Thực đơn
trang chủChương trình

Vlan là gì? Thiết lập Vlan (Mạng cục bộ ảo) trên thiết bị mạng Mikrotik. Tách mạng cục bộ bằng VLAN

Thật không may, nhiều doanh nghiệp và tổ chức hiện đại trên thực tế không sử dụng cơ hội hữu ích và thường đơn giản là cần thiết như vậy được cung cấp bởi hầu hết các thiết bị chuyển mạch mạng cục bộ (LAN) hiện đại khi tổ chức mạng LAN ảo (VLAN) trong cơ sở hạ tầng mạng. Thật khó để nói điều gì đã gây ra điều này. Có lẽ thiếu thông tin về những lợi ích mà công nghệ VLAN mang lại, độ phức tạp rõ ràng của nó hoặc sự miễn cưỡng sử dụng một công cụ “thô sơ” không đảm bảo khả năng tương tác giữa các thiết bị mạng từ các nhà sản xuất khác nhau (mặc dù công nghệ Vlan đã được tiêu chuẩn hóa trong một năm). hiện nay và tất cả các nhà sản xuất thiết bị mạng hoạt động hàng đầu đều hỗ trợ tiêu chuẩn này). Vì vậy, bài viết này được dành riêng cho công nghệ VLAN. Nó sẽ thảo luận về lợi ích của việc sử dụng Vlan, các phương pháp tổ chức Vlan phổ biến nhất và tương tác giữa chúng, cũng như các tính năng xây dựng Vlan khi sử dụng thiết bị chuyển mạch từ một số nhà sản xuất nổi tiếng.

Tại sao điều này là cần thiết

Vlan là gì? Đây là một nhóm máy tính được kết nối với mạng, hợp nhất một cách hợp lý thành một miền để gửi tin nhắn quảng bá theo một tiêu chí nào đó. Ví dụ: các nhóm máy tính có thể được phân bổ phù hợp với cơ cấu tổ chức của doanh nghiệp (theo phòng ban và
các bộ phận) hoặc dựa trên công việc trong một dự án hoặc nhiệm vụ chung.

Có ba lợi ích chính khi sử dụng VLAN. Đây là cách sử dụng băng thông hiệu quả hơn đáng kể so với mạng LAN truyền thống, mức độ bảo vệ thông tin được truyền đi được nâng cao khỏi sự truy cập trái phép và đơn giản hóa việc quản trị mạng.

Bởi vì các Vlan phân chia toàn bộ mạng thành các miền quảng bá một cách hợp lý, các thành viên của Vlan chỉ truyền thông tin đến các thành viên khác trong cùng một Vlan chứ không phải tới tất cả các máy tính trên mạng vật lý. Do đó, lưu lượng phát sóng (thường được tạo bởi các máy chủ thông báo sự hiện diện và khả năng của chúng tới các thiết bị khác trên mạng) bị giới hạn trong một miền được xác định trước thay vì phát đến tất cả các trạm trên mạng. Điều này đạt được sự phân bổ băng thông mạng tối ưu giữa các nhóm máy tính hợp lý: máy trạm và máy chủ từ các Vlan khác nhau “không nhìn thấy” nhau và không can thiệp lẫn nhau.

Vì giao tiếp chỉ được thực hiện trong một Vlan cụ thể nên các máy tính từ các mạng ảo khác nhau không thể nhận được lưu lượng truy cập được tạo trong các Vlan khác. Việc sử dụng các bộ phân tích giao thức và các công cụ giám sát mạng để thu thập lưu lượng truy cập trên các VLAN khác với VLAN mà người dùng muốn thực hiện sẽ đặt ra những thách thức đáng kể. Đó là lý do tại sao, trong môi trường VLAN, thông tin được truyền qua mạng được bảo vệ tốt hơn nhiều khỏi những truy cập trái phép.

Một lợi ích khác của việc sử dụng VLAN là nó đơn giản hóa việc quản trị mạng. Điều này đặc biệt đúng đối với các tác vụ như thêm các phần tử mới vào mạng, di chuyển và xóa chúng. Ví dụ: nếu người dùng Vlan di chuyển sang phòng khác, ngay cả khi ở tầng khác hoặc trong tòa nhà khác của doanh nghiệp, quản trị viên mạng không cần kết nối lại cáp. Anh ta chỉ cần cấu hình thiết bị mạng phù hợp từ nơi làm việc của mình. Ngoài ra, một số triển khai Vlan có thể tự động kiểm soát chuyển động của các thành viên Vlan mà không cần sự can thiệp của quản trị viên. Quản trị viên mạng cũng có thể thực hiện các thao tác để tạo các nhóm người dùng hợp lý mới và thêm thành viên mới vào các nhóm qua mạng mà không cần rời khỏi nơi làm việc của mình. Tất cả điều này giúp tiết kiệm đáng kể thời gian làm việc của quản trị viên, thời gian này có thể được sử dụng để giải quyết các nhiệm vụ quan trọng không kém khác.

cách tổ chức VLAN

Theo quy định, các nhà sản xuất thiết bị chuyển mạch bộ phận và nhóm làm việc hàng đầu sử dụng một trong ba phương pháp tổ chức Vlan trong thiết bị của họ: dựa trên cổng, địa chỉ MAC hoặc giao thức lớp thứ ba. Mỗi phương thức này tương ứng với một trong ba lớp thấp hơn của mô hình tương tác OSI: vật lý, liên kết và mạng tương ứng. Có cách thứ tư để tổ chức VLAN - dựa trên các quy tắc. Hiện tại nó hiếm khi được sử dụng, mặc dù nó mang lại sự linh hoạt cao hơn trong tổ chức VLAN và có thể được sử dụng rộng rãi trong các thiết bị trong tương lai gần. Chúng ta hãy xem xét ngắn gọn từng phương pháp tổ chức Vlan ở trên, những ưu điểm và nhược điểm của chúng.

VLAN dựa trên cổng. Như tên của phương pháp gợi ý, các Vlan được tổ chức bằng cách kết hợp một cách hợp lý các cổng chuyển mạch vật lý đã chọn. Ví dụ: quản trị viên mạng có thể chỉ định rằng các cổng chuyển mạch được đánh số 1, 2, 5 dưới dạng VLAN1 và các cổng được đánh số 3, 4, 6 dưới dạng VLAN2, v.v. Một số máy tính có thể được kết nối với một cổng chuyển mạch (ví dụ: thông qua hub). Tất cả chúng sẽ thuộc về cùng một VLAN - VLAN mà cổng chuyển mạch phục vụ chúng được chỉ định. Sự ràng buộc chặt chẽ về tư cách thành viên Vlan này là một bất lợi của cách tổ chức mạng ảo dựa trên cổng.

Vlan dựa trên địa chỉ MAC. Phương pháp này cho phép bạn xây dựng một VLAN dựa trên địa chỉ cấp liên kết thập lục phân duy nhất mà mỗi bộ điều hợp mạng máy chủ hoặc máy trạm có trên mạng. Đây là cách tổ chức VLAN linh hoạt hơn so với cách trước, vì các thiết bị thuộc các VLAN khác nhau có thể được kết nối với một cổng chuyển mạch. Ngoài ra, chuyển động của máy tính từ cổng chuyển mạch này sang cổng chuyển mạch khác được bộ chuyển mạch tự động theo dõi và cho phép bạn duy trì quyền sở hữu của máy tính đã di chuyển đến một VLAN cụ thể mà không cần sự can thiệp của quản trị viên mạng. Nó hoạt động khá đơn giản: switch duy trì một bảng tương ứng giữa địa chỉ MAC của máy tính và mạng ảo. Ngay khi máy tính chuyển sang cổng switch khác, so sánh trường địa chỉ MAC nguồn trong tiêu đề của khung đầu tiên được truyền sau khi máy tính di chuyển với dữ liệu trong bảng của nó, switch sẽ kết luận chính xác rằng máy tính đã di chuyển thuộc về VLAN. Nhược điểm của phương pháp tổ chức Vlan này là sự phức tạp ban đầu của việc định cấu hình Vlan và có nhiều lỗi. Mặc dù bảng địa chỉ MAC được các switch xây dựng tự động, nhưng quản trị viên mạng cần xem qua tất cả và xác định rằng địa chỉ MAC thập lục phân nhất định có tương ứng với máy trạm đó hay không, sau đó gán nó cho mạng ảo tương ứng. Đúng, việc cấu hình lại Vlan dựa trên địa chỉ MAC sau này sẽ đòi hỏi ít nỗ lực hơn đáng kể so với trường hợp Vlan dựa trên cổng.

Vlan dựa trên giao thức lớp 3. Phương pháp này hiếm khi được sử dụng trong các chuyển đổi bộ phận và nhóm làm việc. Điển hình là các bộ chuyển mạch định tuyến đường trục có các công cụ định tuyến tích hợp cho các giao thức LAN chính - IP, IPX và AppleTalk. Trong phương pháp này, một nhóm cổng chuyển mạch thuộc một Vlan cụ thể được liên kết với mạng con IP hoặc mạng IPX cụ thể. Tính linh hoạt ở đây được cung cấp bởi thực tế là việc người dùng chuyển sang một cổng khác thuộc cùng một Vlan sẽ được bộ chuyển mạch giám sát và không yêu cầu cấu hình lại. Ưu điểm của phương pháp này còn là sự đơn giản trong cấu hình Vlan, có thể được thực hiện tự động vì bộ chuyển mạch sẽ phân tích địa chỉ mạng của các máy tính được liên kết với mỗi Vlan. Ngoài ra, như đã đề cập, các thiết bị hỗ trợ phương pháp tổ chức Vlan dựa trên giao thức lớp 3 có các công cụ định tuyến tích hợp, cung cấp khả năng tương tác giữa các Vlan khác nhau mà không cần sử dụng các công cụ bổ sung. Phương pháp này có lẽ chỉ có một nhược điểm - giá thiết bị chuyển mạch sử dụng nó cao.

Vlan dựa trên quy tắc. Người ta cho rằng bộ chuyển mạch có khả năng phân tích chi tiết các trường được xác định trước và thậm chí cả các bit riêng lẻ của gói đi qua nó dưới dạng cơ chế xây dựng Vlan. Phương pháp này cung cấp khả năng hầu như không giới hạn để tạo mạng ảo dựa trên nhiều tiêu chí. Ví dụ: ngay cả theo nguyên tắc bao gồm trong Vlan tất cả người dùng có máy tính đã cài đặt bộ điều hợp mạng từ nhà sản xuất được chỉ định. Mặc dù có tính linh hoạt rất lớn nhưng quá trình cấu hình Vlan dựa trên quy tắc rất tốn công sức. Ngoài ra, sự hiện diện của các quy tắc phức tạp có thể ảnh hưởng tiêu cực đến thông lượng của bộ chuyển mạch, vì một phần đáng kể sức mạnh xử lý của nó sẽ được dành cho việc phân tích gói.

Các thiết bị cũng có thể được tự động chuyển sang Vlan dựa trên dữ liệu xác thực người dùng hoặc thiết bị khi sử dụng giao thức 802.1x.

xây dựng VLAN phân tán

Mạng LAN hiện đại thường chứa nhiều hơn một switch. Các máy tính thuộc cùng một VLAN có thể được kết nối với các thiết bị chuyển mạch khác nhau. Do đó, để định tuyến lưu lượng một cách hợp lý, phải có cơ chế để các switch trao đổi thông tin về tư cách thành viên VLAN của các thiết bị được kết nối với chúng. Trước đây, mỗi nhà sản xuất đều triển khai các cơ chế độc quyền để trao đổi thông tin đó trong thiết bị của mình. Ví dụ, 3Com gọi công nghệ này là VLT (Virtual LAN Trunk), Cisco Systems gọi nó là ISL (Inter-Switch Link). Do đó, để xây dựng các VLAN phân tán, cần phải sử dụng các thiết bị từ một nhà sản xuất. Tình hình được cải thiện hoàn toàn khi tiêu chuẩn xây dựng Vlan được gắn thẻ được thông qua - IEEE 802.1Q, hiện đang thống trị thế giới Vlan. Trong số những thứ khác, nó cũng quy định cơ chế trao đổi thông tin Vlan giữa các thiết bị chuyển mạch. Cơ chế này cho phép bạn bổ sung các khung được truyền giữa các thiết bị chuyển mạch bằng các trường biểu thị tư cách thành viên trong một Vlan cụ thể. Ngày nay, tất cả các nhà sản xuất thiết bị chuyển mạch mạng LAN hàng đầu đều hỗ trợ chuẩn 802.1Q trong thiết bị của họ. Do đó, ngày nay người ta đã có thể xây dựng mạng ảo bằng cách sử dụng các thiết bị chuyển mạch từ các nhà sản xuất khác nhau. Mặc dù, như bạn sẽ thấy sau, ngay cả khi hoạt động theo 802.1Q, các thiết bị chuyển mạch từ các nhà sản xuất khác nhau vẫn cung cấp những khả năng tổ chức VLAN không giống nhau.

Tổ chức tương tác giữa các VLAN

Các máy tính nằm trong các VLAN khác nhau không thể liên lạc trực tiếp với nhau. Để tổ chức tương tác như vậy, bạn phải sử dụng bộ định tuyến. Trước đây, các bộ định tuyến thông thường đã được sử dụng cho việc này. Hơn nữa, bộ định tuyến yêu cầu phải có nhiều giao diện mạng vật lý cũng như số lượng Vlan. Ngoài ra, các thiết bị chuyển mạch phải phân bổ một cổng từ mỗi Vlan để kết nối bộ định tuyến. Xem xét chi phí cao của các cổng bộ định tuyến, chi phí của giải pháp như vậy là rất cao. Ngoài ra, bộ định tuyến thông thường gây ra độ trễ đáng kể trong việc truyền dữ liệu giữa các Vlan. Ngày nay, để truyền dữ liệu giữa các Vlan, các bộ chuyển mạch định tuyến được sử dụng, có giá trên mỗi cổng thấp và thực hiện định tuyến lưu lượng phần cứng ở tốc độ của kênh liên lạc. Các bộ chuyển mạch định tuyến cũng tuân thủ tiêu chuẩn IEEE 802.1Q và để tổ chức liên lạc giữa các Vlan phân tán, chúng chỉ cần sử dụng một cổng để kết nối từng bộ chuyển mạch nhóm làm việc kết nối các thiết bị tương ứng với các Vlan khác nhau với mạng. Nói cách khác, thông tin có thể được trao đổi giữa các thiết bị từ các Vlan khác nhau thông qua một cổng của bộ chuyển mạch định tuyến hiện đại.

sử dụng tài nguyên mạng được chia sẻ bởi các máy tính thuộc các Vlan khác nhau

Rất thú vị là khả năng tổ chức truy cập vào các tài nguyên mạng dùng chung (máy chủ mạng, máy in, v.v.) cho các máy tính thuộc các Vlan khác nhau. Những lợi thế của khả năng này là rõ ràng. Thứ nhất, không cần phải mua bộ định tuyến hoặc bộ chuyển mạch định tuyến trừ khi bạn cần tổ chức trao đổi dữ liệu trực tiếp giữa các máy tính từ các Vlan khác nhau. Sự tương tác giữa các máy tính thuộc các Vlan khác nhau có thể được đảm bảo thông qua một máy chủ mạng mà tất cả hoặc một số Vlan đều có quyền truy cập. Thứ hai, trong khi vẫn duy trì tất cả các lợi ích của việc sử dụng Vlan, bạn không phải mua máy chủ cho từng Vlan riêng biệt mà hãy sử dụng các máy chủ chung.

Cách dễ nhất để cấp quyền truy cập vào một máy chủ cho người dùng từ các Vlan khác nhau là cài đặt một số bộ điều hợp mạng trong máy chủ và kết nối từng bộ điều hợp này để chuyển đổi các cổng thuộc các Vlan khác nhau. Tuy nhiên, phương pháp này có hạn chế về số lượng VLAN (nhiều bộ điều hợp mạng không thể cài đặt trong máy chủ), áp đặt các yêu cầu nghiêm ngặt đối với các thành phần máy chủ (trình điều khiển bộ điều hợp mạng yêu cầu tăng dung lượng RAM, tạo ra tải lớn cho hệ thống). CPU và bus I/O của máy chủ, v.v.) và không giúp tiết kiệm tiền (sử dụng nhiều bộ điều hợp mạng và các cổng chuyển đổi bổ sung).

