Trong hình 77, ta thấy 3 VLAN tức là 3 miền quảng bá khác nhau được tạo ra trên một Switch. Router sử dụng định tuyến lớp 3 để chuyển giao thông giữa 3 VLAN. Switch trong hình này sẽ truyền frame lên cổng giao tiếp của Router khi:
• Gói dữ liệu là gói quảng bá.
• Gói dữ liệu có địa chỉ MAC đích là một trong các địa chỉ MAC của Router. Neu máy trạm 1 trong Engineering VLAN muốn gửi dữ liệu cho máy trạm 2 trong Marketing VLAN, vì hai máy này nằm trong 2 miền quảng bá khác nhau, thuộc hai mạng khác nhau, nên địa chỉ MAC đích trong gói dữ liệu sẽ là địa chỉ MAC của default gateway của máy trạm 1. Vì vậy địa chỉ MAC đích của gói dữ liệu sẽ là địa chỉ MAC của tổng Fa0/0 trên Router. Gói dữ liệu được chuyển đến Router bằng định tuyến IP, Router sẽ chuyển gói đúng đển Marketing VLAN.
Engineering VLAN FaO/O I: FaO/1 28X 1 R o u t e r l FaO/2 2S S t 1 1 :h0 S C -2 4 . . _ 1 P q - P T PC -P T P T rt-A _ 1 y 1 f pq-PT P C -P T p:6 :i —.. snWm P Ç - P T 'pdpFT p 27 P C - P T T □ cu □ j e s PC- P d 8 >.y P T Marketing VLAN Sales VIAN
i/z'77/7 77: Miền quảng bả sau khi cỏ VLAN
Nếu máy trạm 1 trong Engineering VLAN muốn gửi gói dữ liệu cho máy trạm 2 trong cùng VLAN này thì địa chỉ MAC đích của gói dữ liệu sẽ chính là địa chỉ MAC của máy trạm 2.
Tóm lại, Switch sẽ xử lý chuyển mạch gói dữ liệu khi có chia VLAN như sau: • Đối với mỗi VLAN, Switch có một bảng chuyển mạch riêng tưong ứng.
• Nếu Switch nhận được gói dữ liệu từ một port nằm trong một VLAN nào đó, thì Switch sẽ tìm địa chỉ MAC đích trong bảng chuyển mạch của VLAN đó mà thơi.
• Đồng thời Switch sẽ học địa chỉ MAC nguồn trong gói dữ liệu và ghi vào bảng chuyển mạch của VLAN đó nếu địa chỉ này chưa được biết.
• Sau đó Switch quyết định chuyển gói dữ liệu.
• Switch nhận frame vào từ VLAN nào thì Switch chỉ học địa chỉ nguồn của frame và tìm địa chỉ đích cho frame trong một bảng chuyển mạch tương ứng với VLAN đó.
Mỗi port trên switch có thể gán cho một VLAN khác nhau. Các port nằm trong cùng VLAN sẽ chia sẻ gói quảng bá với nhau. Các port không nằm trong cùng VLAN sẽ khơng chia sẻ gói quảng bá với nhau. Nhờ đó mạng LAN hoạt động hiệu quả hon. Thành viên cố định của VLAN được xác đinh theo port. Khi thiết bị kết nối vào một port của switch, tùy theo port đó thuộc VLAN nào thì thiết bị sẽ nằm trong VLAN đó. Mặc định, tất cả các port trên một switch đều nằm trong VLAN quản lý. VLAN quản lý là VLAN 1 và chúng khơng thể xóa VLAN này được. Sau đó chúng ta có thể cấu hình gán port vào các VLAN khác. VLAN cung cấp băng thông nhiều hơn cho user so với mạng chia sẻ. Trong mạng chia sẻ, các user cùng chia sẻ một băng thông trong mạng đó, càng nhiều user trong một mạng user thì lượng băng thơng càng thấp hơn và hiệu suất hoạt động càng giảm đi.
