAN giới hạn trong phạm vi cĩ bán kính khoảng 100m- Các máy tính cĩ cự ly xa hơn thơng thường người ta sử dụng mạng Internet để trao đổi thơng tin.
Mơ hình mạng khơng cĩ VLAN là một mạng phẳng (flat network) vì nĩ hoạt động chuyển mạch ở Lớp 2. Một mạng phẳng là một niểm quảng bá (broadcast), mỗi gĩi quảng bá từ một host nào đĩ đều đến được các host cịn lại trong mạng. Mỗi cổng trong switch là một miền đụng độ (collision), vì vậy người ta sử dụng switch để chia nhỏ miền collision, nhưng nĩ khơng ngăn được miền quảng bá.
Vấn đề băng thơng: trong một số trường hợp một mạng Campus ở lớp 2 cĩ
thể mở thêm một số tịa nhà cao tầng nữa, hay một số người dùng tăng lên thì nhu cầu sử dụng băng thơng cũng tăng, do đĩ khả năng thực thi của mạng cũng giảm.
Vấn đề bảo mật: mỗi người dùng nào cũng cĩ thể thấy các người dùng khác
trong cùng một mạng phẳng (flat network), do đĩ rất khĩ bảo mật.
Vấn đề về cân bằng tải: trong mạng phẳng ta khơng thể thực hiện truyền
trên nhiều đường đi, vì lúc đĩ mạng dễ bị vịng lặp, tạo nên cơn bão quảng bá (broardcast storm) ảnh hưởng đến băng thơng của đường truyền. Do đĩ khơng thể chia tải (cịn gọi là cân bằng tải).
Để giải quyết vấn đề trên, ta đưa ra giải pháp VLAN. VLAN (Virtual Local Area Network) được định nghĩa là một nhĩm logic các thiết bị mạng, và được thiết lập dựa trên các yếu tố như chức năng, bộ phận, ứng dụng…của cơng ty. Mỗi VLAN là một mạng con logic được tạo ra trên switch, cịn gọi là đoạn hay miền quảng bá (broadcast).
VLAN (Virtual Local Area Network) được định nghĩa là một nhĩm logic các thiết bị mạng, và được thiết lập dựa trên các yếu tố như chức năng, bộ phận, ứng dụng…của cơng ty. Mỗi VLAN là một mạng con logic được tạo ra trên switch, cịn gọi là đoạn hay miền quảng bá (broadcast).
VLAN là một mạng LAN ảo. Về mặt kỹ thuật, VLAN là một miền quảng bá được tạo bởi các switch. Bình thường thì router đĩng vai tạo ra miền quảng bá. Đối VLAN thì cĩ thể tạo ra miền quảng bá.VLAN là một kỹ thuật kết hợp chuyển mạch lớp 2 và định tuyến lớp 3 để giới hạn miền đụng độ và miền quảng bá. VLAN cịn được sử dụng để bảo mật giữa các nhĩm VLAN theo chức năng mỗi nhĩm.
VLAN với cách phân nguồn tài nguyên và user theo logic đã làm tăng hiệu quả hoạt động của tồn hệ thống mạng. Các cơng ty, tổ chức thường sử dụng VLAN để phân nhĩm user theo logic mà khơng cần quan tâm đến vị trí vật lý của họ.
Với VLAN, mạng cĩ khả năng phát triển, bảo mật và quản lý tốt hơn vì router trong cấu VLAN cĩ thể ngăn gĩi quảng bá, bảo mật và quản lý dịng lưu lượng mạng.
VLAN là cơng cụ mạnh trong thiết kế cấu hình mạng.
2.2.1.1. Khái niệm về VLAN
VLAN là một nhĩm các thiết bị mạng khơng giới hạn theo vị trí vật lý hoặc theo LAN switch mà chúng kết nối vào.
VLAN là một segment mạng theo logic dựa trên chức năng, đội nhĩm, hoặc ứng dụng của một tổ chức chứ khơng phụ thuộc vào vị trí vật lý hay kết nối vật lý trong mạng. Tất cả các trạm và server được sử dụng bởi cùng một nhĩm làm việc sẽ được đặt trong cùng VLAN bất kể vị trí hay kết nối vật lý của chúng.
Mọi cơng việc cấu hình VLAN hoặc thay đổi cấu hình VLAN điều được thực hiện trên phần mềm mà khơng cần thay đổi cáp và thiết bị vật lý.
