Giới thiệu VLAN
Nếu một mạng được thiết kế kém với số lượng lớn thiết bị trong cùng một phân đoạn mạng LAN, thiết kế kém sẽ ảnh hưởng đến hiệu suất của mạng do miền phát sóng và lỗi lớn, kiểm soát bảo mật hạn chế, v.v. Một router có thể được sử dụng để giải quyết vấn đề, vì nó chặn các chương trình phát sóng, nhưng router thường chậm hơn, đắt tiền và thường không phù hợp với thiết kế của mạng.
Một giải pháp thường được sử dụng là sử dụng mạng cục bộ ảo (VLAN), mạng này phân đoạn mạng trên cơ sở mỗi cổng và có thể trải dài qua nhiều Switch. Điều này cho phép bạn phân đoạn một cách hợp lý mạng chuyển mạch trên cơ sở tổ chức, theo chức năng, nhóm dự án hoặc ứng dụng hơn là trên cơ sở vật lý hoặc địa lý. Ví dụ: tất cả các máy trạm và máy chủ được sử dụng bởi một nhóm nhóm làm việc cụ thể có thể được kết nối với cùng một VLAN, bất kể kết nối vật lý của chúng với mạng hoặc thực tế là chúng có thể được xen kẽ với các nhóm khác. Việc cấu hình lại mạng có thể được thực hiện thông qua phần mềm thay vì rút phích cắm và di chuyển các thiết bị hoặc dây dẫn.
Để hiểu về VLAN, bạn cần có hiểu biết vững chắc về mạng LAN. Mạng LAN là một nhóm các thiết bị chia sẻ chung một miền broadcast. Khi một thiết bị trong mạng LAN gửi tin nhắn broadcast, switch sẽ chuyển các tin nhắn broadcast (cũng như unicast không xác định) đến tất cả các cổng ngoại trừ cổng đến. Do đó, tất cả các thiết bị khác trong mạng LAN đều nhận được chúng. Bạn có thể nghĩ về mạng LAN và miền phát sóng về cơ bản là giống nhau. Không có VLAN, một bộ chuyển mạch coi tất cả các giao diện của nó nằm trong cùng một miền broadcast. Nói cách khác, tất cả các thiết bị được kết nối đều nằm trong cùng một mạng LAN. Với VLAN, một bộ chuyển mạch có thể đưa một số giao diện vào một miền broadcast và một số vào miền khác. Các miền broadcast riêng lẻ được tạo bởi bộ chuyển mạch được gọi là VLAN. VLAN là một nhóm thiết bị trên một hoặc nhiều mạng LAN được cấu hình để giao tiếp như thể chúng được gắn vào cùng một dây, trong khi thực tế chúng nằm trên một số phân đoạn LAN khác nhau.
VLAN cho phép người quản trị mạng tạo các nhóm thiết bị mạng hợp lý. Các thiết bị này hoạt động giống như chúng nằm trong mạng độc lập của riêng chúng, ngay cả khi chúng chia sẻ cơ sở hạ tầng chung với các VLAN khác. Mỗi VLAN là một miền broadcast Lớp 2 riêng biệt, thường được ánh xạ tới một mạng con Internet Protocol (IP) duy nhất (miền broadcast Lớp 3). Một VLAN có thể tồn tại trên một switch duy nhất hoặc mở rộng nhiều switch. VLAN có thể bao gồm các thiết bị trong một tòa nhà hoặc cơ sở hạ tầng nhiều tòa nhà, như được minh họa trong hình.
Trong mạng lưới kết nối chuyển mạch, VLAN cung cấp tính linh hoạt trong tổ chức và phân đoạn. Bạn có thể thiết kế cấu trúc VLAN cho phép bạn nhóm các thiết bị được phân đoạn một cách hợp lý theo chức năng, nhóm dự án và ứng dụng mà không cần quan tâm đến vị trí thực của người dùng. VLAN cho phép bạn triển khai các chính sách truy cập và bảo mật cho các nhóm người dùng cụ thể. Nếu một cổng chuyển mạch đang hoạt động như một cổng truy cập, nó chỉ có thể được gán cho một VLAN, điều này bổ sung thêm một lớp bảo mật. Nhiều cổng có thể được gán cho mỗi VLAN. Các cổng trong cùng một VLAN chia sẻ các chương trình phát sóng. Các cổng trong các VLAN khác nhau không chia sẻ chương trình phát sóng. Chứa các chương trình phát sóng trong một VLAN cải thiện hiệu suất tổng thể của mạng.
Để mang lưu lượng truy cập cho nhiều VLAN qua nhiều bộ chuyển mạch, bạn cần có đường trung kế (trunk) để kết nối từng cặp thiết bị chuyển mạch. VLAN cũng có thể kết nối qua các mạng WAN. Lưu lượng không thể truyền trực tiếp đến một VLAN khác (giữa các miền broadcast) trong switch hoặc giữa hai switch. Để kết nối hai VLAN khác nhau, bạn phải sử dụng Router hoặc Switch Layer 3. Quá trình chuyển tiếp lưu lượng mạng từ VLAN này sang VLAN khác bằng Router được gọi là định tuyến giữa các VLAN. Các Router thực hiện định tuyến giữa các VLAN bằng cách có một giao diện bộ định tuyến riêng cho từng VLAN hoặc bằng cách sử dụng liên kết trunk để mang lưu lượng truy cập cho tất cả các VLAN. Các thiết bị trên VLAN gửi lưu lượng qua Router để đến các VLAN khác.
Thông thường, số mạng con được chọn để phản ánh chúng được liên kết với VLAN nào. Hình cho thấy VLAN 2 sử dụng mạng con 10.0.2.0/24, VLAN 3 sử dụng 10.0.3.0/24 và VLAN 4 sử dụng 10.0.4.0/24. Trong ví dụ này, octet thứ ba xác định rõ ràng VLAN mà thiết bị thuộc về. Thiết kế VLAN phải xem xét đến việc thực hiện sơ đồ phân cấp, định địa chỉ mạng.
Switch Cisco có cấu hình mặc định ban đầu trong đó các VLAN mặc định khác nhau được định cấu hình trước để hỗ trợ các loại phương tiện và giao thức khác nhau. Ethernet VLAN mặc định là VLAN 1, chứa tất cả các cổng theo mặc định.
Nếu bạn muốn giao tiếp với Switch Cisco cho mục đích quản lý từ một máy khách từ xa nằm trên một VLAN khác, có nghĩa là nó nằm trên một mạng con khác, thì Switch phải có địa chỉ IP và cổng mặc định được định cấu hình. Địa chỉ IP này phải nằm trong VLAN quản lý, theo mặc định là VLAN 1.