Với sự ra đời của tiêu chuẩn IEEE 802.1Q, việc truyền thông tin liên quan đến tất cả hoặc một số Vlan thông qua một cổng chuyển mạch đã trở nên khả thi. Như đã đề cập ở trên, để thực hiện việc này, bộ chuyển mạch (hoặc thiết bị khác hỗ trợ 802.1Q) sẽ thêm một trường vào khung được truyền qua mạng để xác định duy nhất xem khung có thuộc về một VLAN cụ thể hay không. Một máy chủ chung cho tất cả các Vlan có thể được kết nối với một cổng như vậy chỉ bằng một đường truyền. Điều kiện duy nhất cho điều này là bộ điều hợp mạng của máy chủ phải hỗ trợ chuẩn 802.1Q để máy chủ có thể biết yêu cầu đến từ VLAN nào và theo đó, nơi gửi phản hồi. Đây là cách máy chủ được phân chia giữa các VLAN trong bộ phận được quản lý và chuyển mạch nhóm làm việc từ 3Com, Hewlett-Packard và Cisco Systems.

Phần kết luận

Như bạn có thể thấy, VLAN là một công cụ tổ chức mạng mạnh mẽ, có thể giải quyết các vấn đề về quản trị, bảo mật truyền dữ liệu, kiểm soát truy cập vào tài nguyên thông tin và tăng đáng kể hiệu quả sử dụng băng thông mạng.

Oleg Podukov, trưởng phòng kỹ thuật của Công ty COMPLETE

Hãy tưởng tượng tình huống này. Chúng tôi có văn phòng cho một công ty nhỏ với 100 máy tính và 5 máy chủ. Đồng thời, công ty này tuyển dụng nhiều loại nhân viên khác nhau: quản lý, kế toán, nhân viên nhân sự, chuyên gia kỹ thuật, quản trị viên. Mỗi bộ phận cần phải làm việc trong mạng con riêng của mình. Làm cách nào để phân định lưu lượng truy cập của mạng này? Nói chung, có hai phương pháp như vậy: phương pháp đầu tiên là chia nhóm địa chỉ IP thành các phần nhỏ và phân bổ mạng con riêng cho từng bộ phận, phương pháp thứ hai là sử dụng Vlan.

Vlan (Mạng cục bộ ảo) là một nhóm các nút mạng có lưu lượng truy cập, bao gồm cả phát sóng, hoàn toàn tách biệt ở cấp độ liên kết với lưu lượng của các nút mạng khác. Trong các mạng hiện đại, Vlan là cơ chế chính để tạo cấu trúc liên kết mạng logic độc lập với cấu trúc liên kết vật lý của nó.

Công nghệ Vlan được định nghĩa trong IEEE 802.1q, một tiêu chuẩn mở mô tả quy trình gắn thẻ để truyền tải thông tin thành viên Vlan. 802.1q đặt một thẻ bên trong khung ethernet để truyền tải thông tin về tư cách thành viên của lưu lượng truy cập trong Vlan.

Hãy xem các trường TAG Vlan:

  • TPID (Tag Protocol Identifier) ​​​- gắn thẻ định danh giao thức. Cho biết giao thức nào được sử dụng để gắn thẻ. Đối với 802.1Q, giá trị là 0x8100.
  • Ưu tiên - ưu tiên. Được sử dụng để đặt mức độ ưu tiên của lưu lượng truyền (QoS).
  • CFI (Chỉ báo định dạng Canoncial) - cho biết định dạng địa chỉ MAC (Ethernet hoặc Token Ring).
  • VID (Vlan Indentifier) ​​​​- Mã định danh Vlan. Cho biết khung thuộc về VLAN nào. Bạn có thể đặt một số từ 0 đến 4094.

Khi gửi khung, máy tính không biết nó thuộc VLAN nào - switch thực hiện việc này. Switch biết máy tính được kết nối với cổng nào và dựa vào đó, nó sẽ xác định máy tính này nằm ở VLAN nào.

Switch có 2 loại cổng:

  • Cổng được gắn thẻ (được gắn thẻ, trung kế) - một cổng mà qua đó lưu lượng của một số nhóm Vlan có thể được truyền hoặc nhận. Khi truyền qua cổng được gắn thẻ, thẻ Vlan sẽ được thêm vào khung. Được sử dụng để kết nối với các thiết bị chuyển mạch, bộ định tuyến (tức là những thiết bị nhận dạng thẻ Vlan).
  • Cổng không được gắn thẻ (không được gắn thẻ, truy cập) - cổng mà các khung không được gắn thẻ được truyền đi. Được sử dụng để kết nối với các nút cuối (máy tính, máy chủ). Mỗi cổng không được gắn thẻ nằm trong một Vlan cụ thể. Khi truyền lưu lượng từ cổng này, thẻ Vlan sẽ bị xóa và lưu lượng không được gắn thẻ sẽ đi đến máy tính (không nhận ra Vlan). Mặt khác, khi nhận được lưu lượng truy cập trên một cổng không được gắn thẻ, thẻ Vlan sẽ được thêm vào cổng đó.

Định cấu hình Vlan trên bộ chuyển mạch được quản lý Dlink DES-3528

Dòng chuyển mạch DES-3528/3552 xStack bao gồm các bộ chuyển mạch truy cập L2+ có thể xếp chồng lên nhau, kết nối an toàn người dùng cuối với mạng doanh nghiệp lớn và doanh nghiệp vừa và nhỏ (SMB). Các thiết bị chuyển mạch cung cấp khả năng xếp chồng vật lý, định tuyến tĩnh, hỗ trợ nhóm phát đa hướng và các tính năng bảo mật nâng cao. Tất cả điều này làm cho thiết bị này trở thành một giải pháp cấp độ truy cập lý tưởng. Switch dễ dàng tích hợp với các switch lõi L3 để tạo thành cấu trúc mạng đa cấp với đường trục tốc độ cao và máy chủ tập trung. Bộ chuyển mạch dòng DES-3528/3552 được trang bị 24 hoặc 48 cổng Ethernet 10/100Mbps và hỗ trợ lên đến 4 cổng đường lên Gigabit Ethernet.

Hãy xem xét các nguyên tắc cấu hình Vlan trên các thiết bị chuyển mạch Dlink được quản lý. Trong quá trình làm việc, chúng tôi sẽ nghiên cứu các cách tạo, xóa, thay đổi Vlan và thêm các loại cổng khác nhau (được gắn thẻ và không được gắn thẻ).

Kết nối với switch được thực hiện thông qua cổng console bằng chương trình HyperTerminal.

Sử dụng lệnh show vlan, chúng ta sẽ thấy thông tin về các VLAN hiện có.

Trong hình trên, bạn có thể thấy ban đầu chỉ có một VLAN mặc định được tạo trên switch, được đặt tên là default. Lệnh show vlan hiển thị các trường sau:

  • VID – Mã định danh VLAN
  • Loại Vlan – Loại Vlan
  • Cổng thành viên – cổng tham gia
  • Cổng tĩnh – cổng tĩnh
  • Cổng được gắn thẻ hiện tại – cổng được gắn thẻ hiện tại
  • Cổng không được gắn thẻ hiện tại – cổng không được gắn thẻ hiện tại
  • Cổng được gắn thẻ tĩnh – cổng được gắn thẻ tĩnh
  • Cổng không được gắn thẻ tĩnh – cổng không được gắn thẻ tĩnh
  • Tổng số bài dự thi – tổng số bài dự thi
  • Tên Vlan – Tên Vlan
  • Quảng cáo – trạng thái

Hãy tạo một VLAN mới, trong đó các chữ cái đầu AA được sử dụng làm tên và số 22 được sử dụng làm mã định danh. Để thực hiện việc này, chúng ta sẽ sử dụng lệnh create vlan.

Vlan mới chưa bao gồm một cổng duy nhất. Sử dụng config vlan, chúng ta sẽ thay đổi VLAN AA sao cho các cổng được gắn thẻ 10, 14-17 và các cổng 2-5 không được gắn thẻ xuất hiện trong đó.

Sử dụng lệnh show vlan chúng ta sẽ hiển thị thông tin về các VLAN đã tạo.

Trong lịch sử của Ethernet, các mạng cục bộ bị giới hạn ở các xung đột miền đơn. Với sự ra đời của các cầu nối có hai cổng trở lên, người ta có thể phân chia một mạng lớn thành các miền xung đột nhỏ hơn, cải thiện đáng kể hiệu suất mạng. Tuy nhiên, điều này không làm giảm bớt tình trạng tắc nghẽn mạng do cơn bão phát sóng bất ngờ gây ra. Lưu lượng phát sóng được di chuyển tự do qua các cầu Ethernet.

Với sự ra đời của bộ định tuyến Ethernet, người dùng mạng bắt đầu được nhóm thành các nhóm làm việc có miền xung đột chung. Điều này không chỉ cải thiện hiệu quả mạng trong mỗi nhóm mà còn giảm tình trạng tắc nghẽn mạng tổng thể do các cơn bão phát sóng bất ngờ gây ra. Tuy nhiên, việc phân chia mạng chung bằng các bộ định tuyến thành các nhóm làm việc đã gây ra các vấn đề khác. Việc liên lạc giữa các nhóm làm việc chỉ có thể thực hiện được thông qua bộ định tuyến Lớp 3. Điều này làm chậm quá trình truy cập vào các máy chủ toàn cầu của công ty.

Với sự ra đời của công nghệ Ethernet VLAN chuyển mạch, giờ đây có thể phân chia mạng thành nhiều miền phát sóng một cách hợp lý, cải thiện hiệu suất mạng và giảm lưu lượng phát sóng mà không làm chậm quá trình truy cập vào các máy chủ toàn cầu của công ty.

Chuyển mạch VLAN Ethernet

Với sự ra đời của Ethernet chuyển mạch, nhu cầu về nó trên thị trường ngày càng tăng. Trong nhiều năm, số lượng cổng chuyển mạch trong mạng doanh nghiệp không ngừng tăng lên. Trong trường hợp này, mỗi cổng chuyển đổi được chia sẻ bởi ngày càng ít người dùng mạng và thậm chí chỉ đạt được một kết nối duy nhất của mỗi người dùng mạng tới các cổng đã chuyển đổi. Loại cơ sở hạ tầng mạng này phù hợp nhất để triển khai Mạng cục bộ ảo (Vlan).

Mạng ảo có thể được định nghĩa là các nhóm người dùng được chỉ định cho các phòng ban cụ thể hoặc thực hiện các chức năng chung mà không giới hạn vị trí thực tế của người dùng và thậm chí không giới hạn việc sử dụng các thiết bị mạng (bộ chuyển mạch) khác nhau mà họ được kết nối vật lý.

Câu trên dường như xác định ranh giới của Mạng cục bộ ảo (VLAN). Thông thường hơn, Mạng cục bộ ảo được coi là miền phát sóng chung. Công nghệ VLAN chia miền quảng bá lớn thành các miền quảng bá nhỏ hơn, hạn chế lưu lượng quảng bá cho một nhóm người dùng.

Vlan định hướng cổng

Loại mạng cục bộ ảo (VLAN) này xác định tư cách thành viên của mỗi Vlan dựa trên số cổng được kết nối. Xem ví dụ sau về Vlan định hướng cổng.

Ví dụ 1. Cổng 3,6,8 và 9 thuộc về VLAN1 và cổng 1,2,4,5 và 7 thuộc về VLAN2

Bảng 1. Tư cách thành viên của mỗi Vlan được xác định theo số cổng
HẢI CẢNG 1 2 3 4 5 6 7 8 9
Vlan 1 x x x x
Vlan 2 x x x x x

Hình 1 cho thấy một ví dụ triển khai Vlan hướng cổng (dựa trên bộ chuyển mạch SXP1224WM và trung tâm DX2216 hai tốc độ của Compex).

Cơm. 1.

Trong ví dụ này, hai hub DX2216 được kết nối với các cổng riêng biệt trên bộ chuyển mạch SXP1224WM. Vì Vlan hướng cổng xác định tư cách thành viên Vlan dựa trên số cổng nên tất cả các máy trạm được kết nối với các cổng của hub (DX2216) đều thuộc cùng một Vlan. Trong trường hợp của chúng tôi, các máy trạm được kết nối qua hub DX2216 với cổng 1 của bộ chuyển mạch thuộc về VLAN2 và các máy trạm được kết nối qua hub DX2216 với cổng 3 của bộ chuyển mạch thuộc về VLAN1. Vì các máy trạm này được kết nối thông qua trung tâm DX2216 nên chúng phải được đặt gần nhau về mặt vật lý. Mặt khác, có 7 máy trạm được kết nối trực tiếp với các cổng switch (Private Port Switching). Các máy trạm được kết nối với cổng 6, 8 và 9 của switch SXP1224WM về mặt vật lý ở xa so với các trạm khác (được kết nối qua hub), tuy nhiên, chúng đều thuộc về VLAN2.

Đối với một bộ chuyển mạch SXP1224WM, số lượng người dùng tối đa có kết nối trực tiếp (không chia sẻ) tới một cổng chuyển mạch là 24, tùy theo số lượng cổng trên bộ chuyển mạch này. Làm cách nào để triển khai Vlan nếu sử dụng nhiều hơn một bộ chuyển mạch loại SXP1224WM và người dùng của cùng một Vlan được kết nối với các bộ chuyển mạch khác nhau?
Hình 2 cho thấy một ví dụ về kết nối người dùng VLAN qua nhiều switch.


Hình 2.

Các thành viên VLAN cho ví dụ này được hiển thị trong Bảng 2 và 3.

Bảng 2. Thành viên VLAN của SXP1224WM *1
HẢI CẢNG 2 3 4 5 6 7 8 9 10
Vlan x x x x x
Vlan x x x x

Bảng 3. Thành viên VLAN của SXP1224WM *2

HẢI CẢNG 2 3 4 5 6 7 8
Vlan x x x
Vlan x x x x

Trong ví dụ này, hai mạng con ảo (VLAN) chung được xác định trên cả hai thiết bị chuyển mạch. VLAN1 trên switch #1 và VLAN1 trên switch #2 có cùng một VLAN chung mà cổng chung phải được xác định. Trong trường hợp này, cổng 6 trên công tắc số 1 và cổng 7 trên công tắc số 2 là thành viên của VLAN1 và các cổng này (cổng 6 trên công tắc số 1 và cổng 7 trên công tắc số 2) được nhóm lại với nhau. Xem xét rằng cổng 7 của công tắc số 1 và cổng 8 của công tắc số 2 là thành viên của VLAN2, chúng cũng được kết nối với nhau.

Vlan có khung được gắn thẻ (IEEE 802.1Q)

Loại Vlan này sử dụng lớp thứ hai của mô hình mạng. Thẻ ID được chèn vào mỗi khung xác định tư cách thành viên của chúng trong một Vlan cụ thể. Công nghệ này được sử dụng để tạo mạng ảo (Vlan) bao phủ nhiều thiết bị chuyển mạch. Hình 3 cho thấy một ví dụ về một VLAN như vậy.


Cơm. 3.

Thẻ ID có thể được thêm rõ ràng hoặc ngầm vào Vlan như vậy. Nếu mạng có các card mạng hỗ trợ IEEE 802.1Q và các tùy chọn tương ứng được bật trên các card này thì các khung Ethernet gửi đi từ các card này sẽ chứa các thẻ nhận dạng VLAN. Các thẻ nhận dạng Vlan này được thêm vào một cách rõ ràng. Các thiết bị chuyển mạch hỗ trợ IEEE 802.1Q xác định tư cách thành viên Vlan bằng cách kiểm tra thẻ ID trong khung Ethernet.

Nếu bộ điều hợp mạng (được kết nối với mạng này) không hỗ trợ giao thức IEEE 802.1Q, việc gắn thẻ Vlan vẫn có thể được thực hiện dựa trên nhóm cổng. Giả sử rằng các cổng 1-3 được nhóm thành một số VLAN. Switch hỗ trợ IEEE 802.1Q sẽ thêm thẻ ID vào các khung Ethernet đến trên cổng này với VLAN ID tương ứng. Nhưng các thẻ này sẽ bị loại bỏ bởi switch khỏi các khung gửi đi.

Nếu việc nhận dạng Vlan bằng thẻ giao thức 802.1Q đã được thực hiện bằng cả phương pháp rõ ràng và ẩn, các khung đến tới các cổng chuyển mạch có thể bao gồm cả hai loại khung (được gắn thẻ và không được gắn thẻ). Trong trường hợp này, thẻ VLAN ID được mô tả bằng phương pháp nhóm cổng sẽ được thêm vào các khung đến không được gắn thẻ. Trong khi các khung được gắn thẻ đã hỗ trợ tư cách thành viên Vlan được xác định rõ ràng. Ví dụ: nếu cổng 5 được nhóm ngầm trong Vlan1, các khung đến cổng 5 được gắn thẻ ID mạng Vlan 2 vẫn giữ tư cách thành viên của chúng trong Vlan2 mặc dù cổng 5 được nhóm dưới Vlan1.