Thành viên động của VLAN được cấu hình bằng phần mềm quản lý mạng. Bạn có thể sử dụng CiscoWorks để tạo VLAN động. VLAN động cho phép xác định thành viên dựa theo địa chỉ MAC của thiết bị kết nối vào switch chứ khơng cịn xác định theo port mà nó kết nối nữa. Khi thiết bị kết nối vào switch, switch sẽ tìm cơ sở dữ liệu của nó để xác định thiết bị này thuộc VLAN nào.
Xác định thành viên VLAN theo port tức là port đã được gán vào VLAN nào thì thiết bị kết nối vào port đó sẽ thuộc VLAN đó, khơng phụ thuộc vào thiết bị kết nối là thiết bị gì, địa chỉ bao nhiêu. Với cách chia VLAN theo port như vậy, tất cả các user kết nối vào cùng một port sẽ nằm trong cùng một VLAN. Một user hay nhiều user có thể kết nối vào một port và sẽ khơng nhận thấy là có sự tồn tại của VLAN. Cách chia VLAN này giúp việc quản lý đơn giản hơn vì khơng cần tìm trong cơ sở dữ liệu phức tạp để xác định thành viên của mỗi VLAN.
Người quản trị có trách nhiệm cấu hình VLAN bằng tay và cổ định.
Mỗi port trên switch hoạt động giống như một port trên bridge. Bridge sẽ chặn luồng lưu lượng nếu nó khơng cần thiết phải đi ra ngồi segment. Nếu gói dữ liệu cần phải chuyển qua bridge, bridge sẽ chuyển gói dữ liệu ra đúng port càn thiết và không chuyển ra các port còn lại. Chỉ trong trường họp bridge và switch khơng biết địa chỉ đích hoặc gói nhận được là gói quảng bá thì nó mới chuyển ra tất cả các port nằm trong cùng miền quảng bá với port nhận gói dữ liệu vào.
5.1.4 I LỢI ÍCH CỦA VLAN
Lợi ích chính của VLAN là cho phép người quản trị mạng tổ chức mạng theo logic chứ khơng theo vật lý nữa. Nhờ đó những cơng việc sau có thể thực hiện dễ dàng hơn:
• Thêm máy trạm vào LAN dễ dàng. • Thay đổi cấu hình VLAN dễ dàng. • Kiểm sốt giao thơng mạng dễ dàng. • Gia tăng khả năng bảo mật.
5.1.5 I CÁC LOẠI VLAN 1. VLAN 1
Đây là kiểu mạng mặc định của tất cả các thiết bị chuyển mạch hỗ trợ VLAN và nó hoạt động ở Lóp 2 (Data Link layer) trong mơ hình OSI của hệ thống, vì vậy nếu hệ thống mạng máy tính của bạn được trang bị một thiết bị chuyển mạch có hỗ trợ chức năng này mà bạn chưa thiết lập các thông số kỹ thuật thì mặc định nó vẫn có thể chuyển tiếp các gói dữ liệu giữa các máy tính và thiết bị kết nối vào nó một cách bình thường như các thiết bị chuyển mạch khác, vì lúc này tất cả các cổng mạng trên thiết bị chuyển mạch mặc định đều nằm trong cùng một miền quảng bá và với sự quản lý của VLAN 1. Trong VLAN 1 có rất nhiều giao thức ở lóp 2 hoạt động giao tiếp với nhau như: CDP, PagP, VTP; nên đây chính là lý do tại sao VLAN 1 được chọn làm kiểu mạng mặc định và rất dễ thấy trên các thiết bị mạng có hỗ trợ tính năng chia mạng ảo của Cisco System.
2. Default VLAN
Là kiểu VLAN mặc định ban đầu với tất cả các cổng giao tiếp trên thiết bị chuyển mạch, vì vậy Default VLAN cũng có thể hiểu là VLAN 1, và các VLAN khác như User VLAN, Native VLAN, Management VLAN đều là các thành phần con của Default VLAN.
