Trong chương 1, chúng ta đã biết có rất nhiều hình thức mà một Hacker có thể dùng để tấn công một hệ thống mạng, trong đó các cuộc tấn công xuất phát từ chính nội bộ mạng LAN tỏ ra nguy hiểm và có thể gây ra những hậu quả vô cùng nghiêm trọng. Khi Hacker đã đột nhập được vào mạng LAN, chúng có thể chặn bắt các gói tin quảng bá, thay đổi thông tin trao đổi giữa các máy tính, cài đặt các phần mềm nghe
lén, … Để giảm thiểu những thiệt hại và thu nhỏ phạm vi ảnh hưởng của các cuộc tấn công từ mạng LAN, chúng ta có thể sử dụng kỹ thuật chia VLAN.
1. Tổng quan về VLAN
VLAN một nhóm các thiết bị mạng không bị giới hạn theo vị trí vật lý hoặc theo LAN Switch mà chúng kết nối vào. Nói cách khác, VLAN là một đoạn mạng (segment) logic được thiết kế dựa trên chức năng, đội nhóm hoặc ứng dụng của một tổ chức chứ không phải phụ thuộc vào vị trí vật lý hay kết nối vật lý trong mạng. Tất cả các máy trạm (Station) và máy chủ (Server) được sử dụng bởi cùng một nhóm làm việc sẽ được đặt trong cùng VLAN bất kể vị trí hay kết nối của chúng.
Mọi công việc cấu hình VLAN hoặc thay đổi cấu hình VLAN đều được thực hiện trên phần mềm mà không cần thay đổi cáp và thiết bị vật lý.
VLAN được nhóm theo chức năng logic và mỗi VLAN là một miền quảng bá, do đó dữ liệu chỉ được chuyển mạch trong cùng một VLAN. Điều này làm tăng khả năng quản lý và mức độ bảo mật của mạng. Switch không thể chuyển mạch giữa các VLAN khác nhau, giao thông giữa các VLAN phải được định tuyến bởi Router.
Mạng LAN truyền thống Mạng LAN ảo (VLAN)
2. Phân loại VLAN
Có 3 loại VLAN phổ biến
VLAN dựa trên cổng (port based VLAN): mỗi cổng (ethernet hoặc fast ethernet) được gắn với một VLAN xác định. Do đó mỗi máy tính / thiết bị (host) kết nối đến một cổng của Switch đều thuộc một VLAN nào đó. Đây là cách cấu hình VLAN đơn giản và phổ biến nhất.
VLAN dựa trên địa chỉ vật lý (MAC address based VLAN): mỗi địa chỉ MAC được gán tới một VLAN nhất định. Cách cấu hình này rất phức tạp và khó khăn trong việc quản lý.
VLAN dựa trên giao thức (protocol based VLAN): tương tự với VLAN dựa trên địa chỉ MAC nhưng sử dụng địa chỉ IP. Cách cấu hình này không được thông dụng.