Vlan dựa trên các giao thức cấp cao

Vlan dựa trên giao thức được triển khai ở lớp 3 của mô hình mạng, nhóm các máy trạm có giao thức truyền tải cụ thể theo một Vlan cụ thể. Ví dụ: nếu một mạng bao gồm máy tính Apple và máy trạm Unix, lần lượt sử dụng giao thức AppleTalk và TCP/IP, thì máy tính Apple có thể được nhóm thành một Vlan trong khi các trạm Unix được nhóm thành một VLAN khác. Vlan dựa trên giao thức kiểm tra thông tin giao thức Lớp 3 trong các gói và cho phép các gói có giao thức truyền tải cụ thể (AppleTalk hoặc TCP/IP) tham gia vào miền quảng bá thích hợp. Hình 4 cho thấy một ví dụ về việc triển khai VLAN như vậy.


Cơm. 4

Lợi ích của VLAN

Nhóm làm việc ảo

Chức năng chính của mạng ảo là tạo các nhóm làm việc ảo dựa trên chức năng chung của người dùng và tài nguyên dùng chung mà họ cần truy cập. Ví dụ: một doanh nghiệp bao gồm nhiều bộ phận - kế toán, mua sắm, tiếp thị, bán hàng, v.v. Người dùng của mỗi bộ phận cần truy cập vào một số tài nguyên nhất định của họ. Bằng cách triển khai Vlan, người dùng trong mỗi bộ phận có thể được mô tả và nhóm một cách hợp lý thành các nhóm làm việc khác nhau với các tài nguyên mạng khác nhau có sẵn.

Cải thiện hiệu suất mạng

Bởi vì chúng tôi đã đồng ý rằng Vlan giống như một miền quảng bá và các Vlan tương ứng với các miền quảng bá thực sự trong mạng nhiều Vlan. Giả sử có một mạng có 1000 máy trạm nằm trong một miền quảng bá. Mỗi máy trạm trên mạng này nhận được lưu lượng phát sóng do các máy trạm khác tạo ra. Sử dụng công nghệ Vlan, mạng lớn với nhiều lưu lượng phát sóng này được phân thành nhiều miền phát sóng với nhiều máy trạm trên mỗi miền phát sóng. Do đó, tần số (mật độ) phát sóng sẽ giảm. Hiệu suất của mỗi mạng con tăng lên vì tất cả các thiết bị mạng trên mạng ít bị phân tâm hơn trong việc truyền dữ liệu thực tế khi nhận được lưu lượng phát sóng.


Cơm. 5

Phá vỡ các khái niệm truyền thống về ranh giới mạng

Trước đây, các máy trạm trong cùng một nhóm làm việc hoặc bộ phận thường được đặt ở cùng một vị trí. Với công nghệ VLAN, người dùng mạng trong cùng một nhóm làm việc hoặc bộ phận sẽ ít bị hạn chế hơn bởi vị trí thực tế của họ. Sự tự do này phụ thuộc vào khả năng của các bộ chuyển mạch Ethernet được sử dụng. Trong trường hợp sử dụng VLAN, người dùng mạng của cùng một nhóm làm việc hoặc bộ phận có thể ở các tầng khác nhau và thậm chí ở các tòa nhà khác nhau mà vẫn thuộc cùng một mạng ảo, như trong Hình 6.


Cơm. 6

Hình 6 cho thấy một mạng nằm ở hai tầng khác nhau của một tòa nhà. Ở tầng 2, cả 5 máy trạm đều được kết nối trực tiếp bằng bộ chuyển mạch Ethernet (chuyển mạch cổng riêng). Lưu ý 3 máy trạm ở tầng 1 được kết nối với hub DX2216 2 tốc độ, còn 2 máy trạm còn lại được kết nối trực tiếp vào các cổng switch, tương tự như ở tầng 2. Cổng chuyển đổi mà qua đó hub DX2216 được xếp tầng được gán cho VLAN2, do đó cả ba máy tính được kết nối với DS2216 đều thuộc về VLAN2. Các máy trạm được kết nối với hub tốc độ kép DX2216 phải gần nhau về mặt vật lý và thuộc cùng một nhóm làm việc hoặc bộ phận. Mặt khác, các máy trạm được kết nối với cùng một bộ chuyển mạch hỗ trợ Vlan không nhất thiết phải thuộc cùng một nhóm làm việc hoặc bộ phận. Và các máy trạm được kết nối với các thiết bị chuyển mạch khác nhau, không được kết nối theo vị trí vật lý, có thể thuộc cùng một nhóm làm việc hoặc bộ phận và tham gia vào cùng một miền quảng bá.

Bảo mật và phân tách quyền truy cập vào tài nguyên mạng

Nhiều bộ chuyển mạch được quản lý (chẳng hạn như SXP1216/24WM và SGX3224/PLUS của Compex) cho phép một cổng chuyển mạch duy nhất có quyền thành viên trong nhiều Vlan. Ví dụ: Cổng 5 của một bộ chuyển mạch có thể đồng thời thuộc về Vlan1, Vlan2 và Vlan3 và tham gia phát sóng cả ba mạng ảo. Nhờ tính năng này, máy chủ được kết nối với cổng 5 có thể cung cấp quyền truy cập vào các máy trạm trên cả ba mạng. Mặt khác, chỉ có thể truy cập vào các máy chủ của cùng bộ phận được kết nối với các cổng có thành viên trong cùng một Vlan trong Vlan tương ứng.


Cơm. 7

Giảm chi phí khi di chuyển nhân sự

Giả sử có nhu cầu di chuyển công việc nhân sự từ nhiều phòng ban khác nhau trong công ty hoặc thay đổi địa điểm thực tế của một phòng ban cụ thể. Khi sử dụng VLAN được gắn thẻ (IEEE 802.1Q) với các kết nối trực tiếp đến các cổng chuyển mạch, chi phí di chuyển chỉ bao gồm việc di chuyển vật lý các máy trạm nhân sự vì ID thành viên VLAN sẽ được di chuyển cùng với các máy trạm mạng. Không cần phải xây dựng lại các kết nối trên các bộ chuyển mạch Ethernet hiện có.

Phần kết luận

Mặc dù có các tiêu chuẩn được phê duyệt để tổ chức mạng cục bộ ảo, các phương pháp xây dựng Vlan và phương pháp chỉ định thành viên trong Vlan phụ thuộc vào đặc điểm của thiết bị được cung cấp bởi các nhà cung cấp khác nhau. Ví dụ: Vlan có thể được tạo bằng cách nhóm thành viên theo số cổng chuyển đổi. Và khi xử lý nội dung của khung Ethernet, có thể nhóm thành viên dựa trên bảng địa chỉ MAC hoặc nội dung của thẻ ID khung Ethernet đặc biệt.

Nếu bạn cần hoặc đã quyết định kết nối độc lập bộ định tuyến/modem từ Rostelecom, nếu bạn cần kết nối IPTV hoặc các dịch vụ điện thoại kỹ thuật số, thì bạn nên biết VLAN ID là gì và cách tìm nó.

Vlan ID là bộ số 12 bit nhận dạng, nhờ đó bạn có thể tạo mạng ảo đa cấp, vượt qua mọi trở ngại vật lý, chẳng hạn như vị trí địa lý và chuyển một số thông tin nhất định đến các thiết bị cần thiết. Công nghệ ViLan có mặt trong các thiết bị đảm bảo tạo ra một mạng chung. Nói một cách đơn giản, ID “ViLan” là một địa chỉ mà các thiết bị đặc biệt nhận ra nó (bộ chuyển mạch) sẽ gửi các gói dữ liệu.

Công nghệ này khá tiện lợi, có những ưu điểm và nhược điểm riêng và được Rostelecom sử dụng để truyền dữ liệu: ví dụ như cho truyền hình kỹ thuật số (IPTV). Nghĩa là, nếu bạn quyết định tự mình kết nối hoặc thiết lập IPTV, thì bạn cần biết mã định danh. Như bạn có thể đoán, công ty Nga sử dụng những bộ số đặc biệt này để mọi người ở một “địa chỉ” chung có thể sử dụng modem/bộ định tuyến của họ để xem IPTV. Nghĩa là, “đèn hiệu” này cho phép những người khác nhau nhận được thông tin giống nhau.

Điều này được thực hiện không chỉ để thuận tiện và vượt qua ranh giới vật lý. ID cho phép bạn truy cập an toàn vào các mạng ảo khác nhau. Ví dụ: tách các kết nối khách khỏi kết nối doanh nghiệp hoặc trong trường hợp IPTV, chỉ cung cấp quyền truy cập cho một số người dùng nhất định.


Gắn thẻ lưu lượng truy cập

Có các cổng được gắn thẻ và không được gắn thẻ. Điều này có nghĩa là có những cổng sử dụng thẻ và có những cổng không sử dụng. Một cổng không được gắn thẻ chỉ có thể truyền VLAN cá nhân, một cổng được gắn thẻ có thể nhận và gửi lưu lượng truy cập từ nhiều “đèn hiệu” khác nhau.

Các thẻ được “gắn” vào lưu lượng để các thiết bị chuyển mạch mạng có thể nhận ra và chấp nhận nó. Thẻ cũng được Rostelecom sử dụng.

Điều thú vị nhất mà thẻ tag cho phép là máy tính có thể kết nối với một switch (công tắc) và nhận tín hiệu Wi-Fi từ một điểm. Nhưng đồng thời, chúng sẽ không nhìn thấy nhau và sẽ không nhận được dữ liệu giống nhau nếu thuộc về các “đèn hiệu” khác nhau. Điều này là do thực tế là đối với một “ViLan” một số thẻ nhất định được sử dụng, trong khi một thẻ khác có thể hoàn toàn không được gắn thẻ và không cho phép lưu lượng truy cập này đi qua.

Kích hoạt tính năng này

Mã định danh này phải được bật để các thiết bị nhận thông tin có thể nhìn thấy nó. Nếu không, tất cả thông tin được mã hóa sẽ không hiển thị.

Vì vậy, việc kích hoạt VLAN cho từng dịch vụ cụ thể là điều cần thiết. Nếu nó đã được kích hoạt và không phải bạn là người thực hiện việc đó thì bạn vẫn nên biết “địa chỉ” của mình.

Làm thế nào để tìm ra ID của bạn?

Nếu bạn không có giấy tờ tùy thân và thực sự cần tìm nó càng nhanh càng tốt thì bạn có thể hỏi những người bạn cùng nhà. Một lựa chọn khác là để lại yêu cầu bằng cách gọi đến đường dây nóng Rostelecom. Sau đó, đơn đăng ký của bạn sẽ được gửi đến bộ phận hỗ trợ kỹ thuật của khu vực nơi biết địa chỉ ID của địa phương bạn.

Vì vậy, bây giờ bạn đã biết IPTV của Rostelecom hoạt động theo nguyên tắc nào. Bạn cũng biết thẻ được sử dụng để làm gì, cách tìm ra VLAN của bạn và vai trò của nó.

Vlan- đây là các mạng ảo tồn tại ở cấp độ thứ hai của mô hình OSI. Nghĩa là, Vlan có thể được cấu hình trên switch lớp thứ hai. Nếu chúng ta nhìn vào Vlan, trừu tượng hóa khái niệm “mạng ảo”, chúng ta có thể nói rằng Vlan chỉ đơn giản là một nhãn trong một khung được truyền qua mạng. Nhãn chứa số Vlan (được gọi là Vlan ID hoặc VID), được phân bổ 12 bit, nghĩa là Vlan có thể được đánh số từ 0 đến 4095. Số đầu tiên và số cuối cùng được bảo lưu và không thể sử dụng. Thông thường, các máy trạm không biết gì về VLAN (trừ khi bạn cấu hình cụ thể các VLAN trên card). Công tắc nghĩ về chúng. Các cổng chuyển đổi cho biết chúng thuộc VLAN nào. Tùy thuộc vào điều này, tất cả lưu lượng truy cập đi qua cổng đều được đánh dấu bằng nhãn, tức là Vlan. Vì vậy, mỗi cổng có một PVID ( định danh cổng vlan Sau đó, lưu lượng này có thể đi qua các cổng khác trên (các) bộ chuyển mạch nằm trong Vlan này và sẽ không đi qua tất cả các cổng khác. Kết quả là, một môi trường biệt lập (mạng con) được tạo ra, nếu không có thiết bị bổ sung (bộ định tuyến) thì không thể tương tác với các mạng con khác.

Tại sao cần có vilan?

  • Khả năng xây dựng một mạng có cấu trúc logic không phụ thuộc vào mạng vật lý. Nghĩa là, cấu trúc liên kết mạng ở cấp độ liên kết dữ liệu được xây dựng bất kể vị trí địa lý của các thành phần cấu thành mạng.
  • Khả năng chia một miền quảng bá thành nhiều miền quảng bá. Nghĩa là lưu lượng phát sóng từ miền này không chuyển sang miền khác và ngược lại. Điều này làm giảm tải cho các thiết bị mạng.
  • Khả năng bảo mật mạng khỏi sự truy cập trái phép. Tức là ở cấp độ liên kết, các khung từ các vilan khác sẽ bị cổng switch cắt đứt, bất kể gói tin được gói gọn trong khung này ở địa chỉ IP nguồn nào.
  • Khả năng áp dụng các chính sách cho một nhóm thiết bị nằm trong cùng một vilana.
  • Khả năng sử dụng giao diện ảo để định tuyến.

Ví dụ sử dụng Vlan

  • Kết nối các máy tính kết nối với các Switch khác nhau thành một mạng duy nhất. Giả sử bạn có các máy tính được kết nối với các bộ chuyển mạch khác nhau nhưng chúng cần được kết hợp thành một mạng. Chúng tôi sẽ kết nối một số máy tính vào mạng cục bộ ảo Vlan 1 và những người khác - vào mạng Vlan 2. Nhờ chức năng Vlan các máy tính trong mỗi mạng ảo sẽ hoạt động như thể được kết nối vào cùng một switch. Máy tính từ các mạng ảo khác nhau Vlan 1Vlan 2 sẽ vô hình với nhau.
  • Chia các máy tính kết nối vào cùng một Switch thành các mạng con khác nhau. Trong hình, các máy tính được kết nối vật lý với cùng một switch nhưng được tách thành các mạng ảo khác nhau Vlan 1Vlan 2. Các máy tính từ các mạng con ảo khác nhau sẽ vô hình với nhau.


  • Tách biệt mạng Wi-Fi khách và mạng Wi-Fi doanh nghiệp. Trong hình, một điểm truy cập Wi-Fi được kết nối vật lý với bộ định tuyến. Hai điểm Wi-Fi ảo có tên đã được tạo tại điểm điểm nóngVăn phòng. ĐẾN điểm nóng Máy tính xách tay của khách sẽ được kết nối qua Wi-Fi để truy cập Internet và Văn phòng- Laptop doanh nghiệp. Vì mục đích bảo mật, điều quan trọng là máy tính xách tay của khách không có quyền truy cập vào mạng doanh nghiệp. Với mục đích này, máy tính doanh nghiệp và điểm Wi-Fi ảo Văn phòng hợp nhất thành một mạng cục bộ ảo Vlan 1 và máy tính xách tay của khách sẽ ở trên mạng ảo Vlan 2. Máy tính xách tay của khách từ mạng Vlan 2 sẽ không có quyền truy cập vào mạng doanh nghiệp Vlan 1.


Ưu điểm của việc sử dụng VLAN

  • Linh hoạt phân chia thiết bị thành các nhóm
  • Theo quy định, một Vlan tương ứng với một mạng con. Các máy tính nằm trong các VLAN khác nhau sẽ được cách ly với nhau. Bạn cũng có thể kết hợp các máy tính được kết nối với các thiết bị chuyển mạch khác nhau thành một mạng ảo.
  • Giảm lưu lượng phát sóng trên mạng
  • Mỗi VLAN đại diện cho một miền quảng bá riêng biệt. Lưu lượng phát sóng sẽ không được phát giữa các Vlan khác nhau. Nếu bạn định cấu hình cùng một Vlan trên các thiết bị chuyển mạch khác nhau thì các cổng của các thiết bị chuyển mạch khác nhau sẽ tạo thành một miền quảng bá.
  • Tăng cường bảo mật và quản lý mạng
  • Trong mạng được chia thành các mạng con ảo, việc áp dụng các chính sách và quy tắc bảo mật cho từng Vlan sẽ rất thuận tiện. Chính sách này sẽ được áp dụng cho toàn bộ mạng con chứ không phải cho một thiết bị riêng lẻ.
  • Giảm số lượng thiết bị và cáp mạng
  • Để tạo một mạng cục bộ ảo mới, bạn không cần phải mua bộ chuyển mạch hoặc lắp đặt cáp mạng. Tuy nhiên, bạn nên sử dụng các thiết bị chuyển mạch được quản lý đắt tiền hơn có hỗ trợ Vlan.

