5.5 I VLAN RIÊNG (PR IV A T E VLA N )
5.5.1 I KHÁI NIỆM
Các kỹ sư có thể thiết kế VLAN với nhiều mục đích. Trong nhiều trường hợp ngày nay, các thiết bị có thể nằm trong cùng một VLAN do cùng chung một vị trí đặt máy. Vấn đề bảo mật là một trong những yếu tố khác trong thiết kế VLAN: các thiết bị khác nhau trong các VLAN khác nhau không nghe thơng tin quảng bá tồn mạng (broadcast). Thêm vào đó, việc chia các máy trạm thuộc các VLAN khác nhau sẽ dẫn đến yêu cầu dùng router hoặc các switch hoạt động đa tầng (multilayer switch) giữa các mạng con và các kiểu thiết bị này thường có thêm nhiều chức năng bảo mật. Trong một vài trường hợp, nhu cầu tăng tính bảo mật bằng cách tách các thiết bị bên trong một VLAN nhỏ sẽ xung đột với mục đích thiết kế sử dụng các địa chỉ IP sẵn có.
Tính năng private VLAN của Cisco giúp giải quyết vấn đề này. Private VLAN cho phép một switch tách biệt các host như thể các host này trên các VLAN khác nhau trong khi vẫn dùng duy nhất một mạng con IP. Một tình huống phổ biến để triển khai private VLAN là trong các trung tâm dữ liệu của các nhà cung cấp dịch vụ - (Service Provider-SP). Nhà cung cấp dịch vụ có thể cài đặt một router và một switch. Sau đó, SP sẽ gắn các thiết bị từ các khách hàng khác nhau vào cùng một switch. Private VLAN cho phép SP dùng một mạng con duy nhất cho cả toà nhà, cho các cổng khác nhau của khách hàng sao cho nó khơng thể giao tiếp trực tiếp trong khi vẫn hỗ trợ tất cả các khách hàng trong một switch duy nhất.
về mặt ý niệm, một private VLAN bao gồm các đặc điểm sau: • Các cổng cần giao tiếp với tất cả các thiết bị khác.
• Các cổng cần giao tiếp với nhau và với các thiết bị khác, thường là router. • Các cổng giao tiếp chỉ với những thiết bị dùng chung.
Mô tả cổng nào có thể nối vói cổng nào
Cổng thuộc primary VLAN Cổng thuộc VLAN cộng đồng Cổng thuộc VLAN A 1 A cô lập
Truyền dữ liệu với cổng trong kiểu primary
VLAN (cổng tổng hợp) Truyền dữ liệu với cổng trong cùng secondary VLAN
Có Có Khơng
Truyền dữ liệu với các cổng trong các secondary VLAN khác
Có Khơng Khơng
-------------------------- --- ?--------7------r ~
Bảng 6: Mơ tả cơng kêt nơi
Để hỗ trợ những nhóm cổng có chức năng như trên, một private VLAN bao gồm primary VLAN và một hoặc nhiều secondary VLAN. Các cổng trong primary VLAN được gọi là cổng tổng họp (promicuous) có nghĩa là nó có thể gửi và nhận dữ liệu với bất kỳ cổng nào khác, kể cả với những cổng được gán vào secondary VLAN. Các thiết bị được truy cập chung, chẳng hạn như router hay server thường được đặt vào trong primary VLAN. Các cổng khác, chẳng hạn như các cổng của khách hàng sẽ gắn vào một trong những secondary VLAN. Secondary VLAN thường có một trong hai dạng là VLAN cộng đồng (community VLAN) và VLAN cô lập (isolated VLAN). Các kỹ sư sẽ chọn lựa kiểu tùy thuộc vào thiết bị có là một phần của tập họp các cổng cho phép gửi frame vào và ra (community VLAN). Cịn kiểu cơ lập (isolated port sẽ khơng thể truyền đến các port khác ngồi VLAN.
Private VLAN phân ra làm hai khái niệm: Primary VLAN và secondary VLAN. Trong đó Primary VLAN cung cấp kết nổi luận lý giữa nó với các secondary VLAN. Một máy trạm trong secondary VLAN có thể giao tiếp với một cổng thuộc primary VLAN nhưng không thể giao tiếp với một máy trạm nằm trong secondary VLAN khác. Các máy trạm trong secondary VLAN sẽ giao tiếp với thế giới bên ngoài (Internet) thơng qua primary VLAN. Ta hình dung primary VLAN có tác dụng chuyên chở các máy trạm nằm trong các secondary VLAN ra ngoài.
Secondary VLAN chia làm hai loại: VLAN cô lập ( isolated VLAN) và VLAN cộng đồng (community VLAN).
• Cơ lập (isolated): bất kỳ cổng nào của switch nào gắn vào VLAN cô lập sẽ chỉ có thể giao tiếp với primary VLAN mà thôi, không thể giao tiếp với các secondary VLAN khác. Thêm vào đó, nếu các máy trạm thuộc cùng trong một VLAN cô lập cũng không thể giao tiếp với nhau mặc dù chúng nằm trong một VLAN. Các máy trạm này chỉ có thể giao tiếp với VLAN chính để đi ra khỏi
mạng con mà thôi. Các máy trạm này độc lập hoàn toàn với mọi thứ, ngoại trừ primary VLAN.