3. Data VLAN (hay User VLAN)
Là VLAN trong đó chứa các tài khoản người dùng thành từng nhóm dựa theo các thuộc tính về đặc thù cơng việc của từng nhóm làm việc hay theo thuộc tính về vị trí vật lý của các nhóm làm việc này.
Dst MAC Src MAC Type/Length Data FCS
Dst MAC Src MAC Tag Type/Length Data FCS
Type (0x8100) Pri CFI VID
i II _| 1 1 1 2 Bytes 3 Bits1 1 1 Bít 1 12 Bits
Hình 78: Fields an Ethernet 802. IQ Frame
Là VLAN dùng để cấu hình Trunking do một sổ thiết bị khơng tưong thích với nhau, lúc này ta phải sử dụng Native VLAN để chúng có thể giao tiếp với nhau. Khi đó, tất cả các khung dữ liệu (frame) của các VLAN khi giao tiếp qua kết nối Trunking đều sẽ được gắn tag của giao thức 802.1Q hoặc ISL, ngoại trừ các frame của VLAN 1.
Native VLAN là VLAN mà frame của nó sẽ khơng được tag trước khi gửi qua đường trunk. Ngầm định Native VLAN của Switch là VLAN 1.
5. Management VLAN
Để có thể giám sát từ xa các thiết bị chuyển mạch trong hệ thống mạng của mình, bạn cần phải có một VLAN đặc biệt dùng để thực hiện việc này, đó chính là Management VLAN. Bằng cách gán một địa chỉ IP dùng để telnet từ xa vào hệ thống mạng thông qua địa chỉ IP này, và có thể cấm các người dùng khác truy cập vào thiết bị. Vì đây là một VLAN khá nhạy cảm được cấp một số quyền quản trị nên nó cần phải được tách riêng ra khỏi các VLAN khác để đảm bảo yếu tố an tồn bảo mật.
Khi mạng có vấn đề như: hội tụ với STP, broadcast storms thì một Management VLAN cho phép nhà quản trị vẫn có thể truy cập được vào thiết bị và giải quyết vấn đề đó.
Switch# show vlan b ria f
VLAN Nase Status Ports
1 d e f a u l t a c t i v e F a O / 1 , F a O / 2 , F a O / 3 , F a O / 4 F a O / 5 , F a O / 6 , F a O / 7 , F a O / 8 F a O / 9 , F a Q / 1 0 , F a O / l l , F a O / 1 2 F a O / 1 3 , F a O / 1 4 , F a O / 1 5 , F a O / 1 6 F a 0 / 1 7 , F a O / 1 8 , F a O / 1 9 , F a 0 / 2 0 F a O / 2 1 , F a O / 2 2 , F a O / 2 3 , F a O / 2 4 G i O / 1 , G i O / 2 1002 fddi-default act/unsup
11003 token-ring-default act/unsup1004 fddinet-default act/unsup 1005 trnet-default act/unsup
Hình 79: VLANỈ
6. Voice VLAN
Voice VLAN là VLAN dành cho lưu lượng thoại. Nó cho phép các cổng Switch mang lưu lượng thoại IP từ một điện thoại IP. Người quản trị mạng cấu hình một Voice VLAN và gán nó để truy cập các cổng. Khi một điện thoại IP được kết nối với các
cổng Switch, Switch sẽ gửi gói tin CDP đó hướng dẫn các điện thoại IP đính kèm để gửi lưu lượng thoại được gán nhãn VLAN ID.
5 .1 .6 I CẤU HÌNH VLAN
Có 3 cách cấu hình VLAN trên Switch:
• VLAN dựa trên cổng (port-based VLAN): mỗi cổng (Ethernet hoặc Fast
Ethernet) được gắn với một VLAN xác định (mặc định là VLAN 1), do đó mỗi máy tính hoặc thiết bị host kết nổi vào một cổng của Switch đều phụ thuộc VLAN nào đó. Đây là cách cấu hình VLAN đơn giản và phổ biến nhất. Đây là loại VLAN tĩnh, vì khi người dùng chuyển sang cổng khác của Switch thì người quản trị phải cấu hình lại bằng tay.