Cổng được gắn thẻ và không được gắn thẻ

Khi một cổng phải có khả năng nhận hoặc gửi lưu lượng từ các Vlan khác nhau, cổng đó phải ở trạng thái được gắn thẻ hoặc trung kế. Các khái niệm về cổng trung kế và cổng được gắn thẻ đều giống nhau. Một cổng trung kế hoặc được gắn thẻ có thể mang cả Vlan được chỉ định riêng lẻ và tất cả các Vlan mặc định trừ khi có quy định khác. Nếu một cổng không được gắn thẻ thì nó chỉ có thể mang một Vlan (gốc). Nếu một cổng không cho biết nó thuộc Vlan nào thì giả định rằng cổng đó ở trạng thái không được gắn thẻ trong Vlan đầu tiên (VID 1).

Thiết bị khác nhau được cấu hình khác nhau trong trường hợp này. Đối với một thiết bị, bạn cần cho biết trên giao diện vật lý giao diện này đang ở trạng thái nào và mặt khác, trong một Vlan cụ thể, bạn cần cho biết cổng nào được định vị là - có hoặc không có thẻ. Và nếu cổng này cần phải đi qua một số Vlan, thì trong mỗi Vlan này, bạn cần phải đăng ký cổng này bằng một thẻ. Ví dụ, trong các thiết bị chuyển mạch Mạng Enterasys chúng ta phải chỉ ra một cổng nhất định nằm trong Vlan nào và thêm cổng này vào danh sách đầu ra của Vlan này để lưu lượng truy cập có thể đi qua cổng này. Nếu chúng ta muốn lưu lượng của một Vlan khác đi qua cổng của mình thì chúng ta cũng thêm cổng này vào danh sách đầu ra của Vlan này. Trên thiết bị HP(ví dụ: công tắc ProCurve) trong chính Vlan, chúng tôi chỉ ra cổng nào có thể truyền lưu lượng truy cập từ Vlan này và thêm trạng thái của các cổng - được gắn thẻ hoặc không được gắn thẻ. Dễ dàng nhất về phần cứng hệ thống Cisco. Trên các thiết bị chuyển mạch như vậy, chúng tôi chỉ cần chỉ ra cổng nào không được gắn thẻ với Vlan nào (nằm trong truy cập) và cổng nào ở trạng thái được gắn thẻ (trong Thân cây).

Để cấu hình các cổng ở chế độ Thân cây các giao thức đặc biệt đã được tạo ra. Một trong số đó có tiêu chuẩn IEEE 802.1Q. Đây là tiêu chuẩn quốc tế được tất cả các nhà sản xuất hỗ trợ và thường được sử dụng để định cấu hình mạng ảo. Ngoài ra, các nhà sản xuất khác nhau có thể có giao thức truyền dữ liệu riêng. Ví dụ, Ciscođã tạo ra một giao thức cho thiết bị của nó ISL (Liên Switch Lisk).

Định tuyến Intervlan

Định tuyến giữa các vlan là gì? Đây là định tuyến mạng con bình thường. Sự khác biệt duy nhất là mỗi mạng con tương ứng với một VLAN ở cấp độ thứ hai. Nó có nghĩa là gì. Giả sử chúng ta có hai Vlan: VID = 10 và VID = 20. Ở cấp độ thứ hai, các Vlan này chia một mạng thành hai mạng con. Các máy chủ nằm trong các mạng con này không nhìn thấy nhau. Tức là giao thông hoàn toàn bị cô lập. Để các máy chủ có thể liên lạc với nhau, cần định tuyến lưu lượng của các Vlan này. Để làm được điều này, chúng ta cần gán một giao diện cho mỗi Vlan ở cấp độ thứ ba, nghĩa là gắn một địa chỉ IP cho chúng. Ví dụ: đối với địa chỉ IP VID = 10, nó sẽ là 10.0.10.1/24 và đối với địa chỉ IP VID = 20, nó sẽ là 10.0.20.1/24. Những địa chỉ này sẽ tiếp tục đóng vai trò là cổng để truy cập vào các mạng con khác. Do đó, chúng ta có thể định tuyến lưu lượng máy chủ từ Vlan này sang Vlan khác. Định tuyến Vlan làm gì so với định tuyến đơn giản các mạng không có Vlan? Đây là những gì:

  • Khả năng trở thành thành viên của mạng con khác ở phía máy khách bị chặn. Nghĩa là, nếu một máy chủ nằm trong một Vlan nhất định thì ngay cả khi nó thay đổi địa chỉ từ một mạng con khác, nó vẫn sẽ vẫn ở trong Vlan đó. Điều này có nghĩa là nó sẽ không có quyền truy cập vào mạng con khác. Và điều này sẽ bảo vệ mạng khỏi các máy khách “xấu”.
  • Chúng ta có thể đặt nhiều giao diện chuyển mạch vật lý vào một VLAN. Nghĩa là, chúng ta có cơ hội định cấu hình ngay lập tức định tuyến trên bộ chuyển mạch cấp ba bằng cách kết nối các máy khách mạng với nó mà không cần sử dụng bộ định tuyến bên ngoài. Hoặc chúng ta có thể sử dụng bộ định tuyến bên ngoài được kết nối với bộ chuyển mạch lớp thứ hai trên đó Vlan được cấu hình và tạo bao nhiêu giao diện phụ trên cổng bộ định tuyến bằng tổng số Vlan mà nó phải định tuyến.
  • Sẽ rất thuận tiện khi sử dụng cấp độ thứ hai dưới dạng Vlan giữa cấp độ thứ nhất và cấp độ thứ ba. Thật thuận tiện khi đánh dấu các mạng con là Vlan với các giao diện cụ thể. Thật thuận tiện khi định cấu hình một Vlan và đặt một loạt cổng chuyển đổi trong đó. Và nói chung, thật tiện lợi khi làm được nhiều việc khi có VLAN.

9) Định tuyến: tĩnh và động bằng ví dụ về RIP, OSPF và EIGRP.
10) Dịch địa chỉ mạng: NAT và PAT.
11) Giao thức đặt trước chặng đầu tiên: FHRP.
12) Bảo mật mạng máy tính và mạng riêng ảo: VPN.
13) Mạng và giao thức toàn cầu được sử dụng: PPP, HDLC, Frame Relay.
14) Giới thiệu về IPv6, cấu hình và định tuyến.
15) Quản lý mạng và giám sát mạng.

tái bút Có lẽ theo thời gian danh sách sẽ được mở rộng.


Trong các bài viết trước, chúng tôi đã làm việc với nhiều thiết bị mạng, hiểu chúng khác nhau như thế nào và xem xét các khung, gói và PDU khác bao gồm những gì. Về nguyên tắc, với kiến ​​thức này, bạn có thể tổ chức một mạng cục bộ đơn giản và làm việc trong đó. Nhưng thế giới không đứng yên. Ngày càng có nhiều thiết bị xuất hiện làm tải mạng hoặc thậm chí tệ hơn là tạo ra mối đe dọa bảo mật. Và theo quy luật, “nguy hiểm” xuất hiện trước “an toàn”. Bây giờ tôi sẽ chỉ ra điều này bằng một ví dụ rất đơn giản.

Hiện tại, chúng tôi sẽ không đề cập đến bộ định tuyến và các mạng con khác. Giả sử tất cả các nút đều nằm trên cùng một mạng con.

Hãy để tôi cung cấp cho bạn danh sách các địa chỉ IP:

  1. PC1 – 192.168.1.2/24
  2. PC2 – 192.168.1.3/24
  3. PC3 – 192.168.1.4/24
  4. PC4 – 192.168.1.5/24
  5. PC5 – 192.168.1.6/24
  6. PC6 – 192.168.1.7/24
Chúng tôi có 3 phòng ban: phòng ban giám đốc, phòng kế toán, phòng nhân sự. Mỗi bộ phận có công tắc riêng và chúng được kết nối thông qua công tắc trung tâm trên cùng. Và vì vậy PC1 gửi ping đến PC2.






Ai muốn xem hình ảnh động này, hãy mở spoiler (nó hiển thị ping từ PC1 đến PC5).

Hoạt động mạng trong một miền quảng bá


Đẹp phải không? Trong các bài viết trước, chúng ta đã nói nhiều lần về hoạt động của giao thức ARP, nhưng đó là năm ngoái nên tôi sẽ giải thích ngắn gọn. Vì PC1 không biết địa chỉ MAC (hoặc địa chỉ lớp liên kết) của PC2 nên nó sẽ gửi ARP tới trinh sát để có thể biết được. Nó đến với công tắc, từ đó nó được chuyển tiếp đến tất cả các cổng đang hoạt động, nghĩa là đến PC2 và đến công tắc trung tâm. Từ công tắc trung tâm, nó sẽ bay ra các công tắc lân cận, v.v. cho đến khi đến được với mọi người. Đây không phải là một lượng nhỏ lưu lượng truy cập do một tin nhắn ARP gây ra. Tất cả những người tham gia mạng đã nhận được nó. Lưu lượng truy cập lớn và không cần thiết là vấn đề đầu tiên. Vấn đề thứ hai là bảo mật. Tôi nghĩ họ nhận thấy rằng tin nhắn thậm chí còn đến được bộ phận kế toán, nơi máy tính của họ hoàn toàn không liên quan đến việc này. Bất kỳ kẻ tấn công nào kết nối với bất kỳ thiết bị chuyển mạch nào cũng sẽ có quyền truy cập vào toàn bộ mạng. Về nguyên tắc, các mạng thường hoạt động theo cách này. Các máy tính được đặt trong cùng một môi trường kênh và chỉ được phân tách bằng bộ định tuyến. Nhưng thời gian trôi qua và cần phải giải quyết vấn đề này ở cấp độ liên kết. Cisco, với tư cách là người tiên phong, đã đưa ra giao thức riêng của mình để gắn thẻ các khung và xác định thuộc về một môi trường kênh cụ thể. Nó được gọi là ISL (Liên kết chuyển mạch liên kết). Mọi người đều thích ý tưởng này và IEEE quyết định phát triển một tiêu chuẩn mở tương tự. Tiêu chuẩn được đặt tên 802.1q. Nó đã trở nên phổ biến rộng rãi và Cisco cũng quyết định chuyển sang nó.
Và chính công nghệ VLAN dựa trên hoạt động của giao thức 802.1q. Hãy bắt đầu nói về cô ấy rồi.

Trong phần tôi đã trình bày khung ethernet trông như thế nào. Nhìn vào nó và làm mới bộ nhớ của bạn. Khung không được gắn thẻ sẽ trông như thế này.

Bây giờ chúng ta hãy nhìn vào cái được gắn thẻ.

Như bạn có thể thấy, sự khác biệt là ở chỗ một số Nhãn. Đây là điều thú vị đối với chúng tôi. Hãy đào sâu hơn. Nó bao gồm 4 phần.

1) TPID (ID giao thức thẻ) hoặc Mã định danh giao thức được gắn thẻ- bao gồm 2 byte và đối với Vlan luôn bằng 0x8100.
2) PCP (Điểm mã ưu tiên) hoặc giá trị ưu tiên- gồm 3 bit. Được sử dụng để ưu tiên lưu lượng truy cập. Quản trị viên hệ thống sành điệu và có râu biết cách quản lý và vận hành nó một cách chính xác khi có lưu lượng truy cập khác nhau trên mạng (thoại, video, dữ liệu, v.v.)
3) CFI (Chỉ báo định dạng chuẩn) hoặc chỉ báo định dạng chuẩn- một trường đơn giản bao gồm một bit. Nếu là 0 thì đây là định dạng địa chỉ MAC tiêu chuẩn.
4) VID (ID VLAN tiếng Anh) hoặc mã định danh Vlan- bao gồm 12 bit và hiển thị khung được đặt ở VLAN nào.

Tôi muốn thu hút sự chú ý đến thực tế là việc gắn thẻ khung được thực hiện giữa các thiết bị mạng (bộ chuyển mạch, bộ định tuyến, v.v.), nhưng các khung không được gắn thẻ giữa nút cuối (máy tính, máy tính xách tay) và thiết bị mạng. Do đó, một cổng thiết bị mạng có thể ở 2 trạng thái: truy cập hoặc Thân cây.

  • Cổng truy cập hoặc cổng truy cập- một cổng nằm trong một Vlan cụ thể và truyền các khung không được gắn thẻ. Thông thường đây là cổng đối diện với thiết bị người dùng.
  • Cổng trung kế hoặc cổng trung kế- cổng truyền lưu lượng được gắn thẻ. Thông thường, cổng này tăng lên giữa các thiết bị mạng.
Bây giờ tôi sẽ chứng minh điều này trong thực tế. Tôi đang mở phòng thí nghiệm tương tự. Tôi sẽ không lặp lại hình ảnh mà sẽ ngay lập tức mở công tắc và xem nó có gì với Vlan.

Tôi đang tuyển một đội hiển thị vlan.


Một số bàn được xếp thành hàng. Trên thực tế, chỉ có điều đầu tiên là quan trọng đối với chúng tôi. Bây giờ tôi sẽ chỉ cho bạn cách đọc nó.

1 cột là số VLAN. Số 1 ban đầu xuất hiện ở đây - đây là Vlan tiêu chuẩn, ban đầu xuất hiện trên mọi switch. Nó thực hiện một chức năng khác mà tôi sẽ viết dưới đây. Ngoài ra còn có những cái dành riêng từ 1002-1005. Điều này dành cho các phương tiện truyền thông kênh khác mà ngày nay khó có thể được sử dụng. Bạn cũng không thể xóa chúng.

Switch(config)#no vlan 1005 VLAN 1005 mặc định không thể bị xóa.
Khi xóa, Cisco hiển thị thông báo VLAN này không thể xóa được. Vì vậy, chúng ta sống và không chạm vào 4 VLAN này.

cột thứ 2 là tên VLAN. Khi tạo VLAN, bạn có thể tùy ý nghĩ ra những cái tên có ý nghĩa cho chúng để sau này có thể nhận dạng được. Đã có mặc định, fddi-default, token-ring-default, fddinet-default, trnet-default.

3 cột- trạng thái. Điều này cho thấy trạng thái của VLAN. Hiện tại, VLAN 1 hoặc mặc định đang ở trạng thái hoạt động và 4 cái tiếp theo là hoạt động/hủy (mặc dù hoạt động nhưng chúng không được hỗ trợ).

4 cột- cổng. Điều này cho thấy các cổng thuộc về VLAN nào. Bây giờ chúng ta chưa chạm vào bất cứ thứ gì, chúng ở chế độ mặc định.

Hãy bắt đầu thiết lập các công tắc. Đó là một cách tốt để đặt cho các thiết bị chuyển mạch của bạn những cái tên có ý nghĩa. Đó là những gì chúng tôi sẽ làm. Tôi sẽ mang đội tới.

Switch(config)#tên máy chủ CentrSW CentrSW(config)#
Phần còn lại được cấu hình theo cách tương tự, vì vậy tôi sẽ hiển thị cho bạn sơ đồ cấu trúc liên kết được cập nhật.


Hãy bắt đầu thiết lập với switch SW1. Đầu tiên, hãy tạo một VLAN trên switch.

SW1(config)#vlan 2 - tạo VLAN 2 (VLAN 1 được dự trữ theo mặc định, vì vậy hãy lấy cái tiếp theo). SW1(config-vlan)#name Dir-ya - chúng tôi vào cài đặt Vlan và đặt tên cho nó.
VLAN đã được tạo. Bây giờ hãy chuyển sang các cổng. Giao diện FastEthernet0/1 nhìn vào PC1 và FastEthernet0/2 nhìn vào PC2. Như đã đề cập trước đó, các khung giữa chúng phải được truyền đi mà không được gắn thẻ, vì vậy hãy chuyển chúng sang trạng thái Access.