• Cộng đồng (community): các cổng của switch gắn vào VLAN cộng đồng có thể nói chuyện được với nhau và với primary VLAN. Nhưng đối với các VLAN thứ cấp khác thì không được.
Tất cả các secondary VLAN phải được kết hợp với primary VLAN. Private VLAN là một loại VLAN đặt biệt nên nó chỉ có ý nghĩa cục bộ trên một switch mà thôi. Switch nào cấu hình private VLAN thì chỉ có switch đó mới có các VLAN này thơi. Giao thức VTP sẽ không quảng bá thông tin về private VLAN cho các switch khác. Và lúc cẩu hình private VLAN thì chúng ta cũng bị yêu cầu phải cấu hình trên thiết bị VTP ở mode Transparent . Đối với một VLAN thường, chúng ta muốn gắn một cổng nào đó vào VLAN nào thì ta gõ câu lệnh switchport access vlan-id. Nhưng đối với private
VLAN thì được định nghĩa ra hai dạng cổng: tổng hợp (promiscuous) và kiểu host. Cổng tổng hợp là cổng của switch kết nối với router có vai trị chuyển tiếp dừ liệu ra ngoài. Quy luật của private VLAN không áp dụng cho loại cổng này. cổng này có thể giao tiếp với các loại primary VLAN hay secondary VLAN mà không bị giới hạn nào cả. Host là cổng của switch kết nối với VLAN cô lập hay VLAN cộng đồng, cổng loại này chỉ có thể giao tiếp với cổng tổng hợp hoặc cổng khác nằm trong cùng một VLAN cộng đồng. Đối với các máy trạm nằm trong VLAN cô lập thì cũng khơng giao tiếp được với nhau, mà chỉ có thể giao tiếp với cổng tổng họp mà thơi.
Cẩu hình private VLAN chỉ có thể thực hiện trên Catalyst 6500, switch 3550 không thực hiện được chức năng private VLAN, mặc dù trong switch 3550 cũng có câu lệnh private-vlan nhưng các bổ sung khơng hề có, hoặc có nhưng khơng có tác động.
5 . 5 . 2 I TẤN CÔNG CHUYÊN TIẾP VLAN
Giao thức DTP (Dynamic Trunking Protocol) tự động cấu hình trung kế ISL/802.1Q và được sử dụng để trao đổi thơng tin giữa các switch. Nó đồng bộ chế độ của trung kể giữa hai đầu cuối của tuyến và hạn chế sự cần thiết của việc can thiệp các biện pháp quản lý tại switch. Nhân viên quản trị mạng có thể cấu hình trạng thái DTP trên mỗi cổng trung kế. Các trạng thái bao gồm On, Off, Desirable, Auto và Non-Negotiate.
• On: trạng thái này được sử dụng khi switch khác khơng hiểu giao thức DTP. • Off: trạng thái này được sử dụng khi cổng đã được cấu hình từ trước khơng với
mục đích trở thành cổng trung kể.
• Desiarable: trạng thái này được sử dụng khi cổng switch muốn trở thành cổng trung kế.
• Auto: đây là trạng thái mặc định trên nhiều switch.
• Non-negotiate: trạng thái này được sử dụng khi người quản trị mạng muốn loại một trung kế ISL hay dotlQ cụ thể. Đặc điểm chính cần nhớ về giao thức DTP là chế độ mặc định của các cổng trên phần lớn các switch là Auto.
Tấn công xảy ra khi người tấn công đánh lừa switch để switch nghĩ thiết bị của người này kết nối với switch là một switch đang muốn một kết nối trung kế. Kỹ thuật này đòi hỏi một thiết lập có khả năng chuyển đổi thành đường trung kể, kiểu như thiết lập Auto, thì mới có thể tấn cơng thành cơng. Bây giờ, kẻ tấn công đã trở thành thành viên của rất nhiều VLAN được kết nối đến switch và có thể gửi và nhận lưu lượng trên các VLAN này. Cách tốt nhất để ngăn chặn kiểu tấn công chuyển tiếp VLAN (VLAN hopping) cơ bản là tắt kết nối trên tất cả các cổng ngoại trừ cổng cần thiết.
Kiểu tấn cơng chuyển VLAN dùng kỹ thuật đóng gói kép.