• VLAN theo địa chỉ MAC (MAC address based VLAN): mỗi địa chỉ MAC
được gán tới một VLAN nhất định. Cách cấu hình này rất phức tạp và khó khăn trong việc quản lý. Đây là loại VLAN động, vì khi người dùng thay đổi vị trí thì Switch tự động nhận ra và ghi lại.
• VLAN theo giao thức (Protocol based VLAN): tương tự với VLAN dựa trên
địa chỉ MAC nhưng sử dụng một địa chỉ logic hay địa chỉ IP thay cho địa chỉ MAC. Cách cấu hình này khơng thơng dụng vì sử dụng giao thức DHCP. Đây cũng là loại VLAN động.
Trong giáo trình này chúng ta chỉ cấu hình VLAN dựa trên cổng (port-based VLAN).
1. Tạo VLAN và đặt tên cho VLAN
Switch(confíg)#vIan vlan-id
Switch(confíg-vlan)#name vlan-name
Switch(config-vlan)#end
Dãy giá trị vlan-id chạy từ 0 đến 4095, bao gồm:
• 1 đến 1001 : dãy VLAN thơng thường, là dãy VLAN thường được sử dụng. • 1002 đến 1005: dãy VLAN được dùng để giao tiếp với các kiểu mạng LAN
khác (Token Ring, FDDI).
• 1006 đến 4094: dãy VLAN mở rộng, dãy này chỉ có thể sử dụng khi switch hoạt động ở mode Transparent.
• Mặc định, các VLAN 1, 1002 đến 1005 luôn tồn tại trên switch, khơng thể xóa, sửa các VLAN này.
Đặt tên cho VLAN phục vụ cho mục đích quản lý. Ví dụ: s i# configure terminal s l í c o n í i g ) ệ vlan 20 | s l ( c o n f i g - v l a n )4 name stud en t s i ( c o n f i g - v l a n )4 end Student PC 172.17.20.22 Hình 81: Ví dụ cấu hình VLAN
2. Gán port cho VLAN
Sau khi tạo xong VLAN cần gán port trên switch vào các VLAN đã tạo. Câu lệnh: Switch(confíg)#interface interface id
Switch(confíg-ií)#switchport mode access
Switch(confíg-if)#swỉtchport access vlan v la n jd Switch(confïg-if)#end
Mặc định, tất cả các cổng của switch đều thuộc về VLAN 1
Cấu hình VLAN sau khi thực hiện lưu trên một file có tên là vlan.dat trên bộ nhớ
flash. Để quan sát cấu hình VLAN đã thực hiện, cần phải hiển thị nội dung file nà bằng lệnh “show vlan”.
Switch#show vlan
r > Câu hình tạo các VLAN trên một switch có 24 port Fast Ethernet theo yêu câu sau:
VLAN-ID Tên VLAN Cổng thuộc VLAN
1 Default F0/1-F0/8
2 kinhdoanh F0/9-F0/16
3 ketoan F0/17-F0/24
Cấu hình VLAN và đặt tên: Switch(confíg)#vlan 2 Switch(confíg-vlan)#name kinhdoanh Switch(confĩg-vlan)#exit Switch(confíg)#vlan 3 Switch(confíg-vlan)#name ketoan Switch(confíg-vlan)#exit Gán cổng vào các VLAN Switch(confìg)#interface range Í0/9-16
Switch(config-if-range)# switchport access vlan 2 Switch(config-if-range)#exit
Switch(config)#interface range ÍD/17-24
Switch(config-if-range)# switchport access vlan 3 Switch(config-if-range)#exit
Câu lệnh “interface range...” được sử dụng thay vì câu lệnh “interface” để cấu hình cho một nhóm cổng. Khi thực hiện câu lệnh “confíg-if-range”, mọi cổng trong range sẽ bị ảnh hưởng bởi lệnh này. Ta sử dụng phương pháp này để gán nhiều cổng vào một VLAN để không phải thực hiện với từng cổng một.