SW1(config)#interface fastEthernet 0/1 - tiến hành thiết lập cổng thứ 1. SW1(config-if)#truy cập chế độ switchport - chuyển cổng sang chế độ truy cập. SW1(config-if)#switchport truy cập vlan 2 - gán VLAN thứ 2 cho cổng. SW1(config)#interface fastEthernet 0/2 - tiến hành thiết lập cổng thứ 2. SW1(config-if)#truy cập chế độ switchport - chuyển cổng sang chế độ truy cập. SW1(config-if)#switchport truy cập vlan 2 - gán VLAN thứ 2 cho cổng.
Vì cả hai cổng đều được gán cho cùng một VLAN nên chúng vẫn có thể được cấu hình thành một nhóm.

SW1(config)#interface range fastEthernet 0/1-2 - nghĩa là chọn một nhóm rồi thiết lập tương tự. SW1(config-if-range)#truy cập chế độ switchport SW1(config-if-range)#truy cập switchport vlan 2
Các cổng truy cập được cấu hình. Bây giờ hãy cấu hình một đường trục giữa SW1 và CentrSW.

SW1(config)#interface fastEthernet 0/24 - tiến hành thiết lập cổng thứ 24. SW1(config-if)#switchport mode trunk - chuyển cổng sang chế độ trunk. %LINEPROTO-5-UPDOWN: Giao thức đường truyền trên Giao diện FastEthernet0/24, đã thay đổi trạng thái thành xuống %LINEPROTO-5-UPDOWN: Giao thức đường truyền trên Giao diện FastEthernet0/24, đã thay đổi trạng thái thành lên
Chúng ta thấy ngay rằng cổng đã được cấu hình lại. Về nguyên tắc, điều này là đủ cho công việc. Nhưng từ quan điểm bảo mật, chỉ những Vlan thực sự cần thiết mới được phép truyền. Bắt đầu nào.

SW1(config-if)#switchport trunk cho phép vlan 2 - chỉ cho phép truyền Vlan thứ 2.
Nếu không có lệnh này, tất cả các VLAN có sẵn sẽ được truyền đi. Hãy xem bảng đã thay đổi như thế nào với lệnh hiển thị vlan.


Một VLAN thứ 2 có tên Dir-ya đã xuất hiện và chúng ta thấy các cổng fa0/1 và fa0/2 thuộc về nó.

Để chỉ hiển thị bảng trên cùng, bạn có thể sử dụng lệnh hiển thị tóm tắt vlan.


Bạn có thể rút ngắn hơn nữa đầu ra nếu bạn chỉ định một ID Vlan cụ thể.


Hoặc tên của anh ấy.


Tất cả thông tin Vlan được lưu trữ trong bộ nhớ flash trong tệp vlan.dat.


Như bạn đã nhận thấy, không có lệnh nào chứa thông tin về đường trục. Nó có thể được xem bởi một nhóm khác hiển thị giao diện thân cây.


Ở đây có thông tin về các cổng trung kế và những VLAN mà chúng truyền tải. Ở đây cũng có một cột vlan gốc. Đây chính xác là loại lưu lượng truy cập không nên được gắn thẻ. Nếu một khung không được gắn thẻ đến switch, nó sẽ tự động được gán cho Vlan gốc (theo mặc định và trong trường hợp của chúng tôi, đây là Vlan 1). Có thể sử dụng VLAN gốc nhưng nhiều người cho rằng nó cần được thay đổi vì lý do bảo mật. Để thực hiện việc này, ở chế độ cấu hình cổng trung kế, bạn cần sử dụng lệnh - tổng đài gốc vlan X, Ở đâu X- số lượng VLAN được chỉ định. Chúng tôi sẽ không thay đổi cấu trúc liên kết này, nhưng sẽ rất hữu ích nếu biết cách thực hiện.

Tất cả những gì còn lại là cấu hình các thiết bị còn lại.

Trung tâmSW:
Switch trung tâm là liên kết kết nối, nghĩa là nó phải biết về tất cả các VLAN. Do đó, trước tiên chúng tôi tạo chúng, sau đó chuyển tất cả các giao diện sang chế độ trung kế.

CentrSW(config)#vlan 2 CentrSW(config-vlan)# tên Dir-ya CentrSW(config)#vlan 3 CentrSW(config-vlan)# tên buhgalter CentrSW(config)#vlan 4 CentrSW(config-vlan)# tên otdel -kadrov CentrSW(config)#phạm vi giao diện fastEthernet 0/1-3 CentrSW(config-if-range)#trung kế chế độ switchport
Đừng quên lưu config. Đội sao chép Running-config startup-config.

SW2(config)#vlan 3 SW2(config-vlan)#name buhgalter SW2(config)#interface range fastEthernet 0/1-2 SW2(config-if-range)#truy cập chế độ switchport SW2(config-if-range)# truy cập cổng chuyển mạch vlan 3 SW2(config)#giao diện fastEthernet 0/24 SW2(config-if)#trung kế chế độ switchport SW2(config-if)#cho phép trung kế switchport vlan 3
SW3:

SW3(config)#vlan 4 SW3(config-vlan)#name otdel kadrov SW3(config)#interface range fastEthernet 0/1-2 SW3(config-if-range)#truy cập chế độ switchport SW3(config-if-range) #switchport truy cập vlan 4 SW3(config)#interface fastEthernet 0/24 SW3(config-if)#switchport mode trunk SW3(config-if)#switchport trunk cho phép vlan 4
Xin lưu ý rằng chúng tôi đã nâng cấp và định cấu hình Vlan nhưng vẫn giữ nguyên địa chỉ của các nút. Nghĩa là, hầu như tất cả các nút đều nằm trên cùng một mạng con nhưng được phân tách bằng Vlan. Bạn không thể làm điều đó. Mỗi VLAN phải được gán một mạng con riêng. Tôi đã làm điều này chỉ vì mục đích giáo dục. Nếu mỗi bộ phận nằm trong mạng con riêng của mình thì chúng sẽ bị giới hạn ưu tiên vì bộ chuyển mạch không biết cách định tuyến lưu lượng truy cập từ mạng con này sang mạng con khác (cộng với điều này đã là một hạn chế ở cấp độ mạng). Và chúng ta cần giới hạn các phòng ban ở cấp độ liên kết.
Tôi ping PC1 đến PC3 lần nữa.

ARP đang được sử dụng, đó là thứ chúng ta cần bây giờ. Hãy mở nó.

Chưa có gì mới. ARP được gói gọn trong ethernet.

Frame đến switch và được gắn thẻ. Bây giờ không có ethernet thông thường mà là 802.1q. Các trường mà tôi đã viết trước đó đã được thêm vào. Cái này TPID, bằng 8100 và chỉ ra rằng nó là 802.1q. VÀ TCI, kết hợp 3 trường PCP, CFI và VID. Số trong trường này là số VLAN. Tiếp tục nào.


Sau thẻ, nó sẽ gửi khung tới PC2 (vì nó nằm trong cùng một Vlan) và tới bộ chuyển mạch trung tâm thông qua cổng trung kế.


Vì nó không được xác định chặt chẽ loại Vlan nào sẽ đi qua cổng nào nên nó sẽ gửi đến cả hai thiết bị chuyển mạch. Và ở đây, các thiết bị chuyển mạch, khi nhìn thấy số Vlan, hiểu rằng họ không có thiết bị có Vlan như vậy và mạnh dạn loại bỏ nó.


PC1 đang chờ phản hồi nhưng nó không bao giờ đến. Bạn có thể nhìn thấy nó dưới spoiler dưới dạng hoạt hình.

Hoạt hình


Bây giờ là tình huống tiếp theo. Một người khác được thuê vào làm ban giám đốc nhưng văn phòng ban giám đốc không còn chỗ trống và họ tạm thời yêu cầu bố trí một người vào bộ phận kế toán. Hãy giải quyết vấn đề này.


Chúng tôi đã kết nối máy tính với cổng FastEthernet 0/3 của switch và gán địa chỉ IP 192.168.1.8/24.
Bây giờ tôi sẽ cấu hình switch SW2. Vì máy tính phải ở VLAN thứ 2 mà switch không biết nên mình sẽ tạo nó trên switch.

SW2(config)#vlan 2 SW2(config-vlan)#name Dir-ya
Tiếp theo, chúng tôi định cấu hình cổng FastEthernet 0/3, trông giống như PC7.

SW2(config)#giao diện fastEthernet 0/3 SW2(config-if)#truy cập chế độ switchport SW2(config-if)#truy cập switchport vlan 2
Và việc cuối cùng là cấu hình cổng trunk.

SW2(config)#interface fastEthernet 0/24 SW2(config-if)#switchport trunk cho phép vlan add 2 - chú ý đến lệnh này. Cụ thể là từ khóa "thêm". Nếu bạn không thêm từ này, bạn sẽ xóa tất cả các VLAN khác được phép truyền trên cổng này. Do đó, nếu bạn đã có một đường trục được nâng lên trên cổng và các Vlan khác đã được truyền đi, thì bạn cần thêm nó theo cách này.
Để các khung hình trôi chảy đẹp mắt, tôi sẽ điều chỉnh công tắc trung tâm Trung tâmSW.

CentrSW(config)#interface fastEthernet 0/1 CentrSW(config-if)#switchport trunk cho phép vlan 2 CentrSW(config)#interface fastEthernet 0/2 CentrSW(config-if)#switchport trunk cho phép vlan 2,3 CentrSW(config) #interface fastEthernet 0/3 CentrSW(config-if)#switchport trunk cho phép vlan 4
Kiểm tra thời gian. Tôi gửi ping từ PC1 đến PC7.



Cho đến nay, toàn bộ đường dẫn vẫn tương tự như đường dẫn trước. Nhưng kể từ thời điểm này (từ hình bên dưới) công tắc trung tâm sẽ đưa ra quyết định khác. Anh ta nhận được khung và thấy rằng nó được gắn thẻ Vlan thứ 2. Điều này có nghĩa là nó chỉ nên được gửi đến nơi được phép, tức là tới cổng fa0/2.


Và bây giờ anh ấy đến với SW2. Chúng tôi mở nó và thấy rằng nó vẫn được gắn thẻ. Nhưng nút tiếp theo là máy tính và thẻ phải được gỡ bỏ. Nhấp vào “Chi tiết PDU gửi đi” để xem khung sẽ rời khỏi công tắc như thế nào.


Và thực sự. Công tắc sẽ gửi khung ở dạng "sạch", nghĩa là không có thẻ.


ARP đạt tới PC7. Chúng tôi mở nó và đảm bảo rằng khung PC7 không được gắn thẻ sẽ tự nhận dạng và gửi phản hồi.


Chúng tôi mở khung trên công tắc và thấy rằng nó sẽ được gắn thẻ gửi đi. Sau đó khung sẽ di chuyển theo cách tương tự như nó đã đến.



ARP đạt tới PC1, bằng chứng là dấu kiểm trên phong bì. Bây giờ anh ấy đã biết địa chỉ MAC và sử dụng ICMP.


Chúng tôi mở gói trên công tắc và thấy hình ảnh tương tự. Ở lớp liên kết, khung được gắn thẻ bằng switch. Điều này sẽ xảy ra với mọi tin nhắn.




Chúng tôi thấy rằng gói đã tiếp cận thành công PC7. Tôi sẽ không chỉ đường về vì nó cũng tương tự. Nếu ai quan tâm thì có thể xem toàn bộ đường dẫn trong ảnh động bên dưới spoiler bên dưới. Và nếu bạn muốn tự mình tìm hiểu cấu trúc liên kết này, tôi sẽ đính kèm một liên kết đến phòng thí nghiệm.

Logic hoạt động của VLAN



Về nguyên tắc, đây là cách sử dụng VLAN phổ biến nhất. Bất kể vị trí thực tế, bạn có thể kết hợp các nút thành các nhóm một cách hợp lý, từ đó cách ly chúng với các nút khác. Rất thuận tiện khi nhân viên làm việc ở nhiều nơi khác nhau nhưng phải đoàn kết. Và tất nhiên, từ quan điểm bảo mật, các Vlan không thể thay thế cho nhau. Điều chính là một nhóm người hạn chế có quyền truy cập vào các thiết bị mạng, nhưng đây là một chủ đề riêng biệt.
Chúng tôi đã đạt được các hạn chế ở cấp độ liên kết. Giao thông không còn đi đâu nữa mà đi đúng như dự định. Nhưng bây giờ câu hỏi đặt ra là các bộ phận cần liên lạc với nhau. Và vì chúng ở trong các môi trường kênh khác nhau nên việc định tuyến sẽ phát huy tác dụng. Nhưng trước khi bắt đầu, hãy sắp xếp cấu trúc liên kết theo thứ tự. Điều đầu tiên chúng ta sẽ bắt tay vào là giải quyết các nút. Tôi nhắc lại rằng mỗi bộ phận phải nằm trong mạng con riêng của nó. Tổng cộng chúng tôi nhận được:
  • Tổng cục - 192.168.1.0/24
  • Kế toán - 192.168.2.0/24
  • Phòng nhân sự - 192.168.3.0/24


Khi các mạng con được xác định, chúng tôi sẽ xử lý ngay các nút.
  1. PC1:
    IP: 192.168.1.2
    Mặt nạ: 255.255.255.0 hoặc /24
    Cổng: 192.168.1.1
  2. PC2:
    IP: 192.168.1.3
    Mặt nạ: 255.255.255.0 hoặc /24
    Cổng: 192.168.1.1
  3. PC3:
    IP: 192.168.2.2
    Mặt nạ: 255.255.255.0 hoặc /24
    Cổng: 192.168.2.1
  4. PC4:
    IP: 192.168.2.3
    Mặt nạ: 255.255.255.0 hoặc /24
    Cổng: 192.168.2.1
  5. PC5:
    IP: 192.168.3.2
    Mặt nạ: 255.255.255.0 hoặc /24
    Cổng: 192.168.3.1
  6. PC6:
    IP: 192.168.3.3
    Mặt nạ: 255.255.255.0 hoặc /24
    Cổng: 192.168.3.1
  7. PC7:
    IP: 192.168.1.4
    Mặt nạ: 255.255.255.0 hoặc /24
    Cổng: 192.168.1.1
Bây giờ về những thay đổi trong cấu trúc liên kết. Chúng tôi thấy rằng một bộ định tuyến đã được thêm vào. Nó sẽ chỉ chuyển lưu lượng truy cập từ Vlan này sang Vlan khác (nói cách khác là tuyến đường). Ban đầu, không có kết nối nào giữa nó và switch vì các giao diện bị tắt.
Các nút hiện đã thêm một tham số như địa chỉ cổng. Họ sử dụng địa chỉ này khi họ cần gửi tin nhắn đến một nút nằm trên mạng con khác. Theo đó, mỗi mạng con có cổng riêng.

Tất cả những gì còn lại là định cấu hình bộ định tuyến và tôi mở CLI của nó. Theo truyền thống, tôi sẽ đặt một cái tên có ý nghĩa.

Bộ định tuyến(config)#tên máy chủ Cổng cổng(config)#
Tiếp theo chúng ta chuyển sang thiết lập giao diện.

Gateway(config)#interface fastEthernet 0/0 - đi tới giao diện được yêu cầu. Cổng(config-if)#không tắt máy - kích hoạt nó. %LINK-5-CHANGED: Giao diện FastEthernet0/0, đã thay đổi trạng thái thành up %LINEPROTO-5-UPDOWN: Giao thức đường truyền trên Giao diện FastEthernet0/0, đã thay đổi trạng thái thành up
Bây giờ hãy chú ý! Chúng tôi đã kích hoạt giao diện nhưng không gán địa chỉ IP cho nó. Thực tế là chỉ cần một liên kết hoặc kênh từ giao diện vật lý (fastethernet 0/0). Vai trò của các cổng sẽ được thực hiện bởi các giao diện ảo hoặc giao diện phụ. Hiện nay có 3 loại VLAN. Nghĩa là sẽ có 3 subinterface, chúng ta bắt đầu thiết lập nhé.

Cổng(config)#giao diện fastEthernet 0/0.2 Cổng(config-if)#đóng gói dot1Q 2 Cổng(config-if)#địa chỉ ip 192.168.1.1 255.255.255.0 Cổng(config)#giao diện fastEthernet 0/0.3 Cổng(config-if )#encapsulation dot1Q 3 Gateway(config-if)#địa chỉ ip 192.168.2.1 255.255.255.0 Gateway(config)#interface fastEthernet 0/0.4 Gateway(config-if)#encapsulation dot1Q 4 Gateway(config-if)#địa chỉ ip 192.168 .3.1 255.255.255.0
Bộ định tuyến được cấu hình. Chúng ta hãy đến bộ chuyển mạch trung tâm và định cấu hình một cổng trung kế trên đó để nó chuyển các khung được gắn thẻ đến bộ định tuyến.