Kiểu tấn cơng này lợi dụng cách mà phần cứng trong phần lớn các switch hoạt động. Hiện nay, phần lớn các switch chỉ thực hiện đóng gói IEEE 802.1Q một mức. Điều này cho phép kẻ tấn công, trong những tình huống cụ thể, có khả năng gắn đuôi 802.1Q (gọi là 802.IQ tag) của hắn vào khung Ethernet. Khung này sẽ tạo VLAN với đuôi 802.1Q đầu ra không xác định. Một đặc điểm quan trọng của kiểu tấn công này là có thể tiến hành thậm chí với các cổng trung kế đã được thiết lập ở chế độ Off. Ngăn chặn các cuộc tấn công kiểu này không dễ như việc ngăn chặn các cuộc tấn công chuyển tiếp VLAN cơ bản (VLAN hopping). Biện pháp tốt nhất để đảm bảo các VEAN thuần của các cổng trung kế được phân biệt rạch ròi với các VLAN thuần của các cổng của người dùng.
5.6 I BÀI TẬP CHƯƠNG 5
Bài 1: Cho sơ đồ mạng
VLAN 10
(Stud en t)
VLAN 10
Bảng địa chỉ
Device Interface IP Address Subnet Mask
Default Gateway SI VLAN 1 192.168.1.11 255.255.255.0 N/A S2 VLAN 1 192.168.1.12 255.255.255.0 N/A PC-A NIC 192.168.10.3 255.255.255.0 192.168.10.1 PC-B NIC 192.168.10.4 255.255.255.0 192.168.10.1 PC-C NIC 192.168.20.3 255.255.255.0 192.168.20.1 Yêu cầu:
1. Thiết lập sơ đồ và khởi động các thiết bị. 2. Tạo VLAN và gán port cho VLAN. 3. Cấu hình Trunk giữa hai switch.
Bài 2: Cho sơ đồ mạng
LoO GO/1 802 .1Q VLA N Trunk F0/5 F 0/6 FO/18 VIAN 20 Bảng địa chỉ
Device Interface IP Address Subnet Mask Default Gateway RI G0/1.1 192.168.1.1 255.255.255.0 N/A G0/1.10 192.168.10.1 255.255.255.0 N/A G0/1.20 192.168.20.1 255.255.255.0 N/A LoO 209.165.200.225 255.255.255.224 N/A SI VLAN 1 192.168.1.11 255.255.255.0 192.168.1.1 S2 VLAN 1 192.168.1.12 255.255.255.0 192.168.1.1 PC-A NIC 192.168.10.3 255.255.255.0 192.168.10.1 PC-B NIC 192.168.20.3 255.255.255.0 192.168.20.1 Yêu câu:
1. Thiết lập sơ đồ và khởi động các thiết bị. 2. Tạo VLAN và gán port cho VLAN.
>
3. Cấu hình Trunk giữa hai switch. 4. Cấu hình định tuyến VLAN. Bài 3: Cho sơ đồ mạng:
R I íã.1 2001:db3:acad:a::/64 172.16.100.0/30 ______ l------- .2 “ .1 2001; c&8:acađ :b : :/64 172.16.200.0/30 192.168.1.0/24 192.168.2.0/24 2001:*8:acad:l::/64 2001:db8:acad:2::/64 s R3 V " 192.168.6.0/24 2001:db8:acad:6::/64 ề 1 .2 TFTP Server 2001:cfo8:acad:3::/64 2(K)l:<fc8:acad:4::/64 Phần 1: Thiết lập cơ bản
Tắt cơ chế phân giải tên miền cho các router.
Đặt banner cho 3 router là họ tên của sinh viên.
Đặt enable password là “tdc” cho các router R l, R2, R3. Cẩu hình cho phép telnet khơng password trên router RI, R2.
Cấu hình cho phép SSH vào router R3 (với username: tensv, password: ssh). Phần 2:
Trên switch SW1, tạo Vlan và gán các port cho Vlan
Ports Vlan Network
FO/2 - F0/5 Vlan 10 - Students 192.168.1.0/24 2001:db8:acad:l::/64 F0/6-F0/10 Vlan 20 - Guest 192.168.2.0/24
2001 :db8:acad:2::/64 Trên switch SW2, tạo Vlan và gán các port cho Vlan
Ports Vlan Network
F0/2 - F0/5 Vlan 30 - Teacher 192.168.3.0/24 2001 :db8:acad:3::/64 F0/6-F0/10 Vlan 40 - Manager 192.168.4.0/24
2001:db8:acad:4::/64
Trên router RI và switch SW2 cấu hình định tuyển giữa các Vlan, cung cấp gateway cho các PC. Đảm bảo các Vlan thấy nhau trên IPv4 và IPv6
Phần 3: cấu hình định tuyến tĩnh cho các router R l, R2, R3, switch SW2 trên IPv4 và IPv6. Lưu ý: Đảm bảo mạng hội tụ.
TAI LIẸU THAM KHAO
[1] Nguyễn Thị Điệp, Nguyễn Hồng Sơn - Giáo trình hệ thống mạng máy tính CCNA, Version 4.0 - NXB Lao động -Xã hội - 2009.
[2] . Đội ngũ giảng viên Vnpro - Hướng dẫn học CCNA Routing & Switching, - NXB thông tin và truyền thông- 2016.
[3] Wendell Odom, CCenƯCCNA ICND1 100-105, Cisco Press -2016 Một số website:
- http://netacad.com - http://www.ntps.edu.vn