Một máy trạm trong một VLAN chỉ được liên lạc với file server trong cùng VLAN với nĩ. VLAN được nhĩm theo chức năng logic và mỗi VLAN là một miền quảng bá, do đĩ gĩi dữ liệu chỉ được chuyển mạch trong cùng một VLAN.
VLAN cĩ khả năng mở rộng, bảo mật và quản lý mạng tốt hơn. Router trong cấu trúc VLAN thực hiện ngăn chặn quảng bá, bảo mật và quản lý nguồn giao thơng mạng. Switch khơng thể chuyển mạch giao thơng giữa các VLAN khác nhau. Giao thơng giữa các VLAN phải được định tuyến qua router.
2.2.1.2. Miền quảng bá với VLAN và router
Một VLAN là một niềm quảng bá được tạo nên một hay nhiều switch.
Hình2.10: Miền quảng bá trên 3 switch khác nhau
Trong hình 2.9 cho thấy tạo 3 miền quảng bá riêng biệt trên ba switch như thế nào. Định tuyến Lớp 3 cho phép router chuyển gĩi giữa các miền quảng bá với nhau.
Hình2.11: Miền quảng bá trên một switch
Trong hình 2.10 chúng ta thấy 3 VLAN tức là 3 miền quảng bá khác nhau được tạo ra trên một switch và một router. Router sẽ sử dụng định tuyến Lớp 3 để chuyển giao thơng giữa 3 VLAN.
Switch trong hình trên sẽ truyền frame lên cổng giao tiếp của router khi:
Gĩi dữ liệu là gĩi quảng bá.
Gĩi dữ liệu cĩ địa chỉ MAC đích là một trong các địa chỉ MAC của router.
Nếu máy trạm 1 trong VLAN Kỹ thuật muốn gửi dữ liệu cho máy trạm 2 trong VLAN Bán hàng, hai máy này nằm trong 2 miền quảng bá khác nhau, thuộc hai mạng khác nhau, do đĩ địa chỉ MAC đích trong gĩi dữ liệu sẽ địa chỉ MAC của default gateway của máy trạm 1. Vì vậy địa chỉ MAC đích của gĩi dữ liệu sẽ là địa MAC của tổng Fa0/0 trên router. Gĩi dữ liệu được chuyển đến router, bằng định tuyến IP, router sẽ chuyên gĩi đúng VLAN Bán hàng.
Nếu máy trạm 1 trong VLAN Kỹ thuật muốn gửi gĩi dữ liệu cho máy trạm 2 trong cùng một VLAN thì địa chỉ MAC đích của gĩi dữ liệu sẽ chính là địa chỉ MAC của máy trạm 2.
Tĩm lại, switch sẽ xử lý chuyển mạch gĩi dữ liệu khi cĩ chia VLAN như sau:
Đối với mỗi VLAN switch cĩ một bảng chuyển mạch riêng tương ứng.
Nếu switch nhận được gĩi dữ liệu từ một port nằm trong VLAN 1 chẳng hạn , thì switch sẽ tìm địa chỉ MAC đích trong bảng chuyển mạch của VLAN mà thơi.
Đồng thời switch sẽ học địa chỉ MAC nguồn trong gĩi dữ liệu và ghi vào bảng chuyển mạch của VLAN 1 nếu địa chỉ này chưa được biết.
Sau đĩ switch quyến định chuyển gĩi dữ liệu.
Switch nhận frame vào từ VLAN nào thì switch chỉ học địa chỉ nguồn của frame và tìm địa chỉ đích cho frame trong một bảng chuyển mạch tương ứng với VLAN đĩ.
2.2.1.3. Hoạt động của VLAN[6],[9]
Mỗi port trên switch cĩ thể gán cho một VLAN khác nhau. Các port nằm trong cùng một VLAN sẽ chia sẻ gĩi quảng bá với nhau. Các port khơng nằm trong cùng VLAN sẽ khơng chia sẻ gĩi quảng bá với nhau. Nhờ đĩ mạng LAN hoạt động hiệu quả hơn.
Hình2.12: VLAN cố định
Thành viên cố định của VLAN được xác định theo port. Khi thiết bị kết nối vào một port của switch, tuỳ theo port thuộc loại VLAN nào thì thiết bị sẽ nằm trong VLAN đĩ.
Mặc định, tất cả các port trên một switch đều nằm trong VLAN quản lý. VLAN quản lý luơn luơn là VLAN 1 và chúng ta khơng thể xố VLAN này được. Sau đĩ chúng ta cĩ thể cấu hình gán port vào các VLAN khác. VLAN cung cấp băng thơng tin nhiều hơn cho user so với mạng chia sẻ. Trong mạng chia sẻ, các user cùng chia sẻ một băng thơng trong mạng đĩ, càng nhiều user trong một mạng chia sẻ thì lượng băng thơng càng thấp hơn và hiệu suất hoạt động càng giảm đi.