CentrSW(config)#giao diện fastEthernet 0/24 CentrSW(config-if)#trung kế chế độ switchport CentrSW(config-if)#cho phép trung kế switchport vlan 2,3,4
Cấu hình đã hoàn tất và chúng ta hãy chuyển sang thực hành. Tôi gửi ping từ PC1 đến PC6 (nghĩa là tới 192.168.3.3).


PC1 không biết PC6 hay 192.168.3.3 là ai, nhưng biết rằng chúng nằm trên các mạng con khác nhau (vì anh ấy hiểu điều này được mô tả trong bài viết). Do đó, nó sẽ gửi tin nhắn qua cổng mặc định, địa chỉ được chỉ định trong cài đặt của nó. Và mặc dù PC1 biết địa chỉ IP của cổng chính nhưng nó lại thiếu địa chỉ MAC nên hoàn toàn hài lòng. Và anh ấy ra mắt ARP.




Ghi chú. Khi một khung đến CentrSW, bộ chuyển mạch sẽ không phát khung đó cho bất kỳ ai. Nó chỉ gửi đến những cổng mà Vlan thứ 2 được phép đi qua. Tức là trên bộ định tuyến và trên SW2 (có một người dùng đang ngồi trong VLAN thứ 2).


Bộ định tuyến nhận ra chính nó và gửi phản hồi (được hiển thị bằng mũi tên). Và chú ý đến khung dưới cùng. Khi SW2 nhận được ARP từ bộ chuyển mạch trung tâm, tương tự, nó không gửi nó đến tất cả các máy tính mà chỉ gửi PC7, nằm trong Vlan thứ 2. Nhưng PC7 từ chối vì nó không dành cho anh ấy. Hãy nhìn xa hơn.



ARP đạt PC1. Bây giờ anh ấy đã biết mọi thứ và có thể gửi ICMP. Hãy để tôi lưu ý bạn một lần nữa rằng địa chỉ MAC đích (lớp liên kết) sẽ là địa chỉ của bộ định tuyến và địa chỉ IP đích (lớp mạng) sẽ là địa chỉ PC6.




ICMP đến bộ định tuyến. Anh ấy nhìn vào bảng tính của mình và nhận ra rằng anh ấy không biết ai ở số 192.168.3.3. Loại bỏ ICMP đang đến và cho phép bộ điều chỉnh ARP.





PC6 nhận ra chính nó và gửi phản hồi.




Phản hồi đến bộ định tuyến và nó thêm một mục vào bảng của nó. Bạn có thể xem bảng ARP bằng lệnh hiển thị arp.
Tiếp tục nào. PC1 không vui vì không có ai trả lời mình và gửi tin nhắn ICMP sau.








Lần này ICMP đến mà không gặp vấn đề gì. Anh ấy sẽ đi theo con đường tương tự để trở về. Tôi sẽ chỉ cho bạn thấy kết quả cuối cùng.


Gói đầu tiên bị mất (do ARP), nhưng gói thứ hai đã đến mà không gặp vấn đề gì.
Ai muốn xem nó dưới dạng hoạt hình, chào mừng bạn đến với phần tiết lộ nội dung.

Định tuyến giữa các Vlan



Vì thế. Chúng tôi đã đạt được điều đó nếu các nút nằm trong cùng một mạng con và trong cùng một Vlan thì chúng sẽ đi trực tiếp qua các bộ chuyển mạch. Trong trường hợp bạn cần truyền một tin nhắn đến một mạng con và Vlan khác, nó sẽ được truyền qua bộ định tuyến Gateway, thực hiện định tuyến “inter-vlan”. Cấu trúc liên kết này được gọi là "bộ định tuyến trên một cây gậy" hoặc "bộ định tuyến trên một cây gậy". Như bạn hiểu, nó rất thuận tiện. Chúng tôi đã tạo 3 giao diện ảo và gửi các khung được gắn thẻ khác nhau dọc theo một dây. Nếu không sử dụng giao diện con và Vlan, bạn sẽ phải sử dụng giao diện vật lý riêng cho từng mạng con, điều này hoàn toàn không mang lại lợi nhuận.

Nhân tiện, câu hỏi này được thảo luận rất kỹ trong video này (video dài khoảng 3 giờ, vì vậy liên kết được liên kết đến thời điểm chính xác đó). Nếu sau khi đọc và xem video mà bạn muốn tự mình hoàn thành mọi thứ thì tôi sẽ đính kèm link tải xuống.

Chúng tôi đã xử lý Vlan và chuyển sang một trong các giao thức hoạt động với nó.
DTP (Giao thức trung kế động) hoặc bằng tiếng Nga giao thức trung kế động- Giao thức độc quyền của Cisco được sử dụng để thực hiện chế độ trung kế giữa các thiết bị chuyển mạch. Mặc dù, tùy thuộc vào trạng thái, chúng cũng có thể nhất quán trong chế độ truy cập.

DTP có 4 chế độ: Dynamic auto, Dynamic mong muốn, Trunk, Access. Hãy xem chúng phù hợp với nhau như thế nào.

Chế độ Tự động động Năng động mong muốn Thân cây Truy cập
Tự động động Truy cập Thân cây Thân cây Truy cập
Năng động mong muốn Thân cây Thân cây Thân cây Truy cập
Thân cây Thân cây Thân cây Thân cây Không có kết nối
Truy cập Truy cập Truy cập Không có kết nối Truy cập

Tức là cột bên trái là thiết bị thứ 1, dòng trên cùng là thiết bị thứ 2. Theo mặc định, các công tắc ở chế độ “tự động động”. Nếu bạn nhìn vào bảng ánh xạ, hai công tắc ở chế độ “tự động động” được khớp với chế độ “truy cập”. Hãy kiểm tra điều này. Tôi đang tạo một phòng thí nghiệm mới và thêm 2 công tắc.


Tôi sẽ chưa kết nối chúng. Tôi cần đảm bảo rằng cả hai công tắc đều ở chế độ "tự động động". Tôi sẽ kiểm tra với đội hiển thị giao diện switchport.


Kết quả của lệnh này rất lớn nên tôi đã cắt bớt và đánh dấu những điểm cần quan tâm. Hãy bắt đầu với Chế độ quản trị. Dòng này hiển thị chế độ nào trong số 4 chế độ mà một cổng nhất định trên switch hoạt động. Đảm bảo rằng các cổng trên cả hai công tắc đều ở chế độ “Tự động động”. Và dòng Chế độ hoạt động cho thấy họ đã đồng ý thực hiện phương thức hoạt động nào. Chúng ta chưa kết nối chúng nên chúng đang ở trạng thái “không hoạt động”.

Tôi sẽ cho bạn lời khuyên tốt ngay lập tức. Khi kiểm tra bất kỳ giao thức nào, hãy sử dụng các bộ lọc. Vô hiệu hóa hiển thị tất cả các giao thức bạn không cần.

Tôi chuyển CPT sang chế độ mô phỏng và lọc ra tất cả các giao thức ngoại trừ DTP.



Tôi nghĩ mọi thứ đều rõ ràng ở đây. Tôi kết nối các công tắc bằng cáp và khi các liên kết được nâng lên, một trong các công tắc sẽ tạo ra thông báo DTP.


Tôi mở nó ra và thấy đó là DTP được gói gọn trong khung Ethernet. Anh ta gửi nó đến địa chỉ multicast “0100.0ccc.cccc”, đề cập đến các giao thức DTP, VTP, CDP.
Và để tôi lưu ý bạn đến 2 trường trong tiêu đề DTP.

1) Loại DTP- ở đây người gửi chèn một đề xuất. Tức là anh ta muốn tuân theo chế độ nào? Trong trường hợp của chúng tôi, anh ấy đề nghị đồng ý về “quyền truy cập”.
2) Địa chỉ MAC lân cận- trong trường này anh ấy viết địa chỉ MAC của cổng của mình.

Anh ta gửi nó và chờ phản hồi từ người hàng xóm.


Tin nhắn đến SW1 và nó tạo ra phản hồi. Nó cũng đàm phán chế độ “truy cập”, chèn địa chỉ MAC của nó và gửi nó trên đường tới SW2.


DTP đạt thành công. Về lý thuyết, lẽ ra chúng phải được thỏa thuận ở chế độ “truy cập”. Tôi sẽ kiểm tra.


Đúng như dự đoán, họ đã đồng ý với chế độ “truy cập”.
Một số người nói rằng công nghệ này thuận tiện và sử dụng nó. Nhưng tôi thực sự khuyên bạn không nên sử dụng giao thức này trên mạng của mình. Tôi không phải là người duy nhất đề xuất điều này và bây giờ tôi sẽ giải thích lý do. Vấn đề là giao thức này mở ra một lỗ hổng bảo mật lớn. Tôi sẽ mở phòng thí nghiệm trong đó công việc “Bộ định tuyến trên gậy” đã được phân tích và thêm một công tắc khác vào đó.


Bây giờ mình sẽ vào cài đặt của switch mới và hardcode cổng để hoạt động ở chế độ trunk.

Mới_SW(config)#interface fastEthernet 0/1 New_SW(config-if)#trung kế chế độ switchport
Tôi kết nối chúng và xem chúng khớp như thế nào.


Đúng rồi. Các chế độ “tự động động” và “trung kế” được phối hợp thành Thân cây. Bây giờ chúng tôi đang chờ ai đó bắt đầu hoạt động. Giả sử PC1 quyết định gửi tin nhắn cho ai đó. Tạo ARP và phát hành nó lên mạng.


Hãy bỏ qua đường đi của anh ta cho đến khi anh ta đến được SW2.


Và đây là phần thú vị.


Nó sẽ gửi nó đến switch mới được kết nối. Tôi giải thích chuyện gì đã xảy ra. Ngay sau khi chúng tôi đã đồng ý về một chiếc hòm với anh ấy, anh ấy bắt đầu gửi cho anh ấy tất cả các khung hình đến. Mặc dù sơ đồ cho thấy switch đang loại bỏ các khung nhưng điều này không có ý nghĩa gì. Bạn có thể kết nối bất kỳ thiết bị chặn (thiết bị đánh hơi) nào với bộ chuyển mạch hoặc thay vì bộ chuyển mạch và bình tĩnh xem những gì đang xảy ra trên mạng. Có vẻ như anh ta đã chặn được một ARP vô hại. Nhưng nếu nhìn sâu hơn, bạn có thể thấy rằng địa chỉ MAC “0000.0C1C.05DD” và địa chỉ IP “192.168.1.2” đã được biết đến. Tức là PC1 đã ra đi không cần suy nghĩ. Bây giờ kẻ tấn công đã biết về một máy tính như vậy. Ngoài ra, anh ta biết rằng mình đang ngồi trong VLAN thứ 2. Sau đó anh ấy có thể làm được rất nhiều thứ. Phổ biến nhất là thay địa chỉ MAC, địa chỉ IP, đồng ý nhanh trong Access và mạo danh PC1. Nhưng điều thú vị nhất. Rốt cuộc, bạn có thể không hiểu điều này ngay lập tức. Thông thường, khi chúng ta chỉ định chế độ hoạt động của một cổng, nó sẽ hiển thị ngay trong cấu hình. tôi bước vào hiển thị cấu hình đang chạy.


Nhưng ở đây cài đặt cổng trống. tôi bước vào hiển thị giao diện switchport và cuộn đến fa0/4.


Và ở đây chúng ta thấy rằng thân cây đã được thống nhất. show Running-config không phải lúc nào cũng cung cấp thông tin đầy đủ. Vì vậy, hãy nhớ các lệnh khác.

Tôi nghĩ rõ ràng tại sao bạn không thể tin tưởng vào giao thức này. Nó dường như làm cho cuộc sống dễ dàng hơn nhưng đồng thời nó có thể tạo ra một vấn đề lớn. Vì vậy hãy dựa vào phương pháp thủ công. Khi thiết lập, hãy quyết định ngay cổng nào sẽ hoạt động ở chế độ trung kế và cổng nào sẽ hoạt động ở chế độ truy cập. Và quan trọng nhất là luôn tắt hòa giải. Để các công tắc không cố gắng đồng ý với bất kỳ ai. Điều này được thực hiện bằng lệnh “switchport nonegoiate”.

Hãy chuyển sang giao thức tiếp theo.

VTP (Giao thức trung kế Vlan)- một giao thức độc quyền của Cisco được sử dụng để trao đổi thông tin về VLAN.

Hãy tưởng tượng tình huống bạn có 40 switch và 70 VLAN. Một ý tưởng hay là bạn cần tạo chúng theo cách thủ công trên mỗi switch và chỉ định cổng trung kế nào sẽ cho phép truyền. Đây là một quá trình tẻ nhạt và lâu dài. Vì vậy, VTP có thể đảm nhận nhiệm vụ này. Bạn tạo một VLAN trên một switch và tất cả các switch khác được đồng bộ hóa với cơ sở của nó. Hãy xem cấu trúc liên kết sau đây.


Có 4 công tắc ở đây. Một trong số đó là máy chủ VTP và 3 cái còn lại là máy khách. Những Vlan sẽ được tạo trên máy chủ sẽ được tự động đồng bộ hóa trên máy khách. Tôi sẽ giải thích cách VTP hoạt động và nó có thể làm gì.

Vì thế. VTP có thể tạo, sửa đổi và xóa Vlan. Mỗi hành động như vậy làm cho số sửa đổi tăng lên (mỗi hành động tăng số lượng lên +1). Sau đó, anh ta gửi quảng cáo có chứa số sửa đổi. Khách hàng nhận được thông báo này sẽ so sánh số sửa đổi của họ với số họ nhận được. Và nếu con số cao hơn, họ sẽ đồng bộ hóa cơ sở dữ liệu của mình với nó. Nếu không, quảng cáo sẽ bị bỏ qua.

Nhưng đó không phải là tất cả. VTP có vai trò. Theo mặc định, tất cả các switch đều hoạt động như một máy chủ. Tôi sẽ kể cho bạn nghe về họ.

  1. Máy chủ VTP. Anh ấy có thể làm mọi thứ. Tức là tạo, thay đổi, xóa VLAN. Nếu nó nhận được một quảng cáo có bản sửa đổi cũ hơn nó thì nó đã được đồng bộ hóa. Liên tục gửi thông báo và chuyển tiếp từ hàng xóm.
  2. Máy khách VTP- Vai trò này đã bị hạn chế rồi. Bạn không thể tạo, thay đổi hoặc xóa Vlan. Tất cả các Vlan nhận và đồng bộ hóa từ máy chủ. Định kỳ thông báo cho hàng xóm về cơ sở VLAN của nó.
  3. VTP trong suốt- đây là một vai trò độc lập. Chỉ có thể tạo, thay đổi và xóa Vlan trong cơ sở dữ liệu của nó. Anh ta không áp đặt bất cứ điều gì lên bất cứ ai và không chấp nhận bất cứ điều gì từ bất cứ ai. Nếu nó nhận được một loại quảng cáo nào đó, nó sẽ chuyển nó đi nhưng không đồng bộ hóa nó với cơ sở dữ liệu của nó. Nếu ở các vai trò trước, số bản sửa đổi tăng lên sau mỗi lần thay đổi thì ở chế độ này, số bản sửa đổi luôn là 0.
Đó là tất cả cho VTP phiên bản 2. VTP phiên bản 3 đã thêm một vai trò nữa - Tắt VTP. Nó không truyền tải bất kỳ quảng cáo. Nếu không thì hoạt động tương tự như chế độ Trong suốt.

Chúng ta đã đọc lý thuyết đủ rồi và hãy chuyển sang thực hành. Hãy kiểm tra xem switch trung tâm có ở chế độ Máy chủ hay không. Nhập lệnh hiển thị trạng thái vtp.


Chúng tôi thấy rằng Chế độ vận hành VTP: Server. Bạn cũng có thể nhận thấy rằng phiên bản VTP đứng thứ 2. Thật không may, phiên bản CPT 3 không được hỗ trợ. Phiên bản sửa đổi bằng không.
Bây giờ hãy cấu hình các công tắc thấp hơn.

SW1(config)#vtp mode client Cài đặt thiết bị về chế độ VTP CLIENT.
Chúng ta thấy thông báo thiết bị đã vào chế độ máy khách. Phần còn lại được cấu hình theo cách tương tự.

Để các thiết bị có thể trao đổi quảng cáo, chúng phải nằm trong cùng một miền. Và có một điều đặc biệt ở đây. Nếu thiết bị (ở chế độ Máy chủ hoặc Máy khách) không phải là thành viên của bất kỳ miền nào thì ở quảng cáo đầu tiên nhận được, thiết bị sẽ chuyển sang miền được quảng cáo. Nếu khách hàng là thành viên của một tên miền nhất định thì nó sẽ không chấp nhận quảng cáo từ các tên miền khác. Hãy mở SW1 và đảm bảo rằng nó không phải là thành viên của bất kỳ miền nào.


