1.1 Giới thiệu chung về VLAN
Một chức năng lớn của công nghệ chuyển mạch Ethernet đó là VLAN. Công nghệ VLAN được sử dụng để nhóm các workstation và server vào trong một nhóm logic. Các thiết bị trong một VLAN được hạn chế truyền thông cùng với các thiết bị trong VLAN cho nên hoạt động mạng chuyển mạch giống như một số lượng của các LAN riêng lẻ không kết nối. Các doanh nghiệp thường sử dụng VLAN như một cách chắc chắn rằng các nhóm user riêng biệt được nhóm một cách logic. Với mạng LAN thông thường các workgroup và các phòng ban (Marketing, Accounting…) nằm trong một mạng vật lý, nhưng với VLAN thì được nằm trong một mạng logic.
Ví dụ: Trong một toà nhà nhiều tầng của một công ty. Các công ty con thành viên nằm trên một tầng riêng biệt. Các công ty đều có các bộ phận giống nhau như: marketing, accounting…Những người của bộ phận Marketing thì nằm trong VLAN Marketing nhưng họ vẫn làm việc với bộ phận Accounting nằm trong VLAN Acounting.
Các Router trong VLAN đưa ra phương pháp lọc quảng bá (broadcast filtering), chế độ bảo mật và quản lý lưu lượng đường truyền. Một VLAN là một nhóm các thiết bị
mạng và dịch vụ mà không bị giới hạn trong phân đoạn mạng vật lý hoặc switch. Mỗi một phân đoạn mạng logic của VLAN được tổ chức theo nhóm chức năng.
Miền quảng bá (broadcast domain) với các VLAN và Router: một VLAN là một miền quảng bá được tạo bởi 1 hay nhiều switch.
1.2 Lợi ích của VLAN
Các công ty tiếp tục được kiện toàn lại bộ máy làm việc. Trung bình hàng năm có từ 20% đến 40% lực lượng lao động chuyển công tác (thôi việc, chuyển công ty khác…). Di chuyển, thêm và thay đổi là những thứ làm đau đầu nhà quản lý và là một trong những nguyên nhân làm tăng chi phí quản lý mạng.
1.2.1 Thay đổi sự quản lý
VLAN cung cấp một hiệu quả kỹ thuật cho việc điều khiển các thay đổi và giảm bớt chi phí đó là kết hợp việc cấu hình lại các HUB và Router. Các user trong một VLAN có thể chi sẻ trong cùng một không gian địa chỉ (đó là địa chỉ IP Subnet) mà không quan tâm đến vị trí. Khi các user trong một VLAN di chuyển từ nơi này đến nơi khác, miễn là các user đó vẫn nằm trong VLAN và được kết nối tới switch port và địa chỉ mạng không được thay đổi. Thay đổi vị trí có thể đơn giản như cắm một máy tính vào cổng trên VLAN switch và cấu hình lai cổng trên switch vào VLAN.
1.2.2 Vấn đề bảo mật
VLAN có một hiệu quả kỹ thuật cho việc mở rộng tường lửa từ các Router tới kết cấu switch và bảo vệ mạng một lần nữa khỏi các mối nguy hiểm. Firewall được tạo ra bằng cách bằng cách gán các cổng switch hoặc các user vào các nhóm VLAN cụ thể. Trong một switch, lưu lượng broadcast trong phạm vi một VLAN không truyền ra ngoài VLAN. Những cổng liền kề không thuộc một VLAN thì không nhận lưu lượng broadcast mà các VLAN khác quảng bá. Kiểu cấu hình này thực chất giảm bớt lưu lượng broadcast, dành băng thông cho lưu lượng người dùng thực sự và ít rủi do cho mạng truớc kiểu tấn công broadcast stom.
Một vấn đề chia sẻ LAN thông thường là chúng tương đối dễ bị xâm nhập. Bằng cách cắm dây mạng vạo một cổng, một user có thể truy cập vào bên trong của phân đoạn mạng. Trong nhóm làm việc lớn thì nguy có bị truy nhập trái phép cũng cao hơn.
Hiệu quả chi phí và kỹ thuật quản trị dễ dàng, khả năng bảo mật cao là phân đoạn mạng và đưa các user vào trong nhóm các broadcast. Điều này cho phép quản lý mạng theo các cách sau đây:
· Hạn chế số lượng user trong một nhóm VLAN.
· Ngăn ngừa các user truy nhập trái phép mà không đựoc sự đồng ý của chương trình quản lý VLAN.
· Cấu hình tất cả các cổng không được sử dụng vào một dịch vụ VLAN cấp thấp mặc định.
Kiểu thực thi của việc phân đoạn là tương đối dễ. Các cổng của switch được nhóm vào với nhau theo một kiểu ứng dụng và đặc quyền truy cập.
Các ứng dụng hạn chế và các tài nguyên được đặt trong một VLAN bảo mật. Trong VLAN bảo mật, switch hạn chế truy cập vào nhóm. Việc hạn chế có thể là dựa trên khu vực địa chỉ, kiểu ứng dụng, hoặc kiểu giao thức.