Thành viên động của VLAN được cấu hình bằng phần mềm quản lý mạng. Bạn cĩ thể sử dụng CiscoWorks 2000 hoặc CiscoWorks for Switch Internetworks để tạo VLAN động. VLAN động cho phép các định thành viên dựa theo địa chỉ MAC của thiết bị kết nối vào switch chứ khơng cịn xác định theo port nữa. Khi
thiết bị kết nối vào switch, switch sẽ tìm trong cơ sở dữ liệu của nĩ để xác định thiết bị này thuộc loại VLAN nào.
Hình2.13: VLAN động
Cấu hình VLAN bằng các phần mềm VLAN quản lý tập trung.C
Cĩ thể chia VLAN theo địa chỉ MAC, địa chỉ lơgic hoặc theo loại giao thức.
Khơng cần quản lý nhiều ở các tủ nối dây nữa vì thiết bị kết nối vào mạng thuộc VLAN nào là tuỳ theo địa chỉ của thiết bị đĩ đã được gán vào VLAN.
Cĩ khả năng thơng báo cho quản trị mạng khi cĩ một user lạ, khơng cĩ trong cơ sở dữ liệu kết nối vào mạng.
Xác định thành viên VLAN theo port tức là port đã được gán vào VLAN nào thì thiết bị kết nối vào port đĩ thuộc VLAN đĩ, khơng phụ thuộc vào thiết bị kết nối là thiết bị gì, địa chỉ bao nhiêu. Với cách chia VLAN theo port như vậy, tất cả các user kết nối vào cùng một port sẽ nằm trong cùng một VLAN. Một user hay nhiều user cĩ thể kết nối vào một port và sẽ khơng nhận thấy là cĩ sự tồn tại của VLAN. Cách chia VLAN này giúp việc quản lý đơn giản hơn vì khơng cần tìm trong cơ sở dữ liệu phức tạp để xác định thành viên của mỗi VLAN.
Người quản trị mạng cĩ trách nhiệm cấu hình VLAN bằng tay và cố định. Mỗi một port trên switch cũng hoạt động giống như một port trên bridge. Bridge sẽ chặn luồng lưu lượng nếu nĩ khơng cần thiết phải đi ra ngồi segment. Nếu gĩi dữ liệu cần phải chuyển qua bridge và switch khơng biết địa chỉ đích hoặc gĩi nhận được là gĩi quảng bá thì mới chuyển ra tất cả các port nằm trong cùng miền quảng bá với port nhận gĩi dữ liệu vào.
Hình2.14: Chia VLAN theo port
- Ưu điểm của VLAN
Lợi ích của VLAN là cho phép người quản trị mạng tổ chức mạng theo logic chức khơng theo vật lý nữa. Nhờ đĩ những cơng việc sau thực hiện dễ dàng hơn:
Cĩ tính linh động cao: di chuyển máy trạm trong LAN dễ dàng.
Thêm máy trạm vào LAN dễ dàng: Trên một switch nhiều cổng, cĩ thể cĩ thể cấu hình VLAN khác nhau cho từng cổng, do đĩ dễ dàng kết nối thêm các máy tính với các VLAN.
Thay đổi cấu hình LAN dễ dàng.
Kiểm sốt giao thơng mạng dễ dàng.
Gia tăng bảo mật: Các VLAN khác nhau khơng truy cập được vào nhau (trừ khi cĩ khai báo định tuyến).
Tiết kiệm băng thơng của mạng: do VLAN cĩ thể chia nhỏ LAN thành các đoạn (là một vùng quảng bá). Khi một gĩi tin quảng bá, nĩ sẽ được truyền đi chỉ trong một VLAN duy nhất, khơng khơng truyền đi ở các VLAN khác nên giảm lưu lượng quảng bá, tiết kiệm băng thơng đường truyền.
Cĩ thể tạo ra mạng LAN ảo, tạo ra các nhĩm làm việc khơng phụ thuộc vàovị trí của thiết bị, chẳng hạn, những người thuộc cùng nhĩm nghiên cứu khơng cần ngồi cùng một phịng hay cùng một tầng trong tồ nhà mà vẫn là các thành viên trong một mạng LAN ảo.