Kiểm tra kết quả thực hiện: Switch#show vlan
3. Xóa một VLAN
Switch(confïg)#no vlan 20
s witch(confíg)#en d Kiểm tra kết quả thực hiện:
Switch# show vlan brief
Để xóa file vlan.dat ta sử dụng lệnh delete flash:vlan.dat 5.2 I TRU NK ING
5.2.1 I GIỚI THIỆU
Sơ đồ đấu nối giữa các VLAN trên hai switch:
Switch 1 Switch 2
Hĩnh 82: Đấu nổi giữa các VLAN của hai Switch
Để các host thuộc cùng VLAN trên hai switch có thể đi đến nhau thì giữa các VLAN phải có đường nối. Ví dụ: để hai host thuộc VLAN 1 của switch 1 và switch 2 đi đến được với nhau, hai VLAN 1 này cần phải được đấu nối với nhau, để hai host thuộc VLAN 2 của hai switch đi được nhau, hai VLAN 2 của hai switch này cần phải được đấu nối với nhau,... Như vậy, với sơ đồ ở hình 82 có 3 VLAN trên mỗi switch, cần phải sử dụng 3 đường link để đấu nối giữa các VLAN này với nhau. Trong trường hợp số lượng VLAN tăng lên nhiều hơn, số lượng dưng nối để đấu nối giữa các VLAN cũng sẽ tăng lên tương ứng.
Việc sử dụng quá nhiều đường nối các VLAN trên hai switch như trên là không hợp lý. Một giải pháp được đưa ra để chỉ cần sử dụng một đường đấu nối giữa switch mà vẫn đẳm bảo thông suốt giữa các VLAN trên hai switch này. Đường đấu nối này sẽ bảo đảm lưu lượng của các VLAN đều đi qua nó để đến được VLAN tương ứng ở switch đầu kia. Đường nối như vậy được gọi là đường trunk.
Switch 1 Switch 2
Hĩnh 83: Đường Trunk kết nổi các VLAN trên hai switch
Trên sơ đồ hình 83, một đường duy nhất đã được sử dụng để thay thể cho 3 đường nổi các VLAN ở hình 82.
Hai cổng trên hai switch ở hai đầu đường trunk được gọi là các cổng trunk, ngược lại, những cổng thuộc về một VLAN nào đó, được sử dụng để kết nổi các end-user được gọi là các cổng access.
Vấn đề chính của kỹ thuật trunking là việc đánh dấu để phân biệt giữa các frame của VLAN khác nhau khi chúng cùng đi trên đường trunk. Có hai kỹ thuật chèn thêm thông tin vào Ethernet Frame khi nó đi vào đường trunk để cho biết frame đến từ VLAN nào, đó là: IEEE 802.1Q (thường được gọi tắt là Dotlq) và ISL (Interswitch Link). Kỹ thuật Dotlq là chuẩn quốc tể của IEEE, kỹ thuật ISL là chuẩn trunking riêng của Cisco, chỉ chạy trên các thiết bị của Cisco.
5.2.2 I KỸ THUẬT TRUNKING DOT1Q
Kỹ thuật trunking Dotlq thực hiện chèn thêm 4 byte thông tin trunking vào ngay sau trường source MAC của Ethernet Frame khi nó đi vào đường trunk, thông tin chèn vào được gọi là DotlQ Tag.
DotlQ Tag bao gồm một số trường như sau:
• Tag Protocol Identifier (TFI), dài 16 bits: nội dung của trường này ln được thiết lập là 0x8100.
• Class of Service (CoS), dài 3 bits: đây là 3 bit được sử dụng cho kỹ thuật QoS trên switch, việc sử dụng các bit này được tuân theo chuẩn classification IEEE 802. lp.
Canonical Format Indicator (CFI), dài 1 bit: là một chỉ báo cho biết các địa chỉ MAC được sử dụng ở định dạng Ethernet hay Token Ring. Bit này dùng trong