Hãy chắc chắn rằng nó trống rỗng.

Bây giờ chúng ta đi đến switch trung tâm và chuyển nó vào miền.

CentrSW(config)#vtp miền cisadmin.ru Thay đổi tên miền VTP từ NULL thành cisadmin.ru
Chúng tôi thấy một thông báo rằng anh ấy đã được chuyển sang miền cisadmin.ru.
Hãy kiểm tra trạng thái.


Và thực sự. Tên miền đã thay đổi. Xin lưu ý rằng số sửa đổi hiện tại bằng 0. Nó sẽ thay đổi ngay khi chúng ta tạo VLAN trên đó. Nhưng trước khi tạo nó, bạn cần chuyển trình mô phỏng sang chế độ mô phỏng để xem nó tạo quảng cáo như thế nào. Chúng ta tạo VLAN thứ 20 và xem hình ảnh sau đây.


Khi Vlan được tạo và số sửa đổi tăng lên, máy chủ sẽ tạo quảng cáo. Anh ấy có hai trong số đó. Đầu tiên, hãy mở cái bên trái. Quảng cáo này được gọi là “Quảng cáo tóm tắt” hoặc trong tiếng Nga là “quảng cáo tóm tắt”. Thông báo này được switch tạo ra cứ 5 phút một lần, trong đó nó nói về tên miền và bản sửa đổi hiện tại. Hãy xem nó trông như thế nào.


Trong khung Ethernet, chú ý đến địa chỉ MAC đích. Nó giống như trên khi DTP được tạo ra. Nghĩa là, trong trường hợp của chúng tôi, chỉ những người có VTP đang chạy mới phản hồi nó. Bây giờ chúng ta hãy nhìn vào lĩnh vực tiếp theo.


Đây là tất cả thông tin. Tôi sẽ đi qua các lĩnh vực quan trọng nhất.
  • Tên miền quản lý - tên của chính miền đó (trong trường hợp này là cisadmin.ru).
  • Danh tính người cập nhật - mã nhận dạng của người cập nhật. Địa chỉ IP thường được viết ở đây. Nhưng vì địa chỉ không được gán cho switch nên trường này trống
  • Update Timestamp - thời gian cập nhật. Thời gian trên công tắc không bị thay đổi nên được cài đặt theo thời gian xuất xưởng.
  • Thông báo MD5 - hàm băm MD5. Nó được sử dụng để kiểm tra thông tin đăng nhập. Đó là, nếu VTP có mật khẩu. Chúng tôi không thay đổi mật khẩu nên hàm băm là mặc định.
Bây giờ chúng ta hãy xem tin nhắn tiếp theo được tạo ra (tin nhắn bên phải). Nó được gọi là "Quảng cáo tập hợp con" hoặc "quảng cáo chi tiết". Đây là thông tin chi tiết về từng VLAN được truyền đi.
Tôi nghĩ điều này là rõ ràng. Tiêu đề riêng cho từng loại Vlan. Danh sách dài đến mức không vừa với màn hình. Nhưng chúng giống hệt nhau, ngoại trừ tên. Tôi sẽ không bận tâm đến ý nghĩa của từng mã. Và trong CPT, chúng giống một quy ước hơn.
Hãy xem điều gì xảy ra tiếp theo.


Khách hàng nhận được quảng cáo. Họ thấy số bản sửa đổi cao hơn số của họ và đồng bộ hóa cơ sở dữ liệu. Và họ gửi một thông báo đến máy chủ rằng cơ sở Vlan đã thay đổi.


Giao thức VTP hoạt động như thế nào



Đây là cách giao thức VTP hoạt động cơ bản. Nhưng nó có nhược điểm rất lớn. Và đây là những nhược điểm về mặt bảo mật. Tôi sẽ giải thích bằng cách sử dụng ví dụ của cùng một phòng thí nghiệm. Chúng tôi có một bộ chuyển mạch trung tâm để tạo các Vlan và sau đó thông qua phát đa hướng, nó sẽ đồng bộ hóa chúng với tất cả các bộ chuyển mạch. Trong trường hợp của chúng tôi, anh ấy nói về VLAN 20. Tôi khuyên bạn nên xem xét lại cấu hình của nó.

Ghi chú. Một thông báo VTP đến máy chủ, nơi số sửa đổi cao hơn số của chính nó. Anh ấy hiểu rằng mạng lưới đã thay đổi và anh ấy cần phải thích ứng với nó. Hãy kiểm tra cấu hình.


Cấu hình của máy chủ trung tâm đã thay đổi và bây giờ nó sẽ phát sóng chính xác điều này.
Bây giờ hãy tưởng tượng rằng chúng ta không chỉ có một VLAN mà có hàng trăm VLAN. Đây là một cách đơn giản để cài đặt mạng. Tất nhiên, tên miền có thể được bảo vệ bằng mật khẩu và kẻ tấn công sẽ khó gây hại hơn. Hãy tưởng tượng một tình huống công tắc của bạn bị hỏng và bạn cần thay thế nó gấp. Bạn hoặc đồng nghiệp chạy ra kho mua switch cũ mà quên kiểm tra số hiệu sửa đổi. Hóa ra là cao hơn những người khác. Bạn đã thấy điều gì xảy ra tiếp theo rồi. Vì vậy, tôi khuyên bạn không nên sử dụng giao thức này. Đặc biệt là trong các mạng công ty lớn. Nếu bạn đang sử dụng VTP phiên bản 3, vui lòng chuyển công tắc sang chế độ “Tắt”. Nếu bạn đang sử dụng phiên bản 2 thì hãy chuyển sang chế độ “Trong suốt”.
  • dtp
  • Thân cây
  • truy cập
    • Thêm thẻ

    Thật không may, nhiều doanh nghiệp và tổ chức hiện đại trên thực tế không sử dụng cơ hội hữu ích và thường đơn giản là cần thiết như vậy được cung cấp bởi hầu hết các thiết bị chuyển mạch mạng cục bộ (LAN) hiện đại khi tổ chức mạng LAN ảo (VLAN) trong cơ sở hạ tầng mạng. Thật khó để nói điều gì đã gây ra điều này. Có lẽ thiếu thông tin về những lợi ích mà công nghệ VLAN mang lại, độ phức tạp rõ ràng của nó hoặc sự miễn cưỡng sử dụng một công cụ “thô sơ” không đảm bảo khả năng tương tác giữa các thiết bị mạng từ các nhà sản xuất khác nhau (mặc dù công nghệ Vlan đã được tiêu chuẩn hóa trong một năm). hiện nay và tất cả các nhà sản xuất thiết bị mạng hoạt động hàng đầu đều hỗ trợ tiêu chuẩn này). Vì vậy, bài viết này được dành riêng cho công nghệ VLAN. Nó sẽ thảo luận về lợi ích của việc sử dụng Vlan, các phương pháp tổ chức Vlan phổ biến nhất và tương tác giữa chúng, cũng như các tính năng xây dựng Vlan khi sử dụng thiết bị chuyển mạch từ một số nhà sản xuất nổi tiếng.

    Tại sao điều này là cần thiết

    Vlan là gì? Đây là một nhóm máy tính được kết nối với mạng, hợp nhất một cách hợp lý thành một miền để gửi tin nhắn quảng bá theo một tiêu chí nào đó. Ví dụ: các nhóm máy tính có thể được phân bổ phù hợp với cơ cấu tổ chức của doanh nghiệp (theo phòng ban và
    các bộ phận) hoặc dựa trên công việc trong một dự án hoặc nhiệm vụ chung.

    Có ba lợi ích chính khi sử dụng VLAN. Đây là cách sử dụng băng thông hiệu quả hơn đáng kể so với mạng LAN truyền thống, mức độ bảo vệ thông tin được truyền đi được nâng cao khỏi sự truy cập trái phép và đơn giản hóa việc quản trị mạng.

    Bởi vì các Vlan phân chia toàn bộ mạng thành các miền quảng bá một cách hợp lý, các thành viên của Vlan chỉ truyền thông tin đến các thành viên khác trong cùng một Vlan chứ không phải tới tất cả các máy tính trên mạng vật lý. Do đó, lưu lượng phát sóng (thường được tạo bởi các máy chủ thông báo sự hiện diện và khả năng của chúng tới các thiết bị khác trên mạng) bị giới hạn trong một miền được xác định trước thay vì phát đến tất cả các trạm trên mạng. Điều này đạt được sự phân bổ băng thông mạng tối ưu giữa các nhóm máy tính hợp lý: máy trạm và máy chủ từ các Vlan khác nhau “không nhìn thấy” nhau và không can thiệp lẫn nhau.

    Vì giao tiếp chỉ được thực hiện trong một Vlan cụ thể nên các máy tính từ các mạng ảo khác nhau không thể nhận được lưu lượng truy cập được tạo trong các Vlan khác. Việc sử dụng các bộ phân tích giao thức và các công cụ giám sát mạng để thu thập lưu lượng truy cập trên các VLAN khác với VLAN mà người dùng muốn thực hiện sẽ đặt ra những thách thức đáng kể. Đó là lý do tại sao, trong môi trường VLAN, thông tin được truyền qua mạng được bảo vệ tốt hơn nhiều khỏi những truy cập trái phép.

    Một lợi ích khác của việc sử dụng VLAN là nó đơn giản hóa việc quản trị mạng. Điều này đặc biệt đúng đối với các tác vụ như thêm các phần tử mới vào mạng, di chuyển và xóa chúng. Ví dụ: nếu người dùng Vlan di chuyển sang phòng khác, ngay cả khi ở tầng khác hoặc trong tòa nhà khác của doanh nghiệp, quản trị viên mạng không cần kết nối lại cáp. Anh ta chỉ cần cấu hình thiết bị mạng phù hợp từ nơi làm việc của mình. Ngoài ra, một số triển khai Vlan có thể tự động kiểm soát chuyển động của các thành viên Vlan mà không cần sự can thiệp của quản trị viên. Quản trị viên mạng cũng có thể thực hiện các thao tác để tạo các nhóm người dùng hợp lý mới và thêm thành viên mới vào các nhóm qua mạng mà không cần rời khỏi nơi làm việc của mình. Tất cả điều này giúp tiết kiệm đáng kể thời gian làm việc của quản trị viên, thời gian này có thể được sử dụng để giải quyết các nhiệm vụ quan trọng không kém khác.

    cách tổ chức VLAN

    Theo quy định, các nhà sản xuất thiết bị chuyển mạch bộ phận và nhóm làm việc hàng đầu sử dụng một trong ba phương pháp tổ chức Vlan trong thiết bị của họ: dựa trên cổng, địa chỉ MAC hoặc giao thức lớp thứ ba. Mỗi phương pháp này tương ứng với một trong ba lớp thấp hơn của mô hình kết nối các hệ thống mở OSI: vật lý, liên kết và mạng tương ứng. Có cách thứ tư để tổ chức VLAN - dựa trên các quy tắc. Hiện tại nó hiếm khi được sử dụng, mặc dù nó mang lại sự linh hoạt cao hơn trong tổ chức VLAN và có thể được sử dụng rộng rãi trong các thiết bị trong tương lai gần. Chúng ta hãy xem xét ngắn gọn từng phương pháp tổ chức Vlan ở trên, những ưu điểm và nhược điểm của chúng.

    VLAN dựa trên cổng. Như tên của phương pháp gợi ý, các Vlan được tổ chức bằng cách kết hợp một cách hợp lý các cổng chuyển mạch vật lý đã chọn. Ví dụ: quản trị viên mạng có thể chỉ định rằng các cổng chuyển mạch được đánh số 1, 2, 5 dưới dạng VLAN1 và các cổng được đánh số 3, 4, 6 dưới dạng VLAN2, v.v. Một số máy tính có thể được kết nối với một cổng chuyển mạch (ví dụ: thông qua hub). Tất cả chúng sẽ thuộc về cùng một VLAN - VLAN mà cổng chuyển mạch phục vụ chúng được chỉ định. Sự ràng buộc chặt chẽ về tư cách thành viên Vlan này là một bất lợi của cách tổ chức mạng ảo dựa trên cổng.

    Vlan dựa trên địa chỉ MAC. Phương pháp này cho phép bạn xây dựng một VLAN dựa trên địa chỉ cấp liên kết thập lục phân duy nhất mà mỗi bộ điều hợp mạng máy chủ hoặc máy trạm có trên mạng. Đây là cách tổ chức VLAN linh hoạt hơn so với cách trước, vì các thiết bị thuộc các VLAN khác nhau có thể được kết nối với một cổng chuyển mạch. Ngoài ra, chuyển động của máy tính từ cổng chuyển mạch này sang cổng chuyển mạch khác được bộ chuyển mạch tự động theo dõi và cho phép bạn duy trì quyền sở hữu của máy tính đã di chuyển đến một VLAN cụ thể mà không cần sự can thiệp của quản trị viên mạng. Nó hoạt động khá đơn giản: switch duy trì một bảng tương ứng giữa địa chỉ MAC của máy tính và mạng ảo. Ngay khi máy tính chuyển sang cổng switch khác, so sánh trường địa chỉ MAC nguồn trong tiêu đề của khung đầu tiên được truyền sau khi máy tính di chuyển với dữ liệu trong bảng của nó, switch sẽ kết luận chính xác rằng máy tính đã di chuyển thuộc về VLAN. Nhược điểm của phương pháp tổ chức Vlan này là sự phức tạp ban đầu của việc định cấu hình Vlan và có nhiều lỗi. Mặc dù bảng địa chỉ MAC được các switch xây dựng tự động, nhưng quản trị viên mạng cần xem qua tất cả và xác định rằng địa chỉ MAC thập lục phân nhất định có tương ứng với máy trạm đó hay không, sau đó gán nó cho mạng ảo tương ứng. Đúng, việc cấu hình lại Vlan dựa trên địa chỉ MAC sau này sẽ đòi hỏi ít nỗ lực hơn đáng kể so với trường hợp Vlan dựa trên cổng.

    Vlan dựa trên giao thức lớp 3. Phương pháp này hiếm khi được sử dụng trong các chuyển đổi bộ phận và nhóm làm việc. Điển hình là các bộ chuyển mạch định tuyến đường trục có các công cụ định tuyến tích hợp cho các giao thức LAN chính - IP, IPX và AppleTalk. Trong phương pháp này, một nhóm cổng chuyển mạch thuộc một Vlan cụ thể được liên kết với mạng con IP hoặc mạng IPX cụ thể. Tính linh hoạt ở đây được cung cấp bởi thực tế là việc người dùng chuyển sang một cổng khác thuộc cùng một Vlan sẽ được bộ chuyển mạch giám sát và không yêu cầu cấu hình lại. Ưu điểm của phương pháp này còn là sự đơn giản trong cấu hình Vlan, có thể được thực hiện tự động vì bộ chuyển mạch sẽ phân tích địa chỉ mạng của các máy tính được liên kết với mỗi Vlan. Ngoài ra, như đã đề cập, các thiết bị hỗ trợ phương pháp tổ chức Vlan dựa trên giao thức lớp 3 có các công cụ định tuyến tích hợp, cung cấp khả năng tương tác giữa các Vlan khác nhau mà không cần sử dụng các công cụ bổ sung. Phương pháp này có lẽ chỉ có một nhược điểm - giá thiết bị chuyển mạch sử dụng nó cao.

    Vlan dựa trên quy tắc. Người ta cho rằng bộ chuyển mạch có khả năng phân tích chi tiết các trường được xác định trước và thậm chí cả các bit riêng lẻ của gói đi qua nó dưới dạng cơ chế xây dựng Vlan. Phương pháp này cung cấp khả năng hầu như không giới hạn để tạo mạng ảo dựa trên nhiều tiêu chí. Ví dụ: ngay cả theo nguyên tắc bao gồm trong Vlan tất cả người dùng có máy tính đã cài đặt bộ điều hợp mạng từ nhà sản xuất được chỉ định. Mặc dù có tính linh hoạt rất lớn nhưng quá trình cấu hình Vlan dựa trên quy tắc rất tốn công sức. Ngoài ra, sự hiện diện của các quy tắc phức tạp có thể ảnh hưởng tiêu cực đến thông lượng của bộ chuyển mạch, vì một phần đáng kể sức mạnh xử lý của nó sẽ được dành cho việc phân tích gói.

