Đã đến lúc bạn cần biết lý do vì sao mô hình thiết kế mạng phân cấp (Hierarchical LAN Design) là tiêu chuẩn trong thiết kế mạng doanh nghiệp, từ quy mô nhỏ đến quy mô lớn hàng ngàn thiết bị. Bài viết này sẽ giúp bạn - dù là người mới học CCNA hay đã bước vào CCNP - hiểu rõ cách tổ chức, mở rộng và bảo vệ mạng Campus LAN một cách bài bản.
Campus LAN là gì?
Campus LAN (Local Area Network) là hạ tầng mạng dây nội bộ của một tòa nhà hoặc nhóm tòa nhà gần nhau, nơi mà các thiết bị đầu cuối như máy tính, điện thoại IP, máy in, camera… cần kết nối với nhau và truy cập vào tài nguyên chung.
Ví dụ:
Một tòa nhà văn phòng có 4 tầng, mỗi tầng có 40 máy tính, 4 máy in và 1 access point → Mạng LAN tầng.
Các tòa nhà trong một khuôn viên đại học → Liên kết thành Campus Network.
Campus LAN thường là nơi kết nối:
Nội bộ (LAN Access) giữa người dùng, thiết bị.
Lên mạng diện rộng (WAN) hoặc kết nối ra Internet qua các thiết bị ở lớp Core hoặc Internet Edge.
Hạn chế của mạng LAN phẳng
Một mạng LAN “phẳng” là kiểu kết nối đơn giản, trong đó tất cả thiết bị được nối vào các switch lớp 2, không có phân vùng mạng, không có subnet.
Vấn đề xảy ra khi:
Broadcast Storm: Một gói broadcast sẽ được gửi đến toàn bộ thiết bị → Dùng CPU để xử lý.
Không mở rộng được: Chỉ vài chục thiết bị thì ổn. Nhưng vài trăm → Gây nghẽn, khó quản lý.
Không có kiểm soát truy cập (Access Control): Ai cũng có thể “nói chuyện” với bất kỳ ai.
Khó xử lý sự cố: Khi mạng lỗi, khó cô lập vị trí sự cố.
Kết luận: LAN phẳng phù hợp cho môi trường rất nhỏ, nhưng không thể áp dụng khi cần mở rộng và kiểm soát chặt chẽ.
Cisco đề xuất mô hình 3 lớp trong thiết kế mạng doanh nghiệp: Access – Distribution – Core. Mỗi lớp đảm nhận một vai trò riêng, giúp mạng có tính mô-đun, dễ mở rộng, dễ bảo trì, dễ xử lý sự cố.
Vai trò:
Là nơi thiết bị người dùng kết nối vào mạng.
Thiết bị:
Switch lớp 2 hoặc switch lớp 3, hỗ trợ PoE, VLAN, Access Control, port security.
Chức năng chính:
Kết nối máy tính, điện thoại IP, camera, printer…
Thực thi các chính sách truy cập (802.1X, ACL, VLAN segmentation).
Triển khai kỹ thuật như PortFast, BPDU Guard, DHCP Snooping…
Ví dụ thực tế:
Switch tầng 2 văn phòng nối các máy tính và điện thoại IP → Switch Access Layer.
Vai trò:
Kết nối các switch tầng (Access layer) và thực thi chính sách định tuyến, bảo mật, QoS.
Thiết bị:
Switch lớp 3 (Layer 3 Switch), thường là Catalyst 9300/9400 series trở lên.
Chức năng chính:
Định tuyến giữa các VLAN (Inter-VLAN Routing).
Áp dụng các chính sách như ACL, route filtering, routing redistribution.
Kết nối WAN, Firewall, hoặc Data Center.
Ví dụ thực tế:
2 tầng của tòa nhà được gom về 1 switch phân phối, thiết lập định tuyến OSPF hoặc EIGRP.
Vai trò:
Backbone tốc độ cao kết nối toàn bộ mạng nội bộ và đảm bảo hiệu suất, độ sẵn sàng cao.
Thiết bị:
Switch hiệu năng cao (thường là Layer 3), ví dụ: Catalyst 9500, Nexus 7000 series.
Chức năng chính:
Chuyển mạch dữ liệu tốc độ cao giữa các Distribution switch.
Giảm thiểu xử lý phức tạp để đảm bảo latency thấp, throughput cao.
Đảm bảo tính sẵn sàng cao với các công nghệ như StackWise Virtual, VSS, HSRP, ECMP.
Ví dụ thực tế:
Switch lõi kết nối các switch Distribution ở các toà nhà qua đường uplink 10G/40G.
Hiệu suất cao: Giảm broadcast domain, tối ưu chuyển tiếp gói tin.
Dễ mở rộng: Thêm thiết bị, tòa nhà, site… mà không làm thay đổi toàn mạng.
Dễ bảo trì và xử lý sự cố: Tách biệt rõ các chức năng theo tầng.
Bảo mật tốt hơn: Kiểm soát truy cập theo tầng, theo VLAN.
Tối ưu chi phí: Không cần dùng switch Layer 3 ở tất cả mọi nơi.
Trong môi trường doanh nghiệp, bạn luôn cần sẵn sàng:
Thêm nhân viên → thêm switch tầng → nối vào Distribution.
Mở thêm tòa nhà → chỉ cần nối vào Core.
Tăng gấp đôi người dùng → không cần thay đổi thiết kế mạng tổng thể.
Khi áp dụng đúng mô hình Access – Distribution – Core, bạn có thể tăng quy mô mạng gấp đôi mà chỉ cần thêm thiết bị tại nơi cần thiết, không ảnh hưởng đến các phần còn lại của mạng.
Một mạng Campus LAN tốt không chỉ là kết nối cho hiện tại, mà còn phải sẵn sàng cho tương lai.
Thiết kế phân cấp không chỉ là lý thuyết – nó là thực tiễn đã được chứng minh trong hàng ngàn doanh nghiệp trên thế giới, từ mạng nhỏ vài chục người đến tập đoàn đa quốc gia.
Hãy kiểm tra lại mạng của bạn ngay hôm nay:
Đã có phân lớp rõ ràng chưa?
Có VLAN tách biệt, định tuyến lớp 3 không?
Có kiểm soát truy cập người dùng và thiết bị đầu cuối không?
Nếu bạn đang học CCNA/CCNP, đây chính là nền tảng bạn phải hiểu rõ – không chỉ để thi, mà để xây được một mạng thực sự hoạt động tốt.