2.2.1.4. Các loại VLAN[2],[3],[6]
Cĩ 3 loại thành viên VLAN để xác định và kiểm sốt việc xử lý các gĩi dữ liệu:
VLAN dựa trên cổng (port based VLAN): mỗi cổng (Ethernet hoặc
Fast Ethernet) được gắn với một VLAN xác định. Do đĩ mỗi máy tính/ thiết bị host kết nối một cổng của switch đều phụ thuộc vào VLAN đĩ. Đây là cách cấu hình VLAN đơn giản và phổ biến nhất.
VLAN theo địa chỉ MAC ( MAC address based VLAN): mỗi địa
chỉ MAC được gán tới một VLAN nhất định. Cách cấu hình này rất phức tạp và khĩ khăn trong việc quản lý.
VLAN theo giao thức (protocol based VLAN): tương tự với VLAN
dựa trên địa chỉ MAC nhưng sử dụng địa chỉ IP thay cho địa chỉ MAC. Cách cấu hình này khơng thơng dụng.
Hình2.15: Loại thành viên VLAN
Số lượng VLAN phụ thuộc vào các yếu sau: - Dịng giao thơng.
- Loại ứng dụng . - Sự quản lý mạng. - Sự phân nhĩm.
Ngồi một yếu tố quan trọng mà chúng ta cần quan tâm là kích thước của switch và sơ đồ chia địa chỉ IP.
Ví dụ: Một mạng sử dụng địa chỉ mạng cĩ 24 bit subnet mask, như vậy mỗi subnet mask cĩ tổng cộng 254 địa chỉ host. Nên sử dụng nối tương một – một giữa VLAN và IP subnet. Do mỗi VLAN tương ứng với một IP subnet mask, cĩ tối đa 254 thiết bị.
Phần header của frame sẽ đĩng gĩi lại và điều chỉnh để cĩ thêm dịng thơng tin về VLAN ID trước khi frame được truyền lên đường truyền kết nối giữa switch. Cơng việc này gọi là dán nhãn cho frame. Sau đĩ phần hearder của frame. Sau đĩ, phần hearder của frame được trả lại như cũ trức khi truyền xuống thiết bị đích.
Cĩ hai phương pháp chủ yếu dán nhãn là Intr – Switch Link (ISL) và 802.1Q.ISL từng được dùng phổ biến nhưng bây giờ đang thay thế bởi 802Q.1.
2.2.1.5. Cấu hình VLAN[2],[6]
Cấu hình VLAN theo vật lý
VLAN từ đầu cuối - đến - đầu cuối cho phép phân nhĩm nguồn tài nguyên sử dụng, ví dụ như phân nhĩm user theo server sử dụng, nhĩm dự án và theo phịng ban... Mục tiêu của VLAN từ đầu đến cuối - đến - đầu cuối là giữ 80% giao thơng trong nội bộ của VLAN.
Chính vì xu hướng sử dụng và phân bố tài nguyên mạng khác đi nên hiện nay VLAN thường được tạo ra theo giới hạn của địa lý.
Phạm vi địa lý cĩ thể lớn bằng cả một tồ nhà hoặc cũng cĩ thể chỉ nhỏ với một switch. Trong cấu trúc VLAN này. Tỷ lệ lưu lượng sẽ là 20/80, 20% giao thơng trong nội bộ VLAN và 80% giao thơng đi ra ngồi VLAN.
Điểm này cĩ nghĩa là lưu lượng phải đi qua thiết bị lớp 3 mới đến được 80% nguồn tài nguyên. Kiểu thiết kế này cho phép việc truy cập nguồn tài nguyên được thống nhất
Cấu hình VLAN cố định
VLAN cố định là VLAN được cố hình theo port trên switch bằng các phần mềm quản lý hoặc cấu hình trực tiếp trên switch. Các port đã được gán vào VLAN nào thì nĩ sẽ giữ nguyên cấu hình VLAN đĩ cho đến khi thay đổi bằng lệnh. Đây là cấu trúc VLAN theo địa lý, các user phải đi qua thiết bị lớp 3 mới truy cập 80% tài nguyên mạng. Loại VLAN cố định hoạt động tốt trong những mạng cĩ đặc điểm sau:
Sự di chuyển trong mạng được quản lý và kiểm sốt.
Cĩ phần mềm quản lý VLAN mạnh để cấu hình port trên switch.
Khơng dành nhiều tải cho hoạt động duy trì địa chỉ MAC của thiết bị đầu cuối và điều cỉnh bảng địa chỉ.
VLAN động thì khơng phụ thuộc vào cổng trên switch