    Các thiết bị cũng có thể được tự động chuyển sang Vlan dựa trên dữ liệu xác thực người dùng hoặc thiết bị khi sử dụng giao thức 802.1x.

    xây dựng VLAN phân tán

    Mạng LAN hiện đại thường chứa nhiều hơn một switch. Các máy tính thuộc cùng một VLAN có thể được kết nối với các thiết bị chuyển mạch khác nhau. Do đó, để định tuyến lưu lượng một cách hợp lý, phải có cơ chế để các switch trao đổi thông tin về tư cách thành viên VLAN của các thiết bị được kết nối với chúng. Trước đây, mỗi nhà sản xuất đều triển khai các cơ chế độc quyền để trao đổi thông tin đó trong thiết bị của mình. Ví dụ, 3Com gọi công nghệ này là VLT (Virtual LAN Trunk), Cisco Systems gọi nó là ISL (Inter-Switch Link). Do đó, để xây dựng các VLAN phân tán, cần phải sử dụng các thiết bị từ một nhà sản xuất. Tình hình được cải thiện hoàn toàn khi tiêu chuẩn xây dựng Vlan được gắn thẻ được thông qua - IEEE 802.1Q, hiện đang thống trị thế giới Vlan. Trong số những thứ khác, nó cũng quy định cơ chế trao đổi thông tin Vlan giữa các thiết bị chuyển mạch. Cơ chế này cho phép bạn bổ sung các khung được truyền giữa các thiết bị chuyển mạch bằng các trường biểu thị tư cách thành viên trong một Vlan cụ thể. Ngày nay, tất cả các nhà sản xuất thiết bị chuyển mạch mạng LAN hàng đầu đều hỗ trợ chuẩn 802.1Q trong thiết bị của họ. Do đó, ngày nay người ta đã có thể xây dựng mạng ảo bằng cách sử dụng các thiết bị chuyển mạch từ các nhà sản xuất khác nhau. Mặc dù, như bạn sẽ thấy sau, ngay cả khi hoạt động theo 802.1Q, các thiết bị chuyển mạch từ các nhà sản xuất khác nhau vẫn cung cấp những khả năng tổ chức VLAN không giống nhau.

    Tổ chức tương tác giữa các VLAN

    Các máy tính nằm trong các VLAN khác nhau không thể liên lạc trực tiếp với nhau. Để tổ chức tương tác như vậy, bạn phải sử dụng bộ định tuyến. Trước đây, các bộ định tuyến thông thường đã được sử dụng cho việc này. Hơn nữa, bộ định tuyến yêu cầu phải có nhiều giao diện mạng vật lý cũng như số lượng Vlan. Ngoài ra, các thiết bị chuyển mạch phải phân bổ một cổng từ mỗi Vlan để kết nối bộ định tuyến. Xem xét chi phí cao của các cổng bộ định tuyến, chi phí của giải pháp như vậy là rất cao. Ngoài ra, bộ định tuyến thông thường gây ra độ trễ đáng kể trong việc truyền dữ liệu giữa các Vlan. Ngày nay, để truyền dữ liệu giữa các Vlan, các bộ chuyển mạch định tuyến được sử dụng, có giá trên mỗi cổng thấp và thực hiện định tuyến lưu lượng phần cứng ở tốc độ của kênh liên lạc. Các bộ chuyển mạch định tuyến cũng tuân thủ tiêu chuẩn IEEE 802.1Q và để tổ chức liên lạc giữa các Vlan phân tán, chúng chỉ cần sử dụng một cổng để kết nối từng bộ chuyển mạch nhóm làm việc kết nối các thiết bị tương ứng với các Vlan khác nhau với mạng. Nói cách khác, thông tin có thể được trao đổi giữa các thiết bị từ các Vlan khác nhau thông qua một cổng của bộ chuyển mạch định tuyến hiện đại.

    sử dụng tài nguyên mạng được chia sẻ bởi các máy tính thuộc các Vlan khác nhau

    Rất thú vị là khả năng tổ chức truy cập vào các tài nguyên mạng dùng chung (máy chủ mạng, máy in, v.v.) cho các máy tính thuộc các Vlan khác nhau. Những lợi thế của khả năng này là rõ ràng. Thứ nhất, không cần phải mua bộ định tuyến hoặc bộ chuyển mạch định tuyến trừ khi bạn cần tổ chức trao đổi dữ liệu trực tiếp giữa các máy tính từ các Vlan khác nhau. Sự tương tác giữa các máy tính thuộc các Vlan khác nhau có thể được đảm bảo thông qua một máy chủ mạng mà tất cả hoặc một số Vlan đều có quyền truy cập. Thứ hai, trong khi vẫn duy trì tất cả các lợi ích của việc sử dụng Vlan, bạn không phải mua máy chủ cho từng Vlan riêng biệt mà hãy sử dụng các máy chủ chung.

    Cách dễ nhất để cấp quyền truy cập vào một máy chủ cho người dùng từ các Vlan khác nhau là cài đặt một số bộ điều hợp mạng trong máy chủ và kết nối từng bộ điều hợp này để chuyển đổi các cổng thuộc các Vlan khác nhau. Tuy nhiên, phương pháp này có hạn chế về số lượng VLAN (nhiều bộ điều hợp mạng không thể cài đặt trong máy chủ), áp đặt các yêu cầu nghiêm ngặt đối với các thành phần máy chủ (trình điều khiển bộ điều hợp mạng yêu cầu tăng dung lượng RAM, tạo ra tải lớn cho hệ thống). CPU và bus I/O của máy chủ, v.v.) và không giúp tiết kiệm tiền (sử dụng nhiều bộ điều hợp mạng và các cổng chuyển đổi bổ sung).

    Với sự ra đời của tiêu chuẩn IEEE 802.1Q, việc truyền thông tin liên quan đến tất cả hoặc một số Vlan thông qua một cổng chuyển mạch đã trở nên khả thi. Như đã đề cập ở trên, để thực hiện việc này, bộ chuyển mạch (hoặc thiết bị khác hỗ trợ 802.1Q) sẽ thêm một trường vào khung được truyền qua mạng để xác định duy nhất xem khung có thuộc về một VLAN cụ thể hay không. Một máy chủ chung cho tất cả các Vlan có thể được kết nối với một cổng như vậy chỉ bằng một đường truyền. Điều kiện duy nhất cho điều này là bộ điều hợp mạng của máy chủ phải hỗ trợ chuẩn 802.1Q để máy chủ có thể biết yêu cầu đến từ VLAN nào và theo đó, nơi gửi phản hồi. Đây là cách máy chủ được phân chia giữa các VLAN trong bộ phận được quản lý và chuyển mạch nhóm làm việc từ 3Com, Hewlett-Packard và Cisco Systems.

    Phần kết luận

    Như bạn có thể thấy, VLAN là một công cụ tổ chức mạng mạnh mẽ, có thể giải quyết các vấn đề về quản trị, bảo mật truyền dữ liệu, kiểm soát truy cập vào tài nguyên thông tin và tăng đáng kể hiệu quả sử dụng băng thông mạng.

    Oleg Podukov, trưởng phòng kỹ thuật của Công ty COMPLETE

    Hôm nay tôi sẽ bắt đầu một loạt bài nhỏ về VLAN. Hãy bắt đầu với nó là gì, dùng để làm gì, cách cấu hình nó, sau đó chúng ta sẽ đi sâu hơn và dần dần nghiên cứu, nếu không phải tất cả, thì hầu hết tất cả các khả năng mà Vlan cung cấp cho chúng ta.

    Vì vậy, hãy nhớ rằng chúng ta đã nói về một khái niệm như? Tôi nghĩ bạn nhớ. Chúng ta cũng đã nói về thực tế là có một số loại địa chỉ: .

    Dựa trên điều này, chúng ta hãy thực hiện thêm một khái niệm giới thiệu. Miền phát sóng. Anh ấy thực sự là gì?

    Nếu một khung/gói quảng bá được gửi (nếu là khung thì tất cả các bit trong trường Địa chỉ đích bằng một hoặc ở dạng thứ 16, địa chỉ MAC sẽ bằng: FF FF FF FF FF FF), thì khung này sẽ được chuyển tiếp đến tất cả các cổng của switch, ngoại trừ cổng mà khung này được nhận. Điều này sẽ xảy ra trong trường hợp chẳng hạn như khi switch của chúng tôi không được quản lý hoặc nếu nó được quản lý nhưng mọi người đều ở trong cùng một VLAN (sẽ nói thêm về điều đó sau).
    Danh sách các thiết bị nhận các khung quảng bá này được gọi là miền quảng bá.

    Bây giờ hãy quyết định, Vlan là gì?

    Vlan - Mạng cục bộ ảo, tức là một số loại mạng ảo. Nó dùng để làm gì?

    VLAN cho phép chúng ta tách các miền quảng bá trong một switch. Những thứ kia. nếu chúng tôi có một công tắc, chúng tôi sẽ gán một số cổng cho một Vlan và các cổng khác cho một Vlan khác. Và chúng ta sẽ có hai miền phát sóng khác nhau. Tất nhiên, khả năng không dừng lại ở đó. Tôi sẽ nói về chúng sâu hơn, dần dần.

    Tóm lại, VLAN cho phép người quản trị tạo mạng linh hoạt hơn, chia thành các mạng con nhất định (ví dụ: mạng kế toán, mạng quản lý, v.v.), hay nói cách khác, VLAN giúp gắn kết các thiết bị với một tập hợp chung nào đó. các yêu cầu thành một nhóm duy nhất và tách nó ra khỏi các nhóm riêng biệt tương tự khác.

    Hãy để tôi đặt trước ngay rằng Vlan hoạt động ở cấp độ OSI Lớp 2.
    Chúng ta hãy nhớ rằng khi chúng ta nhìn vào khung, không có trường nào cho VLAN ở đó. Làm thế nào bạn có thể xác định một khung cụ thể thuộc về VLAN nào?

    Có một số tiêu chuẩn.

    1. IEEE 802.1Q - tiêu chuẩn này mở. Tiêu chuẩn này đánh dấu một khung cụ thể được “gắn” với một số Vlan bằng cách gắn thẻ.
    Gắn thẻ là một chức năng của bộ chuyển mạch (hoặc bất kỳ thiết bị nào khác “hiểu” Vlan) chèn một thẻ nhất định bao gồm 4 byte vào khung ethernet. Quy trình gắn thẻ không thay đổi dữ liệu tiêu đề, do đó thiết bị không hỗ trợ công nghệ Vlan có thể dễ dàng truyền khung như vậy dọc theo mạng, duy trì thẻ.

    Đây là khung sẽ trông như thế nào sau khi chèn thẻ Vlan.

    Dựa vào hình của chúng, chúng ta thấy thẻ VLAN bao gồm 4 trường, chúng ta sẽ mô tả chúng:

    - Mã định danh giao thức thẻ 2 byte (TPID) - đây là mã định danh giao thức, trong trường hợp của chúng tôi là 802.1Q, ở dạng thứ 16, trường này sẽ có dạng: 0x8100.

    — Ưu tiên — trường để thiết lập mức độ ưu tiên theo tiêu chuẩn 802.1p (về vấn đề này trong các bài viết sau). Kích thước của trường này là 3 bit (8 giá trị 0-7).

    - Chỉ báo định dạng Canonical (CFI). Chỉ báo định dạng chuẩn, trường này có kích thước 1 bit. Trường này cho biết định dạng của địa chỉ mac (1 là chuẩn, 0 không chuẩn.)

    — Vlan ID, đây thực sự là những gì chúng tôi đã thu thập được cho ngày hôm nay :) Vlan ID. Kích thước trường là 12 bit, có thể nhận giá trị từ 0 đến 4095.

    Khi sử dụng VLAN (gắn thẻ) theo chuẩn 802.1Q, các thay đổi được thực hiện đối với khung, do đó cần phải tính toán lại giá trị FCS, việc này thực tế được thực hiện bởi switch.

    Chuẩn 802.1Q có một thứ như Native VLAN, theo mặc định, ID Vlan gốc bằng một (có thể thay đổi), Vlan gốc được đặc trưng bởi thực tế là Vlan này không được gắn thẻ.

    2. Liên kết chuyển mạch (ISL). Một giao thức do Cisco phát triển và chỉ có thể được sử dụng trên thiết bị của Cisco.
    Giao thức này được phát triển trước khi áp dụng 802.1Q.
    ISL hiện không còn được hỗ trợ trên phần cứng mới hơn, nhưng bạn vẫn có thể gặp phải giao thức này đang hoạt động, vì vậy chúng ta cần làm quen với nó.

    Không giống như 802.1Q, nơi thực hiện gắn thẻ khung đơn giản (chèn 4 byte bên trong khung), công nghệ đóng gói được sử dụng ở đây, nghĩa là, một tiêu đề nhất định được thêm vào có chứa thông tin về Vlan. Vlan ISL, không giống như 802.1Q, hỗ trợ tới 1000 Vlan.

    Chúng ta hãy nhìn vào khung ở dạng đồ họa để xem sự đóng gói này trông như thế nào.

    Ở đây chúng ta có thể thấy ngay nhược điểm đầu tiên và có lẽ là cơ bản nhất của ISL - nó tăng khung hình lên 30 byte (tiêu đề 26 byte và 4 byte FCS).

    Chúng ta hãy xem Tiêu đề ISL chi tiết hơn, hãy xem những gì được lưu trữ ở đó với nhiều byte như vậy!

    • Địa chỉ đích (DA) - địa chỉ của người nhận; một địa chỉ multicast đặc biệt được chỉ định ở đây, cho biết khung đang được sử dụng được đóng gói bằng ISL. Địa chỉ multicast có thể là 0x01-00-0C-00-00 hoặc 0x03-00-0c-00-00.
    • Loại - độ dài trường 4 bit, cho biết giao thức được gói gọn trong khung. Có thể nhận nhiều giá trị:

    0000-Ethernet
    0001 - Nhẫn Token
    0010-FDDI
    0011 - ATM

    Trong trường hợp của chúng tôi, vì chúng tôi đang xem xét Ethernet, giá trị này sẽ bằng 0.

    • NGƯỜI DÙNG là một loại tương tự "rút gọn" của trường Ưu tiên trong 802.1Q, được sử dụng để đặt mức độ ưu tiên của khung. Mặc dù trường chiếm 4 bit nhưng nó có thể nhận 4 giá trị (trong 802.1Q - 8).
    • Địa chỉ nguồn (SA) - địa chỉ nguồn; giá trị địa chỉ MAC của cổng mà khung được đóng gói này được gửi được thay thế ở vị trí này.
    • LEN - chiều dài khung. Các trường như DA,TYPE,USER,SA,LEN,FCS không được tính đến ở đây. Do đó, hóa ra giá trị này bằng khung được đóng gói - 18 byte.
    • AAAA03 (SNAP) - SNAP và LLC (trường này chứa giá trị AAAA03).
    • HSA - Bit cao của địa chỉ nguồn - 3 byte cao của địa chỉ MAC (hãy nhớ rằng các byte này chứa mã nhà sản xuất), đối với Cisco là 00-00-0C
    • Vlan - cuối cùng chúng tôi đã đến được trường chính. Mã định danh VLAN thực sự được chỉ định ở đây. Kích thước trường là 15 bit.
    • BPDU - Đơn vị dữ liệu giao thức cầu nối và Giao thức khám phá của Cisco. Trường dành cho các giao thức BPDU và CDP. Chúng ta sẽ biết nó là gì và tại sao trong các bài viết sau.
    • INDX - Index, cho biết chỉ mục cổng của người gửi, được sử dụng cho mục đích chẩn đoán.
    • RES - Dành riêng cho Token Ring và FDDI. Trường dự trữ cho Token Ring và FDDI. Trường có kích thước 16 bit. Nếu giao thức ethernet được sử dụng thì tất cả các số 0 sẽ được đặt trong trường này.
    • Encapsulated Frame là một khung thông thường đã được đóng gói. Khung này có các trường riêng, chẳng hạn như DA, SA, LEN, FCS, v.v.
    • FCS là ISL riêng của FCS (vì khung đã thay đổi hoàn toàn nên cần phải kiểm tra khung mới, 4 byte cuối cùng được dành cho việc này).

    Chúng ta có thể rút ra một số kết luận có lợi cho 802.1Q.

    1. Việc gắn thẻ chỉ thêm 4 byte vào khung, trái ngược với ISL (30 byte).
    2. 802.1Q được hỗ trợ trên mọi thiết bị hỗ trợ VLAN, trong khi ISL chỉ hoạt động trên các thiết bị của Cisco chứ không phải tất cả các thiết bị đó.

    Trong bài viết này chúng tôi đã giới thiệu ngắn gọn khái niệm về VLAN. Tiếp theo chúng ta sẽ xem xét chi tiết.